You are on page 1of 4

Vulnerabilidades en el Software Sistema Integrado de Administración Financiera en el

Sector Público (SIAF-SP): Caso Universidad Nacional del Altiplano, Puno, Perú
1
Elvis Augusto Aliaga Payehuanca
2
Elmer Coyla Idme
elvis.aliaga@gmail.com
ecoylai@hotmail.com

RESUMEN
La presente investigación tiene por objeto determinar las deficiencias que presenta el Sistema
Integrado de Administración Financiera SIAF-SP, haciendo un análisis técnico de varios aspectos,
pero principalmente la seguridad de la Base de Datos.
En la actualidad la Universidad Nacional del Altiplano cuenta con un Servidor Exclusivo para la Base
de Datos del Sistema Integrado de Administración Financiera SIAF-SP. Las características de éste
servidor es demasiado potentes en comparación al uso que se le está dando, es decir existe una
capacidad ociosa muy alta.
Referente a la Base de Datos es solo una carpeta que cualquier persona que tenga acceso como
usuario con privilegio incluso de invitado al Sistema Operativo del Servidor puede realizar una copia
en su integridad de la Base de Datos y llevarlo a otra computadora donde se tenga instalado Visual
Fox Pro y empezar a explorar todos los datos de la Base de Datos.
Si se tiene instalado el programa Visual Fox Pro en el Servidor, se puede acceder directamente a
las tablas de la Base de Datos, incluso es posible realizar modificaciones directamente en las tablas.
Otro de los problemas bastantes críticos es la actualización del Software, puesto que es una
aplicación de escritorio, los programas son archivos ejecutables que se tienen que copiar y
reemplazar a los anteriores, ello solamente lo puede hacer los llamados “residentes del SIAF”, que
son personas dependientes del MEF que están asignados cierta cantidad de Entidades del Estado
para que pueda dar soporte en las mismas (la respuesta de parte de ellos a una situación crítica es
muy demorosa).
Por lo anterior existe la necesidad urgente de un cambió de arquitectura de Software para el SIAF-
SP y el uso de tecnologías actuales para el desarrollo del Software en su totalidad.
Palabras Clave:
Vulnerabilidad, Sistemas de Información, Siaf-SP, Base de Datos, Riesgos
INTRODUCCIÓN
En la actualidad la información es considerado como un activo en toda Empresa, y quizá el activo
más importante, puesto que si se tiene una información requerida y en el momento oportuno se
tomará grandes dediciones muy acertadas.
Según menciona Condori (2012) la seguridad en un Sistema de Información está basada en las
personas, es más, para reducir los riesgos y asegurar protección de la información, las
organizaciones a menudo confían en soluciones basadas en tecnologías dejando de lado la
percepción del usuario, quien es el actor principal.
Estamos de acuerdo que uno de los aspectos muy importantes que se deben de tomar en la
seguridad es el factor humano, es decir los usuarios de los Sistemas de Información, pero si a se
tiene un Sistema de Información que no hace uso de las herramientas tecnológicas para aspectos
de seguridad, entonces estamos hablando de Sistemas de Información muy desastroso en lo que
respecta a la seguridad.

M.Sc.en Ing. del Software, Docente a Tiempo Completo – Universidad Nacional del Altiplano Puno
1

Mg. , Docente a Tiempo Completo – Universidad Nacional del Altiplano Puno


2
El Sistema Integrado de Gestión Financiera (SIAF-SP), es un Sistema de Información desarrollado
e implementado por el Vice Ministerio de Hacienda del Ministerio de Economía y Finanzas y es
utilizado por todas las instituciones públicas para llevar la contabilidad de todas las Instituciones
públicas del país. El SIAF-SP constituye el medio oficial para el registro, procesamiento y
generación de la información referente a la administración financiera en el sector público y tiene una
cobertura Nacional, Regional y Local.
A continuación se muestra el proceso de las operaciones que realiza el SIAF-SP y su interacción
con las diferentes entidades del Estado para su interoperatividad tales como la Dirección General
de Presupuesto Público, Dirección General de Contabilidad, etc.

Figura N°1, El SIAF-SP en una Entidad Pública


Como vemos en la imagen anterior toda la Base de Datos del SIAF-SP se encuentra centralizado
en un Gestor de Base de Datos Oracle, y éste (Oracle) es un Sistema manejador de Base de Datos
bastante seguro y nos brinda la garantía de la seguridad y demás aspectos críticos que debe de
tener una Base de Datos.

MATERIALES Y MÉTODOS
Técnicas de Investigación
La técnica empleada en el presente trabajo de investigación, es la encuesta que permitió recoger
información de las oficinas de la Universidad Nacional del Altiplano de Puno tales como:
Planificación, Contabilidad, Abastecimiento, Tesorería, Recursos Humanos, además se utilizó la
observación directa del funcionamiento del Software SIAF.
Instrumentos de Recolección de Datos
Se ha utilizado el cuestionario, que ha sido desarrollado a partir de los indicadores, dicho
cuestionario ha sido validado y cuenta con un nivel de confiabilidad aceptable.
Procesamiento y análisis de Datos
Para el procesamiento y prueba de la hipótesis, se utilizó el software estadístico SPSS y el software
R.
Metodología
De acuerdo a la naturaleza del estudio que se ha planteado, reúne las condiciones metodológicas
suficientes para ser considerada un tipo de investigación descriptiva. Se realizó un trabajo de campo
con la aplicación de instrumentos (encuestas y entrevistas).
RESULTADOS Y DISCUSIÓN
El sistema Integrado de Administración financiera SIAF-SP, funciona en diversas dependencias
administrativas de la Universidad Nacional del Altiplano: Planificación, Contabilidad,
Abastecimiento, Tesorería, Recursos Humanos. En cada una de las dependencias se tiene un
acceso para la ejecución del Sistema SIAF-SP.
N° DEPENDENCIA N° DE TERMINALES
1 Unidad de Contabilidad 10
2 Unidad de Abastecimiento 4
3 Unidad de Tesorería 10
4 Oficina de Presupuesto 3
5 Unidad de Remuneraciones 5
Tabla N° 1 Usuarios del SIAF-SP UNAP PUNO, Fuente: Elaboración propia
Para lograr el objeto de Estudio del presente trabajo de investigación se conformó un Equipo de
Profesionales y técnicos para realizar un análisis detallado del sistema Integrado de Administración
Financiera SIAF-SP, desde su instalación en el Servidor SIAF hasta el análisis del funcionamiento
en cada una de las terminales, ésta última en cada una de las dependencias de la Universidad
donde funciona el SIAF-SP. Adicionalmente se utilizó los instrumentos (entrevistas y encuestas)
para recabar información de parte de los usuarios del SIAF-SP.
Tomando en cuenta el modo de operación del Sistema SIAF, que ni siquiera es una arquitectura
Cliente/Servidor, toda esa capacidad del Servidor (como se describió anteriormente) es en vano,
puesto que solo se está usando como un dispositivo de almacenamiento en una carpeta compartida
a través de la red de comunicaciones. A lo que nos referimos es que el Software no está diseñado
de tal manera que utilice todo el potencial del Equipo Servidor.
Base de Datos
La data del SIAF-SP se almacena en una carpeta denominada “Data” cuya cantidad de archivos es
de 2466, entre archivos con extensión DBF y CDX, si vamos ha hablar de tablas podemos decir que
existen 1233 tablas.
El tamaño de la data depende de la cantidad de información que se va almacenando en sus registros
hasta la fecha el tamaño de la data es 3.94 GB (Junio del 2016).
Respecto al fraccionamiento, la data de la entidad se ha fraccionado en dos archivos uno
considerado como data histórica desde el año 2000 hasta el 2010 y otra data considerado como
data actual desde 2010 hasta la fecha, lo que significa otra dificultad, puesto que si se desea
consultar información financiera de la Universidad de antes de 2010 tendríamos que acceder al
SIAF almacenados en otras ubicaciones del Disco Duro.
Lo más crítico es que al compartir toda la carpeta a través de la red, desde cualquiera de las
computadoras en la red se puede acceder a la totalidad de la Base de Datos y Hacer modificaciones
directamente u obtener una copia de todo el SIAF-SP, que es el caso particular en la que pudimos
obtener una copia, que obviamente con fines de comprobar la inseguridad que es el objetivo del
presente trabajo de investigación.
Como ya hemos indicado, la Base de Datos del SIAF-SP se encuentra en Visual Fox Pro, muy
aparte de no tener ninguna seguridad, otro de los problemas que se tiene constantemente es el
daño que sufren las tablas de la Base de Datos, se dañan los índices de las tablas de la Base de
Datos, esto provoca pérdida algunos registros e incluso la totalidad de registros de la tabla.
Esto ocurre cuando alguna computadora esta haciendo uso de alguna tabla de la Base de Datos y
deja de funcionar (se cuelga) en ese momento es muy probable que se dañe esa tabla, otra forma
es cuando hay cortes de energía eléctrica.
Se efectuó el análisis descriptivo de los 8 indicadores incluidas en el estudio, análisis que se
presenta en resumen de los resultados de las tabulaciones de las preguntas de control:
Respecto a la pregunta si el acceso al SIAF es muy lento y genera tráfico en la red. Un 29% de los
usuarios del SIAP-SP manifiestan que siempre es lento el acceso al SIAF-SP, un 37% indica que
casi siempre es lento y un 34% indica que a veces es lento.
Referente a la pregunta, si es posible el acceso a toda la carpeta a través de la red desde cualquiera
de las computadoras en la red y obtener una copia de parte o todo el SIAF-SP. Un 22% indica que
si es posible realizar dicha acción y que alguna vez lo han echo, un 30% indica que si es posible
realizar dicha acción, un 38% indica que cree que si es posible realizar dicha acción y un 10% indica
que no es posible realizar dicha acción.
A la pregunta si es posible acceder remotamente a través de Internet. Según referencia del personal
que hace uso del SIAF-SP, un 32% de encuestados manifiestan que si es posible el acceso remoto,
un 37 % manifiesta que casi siempre es posible el acceso remoto y un 31% indica que a veces se
puede acceder remotamente.
Si se tiene instalado el programa Visual Fox Pro en el Servidor, se puede acceder directamente a
las tablas de la Base de Datos, y realizar modificaciones en las tablas. Un 32% indica que si se
puede acceder, un 28% indica que no se puede y el 40% de los encuestados indican desconocer
sobre dicho acceso.
A la pregunta Si la Base de Datos sufre daños cuando se presentan cortes de energía eléctrica. Un
68% manifiesta que siempre se daña los registros y un 32% indica que casi siempre se daña los
registros de las tablas del SIAF.
Sobre la pregunta si la Base de Datos del SIAF-SP cuenta con un nivel de seguridad aceptable. Un
80% manifiesta que no cuenta con ningún nivel de seguridad y 5% indica que si cuenta con un nivel
de seguridad aceptable y un 15% indica desconocer sobre el nivel de seguridad de la Base de
Datos.
Al consultar si es dificultoso el acceso a la información histórica financiera de la Universidad (antes
del 2010). Un 25% manifiesta que es muy dificultoso, un 50% indica que casi siempre es dificultoso
y un 25% manifiesta que no es dificultoso.
Los sectoristas del SIAF demoran de 1 a 3 días en la solución de problemas técnicos o realizar
actualizaciones. Un 22% indica que siempre demoran de 1 a 3 días, un 28 % manifiesta que casi
siempre demoran ese rango de días y un 50% manifiesta que a veces demoran más días.

BIBLIOGRAFÍA
Bertolín, J. A. (2008). Seguridad de la información. Redes, informática y sistemas de información.
Editorial Paraninfo.
Condori Henry. (2012), Un modelo de gestión de riesgos basado en el usuario para la seguridad de
sistemas de información en el área académica de la Universidad Nacional del Altiplano Puno.
Iglesias Balbas, R., &Balbas, R. I. (1998). Visual FoxPro 5: Fundamentos y técnicas de
programación.
Hansen, G. W., Hansen, J. V., & James, V. (1997). Diseño y administración de base de datos. Ed.
Prentice Hall. España.
O'brien, J. A., O'Brien, G. M. J. A., &Marakas, G. M. (2006). Sistemas de información gerencial.
McGraw-Hill,.
Oz, E. O. (2008). Administración de los sistemas de información. Thomson,.
Turek, A. (1999). MS Visual FOXPro 6.0 Manual En Espanol/Spanish.
https://mef.gob.pe/

You might also like