Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Unidad Auditada: ADL
Funcionario Principal: Aurelio González Cubero
Puesto: Administrador
Recomendación Oficina Acción Correctiva ResultadoA. Reclutamiento, Nominas y Licencias Acumuladas:
Fecha Informe Final: 21 de septiembre de 20091. Revisar la documentación contenida en
los expedientes de personal segúnArtículo 7, secciones 7.3 y 7.11 delReglamento de Recursos Humanos delCDORH.
2. Someter la evidencia correspondientesegún el puesto ocupado.(Observación 3)
OficinaRecursosHumanos
Se requieredocumentación (gestionesrealizadas)
No Completado-seguimientomediante PACComplementario
3. Revisar Plan de Clasificación deEmpleados de Carrera Unionado.
4. Implementar las accionescorrespondientes según Reglamento deRecursos Humanos del CDORH, así comoel Convenio Colectivo CUTE-CDORH.(Observación 4)
OficinaRecursosHumanos
Se requieredocumentación (gestionesrealizadas)
No Completado-seguimientomediante PACComplementario
5. Tramitar, revisar, actualizar y/o gestionarel establecimiento de reglamentacióndirigida al manejo y supervisión de lossistemas de control de balances delicencias, así como herramientas externaspara cotejo o verificación del mismo.
6. Someter procedimientos, mecanismos,medidas disciplinarias y/o reglamentaciónespecifica dirigida al cumplimiento delPlan Anual de Vacaciones a partir del 1 deenero de 2010. (Observación 5)
OficinaRecursosHumanos
Se requieredocumentación (gestionesrealizadas)
No Completado-seguimientomediante PACComplementario
B. Informes Especiales: Evaluación de Riesgos- Nomina Fecha Informe: 8 de Octubre 20091. Detallar el proceso de nomina en el área
para su debida evaluación y actualización.Esta debe incluir los pasos a seguir,puestos (no nombres) de las personas acargo del manejo, así como las
Oficina deRecursosHumanos
Se requieredocumentación
No Completado-seguimientomediante PACComplementario
Recomendación Oficina Acción Correctiva Resultadocertificaciones y autorizaciones para losdesembolsos de Nomina Regular yNomina Especial, según corresponda(Observación 1).
C. Informes Especiales: Primera Evaluación de Riesgos- Sistemas de Información Fecha Informe: 11 de septiembre 20091. Centralizar el manejo y administración de
los Sistemas de información del CDORHincluyendo entre otros los servicios,recursos humanos, tareas,responsabilidades, supervisión yprocedimientos de tecnología deInformación. (Observación 1)
DirectorEjecutivoSistemas deInformación
Se requieredocumentación
No Completado
2. Evaluar el personal, en coordinación conla Oficina de Recursos Humanos paraverificar si el mismo cumple con losrequisitos mínimos de preparaciónacadémica y experiencia requerida para eldesempeño de sus responsabilidades.(Observacion1)
Sistemas DeInformación,Oficina Rec.Humanos
Se requieredocumentación
No Completado
3. Redactar las normas, políticas y/oprocedimientos escritos específicos quepermitan el buen funcionamiento de losSistemas de Información que entre otrasinstancias promueva:
a. Los controles que minimicenlos riesgos de que lossistemas dejen de funcionarcorrectamente y de que lainformación sea accedida deforma no autorizada y/omaliciosa.
b. Tomar inventario de activosde sistemas de informaciónque incluya el equipo, losprogramas y periferales paradeterminar la posible perdidade datos, servidores y líneasde comunicación.
c. Garantizar la continuidad deservicios mediante la
Sistemas DeInformación
Se requieredocumentación
No Completado
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoplanificación y aprobación deun calendario (Schedule) derealización de copiasautomáticas (back-ups) de lascomputadoras.Procedimiento sugerido:GrandFather-Father-Son.
d. Revisar el Plan deContingencias paraTecnología de Sistemas deInformación del CDORH del25 de junio de 2007.
e. La redacción, implementacióny publicación de reglasescritas de control de accesoal lugar donde se maneja yadministra el sistema decomputadoras
f. La flexibilidad en lasoperaciones deprocesamiento de datos quepermitan incluir de formarazonable el mantenimientoregular y el no incluido en elitinerario.
g. Mantener registros de losproblemas de los equipos, asícomo atrasos, causas ytiempo transcurrido pararesolver los mismos paraidentificar tendencias orepetición de situaciones.
h. La adquisición adecuada detodas las aplicaciones yprogramas instalados en lascomputadoras de losusuarios.
i. La emisión de una políticaescrita (formularios yprocedimientos) para laconfiguración de usuarios delos sistemas que permita
Recomendación Oficina Acción Correctiva Resultadouniformar y establecer:
i. La creación decuentas de usuarioen coordinación conel Área de Trabajo.
ii. Los diferentesprivilegios otorgadosal usuario de lossistemas según suslabores yresponsabilidades.
iii. Las solicitudes decambios a las cuentasde los usuarios.
iv. Los pasos definidospara la revisiónmediante procesosde auditoria de losequipos paraconstatar el uso porparte de losempleados.
v. Accionesdisciplinarias por eluso inadecuado delas cuentas de correoelectrónico, Internet,así como los equipos(computadoras)(Observación 1).
4. Someter plan para incluir enmiendasaplicables a Política del 7 de mayo de2008 para su actualización, redacción deprocedimientos específicos, miembros delCDC, formularios a utilizar, fechasrequeridas para los procesos, aprobación,distribución y posterior implementación alos usuarios de los sistemas del CDORH(Observación 2).
Sistemas deInformación
Se requieredocumentación
No Completado
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoD. Informes Especiales: Segunda Evaluación de Riesgos- Sistemas de Información (Evaluación del
Centro de Cómputos realizada en coordinación con Auditores Externos) Fecha Informe: 2 de febrero 20101. No existen procedimientos Estándares de
Operación (SOP) para el funcionamientodel Centro de Cómputos y susAplicaciones
Sistemas deInformación
Creación deProcedimientosEstándares de Operación(SOP) para todas lasoperaciones del Centro deCómputos.Entre estos procesospodemos mencionar:
1. Crear políticas deSeguridad ServerWindows.
a) PasswordLength
b) PasswordComplexity
c) PasswordHistory
2. Lock account system3. Establecer normas y
procedimientos paraaumentar la seguridadde Red
4. Implementación desistema de Monitoreode Red.
5. Creación de unSistema de Manejo deAlarmas.
6. Implementación deDocumentManagement Systemspara:
a) Creación /Administración de Políticas
b) Uso deequipos
c) Entrega yresponsabilidades de
90% - En Progreso(11/30/2010)Los siguientes SOPya estáncompletados eimpresos encarpetas en el NOCdel CDORH
1. 10-001.1Comocambiar elpasswordde unusuario enel DomainController
2. 10-001.2Como crearun ShareFolder yasignar unusuario
3. 10-001.3Como crearun usuarioen elDomainController
4. 10-001.4ServicesWindowsServer2003: Comoactivar“Start” ycomo parar“Stop” unservicio.
5. 10-0001.5Procedimiento de
Recomendación Oficina Acción Correctiva Resultadoequiposentregados.
d) Establecerfrecuencia.
e) EstablecerScope arespaldar.
Monitoreode ServiciosCríticos
6. 10-001.6ManualWindowsServer 2003
7. 10-002.1ComoConfigurarMicrosoftOutlook
8. 10-002.2Procedimiento decomo crearMailbox
9. 10-002.3Comomover unmailbox
10. 10-002.4Comoborrar unmailbox
11. 10-002.5Procedimiento decomoencenderservidorCDORH-EXBB
12. 10-002.6Como crearnuevascuentas enExchange
13. 10-002.7Administración GuideforExchange
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoServer
14. 10-003.1BlackberryEnterpriseServerManual
15. 10-003.2InstallationGuideBlackberryEnterprise
16. 10-004.1Procedimiento decomo crearun nuevoBackup
17. 10-004.2Comoejecutar unBackupexistente
18. 10-004.3Procedimiento BackupparaExchange
19. 10-005.1SymantecAntivirusAdministrator Guide
10-006.1 PeplinkBalance SeriesManual
2. No existe política de almacenaje definidopara mailbox de Exchange.
Sistemas deInformación
Establecer límites dealmacenaje para losmailbox en Exchange enlos Archive Folders unavez se llegue a los límitesde capacidad aestablecerse
90% - En Progreso(11/30/2010)Se activó la alerta a1.8 GB. Las trescuentas con mas de2GB; Osvaldo Soto,Frances Ortiz yAureliz Colónfueron notificadaspara que hagan
Recomendación Oficina Acción Correctiva Resultado“Archive”. Seimplementarán lasrestricciones elviernes 17 dediciembre de 2010.
3. No existe política de VPN a través delFirewall IS.
Sistemas deInformación
El propósito de estapolítica es tener laalternativa de poderacceder todas lasaplicaciones y servicios delCDORH desde fuera de laagencia en casos deemergencia. Esta políticaestaría accesible siemprey cuando medie unaautorización firmada porel Director del CDORH y elSupervisor del empleadoque desea acceder alsistema del CDORH. Estapolítica se puede poner enefecto cuando unempleado viaja fuera dePuerto Rico o si estáconfinado en su casa porenfermedad, pero puedetrabajar remotamente.
0%No se haimplementadotodavía ya querequerimos de unaaprobación paracrearla o no.
4. No existe identificación del sistema decableado.
Sistemas deInformación
Reorganización decablería de LAN(Identificación/organización/ test)
Reorganización cableríade servers en Rack(Mejorar el flujo detemperatura, mejoradministración)
0%Este proceso sellevará a cabo unavez termine lareestructuración delos servidores
5. No existe diagrama lógico de la red. Sistemas deInformación
Este diagrama seráconstruido en unprograma compatible conel formato VISIO.Contendrá diagramasesquemáticos de la
70% - En Progreso(12/15/2010)Se han creado tresdocumentospreliminares de laconfiguración de la
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoinfraestructura deservidores y equipos en el(NOC) Centro deOperaciones del CDORHasí como los diagramaslógicos de conexión delNOC y del LAN.
red. Estosdocumentos tieneninformaciónactualizada sobrelos componentes dela red tanto el WAN(Wide ÁreaNetwork) como delLAN (Local AreaNetwork) y serviránde referencia paracrear el diagramafinal del la red delCDORH. Estosdocumentos son:
1. CDORH-WAN.pdfContieneunadescripcióndetalladade loscomponentes del WAN
2. CDORH-NOC.pdfContieneunadescripcióndetalladade losequipos delNOC en susrespectivosgabinetes yde losequipos dered queestánfueran delNOC.
3. FinalConfiguration ofServers.doc
Recomendación Oficina Acción Correctiva ResultadoContieneinformacióndetalladadel procesodemigracióndeservidores ysu estatusactual
Estos documentosestán anejados alfinal.
6. No existe herramientas de Backup quepermita la centralización de laadministración de los backups de lossistemas.
Sistemas deInformación
Se va a realizar un análisisde las alternativas másrecomendadas en elmercado para esta tareaen cuanto a losprogramas. Por otraparte, el CDORH carece deun lugar de almacenajecentral para los backups,por lo que serecomendaránalternativas para adquirirun NAS o SAN.
95% (11/30/2010)El NAS ya fueinstalado,configurado y yareemplazó lasfunciones del FileServer anterior(CDORH-O5). Seestán realizandoBackup con laherramienta GenieBackup ManagerServer de todos losservidores activosdel CDORH en unshare centralizadollamado ServerBackups. Este shareestá accesiblesolamente para lacuentacdorh\master.
7. No existe sistema de manejo de solicitudde servicio.
Sistemas deInformación
Implementación de unsistema de soporte yChange Management.Establecer un sistema demanejo de proveedoresde servicios.
90%Temporeramente sehabilitó un serverque había sidodecomisado y seinstaló laherramienta
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoManage EngineService Desk Plus lacual permite lacreación y manejode solicitudes deservicio. Para podersacarle el máximoprovecho a estaherramienta esnecesariocoordinaradiestramientosentre los empleadosdel CDORH para queaprendan autilizarla. Una vezse haya completadola reestructuracióndel NOC, sehabilitará estaherramienta en unservidor de máscapacidad.
8. No existe control de Fixed Assetactualizado.
Sistemas deInformación
Establecer un sistema demanejo de Activos Fijos.
50%La mismaherramienta yainstalada ManageEngine Service DeskPlus manejatambién FixedAsset's, sólorequiere ladefinición yconfiguración de lossistemas.
9. Group policy débil para administracióncentralizada de estaciones de trabajo.
Sistemas deInformación
Revisar y enforzar elGroup Policy creado en elDomain Controller y en elISA Server
Control de personal a usarInternet bajo políticasdirectas del servidor.
50%Ya se hanmodificado variaspolíticas generalesen al DomainController y en elISA server. Lasreglas no necesariasfueron eliminadas.
Recomendación Oficina Acción Correctiva Resultado10. Falta de identificación de Fixed Asset en
equipo en Racks.Sistemas deInformación
Identificar todos losservidores con etiquetasvisible fáciles de leer
0%Debido a lareestructuración delsistema deservidores, losserver están y seráncambiados de roles,por lo tanto suidentificación sedebe realizar al finalde lareestructuración.
11. Presencia de alertas en Logs del 90% delos servers (diferentes razones)
Sistemas deInformación
Log centralizado deServidores y appliances.
75%Las alertas críticasde los servidoresDomain Controller,Secondary DomainController, ISAServer y ExchangeServer ya fueroncorregidas ya queestos sistema hansido restaurados enotros servidores.
0%No se haseleccionado quesistema de Logcentralizado va autilizarse
12. Cableado de red desorganizado. Sistemas deInformación
Reconexión de Powersupplies de Server paraproveer Fail Over conredundancia en el caso delos server que poseen dospower Supply.
0%No se realizará estatarea hasta que sehaya completado larestructuración detodos los servers yse haya instalado el
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoservidor nuevo devirtualización y elnuevo NAS(Network AttachedStorage)
13. No hay control de Licenciamiento deEquipos.
Sistemas deInformación
Instalar una herramientapara llevar este control
0%La herramienta estáinstalada, faltaconfiguración
14. Licenciamiento vencidos Sistemas deInformación
Poner al día losLicenciamientos
Update(11/30/2010)En una reunión conMicrosoft, nosinformaron que laslicenciasautorizadas alCDORH son lassiguientes:1. MS Server
Enterprise X 72. MS Server
Standard X 53. MS SQL Server
Enterprise X 24. MS Exchange
Server StandardX 1
5. ISA ServerStandard X 1
6. SQL CAL X 291
NOTA: Estainformación sale deun documentooficial de la OGP elcual establece laslicencias deMicrosoft queestán autorizadasen el CDORH. Sinembargo en el NOCtenemos servidoresutilizando licenciasde MS Server 2000y SQL Standard que
Recomendación Oficina Acción Correctiva Resultadono están en la lista.
El lunes 13 dediciembre secelebró una reunióncon Microsoft paradeterminar ellicenciamientorequerido en losservidores virtualesen Data Access.Después de aclararque el CDORH estácontratando losservicios de Hostingy no CollocationMicrosoft quedó eninvestigar cualquierotro aspecto segúnel servicio que seestá contratando.Ellos quedaron eninformarnos sobrecualquier hallazgo.
15. Sistema de Incendios no adecuado.
Cuarto de cómputos no adecuado parasistemas de incendio.
Sistemas deInformación
Verificación de sistema decontrol de incendios
Instalación de Detectoresde Humo apropiados
Instalación de DetectoresdeHumedad/Temperatura
Instalación de un Sistemade extintores adecuadospara equipos en cuarto decómputos.
0%El extintor existenteno es apropiadopara equipoelectrónico.
Típicamente elsistemarecomendado paraCentros deCómputo es FM200, pero lainstalación delmismo requiere unacabina aislada delsistema de airecentral y un sistemade cierremecanizado de la
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadopuerta. Si estesistema es activo, elpersonal tiene 1minuto para salirdel centro decómputo antes quela puerta cierreherméticamente yaque el gas FM200acaba con eloxígeno para podercontrolar el fuego.
16. Falta documentación de Servidores ycambios de los mismos.
Sistemas deInformación
Producir laDocumentación necesaria
50%La documentaciónde los servidores seconsiguió en elInternet y ya serealizaron loscambiosrecomendados acuatro de ellos.Faltan losservidores de SQL,Web, Aplicaciones yFile Server.
17. No se encuentran debidamenteidentificados los equipos en los Racks.
Sistemas deInformación
Identificar correctamentelos equipos en el rack
0%No se realizará estatarea hasta que sehaya completado larestructuración detodos los servers
18. Backup no establecido correctamente enmanejo y almacenaje de los mismos.
Sistemas deInformación
Establecer el tipo deBackup (Full, diferencial,incremental)
Establecer lugar deAlmacenaje de Backup.
90% (11/30/2010)En el servidor NASnuevo (CDORH-05)se creó una carpetallamada SERVERBACKUPS donde seestán depositandolos Backups diariosdel sistema y losDisaster RecoveryJobs.
19. El equipo de oficina de MIS no está Sistemas de Aislamiento de equipos de 50% (11/30/2010)
Recomendación Oficina Acción Correctiva Resultadoaislado Información oficina de MIS. El área de
Validación yEstadísticas seacondicionó paramover al equipo deMIS a esa área.
20. Falta de IDS, Honey Pots etc. Sistemas deInformación
Implementación de unIntruction DetectionSystem.
Implementación de HoneyPots.
0%Se haránrecomendacionespara la compra deestos “devices”
21. Falta actualización de patch de seguridadde los sistemas operativos.
Sistemas deInformación
Actualización de los Patchde Seguridad
50%Todos los serverque han sidorestaurados tienentodas lasactualizaciones deseguridad al día.Sin embargo losservidores queoperan losprogramas Web deSIAC, SELEP, SERR,JREF y WWW nopueden seractualizados porrecomendacionesdel New Vision.Cualquier cambiopuede afectaradversamente laoperación de estossistemas, por lotanto no se estánhaciendoactualizaciones enestos servidores.
22. Se encontró documentación coninformación personal de usuarios, ss.,salarios, beneficios, condiciones laboralesetc. (ver addendum)
Sistemas deInformación
Se refirió a laAdministración paraAcción Correspondiente
100% CompletadoEste hallazgo seinformó a BernicePérez para queprosiga según el
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoreglamento de laagencia
23. Programas instalados en servidores queaun no han sido configurados.
Ejemplo: El sistema de administración remotade equipos etc.
Sistemas deInformación
Reconfiguración deprogramas
100% CompletadoTodos losprogramasinstalados estándebidamenteconfigurados en losservidores que sehan restaurado. Yase configuró elsistema deadministraciónremota deservidores. Estaherramienta es deMicrosoft y se llamaRemote Desktop.Actualmente todoslos servers puedenser administradosremotamente.
24. Se encontró documentación sinprotección que contienen user ypassword de usuarios para aplicacionesEj. Jref
Sistemas deInformación
Se refirió a laAdministración paraAcción Correspondiente
100% CompletadoEste hallazgo fueinformado a BernicePérez
25. Muchos puertos de comunicaciónabiertos en servidores y clientes que nose están utilizando, poniendo en peligrola seguridad de los mismos.
Sistemas deInformación
Bloqueo de puertos yreconfiguración de losmismos
50%En los servidoresque han sidorestaurados setienen abierto sololos puertos que sonnecesarios paracorrer lasaplicacionesinstaladas. Cuandose restaure el resto,se corregirá estehallazgo
26. Aplicaciones no necesarias en servidoresinstaladas en los mismos, reduciendo susrecursos etc.
Sistemas deInformación
Eliminación de deaplicaciones y reubicaciónde las mismas
50%Este se ha corregidoen los servidoresque han sidorestaurados.
Recomendación Oficina Acción Correctiva ResultadoCuando se restaureel resto, se corregiráeste hallazgo
27. No existen sistema de monitoreo de lossistemas, alarmas, advertencias etc.
Sistemas deInformación
Adquisición de un sistemade monitoreo de alarmas
0%Ya se recomendóuna herramientapara el manejo dealarmas de lacompañía IPSWITCHy el producto sellama WhatsUp.Estamos esperandoque laadministraciónapruebe la compra.
28. Firmware de tarjetas desactualizados Sistemas deInformación
Actualización de Firmware 50%Este se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo
29. Versiones Legacy de sistema Operativos. Sistemas deInformación
Actualización de Sistemasoperativos
0%Serán reemplazadascuando se restaurentodos los servidores
30. No existe redundancia de power en variosde los servidores.
Sistemas deInformación
Corrección deredundancia de power
50%Este se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo
31. No se encuentran correctamenteanclados a tierra (ground) los rack yequipos.
Sistemas deInformación
Se refirió a laAdministración paraAcción Correspondiente,recomendamos laintervención de un peritoelectricista
0%Este trabajo debeser realizado por unperito electricista
32. Deficiencias administrativas del MIS. Sistemas deInformación
Se refirió a laAdministración para
75%La mayoría de las
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoAcción Correspondiente tareas
administrativas delpersonal de MIShan sidotemporeramenterealizadas por elpersonal deauditoría. Se debeestablecerprocedimiento
33. Descuido de los sistemas por diversasrazones a determinar (Falta deconocimiento, demasiado trabajo, faltade recursos etc.).
Sistemas deInformación
Se refirió a laAdministración paraAcción Correspondiente
50%Esto se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo
34. Ausencia de normas de estandarizaciónde sistemas (SOX, ITIL, COBIT etc.)
Sistemas deInformación
Creación de controles yprocedimientos estándarde operación (SOP)
90% - En Progreso(11/30/2010)Los siguientes SOPya estáncompletados eimpresos encarpetas en el NOCdel CDORH1. 10-001.1 Como
cambiar elpassword de unusuario en elDomainController
2. 10-001.2 Comocrear un ShareFolder y asignarun usuario
3. 10-001.3 Comocrear un usuarioen el DomainController
4. 10-001.4ServicesWindows Server2003: Comoactivar “Start” y
Recomendación Oficina Acción Correctiva Resultadocomo parar“Stop” unservicio.
5. 10-0001.5Procedimientode Monitoreode ServiciosCríticos
6. 10-001.6ManualWindows Server2003
7. 10-002.1 ComoConfigurarMicrosoftOutlook
8. 10-002.2Procedimientode como crearMailbox
9. 10-002.3 Comomover unmailbox
10. 10-002.4 Comoborrar unmailbox
11. 10-002.5Procedimientode comoencenderservidorCDORH-EXBB
12. 10-002.6 Comocrear nuevascuentas enExchange
13. 10-002.7AdministrationGuide forExchangeServer
14. 10-003.1Blackberry
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoEnterpriseServer Manual
15. 10-003.2InstallationGuideBlackberryEnterprise
16. 10-004.1Procedimientode como crearun nuevoBackup
17. 10-004.2 Comoejecutar unBackupexistente
18. 10-004.3ProcedimientoBackup paraExchange
19. 10-005.1SymantecAntivirusAdministratorGuide
20. 10-006.1Peplink BalanceSeries Manual
35. Hard Disks con altos niveles de utilizaciónaproximada 95% etc.
Sistemas deInformación
Backup de los datos yrestauración en nuevosservidores
75% (11/30/2010)En el NOC habíandiscos de repuestopara los servidoresHP, pero no para losDELL, con laactivación delnuevo NAS comoCDORH-05 se liberóel Power Vault deDELL, por lo quepodemos reutilizarsus 12 discos de36GB cada uno paraañadir máscapacidad a los
Recomendación Oficina Acción Correctiva Resultadoservidores DELL
36. Problemas eléctricos en el Centro deCómputos
Sistemas deInformación
Verificación del sistemaEléctrico del cuarto decómputos.
Verificar si son circuitosdedicados.
Verificar si breaker sonadecuados a la cargaconectada.
Verificación de Group deequipos y Racks.
Verificación de Estática enServer y Racks.
0%Estas tareas debenser realizadas porun peritoelectricista
E. Primer Informe: Proceso de Compras, Cuentas a Pagar y Desembolsos Fecha Informe: 5 de agosto 20101. Antes de realizar algún desembolso
relacionado a la adquisición de bienes yservicios exista la toda documentaciónnecesaria (Observación 2)
Oficina deFinanzas yPresupuesto
No Completado
2. Realizar los trámites para revisión yactualización del Manual deProcedimientos de Control Interno querige el funcionamiento y los procesospara la Oficina de Gerencia Administrativay sus disposiciones se armonicen con losprocedimientos existentes (Observación1).
Oficina deGerenciaAdministrativa
No Completado
3. Asegurarse que:a. En toda transacción de
compra el formulario derequisición de bienes yservicios este debidamentecumplimentado en todas suspartes.
Oficina deGerenciaAdministrativa
No Completado
b. En toda transacción de Oficina de No Completado
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadocompra el formulario derequisición de bienes yservicios este aprobado porlos funcionarios autorizados(director de área originadora
GerenciaAdministrativa
c. En toda transacción decompra el bien o servicioaprobado medianterequisición sea igual alreflejado en la Orden DeCompra.
Oficina deGerenciaAdministrativa
No Completado
d. En toda transacción decompra se radique larequisición de compra alDirector de Administracióncon suficiente anticipación ala fecha cuando se necesitanlos bienes o servicios.
Oficina deGerenciaAdministrativa
No Completado
e. En toda transacción decompra se certifique ladisponibilidad de los fondosantes de emitirse eldocumento de Orden deCompra.
Oficina deGerenciaAdministrativa
No Completado
f. Se someta para aprobación yoficialización el formularioutilizado con titulo “Registrode Cotizaciones” y que seincluya lo siguiente:
Oficina deGerenciaAdministrativa
No Completado
i. Fecha de aprobacióndel formulario
Oficina deGerenciaAdministrativa
No Completado
ii. Fecha de recibo deofertas por parte delos suplidores.
Oficina deGerenciaAdministrativa
No Completado
iii. Licitadorseleccionado.
Oficina deGerenciaAdministrativa
No Completado
iv. Fecha de certificaciónde recibo de ofertaspor parte del OficialComprador.
Oficina deGerenciaAdministrativa
No Completado
v. Fecha en que seemite el documento
Oficina deGerencia
No Completado
Recomendación Oficina Acción Correctiva ResultadoAdministrativa
g. En toda transacción decompra se cumpla con elmínimo de tres (3)cotizaciones establecido, amenos que se documente lautilización de otros métodospermitidos porreglamentación.
Oficina deGerenciaAdministrativa
No Completado
h. En toda transacción decompra en exceso de mil($1,000) hasta quince mil($25,000) se acompañeevidencia de cotización(es)del suplidor por escrito enpapel timbrado oficial delnegocio o compañíacomercial.
Oficina deGerenciaAdministrativa
No Completado
i. En toda transacción decompras en exceso de mil($15,000) hasta veinticincomil ($25,000) se acompañeevidencia de solicitud deofertas por escrito a loslicitadores invitados a lasubasta.
Oficina deGerenciaAdministrativa
No Completado
j. En toda transacción decompras en exceso de mil($15,000) hasta veinticincomil ($25,000) se sometadocumentación que sustentela fecha límite para someterla oferta de precio segúnreglamentación.
Oficina deGerenciaAdministrativa
No Completado
k. En toda transacción decompra realizada comoPropuesta sin competencia ode una sola fuente el procesocumpla con las circunstanciaspara cualificar bajo estemétodo.
Oficina deGerenciaAdministrativa
No Completado
l. En toda transacción decompra el proveedor que
Oficina deGerencia
No Completado
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoaparezca en la facturaconcuerde con el reflejado enla Orden de Compra.
Administrativa
m. En toda transacción decompra las cantidadesreflejadas en la factura seaniguales a las de la Orden DeCompra.
Oficina deGerenciaAdministrativa
No Completado
n. En toda transacción decompra se documenten lostérminos para el pago delbalance adeudado.
Oficina deGerenciaAdministrativa
No Completado
o. En toda transacción decompra los bienes y/oservicios facturados sean losmismos del informe de reciboy conduce (Observación 2).
Oficina deGerenciaAdministrativa
No Completado
F. Informe Especial Decomiso Equipo Electronico- Mayo 2009
1. Solicitar al personal asignado evidenciadocumental de los trámites o gestionesrealizadas con alguna institución de laintención del CDORH de donar equipodeclarado excedente. Debe indicarnombre de la Institución, personacontacto, así como listado de equipos aser cedidos.
Oficina deGerenciaAdministrativa
Producir laDocumentación necesaria
En Proceso
G. Informe Especial Decomiso Equipo de Oficina- Mayo 2009
1. El Oficial de Propiedad debe seguir elprocedimiento según dispuesto en elManual de Controles Interno del CDORH.
Oficina deGerenciaAdministrativa
Producir laDocumentación necesaria
En Proceso
H. Informe Especial Custodia de Informacion- Octubre 2010
1. Devolver la custodia del equipo al Área deGerencia Administrativa para su debidaevaluación y acción correspondiente.
Oficina deGerenciaAdministrativa
Completada
2. Establecer los controles necesarios paraverificar se sigan todos los pasos al
Oficina deGerencia
Producir laDocumentación necesaria
En Proceso
Recomendación Oficina Acción Correctiva Resultadomomento de evaluación y, preparación yacondicionamiento de equipo paraentrega al usuario, ya sea nuevo oexistente, tanto por Los Asistentes deServicio Al Usuario, Oficial de Propiedad,así como su configuración en la red por elpersonal designado al Centro deCómputos.
AdministrativaSistemas deInformacion
3. Establecer los controles necesarios paraverificar se sigan todos los pasos almomento de evaluación para ladisposición de equipos, según Manual deProcedimientos de Control Interno delCDORH.
Oficina deGerenciaAdministrativaSistemas deInformacion
Producir laDocumentación necesaria
En Proceso
I. Informe Especial Custodia de informacion- Junio 2011
1. Remover las unidades dealmacenaje (discos duros) de latorre del equipo (CPU) segúnproceso descrito con fecha del 27de octubre de 2010.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
2. Depositar individualmente cadadisco en sobre tipo “BubbleMailer”, el cual esta revestido ensu interior por un material blando(“Air beads”) para proteger sucontenido.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
3. Anotar en el sobre los detalles denumeración de serie, marca ycapacidad de memoria(Gigabytes) de cada disco.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
4. Tomar fotografías de cada uno delos discos e incluirlas como anejoen el informe correspondiente.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
5. Custodiar los sobres en la Oficinade Auditoria Interna,
Oficina deGerencia
Completado
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva Resultadoespecíficamente en el Archivocon Núm. de Propiedad WIA0119.
AdministrativaSistemas deInformacion
6. Devolver la custodia del equipo alÁrea de Gerencia Administrativapara su debida evaluación yacción correspondiente.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
7. Establecer los controlesnecesarios para verificar se sigantodos los pasos al momento deevaluación, preparación yacondicionamiento de equipopara entrega al usuario, ya seanuevo o existente, así como suconfiguración en la red delCDORH.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
8. Establecer los controlesnecesarios para verificar se sigantodos los pasos al momento deevaluación para la disposición deequipos, según Manual deProcedimientos de ControlInterno del CDORH.
Oficina deGerenciaAdministrativaSistemas deInformacion
Completado
J. Informe Especial Decomiso Equipo de Oficina- Junio 2011
1. Establecer procedimientos de ControlInterno que facilite la entrada decambios, segregación de deberes y/oactualización del Registro dePropiedad Mecanizado (localización,traspaso y/o disposición) de equiposen las facilidades del CDORH.
Oficina deGerenciaAdministrativa
Producir laDocumentación necesaria
En Proceso
2. Coordinar adiestramientos alpersonal, así como evaluar en elmercado las herramientas disponiblespara facilitar el registro, asignación,custodia, autorización y/o disposiciónde los equipos.
Oficina deGerenciaAdministrativa
Producir laDocumentación necesaria
En Proceso
Recomendación Oficina Acción Correctiva ResultadoK. Informe Especial Decomiso Equipo - Julio 2012
1. Para la implementación del Trámite segúnnotificado (decomiso de equipo), laOficina de Gerencia Administrativapreparará un expediente el cual contengapruebas o documentos que certifiquen elcumplimiento con lo siguiente:
a. Evidencia de evaluación ydeterminación deobsolescencia por parte delDirector del Área deComunicaciones. De habermanuales instructivos,imágenes o diagramas delequipo deberán ser provistosjunto a la comunicación.
b. Evidencia de Transferenciadel equipo bajo la Custodiadel Oficial de la Propiedadluego de evaluado.
c. Evidencia de Inspección paraestablecer la condición delEquipo por parte del Oficialde la Propiedad. De ser unequipo con múltiples partes,el mismo deberá ser llevado asu estado funcional.
d. Evidencia de notificaciones demantenimiento del equipo,así como posterior acción.
e. Evidencia de toma deinventario.
f. Evidencia de Informe de
Oficina deGerenciaAdministrativa
Producir laDocumentación necesaria
En Proceso
Auditorias Internas
Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195
www.adl.pr.gov
Recomendación Oficina Acción Correctiva ResultadoRecomendaciones al Directorde Administración de partedel Oficial de la Propiedad. Setramitará a la Oficina deAuditoria Interna copia detoda la documentaciónlevantada.
g. Evidencia de gestiones decesión o transferencia delequipo, de aplicar.
h. Comunicación Oficial delDirector de Administraciónindicando fecha y hora paracoordinación de latransferencia o disposicióndel equipo.
Auditoria Interna Caja y Conciliaciones Bancarias:
Realizada por Auditores Externos
Ver Anejos