INFORME DE AUDITORIA Al Señor Secretario Dr. Marcio Barbosa Moreira Secretaría de Interior Ministerio del Interior Balcarce 24 (C1064AAB) Ciudad Autónoma de Buenos Aires. En uso de las facultades conferidas por el artículo 118 de la Ley Nº 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio del Interior y sus dependencias (Registro Nacional de las Personas –ReNaPer-, Dirección Nacional de Migraciones –DNM- y el Archivo General de la Nación –AGN-) con el objeto que se detalla en el apartado 1. 1.- OBJETO DE AUDITORÍA Evaluación general de los controles de la tecnología de la información (TI) en el Ministerio y los proyectos de sistemas de información gestionados para el ReNaPer, Dirección Nacional de Migraciones y el Archivo General de la Nación. 2.- ALCANCE El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría General de la Nación, aprobadas por la Resolución N° 145/93, dictada en función del artículo 119, inciso d, de la Ley N° 24.156. La evaluación general de los controles de la tecnología de la información en el Ministerio y los proyectos de sistemas de información gestionados para el ReNaPer, Dirección Nacional de Migraciones y el Archivo General de la Nación ha comprendido: el ambiente de control TI en el Ministerio 1 los proyectos TI en el ámbito del Ministerio: Nuevo DNI para ReNaPer y Modernización Tecnológica del Archivo General de la Nación los sitios web del Ministerio, ReNaPer y Nuevo DNI y Archivo General de la Nación. Se hace constar que los proyectos de la Dirección Nacional de Migraciones se desarrollaron sin intervención de la Dirección General de Gestión Informática –DGGI-, por lo que se encuentran fuera del alcance de la presente auditoría. Sin embargo, el relevamiento permitió evaluar los vínculos de los principales sistemas de la DNM con el sistema del Nuevo DNI. La presente auditoría tuvo limitaciones a su alcance por falta de información solicitada y no entregada por el organismo y por la limitada disponibilidad de los funcionarios de la TI, que se hallaban abocados a los preparativos previos al lanzamiento del pasaporte por ReNaPer. Ver detalle en las Aclaraciones Previas. Se practicaron los siguientes procedimientos: Análisis de la normativa vigente del organismo. Análisis de las normas generales en materia de tecnología, de competencia de la Secretaría de la Gestión Pública y de SIGEN (Sindicatura General de la Nación). Entrevistas con los siguientes funcionarios del Ministerio del Interior: Secretario de Interior Auditora Interna Titular Subsecretaria de Coordinación Director General de Gestión Informática Subdirector General de Gestión Informática Director de Tecnología y Seguridad Director de Sistemas Director General del Archivo General de la Nación. Auditor Informático 2 Entrevistas con los siguientes funcionarios del ReNaPer: Directora Nacional Auditora Interna Directora de Identificación Director Nacional de Programación y Producción Documental Director Nacional de Atención al Ciudadano y Relaciones Institucionales Director General de Tecnología de la Información Director de Tecnología de la Información Director de Planeamiento y Estadística Coordinador Operativo de Informática Coordinador de Seguridad Informática Jefa de División Ingreso de Trámites Supervisoras de Turno del Call Center 0800 para el “Nuevo DNI” Entrevistas con los siguientes funcionarios de la DNM: Director de Sistemas Auditor Interno Director General de Movimiento Migratorio Director General de Inmigración Director de Control de Permanencia Director de Radicaciones Análisis de la siguiente documentación: Misiones, Funciones y Organigrama del Ministerio del Interior. Personal asignado a la Dirección General de Gestión Informática (DGGI). Plan Estratégico de Sistemas 2008/2009. Acciones desarrolladas en el marco del Plan de Gobierno Electrónico, Política de Seguridad y Resolución SIGEN 48/2005. Plan Informático y de Políticas Web 2009. Detalle del presupuesto del Ministerio del Interior (2007/2009). 3 Gastos devengados por la DGGI (2007/2009). Detalle de gastos imputados al proyecto “Nuevo DNI” del ReNaPer. Políticas y normas relativas a la administración de usuarios, mantenimiento de base de datos y de los sistemas operativos. Acta de reunión del comité de seguridad (2009). Diagrama de red del "Nuevo DNI". Copia de los contratos con PNUD para la provisión de Software y Hardware y servicios para el nuevo proyecto de catalogación y escaneo en el Archivo General de la Nación. Diagrama de Servidores. Inventario de Software (Sistemas Operativos, herramientas y base de datos) y Hardware. Alertas y Monitoreos (“Nagios”). En versión web Documentación publicada en la plataforma “Wiki” de la DGGI. Plan de Infraestructura de TI (Tecnología de la Información) del Ministerio del Interior. Documentación solicitada y no entregada por el organismo auditado: Detalle de las aplicaciones informáticas implementadas en el Ministerio, incluyendo las aplicaciones desarrolladas para ReNaPer, Dirección Nacional de Migraciones y Archivo General de la Nación, indicando el modo de financiación y los actos administrativos emitidos por el organismo para su desarrollo y/o implementación. Informes de gestión producidos por la DGGI. Informes de calidad sobre los proyectos informáticos en curso. Listado de aplicaciones desarrolladas por la Dirección de Sistemas del Ministerio del Interior y en mantenimiento con todos los detalles de su inventario. Listado de aplicaciones en desarrollo con los detalles técnicos y de planificación. Lista del personal designado a tareas técnicas en materia de seguridad informática del "Nuevo DNI". Plan de contingencia del "Nuevo DNI". 4 La evaluación abarca el período comprendido entre Noviembre 2009 y primer semestre de 2010. 2.1. Tareas de campo Se desarrollaron entre Octubre de 2010 y Marzo de 2011. 3. Aclaraciones Previas 3. 1 Ministerio del Interior y la Gestión Informática Por Dto. Nº 258/03 se aprobó la estructura organizativa de 1er y 2do. Nivel operativo, asignando entre otras funciones a la Dirección General de Gestión Informática (DGGI) del Ministerio del Interior con competencia para dirigir y optimizar la utilización de Tecnologías de la información y las Comunicaciones del organismo y de aquellos a los que brinda su apoyo basándose en la implementación y seguimiento de las políticas relativas a las Tecnologías de la información y las Comunicaciones. Por su parte, el Dto. 441/06 aprueba la estructura organizativa de la DGGI que comprende la Subdirección General de Gestión Informática y dependiendo de esta última la Dirección de Tecnología y Seguridad y la Dirección de Sistemas. 3.2 Registro Nacional de las Personas (ReNaPer) El Registro Nacional de las Personas, se creó por Ley 13.482, con la finalidad de facilitar a las autoridades del Estado el conocimiento de todos los datos que conforman la individualización de las personas y estará a su cargo y con carácter exclusivo la emisión de los DNI. no obstante ello, en lo que respecta al proceso de identificación, toma de trámites, expedición, cambio y o reposición del DNI interviene tanto el Estado a través del ReNaPer como los Estados provinciales a través de las oficinas seccionales dispuestas en las oficinas de registro civil del país. Fuera del territorio nacional, esas funciones se realizan a través de oficinas Consulares. 3.2.1 La gestión de la tecnología de la información en ReNaPer Por Dto. 773/07, y su modificatoria Res. Nº 612/09 se aprobó la estructura organizativa hasta el primer nivel operativo de la Dirección General de Tecnología de la Información, debiendo 5 ésta planificar, coordinar y administrar las actividades de tecnología de la información del organismo, incluyendo la totalidad de la infraestructura de equipamiento y software computacional y de comunicaciones, tanto de datos como de voz, los sistemas de información y las tecnologías asociadas, existentes y a incorporarse. Por Res. nº 2135/09MI se crearon en el ámbito de la Dirección antes citada a) la Coordinación Operativa de Informática cuya función es: coordinar la administración de las bases de datos de los sistemas informáticos tendientes a realizar las tareas de identificación y producción documentaria del Registro; y b) la Coordinación de Seguridad Informática, dependiente de la Dirección de Prevención y Control interviniendo en la definición de políticas de seguridad informática del organismo. 3.2.2 Proyecto “Nuevo DNI” 3.2.2.1 Situación Previa El estado de la gestión en la producción parcialmente manual de los DNI a enero de 2008 mostraba 1,5 millones de documentos pendientes, un tiempo de entrega promedio superior a un año y demoras de hasta dos años. El fichero general, se ubicaba en depósitos con problemas de humedad, ventilación, electricidad y seguridad. 3.2.2.2 Acciones Con la situación descripta se adoptó un nuevo modelo de producción digital de DNI y se ejecutaron las siguientes acciones: Digitalización integral de las 50 millones de fichas. Diseño propio del software de gestión y producción documentaria con la colaboración de la Universidad Tecnológica Nacional, desarrollo “Open Source”, Adquisición de servidores y equipos de almacenamiento de acuerdo al tráfico y volúmenes previstos. Plan Deuda Cero: A fin de reducir la deuda documentaria se incorporo un sistema informático de gestión. El contraste dactiloscópico se hace con el sistema. Construcción de 30 Centros de Documentación Rápida (CDR) en todo el país con dispositivos biométricos para la captura y procesamiento de datos, la puesta en marcha de 6 un centro propio en la Ciudad de Buenos Aires y tres móviles para la toma de trámites, producción y entrega de DNI. Incorporación y capacitación de personal del Organismo destinados al nuevo proceso productivo tomaron pasantías universitarias con el objeto de actualizar los datos no cargados al fichero general. Construcción de un nuevo fichero general y traslado de las fichas de identificación. Remodelación del inmueble destinado a la fabricación de DNI, dotándolo de seguridad en los procesos de producción –incluyendo el Centro de Cómputos-, cableado estructurado y nuevas tecnologías en materia de comunicaciones. En este orden, es de señalar que, para el desarrollo del “Nuevo DNI” el ReNaPer crea el Centro de Producción Documental, asignándole una organización y equipamiento informático con nuevas centrales telefónicas. Se acondicionó el Centro de Documentación Rápida al Centro de Atención al Público CAP Nº 3 en la Ciudad Autónoma de Buenos Aires (Av. Paseo Colón 1093). Se encuentra en ejecución la adecuación del centro de cómputos del Ministerio del Interior con nuevas antenas de comunicaciones, tendido de cables y fibras para la conectividad entre los edificios del ReNaPer y del Ministerio. Asimismo, se suma la instalación de herramientas de monitoreo para el tráfico de la red del Registro y de la DNM. Paralelamente el organismo estaba desarrollando el aplicativo del Nuevo DNI con recursos propios y sobre plataformas basadas en arquitectura de código abierto y un nuevo centro de procesamiento de datos. Finalizando las tareas de campo se encontraba el Ministerio acondicionando un nuevo Centro de Cómputos y evaluando la posibilidad de utilizarlo como un sitio alternativo en el procesamiento del nuevo DNI. 3.2.2.3 Dirección TI del Proyecto Si bien no hubo una designación formal de la Dirección del Proyecto, las decisiones asumidas corresponden al nivel ministerial y a un equipo integrado por el Secretario del Interior, la Directora Nacional del ReNaPer y la Subsecretaria de Coordinación del Ministerio del Interior. Por su parte la Dirección TI del proyecto estuvo a cargo del Director General de 7 la DGGI y el equipo integrado por el Subdirector, Director de Tecnología y Seguridad, Director de Sistemas de la DGGI así como el Director General de Tecnología de la Información del ReNaPer., mientras que el desarrollo principal del aplicativo ha estado a cargo de la Subdirección, la responsabilidad de la infraestructura TI recayó en la Dirección de Tecnología y Seguridad, mientras que la implementación de las oficinas digitales, en la Dirección de Sistemas. 3.2.2.4 Características del Nuevo Proceso Captura de datos digitalizada Una Resolución de ReNaPer respalda la creación de cada oficina de registro digitalizada. Cada oficina recibe “kits” o equipamiento informático para la toma digital de los pedidos de DNI y capacitación del personal. La conectividad requerida para la trasmisión de la información hacia el Centro de Cómputos de ReNaPer, en la mayoría de los casos corresponde a la Oficina de Registro Provincial. La captura de datos comprende: Datos Personales, Ficha de Identificación Capacidad Educacional Captura de datos biométricos (Foto, Firma y Huellas Digitales) y Partida de Nacimiento. Procesamiento en la Fábrica de Documentación Con la información trasmitida vía web desde las oficinas digitales se realizan operaciones de Cotejo dactiloscópico, verificación de datos, impresión de libreta y tarjeta, ensobrado y despacho a correo. Atención al Público En el Centro de Atención al Público remodelado (C.A.P. Nº 3) en la Ciudad de Buenos Aires se lleva a cabo la captura digital de datos y desde el call center, ubicado en su Sede Central, se registran los pedidos y se asignan horarios de atención. 8 Puestos Móviles El ReNaPer dispone de camionetas equipadas con antenas satelitales para conectividad con el sistema informático, para la captura de datos existiendo en algunas de ellas equipos para la impresión de la tarjeta y libreta del DNI. La seguridad está basada en Redes Privadas Virtuales (VPN). Captura de datos manual En las oficinas de registro provinciales que no disponen del equipamiento para captura en línea –25% del total a Enero de 2011- , ésta se lleva a cabo mediante un formulario que se remite al ReNaPer donde se controlan y se graban los datos ingresándolos al sistema para continuar con el cotejo dactiloscópico y restantes etapas hasta el despacho del DNI. Fabricación de soportes Las libretas para el DNI se producen en el ReNaPer con equipamiento gráfico de seguridad. 3. 3 Archivo General de la Nación (AGN) Por ley 15.930 se asigna, entre otras la función de reunir, ordenar y conservar la documentación que la ley le confía a efectos de difundir las fuentes de la historia Argentina. 3.3.1 Proyecto “Modernización Tecnológica del AGN” 3.3.1.1 Antecedentes El Archivo General dispone de dos archivos: uno histórico y otro intermedio, con documentación de los siglos XVI a XIX y XX respectivamente. En el capítulo “Situación Actual” del proyecto, se describen las limitaciones que existían a Junio de 2009, con el propósito de justificar la ejecución del proyecto “Modernización Tecnológica de AGN” A continuación se transcribe una síntesis de las mismas: No existe un espacio adecuado en correspondencia con el volumen documental. No cuentan con sistemas y equipamiento informático para llevar a cabo la clasificación de los documentos. 9 Los espacios para hospedar y operar normalmente los equipos tecnológicos que deben ser incorporados para sustentar la gestión resultan inadecuados. Escaso nivel de visibilidad institucional y de su archivo documental. Consultas poco ágiles (existen documentos que por su estado de deterioro deben ser retirados de la consulta física). 3.3.1.2 Área de Digitalización Se crea en el año 2004 con el objeto de preservar la documentación. En ese sentido se ejecutó una labor de digitalización de la informatización y su indización, así como inventarios y catálogos. El proyecto se desarrolla con la asistencia del Programa de las Naciones Unidas (PNUD) ARG/09/006 -.y la Subsecretaría de Coordinación como organismo ejecutor, El objetivo es diseñar, desarrollar e implementar un nuevo modelo de gestión de archivos basado en la utilización de las nuevas tecnologías de la información y de las comunicaciones. Estrategia La estrategia del proyecto se visualizara por: Digitalización orientada a producir con alta calidad originales únicos y de alto valor histórico, proponiendo normalizar los instrumentos descriptivos de las unidades documentales a digitalizar conforme a las normas archivológicas internacionales ISAD/G. Acceso de la información al ciudadano Permitirá acercar a un importante número de ciudadanos de cualquier punto geográfico la información histórica. Historiadores, investigadores, docentes o especialistas, harán uso del acervo sin tener contacto directo con originales, preservando su estado. Finalmente se contara con herramientas que permitan sistematizar las consultas diarias determinando sus perfiles a fin de contar con mecanismos para mejorar los procesos y servicios. 3.4 Recursos Asignados a TI 3.4.1 La Dirección General de Gestión Informática (DGGI), cuenta con un total de 22 10 personas, con un Director General de Gestión Informática, un Subdirector General de Gestión Informática, Director de Tecnología y Seguridad y un Director de Sistemas 3.4.2 Presupuesto Créditos y Gastos – TI (2007-2009) Ejercicio Programa Actividad Fuente de Financiamiento Crédito Devengado 2007 1 4 11 4.210.486,76 2008 1 4 11 3.864.797,14 2009 1 4 11 8.603.124,41 Aclaraciones: Programa 1: "Actividades Centrales". Actividad 4: "Administración de las Tecnologías de la Información y las Comunicaciones". Fuente de Financiamiento 11: Tesoro Nacional. 3.4.3 Proyectos 3.4.3.1 Nuevo DNI Las compras fueron realizadas con partidas presupuestarias del Ministerio del Interior, transfiriéndose los bienes con posterioridad al inventario de ReNaPer. Las compras se hicieron bajo los proyectos UNOPS ARG/08/R38, UNOPS ARG/08/R53, OIM UGAP-CE 0030-9/001, PNUD ARG/08/030 y la Dirección de Compras y Suministros del Ministerio del Interior. 11 3.4.3.1.1 Gastos Inicialmente Previstos Detalle Monto en Pesos Adecuación edilicia Chutro 10.600.000 Equipamiento 27.406.440 Digitalización 10.345.000 CDR's Móviles 3.369.000 TOTAL PROYECTO 51.720.440 Nota: Chutro corresponde a la Fábrica de producción documental 3.4.3.1.2 Gastos devengados por las Licitaciones Descripción Dólares Pesos Reacondicionamiento CPD Chutro 0 3.254.386 Equipos para la fabricación del “Nuevo DNI” 3.419.840 24.868.419 Insumos “Nuevo DNI” 9.131.130 0 Equipamiento CDR's 4.371.595 7.946.896 Equipamiento de Redes 0 2.212.851 Servicio de actualización y digitalización de expedientes 0 4.254.008 905.421 1.320.870 0 1.374.600 17.827.986 45.232.030 Equipamiento de Base (Servidores, PC's, Impresoras, etc) Equipamiento CDR's Móviles TOTAL INFORMADO 3.4.3.2 Modernización del Archivo General de la Nación 3.4.3.2.1 Plan previsto a ejecutar Período Monto en U$S 2009 2.778.940 2010 826.060 TOTAL A EJECUTAR 3.605.000 12 3.4.3.2.2 Gastos devengados por las licitaciones PNUD ARG 09/2009 Sector Centro de Digitalización Descripción Scanners Planetarios y de Microfilmación En pesos Incidencia 2.292.161 45,49 PC's, Impresoras y Scanners 264.960 5,26 Oficinas del AGN PC's y Accesorios 361.250 7,17 Sistemas de Gestión Diseño y Desarrollo Consultas y Páginas Web) 2.120.000 42,08 TOTAL (Catalogación, 5.038.371 13 4. COMENTARIOS Y OBSERVACIONES Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes. Los comentarios se agruparon según se refieran al Ambiente de Control (I) o a los proyectos de Sistemas Relevados (II). I) Ambiente de Control 4.1 Objetivo de Control: Plan de Tecnología de Información Establecer un proceso de planeamiento estratégico en TI de largo plazo para administrar y dirigir todos los recursos articulados con la estrategia del Ministerio y sus prioridades. La DGGI y las Direcciones del Ministerio son responsables de garantizar que se materialice el valor óptimo del grupo de proyectos y servicios. El plan de TI deberá referenciar y articularse con otros planes tales como el plan de calidad y el plan de manejo de riesgos de la información. 4.1.1 Proceso de Planeación Se recepcionó el documento Plan Estratégico de la Tecnología de la Información correspondiente al año 2008 redefinido y acotado a tres proyectos en ReNaPer, Archivo General de la Nación y Agencia de Seguridad Vial. El documento no reúne los requisitos básicos para ser considerarlo un Plan Estratégico de TI. No cuenta con, la aprobación formal, la descripción de la situación actual, la estrategia organizacional, el modelo de la TI ni con el modelo de planeación. No existe un proceso regular para su producción anual o plurianual, requisito exigido tanto por las Normas de Control Interno para Tecnología de la Información para el Sector Público Nacional (Res. 48/05 SIGEN) como por las misiones y funciones de la DGGI establecidas por decreto 441//06 (acción 1). No resulta posible garantizar el alcance óptimo para el grupo de proyectos y servicios como así tampoco lograr la mejor comprensión respecto de las oportunidades y limitaciones de la TI, ni la evaluación del desempeño actual y claridad en el nivel de inversión requerido. 14 4.1.2 Plan Nacional de Gobierno Electrónico (PNGE) El documento Plan Informático y de Políticas Web -períodos 2010/2011- relata los programas e instrumentos existentes dentro del Plan Nacional de Gobierno Electrónico y no puede considerárselo como tal (carece de aprobación formal, un cronograma de actividades para el cumplimiento de cada programa y un detalle de los recursos asignados). Se detectó el incumplimiento del Dto. 378/05 -por el cual se aprueban los lineamientos estratégicos que deberán regir en el Plan Nacional de Gobierno Electrónico-, en lo que respecta a la elaboración del Informe de Diagnóstico de Situación del Ministerio y el Plan Sectorial de Gobierno Electrónico. 4.2 Objetivo de Control: Definición de la Arquitectura de la Información La Dirección General de Gestión Informática debe crear y actualizar regularmente el modelo de arquitectura de la información que utiliza el Organismo y definir los sistemas apropiados para optimizar su uso. Esto incluye el desarrollo de un diccionario corporativo de datos que contenga reglas de sintaxis, esquema de clasificación y niveles de seguridad. 4.2.1 Arquitectura lógica y física Se obtuvo evidencia sobre la existencia de un diagrama de relaciones para el sistema Nuevo DNI. No se detectaron actividades destinadas a crear y actualizar el modelo de arquitectura de la información del Ministerio ni de los organismos dependientes tales como ReNaPer y Archivo General de la Nación. La falta de este proceso impide que la información proporcionada resulte confiable y oportuna a fin de mejorar la calidad en la toma de decisiones gerenciales. Se estima que de no asignarse responsabilidades sobre integridad y seguridad de datos resultaría imposible perfeccionar la efectividad del control de la información compartida por las aplicaciones y organismos de incumbencia del Ministerio. 4.3 Objetivo de Control: Participación Pro-activa de Auditoria El área de TI deberá obtener una opinión independiente, buscando que una auditoría evalúe 15 cada solución de tecnología de información desarrollada, antes de su instalación. 4.3.1 Opinión Independiente Los proyectos de gestión documental de ReNaPer y de Modernización Tecnológica del Archivo General no han contado con una opinión independiente antes de su lanzamiento. Para el ReNaPer, implicó contrataciones, de servidores, enlaces de comunicaciones así como de equipamiento de digitalización sofisticado y para el AGN el desarrollo de un sistema de catalogación. Ésta circunstancia, reduce la capacidad del control interno sobre las actividades de TI como ser el cumplimiento de políticas y estándares, seguridad de la información y controles establecidos en los acuerdos de provisión de servicios. 4.4 Objetivo de Control: Comité de Dirección Se deberá designar un Comité de planeamiento o dirección a cargo del control de los proyectos de TI, integrado con autoridades del Ministerio, con áreas usuarias y de la DGGI, con competencia para: a.) determinar prioridades en los programas de inversión de TI alineadas con la estrategia y prioridades del organismo b.) realizar el seguimiento de los proyectos y resolver los conflictos de recursos c.) monitorear los niveles y mejorar la calidad de servicio. Deberá reunirse periódicamente y reportar a las autoridades del organismo. 4.4.1 Observación: Decisiones de Estrategia No se tiene formalmente prevista la conformación de este Comité. La prioridad en la asignación de los recursos para los desarrollos de TI no dispone de un mecanismo que facilite el consenso en el interés de la organización y que comprometa formalmente a las áreas usuarias, de sistemas y a la dirección del organismo. 16 Dada la envergadura de los proyectos en curso, esta práctica resultaría fundamental a fin de obtener mayor objetividad, transparencia y comunicación de la gestión. 4.5 Objetivos de Control: Estructura organizacional Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del Organismo. Se deberá implementar un proceso de revisión periódico que ajuste los requerimientos del personal y de las estrategias que permitan alcanzar los objetivos esperados. 4.5.1 Supervisión La DGGI diseñó y elaboró el sistema Nuevo DNI, y luego de su puesta en marcha, mantiene el control –administración- sobre su núcleo central, excediéndose en las funciones asignadas por Dto. 441/06 sobre supervisión de proyectos. En el caso de Modernización Tecnológica del Archivo General la DGGI ha intervenido técnicamente en la etapa previa a las licitaciones y durante el desarrollo no se tuvo evidencia de la existencia de actividades de seguimiento del proyecto. No se detectaron actividades de supervisión de la DGGI a la Dirección Nacional de Migraciones en particular, en el reciente sistema de ventanilla única (radicación por primera vez + DNI). En otro orden, se destaca el vacío normativo para asegurar la interoperabilidad de los sistemas del Ministerio particularmente aquellos relacionados con personas. La falta de un plan de contingencia formalmente aprobado impide cumplir con la función de control periódico del funcionamiento de planes de recuperación para los sistemas críticos. 4.6 Objetivo de Control: Metodología del Ciclo de Vida de Desarrollo de los Sistemas La Autoridades del Ministerio deberán definir e implementar estándares de sistemas de información y adoptar una metodología del ciclo de vida que rija el proceso de desarrollo, adquisición, implementación y mantenimiento. La metodología del ciclo de vida elegido deberá ser la apropiada para los sistemas a ser desarrollados, adquiridos, implementados y mantenidos. 17 4.6.1 Metodología Se tuvo acceso al documento “Pautas para el desarrollo de sistemas” realizado por la Dirección de Sistemas de la DGGI, el que: 1) No se encontraba aprobado formalmente. 2) Cada pauta se limita a una definición general y no incluye procedimientos para su desarrollo. 3) Las ocho pautas no completan el ciclo de vida del desarrollo de un sistema. No prevé las etapas de estudio de factibilidad, de requerimientos, programación, pruebas, instalación y revisión post-implantación. 4) El documento describe un procedimiento desde el pedido hasta la finalización del proyecto, no estableciendo los detalles para llevarlo a cabo (formularios, niveles de responsables y sistema que gestione el proceso). 5) En el caso específico de ReNaPer, a excepción del diagrama entidad relación, no se tuvo evidencia de la existencia de documentación del sistema acorde con las pautas. Al no disponer de estándares y de buenas prácticas para su desarrollo, la producción de los sistemas y sus modificaciones se hace fuertemente dependiente de las personas, por lo que no se asegura trato equitativo y transparente para los usuarios, así como una adecuada separación de funciones que impida, por ejemplo, que personal de TI acceda a datos de producción. 4.7 Objetivo de Control: Manejo de la Inversión en TI La Autoridades del Ministerio deberán implementar un procedimiento para asegurar que el presupuesto operativo anual para los servicios de TI sea establecido y aprobado en línea con los planes a largo y corto plazo de la organización. Debe existir un control gerencial que garantice a) la fijación de prioridades a la asignación de recursos de TI para operaciones, proyectos y mantenimiento y b) que la prestación de servicios de TI se justifique en cuanto a sus costos, beneficios obtenidos y retorno de la inversión. 18 4.7.1 Observación: Presupuesto operativo anual El presupuesto del Ministerio contempla una actividad para la Administración de las Tecnologías de la Información y las Comunicaciones la que incluye gastos TIC de la DGGI (personal más adquisición de hardware), metodología que también imputa a las adquisiciones de hardware del proyecto Nuevo DNI. Las adquisiciones para el proyecto Modernización Tecnológica del AGN fueron cargadas a otra partida (72805). En materia de previsión, no se disponía de presupuestos de TI para el mediano y largo plazo (3 y 5 años). No se obtuvo evidencia de la existencia de una metodología que permita obtener periódicamente los gastos de TI por tipo de variable (proyecto, sistema) para su control oportuno. 4.7.2 Observación: Justificación de costos y beneficios No se tuvo conocimiento sobre análisis económicos y de soluciones alternativas en los proyectos evaluados en esta auditoría en la etapa previa a las licitaciones así como el estudio de los costos y beneficios esperado, por cuanto no resulta medible la eficiencia en la asignación de recursos de la TI. 4.8 Objetivo de Control: Responsabilidad en cuanto a las Políticas de TI La DGTI deberá asumir la responsabilidad directa de las Políticas de TI en cuanto a la formulación del ambiente de control, elaboración, mantenimiento, implementación, comunicación y verificación de cumplimiento. 4.8.1 Observación: Políticas sin definir En el documento “Política de Seguridad Informática de la DGGI” (3/2010) que da cumplimiento de la Res. 45/05ONTI, se advierte que: no se encontraba formalmente aprobado por la máxima autoridad del organismo conforme lo establece la norma. 19 No se abordan temas como la seguridad física y ambiental, desarrollo y mantenimiento de sistemas y la administración de la continuidad de las actividades del organismo (no se tuvo conocimiento de la existencia de un Plan de Contingencia). se designa al responsable de Tecnología y Seguridad de la DGGI como Responsable de Seguridad Informática del Ministerio, no cumpliendo los principios de división de funciones entre quienes administran la tecnología de la información y los que controlan y monitorean la seguridad. No hubo una justificación formal para concentrar esas tareas críticas. Las buenas prácticas sugieren crear un área de seguridad fuera del área de TI. En otro orden, no se encontraron políticas de calidad, controles internos, propiedad intelectual y documentación de los sistemas. 4.9 Objetivo de Control: Administrar la Calidad Establecer y mantener un sistema de administración de la calidad de los servicios de TI prestados por la DGGI que, alineado con los objetivos del Organismo, asegure la mejora continua en términos medibles. 4.9.1 Observación: Mejora continua No se dispone de un proceso para la mejora continua de los servicios TI brindados. No se tuvo conocimiento de proyectos que en ese sentido se guíen por algún estándar de calidad. 4.10 Objetivo de Control: Marco de Referencia para la Administración de Proyectos La Dirección General de Gestión Informática debe establecer un marco para administrar los proyectos, de manera tal que se garantice la correcta coordinación y asignación de prioridades así como la coordinación de todos los proyectos. Cada proyecto deberá contar con un método maestro que defina alcance y límites, asignación de recursos, programación de entregables, asignación de responsabilidades, puntos de revisión y la aprobación de los usuarios. 20 4.10.1 Observación: Marco de Referencia No se obtuvo evidencia de la existencia de un marco debidamente formalizado para la administración de proyectos de TI en el ámbito del Ministerio, que defina el alcance y los límites de la administración de proyectos, así como la metodología a ser adoptada y aplicada en cada caso. No se encontraron evidencias de estudios factibilidad, que justifiquen las prioridades asignadas a los proyectos de la TI bajo análisis. En los casos analizados se presume un alto impacto en la sociedad pero la falta de una evaluación, previa a su lanzamiento no permite contrastar objetivos propuestos con los resultados o asegurar una eficiente asignación de los recursos utilizados. 4.10.2 Proyecto “Nuevo DNI” 4.10.2.1 Observación: Plan Maestro El Nuevo DNI totalmente digitalizado, se implementó a partir de Noviembre de 2009. No se tuvo conocimiento de un plan detallado para llevar adelante acciones con puntos de control. Gran parte de la experiencia en la gestión no resulta capitalizable para el desarrollo de futuros proyectos en el ámbito del Ministerio Se detectaron procesos sin digitalizar cuyas fechas de inicio y finalización se desconocen, atento la inexistencia de una definición del alcance y límites del sistema. 4.10.2.2 Observación: Equipo de Proyecto Se relevó que la Dirección TI del Proyecto, estuvo a cargo del Director General de la DGGI e integrado por el Subdirector de la DGGI quien lideró el desarrollo del aplicativo. Por otra parte, el Director de Tecnología y Seguridad se ocupó de la administración de los recursos de hardware y comunicaciones de la fábrica documental y el Director de Sistemas de la DGGI de la instalación de puestos de trabajo en delegaciones del interior (o “kits de captura de datos”), ajustes y optimización del sistema. La DGTI de ReNaPer ha realizado actividades de apoyo al proyecto como desarrollo de programas en lenguaje PHP para, la atención de turnos utilizando Internet, el corte operativo 21 (separación de imágenes) en dactiloscopía, el manejo del stock de materias primas y el soporte a nivel PC en las oficinas digitales de captura de datos. La administración de usuarios que operan el sistema (oficinas digitales y fábrica de producción documental) se encontraba a cargo de la Coordinación de Seguridad Informática. Es decir que, la integración del equipo del proyecto, se tradujo en una sobrecarga de tareas a los funcionarios, con respecto a las funciones originalmente asignadas, debilitando el rol director de TI en los restantes órganos del Ministerio. Por otra parte, los roles no se definieron formalmente, situación irregular en el desempeño de las funciones. 4.10.2.3 Observación: Aprobación usuario La Directora Nacional de Identificación y el Director Nacional de Programación y Producción Documental participaron como usuarios en las distintas etapas del desarrollo del sistema. No se obtuvo evidencia de la existencia de documentos formales de los acuerdos y/o recepciones del sistema. Su puesta en marcha y mejoras no han requerido de una autorización formal por parte de los usuarios para su entrada en vigencia. No existe un acuerdo de niveles de servicio TI (que asegure un nivel aceptable de disponibilidad, entre otros) entre la DGGI y el ReNaPer. 4.10.2.4 Observación: Finalización del proyecto En el período de los trabajos de campo y después de un año de operatividad no se había concretado la transferencia de la administración y mantenimiento del sistema Nuevo DNI al ReNaPer y no se tuvo conocimiento de un cronograma para concretarlo. Ello imposibilita la autonomía del ReNaPer y resta recursos a la DGGI para nuevos proyectos. 22 4.10.3 Proyecto “Modernización Tecnológica del Archivo General de la Nación” 4.10.3.1 Observación: Valores de Referencia El proyecto, esta siendo ejecutado en el marco de Proyecto ARG/09/006 del PNUD, disponiendo de pautas para su gestión desde la modalidad de contratación hasta la entrega de los ejecutables. Las 5 (cinco) compras que componen el proyecto incluyeron un presupuesto oficial (monto estimado) dentro de las especificaciones técnicas para a su lanzamiento a concurso, valor de referencia para que los oferentes cotizaran. No se tuvo evidencia de estudios de mercado que justificaran esos valores de referencia, en particular del desarrollo del software de catalogación. Dicha observación se considera relevante habida cuenta que en la compra de equipos informáticos no intervino la Oficina Nacional de Tecnología de la Información dependiente de la Secretaria de Gestión Pública con competencia en la materia. 4.10.3.2 Observación: Autorización La DGGI habría brindado asistencia en la definición de criterios técnicos y estimación de costos del proyecto. En el caso de la provisión de servicios de “Diseño e Implementación de un software de gestión específica para el Archivo General de la Nación, con tecnología RFID” mediante la Solicitud de Propuesta 02/10 no se tuvo evidencia formal de la autorización de la compra por el responsable de la DGGI como lo establece la Resolución 48/05SIGEN por tratarse de una contratación de servicios externos de desarrollo de sistemas. 4.11 Objetivo de Control: Administración de Datos El área de TI deberá establecer procedimientos de control para la carga, el procesamiento, la salida y el almacenamiento de datos de las transacciones, que incluyan, entre otras: a) la preparación de datos de entrada a ser verificados por departamentos usuarios que minimicen los posibles errores 23 b) el manejo de errores (detección, reporte, corrección y reenvío de datos) c) la validación de datos sobre transacciones para verificar exactitud, suficiencia consistencia y validez d) la validación y edición de datos preferentemente donde se originan e) la integridad del procesamiento, asegurando una adecuada separación de funciones durante el mismo f) el manejo de errores en el procesamiento de datos (identificación de transacciones erróneas) g) el balanceo y conciliación de los datos de salida con los totales de control relevantes h) las pistas de auditoría a fin de facilitar el seguimiento del procesamiento y la conciliación de datos erróneos i) el almacenamiento de los datos que considere los requerimientos de recuperación, la economía y las políticas de seguridad. II) Proyectos de Sistemas Relevados 4.11.1 Sistema “Nuevo DNI” Ciclo del Proceso Se relevaron las distintas instancias para la obtención del documento nacional de identificación -DNI-. Las observaciones hacen referencias a aquellos procesos y/o trámites automatizados o no por el sistema Nuevo DNI. 4.11.1.1 Observación: Medios de Atención al Público 1) Otorgamiento de turnos: Se dispone de un call center que otorga turnos para la tramitación en el CDR ubicado en la Avda. Paseo Colón., estableciendo su propio sistema de atención las restantes oficinas del país. 2) Consultas sobre el trámite iniciado: a través del call center mencionado. o vía web a través del sitio del Ministerio del Interior “Consulta de Trámite de DNI”. Cada Centro Rápido dispone de acceso al sistema, para responder las consultas que se realizan. 24 3) Consultas Generales:. Se responden telefónicamente a través del call center y por correo electrónico mediante la opción “Contacto” del sitio web Nuevo DNI. Sobre los puntos que anteceden y durante la auditoría se detectó que: a) El call center, durante el trabajo de campo, satisfacía el 50% de la demanda de llamadas entrantes básicamente por la insuficiente cantidad de puestos instalados. b) El registro de las respuestas para las consultas vía e-mail se realizaba a través de una planilla de cálculo, siendo ésta la fuente de consulta de los operadores, para responder a las inquietudes del público. La vulnerabilidad de este modo de registración, no permite realizar adecuadamente la tareas, ni efectuar los controles correspondientes. c) No se tuvo conocimiento de iniciativas de ReNaPer como órgano rector a fin de mejorar la atención al público en las oficinas locales con gran demanda. Se encontraron recursos que no estaban debidamente explotados, ejemplo de ello, es el sistema de turnos por call center, utilizado por el ReNaPer solo para un único Centro de Atención Asimismo, se dispone de un sistema de turnos web no implementado para el DNI., siendo ambas aplicaciones compatibles para las Oficinas locales como en los sitios web de los Registros. d) El sitio dedicado al Nuevo DNI http://www.nuevodni.gov.ar no publicaba durante el período auditado número del “Call Center”con horario de atención y servicios que brinda. en la sección “Donde lo tramito”, no figuran los lugares y horarios de atención de las oficinas digitalizadas existentes en las delegaciones (Colegio de Abogados, Tribunales y otros), centros de compras y los puestos móviles. En otro orden, el sitio no concentra operaciones propias como “Consulta de Trámite de DNI” que aparece en otra página web del Ministerio. 25 4.11.1.2 Observación: Pagos de los trámites Cada trámite tiene asociada una boleta pre-numerada que previo al inició de la toma de los datos personales, fotografía y huella, el tramitante debe pagar en la oficina del Banco Provincia (BaPro) instalada en la dependencia. El control sobre el pago es manual y asignado a la operadora y en el supuesto que no se hubiera oblado y lo advirtiera la operadora el sistema no puede detener el trámite. En este sentido, cabe señalar que, el sistema del BAPRO (Banco Provincia) no informa “en línea” los pagos sino al finalizar la jornada –modo diferido-. En esta modalidad el control no es preventivo por lo que detectadas las irregularidades deben establecerse procedimientos para regularizarlas. 4.11.1.3 Observación: Controles automáticos de verificación de huellas. En el caso de extranjeros y Actua 16 (actualización de datos que se realiza al cumplir el ciudadano 16 años) y a efectos de dar el alta en la base de datos de las personas (verificación primera identificación), el sistema Nuevo DNI incorpora un control automático a través del sistema licenciado AFIS (Automated Fingerprint Identificacion System) entre la huella ingresada y las existentes en la base de datos del nuevo DNI. La restricción de este control a los casos citados, cubriría un 30% del total, atento la limitada performance de la versión disponible del sistema. En síntesis, no hay control que asegure que existan casos en la base de datos donde la misma persona disponga de más de una filiación diferente. Cuando AFIS detecta más de una coincidencia de huellas, la sección ensobrado se encarga de retirar el DNI y se procede a su destrucción, por lo que el control no resulta preventivo. En otras situaciones las huellas ya aceptadas se almacenan en la base del AFIS quedando preparada a la eventualidad de una nueva versión que permita con adecuada performance realizar el cotejo automático. 4.11.1.4 Observación: Administración de stocks de materias primas Durante el relevamiento se constató en las bóvedas de almacenamiento que, la gestión de ingreso y egreso de las materias primas -destinadas a la confección de DNI-, se llevaba a cabo por medio de una planilla de cálculo electrónica, con el consiguiente riesgo de 26 vulnerabilidad del procedimiento. No se disponía de control por unidad de insumo. Puede apreciarse en el caso de uno de los insumos –formulario de seguridad - donde se detectó una duplicación de su numeración al momento de la finalización del armado de la libreta virgen. Dicha duplicación del número se produjo en la empresa proveedora. 4.11.1.5 Observación: Trazabilidad de los componentes Las libretas confeccionadas quedan identificadas por el número que lo relaciona a un insumo principal. En el momento de su impresión ese número no es asociado con el número de DNI por el nuevo sistema por lo que no será posible el rastreo con el control de los insumos – particularmente ligados a la seguridad. 4.11.1.6 Observación: Gestión de los documentos con fallas Durante la fabricación de libretas vírgenes y en el proceso de impresión pueden producirse documentos con fallas que se retiran de la línea de producción para su destrucción. Se encontraron lotes en esas condiciones sin control de cantidades y numeración. El arqueo de libretas que ingresan a impresión contra las emitidas y las desechadas se efectúa globalmente, no hay un detalle individualizado. Cuando las fallas se producen en la sección impresión, la reimpresión se obtiene anulándolos en la tabla de remitos y reingresándolo de la cola de impresión. Los documentos son eliminados por personal de la mencionada sección. No se encontró un sistema que registre el detalle de las libretas anuladas, causa que lo produjo, acta de destrucción y otros datos para la administración, control de las fallas y su circulación. Se produce una falla en el control de las libretas y tarjetas producidas y su relación con los DNI exitosos y los que no lo fueron. 4.11.1.7 Observación: Entrega de DNI por el Correo Al cabo de dos visitas al domicilio del interesado, por parte del Correo contratado los DNI son derivados al Centro de Atención correspondiente y pueden ser retirados a partir de los 5 27 días -hábiles- posteriores a la última visita. 1) Este procedimiento resulta verbal, es decir, no hay registro o notificación formal. Las páginas web de ReNaPer y de Nuevo DNI no la publican. 2) Se detectó que la oficina encargada de la entrega en el CAP Nº 3, no disponía de un sistema para gestionar el proceso de entrega y devolución que permita una respuesta rápida y el conocimiento de si el DNI se encuentra en la oficina. Como consecuencia, la entrega final está afectando seriamente las reducciones de tiempo conseguidas con la automatización en las fases anteriores del proceso. 4.11.1.8 Observación: Trámites de DNI para Extranjeros La Oficina Central de la DNM en la Ciudad de Buenos Aires dispone una serie de servicios para extranjeros que desean obtener el DNI con la información digitalizada en el origen, que se describen a continuación: 1) Radicación por primera vez. El sistema SADEX, administrado por la DNM, incorporo la opción de ventanilla única que integra en un solo trámite el pedido de radicación y del documento nacional de identidad. Para ello SADEX genera un registro específico para extranjeros, lo aloja en un servidor de ReNaPer y de aquí es llevado a la cola de trámites ingresados del sistema Nuevo DNI. 2) Radicación otorgada con anterioridad y residencia en la Ciudad de Buenos Aires. Se solicita DNI en la sede central de DNM donde se encuentra instalada una oficina de atención con terminales de DNI del ReNaPer. Una aplicación desarrollada para este caso, permite la consulta a SADEX a través de una pagina Web, pero los datos extraídos deben introducirse manualmente en el sistema DNI. El control de posibles homónimos (o sea que exista un DNI otorgado con anterioridad) se realiza en ReNaPer. Por lo tanto, el control es posterior al ingreso del trámite. 28 Es decir, los sistemas de DNI y SADEX no están integrados informáticamente ni se tuvo conocimiento de un plan que evite la duplicación de la información en de extranjeros las bases de datos de dos organismos pertenecientes al mismo Ministerio. 4.11.1.9 Observación: Trámites 061, 062, 072 y 073 para Extranjeros Se encontraron trámites originados en los registros provinciales cuya resolución lo realiza el Área Extranjeros, sin intervención del sistema Nuevo DNI, como el 072 – Pedido de Fotocopia (de la partida de Nacimiento) y 073- Pedido de Certificación de Datos. En este sentido, el sistema no valida con su base de datos y tampoco dispone del registro de esas operaciones. Se encontraron dos trámites 061-Prórrogas (de permanencia) y 062-Cambio de categoría (de transitorio a permanente), originados en los registros provinciales, que en la actualidad los realiza la DNM, por lo que las actuaciones que se generan se almacenan en cajas sin darles tratamiento alguno. Esto sucede sin informarle al ciudadano extranjero sobre la inutilidad de las acciones que realiza. Además, el sistema Nuevo DNI no emplea esta vía para actualizar su base. 4.11.1.10 Observación: Trámites no automatizados Los Registros Provinciales Concentradores remiten por correo convencional a la sede central de ReNaPer (División Ingreso de Trámites), los trámites de documentación originados en sus oficinas locales. Ello ocurre sea porque las oficinas no se encuentran digitalizadas aún, como por la existencia de tipos de trámites que el nuevo sistema no ha automatizado. Es decir, son casos donde el procesamiento no se realiza en el lugar donde se originan y que generan una serie de operaciones manuales para su tratamiento. Se pueden clasificar en: A) Generan DNI: Duplicado Mayores. Duplicado Menores (Actua 16 con copia de partida de nacimiento). Trámites Observados (R.O.A.R.): R= Reposiciones. 29 O= Observaciones (Campos del formulario). A= Adopciones (Formulario 1729 con sentencia del juzgado). R= Rectificaciones. Extranjeros con residencia en el país y fuera de la Capital (Por primera vez o duplicados). B) No generan: Nacimientos. Matrimonios. Actua 8 años. Cambio de domicilio. Cambio de categoría de Extranjeros (de residente temporario a permanente). Prórrogas de permanencia en el país. Fallecidos (Nacionales y Extranjeros). En el caso A), a excepción de los R.O.A.R, la División Ingreso de Trámites, mediante un sistema (ex - UNICAP) que captura los códigos de las boletas pre-numeradas y emite una etiqueta que identifica al grupo de trámites que luego, se envía al Área Registros, también ubicada en la Sede Central quienes, a) registran en el sistema Nuevo DNI los datos de cada trámite, nº de boleta pre-numerada, datos de la persona y tipo de ejemplar (Actua 16, Canje y Nuevo). b) Remiten las cajas por provincia a la fábrica de Chutro donde se agregarán los datos biométricos. Por lo que la carga de estos trámites al sistema Nuevo DNI requiere dentro de ReNaPer, a) la intervención de tres áreas demandando mayor tiempo y recursos b) triple lectura de las boletas pre-numeradas. En el caso de los R.O.A.R. los trámites ordenados se remiten directamente a un área específica de la fábrica de la calle Chutro, lo que demanda mayor tiempo y costo para el inicio de la digitalización. 30 En el caso de Nacimientos (caso B), se dispone de un control de la numeración de las cartillas en blanco remitidos a los registros provinciales aunque no está integrado al sistema Nuevo DNI. En cambio los datos filiatorios de los documentos emitidos que informan los Registros se archivan en la sede central de ReNaPer y no son ingresados al sistema. En los restantes caso B) se remiten a los sectores -ubicados en la sede central- competentes para su tratamiento donde se actualiza la base de datos de personas de Nuevo DNI. Gestión del Proceso Las observaciones que se presentan seguidamente se refieren a los aspectos de gestión TI de ReNaPer durante el cambio de modelo de producción del DNI. 4.11.1.11 Observación: Organización El pasaje de la producción de DNI de manual a digital, no se ha reflejado en la organización formal de TI en el ReNaPer. ReNaPer ha creado áreas como Soporte de Aplicaciones, Mesa de Servicios, Call Center y el Datacenter que no disponen de una ubicación formal en el organigrama. Funciones como las que mantiene la DGGI del Ministerio, administradores de servidores de producción, de la base de datos, del aplicativo, implementación de las nuevas oficinas digitales, el desarrollo de funcionalidades de envergadura del aplicativo y operación y administración de las comunicaciones, no tendrían cabida en la DGTI cuando se realice la transferencia sea por carencia de estructura orgánica como de personal capacitado. 4.11.1.12 Observación: Soporte a los CDR A los fines de dar soporte al personal afectado a los CDR`s y oficinas digitales se ubicaron dos servicios telefónicos uno en la sede central de ReNaPer dependiendo del Call Center pero usando una línea común específica y el otro en la fábrica de documentación el Call Center operando como Mesa de Servicios. No se hallaron fundamentos que justifiquen esa superposición de tareas y recursos. En el caso del Call Center no se disponía de un sistema que registre los problemas atendidos lo que no facilita la auditabilidad, así como la generación de estadísticas de eventos para la 31 mejora de la gestión. La DGTI cuenta con un equipo denominado Soporte de Aplicaciones que brinda soporte técnico a nivel PC en las oficinas digitales fijas y móviles de ReNaPer. No disponían de un sistema de registro de incidentes. 4.11.1.13 Observación: Administración de Usuarios La Coordinación de Seguridad Informática dependiente de ReNaPer tiene a su cargo la incorporación, modificación de perfiles y bajas de los usuarios al sistema Nuevo DNI. No se dispone de un procedimiento formal para producir cambios en la base de usuarios que especifíque bajo que condiciones se llevan a cabo. 4.11.1.14 Observación: Concentración de Funciones El diseño, el desarrollo, prueba y puesta en producción de los programas son ejecutados por una misma persona administrador también de la aplicación y de la base de datos Tal nivel de concentración de funciones críticas deviene en un riesgo alto de dependencia del ReNaPer. 4.11.1.15 Observación: Continuidad No se tuvo conocimiento de la existencia de un plan de continuidad de TI para la producción de los DNI digitales que reduzca el impacto de interrupciones de las funciones y de los procesos clave del organismo. No se disponía de un sitio alternativo que permita la continuidad de los procesos ante salida de servicio del Centro de Procesamiento Documental (CPD). Se tuvo conocimiento de la instalación de un data center en sede del Ministerio que podría ofrecer contingencia al CPD pero no existe disposición formal que lo así lo establezca. Es decir, no se tuvo conocimiento de planes y/o estudios que evalúen los requerimientos de procesamiento alternativo y capacidad de recuperación de todos los servicios críticos de TI relativos a la producción Nuevo DNI así como los lineamientos de uso, roles y responsabilidades, procedimientos, procesos de comunicación y enfoque de pruebas. 32 4.11.1.16 Observación: Documentación del sistema Se tuvo acceso a la herramienta “Wiki” de la DGGI que permite documentar los sistemas. Para el caso del Nuevo DNI las distintas solapas repositorio del código fuente, manual de usuario y plan de contingencia no disponían de contenidos. En otro orden no se disponía de procedimientos con la definición de roles y responsabilidades en la carga de contenidos en relación a la herramienta. No se conoció la existencia de manuales del sistema (Sistema, Programación, Operación y del usuario), ocasionando esta situación, un alto nivel de dependencia respecto de las personas que llevaron a cabo su desarrollo. 4.11.1.17 Observación: Estadísticas, implementación y Monitoreo Se advirtió en el trabajo de campo la existencia de un tablero de control visible en pantallas de alta definición –solo en puestos jerárquicos de alto nivel- que en línea permitía ver a la persona que se encontraba en la etapa de datos biométricos, cantidad de trámites realizados hasta ese momento y localidad. Si bien se detectó una buena capacidad reactiva ante problemas por parte del ReNaPer se carecía de un proceso de monitoreo que produzca en forma regular y estandarizada, informes estadísticos hacia los distintos niveles de gestión sobre trámites y fallas en los procesos de producción, facilitando identificar controles que permitan resolver los problemas y ajustar mejor el sistema a la realidad. No se suministró al grupo de trabajo los datos de evolución de los trámites por oficina digital desde su inicio. No se pudo determinar la existencia de un plan, ni los criterios utilizados en cuanto a la asignación de prioridades para la implementación en las oficinas digitales en localidades y provincias. 4.12 Observación: Sitios Web El documento Plan Informático y Políticas Web del año 2009 elaborado por la DGGI, no aprobado formalmente, establece que el responsable de aplicaciones web, -Director de Sistemas de la DGGI- designa a los responsables de contenidos. 33 Ello otorga discrecionalidad a la DGGI en el manejo de los contenidos, debiendo recaer la responsabilidad en funcionarios de máximo nivel, atento que el sitio presenta la imagen del organismo. El documento establece también procedimientos para la incorporación de usuarios y contenidos asegurando el resguardo legal. La UAI del Ministerio detectó que el sitio web no requiere una autorización formal para efectuar cambios ni un registro de los que se producen en el mismo. No se tuvo conocimiento de otras pautas o estándares y procedimientos de TI para el ciclo de vida en el desarrollo de los sitios web pertenecientes al organismo que asuman el conjunto de recomendaciones propias de la materia y establecidas por las ETAP y por la Res. nº 48/05SIGEN. El sitio web del Ministerio administra las páginas de organismos dependientes a excepción de la DNM. El siguiente cuadro muestra por cada ítem de la normativa vigente el grado de cumplimiento por el sitio. 34 Sitio Web del Ministerio del Interior: http://www.mininterior.gov.ar/ 1) Contenidos Básicos (Web) Nombre y Logo Organismo Superior Autoridades Organigrama Marco Normativo Misiones y Funciones Proyectos en curso Presupuesto Nacional Compras o Contrataciones Novedades Publicaciones del organismo Versiones en otros idiomas Acuerdos con otros organismos Dirección (Postal, Electrónica y Teléfonos) Dirección Electrónica Webmaster Dominio (gov.ar) Enlace a Gobierno Electrónico Enlace a Mapa del Estado 2) Facilidades Básicas Cumplimiento Res. 97/97 y ETAP 14.0 Si Si Si Si No (Solo en los links de las dependencias) Si No No No Si Si No No Si No Si Si (Argentina.gov.ar) No Mapa del Sitio Buscador Enlaces a Gobierno Electrónico Política de ingreso/vacantes Fecha de actualización Boletín Informativo Consulta para el ciudadano Libro de Visitas 3) Accesibilidad Si No Si No No Si Si No Formularios para download Contraste de colores (texto y fondo) Encabezamientos (filas y columnas) Llenado de formularios en línea Marcos con títulos Texto alternativo Password de usuario 4) Trámites Si Si Si Si Si Si No Formularios de Trámites Consulta de expedientes Si Si (Estado del Trámite) 35 Del cuadro precedente resulta relevante destacar la ausencia de un buscador que permita explotar la información del sitio. Se detectó en el sitio “Home” del Ministerio del Interior y en el link revista “Población”, que, al efectuar la descarga de la edición N° 5 en formato pdf, se presenta la edición N° 4. Página principal de ReNaPer: El link Normativa sigue sin mostrar la Res. 1150/04ReNaPer, reguladora de la modalidad de envío de trámites desde los Centros Concentradores. Cabe señalar que la observación reitera la de la auditoría realizada en el año 2009. No contiene el organigrama de la estructura con sus respectivas autoridades. Página principal del Archivo General de la Nación: El sitio especifica las áreas y departamentos que conforman el organismo con sus respectivos links con las misiones y funciones de las mencionada áreas. No se publica la nómina de autoridades del Archivo General de la Nación y las áreas dependientes. En otro orden, no se publica información sobre el proyecto “Modernización Tecnológica“, situación que genera desinformación en los ciudadanos respecto de los cambios y mejoras establecidas en el Archivo. 36 5. ANÁLISIS DE LA VISTA Por nota AGN N° 138/11-A02 la AGN remite el proyecto de informe al Ministerio del Interior que lo recibe con fecha 15 de junio de 2012. Por nota del Ministerio del Interior del 5 de julio 2012 se solicita “plazo de prorroga y suspensión del emplazamiento” de quince días hábiles a fin de efectuar un acabado descargo respecto del informe de referencia. En el Anexo al presente informe, el auditado manifiesta su descargo bajo el titulo “DESCARGO DEL MINISTERIO DEL INTERIOR Y COMENTARIOS RELATIVOS DE AGN”. Como resultado de la evaluación se mantienen todas las observaciones y se modifican algunos puntos de las aclaraciones previas (Ver Anexo). 37 6. RECOMENDACIONES I) Ambiente de Control 6.1 Plan de Tecnología de Información 6.1.1 Proceso de Planeación Se sugiere completarlo y actualizarlo teniendo en cuenta los aspectos no definidos con un procedimiento especifico y regular o bien generar nuevo plan con una planificación estratégica práctica estándar y definida. 6.1.2 Plan Nacional de Gobierno Electrónico (PNGE) Sugerimos elaborar y aprobar formalmente el PNGE, de acuerdo a lo establecido en el decreto respectivo. 6.2 Definición de la Arquitectura de la Información 6.2.1 Arquitectura lógica y física Se sugiere el desarrollo y mantenimiento de un diccionario de datos institucional, compartiendo la información que mejorará la eficiencia, integridad y consistencia del desarrollo de aplicaciones. 6.3 Participación Pro-activa de Auditoria 6.3.1 Opinión Independiente Se aconseja mayor participación por parte de la UAI correspondiente, en los proyectos de TI del Ministerio del Interior, aplicando un marco de referencia de control de TI., como ser Res. nº 68/05SIGEN. Normas de Control Interno para Tecnología de la Información para el Sector Público Nacional. Planificar y realizar una auditoria post-implementación de los proyectos de TI gestionados en el ámbito del citado Ministerio. 38 6.4 Comité de Dirección 6.4.1 Decisiones de Estrategia Establecer un Comité de planeamiento o equivalente integrado por el responsable de TI y los responsables involucrados con competencia para vigilar los proyectos y orientar las prioridades de TI. 6.5 Estructura organizacional 6.5.1 Supervisión Adecuarse a las funciones que formalmente han sido asignadas. En el caso del nuevo DNI, resulta necesario realizar un plan aprobado formalmente para la transferencia de las actividades al Re.Na.Per 6.6 Metodología del Ciclo de Vida de Desarrollo de los Sistemas 6.6.1 Metodología Sugerimos una readecuación general del contenido del documento, estableciendo y aprobando una metodología de ciclo de vida para el desarrollo de los sistemas propios o aquellos contratados a terceros que establezca, entre otros: A. Determinación de fases, actividades, tareas en función de los objetivos. B. clara separación de funciones a lo largo del ciclo de vida. C. formalización de los requerimientos de los usuarios. D. Creación de un registro formal de incidentes los sistemas y aplicativos en producción y de reglas que permitan medir los problemas y los tiempos de respuesta. E. Incorporación de herramientas en modo integrado para la administración de los proyectos, el ambiente de desarrollo y su versionado. F. Una clara, concisa y completa documentación técnica, operativa y de usuarios. 6.7 Manejo de la Inversión en TI 6.7.1 Presupuesto operativo anual Apertura de cuentas. Se sugiere implementar y desarrollar un plan que permita desagregar 39 las variables de gastos de TI para obtener un mejor control de todas las actividades. 6.7.2 Justificación de costos y beneficios Se sugiere, analizar distintas alternativas económicas a fin de mejorar beneficios en cada proyecto de TI. Evaluaciones costo-beneficio o de factibilidad. 6.8 Responsabilidad en cuanto a las Políticas de TI 6.8.1 Políticas sin definir Reducir la informalidad aprobando políticas de TI para los organismos a su supervisión. 6.9 Administrar la Calidad 6.9.1 Mejora continua Establecer y mantener un sistema de buenas prácticas sobre la calidad para los servicios de TI prestados por la DGGI que, alineado con los objetivos del Organismo, asegure la mejora continua en términos medibles. Se considera aconsejable, desarrollar, aprobar y monitorear un plan de calidad de los proyectos más destacados y progresivamente extender su aplicación. Sostenerse metodológicamente en los estándares reconocidos de buenas prácticas. 6.10 Marco de Referencia para la Administración de Proyectos 6.10.1 Marco de Referencia Se sugiere desarrollar un marco general para la administración de los proyectos que contenga los puntos señalados, como así también una auto-evaluación post-implementación. 6.10.2 Proyecto “Nuevo DNI” 6.10.2.1 Plan Maestro Se sugiere capitalizar la experiencia en la gestión del proyecto, a fin de minimizar los riesgos señalados. Desarrollar una auto-evaluación post-implementación. 40 6.10.2.2 Equipo de Proyecto Adoptar una metodología estándar para la administración de proyectos. 6.10.2.3 Aprobación usuario Se sugiere establecer un mecanismo de aprobaciones por parte de los usuarios. 6.10.2.4 Finalización del proyecto Adoptar una metodología estándar para el desarrollo de los proyectos. 6.10.3 Proyecto “Modernización Tecnológica del Archivo General de la Nación” 6.10.3.1 Valores de Referencia Establecer una metodología formal para la definición de dichos valores. 6.10.3.2 Autorización Establecer un procedimiento para las compras informáticas que incluya la intervención del responsable de la DGGI, tal como lo establece la resolución mencionada. 6.11 Administración de Datos II) Proyectos de Sistemas Relevados 6.11.1 Sistema “Nuevo DNI” Ciclo del Proceso 6.11.1.1 Medios de Atención al Público a. Controlar la relación llamadas entrantes-puestos instalados. Corrigiendo deficiencias. b. Sistematizar los registros de información. Realizar controles. c. Mejorar la atención al público – evaluar la capacidad del call center, disponer a los ciudadanos la solicitud de turnos via Web. d. Optimizar el sitio dedicado al Nuevo DNI http://www.nuevodni.gov.ar 41 proporcionando más información sobre el trámite. 6.11.1.2 Pagos de los trámites Se propone establecer un control preventivo a efectos que el sistema registre y valide pagos en línea. 6.11.1.3 Controles automáticos de verificación de huellas. Automatizar controles preventivos, y en particular, extender el uso de AFIS a todos los casos para asegurar que una persona no disponga de más de una filiación diferente. 6.11.1.4 Administración de stocks de materias primas Se entiende necesario desarrollar una aplicación específica para la gestión de ingreso y egreso de las materias primas, mejorando así el control sobre los insumos, en particular aquellos relacionados con la seguridad. 6.11.1.5 Trazabilidad de los componentes Se deben mejorar los controles, pudiendo hacerlo utilizando el software aplicativo sugerido en el punto 6.11.1.6. 6.11.1.6 Gestión de los documentos con fallas Se sugiere mejorar los controles para minimizar riesgos registrando el detalle de las libretas anuladas en un software aplicativo. 6.11.1.7 Entrega de DNI por el Correo Se sugiere publicar información vía página Web y desarrollar un software aplicativo para gestionar el proceso de entrega y devolución. 6.11.1.8 Trámites de DNI para Extranjeros Se sugiere mejorar los controles integrando los sistemas de información entre organismos ReNaPer y Dirección Nacional de Migraciones operando con una misma base de personas. 42 6.11.1.9 Trámites 061, 062, 072 y 073 para Extranjeros Se sugiere, establecer vinculaciones y controles entre sistemas SADEX y los del ReNaPer, a fin de reducir riesgos e inconsistencias. 6.11.1.10 Trámites no automatizados Se sugiere, completar la digitalización de las oficinas que aún permanecen con captura de información manual y mejorar los circuitos de trámites señalados. Gestión del Proceso 6.11.1.11 Organización Se considera necesario evaluar el organigrama en función de la implementación del nuevo sistema. Ver el punto 6.5.1., mejorando así los controles con una organización mas eficaz y eficiente. 6.11.1.12 Soporte a los CDR Evaluar esta situación y mejorar la gestión para que facilite la atención y control / gestión de los problemas. 6.11.1.13 Administración de Usuarios Se sugiere, generar y mantener actualizado un procedimiento formal para la Administración de cuentas de Usuarios que describa claramente los privilegios y accesos. 6.11.1.16 Concentración de Funciones Se sugiere, separar funciones críticas evitando la concentración de actividades en una sola persona. 43 6.11.1.15 Continuidad Establecer estos controles para minimizar los riesgos en la que esta expuesto el procesamiento del DNI, ver 6.5.1 -, disponer de un sitio alternativo de procesamiento para atender la contingencia. 6.11.1.16 Documentación del sistema Además de lo sugerido en el punto 6.6.1 punto F. específicamente documentar todos los aspectos técnicos, metodológicos y de operación. 6.11.1.17 Estadísticas, implementación y Monitoreo Se sugiere, desarrollar un software aplicativo que genere informes estadísticos hacia los distintos niveles de gestión sobre los trámites y fallas producidas en los procesos de producción. 6.12 Sitios Web Se sugiere, publicar objetivos, estado, plazos y costos involucrados del proyecto. 44 7. CONCLUSIONES Se evaluó el ambiente de control TI en el Ministerio del Interior así como los proyectos de su incumbencia, “Nuevo DNI” para ReNaPer –actualmente en producción- y “Modernización Tecnológica para el Archivo General de la Nación” –en etapa de desarrollo-. El ambiente de control TI no dispone de un marco dotado de buenas prácticas a fin de desarrollar proyectos como ser una metodología de ciclo de vida implementada, un proceso de planeación de sistemas consolidado, un sistema para la administración de proyectos o un comité de dirección funcionando regularmente. No obstante y respecto del Proyecto Nuevo DNI, la incorporación masiva de tecnología y de equipamiento gráfico necesario para producir el insumo básico y el liderazgo aportado ha permitido mejorar los controles, tiempos de fabricación y entrega de los documentos de identificación en gran parte del país. La puesta en marcha del proyecto tras dos años, desde Noviembre de 2009, se ejecutó en un marco TI esencialmente reactivo, de alta informalidad y escasa planificación. La producción del nuevo DNI relevada por esta auditoría ha detectado que el call center cubría en un 50% la demanda, el sitio web era parcialmente aprovechado en la relación con el ciudadano y no brindaba servicios integrales en consulta y trámites. Se detectó la falta de trazabilidad de insumos de seguridad y de libretas anuladas, y la existencia de una cantidad significativa de trámites relacionados al DNI aun manuales. Transcurrido un año de su implementación la transferencia de la gestión del sistema de la DGGI del Ministerio a la DGTI de ReNaPer no se había concretado ni planificado. La DGGI retiene las funciones de mantenimiento y mejoras importantes así como la administración de la aplicación, base de datos y servidores de producción. La inexistencia de la documentación del sistema y procedimientos de operación formales no colaboran con la ejecución del proceso. En este sentido urge la planificación de este proceso. Se relevó una concentración excesiva en un único funcionario de TI respecto de tareas como programación, diseño y administración de datos y usuarios Para asegurar la continuidad del servicio se considera necesario un adecuado plan de contingencia que prevea un sitio alternativo El proyecto atinente al Archivo General de la Nación no cuenta con una supervisión de la 45 DGGI, limitando su seguimiento y participación al proceso inicial. A entender de esta Auditoría, el Ministerio debería fortalecer su ambiente de control TI así como establecer un marco adecuado para el desarrollo de los proyectos referidos a la administración y metodología y evitar el descuido respecto de la asignación y separación de misiones y funciones. Cabe destacar que con respecto al estado de la gestión en la producción de los DNI, el modelo de producción digital resulta un avance significativo con relación al antiguo modelo vigente hasta octubre de 2009. Al finalizar las tareas de campo, el ReNaPer se encontraba acondicionando un nuevo centro de cómputos y desarrollando el aplicativo del Nuevo DNI, esperándose mejoras en la seguridad y en los procesos de producción dada la utilización de nuevas tecnologías. Los alcances que se logren serán verificados en futuras labores de auditoria 8. LUGAR Y FECHA BUENOS AIRES, Septiembre de 2012. 9. FIRMA 46 ANEXO “DESCARGO DEL MINISTERIO DEL INTERIOR Y COMENTARIOS RELATIVOS DE AGN” ACT. Nº388/10/AGN Conforme lo dispuesto por Resolución Nº 77/02/AGN, vengo por la presente, en mi carácter de Director General de Gestión Informática del Ministerio del Interior y Transporte, a efectuar descargo respecto del Informe de Auditoría Informática realizado por la Auditoría General de la Nación en el marco de e la Actuación Nº 388/10/AGN “Evaluación general de los controles de la tecnología de la información en el Ministerio y los proyectos de sistemas de información gestionados para el ReNaPer, Dirección Nacional de Migraciones y el Archivo o General de la Nación”, respecto de las apreciaciones vertidas en el informe de referencia mediante las consideraciones detalladas a continuación: I. CONSIDERACIONES PRELIMINARES Respecto al apartado 2.ALCANCE del informe de referencia, que e indica “se hace constar que los proyectos de la Dirección Nacional de Migraciones se desarrollaron sin intervención de la Dirección General de Gestión Informática, por lo que se encuentran fuera del alcance de la presente auditoría”, es dable precisar que mediante el Decreto 258/2003 se establecen las responsabilidades primarias de la Dirección General de Gestión Informática (en adelante DGGI), siendo su principal mandato “dirigir y optimizar la utilización de Tecnologías de la información y las Comunicaciones del organismo y de aquellos a los cuales brinda su apoyo, a requerimiento de éstos”. Atento que, la Dirección Nacional de Migraciones es un ente descentralizado adscripto al Ministerio del Interior y Transporte, nada obsta a que la citada Dirección Nacional 47 desarrolle sus propios proyectos, los cuales, conforme lo dispuesto en el Decreto 2588/2003 quedan indefectiblemente, bajo la a supervisión de la DGGI. Finalmente, dentro de la documentación solicitada y no entregada se reseña “Plan de Infraestructura”, el que ha sido entregado en copia simple e según consta en los registros de la DGGI, mediante Nota Nº 99/2011/DGGI de fecha 28 de abril de 2011. Comentario AGN Durante los trabajos de campo, se constató, que sí bien la Dirección Nacional de Migraciones, está bajo la supervisión de la DGGI, desarrolla sus propios proyectos de manera independiente, sin la supervisión de ésta, por lo que aunque no es una observación, se mantiene la frase tal cual está expresada en el informe. Con respecto al segundo párrafo, se considera entregado el material mencionado, y se elimina de la lista de faltantes. En el apartado 2.ALCANCE del informe se indica “la evaluación abarca el periodo comprendido entre noviembre 2009 y primer semestre 2010”, dejando constancia por medio de la presente que el auditado fue notificado por Nota Nº 815/20/AGN que el trabajo de auditoría comprendería el periodo 2007-2009. Comentario AGN En la nota referida, solo se hace referencia al período a que corresponde la información solicitada y no al alcance de los trabajos de campo. Respecto a las consideraciones vertidas en el apartado 3.2.2. Acciones, se informa que la aplicación Nuevo DNI no fue desarrollado bajo software libre como se consigna, sino bajo Open Source, apreciación que debiera ser salvada. Asimismo, la referencia a la remodelación del inmueble destinado a la fabricación del Nuevo DNI abarcó también el Centro de Cómputos del establecimiento; y en lugar de “cableado digital integral” debiera señalarse“. 48 Comentario AGN Se aceptan los comentarios y se modifican dichos puntos. Respecto a la descripción efectuada en el apartado 3.2.2.4 Características del Nuevo Proceso, debería diferenciarse la operación de cotejo dactisloscópico de la operación de verificación de datos. Asimismo, y atento el tiempo transcurrido entre el objeto de auditoría y el presente descargo, deviene necesario realizar las siguientes actualizaciones: Además del centro sito en Paseo Colón 1093 de la CABA, ha sido abierto un nuevo centro de atención al publico, sito en la sede del Ministerio del Interior, 25 de Mayo 155, CABA. La flota de unidades móviles de documentación rápida se compone actualmente de: • 4 camiones con semi-remolque, equipados con 12 (doce) puestos de toma de trámite con infraestructura tecnológica suficiente para que la foto, la huella y la firma se tomen de manera digital; 1 (una) impresora de DNI y 1(una) antena satelital, con conexión online a la fábrica de documentación sita en Pedro Chutro 2780 CABA, que permiten la entrega en el día de DNI. •24 combis, equipadas cada una con 3 (tres) puestos de toma a de trámite con infraestructura tecnológica suficiente para que la foto, la huella y la firma se tomen de manera digital; antena satelital y conexión online e a la fábrica de documentación sita en Pedro Chutro 2780 CABA, que permiten la toma de trámite de DNI parra su posterior fabricación en la fábrica de e DNI y entrega en el domicilio declarado por el ciudadano, por medio de pieza postal certificada, contra la presentación del comprobante de inicio del trámite. La captura de datos se realiza 100% en formato digital, conforme la Resolución 1260/2012. Por último, por Resolución 797/2012, el DNI se emite exclusivamente ente en formato tarjeta, descartando el formato libreta. 49 Comentario AGN Se toman en cuenta los comentarios y se incorporan como antecedentes. La Resolución 797/2012 es posterior al periodo de revisión (Nov/2009 a el 1er semestre 2011). Se mantiene la observación y se evaluará en una próxima revisión. II. COMENTARIOS Y OBSERVACIONES: 1. Ambiente de Control En relación al apartado 4.1. Plan de Tecnología de la Información, tal como ha sido expresado por el Auditor en el informe de responde, durante el plazo que comprendió la auditoria ésta DGGI se encontraba en un todo a abocada al desarrollo y puesta en marcha ha del Proyecto Nuevo DNI, que fuera una a prioridad de la gestión, habiendo sido implementado con éxito el 4 de noviembre d de 2009, y con el que se han emitido al presente más de 11 millones de DNI y 1 millón de Pasaportes, contando con más de 1300 delegaciones/CDR distribuidas en todo el país con más de 10.400 puestos de toma de trámite y 28 unidades móviles de documentación rápida, entre otros. Sin perjuicio de las observaciones efectuadas por el Cuerpo Auditor para esa etapa, logrado éste hito o de gestión, la DGGI desarrolló, en conformidad con lo dispuesto en el Decreto Nº 378/2005 y la conformidad con lo dispuesto en el Decreto Nª Resolución 48/200/ONTI, un Plan Estratégico de Infraestructura de las Tecnologías de la Información para el periodo 2010/2011 y el Plan Estratégico Informático para el periodo 2011/2012, que tramitan por ante Expediente Nº 12182/2010 y Expediente Nº 3127/2012, respectivamente. Comentario AGN Fuera del alcance de nuestro periodo de revisión (Nov/2009 a el 1er semestre 2011). Se mantiene la observación y se evaluará en la próxima revisión. 50 Respecto al apartado 4.2. . Definición de la Arquitectura de la Información, ha sido incorporado un diccionario técnico, esquemas de clasificación, niveles de seguridad, arquitectura de la información, segregación de funciones, constitución del comité de seguridad de la información, etc., dentro de la Política a de Seguridad del Ministerio del Interior, tramitada por ante Expediente NºS022:12182/2010-MI y aprobada mediante Resolución Nº104/2012, que se adjunta al presente como Anexo 1. Comentario AGN La aprobación de la Res. N° 104/21012 es un hecho posterior a nuestro periodo de revisión. Se mantiene la observación y se evaluará en una próxima revisión. En relación a los apartados 4.4. Comité de Dirección y 4.4.1. Decisiones de Estrategia, dichas competencias han sido formalmente asignadas conforme la Decisión Administrativa 669/2 2004, al Comité de Seguridad de la Información del Ministerio del Interior y Transporte, constituido mediante Resolución Nº104/2012, y a la Dirección General de Gestión Informática, dentro de sus competencias asignadas por los Decretos Nº 2258/2003 y Nº 441/2006. Comentario AGN La aprobación de la Res. N° 104/21012 es un hecho posterior a nuestro periodo de revisión. Se mantiene la observación y se evaluará en una próxima revisión. En atención al apartado 4.5.1. Supervisión, se informa que, si bien el proyecto Nuevo DNI fue desarrollado por un equipo interdisciplinario conformado por miembros de la DGGI y la Dirección General de Tecnologías de la Información del ReNaPer, con posterioridad a su implementación, la potestad de administración y ejecución operativa del proyecto ha quedado en titularidad de ésta última, quedando a cargo de la DGGI tareas de supervisión, seguimiento, coordinación y optimización del proyecto, responsabilidades primarias propias a ésta Dirección. A tal efecto, las exigencias de ejecución del Proyecto Nuevo DNI han sido 51 recogidas en la modificación del organigrama del ReNaPer mediante el Decreto Nº275 de 12 de noviembre de 2009 y la Resolución Nº 2135 d del 7 de diciembre de 2009. Tal como se mencionara anteriormente respecto de la Dirección Nacional de Migraciones, a requerimiento de ésta, la DGGI ha colaborado en la implementación de los proyectos SICAM, SAD DEX y Ventanilla Única. Comentario AGN Durante el periodo evaluado la DGGI mantenía centralizado el Desarrollo del Software Aplicativo del nuevo DNI. Se mantiene la observación, se evaluará en una próxima evaluación. Con respecto al apartado 4.6. Metodología del ciclo de de vida de desarrollo de los sistemas, la Política de Seguridad del Ministerio del Interior contempla en la sección 133 “desarrollo y mantenimiento de sistemas” el desarrollo, adquisición, implementación y mantenimiento de sistemas (Anexo 1 – sec. 13). Comentario AGN La Res. 104/2012, fue emitida después de nuestro periodo de revisión. Se mantiene la observación y podría ser evaluada en una próxima revisión. En relación al apartado 4.8. Responsabilidad en cuanto a las Políticas de TI, el documento al que hace referencia el cuerpo auditor ha sido reemplazado por la Política de Seguridad de la Información del Organismo, el que se encuentra formalmente aprobado mediante resolución ministerial Nº104/2012. El mismo ha sido dictado o siguiendo lo establecido en la Decisión n Administrativa 669/2004, la Resolución 455/05 /ONTI y la Política Modelo de Seguridad aprobada por la Disposición de la ONTI 06/2005 (Anexo 1). Comentario AGN La Res. 104/2012, fue emitida después de nuestro periodo de revisión. 52 Se mantiene la observación y se evaluará en una próxima revisión. En concordancia con lo observado en el apartado 4.10 Marco de de referencia para la administración de de proyectos, y contestes con la importancia de garantizar la correcta coordinación de los proyectos de TI y dar acabado cumplimiento con la Resolución 48/05/ONT TI, la DGGI ha desarrollado el Plan Estratégico de TI 2010/2011 y el Plan Estratégico de TI 2011/2012, tramitando su aprobación formal por ante Expediente Nº 12182/2010 y Expediente Nº 3127/2012 , respectivamente. Comentario AGN Fuera del alcance de nuestro periodo de revisión. Se mantiene la observación y podría ser evaluada en la próxima revisión En relación al sub-apartado 4.10.2.4. Aprobación usuario, se indica que no existe entre la DGGI y la Dirección General de Tecnologías de la Información un acuerdo de nivel de servicios, en tanto el ReNaPer ejecuta operativamente el proyecto, mientras que la DGGI coordina y presta apoyo para la optimización del proyecto. Comentario AGN El mantenimiento y desarrollo de Software aplicativo “Nuevo DNI” estaba centralizado en la DGGI. Se mantiene la observación, y la misma podrá ser evaluada en la próxima revisión. 2. Proyectos de Sistemas Relevados Respecto al apartado 4.1 11.1.1. Medios de Atención al Público, se informa que el proyecto Nuevo DNI cuenta con medios centralizados e implementados en todo el radio nacional durante el periodo de campo de auditoría, integrado por diversas soluciones: 53 • Servicio de 0810: a fin de diferenciar las problemáticas de los ciudadanos de la de los empleados que les toman trámites en todo el país, se puso en marcha un Centro de Asistencia Telefónica al Ciudadano, ubicado en la sede del ReNaPer sita en Juan D. Perón 668 -CABA, que presta acabada asistencia a través del 0810-666-0666. El mismo tiene a su cargo la atención y resolución de problemas de índole documentaria o técnica, escalando al área correspondiente. Entre las características del call center, se destacan: utilización de tramas por fibra óptica; sistema AACD (automatic call distribution); capacidad operativa de hasta 120 puestos de trabajo; software de gestión de control y optimización de procesos sobre puestos de trabajo y llamadas. • Sistema de turnos: los ciudadanos pueden solicitar turnos vía web, desde la URL nuevodni.gov.ar, accediendo a la opción “turnos web”, habilitado para las oficinas CDR 25 de Mayo 155, CABA; CDR Av. Paseo Colón 1093, CABA; y CDR Tecnópolis ((Gral. Paz y Constituyentes, CABA). La solicitud de turnos web está habilitada únicamente para las oficinas que dependen del Ministerio del Interior. Sin embargo, debe señalarse que la so licitud de turno no es un requisito o previo a la toma de trámite, dado que para tramitar el nuevo DNI el ciudadano solo debe acercase a cualquiera de las 1300 delegaciones/CDR distribuidas en todo el país con más de 10.400 puestos de toma de trámite y 28 unidades móviles de documentación rápida, o comunicarse con el Registro Civil más cercano a su domicilio. • Consulta web, mediante la publicación de los sitios nuevodni.gov.ar y mininterior.gov.ar, , se brindan múltiples servicios e información online a los habitantes, intensificando los vínculos con la administración pública y asegurando la transparencia en la gestión de gobierno, como así también, creando instancias s de participación ciudadana virtuales. Mediante estas herramientas se brinda a los ciudadanos un sistema de consulta online del estado del trámite de DNI, al que puede accederse aplicando el Nº de DNI o de boleta prenumerada. 54 Comentario AGN Su posible regularización corresponde a un periodo posterior al periodo de evaluación Se mantiene la observación y podría ser evaluada en la próxima revisión. En atención a la observación formulada en el punto 4.11.1.3. Controles automáticos de verificación de huellas, se consignan las siguientes a apreciaciones: • El sistema AFIS es poblado con todos los trámites aprobados y firmados digitalmente, que ingresan al sistema Nuevo DNI (no sólo con los colectivos extranjeros y actualizaciones 16). • El sistema AFIS permite la captura, consulta, actualización, comparación automática y verificación de huellas, mediante la implementación de dos flujos: de enrolamiento al sistema y de verificación (flujo SAR-VAR) y de cotejo automático 11:1 (flujo VER). • La apreciación “atento la limitada performance de la versión disponible del sistema” deviene inexacta, dado que a la fecha el AFIS cuenta con (aprox.) 11 millones de altas, habiendo sido de 15.000.000 la capacidad de registros del sistema, con capacidad de identificaciones diarias de 30.000; siendo ampliado a 25.000.000 de registros decadactilares y un máximo de 50.000 transacciones diarias, tal como consta en el Certificado de Autenticidad expedido por NEC Argentina S.A., en su calidad de proveedor de servicios, adjuntado al presente en copia certificada como Anexo 2. • El flujo SAR controla que no se produzcan dobles identidades (auto hits). En caso de producirse e, el sistema alerta sobre la situación no impidiendo a la fecha la interrupción en el flujo de producción, excepto para las unidades móviles que emiten n el DNI in situ. • El sistema se encuentra en constante evolución, buscando la oportunidad de mejora en la calidad de sus muestras. Así, todas las huellas ingresadas al sistema Nuevo DNI pasan por el flujo VER, donde, para el caso que las nuevas huellas sean 10 o de mayor calidad que las existentes, el AFIS actualiza el sistema con ellas, y en todos los casos, cuando la persona está enrolada, el cotejo es automático. 55 Comentario AGN La información fue recabada del propio responsable del sistema. El certificado mencionado no aclara la fecha en que fue realizado. Se mantiene la observación y podría ser evaluada en la próxima revisión. En relación al apartado 4.1.15. Trazabilidad de los componentes, se deja constancia que por Resolución Nº 797 de fecha 20 de abril de 2012, el ReNaPer emite el DNI exclusivamente en formato tarjeta. De tal modo, la producción de DNI Libreta ha sido discontinuada. Comentario AGN Corresponde a un periodo posterior la regularización. Se mantiene la observación y podría ser evaluada en la próxima revisión Respecto a la observación 4.11.1.6. Gestión de los documentos con fallas, existe un modulo dentro de la aplicación de Sistema de Control de Insumos, donde queda registrada la falla, el remito, el lote, y su destrucción; lo que permite un análisis ex post de la relación con los DNI exitosos. Comentario AGN Durante nuestro relevamiento el sistema mencionado no se encontró operativo. Se mantiene la observación. Respecto al apartado 4.111.1.7. Entrega de DNI por Correo, se e informa que el servicio de entrega al ciudadano está tercerizado mediante dos proveedores, Correos OCA y Correo Argentino, quienes, luego del segundo intento de envío fallido, regresan la pieza al remitente o a la sede del ReNaPer. Existe en a la fecha dos vías para que el ciudadano realice el seguimiento del envío: a través de la web del Ministerio del Interior, en la pestaña “Consultar Estado del Trámite” y a través de los portales web del correo, mediante el servicio track & trace. 56 Comentario AGN Estás funcionalidades no estaban disponibles durante nuestro relevamiento. Se mantiene la observación y podría ser evaluada en la próxima revisión. En atención a la observación formulada en el punto 4.11.1.8. Tramites de DNI para Extranjeros, se informa que mediante la implementación de la Ventanilla Única, se integraron los sistemas de la Dirección Nacional de Migraciones con el del ReNaPer, de modo que por ante la DNM tramita la primera identificación, y aprobada ésta, el ReNaPer continúa el trámite produciendo el DNI conforme la situación migratoria aprobada por la DNM. Comentario AGN La observación se refiere a la duplicación de datos en las bases de ambos sistemas. Se mantiene la observación Asimismo, la observación relativa al apartado 4.11.1.9 es inexacta, en tanto la situación migratoria es competencia de la DNM, no de los registros provinciales; no registrándose a la fecha tramites en formato papel o que no se encuentren en curso. Comentario AGN La observación pone de relieve el proceso no automatizado a cargo de ReNaPer en el período relevado. Se mantiene la observación. Respecto al punto 4.11.1.10 de Trámites no automatizados, deviene inexacta, en tanto que da pendiente de digitalización menos del 5% de las oficinas locales correspondientes a todo el territorio nacional. 57 Comentario AGN El valor del pendiente de digitalización señalado no corresponde al período auditado el cual se encontraba en un 30%. Se mantiene la observación. Asimismo, por Resolución 1260/2012 del ReNaPer, queda habilitada la toma de trámites exclusivamente a través de formulario digital. La medida exceptúa a aquellas oficinas secciona les provinciales que no cuentan con equipamiento de digitalización y que, por razones técnicas, logísticas, geográficas o de fuerza mayor, no resulta posible la captura digital. Comentario AGN La evidencia señalada corresponde a un periodo posterior a nuestra evaluación. Se mantiene la observación y podría ser evaluada en la próxima revisión Respecto al apartado 4.11.1.13 de Administración de Usuarios, se indica que existe a la fecha un procedimiento formal que contempla tres procesos: solicitud; aprobación y ejecución. Comentario AGN Se mantiene la observación y podría ser evaluada en la próxima revisión En relación al apartado 4.11.1.15. Continuidad, se informa a que la Política de Seguridad aprobada por Resolución 104/2012 define el plan de contingencias del organismo, al que el ReNaPer planea adherirse en sus aspectos s fundamentales, y desarrollar las materias especificas que le competen exclusivamente al organismo. Asimismo, al presente el ReNaPer está en vías de utilización como contingencia la Sala Cofre ubicada en la a Planta Baja de la sede del Ministerio del Interior, que ya se encuentra operativa. 58 Comentario AGN Se mantiene la observación y podría ser evaluada en la próxima revisión En atención a la observación formulada al punto 4.11.1.17 Estadísticas, implementación y monitoreo, se informa que mediante la aplicación que soporta el sistema Nuevo DNI, se monitorea continuamente el proceso o de producción; las posibles fallas; el flujo o de producción; las colas de trabajo; la performance de rendimiento de cada proceso dentro de la cadena de fabricación del DNI como así también de los recursos humanos que las llevan a cabo; evolución de los trámites, generando estadísticas y métricas diarias, semanales y mensuales que resulten útiles para la optimización del sistema y la planificación estratégica e en la implementación del mismo. Comentario AGN No se agrega evidencia y por otra parte se reitera que no fue consignada a este equipo de trabajo información estadística requerida. Se mantiene la observación. En relación al apartado 4.12 referido a Sitios Web, se deja constancia que la DGGI resuelve sobre cuestiones técnicas de programación, carga de contenidos y diseño del portal, pero no definen ni elabora en ningún caso sus contenidos, que son remitidos por las áreas correspondientes al área de Sistemas de la DGGI. Comentario AGN Se mantiene la observación 59 III. RECOMENDACIONES Sin perjuicio de lo expuesto, tengo a bien informar que las recomendaciones observadas en los apartado 6.1.1 1. y 6.1.2. serán tenidas en cuenta para la a aprobación del Plan Estratégico de TI 20010/2011 y del Plan Estratégico de TI 20111/2012, tramitados por ante Expediente Nº 12182/2010 y Expediente Nº 3127/2012, respectivamente. Que respecto a los apartados 6.2.1, 6.4.1. y 6.8., las observaciones se encuentran receptada en la Política de Seguridad (Res. 104/2012/MI). Que respecto a lo observado a 6.5. Supervisión, se deja constancia que, si bien el proyecto Nuevo DNI fue desarrollado por un equipo interdisciplinario conformado por miembros de la DGG GI y la Dirección General de Tecnologías de la Información del ReNaPer, con posterioridad a su implementación, la potestad de administración y ejecución operativa del proyecto ha quedado en titularidad d de ésta última, quedando a cargo de la DGGI tareas de supervisión, seguimiento, coordinación y optimización del proyecto, responsabilidades primarias propias a ésta Dirección. Con respecto al apartado 6.6. Metodología del ciclo de vida de desarrollo de los sistemas, la Política de Seguridad del Ministerio del Interior contempla en la sección 13 “desarrollo y mantenimiento de sistemas” el desarrollo, adquisición, implementación y mantenimiento de sistemas. En atención a la observación formulada a 6.9 del informe, se indica que la misma es receptada en los planes estratégicos desarrollados por ante Expediente Nº 12182/2010 y Expediente Nº 3 3127/2012. Respecto a las observaciones planteadas ¡en los apartados 6.11.1 1.1, 6.11.1.3, 6.11.1.5, 6.11.1.6, 6.11 1.1.7, 6.11.1.8, 6.11.1.9, 6.1.11.10, 6. .11.1.13, 6.11.1.15, 6.11.1.17 y 6.12 remitimos a lo expuesto ut supra. Comentario de AGN Las recomendaciones corresponden a cada observación dentro del periodo evaluado. 60