SECRETARÍA DISTRITAL DE HACIENDA … · ... Plan de Renovación Tecnológica y Procedimiento de dada de ... a la gestión de fallos y control de ... de los ambientes de desarrollo,

Pág

ina

1

Sede Administrativa CAD Carrera 30 N° 25 – 90 Sede Dirección Distrital de Impuestos de Bogotá - DIB: Av. Calle 17 N° 65 B – 95 PBX 369 2700 - 338 5000 www.haciendabogota.gov.co Información: Línea 195

SECRETARÍA DISTRITAL DE HACIENDA DESPACHO DEL SECRETARIO DE HACIENDA

ÁREA DE CONTROL INTERNO

INFORME DE AUDITORIA ORGANIZACIÓN, PLANIFICACIÓN, CONTROL, OPERACIÓN Y ADMINISTRACIÓN DE

INFRAESTRUCTURA TECNOLÓGICA DE LA ENTIDAD.

Bogotá D. C., julio de 2013

Pág

ina

2


Secretario de Hacienda Distrital

Ricardo Bonilla González

Asesor de Control Interno Luis Francisco Cante Céspedes

Grupo de Trabajo

Martha Leonor Zambrano Medina Profesional Universitario – Auditora Líder Víctor Manuel Hernández Herrera Profesional Universitario – Auditor Interno

Pág

ina

3


CONTENIDO

1. INTRODUCCIÓN ......................................................................................... 7

2. ASPECTOS GENERALES DE LA AUDITORIA ........................................... 7

2.1 OBJETIVOS........................................................................................................... 7

2.1.1 General .................................................................................................................................. 7 2.1.2 Específicos ............................................................................................................................ 7

2.2 ALCANCE .............................................................................................................. 7

2.2.1 Muestra de la auditoria .......................................................................................................... 7

2.3 RECURSOS .......................................................................................................... 8

3. RESULTADOS DE LA AUDITORIA ............................................................. 8

3.1 CONTROLES DE ADQUISICIÓN DE HARDWARE Y SOFTWARE ........................ 8

3.1.1 Estudio Costo-Beneficio ........................................................................................................ 8 3.1.2 Selección y adquisición de Equipos ...................................................................................... 8 3.1.2.1 Hallazgo: Incumplimiento de los tiempos de entrega en la adquisición de elementos

devolutivos de TIC´s Contrato 040000-531-0-2012. ............................................................. 9 3.1.3 Selección y adquisición de Empresas de Desarrollo de Software o de Aplicaciones de

Usuario .................................................................................................................................. 9 3.1.3.1. Hallazgo: Falta de Planeación en la adquisición de Tecnologías de la información y

comunicaciones. .................................................................................................................. 10 3.1.4 Planeación de la capacidad de los equipos ........................................................................ 10 3.1.5 Últimos cinco Capacity Planing ........................................................................................... 11 3.1.5.1 Hallazgo Carencia de Capacity Planing. ............................................................................. 11 3.1.6 Inventario de hardware (capacidad y uso) .......................................................................... 11 3.1.7 Inventario de software, S.O., BD, aplicaciones ................................................................... 12 3.1.8 Diagramas de Red y de Servidores ................................................................................... 12 3.1.9 Inventario de activos por sistema de información ............................................................... 12 3.1.9.1 Hallazgo Inventarios de Hardware, Software y Activos de Información ............................ 12 3.1.10 Contrato 041000-455-0-2011 NEWNET ............................................................................. 13 3.1.10.1 Hallazgo adquisición de infraestructura con demoras en su instalación y uso................... 13

3.2 NIVEL DE OBSOLESCENCIA O ACTUALIZACIÓN DEL HARDWARE Y

SOFTWARE ........................................................................................................ 14

3.2.1 Metodología empleada para medir el nivel de obsolescencia de los elementos (Hardware, S.O., BD, Aplicaciones) ....................................................................................................... 14

3.2.2 Procedimiento para dar de baja el hardware o software .................................................... 14 3.2.2.1 Hallazgo: Plan de Renovación Tecnológica y Procedimiento de dada de baja de hardware

y software ............................................................................................................................ 15

3.3 SERVICIO TERCERIZADO CONTRATADOS POR LA ENTIDAD ........................ 15

3.3.1 Contratos de mantenimiento ............................................................................................... 15 3.3.2 Definición de requisitos para asegurar conformidad con las políticas y los estándares de la

seguridad de la organización en los contratos con terceros ............................................... 15

3.4 PROTOCOLO ANTE FALLAS .............................................................................. 15

Pág

ina

4


3.4.1 Procedimiento de atención ante incidentes o fallas ............................................................ 15 3.4.2 Procedimiento de divulgación de debilidades ante fallas ................................................... 15 3.4.3 Esquema de control de cambios en el software o hardware por mal funcionamiento ....... 16 3.4.4 Cuantificación de costos de incidentes y/o cambios en el software o hardware ................ 16 3.4.5 Se ha dado a conocer el proceso disciplinario y las sanciones por violaciones de las políticas

y procedimientos de la Entidad ........................................................................................... 16 3.4.5.1 Hallazgo: Procedimientos y acciones asociadas a la gestión de fallos y control de cambio

de la infraestructura............................................................................................................. 16

3.5 INFRAESTRUCTURA ELÉCTRICA ..................................................................... 17

3.5.1 Aspectos que se están tratando de mejorar ....................................................................... 17 3.5.2 Planta y tanques de almacenamiento de ACPM ................................................................ 17 3.5.3 Estado de UPS´s ................................................................................................................. 18 3.5.4 Aire Acondicionado del Centro de Cómputo ....................................................................... 18 3.5.5 Plan de Contingencia Eléctrico ........................................................................................... 18 3.5.5.1 Hallazgo gestión de la Infraestructura eléctrica .................................................................. 18

3.6 PLANES DE CONTINGENCIA ............................................................................. 19

3.6.1 Procedimiento para la contingencia .................................................................................... 19 3.6.2 Análisis de impacto ............................................................................................................. 19 3.6.3 Implementación auditoria .................................................................................................... 20 3.6.4 Opción de auditoria en los S.O. y B.D. ............................................................................... 20 3.6.5 Log de auditoria para usuarios y para las maquinas .......................................................... 20 3.6.5.1 Hallazgo Implementación del plan de contingencia. ........................................................... 20 3.6.5.2 Observación análisis de impacto, automatización de la auditoria y estudios de seguridad

de personal con funciones altamente sensibles en el tema de manejo de la información………………………………………………………….……………………………..20

3.7 IDENTIFICACIÓN Y EVALUACIÓN DE INDICADORES ...................................... 21

3.7.1 Indicadores de Gestión ....................................................................................................... 21 3.7.2 Indicadores ante Fallas ....................................................................................................... 21 3.7.3 Indicadores de Contingencia ............................................................................................... 21 3.7.3.1 Observación Actualización, documentación y análisis de Indicadores ............................... 21

3.8 LA ADMINISTRACIÓN DE SISTEMAS OPERATIVOS Y BASES DE DATOS ...... 21

3.8.1 Ambientes de desarrollo, pruebas, y producción ................................................................ 21 3.8.1.1 Observación: Diferencias en la configuración de los ambientes de desarrollo, pruebas, y

producción. .......................................................................................................................... 22 3.8.2 Aplicaciones en los tres ambientes ..................................................................................... 23 3.8.2.1 Observación: Control aplicaciones y realización de pruebas completas de modificación: . 24 3.8.2.2 Hallazgo: Falta de coordinación de las actividades de los DBA`s y el uso de estándares y

herramientas de programación Oracle................................................................................ 24 3.8.2.3 Observación: Desarrollo de aplicaciones PIT ..................................................................... 24 3.8.3 Mantenimiento de los ambientes ........................................................................................ 25 3.8.3.1 Hallazgo: Mantenimiento de los ambientes de desarrollo, pruebas, y producción y

documentación de Cambios ................................................................................................ 25

3.9 PROCEDIMIENTOS, POLÍTICAS, CONTROLES ................................................ 25

3.9.1 Manuales técnicos y de usuario, versiones, fechas de actualización ................................. 25 3.9.1.1 Observación: Inventario de aplicaciones por ambiente. ..................................................... 25 3.9.2 Procedimientos de actualización de S.O, versiones, Fecha Actualización ........................ 26

Pág

ina

5


3.9.2.1 Hallazgo: Creación, Actualización y Mantenimiento de las Bases de Datos de conocimiento……………………………………………………………………………………….26

3.9.2.2 Observación: Cumplimiento del proveedor de la Mesa de ayuda ...................................... 26 3.9.3 Procedimientos de instalación ............................................................................................ 27 3.9.4 Procedimientos de administración ...................................................................................... 27 3.9.4.1 Observación: Implementación del cago DBA Junior ........................................................... 27 3.9.5 Procedimientos de migración .............................................................................................. 27 3.9.6 Procedimientos de mantenimiento ...................................................................................... 27 3.9.7 Procedimientos de desempeño y seguridad de las bases de datos ................................... 28 3.9.8 Procedimientos de sistemas operativos y aplicaciones ...................................................... 28 3.9.8.1 Observación Funciones de los DBA´s ................................................................................ 28 3.9.9 Procedimiento de autorización para el ingreso y manejo del centro de cómputo .............. 28 3.9.9.1 Observación: Convenio ubicación de equipos en el data center de la Secretaria de

Planeación Distrital y Unidad Administrativa Especial de Catastro Distrital ....................... 29 3.9.10 Procedimiento para el manejo, retiro y administración de medios removibles ................... 30 3.9.11 Procedimiento para acuerdos de intercambio de información y software con otras Entidades

y cómo se maneja ............................................................................................................... 30 3.9.12 Procedimiento para el manejo de los medios en tránsito ................................................... 30 3.9.13 Procedimiento para el manejo del comercio electrónico .................................................... 30 3.9.14 Procedimiento para la continuidad del negocio .................................................................. 31 3.9.15 Procedimiento para el aseguramiento de los equipos fuera de las instalaciones .............. 31 3.9.16 Procedimiento para asegurar la destrucción o reutilización de elementos ......................... 31 3.9.16.1 Hallazgos: documentación de procedimientos ................................................................... 31

3.10 RESPALDO DE LA INFORMACIÓN (BACKUP) ................................................... 32

3.10.1 Plan de Backup ................................................................................................................... 32 3.10.2 Sistema de respaldo de la información esencial de la Entidad .......................................... 33 3.10.2.1 Observación: Puesta en funcionamiento del nuevo sistema de copias, destinación final de

la información en cintas de Backup y sincronización de ambientes ................................... 33 3.10.3 Políticas de copias de seguridad ........................................................................................ 33 3.10.3.1 Observación: Actualización de la Documentación en el SGC. ........................................... 34

3.11 CLASIFICACIÓN DE LA INFORMACIÓN ............................................................. 34

3.11.1 Esquema de clasificación de la información ....................................................................... 34 3.11.2 Sistema para etiquetar la información y se dirige de acuerdo con el esquema de clasificación

adoptado por la Entidad ...................................................................................................... 35 3.11.2.1 Hallazgo: Levantamiento y clasificación del inventario de activos de información ............. 35

3.12 EVALUACIÓN DE RIESGOS TECNOLÓGICOS, ANÁLISIS Y EVALUACIÓN DE

RIESGOS ............................................................................................................ 35

3.12.1 Identificación de los riesgos asociados con las TIC´s ........................................................ 35 3.12.2 Riesgos asociados con el acceso a las instalaciones de procesamiento de información, por

terceras partes ................................................................................................................... 36 3.12.3 Riesgos asociados con el acceso a los sistemas de información ...................................... 36 3.12.4 Matriz de Riesgos ................................................................................................................ 37 3.12.4.1 Hallazgo: Análisis y evaluación de riesgos ......................................................................... 37

3.13 INSTALACIÓN, CONFIGURACIÓN Y PUESTA EN MARCHA DE HERRAMIENTAS

DE USUARIO FINAL (ORACLE, VIGÍA, SIG, ENTRE OTRAS) ............................ 37

3.14 PROCEDIMIENTOS DE LOS SERVICIOS PRIORITARIOS ................................. 37

Pág

ina

6


3.14.1.1 Observación: Procedimiento de los servicios prioritarios ................................................... 38

3.15 VISITA DIRECCION DE IMPUESTOS DE BOGOTA ............................................ 38

3.15.1.1 Observación: Infraestructura de Comunicaciones Soluzona – DIB .................................... 40

3.16 VISITA DIRECCION DE GESTION CORPORATIVA - SUBDIRECCION

ADMINISTRATIVA .............................................................................................. 41

4. CONCLUSIONES GENERALES ................................................................ 41

5. RESUMEN DE HALLAZGOS Y OBSERVACIONES ................................. 42

6 GLORARIO DE TERMINOS…………………………………………………...45

Pág

ina

7


1. INTRODUCCIÓN

El Área de Control Interno, en cumplimiento de lo estipulado en los artículos 209 y 269 de la Constitución Política, la Ley 87 de 1993 y demás normas que los complementan; de conformidad con lo previsto en el Programa Anual de Auditoría aprobado por el Comité de Coordinación de Control Interno para la vigencia 2013y atendiendo lo ordenado mediante el Decreto 371 de 2010 de la Alcaldía Mayor, realizó una Auditoria a la gestión de la organización, planificación, control, operación y administración de infraestructura tecnológica de la entidad.

2. ASPECTOS GENERALES DELA AUDITORIA

2.1 OBJETIVOS

2.1.1 General

Dada la creciente inversión que ha tenido la SDH frente a TIC’s, se debe verificar la eficiencia en el manejo de los recursos, el uso y optimización de las tecnologías, la validez y oportunidad de la información, la efectividad de los controles establecidos, la gestión de la disponibilidad de los servicios sistematizados, proporcionando seguridad, disponibilidad, confiabilidad y oportunidad de la información procesada y resguardada dentro de la Entidad.

2.1.2 Específicos

1. Determinar si se cuenta con los procesos y controles necesarios en la adquisición y gestión

de elementos de hardware, software y contratos con terceros para prestación de servicios de TIC’s. 2. Identificar la organización, planificación, control, operación de la infraestructura de hardware y software de la SDH.

2.2 ALCANCE La auditoría se realizará con sujeción a lo establecido en las disposiciones legales vigentes aplicables a la Secretaría Distrital de Hacienda en el tema de manejo de información y sistemas de gestión de la misma, en particular lo dispuesto en las normas ISO 27000.

2.2.1 Muestra de la auditoria

Para la ejecución de la auditoría se seleccionará una muestra representativa en la cual se considerara como universo el conjunto de elementos de hardware, software, información y la

Pág

ina

8


documentación que corresponda al tema, y en general todo elemento que se considere parte del sistema.

2.3 RECURSOS

El Asesor de Control Interno de la SDH dispuso para la ejecución de la auditoria de dos (2) funcionarios del Área de Control Interno.

Víctor Manuel Hernández Herrera

Profesional Universitario

Martha Leonor Zambrano Medina Profesional Universitario

Para este mismo fin, se contó con la información suministrada por el área de bienes de la Entidad, los recursos tecnológicos de la oficina y con alguna información digital disponible en el archivo de la Subdirección de Infraestructura Tecnológica y/o dependencia origen; al igual que con las copias suministradas por el Subdirector de Infraestructura Tecnológica.

3. RESULTADOS DE LA AUDITORIA

3.1 CONTROLES DE ADQUISICIÓN DE HARDWARE Y SOFTWARE

3.1.1 Estudio Costo-Beneficio El Subdirector de Infraestructura, soportado en el informe de entrega del ingeniero Javier Francisco Fúmeme Arias, Ex - Subdirector de Infraestructura Tecnológica; en donde se recomienda crecer el sistema de almacenamiento EVA modelos 5000 y 8000. Sin embargo, en la evaluación realizada por parte del Subdirector de Infraestructura con el fabricante del almacenamiento (HP) se establece que el modelo 5000 ya no cuenta con soporte, ni repuestos en el mercado y el modelo 8000 saldrá del mercado en el 2013; por lo cual se establece en los términos de referencia los criterios de adquisición de la arquitectura requerida de acuerdo con la necesidad de almacenamiento y procesamiento de la Entidad y a las especificaciones actuales del mercado. En cuanto a la adquisición de elementos de ofimática (Estaciones de trabajo, portátiles, entre otros elementos) se tuvo en cuenta lo recomendado en el informe.

3.1.2 Selección y adquisición de Equipos Se realiza mediante un proceso de contratación, en algunos casos por subasta inversa electrónica, por ende se adjudica al mejor proponente en costos, consultando con los proveedores sobre referencias existentes tiempo en el mercado, soporte y garantías. Contrato 040000-531-0-2012, numeral cuatro (4) plazo de ejecución del contrato en mención, se encuentra definido: “El plazo de ejecución será de 105 días Calendario el cual estará discriminado de la siguiente forma: a) Entrega de los equipos: Cuarenta y cinco (45) días

Pág

ina

9


calendario, a partir de la suscripción del acta de inicio del contrato, para la Entrega de los Elementos objeto del contrato, debidamente ingresados al almacén. b) Instalación, configuración, puesta en servicio y migración de los datos de las dos EVAS al nuevo sistema Treinta (30) días calendario a partir del recibo de los elementos objeto del contrato debidamente ingresados al almacén. c) Acompañamiento: Treinta (30) días calendario a partir del recibo de la instalación, configuración, puesta en servicio y migración de los datos de las dos EVAS al nuevo sistema. Un tunning al nuevo sistema una vez puesta en producción con el acompañamiento de un ingeniero de la fábrica por tres (3) días calendario en sitio Contados a partir de la suscripción del acta de iniciación u orden de ejecución, previa aprobación de la garantía única y expedición del registro presupuestal”. De acuerdo con el acta de inicio cuya fecha es del 12 de febrero del año en curso y el documento entregado por el almacén el ingreso de los elementos fue el 24/05/2013 y el acta de recibo del proveedor a satisfacción es del 24 de mayo de 2013; lo que no coincide con los cuarenta y cinco (45) días calendario que se cumplieron el 29 de marzo de 2013

3.1.2.1 Hallazgo: Incumplimiento de los tiempos de entrega en la adquisición de elementos devolutivos de TIC´s Contrato 040000-531-0-2012.

Fue identificado un desfase de dos meses sin que la Entidad haya requerido al proveedor por el incumplimiento en la entrega. Adicionalmente a la entrega, se pudo evidenciar que la solicitud de prórroga pedida el 27 de mayo de 2013 fue hecha el día previo al vencimiento total del plazo el cual era para el 28 de mayo de 2013. Relación de tiempos:

El ingreso al almacén de acuerdo con el formato, tiene estado ingreso APROBADO y fecha estado 24/05/2013.

El acta del proveedor de recibo a satisfacción tiene como fecha 24 de mayo de 2013.

Se realizó una solicitud de prórroga de 52 días calendario con fecha de solicitud del 27 de mayo de 2013

En la verificación realizada al Centro de Computo se pudo evidenciar que se encuentran nueve (9) servidores de los dieciséis (16) adquiridos (Servidor HP BL460c Gen8 – referencia 641016-B21) colocados en el rack pero sin ninguna asignación.

3.1.3 Selección y adquisición de Empresas de Desarrollo de Software o de Aplicaciones de Usuario

Se pudo evidenciar que existe software de usuario final adquirido por las diferentes áreas de la SDH, por ejemplo: Tesorería (Alfin), OAP (SIG contrato No. 93679), Estudios Económicos (Observatorio de impacto social y económico local); Si bien la DSI realizó acompañamiento en algunas fases delos procesos, no fue clara su participación respecto del estudio y aval en cuanto al tema de los requerimientos de infraestructura.

Pág

ina

10


Aclarando el caso de la Dirección de Estadísticas y Estudios Fiscales, en el proyecto denominado Observatorio de impacto social y económico local que contempla el diseño de una herramienta para la generación de información de la base consolidada; para lo cual realizaron unas mesas de trabajo con la DSI. Sin embargo se constató que en el contrato se encuentra definido el desarrollo de la herramienta y estos estudios y contrato no fueron asesorados por la DSI; prueba de ello es que no se encuentra definida la ficha técnica de la infraestructura con que cuenta la SDH. Así mismo se pudo comprobar la solicitud de un (1) Tera de espacio para archivos de trabajo de la Dirección de Estudios, solicitud que fue hecha hace más de un año. La carencia de una política de adquisición de tecnología soportada en la Planeación Estratégica de Tecnologías de la Información y Comunicaciones (PETIC) crea una brecha importante entre las necesidades de información y su procesamiento de las dependencias de la SDH y los objetivos y planeación del estamento encargado de este tema en cabeza de la DSI de forma que se tengan en cuenta los criterios técnicos de las Subdirecciones de Infraestructura Tecnológica, Ingeniería del Software, Gestión de Conectividad y Soporte y Atención a Usuarios), y El no contar con un PETIC antes PESI actualizado, revela que las áreas no han sido escuchadas o llamadas a plantear sus necesidades en esta materia.

3.1.3.1. Hallazgo: Falta de Planeación en la adquisición de Tecnologías de la información y comunicaciones.

La falta del PESI (Plan estratégico de Sistemas e informática) ahora PETIC (Plan Estratégico de Tecnologías de la Información y Comunicaciones), origina entre otras, que no exista una coordinación entre los usuarios en las áreas funcionales y la dependencia de apoyo encargada de garantizar: servicios, disponibilidad de recursos, cumplimiento de expectativas de la alta dirección y gerencia de la entidad plasmados en el plan estratégico institucional y los planes operativos de cada dependencia y cumplimiento de las normas, pues se carece del principal insumo generado en el ejercicio de participación y creación colectiva de este importante documento con las dependencias del área de sistemas y todos los involucrados como proveedores y usuarios. Documento, que se configura como la carta de navegación para toda la entidad en esta materia.

3.1.4 Planeación de la capacidad de los equipos El Capacity planning es el proceso para determinar la capacidad que tiene una compañía para afrontar el crecimiento en la demanda de sus productos, en este sentido el Subdirector de Infraestructura Tecnológica comenta que no le fue entregado ningún documento o metodología que haya sido empleada para la planeación de la capacidad instalada; únicamente cuenta con un documento “VMware Capacity Planner Results”, estudio que fue desarrollado por un proveedor en el año 2012.

Pág

ina

11


La ingeniera Lorena Guerrero, informa que no conoce el resultado del estudio desarrollado por el proveedor; sin embargo comenta que el ingeniero Carlos Cely estuvo al frente del proceso el año 2012; que ella debió correr unos script que envió el proveedor (HP) porque le hizo falta alguna información del ambiente de producción. Una vez contextualizada la configuración de la nueva infraestructura, se indaga por la migración de la data misional a los nuevos discos; la ingeniera Lorena Guerrero, al respecto informa que en los discos Solidos (3 Teras) no cabe la información del Sistema Tributario porque pesa aproximadamente 1.3 Teras y que después de configurado el arreglo de discos en espejo, solo queda disponible 1.5 aproximadamente; por lo que únicamente se pasó la información financiera. Al respecto se indaga porque la decisión de disco espejo y no RAID 5 que es un sistema de protección con menos perdida de disco, a lo que los ingenieros responden que fue sugerido por el proveedor (HP). De igual manera se pregunta por la clasificación de la información para dicha migración, a lo que responde la ingeniera Lorena Guerrero que está incompleta.

3.1.5 Últimos cinco Capacity Planing No fue posible evidenciar la planificación de la infraestructura tecnológica en la SDH plasmada en los Capacity Planing, siendo el principal responsable de la confección del mismo el área de Sistemas de la organización, ya que es la responsable de mantener los sistemas de producción y debiendo conocer perfectamente su estado y las posibilidades de crecimiento, que además tenga en cuenta las necesidades específicas de cada área que permitan atender los requerimientos de estas a lo largo del año.

Respecto al Documento recibido como Capacity Planing este fue desarrollado por la firma VMWARE, el cual fue entregado en el mes de octubre del año 2012, es necesario precisar que se encuentra redactado en idioma inglés, lo que dificulta su comprensión e identificar su exactitud; no pudiéndose garantizar que la información contenida corresponda a la infraestructura de la SDH, sin embargo este análisis fue usado para desarrollar los términos de referencia de la nueva infraestructura que adquirió la Entidad.

3.1.5.1 Hallazgo Carencia de Capacity Planing. La SDH, no ha realizado en forma periódica el proceso para identificar la capacidad tecnológica con que cuenta la DSI para el soporte técnico y procesamiento de información -Capacity Planing- de manera que pueda responder ante estas necesidades de forma integral y oportuna, situación que genera grandes riesgos, más cuando la entidad se encuentra ad-portas de poner el producción aplicaciones como el PIT, y sin embargo se realizan inversiones de infraestructura sin contar con las conclusiones de este importante documento.

3.1.6 Inventario de hardware (capacidad y uso)

Pág

ina

12


El Subdirector de Infraestructura Tecnológica, informa que si se cuenta con el inventario, se solicitó enviar copia por correo electrónico. El documento allegado con la información no corresponde con lo enunciado, en el archivo aparecen 65 servidores y en la visita se mencionan 109, esta situación le fue informada al Subdirector Hernandez. El contar con esta información le permite a la Dirección de Sistemas e informática proyectar e incluir en su plan estratégico las necesidades inmediatas y futuras.

3.1.7 Inventario de software, S.O., BD, aplicaciones El Subdirector de Infraestructura Tecnológica, informa que si se cuenta con el inventario, se solicitó enviar copia por correo electrónico. El contar con esta información le permite a la Dirección de Sistemas e informática proyectar e incluir en su plan estratégico las necesidades inmediatas y futuras.

3.1.8 Diagramas de Red y de Servidores Si se cuenta con el diagrama de red y de servidores, se solicitó enviar copia por correo electrónico. El Subdirector de Infraestructura aclara que en este momento la firma CISCO se encuentra marcando y arreglando los pach cord del centro de cableado de datos. Adicionalmente se encuentra abierto un proceso de subasta inversa (SIE – 08 de 2013) para el mantenimiento de los elementos no computacionales del DataCenter; es decir peinado y marcado del centro de cableado, aires acondicionados, detección de incendio, control de acceso, entre otros, en los documentos allegados, diagrama de servidores no aparece el 3PAR y el de red genérico por piso, su des actualización puede que no permita la óptima administración de esta infraestructura .

3.1.9 Inventario de activos por sistema de información El Subdirector de Infraestructura Tecnológica, informa que no se cuenta con un inventario de activos por sistema de información (asociación entre Servidores equipos y aplicativos); lo que permitiría una mejor administración y manejo del sistema de información.

3.1.9.1 Hallazgo Inventarios de Hardware, Software y Activos de Información No fueron evidenciados los inventarios completos de hardware, software, sistemas operativos, bases de datos y aplicaciones y el inventario de activos de información con su correspondiente clasificación, los cuales son insumos indispensables para la realización del capacity planing y el PETIC de la SDH, lo cual genera dudas respecto de los estudios previos que son realizados para la adquisición de infraestructura tecnológica, toda vez que no se cuenta con este insumo esencial para la correcta toma de decisiones..

Pág

ina

13


3.1.10 Contrato 041000-455-0-2011 NEWNET

En verificación realizada el viernes 6 de julio de 2013 en las horas de la Mañana con el acompañamiento del Subdirector de Infraestructura, además del último contrato de adquisición de Infraestructura por parte de DSI en el año 2012, fue revisado algunos ítems del contrato 04000-0-455-2011 Newnet, así: En visita realizada el 7 Noviembre de 2012, fue verificado el recibo de los elementos adquiridos los cuales figuran con fecha de ingreso al almacén del 12-04-2012 y la fecha de instalación estimada 04-08-2012 según Acta de compromiso del 3 de abril de 2012 suscrita entre los Ingenieros Álvaro Trujillo, Representante legal de la Firma Newnet S.A. y el Ingeniero Javier Francisco Fúmeme Arias, Subdirector de Infraestructura Tecnológica de la SDH, evidenciándose en su momento (7-Nov-2012) del listado de adquisiciones lo siguiente: - 8 Discos Duros Fiber Channel HP Storageworks 300GB 15K FC HDD: Instalados y en uso UNO (1), Instalados y sin uso; siete (7). - 4 Servidores HP Proliant BL465c G7: Tres de los servidores se encontraban apagados y uno en uso de pruebas configurado con el nombre file_pruebas 1 - 46 Cable de Fibra FC Cable Multi-mode OM3 Conectores LC/Lc: Ubicados la bodega adjunta al Data Center, en sus cajas y listos para configurar. Dentro de las verificaciones incluidas en el plan de auditoria Administración de la Infraestructura Tecnológica, se incorporó el contrato 04000-0-455-2011 Newnet, para verificar el estado de las anotaciones anteriormente señaladas encontrando que todos los Discos adquiridos y servidores se encontraban en funcionamiento, sin embargo los 46 Cables de Fibra FC Cable Multi-mode OM3 Conectores LC/Lc, por un valor de $22.044.902.oo, se encontraban aun en sus cajas en la bodega alterna al Data Center y sin uso (verificación del 5 de julio de2013). Al indagar por la existencia de ese material el cual fue recibido el 12-04-2012, el Ing. Pinilla comenta que el mismo corresponde a infraestructura propia del Data Center y que se encuentran en espera de ser utilizados en el mantenimiento (peinado) que se encuentra en proceso de contratación para la depuración de la fibra óptica que se ubica debajo del piso falso, al respecto debe verificarse las condiciones de tal contratación , de manera que la existencia de estos elementos sea tenida en cuenta y no se incluya dentro de las especificaciones del futuro contrato de forma que no se pague o adquiera elementos que la entidad ya posee.

3.1.10.1 Hallazgo adquisición de infraestructura con demoras en su instalación y uso

Pág

ina

14


Fueron evidenciados elementos adquiridos para la infraestructura tecnológica de la entidad que después de la fecha de instalación estimada 04-08-2012no se encontraban completamente instalados y en uso, como: - 8 Discos Duros Fiber Channel HP Storageworks 300GB 15K FC HDD: Instalados y en uso UNO (1), Instalados y sin uso; siete (7). - 4 Servidores HP Proliant BL465c G7: Tres de los servidores se encontraban apagados y uno en uso de pruebas configurado con el nombre file_pruebas 1 También existen componentes con más de un año de ingresados al almacén (12-04-2012) y que a la fecha aún se encuentran en sus cajas y sin haber sido utilizados, así: - 46 Cable de Fibra FC Cable Multi-mode OM3 Conectores LC/Lc: Ubicados la bodega adjunta al Data Center, en sus cajas y listos para configurar. Por lo anterior se pueden materializar riesgos como perdida de garantías y obsolescencia por las demoras de puesta en funcionamiento en la adquisición de infraestructura que es requerida para mejorar los servicios de la entidad.

3.2 NIVEL DE OBSOLESCENCIA O ACTUALIZACIÓN DEL HARDWARE Y SOFTWARE

3.2.1 Metodología empleada para medir el nivel de obsolescencia de los elementos (Hardware, S.O., BD, Aplicaciones)

En la verificación se puedo evidenciar que no se cuenta con un plan de renovación por obsolescencia, según lo comentado por el Subdirector de Infraestructura Tecnológica, se está trabajando en estos momentos en el plan, el cual debe estar siendo validado y actualizado en próximos días.

3.2.2 Procedimiento para dar de baja el hardware o software

La entidad no cuenta con un procedimiento para dar de baja el hardware y software según las necesidades reales de cada área, Fue detectada la dada de baja de servidores adquiridos en el 2010 y que se tienen en uso servidores de 2007.

Sobre la Telefonía IP y Análoga: se tiene que realizar un estudio para la renovación y el paso de la telefonía análoga a la IP, dado que los costos de mantenimiento para la planta análoga existente son muy altos, pues una tarjeta nueva de remplazo puede llegar a costar tanto como una nueva planta.

Pág

ina

15


3.2.2.1 Hallazgo: Plan de Renovación Tecnológica y Procedimiento de dada de baja de hardware y software.

La Dirección de Sistemas e Informática no cuenta con un plan de renovación tecnológica que permita realizar de forma coordinada y oportuna los cambios en tecnologías ante obsolescencia, de la misma forma no se cuenta con un procedimiento para la baja de infraestructura tecnológica, que depure y salvaguarde la información contenida por ejemplo en dispositivos de almacenamiento, debe verificarse las razones de dada de baja de servidores de 2010 y la fecha prevista para la dada de baja de servidores 2007.

3.3 SERVICIO TERCERIZADO CONTRATADOS POR LA ENTIDAD

3.3.1 Contratos de mantenimiento

El Subdirector de Infraestructura Tecnológica informa que todos los contratos de mantenimiento de 2012 fueron realizados con tiempo, pero que estos se cayeron por que fueron declarados desiertos y no se tiene definida ninguna contingencia al respecto.

3.3.2 Definición de requisitos para asegurar conformidad con las políticas y los estándares de la seguridad de la organización en los contratos con terceros

No se encuentran definidos en un documento, aunque estos deben contemplarse en los estudios previos de la contratación y terminar plasmados en los contratos, para lo cual debe hacerse una verificación del cumplimiento de este tema en la contratación de la DSI.

3.4 PROTOCOLO ANTE FALLAS

3.4.1 Procedimiento de atención ante incidentes o fallas

Se evidencio que no existe un procedimiento para el manejo de fallas de hardware, software y conectividad, se mencionó que se está desarrollando un protocolo de atención ante incidentes de fluido eléctrico (Plantas, UPS, conexión eléctrica).

3.4.2 Procedimiento de divulgación de debilidades ante fallas

Pág

ina

16


La inexistencia del procedimiento para el manejo de fallas, impide que se cuente con estadísticas, análisis, y costos asociados a su ocurrencia, lo que dificulta enormemente la toma de decisiones estratégicas para la atención de estos incidentes.

3.4.3 Esquema de control de cambios en el software o hardware por mal funcionamiento

Se comprobó que no existe un control de cambios en el software o hardware por instalación de nuevos equipos o cambios por mal funcionamiento (garantía); esta actividad no se desarrolla totalmente controlada, pues a pesar de existir un mapa o diagrama interconexión, en el momento que se instala un nuevo equipo o existe un cambio por garantía este no es actualizado, lo que lleva que a la postre el mapa o diagrama de interconexión no se ajuste al diseño previsto, también se presentan errores en las marquillas de inventario de los equipos.

3.4.4 Cuantificación de costos de incidentes y/o cambios en el software o hardware

La Dirección de Sistemas e Informática no realiza el ejercicio de análisis de costos asociados a la falta de disponibilidad de los sistemas de información, esta actividad tampoco es realizada en la DIB, por lo cual la Gerencia de la Entidad carece de datos que puedan revelar la magnitud en materia de costos por las continuas fallas y la lentitud de las aplicaciones y su repercusión en el rendimiento del personal.

3.4.5 Divulgación del proceso disciplinario y las sanciones por violaciones de las políticas y procedimientos de la Entidad

De la visita se puede concluir que para los ingenieros si, para los usuarios no y tampoco se cuenta con un procedimientos documentado para actuar ante fallas y uso de Backup por lo cual no se cuentan con cifras ni documentación de incidentes.

3.4.5.1 Hallazgo: Procedimientos y acciones asociadas a la gestión de fallos y control de cambio de la infraestructura.

La Dirección de Sistemas e Informática no cuenta con instrumentos documentados que le permitan gestionar la ocurrencia de fallas para asegurar el normal funcionamiento tanto del hardware como del software y de la misma forma contar con estadísticas que permitan crear

Pág

ina

17


conocimiento sobre el tema y tomar decisiones para su solución, también se carece de documentación para el control de cambios en la infraestructura tecnológica, que permita tener actualizada la arquitectura en esta materia en la entidad y que facilite las acciones de los profesionales y técnicos tanto para la atención de fallos como la actualización por cambios en equipos.

3.5 INFRAESTRUCTURA ELÉCTRICA

3.5.1 Aspectos que se están tratando de mejorar

El Subdirector de infraestructura Tecnológica relaciona los siguientes aspectos que la Subdirección se encuentra adelantando para mejorar en el tema de la infraestructura eléctrica, así:

1. Pasar de 1 Circuito (Colsubsidio) a 2 Circuitos (sumando a Antonio Nariño) Este punto fue verificado con la Dirección de Gestión Corporativa quienes aclaran que la conexión de los circuitos que alimentan el fluido eléctrico al CAD actualmente es realizado con la conexión del circuito llamado Colsubsidio, sin embargo se cuenta también con la conexión del circuito de Antonio Nariño, pero solo se trabaja con el primero. Para poder entrar a trabajar también con el circuito de Antonio Nariño, se debe solicitar a Codensa la asistencia para realizar los ajustes correspondientes.

2. Se está estudiando la posibilidad de encendido manual de la planta para lo cual se debe capacitar al personal para la realización del procedimiento.

3. Reprogramación del encendido de la planta ante fallas en 1, 2, 3 o 4 subestaciones, actualmente tienen que fallar las cuatro (4) para que esta comience a operar (el 21 de julio se tiene previsto adelantar las gestiones para reprogramar la planta actual.

Verificada esta última información con la Subdirección Administrativa, se informó que cada subestación tiene asociada una planta eléctrica de suplencia, por lo cual no se entiende a que se hace referencia como aspecto de mejora, lo que refleja un grado de desinformación por parte de la subdirección de infraestructura en temas que son de su directa competencia y sobre los cuales debe tener un pleno conocimiento.

3.5.2 Planta y tanques de almacenamiento de ACPM

Pág

ina

18


El Ingeniero Hernández comenta del riesgo que el tanque de ACPM que surte a la planta se encuentra en la parte interna del edificio más específicamente en el sótano, pues ante cualquier contingencia este puede afectar estructuralmente al CAD. Aspecto que se verificó con la Dirección de Gestión Corporativa – Subdirección Administrativa, quienes mencionan que el proveedor del ACPM, TERPEL cuenta con sus protocolos de seguridad para las actividades de abastecimiento del carburante, sin embargo queda planteada la necesidad de contar con el concepto del Departamento de Bomberos de Bogotá y el FOPAE..

3.5.3 Estado de UPS´s

Actualmente el CAD cuenta con 10 UPS´s con más de 8 años de uso (alta obsolescencia) lo que permite asegurar un soporte de tan solo 20 minutos y grandes costos en su mantenimiento preventivo y correctivo.

3.5.4 Aire Acondicionado del Centro de Cómputo

El Subdirector de Infraestructura comenta que los ventiladores del aire del centro de cómputo se pasarán de un solo circuito a 2 circuitos en dos subestaciones actualmente están en un solo circuito en una subestación.

3.5.5 Plan de Contingencia Eléctrico

El Subdirector de Infraestructura comenta que se cuenta con un protocolo de apagado no controlado, desarrollado en un documento que fija el orden en los equipos para 1. Prender, 2. Apagar y 3. Re-encender, la duración de este proceso se tiene estimada en 2 horas, también existe un protocolo de apagado controlado el cual tiene unos tiempos estimados de 2 horas para los procesos de bajado y 2 horas para los procesos de encendido o subida (Existe un modelo de designación de responsables)

Los documentos enumerados fueron solicitados, sin que a la fecha de elaboración del presenta informe hayan sido recibidos

3.5.5.1 Hallazgo gestión de la Infraestructura eléctrica

Fue evidenciado un grado importante de desconocimiento del tema de la gestión de la infraestructura eléctrica en la SIT, por cual debe adelantarse un mapeo completo de esta en el CAD, que debe ser realizado por expertos en el tema y que elabore o complemente los documentos relacionados con el estado de la suplencia de las UPS´s, evalúe la conexión del

Pág

ina

19


sistema de ventilación y oficialice los protocolos tanto de apagado y encendido controlado o no controlado, como elementos de un plan de contingencia completo sobre este tema..

3.6 PLANES DE CONTINGENCIA

3.6.1 Procedimiento para la contingencia

En el desarrollo de la auditoria se pudo verificar que no existe un plan de contingencia documentado. Se han realizado visitas al DataCenter por parte de: IBM, Triara, Termut, entre otros; lo que ha permitido evaluar las alternativas para un centro alterno. Al respecto el Subdirector de Infraestructura Tecnológica comenta, que en este momento la Entidad debe tener una disponibilidad de 7*24, pero esto no se da porque el servicio está de lunes a viernes de 6:00 a.m. a 8:00 p.m. y los sábados de 8:00 a.m. a 12:00 meridiano; por lo que está considerando que la alternativa sea que el centro principal sea el del proveedor quien daría el servicio 7*24 y el centro alterno sería el de Hacienda.

Actualmente se cuenta con un solo proveedor de conectividad de internet, la norma menciona que deben ser 2 proveedores diferentes y que su ingreso sea por sitios separados

No se encuentra documentados los procesos para contingencia de datos ni los procesos de contingencia eléctrica.

3.6.2 Análisis de impacto

Debe existir de forma permanente estadísticas de los volúmenes de requerimientos realizados a la mesa de ayuda por fallos en conectividad, comunicaciones y soporte eléctrico, tanto del CAD como de la DIB de forma que sirva como base para la realización de estudios de impacto económico en la entidad

3.6.3 Implementación auditoria

Se tiene implementada auditoria en algunos aplicativos, El ingeniero Carlos Augusto indaga con sus subalternos y confirman que todos los aplicativos misionales cuentan con auditoria, para los demás aplicativos cuentan la auditoria, se da por solicitud del funcional.

Pág

ina

20


3.6.4 Opción de auditoria en los S.O. y B.D.

Los Sistemas operativos no cuentan con auditoria asociada, las bases de datos sí. En este sentido el Subdirector de Infraestructura comenta que la auditoria que tienen las bases de datos no es muy confiable porque los administradores de bases de datos pueden alterar los log de seguimiento ya que cuentan con el rol de System; para poder garantizar un auditoria veraz se encuentra abierto un proceso de subasta (SI 06 DE 2013) en el que el único proveedor es imperva.

La entidad no cuenta con estudios regulares de seguridad al personal que maneja información sensible o que cuenta con privilegios especiales en materia de manejo de información sistematizada, aplicaciones o autorización de accesos como los DBA´s o el Administrador de Accesos entre otros.

3.6.5 Log de auditoría para usuarios y para las maquinas

El Subdirector de Infraestructura Tecnológica comenta que si se tienen y generan los log de auditoría en las bases de datos de los tres ambientes, sin embargo aclara que estos pueden ser alterados por los administradores tanto de las bases de datos como de los sistemas operativos, por lo tanto se está realizando la adquisición de un producto que permita realizar esta auditoría sin que se puedan efectuar este tipo de cambios.

3.6.5.1 Hallazgo Implementación del plan de contingencia.

La entidad carece de un plan de contingencia para asegurar la continuidad de los servicios para las aplicaciones de la entidad, debiéndose concretar de forma urgente el tema de la continuidad del Data Center, en concordancia con lo establecido en el PIRE (Plan Institucional de Respuesta a Emergencia) de la entidad.

3.6.5.2 Observación análisis de impacto, automatización de la auditoria y estudios de seguridad de personal con funciones altamente sensibles en el tema de manejo de la información.

Resulta indispensables que la entidad cuente en el menor tiempo posible con las herramientas que permitan automatizas las labores de monitoreo y control las acciones y actividades que son realizadas sobre las aplicaciones y bases de datos, así como la evaluación de riesgos del personal que realiza labores altamente sensibles para la seguridad de la información.

Pág

ina

21


3.7 IDENTIFICACIÓN Y EVALUACIÓN DE INDICADORES

3.7.1 Indicadores de Gestión

Establecerse evidencio que se tienen diseñados y calculados indicadores de Gestión, los cuales se encuentran asociados a los procesos documentados en el SGC, pero el Subdirector de Infraestructura Tecnológica informa que se están evaluando porque algunos no se encuentra técnicamente diseñados y es poca la información que ofrecen. No se han tomado decisiones del resultado de indicadores.

3.7.2 Indicadores ante Fallas

En la verificación se pudo establecer que no se tienen diseñados indicadores de este tipo, al respecto el Subdirector de Infraestructura Tecnológica comenta que dada la situación presentada en los últimos tres meses aproximadamente, el contar con este tipo de indicadores le permitiría dar solución a temas específicos.

3.7.3 Indicadores de Contingencia

En la verificación se pudo establecer que no se tienen diseñados porque no se cuenta con un plan de contingencia que pueda ser medible y cuantificable.

3.7.3.1 Observación Actualización, documentación y análisis de Indicadores

Debe realizarse la actualización de los indicadores de gestión establecidos en los diferentes procesos documentados en el SGC (CPR-44 Construcción o mantenimiento de soluciones de software, CPR-46 Gestión de la infraestructura tecnológica, CPR-65 Servicios y soporte en tecnologías de la información y comunicaciones y CPR-66 Administración de tecnologías de telecomunicaciones) de la entidad y adelantar las acciones pertinentes que aseguren la existencia de indicadores de fallas y contingencias con los correspondientes análisis de impacto

3.8 LA ADMINISTRACIÓN DE SISTEMAS OPERATIVOS Y BASES DE DATOS

3.8.1 Ambientes de desarrollo, pruebas, y producción

Pág

ina

22


Se verificaron los siguientes temas por Ambiente: - Sistema Operativo/Configuración, - Administración, - Bases de Datos, -Servidores.

Configuración: los ambientes de desarrollo y pruebas están en Linux Red Hat 4, Base de datos en 10G; el ambiente de producción está en AIX, Base de datos en RAC 11G. Los ambientes no son similares en los sistemas operativos y reléase de base de datos y por ello se pueden presentar problemas en los pasos de un ambiente a otro.

Administración: Las bases de datos están a cargo del grupo DBA, pero las funciones en los ambientes no se encuentra controlada; por lo que se presentan problemas en la administración; la ingeniera Lorena Guerrero, refiere que se crean accesos directos (por debajo) a los usuarios finales sin ninguna documentación por cuanto se presentan problemas de conexión, adicionalmente se realizan instalaciones no controladas de aplicaciones por parte del grupo DBA. En cuanto a la administración de sistemas operativos en el ambiente Windows está el ingeniero Juan Carlos Montaña y en el ambiente UNIX, el ingeniero Horacio de Jesús Cardona Restrepo.

El Subdirector de Infraestructura Tecnológica, informa que se está adelantando un contrato aproximadamente por 150 millones de pesos; para el nuevo Diseño de Virtualización de Servidores, debido a que esta es una problemática grande en la administración de ambientes.

No se han adelantado procesos de levantamiento de información, evaluación o auditoria que permita identificar las aplicaciones en cada ambiente, por lo cual se diseñó por parte del grupo auditor, una matriz para ser diligenciada por la Ingeniera DBA Lorena Guerrero Santacruz, en donde se deben especificar por ambiente cada uno de los datos enumerados, también se planteó la necesidad de la existencia de un Ambiente de Preproducción.

Debe verificarse la instalación y puesta en producción de herramientas Oracle, Vigia, Datavoult, Audivolt, Grid Control, Performance Path de Oracle, Partitions, SIG, adquiridas y aparentemente no instaladas o no se encuentran siendo usadas.

3.8.1.1 Observación: Diferencias en la configuración de los ambientes de desarrollo, pruebas, y producción.

Las diferencias en la configuración de los ambientes de desarrollo y pruebas con respecto al de producción (diferencia en sistemas operativos y reléase de base de datos) originan que se presenten inconsistencias en la ejecución de las aplicaciones de un ambiente a otro.

Pág

ina

23


3.8.2 Aplicaciones en los tres ambientes

Como no se cuenta con un control, las aplicaciones se colocan en cualquier máquina. Adicionalmente se prueban únicamente las funcionalidades solicitadas en cada RQ y no la afectación o enlace que tiene con el resto de módulos o aplicaciones.

La ingeniera DBA, Lorena Guerrero Santacruz, comenta que se está tratando de que desarrollo y pruebas trabajen con Oracle 11 G – Linux Red Hot 5.9. Adicionalmente, comenta que se espera que los clúster en cada ambiente sean similares, para el 20 de julio se tiene como la fecha programada para tener completamente configurados los ambientes de pruebas y desarrollo.

La ingeniera Guerrero también comenta respecto a los estándares Oracle de actualización de infraestructura de aplicaciones que estos se han dejado de aplicar desde el 2009, pues por orden del Subdirector de infraestructura de la época (Ingeniero Fúmeme) se cambió la forma de trabajo de los DBA`s, quienes antes tenían temas específicos bajo su responsabilidad como Configuraciones, Bases de Datos, Administración Seguimiento y Controles, pasando tener responsabilidades cruzada en temas diversos, se evidencia que no existe una estandarización de criterios y procedimientos entre los DBA´s, ( por ejemplo: se queman las direcciones IP en las Bases de Datos lo que dificulta los procesos de migración ya que están quedando amarradas a un servidor especifico presentaran conflictos en caso de cambio), no se realizan mesas de trabajo regulares o periódicas que permitan la unificación de criterios de trabajo, lo que dificulta que cuando un DBA aborda un tema que fue trabajado por otro tenga que hacer actividades adicionales de análisis y hasta pruebas para determinar cómo fue que se realizaron actividades previas.

Esta situación también se encuentra replicada en los trabajos realizados por los ingenieros contratistas (HEINSOHN BUSINESS TECHNOLOGY S. A – Manos Libres) del proyecto PIT, toda vez que los desarrolladores no están haciendo uso y aplicando todas las herramientas Oracle dispuesta para su labor, además que la carencia de un procedimiento que establezca estándares de trabajo, diseño y arquitectura tanto para el desarrollo como para el cargue de información, Bases de Datos, Administración Seguimiento y Controles, para los DBA´s del proyecto mencionado originan que se presenten conflictos e información incompleta que afectan y afectaran en el futuro el funcionamiento de la aplicaciones que se encuentran en desarrollo, también se comenta de la inexperiencia de algunos de los ingenieros contratistas en el manejo de la infraestructura propia de la SDH y las herramientas asociadas a esta que conllevan a que estas últimas no sean utilizadas, como también que no se implementa un modelo de entidad relación y de tablas particionadas, originando todo esto, diseños de programas que afectan directamente el performance del sistema y las maquinas que lo ejecutan (serie de IF anidados), situación que ha sido detectada por la Ingeniera DBA Guerrero y que ya ha sido puesta en conocimiento tanto del Subdirector de Infraestructura como de los responsables de proyecto, por lo anterior debe pensarse en adelantar una

Pág

ina

24


evaluación a los desarrollo PIT que permita identificar el impacto en las aplicaciones actualmente en desarrollo cuando sean puestas en producción.

3.8.2.1 Observación: Control aplicaciones y realización de pruebas completas de modificación:

La DSI, no cuenta con un control de aplicaciones que permita tener conocimiento de su ubicación dentro de la infraestructura de servidores como también no se realizan pruebas completas de las aplicaciones luego de modificaciones probándose únicamente las funcionalidades solicitadas en los RQ, por lo cual no se detectan las afectaciones o enlace que puedan tener con los demás módulos.

3.8.2.2 Hallazgo: Falta de coordinación de las actividades de los DBA`s y el uso de estándares y herramientas de programación Oracle

La falta de actividades de coordinación como mesas de trabajo regulares o periódicas entre los DBA`s originan la existencia de diversos criterios de trabajo, que debieran ser unificados, como el uso de los estándares Oracle de actualización de infraestructura de aplicaciones, además de la existencia de responsabilidades cruzadas en temas diversos, originan la utilización de diversos criterios y procedimientos entre ellos, obligando a que se tengan que realizar actividades adicionales de análisis y pruebas para establecer la forma de realización de actividades previas, que no pueden estar sujetas a la creatividad o forma de trabajo individual, sino que deben obedecer a unas directrices claras que faciliten su abordaje y ejecución.

3.8.2.3 Observación: Desarrollo de aplicaciones PIT

Carencia de un procedimiento para los DBA´s que establezca estándares de trabajo, diseño y arquitectura para el desarrollo y el cargue de información, (Bases de Datos, Administración Seguimiento y Controles), por parte de los desarrolladores (ingenieros contratistas (HEINSOHN BUSINESS TECHNOLOGY S. A – Manos Libres) los cuales además no están haciendo uso y aplicación de todas las herramientas Oracle dispuesta para su labor, originando que se presenten conflictos e información incompleta que afectan y/o afectaran en el futuro el funcionamiento de la aplicaciones que se encuentran en desarrollo,

Pág

ina

25


3.8.3 Mantenimiento de los ambientes

El Subdirector de Infraestructura Tecnológica manifiesta que no se hace mantenimiento a los ambientes que permita identificar aplicaciones, uso de infraestructura, Bases de Datos, ETC. – No hay Procedimientos documentados concluyéndose entonces que no se realiza el mantenimiento de los ambientes, permitiendo esto que se presenten las fallas mencionadas en el punto 3.8.2. Adicionalmente, no se documentan los cambios o instalaciones que se aplican en cada ambiente, lo que incrementa los problemas en la disponibilidad del servicio.

3.8.3.1 Hallazgo: Mantenimiento de los ambientes de desarrollo, pruebas, y producción y documentación de Cambios

La falta de mantenimiento de los ambientes de desarrollo, pruebas y producción originan fallas en la ejecución de los aplicativos sujetos de cambios o modificaciones (RQ`s) y la no se documentación los cambios e instalaciones nuevas aplicadas en cada ambiente, incrementan las labores para la puesta a punto de las aplicaciones y la entrega de sus modificaciones o actualizaciones.

3.9 PROCEDIMIENTOS, POLÍTICAS, CONTROLES

3.9.1 Manuales técnicos y de usuario, versiones, fechas de actualización

Se evidencia que el SIT II no cuenta con manuales técnicos, en este sentido, la Subdirección de infraestructura cuenta con un aplicativo denominado visual source safe, instalado en los tres ambientes (desarrollo, pruebas y producción); sin embargo no se encuentran iguales los ambientes porque en algunos casos se hallan más archivos en producción que en desarrollo o pruebas. Se solicitó el inventario de aplicaciones por ambiente con el siguiente esquema:

Documento que no ha sido entregado a la fecha de elaboración del presente informe

3.9.1.1 Observación: Inventario de aplicaciones por ambiente.

Resulta importante para efectos de monitoreo y control que la DSI cuente con el inventario actualizado de forma permanente de la aplicaciones por ambiente.

Desarrollo Pruebas Producción Desarrollo Pruebas Producción

Configuración

Administración

Manejo de Bases de Datos

Ubicación Fisica (Servidores)

Responsables

ACTUAL PROYECTADOConcepto

Aspectos de Verificación

Pág

ina

26


3.9.2 Procedimientos de actualización de S.O, versiones, Fecha Actualización

Se pudo establecer que no existen procedimientos de actualización. Existen altos inconvenientes en la migración por los tiempos que se manejan y por el tipo de sistemas operativos y de aplicación.

Se evidencia falta de gestión de las bases de datos de conocimiento, específicamente por parte del proveedor de la mesa de ayuda, pues para efecto de la clasificación de requerimiento y reporte de fallos este los clasifica con un comodín común que da traslado a los DBA’s de reportes de los cuales ellos no tienen injerencia y están por fuera de su responsabilidad; teniendo ellos que escalarlos al directo responsable, situación que origina desgaste de tiempo en el trabajo diario de los DBA´s con labores adicionales que terminan afectando directamente en la calidad de la ejecución de sus verdaderas responsabilidades.

3.9.2.1 Hallazgo: Creación, Actualización y Mantenimiento de las Bases de Datos de conocimiento

La entidad debe contar con una base de datos que permita conocer indicadores, nivel de fallos, incidentes de seguridad de la información, control de cambios, reporte de requerimientos, volumen de RQ´s, etc. De forma que se configure una amplia base de conocimientos que contribuya a la toma de las decisiones por parte de la alta dirección de la entidad

3.9.2.2 Observación: Cumplimiento del proveedor de la mesa de ayuda

Se deben adelantar las verificaciones tendientes a lograr que el proveedor responsable de la mesa de ayuda clasifique los requerimientos y mantenga una base de datos actualizada, para tal fin la DSI debe estar en capacidad de verificar su correcta clasificación y realizar un monitoreo permanente de este tema.

También es deseable que la entidad cuente con las evidencias o reporte de incidentes manejados bajo este esquema en una auditoria específica a la Subdirección de soporte y atención al usuario y que esa información sea evaluada por parte del interventor o control interno.

Pág

ina

27


3.9.3 Procedimientos de instalación

En la verificación de la información se pudo corroborar que no hay un procedimiento documentado para la instalación que estandarice este proceso, cada instalación es diferente dependiendo del ingeniero que la haga y los criterios que aplique, el procedimiento actual de instalación de servidores recién adquiridos lo está realizando el proveedor basado en una matriz de prerrequisitos de instalación puesta a consideración de la Entidad.

3.9.4 Procedimientos de administración

En la verificación de la información se pudo corroborar que no se cuentan con procedimientos documentados para la administración de la plataforma tecnología de la entidad (Verificar CPR-46 Gestión de la Infraestructura Tecnológica de la Entidad). Esta actividad la maneja cada funcionario a su libre albedrio.

3.9.4.1 Observación: Implementación del cago DBA Junior

La Ingeniera Guerrero, plantea que la nueva estructura de la entidad (Reestructuración) no contempló la existencia de DBA´s Junior para que realicen labores de apoyo y de paso se inicien procesos de transferencia de conocimiento para posibles reemplazos ante cambios de personal.

3.9.5 Procedimientos de migración

En la verificación de la información se pudo corroborar que no se cuentan con procedimientos documentados para la administración de la plataforma tecnología de la entidad, ver procedimiento 46-P-04 Administración del software aplicativo. La ingeniera Lorena Guerrero informa que en este sentido las migraciones se vuelven engorrosas.

3.9.6 Procedimientos de mantenimiento

El señor Carlos Pinilla, contratista de la Subdirección de Infraestructura Tecnológica, comenta que existe un procedimiento en calidad; sin embargo el encargado de la actualización y manejo de la documentación es el ingeniero Carlos Pardo quien se encuentra en vacaciones y desconoce si esta actualizado o no. frente al tema el Subdirector de Infraestructura

Pág

ina

28


Tecnológica, comunica que el nuevo contrato del señor Pinilla no tiene como el anterior la actividad de procedimientos.

CPR- 46 Gestión de la Infraestructura Tecnológica de la Entidad, 46-P-01 Mantenimiento preventivo y correctivo de tecnologías de DataCenter

3.9.7 Procedimientos de desempeño y seguridad de las bases de datos

En la verificación de la información se pudo corroborar que no se cuentan con procedimientos documentados para la verificación del de desempeño y seguridad de las bases de datos, ver procedimiento 46-P-04 Administración del software aplicativo. La ingeniera Lorena Guerrero informa que la Subdirección cuenta con un producto de Oracle denominado Grid Control (consola de administración); sin embargo, asegura que no se cuenta con el personal necesario para toda la labor y en este momento el servidor donde se encuentra la herramienta presenta problemas.

La Auditoria como se encuentra diseñada actualmente se encuentra en las Bases de Datos y debe estar por fuera.

3.9.8 Procedimientos de sistemas operativos y aplicaciones

No se cuentan con procedimientos documentados (de administración, instalación, actualización) de sistemas operativos y aplicaciones.

Ver procedimiento 46-P-04 Administración del software aplicativo.

3.9.8.1 Observación Funciones de los DBA´s

Las especificación de funciones de los DBA´s y su alcance no se encuentran claramente definidos ya que en la práctica estos terminan dando soporte para el funcionamiento de aplicaciones.

3.9.9 Procedimiento de autorización para el ingreso y manejo del centro de cómputo

Pág

ina

29


Si está definido, pero no se encuentra documentado en el Sistema de Gestión de Calidad. A la fecha el centro de cómputo de la Secretaria Distrital de Hacienda alberga servidores de otras entidades (Secretaria Distrital de Planeación y unidad Administrativa de Catastro). El Subdirector de Infraestructura Tecnológica, respecto al tema refiere que el ingreso para los operadores de estas Entidades en el horario laboral está permitido; pero en caso de requerir asistencia de algún proveedor o fuera del horario laboral, se debe solicitar por correo al Subdirector y del mismo modo esté notifica a los operadores de la SDH que están en el área del centro de cómputo.

Frente al tema, el Subdirector de Infraestructura Tecnológica informa de una problemática que se está presentando con estas Entidades; cuando se realizan apagados controlados o no controlados ya que ninguno se presenta a realizar la operación que le corresponde. Es decir, el ingeniero Carlos Augusto desconoce si esta situación es por convenio o como se delimitaron las responsabilidades; al igual que con la planta telefónica de la Unidad Administrativa Especial de Catastro, que se encuentra en el centro de cableado del piso 7 de la SDH.

Ver Procedimiento 46-P-06 operación del Centro de cómputo.

3.9.9.1 Observación: Convenio ubicación de equipos de la Secretaria de Planeación Distrital y Unidad Administrativa Especial de Catastro Distrital en el data center de la SDH.

Debe verificarse el convenio que autoriza la ubicación de los equipos de Planeación y Catastro en el Data center de la SDH y la ubicación de una planta telefónica en el piso 7mo, propiedad de la UAECD, de forma que se establezcan las responsabilidades entre las partes y la SDH tenga claro el papel que juega dentro de este convenio.

3.9.10 Procedimiento para el manejo, retiro y administración de medios removibles

En la verificación de la información se pudo corroborar que no hay procedimiento documentado. El Subdirector de Infraestructura Tecnológica, al respeto comunica que del centro de datos no sale nada; sin embargo, se entregan los discos duros y partes que son reemplazados a los proveedores y no se hace ingreso al almacén por cambio de parte. El ingeniero informa que desconoce si el aplicativo de inventarios le permitiría al área cambiar algún elemento ingresado al ser cambiado por garantía, ya que no se da de baja por daño.

Pág

ina

30


Esta situación se presenta cuando las partes son cambiadas por garantía porque se deben devolver al proveedor para su reemplazo.

La parte removida no se destruye o es sometida a un proceso para preservar la confidencialidad de la información contenida, dicha situación debe ser verificada el procedimiento con la DGC para estos casos

Ver Procedimiento 46-P-06 operación del Centro de cómputo.

3.9.11 Procedimiento para acuerdos de intercambio de información y software con otras Entidades y cómo se maneja

Frente al tema el Subdirector de Infraestructura Tecnológica informa que la responsabilidad del tema de Convenios se maneja desde la Subdirección de Soporte y atención al usuario a cargo de la Ingeniera Lorena Arias; por cuanto se debe tener en cuenta para tratar en una auditoria específica a dicha Subdirección.

* Verificar proceso CPR-65 Servicios y soporte en tecnologías de la información y comunicaciones, procedimiento 65-P. 02 Soporte técnico de transferencia tecnológica

3.9.12 Procedimiento para el manejo de los medios en tránsito

Frente al tema el Subdirector de Infraestructura Tecnológica informa que la responsabilidad del tema de medios en tránsito (elementos de ofimática), se maneja desde la Subdirección de Soporte y atención al usuario a cargo de la Ingeniera Lorena Arias; por cuanto se debe tener en cuenta para tratar en una auditoria específica a dicha Subdirección.

3.9.13 Procedimiento para el manejo del comercio electrónico

El sistema PSE, es un servicio que funciona con un certificado de Certicamara. El ingeniero Carlos Cely Cely, informa que este servicio se dejó de prestar por un mes con las implicaciones que esto conlleva, debido a que el proveedor no prestó más el servicio por vencimiento del contrato. El Subdirector de Infraestructura Tecnológica, comunica que con la Dirección Jurídica se hizo un acuerdo para que este tipo de contratos de servicio quede con una cláusula y se pueda realizar antes que se venza.

Pág

ina

31


Este servicios de pagos PSE, se administra a través de tesorería, este sistema de paso presenta dificultades por saturación del canal, toda vez que ha sucedido que el vencimiento del impuesto se cruza con el vencimiento de otros pagos con los cuales el proveedor también tiene convenio, lo que hace colapsar esta opción de pago.

3.9.14 Procedimiento para la continuidad del negocio

Frente a este tema, el Subdirector de Infraestructura Tecnológica notifica que no hay un procedimiento diseñado y/o establecido para atender algún tipo de falla que se presente en la Entidad, en este momento se está evaluando la infraestructura de la parte misional.

3.9.15 Procedimiento para el aseguramiento de los equipos fuera de las instalaciones

En la verificación de la información se pudo corroborar que no existe el procedimiento. El Subdirector de Infraestructura Tecnológica informa que desconoce si los servidores y telefonía de Planeación y Catastro están por convenio y cuál es la responsabilidad de hacienda frente a estos equipos.

3.9.16 Procedimiento para asegurar la destrucción o reutilización de elementos

El Subdirector de Infraestructura Tecnológica, refiere que a la fecha no se cuenta con un procedimiento documentado para el manejo de este tema específico.

3.9.16.1 Hallazgos: documentación de procedimientos

Fue evidenciado que la DSI no cuenta con la documentación de todas las actividades que son realizadas al interior de la misma, por lo cual es imperativo que esta documentación sea realizada en el menor tiempo posible de forma que las actividades alcancen niveles de estandarización adecuados que permitan una oportuna atención y facilite el desarrollo de sus responsabilidades, el área de sistemas carece de documentación en los siguientes temas:

Pág

ina

32


٠ Procedimientos de instalación ٠ Procedimientos de administración de la plataforma tecnológica ٠ Procedimientos de migración ٠ Procedimientos de desempeño y seguridad de las bases de datos ٠ Procedimientos de sistemas operativos y aplicaciones ٠ Procedimiento de autorización para el ingreso y manejo del centro de cómputo ٠ Procedimiento para el manejo, retiro y administración de medios removibles ٠ Procedimiento para el manejo de los medios en tránsito ٠ Procedimiento para el manejo del comercio electrónico ٠ Procedimiento para la continuidad del negocio ٠ Procedimiento para el aseguramiento de los equipos fuera de las instalaciones ٠ Procedimiento para asegurar la destrucción o reutilización de elementos

3.10 RESPALDO DE LA INFORMACIÓN (BACKUP)

3.10.1 Plan de Backup

Frente a este tema el Subdirector de Infraestructura Tecnológica informa que se puede encontrar toda la documentación de copias de seguridad y políticas en Share Point. En la ruta http://sharepoint/dsi/SIT/Servicios/Forms/AllItems.aspx?RootFolder=%2Fdsi%2FSIT%2FServicios%2FPoliticas%2FCopias%5Fde%5FSeguridad, se pudo evidenciar que el documento en Excel de políticas Backup se encuentra desactualizado al igual que gran parte de la documentación que se encuentra publicada en el SGC no cuenta con actualización desde el año 2011.

* Ver Procedimiento 46-P.07 copias de respaldo y recuperación de la información

Respecto a las copias de seguridad de las Bases de datos, la ingeniera Lorena Guerrero informa que se realizan dos tipos de copia; con RMAN cuyo proceso consiste en generar una imagen de la BD y archivos de transacciones que luego se aplican para obtener una BD actualizada, este proceso de copia tarda aproximadamente hora y media (1½) y el de recuperación dos (2) horas; sin embargo este método no permite recuperaciones parciales (tablas, objetos, entre otros). El otro tipo de copias es el export, que consiste en una copia con la base de datos cerrada, el tiempo del proceso de copia de la base de datos tributaria que es la más grande, se demora aproximadamente 18 horas y la recuperación es más del doble de tiempo; con este proceso si se pueden realizar recuperaciones parciales. Las fechas y horas de generación y copia de los export se encuentran en las políticas de copia descritas en el SharePoint. Una vez verificada la información el documento se encuentra desactualizado desde el año 2011.

http://sharepoint/dsi/SIT/Servicios/Forms/AllItems.aspx?RootFolder=%2Fdsi%2FSIT%2FServicios%2FPoliticas%2FCopias%5Fde%5FSeguridad


Pág

ina

33


3.10.2 Sistema de respaldo de la información esencial de la Entidad

El nuevo sistema de copias es Data Protector (Licenciamiento limitado – Verificar su alcance). El Subdirector de Infraestructura Tecnológica, en este sentido refiere una problemática que se presenta con el sistema anterior de copias de seguridad (TSM – Tivoli), toda vez que la infraestructura (servidor, almacenamiento, licencia, librería o robot de copias) no está disponible y no se puede recuperar información de las cintas de Backup del año 2012 hacia atrás; por lo que está evaluando con el archivo Distrital la parte legal de mantener la información de las cintas disponibles.

A la pregunta de si existe personal calificado para el manejo operativo requerido para la operación del nuevo sistema de copias Data Protector, el Subdirector de Infraestructura Tecnológica responde que si existe personal calificado para el desarrollo de esta actividad y que adicionalmente se tiene prevista una capacitación de la nueva herramienta.

La ingeniera Lorena Guerrero, refiere la solicitud de sincronización de ambientes por parte del usuario funcional y técnico; sin embargo comenta que este proceso no está documentado y cada vez aumenta más su complejidad.

No hay una estrategia acompañada de su documentación para la recuperación y actualización de las versiones de Back Ups (debe evaluarse este punto a la luz del Procedimiento 46-P.07 copias de respaldo y recuperación de la información).

3.10.2.1 Observación: Puesta en funcionamiento del nuevo sistema de copias, destinación final de la información en cintas de Backup y sincronización de ambientes

La entidad debe concretar en el menor tiempo posible el sistema de copias de respaldo, así como definir la disposición final de la información contenida en cintas y adelantar el proceso de sincronización de ambientes

3.10.3 Políticas de copias de seguridad

Frente a este tema el Subdirector de Infraestructura Tecnológica informa que se puede encontrar toda la documentación de copias de seguridad y políticas en SharePoint. En la ruta

Pág

ina

34


http://sharepoint/dsi/SIT/Servicios/Forms/AllItems.aspx?RootFolder=%2Fdsi%2FSIT%2FServicios%2FPoliticas%2FCopias%5Fde%5FSeguridad, se pudo evidenciar que el documento en Excel de políticas_bakups se encuentra desactualizado (año 2011); al igual que gran parte de la documentación que se encuentra publicada en el sitio se encuentra desactualizada desde el año 2011.

3.10.3.1 Observación: Actualización de la Documentación en el SGC.

La DSI en cumplimiento de lo establecido en el CPR-01 Administración Documental y la NTCGP-1000:2009, se debe actualizar como mínimo cada dos (2 años) los procesos, procedimientos, guías, instructivos y formatos que documentan las actividades y funciones del área, así como también la política de copias de seguridad

3.11 CLASIFICACIÓN DE LA INFORMACIÓN

3.11.1 Esquema de clasificación de la información

El Subdirector de Infraestructura Tecnológica, refiere que no existe ningún esquema para clasificación de información.

En este sentido es necesario tener en cuenta las oportunidades de tener dicha clasificación: contar con los diferentes tipos, estructuras y valores de la información para poder extraer valor de ella; saber con qué información contamos, cómo tratarla, de cuál deshacerse, dónde guardarla y cómo recuperarla de nuevo para hacerla trabajar. Una vez la información ha sido clasificada o categorizada se optimiza su valor y se minimiza el coste de su gestión y almacenamiento.

Sobre este tema este equipo auditor estableció la existencia de conceptos anteriores, pues habiendo revisado los informes de la Auditoria de Seguridad Informática ejecutada por la firma JAVH-McGregor contrato 040000-791-0-2009, en el informe E11-3 Clasificación de la información V 2.1.doc de fecha 28 de junio de 2010, en su parte introductoria, es aclarado el tema así como en el informe E11-3 Informe Final Detallado SGSI V 3.0.doc en el aparte 6.1 de procedimientos que menciona, entre otras los procedimientos o actividades que deben ser implementados en el cual se habla de la clasificación de la información.



Pág

ina

35


3.11.2 Sistema para etiquetar la información y se dirige de acuerdo con el esquema de clasificación adoptado por la Entidad

El Subdirector de Infraestructura Tecnológica, respecto al tema comenta que como no se cuenta con un método o esquema de clasificación de información no se cuenta con etiquetado de la misma.

3.11.2.1 Hallazgo: Levantamiento y clasificación del inventario de activos de información

El levantamiento del inventario de activos de información y su clasificación son de gran importancia, pues estos se constituyen en insumos determinantes para los planes de riesgos, seguridad de la información y continuidad del negocio.

3.12 EVALUACIÓN DE RIESGOS TECNOLÓGICOS, ANÁLISIS Y EVALUACIÓN DE RIESGOS

3.12.1 Identificación de los riesgos asociados con las TIC´s

La DSI tiene identificados los riesgos asociados a las TIC’s. En la parte eléctrica se tienen identificados los puntos únicos de falla, la existencia de una sola planta de suplencia; en cuanto a datos: se tienen identificados la existencia de sólo un canal de comunicación cuya entrada es por la trece, son los siguientes:

• Puntos de fallo a nivel eléctrico (Verificación de la conexión de plantas en cascada)

• Datos (Entradas de conexiones a internet por un solo punto)

• Acceso de información

• Bases de Datos

• Aplicaciones

El Subdirector de Infraestructura Tecnológica refiere un documento de análisis de riesgos de TIC’s, el cual fue solicitado su envió para revisión. Una vez revisado se puede evidenciar que hace falta profundidad en los análisis, siendo este documento muy somero, además que no trata el tema ni la definición de los riesgos asociados.

Pág

ina

36


3.12.2 Riesgos asociados con el acceso a las instalaciones de procesamiento de información, por terceras partes 33

Se evidenció que no existe un cronograma común de actividades entre las entidades que actualmente tienen infraestructura en el Data Center, como Catastro, Planeación y Hacienda, para la realización de mantenimientos, instalaciones, monitoreo y evaluaciones.

De la misma manera el ingeniero Carlos Hernández menciona que la aplicación que soporta el sistema de acceso actual en la SDH se en cuenta subutilizados toda vez que este permite realizar una serie de actividades (desde programar ascensores hasta el monitoreo de visitantes) que actualmente no se encuentra implementadas.

En el documento referido por el Subdirector de Infraestructura Tecnológica, no se encuentran identificados, documentados y analizados este tipo de riesgos. Se hace referencia a los ingresos de personal proveedor de las otras Entidades (Planeación y Catastro) sin que se tengan identificados los riesgos que esto conlleva.

3.12.3 Riesgos asociados con el acceso a los sistemas de información

El Subdirector de Infraestructura Tecnológica, comenta que los riesgos se tienen identificados, sin embargo, refiere que la Policía y los Bancos nos comunican de ingresos o ataques que han sufrido nuestros canales; por cuanto se puede evidenciar que la Entidad no realiza una revisión y ajuste de las implicaciones que esto conlleva.

No se evidencio coordinación con los responsables de la seguridad de la información (OACR), la policía y otras entidades distritales.

La entidad no participa en instancias de coordinación interinstitucional como el Comisión Distrital de Sistemas, EL Alto Comisionado para las TIC`s y entidades del distrito, de forma que exista un intercambio permanente de información que permita conocer y socializar buenas prácticas en el tema en otras entidades, no hay un funcionario designado para tener un contacto permanente con el CSIRT-PONAL (Equipo de respuestas a Incidentes de Seguridad Informática)

La entidad no cuenta con un record de incidentes de seguridad de la información tanto internos como externos (ataque a la infraestructura de internet y páginas Web de la entidad).

La carencia de una Clasificación de los activos de información de la entidad, dificulta cualquier iniciativa para la evaluación de riesgos e implementación de controles para su manejo.

No se realizan estudios regulares de seguridad al personal que tiene a cargo procesos sensibles como DBA´s, Responsables del acceso a aplicaciones, responsables del Data Center.

Pág

ina

37


3.12.4 Matriz de Riesgos

El Subdirector de Infraestructura Tecnológica, refiere que se cuenta con una matriz de riesgos propia; se solicita él envió del documento; e informa que la matriz que está levantando la Oficina de Análisis y Control de Riesgos no ha concluido.

No se encuentra establecido los requisitos para el manejo de información por parte de los funcionarios.

La Subdirección de Infraestructura Tecnológica no tiene funcionarios designados como tampoco cuenta con una clasificación de temas sensibles infraestructura y datos prioritarios para cualquier proceso de recuperación y continuidad del servicio ante un desastre.

3.12.4.1 Hallazgo: Análisis y evaluación de riesgos

No se evidencio un documento completo y actualizado con la información de riesgos asociados a las actividades de la Dirección de Sistemas e informática.

3.13 INSTALACIÓN, CONFIGURACIÓN Y PUESTA EN MARCHA DE HERRAMIENTAS DE USUARIO FINAL (ORACLE, VIGÍA, SIG, ENTRE OTRAS)

Data Voult: prendido en 2009 y se apagó porque las tablas y data no cumple con los requisitos.

Audit Voult: prendido, se hizo colector que corresponde a la definición de reglas.

Grid Control: No está funcionando

SOA: se encuentra los tres ambientes desarrollo, pruebas y producción

OID: se encuentra los tres ambientes desarrollo, pruebas y producción

OIM: se encuentra únicamente en el ambiente de desarrollo

Existen otras herramientas de Oracle como Performance, Partition, package, prendidos pero requieren desarrollo.

3.14 PROCEDIMIENTOS DE LOS SERVICIOS PRIORITARIOS

Pág

ina

38


Frente al tema el Subdirector de Infraestructura Tecnológica notifica que no se encuentran identificados los servicios prioritarios y por ente no se cuenta con un procedimiento para su manejo.

3.14.1.1 Observación: Procedimiento de los servicios prioritarios

La Subdirección de infraestructura Tecnológica carece de la identificación de servicios prioritarios y su correspondiente documentación.

3.15 VISITA DIRECCION DE IMPUESTOS DE BOGOTA

Respecto de la Dirección Distrital de Impuestos que se encuentra ubicada en un edificio en arrendamiento (Soluzona) hace aproximadamente cinco años, el Subdirector de Infraestructura Tecnológica informa que no se cuenta con el manejo y responsabilidad de la infraestructura (cableado estructurado, red eléctrica, entre otros).También, que para el último contrato de arrendamiento se envió a la Dirección de Gestión Corporativa un documento de estudio de necesidades, el cual fue solicitado por esta auditoría; siendo entregando el documento: SHD – Propuesta Sede Impuestos 20mar13.pdf, el cual corresponde a una cotización para la adquisición de Switch de Red LAN - Sede Impuestos, en donde se cotizan elementos por valor de $350.947.800.oo, cotización que al parecer no fue tenida en cuenta para efectos de la renovación del contrato de arrendamiento de la sede Soluzona, sin embargo debe resaltarse que la DSI no cuenta con un documento propio que realice un diagnóstico de los equipos de comunicaciones y suplencia eléctrica que requiere la sede de la DIB y que se encuentren acordes con la infraestructura existente en el CAD, la no actualización de los elementos indispensables para un correcto funcionamiento de la comunicaciones CAD-DIB Están generando problemas de conectividad, evidenciados en las continuas caídas de los aplicativos y el bajo performance del sistema cuando se encuentra operando (largos tiempos de respuesta).

La Subdirección de Infraestructura Tecnológica, según lo comentado por el Ingeniero Carlos Hernández no tiene conocimiento de las especificaciones técnicas tenidas en cuenta para el nuevo contrato de arrendamientos de la sede Soluzona, respecto de las especificaciones técnicas de los recursos físicos de infraestructura tecnológica y eléctrica, como tampoco se ha reunido con la Dirección de Gestión Corporativa para definir y obtener conclusiones sobre el tema, esta situación debe ser revisada pues se debió tener en cuenta la renovación tecnológica de la infraestructura de Switch y suplencia eléctrica ya que la que se tiene actualmente resulta obsoleta, generando problemas serios en el flujo de datos de las diferentes aplicaciones que son transmitidos desde el CAD a la DIB, pues la diferencia en velocidades de envío y recepción son dispares, siendo la primera muy superior (Gbpm) y la de recepción (Kbps) lo que genera un cuello de botella que ralentizá los tiempos de respuesta

Pág

ina

39


en el uso de los aplicativos y respecto a la suplencia eléctrica esta se encuentra en niveles de capacidad del 99% lo que genera grandes riesgos de caídas totales. El contratista del arrendamiento es el responsable de los mantenimientos de la infraestructura mencionada, la DIB no tiene conocimiento de los cronograma para esos efectos, se evidencia que no existe coordinación entre los estamentos responsables de asegurar el eficiente funcionamiento de la infraestructura tecnológica de SOLUZONA, con los encargados de su gestión y mucho menos con el usuario final, de forma que se identifique riesgos y oportunidades de mejora para lograr documentar controles y compromisos de actividades para atender los requisitos de la DIB que permitan la disponibilidad permanente del uso de los aplicativos y su información. La visita realizada a las instalaciones de la DIB, fue atendida por el ingeniero Jesús Correa Cardozo, Jefe de la Oficina de la Información Tributaria, a quien se le indagó por el documento de análisis de la infraestructura presentado por la Subdirección de Infraestructura a la Dirección de Gestión Corporativa y si los responsables de la información por parte de la DIB fueron llamados a participar de esas especificaciones antes de realizar el nuevo contrato de arrendamiento, en este sentido, informa que no se conoce la información referida. Indagando por las fallas en el servicio de la red de datos y de corriente regulada, se comunica que en los últimos dos meses, generalmente el primer dial hábil de la semana (lunes o martes) se presentan dificultades en las aplicaciones. De acuerdo con la Dirección de Sistemas e informática estas fallas se presentan cuando se realizan los mantenimientos del cableado estructurado o los apagados programados o no programados. Respecto a las fallas eléctricas se informa que estas no son frecuentes. Preguntando al mismo funcionario por el análisis de impacto frente a las fallas del sistema, que se encuentra catalogado como alto; este informa que se está realizando una labor con la Oficina de Análisis y Control de Riesgos frente a este tema y se incluirá en el mapa de riesgos un análisis de hace cinco (5) años actualizándolo a la fecha, sin embargo pudo constatarse que no se realizan análisis de impacto de las salidas de los servicios que presta la DSI, más cuando a la fecha se han se han incrementado salidas del sistema que dejan a la mayor parte de los funcionarios de la DIB sin una labor a desarrollar generando grandes costos para la Entidad. En la comprobación no fue posible identificar la existencia de estadísticas de tiempos de fallos de comunicaciones (salidas del sistema) y el estudio de su impacto en las labores de los funcionarios de La, información que puede considerarse como estratégica pues todas las dependencias de la DIB dependen de la disponibilidad de los sistemas de información para la permanente ejecución de sus labores.

Sobre el tema técnico, no se tiene la competencia para dimensionar y solicitar a la Dirección de Sistemas e informática la infraestructura requerida, el ejercicio es netamente funcional, por ejemplo, en el cargue de un acto administrativo cuyo tiempo usado es muy alto; resultado que

Pág

ina

40


fue presentado a la DSI aproximadamente hace un mes. Sin embargo, se considera que desde la DSI se deben realizar pruebas de concurrencia y tiempos de respuesta a los procesos. En cuanto al manejo de aplicaciones de usuario final, se encuentra en el grupo de inteligencia tributaria SAS, opera un aplicativo estadístico y también existen bases de datos en Access, matrices en Excel, cuya administración la DIB se encuentra en este momento actualizando el instructivo de manejo de herramientas ofimáticas. Se revisó con el ingeniero Franz Edwar Rojas Montañez, el centro de cableado principal en el segundo piso, donde se pudo identificar que en el rack se encuentran swicht 3COM modelo 3300 apagados propiedad del arrendatario, se encuentran en funcionamiento swicht 45500 de 10/100, en dos de los swicht se encuentran puertos con fallas que han sido reportados por el responsable de la DSI – SDH al administrador del edificio DIB señor Rito Guerrero; sin que a la fecha se halla corregido la falla. La Dirección de Sistemas e Informática, instaló en los rack de la DIB swicht 3Com modelo 45500 de propiedad de la SDH, así: dos (2) en el piso dos (2), uno (1) en el piso uno (1), y uno (1) en el piso cuatro (4); adicionalmente se instaló en el centro de cableado principal una UPS de 5kba. En este sentido se debe resaltar que las dos UPS instaladas por el arrendatario se encuentran a full carga (99%). La suplencia de red eléctrica se hace con una planta de transferencia automática de 305 Kba, en el mes de junio se realizó prueba. Al indagar por algún plan de contingencia, se refiere que se cuenta con una subestación propia de 630 Kba; adicionalmente, por la ubicación en la zona industrial no se presentan fallas continuas.

3.15.1.1 Observación: Infraestructura de Comunicaciones Soluzona – DIB Con carácter urgente debe verificarse la infraestructura de comunicaciones en Soluzona para mejorar el performance de las aplicaciones que son necesarias para en las gestiones regulares de la DIB, situación que debió contemplarse en la reciente renovación del contrato de arrendamiento en concordancia la renovación de la infraestructura existente, que a la fecha resulta obsoleta. De la misma manera tanto la DIB como la DSI no cuentan con un plan de choque para atender los incidentes de comunicaciones que se vienen presentando en la sede de la DIB, como tampoco la documentación de una bitácora de incidentes que ofrezca datos para su análisis y toma de decisiones, además que la figura de arrendamiento, en la cual los elementos de comunicaciones (switch) son suministrados por el arrendatario, imposibilitan cualquier actuación inmediata al respecto. Tampoco fue evidenciado por parte de la Subdirección de Infraestructura Tecnológica de la existencia de análisis y un protocolo de servicios para asegurar la permanente y completa disponibilidad de la información en la sede de Soluzona.

Pág

ina

41


3.16 VISITA DIRECCION DE GESTION CORPORATIVA - SUBDIRECCION ADMINISTRATIVA

La visita fue atendida por la doctora Ana Lucia Angulo Villamil, Subdirectora Administrativa; los temas tratados con ella fueron: Planta eléctrica, tanques de ACPM, subestaciones.

Respecto de las subestaciones y la Planta eléctrica, indica en el diagrama de conexión que la Entidad cuenta con cuatro subestaciones y cada una con su planta eléctrica asociada y totalmente independiente; así mismo indica que existe una persona contratista encargada del encendido manual de las plantas.

Respecto a la ubicación y cargue de los tanques de ACPM, informa que el Subdirector de Infraestructura Tecnológica comunicó informalmente sus consideraciones frente al tema como son: posibles chispas del encendido de los vehículos que están cerca a los tanques, que no cuentan con el espacio libre para liberación de los gases, que el método de cargue no es el adecuado; por cuanto la doctora Ana Lucia tendrá en cuenta la alerta y entrará a evaluar un concepto del experto técnico de las plantas. Sin embargo aclara que se siguen los protocolos de TERPEL para la carga de las mismas.

Respecto a la contingencia en la conexión de CODENSA, informa que se tiene la conexión a Colsubsidio que es la que se encuentra activa y a Antonio Nariño pero esta última requiere el paso que no es automático y requería un costo muy alto de adquisición.

Frente al contrato de arrendamiento del edificio de la DIB, al ser la interventora del nuevo contrato informa que las condiciones definidas en el primer contrato se mantuvieron; se está revisando el tema de actualización de las tecnologías de TIC’s ya que esto implicaría un cambio en el canon de arrendamiento; por cuanto se está evaluando si la SDH realiza el cambio de elementos o los solicita al arrendatario.

Respecto al procedimiento actual de mantenimiento y soporte, refiere que continúa igual, que la DSI realiza las solicitudes al administrador del edificio para que este con su proveedor de infraestructura realice el soporte respectivo en coordinación con el área de la DSI.

4. CONCLUSIONES GENERALES

Pág

ina

42


Se pudo comprobar que el documento empleado para la última adquisición de infraestructura no cumple con los estándares mínimos, entre ellos el manejo del idioma español, adicionalmente fue desarrollado por un tercero y no se encuentra evidencia del análisis realizado por los funcionarios de la Subdirección de infraestructura validando lo encontrado.

Se pudo evidenciar que la Subdirección de Infraestructura tecnológica no cuenta con un control que le permita realizar la contratación de servicios indispensables para la Entidad. Prueba de ello es que en el año 2012 no se contó con los contratos de mantenimiento de la infraestructura presentando fallas en el servicio por daños en los elementos.

Se pudo verificar que en los contratos con terceros no se establecen los criterios, requisitos

o estándares de seguridad y conformidad con las políticas y manejo de información.

Se tiene identificada la alta obsolescencia en la que se encuentran las UPS de la SDH, sin embargo se pudo verificar que no se tiene ninguna media para evitar esta situación.

En atención a lo mencionado por el Subdirector de Infraestructura Tecnológica respecto a

la modificación que se le pueden realizar a los log del sistema o de auditoría, se evidencia que no se cuenta con el control necesario para garantizar la integridad de la información o data.

Se evidencia que el no contar con el control de contratación de servicios puede conllevar

a la pérdida de ingresos para la Entidad, esto se comprueba con el servicio de pagos PSE que duro por fuera un mes sin que los contribuyentes que hace uso de este sistema hubieran podido cancelar cualquier tipo de impuesto por este medio.

Se pudo constatar que la información publicada en espacio compartido SharePoint

respecto a la operación, manejo y administración de la infraestructura se encuentra desactualizada; lo que genera un alto riesgo que no está medido, cuantificado y soportado.

Se pudo evidenciar que no se tiene una clasificación de la información para el manejo de

la seguridad, contingencia y disponibilidad de la misma.

Se evidenciaron riesgos en las instalaciones de las plantas eléctricas y los tanques de ACPM, a lo cual la Subdirección Administrativa le realizara una evaluación y se tomara la medida que corresponda.

Se debe contar con un procedimiento que garantice que las nuevas funcionalidades de

los aplicativos se ejecuten acorde al modelo entidad relación; es decir que la ejecución en pruebas se desarrolle a todo nivel donde pueda generar cambios o actualizaciones.

5. Resumen de Hallazgos y Observaciones

Pág

ina

43


Hallazgos Observaciones

3.1.2.1. Hallazgo: Incumplimiento de los tiempos de entrega en la adquisición de elementos devolutivos de TIC´s Contrato 040000-531-0-2012.

3.6.6.2. Observación análisis de impacto, automatización de la auditoria y estudios de seguridad de personal con funciones altamente sensibles en el tema de manejo de la información.

3.1.3.1. Hallazgo: Falta de Planeación que organice la adquisición de Tecnologías de la información y comunicaciones.

3.7.4.1. Observación Actualización, documentación y análisis de Indicadores

3.1.5.1 Hallazgo Carencia de Capacity Planing.

3.8.1.1. Observación: Diferencias en la configuración de los ambientes de desarrollo, pruebas, y producción.

3.1.10.1 Hallazgo Inventarios de Hardware, Software y Activos de Información

3.8.2.1. Observación: Control aplicaciones y realización de pruebas completas de modificación:

3.1.11.1 Hallazgo adquisición de infraestructura con

demoras en su instalación y uso 8.2.2.3. Observación: Desarrollo de aplicaciones PIT

3.2.3.1 Hallazgo: Plan de Renovación Tecnológica y Procedimiento de dada de baja de hardware y software

3.8.3.1. Hallazgo: Mantenimiento de los ambientes de desarrollo, pruebas, y producción y documentación de Cambios

3.4.5.1. Hallazgo: Procedimientos y acciones asociadas a la gestión de fallos y control de cambio de la infraestructura.

3.9.1.1. Observación: Inventario de aplicaciones por ambiente.

3.5.6.1. Hallazgo gestión de la Infraestructura eléctrica

3.9.2.2. Observación: Cumplimiento del proveedor de la Mesa de ayuda

3.6.6.1. Hallazgo Implementación del plan de contingencia.

3.9.4.1. Observación: Implementación del cago DBA Junior

3.8.2.2. Hallazgo: Falta de coordinación de las actividades de los DBA`s y el uso de estándares y herramientas de programación Oracle

3.9.8.1. Observación Funciones de los DBA´s

3.9.2.1. Hallazgo: Creación, Actualización y Mantenimiento de las Bases de Datos de conocimiento

3.9.9.1. Observación: Convenio ubicación de equipos en el data center de la Secretaria de Planeación Distrital y Unidad Administrativa Especial de Catastro Distrital

Pág

ina

44


Hallazgos Observaciones

3.9.17.1. Hallazgos: documentación de procedimientos

3.10.2.1. Observación: Puesta en funcionamiento del nuevo sistema de copias, destinación final de la información en cintas de backups y sincronización de ambientes

3.11.2.1. Hallazgo: Levantamiento y clasificación del inventario de activos de información

3.10.4.1. Observación: Actualización de la Documentación en el SGC.

3.12.5.1. Hallazgo: Análisis y evaluación de riesgos

3.14.1. Observación: Procedimiento de los servicios prioritarios

3.15.1. Observación: Infraestructura de Comunicaciones Soluzona – DIB

6. Glosario de Términos

TERMINOS

3Par : Plataforma de Almacenamiento principal

7*24

: Abreviatura que significa "24 horas al día, 7 días a la semana", refiriéndose usualmente a los negocios o servicios que están disponibles durante todo el tiempo sin interrupción

Ambiente de Desarrollo :

Escenario informático en el que se desarrollan tareas relacionadas con la atención de requerimientos, el cual está asociado a un Servidor y una Base de Datos que. combina herramientas que automatizan o soportan al menos una gran parte de la tareas (o fases) del desarrollo: análisis de requisitos, diseño de arquitectura, diseño detallado, codificación, pruebas de unidades, pruebas de integración y validación, gestión de configuración, mantenimiento, etc.

Pág

ina

45


Ambiente de Pruebas :

Escenario en el que se realizan las pruebas de los desarrollos por parte de los clientes que consiste en una réplica del ambiente de producción en donde se realizarán todas las pruebas necesarias para garantizar el buen funcionamiento de los Sistemas de Información y/o Aplicativos.

Ambiente de Producción : Escenario en el que se publican los desarrollos probados, para utilización de los clientes y donde se realiza el procesamiento real de la información

B.D.

: Es la abreviatura de Base de Datos que consiste en un conjunto de datos estructurados asociados a un Sistema de Información.

Backup : Copia de los datos originales que se realiza con el fin de disponer de un medio de recuperarlos en caso de su pérdida.

Capacity Planning :

Herramienta que permite a las compañías gestionar de forma eficiente todos los recursos necesarios para el desarrollo de su Negocio. Disponer de un plan de gestión de la Capacidad, permite a cualquier organización abordar, con ciertas garantías, la gestión del cambio en la demanda de los mercados, identificando carencias o riesgos en la implementación de los procesos de negocio, permitiendo realizar estudios para la predicción de situaciones y analizar si la propia organización está capacitada para absorber un cambio en la demanda de los clientes.

DataCenter : Se denomina centro de procesamiento de datos o centro de datos por su equivalente en inglés data center.

DBA

: Profesional de tecnologías de la información y la comunicación, responsable de los aspectos técnicos, tecnológicos, científicos, inteligencia de negocios y legales de bases de datos.

DSI : Dirección de sistemas e informática

Export : Copias de seguridad de los datos de Oracle Database 11g.

Pág

ina

46


Gbps : Velocidad de transmisión de la información equivalente a 1 Gigabit por segundo

Hardware : Partes tangibles de un sistema informático

Herramientas de usuario Final

: Programa informático diseñado como herramienta para permitir a un usuario realizar uno o diversos tipos de trabajos.

Kbps :

Unidad de medida que se usa en telecomunicaciones e informática para calcular la velocidad de transferencia de información a través de una red equivalente a 1000 bits por segundo

LOG : Registro automático en el sistema de las actividades o eventos desarrollados por un usuario o aplicativo.

Medios en Transito : Transporte de medios informáticos entre diferentes puntos

Medios Removibles : Cintas, discos, casetes e informes impresos

PESI : Plan Estratégico de Sistemas e Informática

PETIC : Plan Estratégico de Tecnologías de la información y comunicaciones

PIT : Portafolio Integrado Tributario

Protocolo : Conjunto de procedimientos, pasos, reglas o estándares que controlan una secuencia de actividades.

Raid :

Acrónimo RAID (del inglés Redundant Array of Independent Disks, originalmente Redundant Array Inexpensive Disks), traducido como «conjunto redundante de discos independientes», hace referencia a un sistema de almacenamiento que usan múltiples discos duros o SSD entre los que se distribuyen o replican los datos.

Rol de System : Equivale a los privilegios de cuenta administradora de administradores (súper usuario). Tiene los permisos para hacer lo que sea en el sistema.

http://es.wikipedia.org/wiki/Sistema_inform%C3%A1tico

Pág

ina

47


RQ :

Necesidad documentada sobre el contenido, forma o funcionalidad de un producto o servicio. Se usa en un sentido formal en la ingeniería de sistemas, ingeniería de software e ingeniería de requisitos

S.O. : Sistema operativo

SGC : Sistema de Gestión de la Calidad

SIT : Subdirección de infraestructura Tecnológica

Software :

Equipamiento lógico o soporte lógico de un sistema informático, que incluyen, entre muchos otros, las aplicaciones informáticas; tales como el procesador de texto

Switch :

Dispositivo digital lógico de interconexión de redes de computadoras que opera en la capa de enlace de datos cuya función es interconectar dos o más segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.

Tera : Terabyte - Unidad de almacenamiento de información cuyo símbolo es el TB, y equivale a 1012 bytes

TIC`s : Tecnologías de la Información y comunicaciones

Tunning : Afinar la configuración de hardware y software para optimizar su rendimiento.

Sour Safe :

Programa de Control de Cambios que reside en el equipo servidor y los clientes toman de allí la última versión para modificarla y posteriormente ingresarla con las modificaciones realizadas.

MARTHA LEONOR ZAMBRAO MEDINA Auditora Líder

Pág

ina

48


Vo. Bo. LUIS FRANCISCO CANTE CÉSPEDES Asesor de Control Interno

Despacho del Secretario de Hacienda Distrital

Documents

SECRETARÍA DISTRITAL DE HACIENDA … · ... Plan de Renovación Tecnológica y Procedimiento de dada de ... a la gestión de fallos y control de ... de los ambientes de desarrollo,