CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES

Informe Final
Municipalidad de
Maip

Fecha
: O9 JUlo 2009
N Informe : 167/2009

.CONTRALORA

GENERAL

DE

LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORIA E INSPECCiN
REA DE AUDITORIA 1

REF.:
DMSAI

7. 075/09
120/09

REMITE INFORME FINAL QUE INDICA

SANTIAGO,

09. JUll OQ9. n:1 6! 18

Adjunto srvase encontrar copia del Informe

Final N" 167 debidamente aprobado, sobre Auditoria de Sistemas Informticos

efectuada en el Servicio Municipal

de Agua Potable y Alcantarillado en esa

Municipalidad.

!ralo/' General
FUENTES

ado
Munic:ipaidedal

AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE
MAIP

CONTRALORA

GENERAL

DE

LA REP BLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORIA E INSPECCiN
REA DE AUDITORIA 1

REF. :
DMSAI

REMITE INFORME FINAL qUE INDICA

7 .075/09
120/09

09. JUll e O9. n~ G'1 i!}

SANTIAGO,

Adjunto ,

slrvase

encontrar

copia

del

Informe Final DMSAI N 120 de 2009 , de esta Contralorla General , con el fin de

que, en la primera sesin que celebre el Concejo Municipal,

~ recepci6n.

se

sirva

ponerlo

en

conocimiento

de

ese

desd~

la fecha de su

Organo

Colegiado

entregndole copia de los mismos.

Al respecto, Ud. deber acreditar ante esta

Contralora General, en su calidad de Secretario del Concejo y ministro de fe, el

cumplimie nto de este trmite dentro del plazo de diez dlas de efectuada esa

sesin.

.'

del Con
General
PRISCILA JARA ,FUENTES
Abog.",
SOOjefe DiYisQ ele Municipalidades

Por Orden

~-----~--------_____________

AL SEOR
SECRETARIO MUNICIPAL DE
MAIPU

.--

CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
DEPARTAMENTO DE AUDITORA

REF. N'
7.075/09
DMSAI. N'
120/09
A.T. N'
146/09

INFORME FINAL SOBRE DE AUDITORIA

DE
SISTEMAS
INFORMTICOS
EFECTUADA
EN
EL
SERVICIO
MUNICIPAL DE AGUA POTABLE Y
DE
MAIP
ALCANTARILLADO
SMAPA.

SANTIAGO.

09

1111 .

2009

En cumplimiento del Plan Anual de

Fiscalizacin aprobado por este Organismo de Control y de acuerdo con las
facultades establecidas en la Ley 10.336, Orgnica de esta Institucin, se realiz una
auditoria de tecnologias de informacin en el Servicio Municipal de Agua Potable y
Alcantarillado de Maip, SMAPA.

OBJETIVO.
Verificar los controles en el procesamiento de
datos; en el mantenimiento de la plataforma de software, hardware y servicios

automticos ; y, en el cumplimiento de los contratos de desarrollo de sistemas,

servicios informticos, arriendo ylo compra de equipamiento y compra de insumos.

METODOLOGA.

La revisin fue practicada en conformidad

con normas y procedimientos aceptados por la Contraloria General, por lo tanto,
incluy las pruebas de validacin y otros medios tcnicos considerados necesarios
en las circunstancias.

UNIVERSO FISCALIZADO.

l!! \'j

c'5 '5.

:!! :;;

La revisin abarc el perodo comprendido

entre enero de 2007 y el primer trimestre de 2008, para el cual se analiz los

oC::

aspectos relativos a las tecnologas de informacin del citado servicio.

Q)

"'(\)

;:. -

c~
o
-o

La revisin , en trminos generales, cons isti

. de los contratos in formticos, las polticas informticas, los mtodos de

en el anlisIs

integridad de datos, los recursos informticos, la validez de la informacin, las

salvaguardas de activos informticos y la efectividad de la aplicacin de controles.

A LA SEORA
UBJEFE DE LA DIVISiN DE MUNICIPALIDADES
R E S E N T E.
TV/

CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
-2-

MUESTRA EXAMINADA.
La revisin se efectu sobre el 100% de las
actividades del periodo sealado.
Cabe
precisar
que,
con
carcter
confidencial, mediante oficio W 58.955, de 15 de diciembre de 2008, fueron puestas
en conocimiento del alcalde las observaciones comprobadas al trmino de la visita,
con la finalidad que formu lara los alcances y precisiones que, a su juicio,
procedieran , lo que se concret mediante oficio N' 10001005 , de 6 de febrero de
2009.

El anlisis de las observaciones formuladas

en el citado Preinforme, en conjunto con los antecedentes aportados por la autoridad
edilicia en su respuesta , determinaron lo siguiente:

1.-

ORGANIZACiN .

1.1.-

Estructura funcional , jerrquica y personal del rea informtica.

Se observ, inicialmente, la ausencia de

planes de capacitacin peridica que permitieran el desarrollo del personal
informtico en las nuevas tecnologas existentes y el anlisis de soluciones que
permitan mejorar la gestin.
En su respuesta , la autoridad comunal indica
ello no es efectivo lo observado, por cuanto existe capacitacin y se enmarca en lo
establecido por la Subdireccin de Recursos Humanos. Agrega, que durante el ao
2008 fueron capacitados doce funcionarios de la Direccin de Tecnologia y
Comunicaciones - DITEC - en un curso de Active Directory , software para la
administracin de equipos basado en politicas institucionales y que, adems, se
capacit a tres tcnicos en Adm inistracin de la Plataforma Exchange 2003 Server,
para el maneja del correo institucional. Agrega que, debido a los alcances de este
Organismo, se instruy que durante el ao 2009 se incluya en el plan de
capacitaciones de la Subdireccin de Recursos Humanos, otras capacitaciones
especficas que permitan mejorar la gestin de la DITEC y, por ende, la calidad de
sus servicios a los usuarios municipales.
Al respecto , cabe precisar, que la
observacin realizada se efectu sobre el perodo auditado, para el cual se careca,
adems, de un plan de capacitacin; en todo caso, en base a los antecedentes
aportados, se levanta la observacin formulada .

1.2.- Recursos de plataforma Software y Hardware.

No se dispone de regulaciones para crear y
operar procedimientos de operacin de sistemas, bases de datos y plataforma de
software general. No se encuentran regulados planes de contingencia y continuidad ,
que garanticen el buen funcionamiento de los sistemas y permitan identificar los
riesgos asociados, dado que no existen reas de especializacin que distribuyan la
arga de operaciones informticas diarias.

CONTRALORA GENERAL DE LA REPBLI CA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
-3En la respuesla se indica que se ha inslruido
a la DITEC para que implemenle procedimienlos escrilos y planes de conlingencia,
respaldo de informacin , manejo de base de dalas y de hardware de usuarios.
Las medidas dispueslas por esa auloridad
comunal permilirn subsanar las observaciones formuladas , en la medida que se
concrelen efeclivamenle, lo que se verificar en fuluras fiscalizaciones .

1.3.- Aplicaciones.
Se advirti la ausencia de respaldos de
perfiles de sislemas operalivos y procedimienlos formales de aclualizacin de
parches de sislema operalivo y de aplicaciones de oficina.
Asimismo, se realiz un anlisis mediante

diagramas de flujos de dalas y diagramas de enlidad - relacin de los procesos de

SGC SMAPA, facluracin , recaudacin , subsidio, larificacin , conlabilidad , cobranza,
med icin y sistemas en lnea, cuyos mdulos fueron evaluados como de mayor

riesgo. Adems, se llevaron a cabo pruebas de validacin de enlradas y salidas de

los regislros de dichos procesos, delerminando que los mdulos de aplicaciones
cumplen las funcionalidades de mantencin, operacin y registro de los datos, por lo
anterior no se formul observaciones a este respecto .
Sobre los respaldos de perfiles de sislemas,
en la respuesla de la auloridad se informa que, por la canlidad de equipos no es
posible fisicamenle realizar el procedimienlo, sin embargo, se ha eslablecido un
sistema de soporte que asiste en caso de que un usuario requiera respaldar la

informacin que el equipo conlenga . Agrega que el perfil que conliene el sislema
operalivo se Iraspasa aulomlicamenle al nuevo equipo y, en caso de dao fsico a
los dispositivos de almacenamiento, operan las herramientas de rescate que cuentan
con lasa de recuperablidad de 98%.
En cuanlo a los procedimenlos de parches
de los sislemas operalivos y aplicaciones de oficina, se eslablece la reslriccin en el
uso de los equipos por parte de los usuarios, que impide la inslalacin de soflware o
modificacin de configuraciones del sislema, dejando esl ~ima facullad al
Adminislrador de los Sislemas. Finalmenle, sobre la falla de licenciamienlo de la
plataforma de servidor de correo electrnico Exchange 2003 Server, se informa el
inicio de comunicaciones con la empresa proveedora con el fin de regularizar la

siluacin .
Lo sealado en los prrafos precedenles no
permite subsanar completamente las observaciones advertidas, cuya regularizacin
definitiva se verificar en una prxima fisca lizacin.

2.-

SALA DE LA UNIDAD INFORMTICA.

La cilada sala cumple slo parcialmenle con

las condiciones necesarias para el resguardo de los datos. En efecto, la
configuracin de la red elclrica y de dalas conlleva el riesgo de afeclar la inlegridad
de la informacin exislenle, puesto que no se encuenlra certificada en su lolalidad ,
dado su crecimiento inorgnico. Adems , se estableci la ausencia de un sistema de
deleccin, conlrol y exlincin de incendio y, de deleccin de cambios de eslado
mbiental con puntos de monitoreo.

0\ .

CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITOR A E INSPECCi N

-4 -

Por su parte, el sistema de aire

acondicionado de precisin no posee un microprocesador que indique los intervalos
del servicio y las horas de operacin del sistema, no encontrndose certificado para
el uso en la sala de servidores. No se cuenta con alarmas espeCficas y sistemas de
alerta en caso de siniestro, como inundaciones
se~altica

y sismos , entre otros , ni hay

de seguridad en las instalaciones.

Asimismo, en la actualidad no se aplican en

las operaciones, medidas de mitigacin de riesgos de fallas en la plataforma de
software y hardware. La disposicin del equipamiento impide la correcta mantencin
y resulta ineficiente respecto de la utilizacin del rack de distribucin de cables de
datos, de energa y de comunicaciones.
En la respuesta de la autoridad se se~ala
que actualmente el Data Center es un recinto cerrado, con acceso controlado,
iluminacin de emergencia, extintores y servicio ininterrumpido de electricidad para
los equipos y que el recinto cuenta con corriente elctrica trifsica para mayor
estabilidad contra las alzas de voltaje, lo que se traduce en proteccin para el
equipamiento. Se~ala , tambin, que el Data Center cuenta con circuito cerrado de
televisin que graba y transforma el material a digitar, pudiendo visualizarse a travs
de Internet. Finalmente, se encuentran instalados dos equipos de aire acondicionado
de 45.000 y 20.000 BTU con autopartida ante corte elctrico y sensor de temperatura
constante.
Agrega, que an habindose realizado
mejoras en los ltimos meses, se ha instruido a la DITEC disponer la elaboracin de
un plan de accin y mejoramiento calendarizado, que se presentar para aprobacin
de SMAPA y de la Administracin Municipal.
En base a los antecedentes aportados, se
levantan las observaciones formuladas , sin perjuicio de las verificaciones futuras que
se efecten.

3.-

SEGURIDAD DE LA INFORMACiN .

Se advirti la inexistencia de pollticas y

procedimientos de registro de personal en trnsito dentro de las instalaciones
informticas, tanto interno como externo de empresas contratistas o que prestan
servicios regulados por contrato. Adems , no existe personal de seguridad o

sistemas de vigilancia remota para el control de las instalaciones de la Unidad de

Informtica y no se documentan los procedimientos de cambios de datos o
configuracin que se rea lizan en equipos de la sala de servidores.
Tampoco existen normativas formales de

administracin y seguridad aplicadas por parte de los usuarios finales de los

sistemas, en cuanto a realizar cambios de claves en forma peridica.
Asimismo, se verific la ausencia de
duplicacin de datos en servidor externo a las instalaciones de SMAPA, como una

medida de resguardo para la continuidad del servicio y que, no se ha contratado un

soporte continuo.

~,

CONTRALORiA GENERAL DE LA REP BLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
-5-

Por otra parte, se requiere de una

redefinicin de tipos y tiempos de interrupcin en las operaciones de los sistemas,
teniendo en consideracin periodo y cantidad de minutos que se estimen aceptables.
Adems, se verific la inexistencia de medidas de seguridad fisica de los datos, no
existiendo respaldos de datos en sitios secundarios o el resguardo en una caja de
seguridad con acceso a travs de llave , tarjeta magntica o duplicacin de respaldos
para conservar disponibilidad de servicios .
En la respuesta se indica que los servidores
se encuentran fsicamente en el Data Center de DITEC y que la informacin es
respaldada externamente mediante un proceso que considera, adems, restauracin
de los medios a travs de la empresa AOB. Adicionalmente, en el mes de febrero del
ano 2008 se constituy el Comit de Seguridad de la DITEC para establecer
mecanismos de seguridad a nivel institucional y se instruy el establecimiento de
medidas de mejoramiento para dar solucin a las observaciones planteadas en el
Preinforme de esta entidad .
En relacin con lo anterior, debe precisarse
que los antecedentes proporcionados en su oportunidad no se ajustan exactamente
al periodo de ejecucin de la auditoria, lo que gener una inexactitud en las
observaciones, de modo que la revisin de estos aspectos ser considerada en una
prxima auditora sobre la materia .

4.-

BASE DE DATOS.

Conforme con la informacin proporcionada

durante la visita , los datos respaldados carecian de encriptacin y verificacin de
integridad de informacin primaria, lo que aumenta el riesgo en la seguridad al
momento de acceder a la informacin que se encuentra dentro de los respaldos.
Adems, los archivos de registros de transacciones (Log), no se usan para revisar la
integridad del servicio ni se ha hecho una auditora de los procesos para evaluar el
rendimiento y la criticidad de las operaciones ms recurrentes , as como la deteccin
de intrusiones.
Se verific la falta de procedimientos
formales para eliminar informacin fs ica de los medios de almacenamiento en los
periodos de tiempo asignados. Asimismo, no se mantenian productos de la
estructura de base de datos, manuales de sistemas y procesos, sino slo los
programas ejecutables y los servicios en linea, lo que determina que cualquier
modificacin a realizar debe ser planificada con antelacin con la empresa
proveedora, sin poder acceder a un conocimiento general , para optimizar los
servicios de SMAPA.
Se determin que no existian procedimientos
de control para el cruce de datos entre los distintos sistemas y no se utilizaban
herramientas externas para la administracin de la base de datos, quedando en
evidencia la existencias de una escasa cantidad de usuarios capacitados para
administrar la base de datos.
En la respuesta se indica que la empresa
AOB realiza la labor de encriptar los datos mediante el software Retrospect una vez
que los datos son traspasados a cinta; no obstante ello, en el periodo auditado no se
provey de informacin acerca de la existencia de un contrato de prestacin de
servicios con dicha empresa, encargada de la administracin de los respaldos y
estauraciones.

CONTRALORiA GENERAL DE LA REP BLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN

-6-

Se informa, tamb in , que se utiliza el backup

propietario de MS SOL Server 7 .0 para real izar el respaldo de las bases de datos y,.
en forma parcial, el software Bulkcopy y que por su parte, la empresa Sonda entreg
manuales de procedimientos, operaciones y DFDs de los sistemas en explotacin;
sin embargo, en el periodo de fiscalizacin no se inform acerca de su uso, como
constaba en el cuadro de aplicaciones y sistemas utilizados a nivel de empresa.
Adems, se indica en la respuesta que para
efectos de administracin de la base de datos no se requiere una herramienta
externa , puesto que el mismo software que maneja el sistema comercial la posee.
Adicionalmente, el riesgo de seguridad para acceder a la informacin se ve
resguardado mediante la comparacin que realiza el rea de contabilidad entre libro
de ventas de SMAPA y el Sistema Cubo OLAP , que corresponde al procesamiento
analtico en linea y que tiene por ventaja realizar consultas con una mayor velocidad
de respuesta , puesto que en una base de datos relacional se almacenan entidades
en tablas discretas si han sido normalizadas.

Respecto de la deteccin de intrusiones se

cuenta con un sistema IDS que cuenta con un Firewall WatchGuard , que reporta
posibles intrusiones detectadas en el enlace princi pal, sin embargo, se reconoce la
falta de escrituracin del procedimiento, por lo que se incluirn las observaciones en
el plan de accin calendarizado a SMAPA y la Administracin Municipal para su
implantacin.
Finalmente, la autoridad municipal seala
que cuenta con manuales de procedimientos, operaciones y diagramas de flujos de
datos de los sistemas; sin embargo, en el perodo en que se llev a cabo la auditaria
no se entreg informacin respecto de manuales de procedimientos y operaciones
de los sistemas.
En consecuencia, considerando que parte de
lo observado obedeci a la falta de entrega de antecedentes actualizados por esa
entidad, la materia ser objeto de futuras fiscalizaciones.

5.-

REDES.

La
normativa
interna
adolece
de
instrucciones para regular las extensiones de puntos de red , la ampliacin de seal,
los layout de rack y la administracin de anchos de banda. Se verific la omisin de
procedimientos para el anlisis de las vulnerabilidades de red municipal y la ausencia
de identificacin de los equipos computacionales y los respectivos usuarios
propietarios que se encuentren conectados a la red .
En la respuesta se indica que se cuenta con
un sistema de inventario Aranda que mantiene la identificacin completa de los
equipos conectados a la red y que, sin perjuicio de ello, se instruy la adopcin de
medidas tendientes a dar solucin a las observaciones e informar su implementacin
y avance a la Contraloria General.
Cabe hacer presente, que en el periodo
fiscalizado no se inform acerca de la utilizacin del sistema de inventario Aranda
~~ actualmente mantiene un registro de los equipos conectados.

CONTRALORA GENERAL DE LA REPBLICA

DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORIA E INSPECC iN
-7En el entendido que se dispondrn las
medidas sealadas, se levanta lo observado inicialmente, cuyo cumplimiento ser
objeto de futuras fiscalizaciones .

6.-

POLiTICAS y REGLAS.

Se comprob que al personal municipal no se

le ha brindado instruccin respecto de la seguridad de las instalaciones y el
equipamiento.
Asimismo, no se han establecido polticas
especificas para la adquisicin de licencias de software, la adopcin de medidas de
seguridad fsica para el uso de las instalaciones de la Unidad Informtica, la
aplicacin de medidas de seguridad lgica y confidencialidad de la Informacin , el
uso de los servicios de la red de datos institucional y de las cuentas de usuarios, la
capacitacin de personal informtico, las normas de uso del servicio de Internet y del
correo electrnico y los planes concretos de mantenimiento preventivo y correctivo
de software de aplicaciones, hardware y telecomunicaciones.
Por otra parte, se determin la falta de
registros de incidentes que indiquen prdidas de datos y/o alteraciones en el
funcionamiento de los sistemas, bases de datos o instalaciones y de ranking con
elementos criticas o pruebas de estado de plataforma seguridad para actualizacin
(aplicacin de norma ISO 27001).
La
direccin desconoce
los
riesgos
asociados al servicio prestado a clientes, riesgo de negocios y de parlisis de la
gestin municipal. Adems, no existe un plan de continuidad en los sistemas de
informacin ni planes de capacitacin en controles y seguridad de sistemas de
informacin , como tampoco existen polticas normativas de grabacin de datos de
clientes. Respecto del layout de equipamiento fsico , certificacin de arquitectura de
red e interconexin de dispositivos para administracin de plataforma de equipos,

datos y comunicaciones, se verific la falta de planes de crecimiento de puntos red y

equipos para abastecer las necesidades municipales.

En la respuesta de la autoridad comunal se

informa que en los aos 2005 y 2006, se realizaron encuentros sobre materias
informticas tales como Seguridad de la Informacin, con funcionarios municipales,
por parte de DITEC y que, prximamente, se publicar un Boletn de Seguridad para
ser distribuido al municipio; no obstante , los encuentros aludidos no corresponden al
perodo fisca lizado.
Sobre la falta de polticas especificas, se
informa que DITEC realizar un plan de accin calendarizado que incluir todas las
observaciones que a la fecha no se hayan subsanado y, que an cuando no existan
manuales de procedimientos sobre materias especficas, cada una de ellas son
desarrolladas y aplicadas por personal profesional de la DITEC.
En base a los antecedentes aportados, se
levanta la observacin formulada , sin perjuicio de las verificaciones posteriores a
01realizar en futuras auditorias.

CONTRALORA GENERAL DE LA REP BLICA

DI VI SiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN

-8 7.-

EXAMEN DE CONTRATOS INFORMTICOS.

Existe un nico contrato en estado de

operacin , suscrito con Sonda S.A., cuyo plazo de ejecucin es de 36 meses a partir
del 1 de abril de 2007. A su respecto se verific la existencia de la boleta de garanta
N' 99414 , de 24 de abril de 2007, del Banco Bice, por un monto de $ 28.969.354.-,
con vencimiento el 31 de mayo de 2010, todo ello de acuerdo con lo dispuesto en el
respectivo convenio.
El

contrato

se

encuentra

narmado

tcnicamente y en funcionamiento , realizndose pruebas de validacin de integridad

de datos a registros de procesos crticos , evaluacin de disponibilidad , tiempo de
respuesta y reportes de salida , sin que de dichas comprobaciones surgieran
observaciones que formu lar.
Los pagos de los servicios se efectuaron
conforme a lo pactado y se encontraban al da.
CONCLUSIONES:
1.- En mrito de lo expuesto, la autoridad
deber dar efectivo cumplimiento a las medidas enunciadas en los numerales 1.2;
1.3 y; 5 del presente informe, tendientes a solucionar las observaciones planteadas,
cuya efectividad ser comprobada en las prximas visitas que se realicen a la
Entidad , conforme las polticas de este Organismo sobre seguimiento de los
programas de fiscalizacin.
2.- Respecto de lo sealado en los puntos
3 y 4, cabe sealar que, considerando que en su oportunidad se dispuso de
informacin que se encontraba en proceso de cambio, segn se advierte de la
respuesta al Preinforme respectivo , las observaciones inicialmente planteadas sern
evaluadas en una prxima fiscalizacin .

el

Transcrbase al Alcalde y al Concejo

Municipal de Maip .

VfVlAN AVILA FIGUEROA

JEFA AREA AUOITORIA
E INSf'ECCION

'l:ueoN1~ At.Q'T'ORLI.

OIVISION DE MUNICIPALIDADES

www.contraloria.cl