Auditoría halla problemas en base de datos y respaldos en Municipalidad de San José
Se encontraron problemas con el resguardo de cintas
(CRHoy.com).-Una auditoría interna de la Municipalidad de San José halló una serie de problemas en la administración de bases de datos y respaldos en sistemas de información.
El documento, del cual CRHoy.com tiene copia, enumera una gran cantidad de deficiencias que se detectaron tras auditar las plataformas informáticas. La gravedad es tal que se resumen en el punto 2.1 que indica: "en el presente estudio no se presentaron resultados satisfactorios", es decir, no se encontró un solo aspecto favorable, el campo quedó en blanco.
El reporte surge en momentos en que el país vive un estado de emergencia nacional por ciberataques, en el que las municipalidades no han quedado exentas y han sido blanco de criminales informáticos.
Este es el resumen de los fallos que encontró la investigación:
- Ausencia de documentación que respalde el control de seguridad lógica en la base de datos de Unisys.
- Inconsistencias en la documentación formal y en el manejo de los procesos relacionados con los procedimientos de resguardo, custodia y desecho de información de la plataforma de Unisys; así como, inexistencia de la "Guía para la elaboración de Respaldos", que se menciona en las nuevas Normas Generales de Seguridad Informática 2022, en la norma 14. Normas para la realización de Respaldos.
- Inexistencia de manuales de trabajo de la DTIC señalados en el "Manual de Instrucciones para la Recuperación de Tecnologías de Información ante Desastres" y ausencia de instrucciones de recuperación de desastres mencionadas en otras instrucciones documentadas y relacionadas con los servicios de las bases de datos y respaldos de SQL y Unisys.
El detalle
Haciendo un análisis detallado de cada uno de los puntos anteriores, en cuanto a la ausencia de documentación que respalde controles de seguridad en la base de datos, el informe señala que "el Departamento de Desarrollo de Sistemas, encargado de la administración de la base de datos
de SQL Server, actualmente cuenta con documentación relacionada que respalde la administración del control de la seguridad lógica, la cual, ayuda a garantizar y mantener el correcto acceso a dichas bases de datos.
Sin embargo, la Sección de Servicios TIC, encargada de administrar la plataforma de Unisys, no cuenta con la respectiva documentación que respalde el control para este proceso. Por su parte, el Departamento de Soporte Técnico, únicamente es un área de apoyo en caso de que suceda algún inconveniente con la administración de los servidores donde se alojen las bases de datos respectivas".
Esto contraviene lo establecido en las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), específicamente las normas sobre sistemas de información en el apartado de gestión documental.
En cuanto a inconsistencias en la documentación y manejo de los procesos relacionados con procedimientos de resguardo y custodia, la auditoría realizó un análisis de los procedimientos relacionados con resguardo, custodia, y desecho de información almacenada en las bases de datos de SQL Server y Unisys, en las diferentes áreas de la Dirección de Tecnología de Información y Comunicaciones y logró identificar que:
Sin embargo, lo más preocupante de los hallazgos es lo siguiente: "la Sección Servicios Tecnología de Información y Comunicaciones (TIC), presenta una serie de inconsistencias tanto en la documentación respaldo formal como en la ejecución de los procesos relacionados con el resguardo, custodia y desecho de cintas (Dat's) que contienen la información respaldo de la plataforma Unisys", tales como:
Según la Auditoría Interna del ayuntamiento, todas estas deficiencias contravienen lo establecido en:
- Normas de control interno para el Sector Público (N-2-2009-CO-DFOE)
Capítulo V: Normas sobre sistemas de información
5.4 Gestión documental - Normas de Seguridad, Enero 2022, Versión 2.0
Norma 14. Normas para la realización de Respaldos
14.3 Normas
Respaldos de sistemas y base de datos - Los siguientes procedimientos: Destrucción de Dat's de Respaldo (dispositivos magnéticos); Resguardo de Información de Base de Datos Unisys; Respaldo CLONE BD UNISYS; Recuperación o Actualización de Base de Datos Unisys y Diseño e Implementación de Respaldos en SQL, Custodia y Desecho de los mismos.
Finalmente, en el punto sobre inexistencia de manuales de trabajo de la DTIC, se detalla que "actualmente la Dirección de Tecnologías de Información y Comunicaciones cuenta con un "Manual de Instrucciones para la Recuperación de Tecnologías de Información ante Desastres", donde se puede validar la existencia de dos instrucciones relacionadas con los procesos de Base de Datos; pero donde a su vez se encuentran algunas inconsistencias en la referencia de instrucciones para la recuperación ante desastres y en las instrucciones o manuales de trabajo de la DTIC, las cuales, se detallan a continuación, a su vez, estas instrucciones hacen referencia a otras instrucciones internas del Manual de Instrucciones para la Recuperación que carecen a su vez de documentación".
Estas son las inconsistencias en las referencias de Instrucciones del Plan de Recuperación ante desastres:
Ayuntamiento no responde
Se solicitó al ayuntamiento capitalino una reacción ante la auditoría, pero pasados los 10 días hábiles de plazo que establece la ley, ni siquiera se obtuvo un acuse de recibido.
Se le consultó sobre: ¿Cuáles de los puntos indicados en el informe de auditoría específicamente ya se abordaron, cuáles de ellos ya se solucionaron, cuáles están pendientes y cuáles faltan por resolver?
Conclusiones
Este es el resumen general de la auditoría:
"Como resultado del estudio se constató que, para el periodo evaluado, actualmente la administración relacionada con el subproceso de base de datos de SQL, cuenta con controles de seguridad lógica, resguardo, custodia, y desecho de información debidamente documentados, los cuales, permiten garantizar y mantener el correcto acceso, manipulación de la información y continuidad de los servicios; sin embargo, el subproceso relacionado con la plataforma de administración de base de datos de Unisys, presenta inconsistencias y falta de documentación en los controles de seguridad lógica, resguardo, custodia y desecho de información.
Por otra parte, existe un plan de continuidad que contiene aspectos relacionados con la administración de base de datos SQL y Unisys, sin embargo, los mismos no son claros, carecen de contenido que puedan ayudar a la continuidad de los servicios asociados".
