TEXTO PAGINA: 68
NORMAS LEGALES El Peruano Lima, sábado 19 de mayo de 2007 345690 edifi caciones para servicios de datos, voz, imagen y video; el trazado y tendido de cableado de red, topología de red, materiales, disposición en planta y acondicionamiento de edi fi caciones para acoplar redes. Precisa que se han encontrado las siguientes omisiones en la norma internacional: a) Norma Técnica de Control Nº 500-05 el cual se re fi ere a la seguridad de Programas, de datos y de equipos de cómputo; y b) Norma Técnica Peruana NTP – ISO / IEC 17799 2004 EDI. Código de buenas prácticas para la gestión de la seguridad de información. El Informe Largo señala como efecto de la presente observación: a) Alto con implicancias en Gestión del Centro de Cómputo y pérdida de la Ínterconectividad en los equipos terminales de datos; b) Pérdida de comunicación entre áreas, de activos institucionales y de continuidad; c) Baja efectividad del Sistema; d) Indisponibilidad ya sea por interrupción del servicio, pérdida de la calidad del servicio. Como causa de esta observación el Informe Largo señala que el área de Informática no ha implantado controles internos pertinentes que permitan detectar oportunamente la defi ciencia presentada. Respecto a esta observación el Informe Largo señala que le asiste responsabilidad administrativa al Sr. Oscar Ocaña Malca, Jefe de Informática , al incumplir sus funciones según lo dispone el inciso a) del artículo 21º del Decreto Legislativo Nº 276 - Ley de Bases de la Carrera Administrativa y de Remuneraciones del Sector Público, que dispone que son obligaciones de los servidores el de cumplir personal y diligentemente los deberes que impone el servicio; Que, en la OBSERVACIÓN Nº 7 del Informe Largo, denominada Plan Estratégico de Sistemas de Información y políticas de seguridad informática, se señala como condición lo siguiente: a) No existe un Plan Estratégico de Sistemas de Información; b) No se ha tenido en consideración la Normatividad actual respecto a la implementación del informe COSO vigente para todas las entidades del Estado y de COBIT como metodología a seguir para lograr los objetivos de control adecuados; c) Respecto al Manual Entregado conteniendo las políticas de seguridad informática encontramos algunas anomalías: - Fecha de Elaboración y Vigencia, - Aprobación y difusión; - No existe un cronograma de revisión y actualización del cumplimiento de lo contemplado en este documento; - En el punto 6.1 referido a la política de cuenta; el proceso debe empezar con el formato de requerimiento aprobado por la jefatura correspondiente u el dueño del modulo involucrado; - En el punto 6.2 referido a la política de contraseñas; debe existir una bitácora de anulación total o parcial (temporal) y los respectivos pedidos de anulación de cuentas de usuario; - En el punto 6.4 no existen pruebas documentadas en las que se asegure que se realice el procedimiento de backup (o cualquier otro medio magnético de almacenamiento) en una ubicación alterna a la municipalidad o en la jefatura de informática; - En el punto 6.8 re fi ere que se realizará una auditoría interna de seguridad cada cierto tiempo pero no existe información referente a la realización de este evento; - En lo referente a las amenazas comunes contra la seguridad (punto 7.1 inciso e) no se tiene la cantidad adecuada de extintores de polvo químico en la municipalidad, ni tampoco encontramos señalizadas las vías de salida rápida. En el inciso i) del mismo punto se re fi ere a las caídas y subidas de tensión para lo cual el local municipal no cuenta con un sistema de corriente estabilizada o con unidades de potencia ininterrumpida (UPS) que corrijan las fallas eléctricas y mantenga la operatividad del servicio. Al respecto el Informe Largo señala que se contravienen las siguientes disposiciones: a) Norma de Control Interno 500-02 referida al plan de Sistemas de Información; y b) Norma Técnica Peruana NTP- ISO /IEC 17799. 2004 EDI. Código de buenas prácticas para la gestión de la seguridad de información. El Informe Largo señala como efecto de la presente observación lo siguiente: a) Al no existir un Plan Estratégico de Información no se puede satisfacer la misión y metas de la organización ni tampoco aprovechar las oportunidades de tecnologías de información; b) La falta Políticas de Seguridad Informática trae consigo la falta disponibilidad, con fi abilidad, operatividad de un sistema de información con el consecuente aumento de gastos y costos operativos. Como causa de esta observación el Informe Largo señala que el área de Informática no ha implantado controles internos pertinentes que permita detectar oportunamente la de fi ciencia presentada. Respecto a esta observación el Informe Largo señala que le asiste responsabilidad administrativa al Sr. Oscar Ocaña Malca, Jefe de Informática, al incumplir sus funciones según lo dispone el inciso a) del articulo 21º del Decreto Legislativo Nº 276 - Ley de Bases de la Carrera Administrativa y de Remuneraciones del Sector Publico, que dispone que son obligaciones de los servidores el de cumplir personal y diligentemente los deberes que impone el servicio; Que, teniendo en cuenta el carácter de PRUEBA PRECONSTITUIDA del Informe Largo, según lo establecido en el artículo 15º, literal f), de la Ley Orgánica del Sistema Nacional de Control - Ley Nº 27785, se ha llegado a la conclusión que los ex funcionarios antes mencionados habrían realizado las conductas descritas en cada una de las observaciones y por tanto transgredido la normativa citada en las mismas, así como los dispositivos del ROF, conforme se señala a continuación: (i) El Sr. LUIS VILLALOBOS GAVIDIA, ex Gerente de Administración, comprendido en las Observaciones Nºs. 1, 2, 3 y 4 del Informe Largo, habría transgredido lo establecido en el artículo 97º, numeral 3), literales a), b) y f), del Régimen de Organización Interior y Funcionamiento, aprobado mediante Ordenanza Nº 059, de fecha 29-04-05, y modi fi cado por la Ordenanza 067 del 20-07-05, que respectivamente establece como funciones de la Gerencia de Administración las siguientes: “a) Programar, organizar, dirigir y controlar la gestión de los recursos económicos y fi nancieros de la Municipalidad (…)”; “b) Programar, organizar y dirigir las acciones de control previo y concurrente de la documentación fuente para la elaboración de los estados fi nancieros.”; y “f) Organizar y optimizar la administración fi nanciera de la Municipalidad y proporcionar la información contable adecuada para facilitar la toma de decisiones.” (ii) La Sra. ANA DELGADO DE LA FLOR CASTILLO, ex Gerente de Rentas, comprendida en la Observación Nº 1 del Informe Largo, habría transgredido lo establecido en el artículo 92º, numeral 3), literales c) y f), del Régimen de Organización Interior y Funcionamiento, aprobado mediante Ordenanza Nº 059, de fecha 29-04-05, y modi fi cado por la Ordenanza Nº 067 del 20-07-05, que respectivamente establece como funciones de la Gerencia de Rentas las siguientes: “c) Programar, organizar, controlar y evaluar las actividades defi scalización y control del pago de las obligaciones tributarias y no tributarias”; y “f) Programar, organizar, controlar y dirigir las actividades de gestión fi nanciera de los recursos municipales.”; (iii) La Sra. ROXANA ALVARADO ARÉVALO, ex Jefe de Personal, comprendida en la Observación Nº 5 del Informe Largo, habría transgredido lo establecido en el artículo 99º, numeral 3), literal e), del Régimen de Organización Interior y Funcionamiento, aprobado mediante Ordenanza Nº 059, de fecha 29-04-05, y modi fi cado por la Ordenanza 067 del 20-07-05, que respectivamente establece como función de la Jefatura de Personal: “e) Programar, organizar, dirigir y controlar las actividades administrativas derivadas de la relación o vínculo laboral o prestación de servicios profesionales.” (iv) El Sr. OSCAR OCAÑA MALCA , ex Jefe de Informática, comprendido en las Observaciones Nºs. 6 y 7 del Informe Largo, habría transgredido lo establecido en el artículo 91º, numeral 3), literales b) y e), del Régimen de Organización Interior y Funcionamiento, aprobado mediante Ordenanza Nº 059, de fecha 29-04-05, y modi fi cado por el artículo 104º, numeral 3), literales b), y e) de la Ordenanza Nº 067 del 20-07-05, que respectivamente establece como funciones de la Jefatura de Informática, las siguientes: “b) Programar, organizar, dirigir y controlar el mantenimiento preventivo y correctivo de los equipos de cómputo y de telecomunicaciones de la Municipalidad.”; y“e) Programar, organizar, dirigir, controlar y evaluar las acciones relacionadas con la administración y seguridad de las redes y bases de datos de información de la gestión municipal.” Lo antes señalado conllevaría el incumplimiento de la obligación prescrita en el artículo 21º, inciso a), del Decreto Legislativo Nº 276, Ley de Bases de la Carrera Administrativa, que prescribe el cumplimiento personal y diligente de los deberes que impone el servicio público, y en consecuencia resultaría que los ex funcionarios públicos involucrados en dichas observaciones habrían incurrido en falta de carácter disciplinario prevista en el Art. 28°, inciso d), del Decreto Legislativo Nº 276 - Ley de Bases de la Carrera Administrativa, que se re fi ere a la negligencia en el desempeño de sus funciones; Que, además de los ex funcionarios públicos antes mencionados, también estaría implicado en las