Auditoría de carácter especial sobre la plataforma tecnológica implementada para gestionar el Bono Proteger
AUD-282 #ReporteCGR 1
18 de agosto de 2020
15 minutos de lectura
Plataforma Bono Proteger: Convenio, Acuerdos de nivel de servicio, roles y funciones
Generalidades
Objetivo
El objetivo de la auditoría es determinar si la gestión de los controles aplicados en la plataforma tecnológica y la seguridad sobre la información almacenada, utilizada para la puesta en marcha del Bono Proteger impulsado por el Ministerio de Trabajo y Seguridad Social (MTSS) y el Instituto Mixto de Ayuda Social (IMAS), se ajusta al marco normativo jurídico y técnico aplicable.
Asimismo, el objetivo de este reporte es determinar si los acuerdos de niveles de servicio y confidencialidad de la plataforma tecnológica implementada para la gestión del Bono Proteger; y la asignación de roles y funciones para la correcta incorporación del personal en el uso de dicha plataforma; se ajusta al marco normativo jurídico y técnico aplicable.
Alcance y período
El presente reporte abarca los aspectos relacionados con la gestión administrativa del MTSS en cuanto a la asignación de roles y definición de acuerdos de nivel de servicio de la plataforma que soporta el Bono Proteger. Se evaluó la información obtenida a través de entrevistas y solicitudes de información escritas al MTSS y a la Comisión Nacional de Emergencia, en el período comprendido entre el 15 de marzo y el 17 de julio de 2020. Este es el primer reporte de la auditoría en ejecución; durante el proceso de fiscalización se emitirán productos similares y un informe final.
Marco contextual
Mediante Decreto Ejecutivo N° 42227-MP-S del 16 de marzo de 2020, se declaró estado de emergencia en todo el territorio de la República de Costa Rica, debido a la situación de alerta sanitaria provocada por la enfermedad COVID-19. Ello implicó el establecimiento de medidas para contener la propagación del virus y salvaguardar la vida de las personas. Esto ha provocado un cambio en los hábitos de consumo de los habitantes y una disminución de la actividad económica y, a su vez, de los ingresos de gran cantidad de personas trabajadoras. Ante ello, el Gobierno diseñó un programa de ayudas económicas denominado Bono Proteger[1] , el cual consiste en la entrega temporal de un subsidio económico, según el cambio en la condición laboral o reducción de ingresos a raíz de la emergencia nacional.
La plataforma tecnológica está conformada por la página web a través de la cual las personas solicitan este subsidio y también facilita la herramienta que permite a las autoridades responsables determinar el cumplimiento de las condiciones de los solicitantes y asignar la prioridad con la que deben entregarse los bonos. El desarrollo e implementación de dicha plataforma fue realizado por una empresa privada, en el marco de una donación ofrecida a la administración pública[2]. La plataforma fue lanzada el 9 de abril de 2020 y al 8 de julio ha recibido alrededor de 963 mil solicitudes y por medio de ella la administración ha informado sobre el otorgamiento del Bono a más 533 mil personas[3].
Relevancia
Este reporte constituye un insumo para la identificación e implementación oportuna de mejoras, en aspectos administrativos y técnicos de la plataforma tecnológica para la gestión del Bono Proteger, con el fin de contribuir al aseguramiento de la confidencialidad de la información, el establecimiento de criterios para medir los niveles de servicio y el establecimiento pertinente de roles y funciones, en un contexto de emergencia.
Áreas de mejora identificadas
En el diseño y la administración de la plataforma se requiere la asignación de roles y funciones que incluya tanto las áreas del negocio como las técnicas
Una gestión administrativa apegada a buenas prácticas de control interno promueve que las fases de autorización, aprobación, ejecución y registro de una transacción, así como la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control de la totalidad de ese conjunto de labores, o bien en situaciones excepcionales se debe fundamentar la causa del impedimento y deben implantarse los controles alternativos que aseguren razonablemente el adecuado desempeño de los responsables[4].
Cuando los procesos y transacciones son realizados por medios tecnológicos, las decisiones deben contar con asesoría, tanto de las áreas de negocio como del área técnica[5], de manera que se mantenga la coordinación y comunicación con áreas internas y externas[6].
En el caso de la plataforma tecnológica en la cual se gestiona el Bono Proteger, se desarrolla e implementa en coordinación de la Dirección Nacional de Empleo (DNE) y una empresa privada, como se estableció en el Decreto Ejecutivo N° 42305- MTSS - MDHIS. El director de la DNE es el responsable de la administración de la base de datos generada para el Bono Proteger. Asimismo, dicha Dirección ha mantenido el contacto directo con la empresa, se ha encargado de la supervisión del proceso de desarrollo y validación del proceso ejecutado por el sistema.
No obstante, a pesar de tratarse de asuntos altamente relacionados con tecnologías de información, a la fecha no se ha incorporado al Departamento de Tecnologías de Información y Comunicaciones (DTIC) del MTSS como contraparte técnica, de manera que no ha participado en el desarrollo, pruebas y puesta en marcha de la plataforma. Asimismo, dicho Departamento no ha participado en el desarrollo y aprobación de pruebas de calidad en la solución tecnológica, ni otorgó criterio técnico para la administración de la base de datos que soporta el sistema y aún no participa en su administración.
Dicha situación limita la capacidad del Ministerio para validar que el manejo de la base de datos se realice conforme al Protocolo de Manejo Responsable de Datos del MTSS[7] y a la Ley Nº 8968 de Protección de la Persona frente al tratamiento de sus datos personales[8].
Es importante mencionar que la Auditoría Interna del MTSS, por medio del informe N°DGA-AMTSS-IESP-3-2020[9], emitió recomendaciones para que la administración involucre al DTIC en los procesos tecnológicos relacionados con el Bono Proteger y se establezcan los niveles de autorización, aprobación, ejecución y registro de todas las transacciones que garanticen la segregación de funciones incompatibles en torno a ese proyecto. Dichas recomendaciones están en proceso de atención[10].
Adicional a los resultados obtenidos por la Auditoría Interna del MTSS, están pendientes de definir las condiciones requeridas para el alojamiento de la plataforma, una vez finalizado el alcance de los recursos destinados para el otorgamiento de los Bonos Proteger, así como el eventual uso que se le daría[11], dado que el fin para el que fue creada está sujeto a que se mantengan las circunstancias que motivaron el otorgamiento del subsidio y a la disponibilidad de recursos[12]. En este marco, el DTIC ha informado de gestiones realizadas desde mayo del presente año, para la conformación de una comisión integrada por personal de dicho Departamento, para la transición de la plataforma al finalizar la gestión del Bono Proteger. No obstante, dichas gestiones no han fructificado, ya que no se ha definido el detalle de las necesidades de recurso humano y de infraestructura (hardware, software y comunicaciones) para alojar, mantener en operación, dar soporte y seguimiento a la plataforma una vez sea entregada la herramienta y las bases de datos al MTSS[13].
La custodia de toda la información y datos generados relacionados con el trámite del Bono Proteger, es responsabilidad del MTSS, lo cual reafirma la necesidad del DTIC[14] de conocer los requerimientos técnicos utilizados actualmente que le permitan prepararse y desarrollar un ambiente seguro, tanto de infraestructura como de recurso humano, para albergar la plataforma y la información que reciba por parte de la empresa privada[15].
Los acuerdos de nivel de servicio requieren de elementos mínimos para garantizar la operación de la plataforma Bono Proteger
Los acuerdos de nivel de servicio[16] son contratos escritos, formales, desarrollados conjuntamente por el proveedor del servicio de Tecnologías de Información y los usuarios respectivos, en los que se define, en términos cuantitativos y cualitativos, el servicio que brindará el proveedor y las responsabilidades de la contraparte beneficiada por dichos servicios. Para el caso que nos ocupa, se debe considerar que el servicio se desenvuelve en un contexto de declaratoria de emergencia; sin embargo, existen requerimientos básicos que deben atenderse, de manera que al menos se documenten los acuerdos sobre los servicios requeridos, los ofrecidos así como sus respectivos atributos.[17]
Al respecto, el acuerdo entre el MTSS[18] y la empresa desarrolladora contempla un conjunto de características que debe cumplir el servicio, la mayoría de ellas en términos cualitativos, para dar soporte y garantizar la disponibilidad y confidencialidad de la plataforma; sin embargo, a la fecha no se cuenta con los elementos necesarios para la definición de acuerdos de nivel de servicio que establezcan los términos del servicio mínimo requerido, el tiempo de respuesta al usuario, así como en la resolución de incidentes y solicitudes del MTSS, tales como reportes, solicitudes de acceso y mejoras a la plataforma, tal y como se muestra en la siguiente figura:
Figura N.° 1
Acuerdos de nivel de servicio para la operación de la plataforma del Bono Proteger
Ello limita la capacidad del MTSS de evaluar la calidad y cumplimiento del servicio, en aspectos como la calidad de la información y de la comunicación, la seguridad y protección de datos sensibles, y los niveles de acceso a la información[19], al existir una limitación en la disponibilidad de elementos objetivos para medir dichos servicios y realizar las solicitudes de mejora que correspondan.
Las buenas prácticas agregan que los acuerdos de nivel de servicio deben incluir objetivos de nivel de servicio requeridos para satisfacer las necesidades; garantizar que se cumplan los compromisos adquiridos y crear valor; límites de carga de trabajo y excepciones para su aplicación[20], así como un monitoreo periódico para la identificación de oportunidades de mejora[21].
Si bien se reconoce que las acciones para la puesta en marcha y operación de la plataforma se han realizado en un contexto de emergencia, debe prevalecer una gestión administrativa transparente, útil y razonable que satisfaga los fines públicos[22], para lo cual las buenas prácticas contemplan el análisis del servicio una vez que se encuentra en ejecución, con el fin de alinear los requisitos contemplados inicialmente con los niveles de servicio reales, en aspectos como tiempos de servicio, disponibilidad, rendimiento, capacidad, seguridad, continuidad y cumplimiento normativo y regulatorio, así como limitaciones de la demanda[23].
Notas al pie:
[1] Decreto Ejecutivo N° 42305-MTSS-MDHIS y sus reformas del 17 de abril de 2020, Creación del Bono Proteger.
[2] “Convenio de Cooperación entre el Ministerio de Trabajo y Seguridad Social y Continum Data Center S.A.”, suscrito el 02 de abril de 2020 y artículo 6 del Decreto Ejecutivo 42227-MP-S del 16 de marzo de 2020.
[3] Tercer Informe Mensual de Seguimiento a la Ejecución del Bono Proteger, emitido por el MTSS con datos al 8 de julio de 2020.
[4] Norma 2.5.3 de las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE).
[5] Norma 1.6 de las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE).
[6] Norma 2.4 de las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE).
[7] Artículo 27 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020.
[8] Artículo 10 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020.
[9] Estudio del Sistema de Control Interno del Bono Proteger respecto a la gestión del subsidio conforme lo establecido en la Ley 9840. Mayo 2020.
[10] Según lo informado por la Auditoría Interna del MTSS, el seguimiento está en proceso, el vencimiento fue el 26 de julio por lo que se está recopilando la información de lo ejecutado por la Administración.
[11] Artículos 27 y 28 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020
[12] Artículo 9 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020.
[13] Artículos 27 y 28 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020.
[14] Apartados “Creación de bases de datos” y “Administración y mantenimiento de bases de datos” del Protocolo de Manejo Responsable de la Base Datos, Generada por la Emergencia COVID 19 en el MTSS, elaborado por el DTIC.
[15] Artículo 28 del Decreto Ejecutivo N° 42305- MTSS - MDHIS, publicado el 16 de marzo de 2020.
[16] Definición de las Normas técnicas para la gestión y control de tecnologías de información N-2-2007-CO-DFOE.
[17] Norma 4.1 de las Normas técnicas para la gestión y control de tecnologías de información N-2-2007-CO-DFOE.
[18] Ver oficio N° MTSS-DMT-OF-730-2020 del 22 de junio de 2020, en el cual se refiere al convenio de cooperación entre el MTSS y la empresa privada.
[19] Norma 5.8 de las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE).
[20] Apartado 8.3.3 de la Norma Internacional ISO 20000-1 (2018). Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS).
[21] Apartado 8.3.3.2 de la Norma Internacional ISO 20000-2 (2019). Tecnología de la información. Gestión del Servicio. Parte 2: Orientación para la aplicación de sistemas de gestión de servicios.
[22] Norma 4.5.5 de las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE).
[23] APO 09 de las buenas prácticas de COBIT 5, publicado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA), edición en español el 04 de octubre de 2013.
AUD-282 #ReporteCGR 1 Plataforma Bono Proteger.docxAUD-282 #ReporteCGR 1 Plataforma Bono Proteger.pdf