Dirección Nacional de Migraciones - DNM Análisis de la Gestión Informática Auditoría General de la Nación Gerencia de Planificación y Proyectos Especiales Departamento de Auditoría Informática Índice 1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1 2.1. Ejecución del Trabajo de Auditoría ........................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ............................................................................................................. 1 2.3. Procedimientos de Auditoría ..................................................................................................................... 4 3. ACLARACIONES PREVIAS ........................................................................................... 6 3.1. Contexto general de las migraciones ......................................................................................................... 6 3.2. La Dirección Nacional de Migraciones ................................................................................................... 11 3.3. Los Sistemas de Información de la DNM ............................................................................................... 18 4. COMENTARIOS Y OBSERVACIONES ....................................................................... 21 4.1. PLANIFICAR Y ORGANIZAR ............................................................................................................. 21 4.1.1 Definir un plan estratégico para TI .................................................................................................... 21 4.1.2 Definir la arquitectura de información .............................................................................................. 23 4.1.3 Determinar la dirección tecnológica .................................................................................................. 24 4.1.4 Definir los procesos, organización y relaciones de TI ...................................................................... 26 4.1.5 Administrar la inversión en TI ........................................................................................................... 28 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ................................................................. 30 4.1.7 Administrar los recursos humanos de TI ........................................................................................... 31 4.1.8 Administrar la calidad ........................................................................................................................ 32 4.1.9 Evaluar y administrar los riesgos de TI ............................................................................................. 33 4.1.10 Administrar proyectos...................................................................................................................... 34 4.2. ADQUIRIR E IMPLEMENTAR............................................................................................................. 36 4.2.1 Identificar soluciones automatizadas ................................................................................................. 36 4.2.2 Adquirir o desarrollar y mantener software aplicativo ..................................................................... 37 4.2.3 Adquirir y mantener infraestructura tecnológica .............................................................................. 38 4.2.4 Facilitar la operación y el uso ............................................................................................................ 40 4.2.5 Adquirir recursos de TI ...................................................................................................................... 41 4.2.6 Administrar cambios .......................................................................................................................... 42 4.2.7 Instalar y acreditar soluciones y cambios .......................................................................................... 43 4.3. ENTREGAR Y DAR SOPORTE ............................................................................................................ 44 4.3.1 Definir y administrar los niveles de servicio ..................................................................................... 44 4.3.2 Administrar servicios de terceros ...................................................................................................... 45 4.3.3 Administrar el desempeño y la capacidad ......................................................................................... 46 4.3.4 Garantizar la continuidad del servicio ............................................................................................... 48 4.3.5 Garantizar la seguridad de los sistemas ............................................................................................. 48 4.3.6 Identificar y asignar costos ................................................................................................................ 51 4.3.7 Educación y capacitación de los usuarios ......................................................................................... 52 4.3.8 Administrar la mesa de servicio y los incidentes .............................................................................. 53 4.3.9 Administrar la configuración ............................................................................................................. 55 4.3.10 Administración de problemas .......................................................................................................... 56 4.3.11 Administración de Datos ................................................................................................................. 57 4.3.12 Administración del Ambiente Físico ............................................................................................... 58 4.3.13 Administración de operaciones........................................................................................................ 61 4.4 MONITOREAR Y EVALUAR ................................................................................................................ 62 4.4.1 Monitorear y evaluar el desempeño de TI ......................................................................................... 62 4.4.2 Monitorear y evaluar el control interno ............................................................................................. 64 4.4.3 Garantizar el cumplimiento con requerimientos externos ................................................................ 65 4.4.4 Proporcionar gobierno de TI .............................................................................................................. 68 5. RECOMENDACIONES .................................................................................................. 70 6. CONCLUSIONES ..........................................................................................................106 7. COMUNICACIÓN AL ENTE........................................................................................110 8. LUGAR Y FECHA .........................................................................................................110 9. FIRMA ............................................................................................................................110 10. ANEXOS ......................................................................................................................111 ANEXO I – Comentarios del auditado ......................................................................................................... 111 ANEXO II – Análisis de los comentarios del auditado ............................................................................... 115 NEXO III. Niveles del Modelo Genérico de Madurez ................................................................................. 146 ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. 147 ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los procesos informáticos considerados ............................................................................................................. 149 ANEXO VI - Análisis de los referentes informáticos en el interior del país............................................... 159 ANEXO VII – Cumplimiento de la ley 26.653 de accesibilidad de la página Web. .................................. 161 Índice de Ilustraciones Ilustración 1 – Fronteras terrestres ........................................................................................................................ 8 Ilustración 2 – Cauce seco Argentina-Paraguay ................................................................................................. 10 Ilustración 3 – Delegaciones DNM..................................................................................................................... 13 Ilustración 4 – Regionalizacion DNM ................................................................................................................ 14 Ilustración 5 – Ejemplo de Credencial Vecinal Fronteriza ................................................................................ 21 INFORME DE AUDITORIA Al Señor Director Nacional de Migraciones Dr. Martín Augusto Arias Duval Dirección Nacional de Migraciones En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio del Interior y Transportes de la Nación, con el objeto que se detalla en el apartado 1. 1. OBJETO DE AUDITORÍA Análisis de la Gestión Informática en la Dirección Nacional de Migraciones. 2. ALCANCE 2.1. Ejecución del Trabajo de Auditoría El examen fue realizado de conformidad con las Normas de Auditoría Externa (NAE) aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N° 145/93, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3. Período auditado: 01/01/2013 al 30/06/2014. Las tareas de campo se desarrollaron de marzo a septiembre de 2014. 2.2. Enfoque del Trabajo de Auditoría La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en la Dirección Nacional de Migraciones en base a la información obtenida, a la identificación de los 1 INFORME DE AUDITORIA temas de mayor exposición al riesgo, y a las pruebas sustantivas y de cumplimiento realizadas. Esta auditoría se enfocó en el marco de trabajo de TI del Organismo, con énfasis en las aplicaciones de Control Migratorio (Si.Ca.M + Si.Ge.R.A.M) y de regularización de la residencia de extranjeros (S.Ad.Ex), debido a la importancia que revisten para el cumplimiento de la función del organismo.1 La auditoría se basó en la verificación de los Objetivos de Control establecidos por el marco de referencia de buenas prácticas de TI COBIT (Control Objectives in Information Technologies) versión 4.1. Los Objetivos de Control describen los resultados que debe alcanzar un Organismo implantando procedimientos, basados en las mejores prácticas aplicables a los procesos de TI. Para cada uno de los objetivos evaluados se expone el nivel de madurez alcanzado, conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. Adicionalmente, se indican los requerimientos de información -detallados en el Anexo III- afectados para cada objetivo. Se destaca que cada Objetivo de Control va acompañado del nivel de “riesgo genérico” (alto, medio o bajo) que le es propio, tomando en cuenta el impacto que provocaría su incumplimiento, con independencia de la situación en la que se encuentra el Organismo. Este nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones realizadas) para así establecer el “riesgo específico” de ese objetivo en particular. Puede consultarse en los gráficos de los Anexos IV y V como un Objetivo de Control con riesgo genérico alto y calificado con un índice de madurez alto, genera un riesgo específico menor que aquel con riesgo genérico medio o bajo, pero con índice de 1 Un desarrollo más amplio sobre estas aplicaciones se encuentra en el punto 3.3 “Los sistemas de información de la DNM”, de las Aclaraciones Previas de este informe. 2 INFORME DE AUDITORIA madurez bajo. Para tal fin se desarrollaron tareas de relevamiento y análisis de: la planificación y organización, el organigrama del área de tecnología informática y su funcionamiento, el presupuesto operativo anual del área, la administración de recursos humanos de TI, la evaluación de riesgos, la administración de proyectos, la administración de calidad, las prácticas de instalación y acreditación de sistemas y de administración de cambios, la definición de los niveles de servicio, la administración de los servicios prestados por terceros, la administración de la capacidad y el desempeño, los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas, la imputación de costos, la capacitación de los usuarios, la gestión de los usuarios de la Tecnología de la Información, la administración de la configuración de hardware y software, la administración de problemas e incidentes, la administración de datos, de instalaciones y de operaciones, el monitoreo de los procesos, la idoneidad del control interno y la existencia de auditoría interna, documentación normativa del área informática del organismo, 3 INFORME DE AUDITORIA la infraestructura informática del organismo, los sistemas existentes, en producción y desarrollo, la adopción de estándares y normativas de la ONTI2 y SIGEN, la integración de los sistemas la planificación, misión y metas del organismo, las leyes y decretos que regulan su actividad, la verificación del modelo de arquitectura de la información y su seguridad informática. – La administración usuarios de la red informática, las políticas y procedimientos, la documentación de los sistemas. 2.3. Procedimientos de Auditoría En la etapa de análisis se realizaron los siguientes procedimientos: Evaluación del ambiente de control en la gestión de la Tecnología de la Información y Comunicaciones. Realización de entrevistas con los responsables de las diversas áreas relacionadas directa o indirectamente con la TI. Verificaciones in situ en los diversos centros de procesamiento de datos en casa central y en dependencias del interior del país, en materia de seguridad física. 2 ONTI: Oficina Nacional de Tecnologías de Información. Entre sus principales funciones están las de implementar las estrategias de innovación informática en la administración pública, desarrollar sistemas que son utilizados en procedimientos de gestión, fijar los estándares que deben utilizar los organismos públicos cuando incorporan nuevas tecnologías, colaborar con otras dependencias en la creación de portales informativos y de gestión, promover la interoperabilidad de las redes de información de las instituciones estatales y fijar los estándares de seguridad También interviene en la implementación y control de uso de la certificación digital en el Estado, que permite tramitar electrónicamente los expedientes de manera segura y rápida. 4 INFORME DE AUDITORIA Verificación de la seguridad lógica. Análisis de información recibida Evaluación contenido y funcionalidad del sitio web (http://www.migraciones.gov.ar). Evaluación contenido y funcionalidad de la Intranet https://www.dnm.gov.ar/ Pruebas de cumplimiento y entrevistas realizadas en las siguientes dependencias del organismo: Administración Central cita en Av. Antártida Argentina 1355 Unidad de Auditoría Interna cita en Av. Brasil 55 Piso 2 Terminal “Buquebus” Terminal Tigre Aeropuerto “Ministro Pistarini” (Ezeiza, Pcia Bs As) Aeroparque “Jorge Newbery” (C.A.B.A.) Puerto de Buenos Aires (C.A.B.A.) Sistema Cristo Redentor (Mendoza) Paso fronterizo Clorinda-Puerto Falcón (Formosa) Pasarela “La Fraternidad o Amistad” Clorinda-Nanawa (Formosa) Paso fronterizo Gral Belgrano-Gral Bruquez (Formosa) Paso fronterizo Formosa-Alberdi (Formosa) Paso Puerto Pilcomayo-Itá Enramada (Formosa) Paso fronterizo Salvador Mazza-Yacuiba (Salta) Paso fronterizo Aguas Blancas-Bermejo (Salta) Paso fronterizo La Quiaca-Villazón (Jujuy) Paso fronterizo Posadas-Encarnación (Misiones) Delegación Posadas Paso fronterizo Paso de los Libres-Uruguayana (Corrientes) Puerto de Ushuaia 5 INFORME DE AUDITORIA Delegación Ushuaia Paso San Sebastián 3. ACLARACIONES PREVIAS 3.1. Contexto general de las migraciones La Ley 25.871 de Migraciones entiende por “inmigrante” (o “migrante”) a “todo aquel extranjero que desee ingresar, transitar, residir o establecerse definitiva, temporaria o transitoriamente en el país (…)” (art. 2°). No obstante, el tránsito de personas también comprende a los ciudadanos argentinos que por diversas circunstancias cruzan las fronteras del país. De acuerdo a la “Estadística general de movimiento migratorio”3, en 2014 se registraron más de 56 millones de ingresos y egresos de personas. En el mismo año se iniciaron 257.878 radicaciones.4 Actualmente, el 4,9% de los 42.669.500 habitantes de la Argentina son extranjeros.5 Las 153.000 personas diarias que en promedio cruzan las fronteras, lo hacen a través de 239 puestos de control fronterizo, once de los cuales –detallados a continuación– concentran y registran más del 70% del movimiento, por lo que son considerados “de alto tránsito”: 3 Ministerio del Interior y Transporte. Dirección Nacional de Migraciones. Estadística General de Movimiento Migratorio. 4 Ministerio del Interior y Transporte. Dirección Nacional de Migraciones. Síntesis Estadística de Radicaciones, Informe Especial del Año 2014. 5 INDEC “Estimaciones y proyecciones de población 2010-2040 Nro 35 Análisis Demográfico. Datos para 2013. 6 INFORME DE AUDITORIA Pte. Iguazú - Foz do Iguazú Aeropuerto Ministro Pistarini (Ezeiza) Pte. Posadas - Encarnación Puerto de Buenos Aires (terminal de “Buquebus”) Aeroparque Metropolitano Jorge Newbery Pte. Colón - Paysandú Pte. Clorinda - Pto. Falcón Sistema Cristo Redentor Pte. Concordia – Salto Pte. Paso de los Libres - Uruguayana Pte. Gualeguachú – Fray Bentos El control de la migración y residencia implica la vigilancia de 9.376 km de fronteras terrestres, marítimas y fluviales con Bolivia, Brasil, Chile, Paraguay y Uruguay (ver Ilustración 1). Éstas presentan distintas características de acuerdo a la zona. Algunas constituyen barreras naturales que facilitan el control del tránsito, mientras que otras presentan dificultades para su control, tal como se desarrolla a continuación. 7 INFORME DE AUDITORIA Ilustración 1 – Fronteras terrestres Fuente: Gendarmería Nacional Argentina El límite internacional entre Argentina y Bolivia se encuentra configurado por límites geodésicos, geométricos, orográficos y fluviales6. Presenta innumerables casos de permeabilización, donde la población puede desplazarse sin necesariamente pasar por los controles fronterizos. A modo de ejemplo, en los límites fluviales (zona de los Ríos Bermejo-Pilcomayo-Grande de Tarija) la mayor parte del año los ríos presentan un caudal 6 Los límites “geodésicos” son aquellos que se apoyan en un meridiano o paralelo, los límites “geométricos” se apoyan en puntos marcados convencionalmente por el hombre, los “orográficos”, en cambio, se aplican a regiones montañosas trazando el límite por la línea que une las cumbres más elevadas de una cadena única o bien por la línea que pasa por la base o al pie de los macizos montañosos, mientras que los “fluviales” siguen el curso de un río. Fuente: “Principios de Derecho Internacional Público en materia de Límites”, de Guillermo Lagos Carmona. 8 INFORME DE AUDITORIA que permite ser cruzado de forma peatonal, mientras que en los límites geométricos, la frontera está delimitada por hitos o mojones. La frontera con Brasil es de naturaleza fluvial, y queda demarcada por grandes ríos: Iguazú, San Antonio, Pepirí Guazú y Uruguay, de acuerdo a lo establecido en 1895 por el laudo Cleveland. La frontera con Chile está constituida mayormente por la cordillera de los Andes, demarcada de acuerdo a los tratados de 1881, 1899 y 1995, y los laudos británicos de 1902 (Andes patagónicos) y 1977 (canal de Beagle) y papal de 1980 (canal de Beagle), éste último ratificado por referendo en 1984. El extremo sur de la Argentina llega hasta el pasaje de Drake, el cual vincula los océanos Atlántico y Pacífico. En el caso de la frontera con Paraguay, corre a lo largo del río homónimo desde la confluencia con el Río Pilcomayo hasta la intersección con el Paraná. Allí el río presenta un curso sinuoso, navegable por embarcaciones de calado mediano y con riberas aptas para el asentamiento humano, por lo que en este tramo el río promueve una activa vida de relaciones, lo que incluye una clara dinámica de intercambio entre ciudades como Formosa-Alberdi, Asunción-Clorinda, Posadas-Encarnación y de la frontera tripartita entre Ciudad del Este, Puerto Iguazú y Foz de Iguazú, así como también las localidades de Ayolas - Ituzaingó, relación dinamizada en los últimos años por el emprendimiento hidroeléctrico binacional de Yacyretá. Otra parte de la frontera con Paraguay queda definida por el cauce del río Pilcomayo, entre el paralelo 22º S por el occidente y la confluencia de los ríos Paraguay y Pilcomayo por el oriente. El límite fluvial requirió acuerdos binacionales posteriores que definieron su curso hasta el tratado complementario de 1945, en el cual se estableció el régimen de administración de las aguas. El escaso caudal del río y el alto transporte de sedimentos provocaron una derivación de éste en los 9 INFORME DE AUDITORIA tramos entre Esmeralda y Horqueta, formando el bañado la Estrella que se encuentra en territorio argentino, quedando el cauce principal totalmente seco durante algunas estaciones del año. Si bien la situación se normaliza durante la temporada de lluvias ocurridas en sus cuencas altas andinas o precordilleranas, el resto del año su cauce tiende a secarse (ver ilustración 2) hasta el punto de generar “fronteras secas”, en las que es posible pasar a pie de un país a otro. La extensión es de cientos de kilómetros, por lo que su custodia resulta compleja. Ilustración 2 – Cauce seco Argentina-Paraguay Fuente: Elaboración propia La frontera con Uruguay es fluvial y está dada por el río del mismo nombre y el Río de la Plata, según tratados de 1961 y 1973. En el caso de la zona limítrofe sobre el río Uruguay, la línea divisoria resulta ser el canal navegable del río, por su zona más profunda. Se acordó que la isla Martín García por su tradición histórica sea argentina, aunque a partir del trazado del límite, quedó del lado uruguayo. 10 INFORME DE AUDITORIA De los límites terrestres con los cinco países y en virtud de las situaciones geográficas, demográficas y socioculturales, la frontera norte, es la que presenta el mayor desafío para su control migratorio. 3.2. La Dirección Nacional de Migraciones La Dirección Nacional de Migraciones (DNM) es el órgano de aplicación de la ley N° 25.871, con competencia para entender en la admisión, otorgamiento de residencias y su extensión. Controla el ingreso, permanencia y egreso de personas al país y ejerce el poder de policía de extranjeros en todo el Territorio de la República (art. 107°). Puede delegar el ejercicio de sus funciones y facultades en las instituciones que constituyen la Policía Migratoria Auxiliar (art. 108°), está integrada por la Prefectura Naval Argentina, la Gendarmería Nacional, la Policía de Seguridad Aeroportuaria y la Policía Federal, las que en tales funciones están obligadas a prestar a la Dirección Nacional de Migraciones la colaboración que les requiera (art. 114°).7 Dentro del territorio, son también policías auxiliares la Policía Federal Argentina y las policías provinciales, de acuerdo a los convenios celebrados. 7 De acuerdo a la ley 19.349. la Gendarmería Nacional se constituye, entre otras, como “Policía auxiliar aduanera, de migraciones y sanitaria, donde haya autoridad establecida por las respectivas administraciones y dentro de las horas habilitadas para ellas” (art. 3° inc. b), y como “Policía de prevención y represión del contrabando, migraciones clandestinas e infracciones sanitarias en los lugares no comprendidos en el inciso anterior, como así también en éstos, fuera del horario habilitado por las respectivas administraciones” (art. 3° inc. c). En cuanto a la Prefectura Naval Argentina, conforme la ley 18.398, podrá ejercer como “Policía auxiliar aduanera, de migraciones y sanitaria, donde funcionen organismos establecidos por las respectivas administraciones, dentro de las horas habilitadas por ellas” (art. 6º inc. a), y como “Policía aduanera, de migraciones y sanitaria, fuera de aquellos lugares establecidos en el inciso a, así como también en ellos, pero fuera de los horarios establecidos por las respectivas administraciones” (art. 6º inc. b). La Policía de Seguridad Aeroportuaria se rige conforme la ley 26.102, que establece que “ejercerá en el ámbito aeroportuario las funciones de policía aduanera, migratoria y/o sanitaria donde y cuando no haya autoridad establecida por las respectivas administraciones” (art. 16). 11 INFORME DE AUDITORIA Conforme a la ley, el ingreso y egreso de personas al territorio nacional debe realizarse exclusivamente en los horarios y por los lugares habilitados por la Dirección Nacional de Migraciones, sean éstos terrestres, fluviales, marítimos o aéreos. En ellos se realizará el control migratorio correspondiente (art. 34°). Serán causas impedientes del ingreso y permanencia de extranjeros al Territorio Nacional, entre otras, intentar ingresar o haber ingresado al Territorio Nacional eludiendo el control migratorio, o por lugar o en horario no habilitados al efecto (art. 29° inc. i). La irregularidad migratoria de un extranjero no impide su admisión en un establecimiento educativo (art. 7º), ni restringe el acceso al derecho a la salud, asistencia social o atención sanitaria (art. 8º). Las escuelas u hospitales deberán brindar orientación respecto de los trámites necesarios para regularizar la situación. Por su parte, la Dirección Nacional de Migraciones deberá conminar al extranjero a regularizar su situación en el plazo perentorio que fije para tal efecto, bajo apercibimiento de decretar su expulsión. (arts. 37° y 61°). Las misiones y funciones de la DNM son, entre otras:8 Controlar el ingreso/egreso de personas al territorio en fronteras, aeropuertos y puertos. Registrar, archivar y procesar el flujo de entrada/salida de todo el país. Evaluar y otorgar los distintos tipos de residencia de extranjeros. Promover la regularización documentaria de los inmigrantes y controlar su permanencia. Intervenir en los casos de infracción a la ley. Proporcionar información a todo organismo del Estado Nacional u organismo no gubernamental que la requiera, de acuerdo a la normativa vigente. 8 Página Web Institucional de la Dirección Nacional de Migraciones, fecha de visita el 9/04/2015; y Ley 25.871 de Migraciones. 12 INFORME DE AUDITORIA Para cumplir con sus funciones cuenta con: Administración Central, 1 Centro de Documentación Rápida con atención de extranjeros, 28 delegaciones territoriales (ver ilustración 3) 6 oficinas migratorias,9 2 unidades móviles de documentación y trámites, y 239 puestos de control fronterizo. Ilustración 3 – Delegaciones DNM Fuente: Dirección Nacional de Migraciones 9 Las oficinas migratorias dependientes de las delegaciones de la DNM están facultadas a: i) recepcionar y remitir a la delegación correspondiente los trámites iniciados en su jurisdicción; ii) conminar a los detectados en situación irregular a subsanar aquella y, iii) ejercer la función de control de policía en el ingreso y egreso del país. 13 INFORME DE AUDITORIA Para optimizar la organización y distribución de las tareas, los 239 puestos de control fronterizo (PCF) fueron distribuidos en nueve regiones (ver ilustración 4), cada una de las cuales está a cargo de un coordinador operativo titular y un adjunto. Estos a su vez dependen orgánica y funcionalmente de la Dirección de Control Fronterizo, dependiente de la Dirección General de Movimiento Migratorio. Ilustración 4 – Regionalizacion DNM Fuente: Elaboración propia en base a información provista por la DNM 14 INFORME DE AUDITORIA Los 239 puestos de control quedan conformados por: i) 154 pasos fronterizos ii) 44 puertos y iii) 41 aeropuertos internacionales que se distribuyen por país limítrofe conforme al siguiente detalle: Bolivia: 5 puestos en 742 km Brasil: 22 puestos en 1.132 km Chile: 74 puestos en 5.308 km Paraguay: 39 puestos en 1.699 km Uruguay: 14 puestos en 495 km En los PCF se realizan tres tipos de control: 1) el migratorio, que se encuentra bajo la responsabilidad de la DNM, cuyo objetivo es llevar a cabo el control y registro del tránsito de personas,10 2) el aduanero, que se encuentra a cargo de la Dirección Nacional de Aduanas (DNA), cuyo objetivo principal es controlar el ingreso de mercancías, equipaje y medios de transporte, y 3) el zoo-fitosanitario, que se encuentra a cargo del Servicio 10 El control migratorio de noventa y nueve PCF que se encontraban delegados en Prefectura Naval Argentina y en Gendarmería Nacional, fue asumido progresivamente por la DNM a partir de octubre de 2013 por Disposición DNM 2980/2013. La transferencia abarcó a los siguientes PCF: Puerto Chalanas–Bermejo, Aguas Blancas–Bermejo (Salta), La Quiaca–Villazón (Jujuy), Paso de los Libres–Uruguayana, Santo ToméSao Borja (Corrientes), Panambí-Vera Cruz, Barra Bonita-M’Biguá, Aurora–Pratos, Alicia-San Antonio, El Soberbio-Porto Soberbo, Pepirí Guazú-Sao Miguel, Bernardo de Irigoyen-Dionisio Cerqueira, Integración– Planalto, San Antonio-Santo Antonio, Andresito–Capanema (Misiones), San Francisco (Catamarca), Pircas Negras (La Rioja), Pino Hachado, Icalma, Manuil Malal, Hua Hum, Cardenal Antonio Samoré, Pérez Rosales, Coyhaique, Jeinemeini, Dorotea, Laurita-Casas Viejas, Integración Austral, San Sebastián, Jama Norte, Jama Sur, Yaciretá, Clorinda-Puerto Falcón, Pasarela La Fraternidad, Gral Belgrano-Gral Bruguez, Gualeguaychú-Fray Bentos, Concordia-Salto, Aeropuerto de Chapelco. Quedan reasumidos, pero en proceso de relevamiento: El Condado-La Mamora, Socompa, Miranda, El Portillo del Ventillo, Guana, Portillo, Los Azules, Calderón, El Azufre, Casa de Piedra, Puentecillas, Mondaca, Las Ojotas, Quebrada Fría, Las Llaretas, Portillo de Piuquenes, Cajón del Maipo, Vergara, Pichachen, Copahue, Carirriñe, Vuriloche, Río Manso, Rio Puelo, Río Mayer-Ribera Norte, Río Mosco, Lago San Martín-O´Higgins, Jama Norte, Jama Sur, Laguna Sico, De Buta Mallín, Reigolil, Portezuelo de la Divisoria, Paso Marconi, Cóndor-Daniel Posesión, Cerro Redondo-Daniel Frontera, Monte Dinero, Pascua Lama, Cóndor II, Isleta-Pareje Rojas Silva, El Remanso-La Verde, La Madrid-Misión San Leonardo, Misión La Paz-Pozo Hondo. 15 INFORME DE AUDITORIA Nacional de Sanidad y Calidad Agroalimentaria (SENASA) cuyo objetivo principal es controlar el ingreso de mercancías de origen animal o vegetal y derivados semielaborados. Estos controles inciden sobre las cuestiones sociales y económicas, atento a la interacción diaria entre los miembros de las comunidades asentadas a ambos lados de la frontera, que con frecuencia cruzan por motivos comerciales, familiares y culturales, entre otros. El tránsito vecinal fronterizo en algunos PCF es significativo, por lo que ha dado lugar a la implementación de una credencial a los efectos de agilizar los trámites, tema que se tratará más adelante. En cuanto a su configuración, los PCF pueden ser de “cabecera única”, o de “doble cabecera”, y estos últimos pueden estar o no “integrados”, conforme a la siguiente descripción: Cabecera única: Implica la existencia de un único PCF a lo largo del cruce fronterizo, que puede ubicarse en uno de los dos países, o bien, estar superpuesto en el límite político internacional. Las autoridades de ambos países están presentes en un único recinto y se efectúa el control integrado tanto de entrada como de salida. Ejemplo: PosadasEncarnación. Doble cabecera sin controles integrados. El cruce consta de dos PCF, uno de cada lado de la frontera. La persona registra la salida en el puesto del país saliente y luego registra la entrada en el puesto del país entrante. Ej: Formosa-Alberdi Doble cabecera con controles integrados. 16 INFORME DE AUDITORIA Si bien existen dos PCF, uno de cada lado de la frontera, los controles de entrada y salida se realizan en un único puesto de control. El puesto en el que se lleven a cabo los controles depende de si la modalidad elegida es la de “País Entrada-País Sede” o “País Salida-País Sede”. En la modalidad “País Entrada-País Sede”, los controles se ejecutan en el país de “entrada” del usuario, por lo que el puesto fronterizo de ese país es la “sede” de control de ambos países. Tal es el caso del Sistema Cristo Redentor. En la modalidad “País Salida-País Sede”, a la inversa de la anterior, los controles se ejecutan en el país de “salida” del usuario, por lo que el puesto fronterizo de ese país es la “sede” de control de ambos países. Ejemplo: La QuiacaVillazón. Se aclara que en las configuraciones de Cabecera Única y Doble Cabecera con Controles Integrados, en los que los funcionarios de cada país comparten un mismo recinto, los agentes de cada país imputan los datos pertinentes en sus propios aplicativos. Ello obedece a que la normativa argentina (y en algunos casos, también la del país limítrofe) no permite compartir información.11 La ventaja para el usuario reside, no obstante, en que debe detenerse en un solo lugar. Los PCF funcionan tanto en inmuebles propiedad de la DNM, como de otras dependencias del Estado e incluso en inmuebles particulares arrendados, lo que en ocasiones configura situaciones disfuncionales, más aún cuando el espacio es compartido con la Dirección Nacional de Aduanas y SENASA. 11 Ley 25.326 de Protección de Datos Personales y Disposición 15.442/2005 de la DNM creación del Registro Único de Aptitud Migratoria. 17 INFORME DE AUDITORIA La administración de la infraestructura edilicia de los PCF está a cargo de la Dirección de Asuntos Técnicos de Frontera,12 debiendo intervenir en el supuesto de grandes reformas edilicias el Ministerio de Planificación Federal, Inversión Pública y Servicios. La infraestructura de TI, en cambio, es responsabilidad de la DNM. En las decisiones relacionadas con los PCF intervienen los “Comités de Frontera” (o “Comités de Integración”), los que constituyen encuentros binacionales que se realizan entre regiones fronterizas de dos países para el tratamiento de temas de interés mutuo y alcance local. Existen diversas comisiones, como la de Migraciones, Aduanas o FitoZoosanitaria, entre otras. Los asuntos tratados son elevados para su consideración a las áreas competentes. 3.3. Los Sistemas de Información de la DNM La Dirección Nacional de Migraciones cuenta con un conjunto de sistemas que son centrales para la actividad que desarrolla. Se trata del Si.Ge.R.A.M del S.I.Ca.M. y del S.Ad.Ex: 1) Si.Ge.R.A.M. v7 (Sistema de Gestión de Registro de Aptitud Migratoria),13 12 La Dirección de Asuntos Técnicos de Fronteras dependiente del Ministerio del Interior y Transporte es la encargada de coordinar las acciones que desarrollan los organismos nacionales (DNM, SENASA y Dirección Nacional de Aduanas) en los pasos internacionales habilitados. Algunas de sus funciones son: i) participar en la administración de los pasos y centros de fronteras, ii) llevar a cabo las tareas inherentes a la tramitación de los permisos de explotación de servicios complementarios en los complejos fronterizos y las autorizaciones de construcciones y mejoras en los pasos de fronteras a cargo de la Secretaria de Interior, o iii) representar a la Secretaria de Interior en el Subcomité Técnico de Controles y Operatoria de Frontera del CT 2 “Asuntos Aduaneros del MERCOSUR” y en las Reuniones Binacionales sobre Temas Fronterizos. 13 En algunos documentos de la DNM hace referencia a este aplicativo como Sistema de Gestión de Restricciones de Aptitud Migratoria. Se entiende por aptitud migratoria la capacidad de una persona afectada por las distintas decisiones judiciales y administrativas que dispongan la prohibición de salida del país a toda persona de existencia visible, su prohibición de reingreso, así como también las restricciones e impedimentos que sobre las mismas recaigan (Disp. 15.441/2005). Existe un Registro Nacional de Aptitud Migratoria 18 INFORME DE AUDITORIA Mediante este sistema se verifica si la persona puede entrar o salir del país en virtud de decisiones judiciales o administrativas. En caso de detectarse una irregularidad, los funcionarios de la DNM actuantes deben proceder a notificar la situación a los policías auxiliares. 2) S.I.Ca.M. (Sistema Integral de Captura Migratoria) Este sistema, que interactúa con el Si.Ge.R.AM., registra el tránsito migratorio en el Territorio Nacional. 3) S.Ad.Ex (Sistema de Admisión de Extranjeros) Este sistema, desarrollado por personal del organismo, se utiliza en el proceso de regularización migratoria (desde la iniciación hasta la resolución de la residencia). Conforma el denominado Expediente Digital y comprende además la digitalización de los expedientes existentes en soporte papel, los que una vez digitalizados poseerán el mismo valor que los originales (documentación histórica). Los PCF informatizados se encuentran administrados mediante estas tres aplicaciones, aunque con distintas modalidades en función de si operan con o sin servidor local. Cuando el PCF actúa con servidor local, la base de datos de consulta de aptitud migratoria se encuentra sincronizada.14 Los ingresos y egresos se registran en forma local y se transmiten a las instalaciones de la Administración Central. Ante una caída del enlace de comunicaciones, el aplicativo –que almacena los datos en el servidor local- continúa las validaciones contra los datos de aptitud migratoria actualizados creado por dicha disposición cuyas bases de datos se alimentan de datos propios y otros provenientes de INTERPOL, juzgados, RENAPER y otros. 14 La “sincronización” implica que las bases de datos son grabadas en tiempo real tanto en la Administración Central, como en los servidores del PCF. 19 INFORME DE AUDITORIA hasta el momento de producida la falla. Una vez restablecida la comunicación, las bases se re-sincronizan bidireccionalmente. Esta versión puede implementarse con o sin control biométrico (detallado más adelante). Dada la criticidad de la aplicación en los puestos de control fronterizo de alto tránsito, se utiliza esta versión con servidor local a los efectos de sostener su continuidad. Cuando el PCF actúa sin servidor local, el módulo opera sobre las bases de datos de la Administración Central vía enlace de comunicaciones. Ante una caída del enlace, el aplicativo no es accesible y los agentes del organismo registran los trámites en forma manual, cargándolos al sistema una vez restablecidas las comunicaciones (carga diferida). A partir de abril de 2012 se comenzó a implementar la tecnología biométrica para el control migratorio de ingreso y egreso en algunas de las principales terminales del país.15 Este proceso consiste en la toma fotográfica y la captura de la huella dactilar -ambas en forma digital-, el escaneo del documento de viaje -que registra de modo electrónico los datos patronímicos-16 y el uso de firma digital del inspector que valida el movimiento migratorio y habilita la salida o ingreso al territorio.17 En cuanto al tránsito vecinal fronterizo, en algunos PCF se ha implementado el control mediante el uso de una credencial, que implica la carga previa de los datos pertinentes. En estos supuestos y por un lapso determinado, al portador no se le requieren los datos 15 En Aeropuerto Ministro Pistarini (Ezeiza), Aeroparque Metropolitano Jorge Newbery y terminal de “Buquebus”. 16 De acuerdo a la RAE, el término “patronímico” refiere al “nombre que, derivado del perteneciente al padre u otro antecesor, y aplicado al hijo u otro descendiente, denotaba en estos la calidad de tales.” En el contexto descrito, refiere al conjunto básico de datos que permiten la identificación de una persona. 17 El proceso de control del movimiento migratorio en el Aeropuerto Internacional de Ezeiza y la Terminal “Buquebus” del Puerto de Buenos- fue certificado bajo Normas ISO 9001:2008. 20 INFORME DE AUDITORIA patronímicos en cada ocasión que pasa por el PCF. Al pasar la persona por éste, el inspector actuante de la DNM procede a leer el código de barras (ver ilustración 5) que figura en el anverso del documento tramitado al efecto y el sistema registra el movimiento. Ilustración 5 – Ejemplo de Credencial Vecinal Fronteriza Fuente: Elaboración propia Por último, se señala que no todos los pasos fronterizos cuentan con infraestructura informática. Los PCF que no están informatizados se encuentran por lo general en lugares poco accesibles y de bajo tránsito, a cargo de Gendarmería Nacional o Prefectura Naval Argentina. Los agentes de estos organismos toman los datos en forma manual y con cierta periodicidad los transfieren a la DNM para su registración. 4. COMENTARIOS Y OBSERVACIONES 4.1. PLANIFICAR Y ORGANIZAR 4.1.1 Definir un plan estratégico para TI Objetivo de control: Se requiere una planeación estratégica de Tecnología de la Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los objetivos estratégicos del Organismo y sus prioridades. La Dirección General de Sistemas y Tecnologías de la Información (DGSyTI) y los niveles decisorios de la organización, son responsables de garantizar que se materialice el valor óptimo de los proyectos y servicios. 21 INFORME DE AUDITORIA El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y aceptadas tanto por el Organismo como por TI. Este objetivo de control afecta, primariamente a la efectividad, y en forma secundaria a la eficiencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La planeación estratégica de TI se comparte con los niveles decisorios del Organismo según se necesite. La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección. Las decisiones estratégicas se toman proyecto por proyecto, sin ser necesariamente consistentes con una estrategia global de la organización. Los riesgos y beneficios al usuario se reconocen de forma intuitiva. Observaciones: En febrero de 2012 se aprobó un Plan de Tecnologías de la Información 2012-2014, elaborado a partir de una evaluación realizada por la propia DGSyTI, y en función del lineamiento estratégico de la Dirección Nacional orientado a tomar el control administrativo sobre los pasos fronterizos administrados por otros organismos (Prefectura Naval Argentina, Gendarmería Nacional) o a mejorar la infraestructura de TI. También se plantea la actualización de la infraestructura de Data Center con una contratación llave en mano (2012-2014), el rediseño de la página Web, mantenimiento de sistemas aplicativos S.Ad.Ex, S.I.Ca.M, Si.Ge.R.A.M, S.A.Cer18, capacitaciones con aula virtual, a los usuarios, innovación en materia de digitalización, tecnologías biométricas e infraestructura de firma digital. En tal sentido, cabe señalar que el Plan de TI 2012-2014 no cuenta con los 18 S.A.Cer Sistema de Administración de Certificados de firma digital conforme al decreto 375/05 del PEN de Plan de Gobierno Electrónico. Esto permite la utilización de la firma digital que otorga seguridad a las transacciones electrónicas, a través de la identificación fehaciente de las personas que intercambien información en formato electrónico. Su aplicación en el Expediente Digital permitió agilizar los trámites.. 22 INFORME DE AUDITORIA planes tácticos que lo respalden, donde se detallen tiempos, recursos afectados, costos, hitos intermedios a alcanzar o riesgos relacionados, que permitan inferir cómo se lograrán los objetivos planteados. Al cierre de trabajos de campo de esta auditoría, habían transcurrido veinticinco meses desde su última actualización. 4.1.2 Definir la arquitectura de información Objetivo de control: La función de los sistemas de información debe crear y actualizar de forma regular un modelo de información y definir los sistemas apropiados para optimizar su uso. Esto incluye el desarrollo de un diccionario de datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales proveyendo información confiable y segura, y permite racionalizar los recursos de los sistemas de información. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones. Este objetivo de control afecta, primariamente a la eficiencia y la integridad y en forma secundaria a la efectividad y la confidencialidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Surge un proceso de arquitectura de información y existen procedimientos similares, aunque intuitivos, informales y no centralizados. Los funcionarios de la Dirección General de Sistemas y Tecnologías de la Información (DGSyTI) obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. Observaciones: La DGSyTI estableció un modelo no formalizado de arquitectura de la información. En ese sentido, se establecieron algunas pautas en cuanto al desarrollo de los aplicativos (siempre desarrollos propios) y el equipamiento que se distribuyó a lo largo del país en la 23 INFORME DE AUDITORIA red propia de datos. No obstante, no se formalizó el modelo, como tampoco se definieron formalmente pautas que aseguren la integridad y la consistencia de toda la información almacenada, tales como un diccionario de datos de la organización, un esquema de clasificación de datos de acuerdo a la criticidad y la sensibilidad, los procedimientos para definir datos nuevos y esquemas de funciones estándar de tratamiento de los datos (biblioteca de funciones). La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas. 4.1.3 Determinar la dirección tecnológica Objetivo de control: Dirección General de Sistemas y Tecnologías de la Información (DGSyTI) debe determinar la dirección tecnológica para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la creación de un plan de infraestructura tecnológica que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar la economía de escala en los sistemas de información utilizados por el personal o para la toma de decisiones, como también en interoperabilidad entre las plataformas y las aplicaciones. Este objetivo de control afecta a la efectividad y la eficiencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La planeación es táctica. La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos similares, aunque intuitivos. Las personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje 24 INFORME DE AUDITORIA práctico y la aplicación repetida de las técnicas. Se verifica el surgimiento de técnicas y estándares comunes para el desarrollo de componentes de la infraestructura. Observaciones: La Dirección General de Sistemas y Tecnologías de la Información ha implementado una infraestructura tecnológica en los puestos de control de migraciones y en delegaciones migratorias del país consistente en una red de comunicaciones con enlaces punto a punto y aplicaciones específicas desarrolladas e implementadas internamente. Adicionalmente cuenta con una red de celulares corporativos para uso del personal. No obstante no se tuvo a la vista documentación respaldatoria de las decisiones sobre la infraestructura tecnológica y los estándares adoptados.. Falta un Plan de Infraestructura que esté de acuerdo con los planes estratégicos y tácticos de TI alineados con los de la organización, con establecimiento de estándares, dirección tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras. La organización utiliza los Estándares Tecnológicos para la Administración Pública (ETAP)19 solamente para las adquisiciones. En el caso de las versiones de Si.Ca.M con servidor local, el motor de base de datos se encuentra sin soporte técnico por parte del fabricante del producto. Esta situación podría comprometer la continuidad del servicio brindado por el aplicativo en caso de una falla imprevista.20 19 ETAP: Estándares Tecnológicos para la Administración Pública fijados por la Secretaría de Gabinete y Coordinación Administrativa de la Jefatura de Gabinete de Ministros de la Presidencia de la Nación. Éstos brindan a los distintos organismos de la Administración Pública Nacional una herramienta que les posibilite avanzar en los procesos de racionalización, estandarización y homogeneización de las contrataciones de las diversas tecnologías informáticas. A estos fines, los ETAPs deberán ser utilizados como guía para la redacción de los pliegos de especificaciones en las áreas que cubren 20 Interbase es un sistema de gestión de bases de datos relacionales desarrollado y comercializado por la compañía Borland Software Corporation y actualmente adquirida por Embarcadero Technology. 25 INFORME DE AUDITORIA 4.1.4 Definir los procesos, organización y relaciones de TI Objetivo de control: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. El Organismo estará inserto en un marco de trabajo de procesos de TI que asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios, como TI, debe determinar las prioridades de los recursos de TI alineados con las necesidades del Organismo. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los procesos importantes de decisión. Este objetivo de control afecta a la efectividad y la eficiencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente Definido. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. La división de roles y responsabilidades está definida e implantada. Observaciones: Al momento de los trabajos de campo, se encontraba aprobada la estructura organizativa hasta el tercer nivel operativo del organismo (Dirección General, Direcciones 26 INFORME DE AUDITORIA anteriormente denominadas Coordinaciones- y Departamentos).21 Adicionalmente, la segregación de tareas, roles y responsabilidades se encuentran definidos. No obstante, el organigrama no contempla posiciones importantes como administración de proyectos, aseguramiento de la calidad, seguridad (física y lógica), monitoreo de la infraestructura y gestión de riesgos, entre otras. Asimismo, la administración de la seguridad no está definida en el organigrama. Ante su ausencia, la función está asignada a funcionarios de diversas áreas, dependiendo del ámbito de aplicación: en el caso de los vínculos de comunicaciones, y accesos a la red, las tareas las lleva a cabo el Departamento de Enlaces y Comunicaciones; para acceso y seguridad de servidores, la responsabilidad recae en el Departamento de Tecnología; mientras que los accesos a las aplicaciones corresponden al Departamento de Soporte Operativo. Por último, cabe destacar que el representante de la seguridad de la información ante el Comité de Seguridad de la Información, es el Director de Aplicaciones Informáticas22, lo cual vulnera el control por oposición. En relación a la infraestructura de TI, a cuyo cargo se encuentra la Dirección de Tecnología y Comunicaciones, y dada la expansión geográfica a la que se vio sometida el organismo producto de la Disposición DNM 2980/201323, la misma además de una dotación interna, cuenta con referentes informáticos (RI) en el interior del país que llevan a cabo tareas de soporte técnico solicitadas desde la administración central. Considerando que estos agentes deben desplazarse físicamente hasta el lugar del incidente para proceder a su solución in situ, cabe señalar que, en algunos casos, los RI son 21 Decisión Administrativa DNM N° 1395/2012 (estructura organizativa del primer nivel operativo), 250/08 (estructura organizativa del primer y segundo nivel operativo y aperturas inferiores) y 813/2014 (jerarquización de las coordinaciones de Tecnología y Comunicaciones y de Aplicaciones Informáticas en direcciones). 22 Disposición DNM 683/2012 del 22/03/2012. 23 Por esta disposición, la DNM asume el control de 99 pasos fronterizos, que estaban a cargo de Gendarmería Nacional. 27 INFORME DE AUDITORIA insuficientes (las regiones VI y IX) y en otros inexistentes (Región VIII y las provincias de Córdoba, La Pampa, San Luis y Tucumán) para garantizar la continuidad del servicio24. Sobre el rol de cada RI cabe destacar que: No se encuentran definidas formalmente ni las misiones ni las responsabilidades de la función. Su dependencia funcional no está claramente definida por cuanto debe responder a su mando superior (delegado, coordinador de la región, encargado del PCF y otros) y a las directivas emanadas por la DGSyTI. En la mayoría de las zonas asignadas, son las únicas personas a cargo de esta tarea, con lo cual existe una dependencia crítica ante su eventual ausencia. Algunos agentes se encuentran bajo una modalidad contractual no compatible con la criticidad de sus responsabilidades. En algunos casos deben recorrer distancias que en tiempo superan la mitad del horario de atención al público o tienen más de 40 puestos de trabajo para atender o la dotación no les permite solucionar más de un incidente en la misma jornada laboral.. No pueden realizar un programa preventivo que evite una posible discontinuidad del servicio. 4.1.5 Administrar la inversión en TI Objetivo de control: Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto. Trabajar con los interesados para identificar y controlar los costos y beneficios totales 24 Ver ANEXO V Situación de los Referentes Informáticos por Región. 28 INFORME DE AUDITORIA dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los beneficios y el retorno sobre las inversiones en TI. Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de seleccionar, administrar y presupuestar las inversiones en TI. Se comunica la necesidad de un proceso de selección y presupuesto. El cumplimiento depende de la iniciativa de individuos dentro de la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y tácticas. Observaciones: La asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la Dirección General de Sistemas y Tecnología de la Información (DGSyTI). Falta la implementación a nivel de la organización de un enfoque orientado a la administración por centros de costos de los recursos de TI. Dentro de este marco de trabajo, la DGSyTI no presenta un proceso presupuestario propio de los programas de inversión de TI incluyendo los costos de operar y mantener la infraestructura actual. Este proceso debería permitir su monitoreo para determinar la contribución esperada de TI a los objetivos estratégicos del organismo. En relación a la formulación presupuestaria, el presupuesto total del organismo se incrementó en un 37,53% en términos nominales entre el 2012 y el 2013; sin embargo, la inversión en TI prevista, se mantuvo constante en términos nominales pero se redujo en 29 INFORME DE AUDITORIA términos porcentuales del 6,08% en el 2012 al 4,42% en el 201325 (en relación al presupuesto total del organismo). 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia Objetivo de control: La dirección debe elaborar un marco de trabajo de control organizacional para TI, y definir y comunicar las políticas. Se debe implantar un programa de comunicación continua para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos. Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria al cumplimiento. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Repetible. La DGSyTI tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son en su mayoría informales. Se ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la consideración de los responsables de los proyectos. La calidad se reconoce como una filosofía deseable a seguir, pero no se ha formalizado. La comunicación hacia los usuarios relevantes no siempre es efectiva. Observaciones: El ambiente de control de TI es incompleto. Existen algunas disposiciones pero no todas se cumplen. 25 Presupuesto del año 2012Total DNM: $551.284.620, DGSyTI: $33.504.392 Presupuesto del año 2013 DNM: $758.184.001, DGSyTI: $33.543.137 (Fuente: Dirección General de Administración de la DNM). 30 INFORME DE AUDITORIA Faltan políticas formalizadas del ambiente de control que se puedan tomar como marco de referencia y que sean parte de un programa de comunicación continua al personal relevante, referidas a: Planificación de Proyectos y su seguimiento Programa de Aseguramiento de la Calidad Administración de riesgos Documentación en general que tenga como objetivo maximizar la entrega de valor de TI a los objetivos estratégicos del organismo, mientras se minimizan los riesgos. 4.1.7 Administrar los recursos humanos de TI Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. Este objetivo de control afecta a la efectividad y a la eficiencia. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un enfoque táctico para contratar y administrar al personal de TI, dirigido por necesidades específicas de proyectos. Se imparte entrenamiento informal al personal nuevo, quienes después son capacitados según las necesidades que se presenten. Observaciones: La ley 25.164 -Ley marco de Regulación de Empleo Público Nacionaldetermina diferentes modalidades de contratación: Con sujeción al régimen de estabilidad; Con sujeción al régimen de contrataciones por tiempo determinado; y 31 INFORME DE AUDITORIA Con sujeción al régimen para el personal de gabinete o ad honorem. La DNM adhiere al Convenio Colectivo General para la Administración Pública Nacional (Decreto 214/2006). Al momento de los trabajos de campo, en el organismo el 89,55% del personal pertenece a la Planta Transitoria.26 En este orden, el personal de la Dirección General de Sistemas y Tecnologías de la Información (DGSyTI) en su mayoría es contratado bajo la modalidad “transitorio/permanente”. La perpetuidad en esta modalidad de contratación, pensada para situaciones transitorias o estacionales,27 desvirtúa la naturaleza jurídica de la misma, provocando situaciones desfavorables para los agentes dentro del organismo. La percepción del plus informático sólo es exclusiva del Personal de Planta Permanente. La falta de personal y de formalización de los marcos de trabajo (políticas, procedimientos, documentaciones varias) genera una alta exposición a dependencias críticas sobre individuos clave. 4.1.8 Administrar la calidad Objetivo de control: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los 26 La Dirección Nacional de Migraciones cuenta aproximadamente con 3885 empleados, de los cuales 406 (10,45 % del total del personal) pertenecen a Planta Permanente. En la DGSyTI sólo 4 de 67 agentes pertenecen a la planta permanente (el 5,97%). 27 El art. 9º del citado texto normativo regla: “El régimen de contrataciones de personal por tiempo determinado comprenderá exclusivamente la prestación de servicios de carácter transitorio o estacionales no incluidos en las funciones propias del régimen de carrera, y que no puedan ser cubiertos por personal de planta permanente…”. 32 INFORME DE AUDITORIA interesados. La administración de calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los interesados. Este objetivo de control afecta, primariamente a la efectividad y a la eficiencia, y en forma secundaria a la integridad y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de un Sistema de Administración de la Calidad (SAC) en relación a TI. Se realizan juicios informales sobre la calidad. Observaciones: No existen políticas ni un sistema de administración de calidad relacionado con TI que establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos del Organismo. 4.1.9 Evaluar y administrar los riesgos de TI Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas estratégicas del Organismo causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de tolerancia. 33 INFORME DE AUDITORIA Este objetivo de control afecta, primariamente a la confidencialidad, la integridad y la disponibilidad, y en forma secundaria a la efectividad, la eficiencia, el cumplimiento y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales según lo determine cada proyecto. Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Observaciones: No existe un marco de administración de riesgos que permita identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente los riesgos tecnológicos se conocen, pero falta la formalización del contexto de riesgo y su evaluación formal de manera tal de contemplar las fortalezas, las oportunidades, las debilidades y las amenazas. El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso. 4.1.10 Administrar proyectos Objetivo de control: Establecer un programa y un marco de control administrativo de proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación para garantizar la administración de la ejecución del proyecto y su contribución a los 34 INFORME DE AUDITORIA objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribución a los programas de inversión en TI. Este objetivo de control afecta a la efectividad y la eficiencia. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Repetible. La alta dirección ha tomado conciencia y comunicado la necesidad de la administración de los proyectos de TI. La organización está en proceso de desarrollar y utilizar algunas técnicas y métodos. Los proyectos de TI han definido objetivos técnicos y de negocio de manera informal. Hay participación limitada de los interesados en la administración de los proyectos de TI. Las directrices iniciales se han elaborado para muchos aspectos de su administración. Observaciones: Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos, pero no se lo aplica en todos los casos. 28 El marco de trabajo actual no permite inferir cómo se abordan aspectos tales como: Costos, plazos, hitos a cumplir, alcance, recursos afectados Parámetros definidos en el sistema de administración de la calidad. El control de cambios de modo tal que todas las modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado de acuerdo al marco de trabajo. El monitoreo del desempeño contra los criterios clave previamente definidos en el sistema de calidad. 28 Disposición 1678 cuya última versión es del 24/07/2012 35 INFORME DE AUDITORIA 4.2. ADQUIRIR E IMPLEMENTAR 4.2.1 Identificar soluciones automatizadas Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos. Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria a la eficiencia. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Parcialmente Definido. Existen enfoques claros y estructurados para determinar las soluciones de TI. El proceso para determinar las soluciones de TI se aplica en base a factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo disponible, el tamaño y prioridad del requerimiento. Sin embargo, el marco de trabajo es incompleto. Faltan consideraciones relativas a la formalización de cómo se consideraron la factibilidad, el riesgo, la asignación de costos, las prioridades, la asignación de recursos y el beneficio esperado de la solución adoptada. Observaciones: Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos29(MPPI) que contempla etapas del Ciclo de Vida de Desarrollo de Sistemas, tales como: la administración de los requerimientos, estudios de factibilidad, evaluación de los distintos cursos alternativos posibles de acción, análisis de riesgo, asignación de prioridades, recursos y consentimiento de los usuarios relevantes, pero no se aplica en todos los casos. 29 Disposición 1678 cuya última versión es del 24/07/2012 36 INFORME DE AUDITORIA En el MPPI, contempla un formulario estándar para realizar un requerimiento a ser evaludao, pero no siempre se lo utiliza en la práctica. Otros medios tales como correo electrónico, notas u otros suelen ser también admitidos para cambios considerados menores. Falta establecer un marco de trabajo que sirva para la administración de requerimientos informáticos, que permita organizarlos, clasificarlos, otorgar prioridades, asignar recursos y calcular costos. Las áreas solicitantes o usuarias participan en la etapa de prueba sin quedar registros de ello, ya que no hay un procedimiento que determine cómo se documentarán las mismas. 4.2.2 Adquirir o desarrollar y mantener software aplicativo Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la operatividad de forma apropiada con las aplicaciones correctamente automatizadas. Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la integridad y confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a otro. Observaciones: Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos30 (MPPI) que contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de Sistemas 30 Disposición 1678 cuya última versión es del 24/07/2012 37 INFORME DE AUDITORIA (CVDS) incorporando documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación pero no se aplica en todos los casos y el marco de trabajo es incompleto ya que no se definieron estándares de documentación como los protocolos de aceptación a aplicar en cada etapa. Por lo tanto se infiere que es una formulación de una política a aplicar pero no un manual de procedimiento. A falta de un Sistema de Administración de Calidad (SAC), no se realiza gestión de aseguramiento de ésta en las distintas etapas del CVDS. En relación al control y la posibilidad de auditar los desarrollos de aplicaciones, existe un débil cumplimento de la política formulada, sumada a la falta de especificidad de ésta en temas tales como: la documentación en las distintas etapas de los proyectos, reportes de seguimiento, pistas de auditoría, el control del código fuente, mediciones sobre la satisfacción de usuarios y una definida metodología de desarrollo. La documentación existente se encuentra desactualizada e incompleta.31 La falta de un entorno de desarrollo integrado permite que existan redundancias o inconsistencias de datos.32 No está definido el marco de trabajo de los pases de entorno de “Desarrollo”, a “Pruebas”, y de ésta última a “Producción”. 4.2.3 Adquirir y mantener infraestructura tecnológica Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y 31 Por ejemplo, el “Plan de Proyecto” suministrado a este equipo de auditoría corresponde a la versión 6 del S.I.Ca.M, cuando la vigente es la versión 7 (aprobada por Disp.1936/2012). 32 A modo de ejemplo, los sistemas S.I.Ca.M y S.Ad.Ex presentan tablas en uno y otro sistema que podrían ser comunes, como las tablas de Pasos Fronterizos, Países, Delegaciones u otras. Queda abierta así la posibilidad de que alguno de estos conceptos sea actualizado en un sistema y no en otro. 38 INFORME DE AUDITORIA pruebas, lo que contribuye con la existencia de un soporte tecnológico continuo para las aplicaciones. Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la efectividad, la integridad y la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura sin ningún plan integral. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento se realiza en forma reactiva a necesidades de corto plazo. Observaciones: No hay un plan de infraestructura tecnológica que considere aspectos tales como adquisiciones, implementaciones, planeamiento de la capacidad para necesidades futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente como contribución de TI para alcanzar los objetivos estratégicos del Organismo. Los sistemas principales están sostenidos por una infraestructura tecnológica instalada en los diferentes pasos fronterizos, delegaciones y administración central conectados a través de una red MPLS33 para intercambio de datos. Esta infraestructura comprende la administración de 62 servidores en sede central, 111 servidores en el interior del país, switches, estaciones de trabajo, impresoras y scanners. No hay un plan de mantenimiento preventivo sobre la infraestructura detallada del equipamiento instalado en los distintos puntos mencionados anteriormente, en base a un diagnóstico previo que incluya las garantías de los proveedores de tecnología. Otro aspecto relevante es la ausencia de un sistema de stock y registro de repuestos. 33 Multi-Protocol Label Switching 39 INFORME DE AUDITORIA 4.2.4 Facilitar la operación y el uso Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y TI, y proporcionar entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Parcialmente Definido. Existe un esquema bien definido, aceptado y comprendido para documentación del usuario. Se guardan y se mantienen los procedimientos en un repositorio formal y cualquiera que necesite saber tiene acceso a él. Las correcciones a la documentación y a los procedimientos se realizan por reacción. Los procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en caso de desastre. No existe un proceso que especifique las actualizaciones de procedimientos y los materiales de entrenamiento ante un cambio. Los usuarios se involucran en los procesos informalmente. Cada vez se utilizan más herramientas automatizadas en la generación y distribución de procedimientos. Observaciones: Existen manuales de usuario y hay coordinación con las áreas de Recursos Humanos para la capacitación del usuario final. Sin embargo, para los casos de cambios o actualizaciones de los aplicativos, falta un procedimiento que determine la forma en que el usuario tome conocimiento En ese sentido, la comunicación de cambios es informal. En relación a la transferencia de conocimientos al personal de operaciones y soporte, se basa en información de calidad variable no estandarizada. 40 INFORME DE AUDITORIA 4.2.5 Adquirir recursos de TI Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la efectividad y el cumplimiento. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Parcialmente Definido. La administración establece políticas y procedimientos para la adquisición de TI. Las políticas y procedimientos toman como guía el proceso general de adquisición de la organización. La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del organismo. Existen estándares de TI para la adquisición de recursos. Los proveedores de recursos de TI se integran dentro de los mecanismos de administración de proyectos de la organización desde una perspectiva de administración de contratos. La administración de TI comunica la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI. Observaciones: El organismo cumple con las normas jurídicas correspondientes al Régimen de Contrataciones de la Administración Pública Nacional.34 34 Decreto Delegado Nº 1023/2001 (Régimen de Contrataciones del Estado Nacional), Decreto Nº 436/2000 (Reglamento para la Adquisición, Enajenación y Contratación de Bienes y Servicios del Estado Nacional). Ley N˚ 24.156 (Ley de Administración Financiera y Sistemas de Control del Sector Público Nacional); Ley N˚ 25.188 (Ética en la Función Pública); Ley N˚ 25.551 (Compre Trabajo Argentino); Decreto Nº 1818/2006 (Sistema Electrónico de Contrataciones Públicas); Resolución SIGEN Nº 79/2005 (Sistema de Precios Testigo); Ley 24.759 Convención Interamericana Contra la Corrupción Artículo 5 inc. 3 de la aplicabilidad de medidas preventivas destinadas a crear, mantener y fortalecer sistemas para la adquisición de bienes y servicios por parte del Estado que aseguren publicidad, equidad y eficiencia y el Artículo 9 referido a los 41 INFORME DE AUDITORIA Sin embargo, falta formular un marco de trabajo que permita medir el grado de cumplimiento de los contratos y que en relación a este análisis, contribuya a mejorar, modificar o concluir contratos que apliquen a todos los proveedores, que abarque: responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, así como obligaciones y cláusulas de penalización por incumplimiento cuando no cumplan los acuerdos de niveles de servicios previamente establecidos. 4.2.6 Administrar cambios Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formal y controladamente. Los cambios (incluyendo procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y contrastar contra los resultados planeados después de la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la estabilidad o integridad del ambiente de producción. Este objetivo de control afecta, primariamente a la efectividad, la eficiencia, la integridad y la disponibilidad, y en forma secundaria a la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Existe documentación para los cambios pero es insuficiente. Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por la administración de cambios. valores mínimos que cada Estado parte deberá considerar a la hora de establecer los sistemas de contratación pública basados en la transparencia, competencia y criterios objetivos para la adopción eficaz de decisiones. 42 INFORME DE AUDITORIA Observaciones: No hay procedimientos formales para la administración de cambios que establezcan un tratamiento estandarizado de todas las solicitudes de mantenimiento y actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema. Tampoco existe un procedimiento alternativo y formal para atender situaciones de emergencia. Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente. Pueden surgir errores a partir de cambios no autorizados y/o no probados a los sistemas de información. No se ha contemplado el tratamiento de cambios producidos por cuestiones no funcionales, tales como cuestiones técnicas (performance y otros) o de seguridad. 4.2.7 Instalar y acreditar soluciones y cambios Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operacionales estén en línea con las expectativas convenidas y con los resultados. Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la eficiencia, la integridad y la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe cierta consistencia entre los enfoques de prueba y acreditación, pero no se basan en ninguna metodología estandarizada. Los equipos individuales de desarrollo deciden normalmente el enfoque de prueba y casi siempre hay ausencia de pruebas de integración. Hay un proceso de aprobación informal. Observaciones: 43 INFORME DE AUDITORIA Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) que contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de Sistemas (CVDS) con documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación, pero no se aplica en todos los casos. Además, el marco de trabajo es incompleto, ya que no se encuentran definidos los estándares de documentación, como los protocolos de aceptación a aplicar en cada etapa. En consecuencia, el manual constituye una política a implementar más que un catálogo de procedimientos. No existe un marco de trabajo (procedimientos formales) para realizar las pruebas donde estén definidos los roles, responsabilidades y criterios aceptados. La política establecida en el MPPI sugiere la posibilidad de pasar del entorno de desarrollo al de producción, sin pasar por el de pruebas. Por otra parte, las pruebas se llevan a cabo mediante la duplicación de datos, sin que se tomen los debidos recaudos para enmascarar o convertir los datos sensibles sobre las personas. Tampoco se especifica quienes son los responsables del pasaje de las aplicaciones y los datos entre los distintos entornos (desarrollo, prueba y producción) 4.3. ENTREGAR Y DAR SOPORTE 4.3.1 Definir y administrar los niveles de servicio Objetivo de control: La máxima autoridad debe definir un marco que promueva el establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad. Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 44 INFORME DE AUDITORIA Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de cuentas para la definición y la administración de servicios no están definidas. Si existen las medidas para medir el desempeño, son solamente cualitativas, con metas definidas de forma imprecisa. Observaciones: Existe un marco de trabajo que define formalmente los niveles de servicio entre el usuario y DGSyTI. Dicho marco mantiene una alineación con los requerimientos y las prioridades del organismo y facilita el entendimiento común. El marco cuenta con definiciones de servicio, acuerdos de niveles de operación (especificaciones técnicas del servicio a recibir), las fuentes de financiamiento y los acuerdos de niveles de servicio.35 No incluye, sin embargo, procesos para la creación de futuros requerimientos de servicio. No hay personal dedicado al seguimiento del cumplimiento de la prestación del servicio, ni una política y procedimientos específicos sobre qué hay que medir (disponibilidad, desempeño, carga de trabajo, capacidad), ni las acciones que se deben tomar con el propósito de minimizar el riesgo de interrupciones. Estos atributos no están organizados en un catálogo de servicios. 4.3.2 Administrar servicios de terceros Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar la eficacia y el cumplimiento de la política del Organismo. 35 Un acuerdo de nivel de servicio es un convenio entre un proveedor de servicio y los usuarios con objeto de fijar el nivel acordado para la calidad de dicho servicio. Proporciona un marco de entendimiento que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio. 45 INFORME DE AUDITORIA Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. La medición de los servicios prestados es informal y reactiva. Observaciones: No existe un marco de trabajo para administrar los servicios de terceros. Esto comprende la formalización del proceso de administración de relaciones con proveedores, su clasificación y el monitoreo de la prestación brindada en base a los niveles de servicio acordados. No hay personal dedicado a esta función, para asegurar que el proveedor está cumpliendo con los requerimientos convenidos y que adhiere continuamente a los acuerdos del contrato. En relación a mantener un efectivo servicio de entrega en forma segura, no se encuentran identificados los riesgos de no cumplimiento, lo que no permite definir las acciones a seguir con el fin de mitigarlos. 4.3.3 Administrar el desempeño y la capacidad Objetivo de control: Se debe implementar un proceso de administración orientado a la recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras, almacenamiento y contingencias, y garantizar que los recursos de información que soportan los requerimientos del Organismo estén disponibles de manera continua. 46 INFORME DE AUDITORIA Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Repetible. Se utilizan herramientas para diagnosticar problemas de desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o consideración sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos. Observaciones: La planeación del desempeño y la capacidad es intuitiva. No resulta de un proceso de monitoreo de la infraestructura de TI presente y su proyección futura. No hay personal dedicado al monitoreo de la infraestructura, ni una política y procedimientos específicos sobre lo que hay que medir (disponibilidad, desempeño, carga de trabajo, capacidad), ni la fijación de acuerdos de nivel de servicios, ni las acciones que se deben tomar para balancear la carga de trabajo, dar prioridad a ciertas tareas o reasignar de recursos con el propósito de minimizar el riesgo de interrupciones del servicio. No se elaboran informes de control asociados entre la capacidad y el desempeño. Éstas se transmiten a través de canales informales (reuniones de evaluación entre los equipos de la Dirección de Tecnología y Comunicaciones y la Dirección de Aplicaciones Informáticas). Esta situación no permite planificar con precisión las necesidades futuras, ni tomar acciones preventivas para evitar la degradación del servicio ante los posibles incrementos en la demanda. 47 INFORME DE AUDITORIA 4.3.4 Garantizar la continuidad del servicio Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento periódico. Este objetivo de control afecta, primariamente a la efectividad y la disponibilidad, y en forma secundaria a la eficiencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. La máxima autoridad de TI es consciente de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios. La respuesta de TI a las interrupciones mayores es reactiva. Observaciones: No existe un plan de contingencia formalizado que garantice la continuidad de servicios de TI diseñado para reducir el impacto de la interrupción de procesos críticos. La disposición DNM 19.057 del 9 de mayo de 2006 instruye sobre la garantía que debe existir en la continuidad del servicio y la necesidad de la existencia de un plan de contingencia, pero al momento de los trabajos de campo de esta auditoría dichos planes no se habían formalizado para la administración central. Tampoco hay planes de contingencia formalizados en las delegaciones y en los puestos de control fronterizos. El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos que pudieran ocasionar la interrupción de los servicios. 4.3.5 Garantizar la seguridad de los sistemas Objetivo de control: La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este 48 INFORME DE AUDITORIA proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye la implementación de los controles de acceso lógico que garantizan que el ingreso a los sistemas, datos y programas está limitado a los usuarios autorizados. También involucra los monitoreos y pruebas periódicas así como acciones correctivas sobre las debilidades o incidentes identificados. Este objetivo de control afecta, primariamente la confidencialidad y la integridad, y en forma secundaria la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Repetible. Las responsabilidades y la rendición de cuentas sobre la seguridad, están asignadas a un coordinador, pero su autoridad es limitada. La conciencia sobre la necesidad de la seguridad está fraccionada y no cubre todos los aspectos. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa. Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son insuficientes. La habilitación sobre seguridad está disponible pero depende principalmente de la iniciativa de individuos claves. Observaciones: El organismo no ha definido la administración de Seguridad a un nivel jerárquico apropiado que permita, a partir de roles y responsabilidades adecuadamente definidos, el establecimiento de un marco de trabajo de manera tal de mantener la integridad de la información y de la infraestructura de procesamiento, así como minimizar el impacto de las vulnerabilidades e incidentes de seguridad. La función del responsable de seguridad no está formalmente definida en el organigrama del organismo. Actualmente está a cargo de un funcionario afectado a otras tareas críticas e 49 INFORME DE AUDITORIA incompatibles con esta función.36 Esta superposición de tareas también produce que el responsable de seguridad no participe ni esté comunicado en la definición y autorización de los accesos de los usuarios. De tal modo se debilitan los aspectos centrales que refieren a la seguridad y eficiencia, derivando en la falta de desarrollo o mejora de procedimientos específicos de control tales como: derechos de acceso y sus perfiles, la existencia única de ingreso a la red y aplicativos por parte de los usuarios, la definición del responsable de los datos e información almacenada en las bases de datos, revisiones de las cuentas y privilegios, inhabilitación de tiempo sin actividad, testing de penetración, uso de puertos USB,37 entre otros. Los “Términos y condiciones de uso” que se encuentran en la página Web institucional refieren al acceso a los diversos sistemas, y plasma recomendaciones para el uso de las cuentas de usuarios, explicita las mejores prácticas en el uso de correo electrónico y realiza recomendaciones para evitar el phishing.38 No obstante, falta formalizar la lectura y consentimiento del usuario. 36 A través de la disposición 683/2012 se nombró al Coordinador de Aplicaciones Informáticas a cargo de la Seguridad. 37 USB Universal Serial Bus, es un puerto estándar industrial que define los cables, conectores y protocolos usados para conectar, comunicar y proveer de alimentación eléctrica entre computadoras, periféricos y dispositivos electrónicos 38 Es un término que denomina un modelo de abuso informático que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta. 50 INFORME DE AUDITORIA A pesar de la integración en 2006 del Comité de Seguridad Informática,39 aún no se han generado informes de control referentes a la seguridad lógica o accesos indebidos a la red, tanto de usuarios comunes como de personal de la DGSyTI. En cuanto a los servidores Linux, su administrador está designado en el Departamento de Enlace y Comunicaciones siendo que la responsabilidad por la administración de los servidores recae sobre el Departamento de Tecnología. De las pruebas realizadas sobre el servidor de producción donde está alojada la página Web institucional, se verificó la existencia de los siguientes perfiles de usuarios: Desarrolladores de aplicaciones con perfiles de Administrador de Base de Datos en el ambiente de Producción, Genéricos con perfil Administrador de Base de Datos con acceso al ambiente de Producción, y Otros usuarios genéricos. 4.3.6 Identificar y asignar costos Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el ofrecimiento de servicio adecuado. Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Este objetivo de control afecta a la eficiencia y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 39 El Comité de Seguridad Informática se conformó en el año 2006 integrado por las Direcciones del Organismo. Han realizado diversas acciones según surgen de las mismas actas, hasta la última reunión celebrada durante el año 2013. Entre las principales acciones fue aprobar una Política de Seguridad de la Información y la designación de un responsable según lo dispuesto por la Disp. DNM 19057/2006 en concordancia a lo resuelto en la Disp. de la ONTI 6/2005 y que aún no fue actualizada al último modelo (Disp. ONTI 3/2013). 51 INFORME DE AUDITORIA Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los servicios de información, pero no hay una distribución de costos por usuario, cliente, departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. El marco de monitoreo de los costos de TI es débil e incompleto. Observaciones: No hay un marco de trabajo de administración por centro de costos, en función del uso de TI para cada una de las dependencias del organismo, que esté alineado con los procedimientos de contabilización y medición financiera que incluya costos directos, indirectos, fijos y variables, y que garantice que los cargos para los distintos servicios sean identificables para su monitoreo. El aplicativo contable en uso (SIDIF40) no prevé una clasificación de cuentas específica para las partidas aplicadas a TI. En consecuencia, se debe recurrir a procesos manuales por fuera de este sistema para obtener la información que las refleje. En el caso del Sistema de Patrimonio,41 se identificó equipamiento fuera de uso y pendiente de baja asignados a TI, lo que brinda información inexacta sobre los activos asignados al área. 4.3.7 Educación y capacitación de los usuarios Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Este objetivo de control afecta, primariamente a la eficacia y en forma secundaria a la eficiencia. 40 SIDIF: SISTEMA INTEGRADO DE INFORMACIÓN FINANCIERA de acuerdo a la Ley 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional. 41 Este sistema de control patrimonial permite inventariar todos los bienes que la organización considere de consumo durable (esto suele excluir bienes de bajo costo o consumibles en el ejercicio). Los bienes se rotulan con una etiqueta inviolable, que contiene información alfanumérica y con código de barras, Esta información es leída por lectores colectores y procesada por un software de administración que emite reportes sobre su ubicación física actual y sobre las altas, bajas y faltantes de cada uno de los bienes. 52 INFORME DE AUDITORIA Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de madurez: Definido. El programa de entrenamiento y educación se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educación se estandarizan y documentan. Para soportar el programa de entrenamiento y educación, se establecen presupuestos, recursos, instructores e instalaciones. La mayoría de los procesos de entrenamiento y educación son monitoreados, pero no todas las desviaciones son susceptibles de detección por parte de la gerencia. El análisis sobre problemas de entrenamiento y educación solo se aplica de forma ocasional. Observaciones: La planificación de la capacitación se lleva a dos niveles: hay un Plan Anual de Capacitación (PAC) que forma parte de un Plan Estratégico de Capacitación Trianual (PEC). Las necesidades que exponen las distintas direcciones del organismo constituyen parte del PAC. El criterio de elección de los cursos a ser brindados es definido por el Área de Capacitación y de la Dirección de Recursos Humanos. En relación a la capacitación de las aplicaciones informáticas, los conocimientos son impartidos por analistas funcionales de la Dirección General de Sistemas y Tecnologías de Información. 4.3.8 Administrar la mesa de servicio y los incidentes Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los usuarios de TI requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causaraíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la 53 INFORME DE AUDITORIA resolución rápida de consultas. Además, permite identificar la causa raíz a través de un proceso de reporte efectivo. Este objetivo de control afecta a la efectividad y la eficacia. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de madurez: Inicial. La gerencia reconoce que requiere un proceso soportado por herramientas y personal para responder a las consultas de los usuarios y administrar la resolución de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios, los incidentes o las tendencias. No existe un proceso de escalamiento para garantizar que los problemas se resuelvan. Observaciones: No existe un marco estructurado y formalizado para el tratamiento de incidentes. La atención se encuentra concentrada en la administración central. Para incidentes en el interior (delegaciones, puestos fronterizos) que requieran la presencia física de personal técnico, se dispone de una estructura conformada con personal de estas características a nivel de las nueve regiones en las que se encuentra dividido el país. Los requerimientos llegan por distintos medios: correos electrónicos, llamados telefónicos, notas y otros. Se cargan en una planilla de cálculo y se procede a derivar al personal correspondiente. La falta de un marco estructurado posibilita que: No se registren todos los incidentes, especialmente los que se producen en el interior. Como consecuencia de esto, no se cuenta con información completa para analizar posteriormente, tales como: porcentaje de incidentes resueltos dentro de un tiempo aceptable/acordado, nivel satisfacción del usuario, alimentación de una base de conocimientos42 y otros. 42 La base de conocimientos sirve para almacenar soluciones estándar para problemas comunes. Es usual que se alimente a medida que se generan soluciones ante la aparición de incidentes con una cierta frecuencia. De 54 INFORME DE AUDITORIA No se fijen acuerdos de nivel de servicio.43 No se alimente una base de conocimientos, donde se registren soluciones estándar para determinados problemas en particular No se realicen encuestas de satisfacción de usuarios, lo que permitiría saber su grado de conformidad respecto del servicio. No se realice el seguimiento del estado del incidente. No se emitan reportes o consultas con estadísticas que permitan sacar conclusiones. 4.3.9 Administrar la configuración Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen y registren todos los bienes tangibles e intangibles –lo que incluye licencias de software adquirido o de propia producción– de Tecnología de la Información, con su ubicación física. Estos procedimientos deben incluir la recolección y registro de información de la configuración inicial, el establecimiento de normas que prohíban movimientos y modificaciones no autorizadas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la eficiencia, la disponibilidad y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. Se reconoce la necesidad de contar con una administración de configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales este modo, frente a una nueva situación de este tipo, el operador de la Mesa de Ayuda puede consultarla, y de encontrarse la solución ya almacenada (la cual debe haber sido homologada técnicamente), se procede a accionar en función de ésta, que ha sido implementada anteriormente en forma exitosa. 43 Un acuerdo de nivel de servicio es un convenio escrito entre un proveedor de servicio y su usuario final, con el objeto de fijar el nivel acordado para la calidad del mismo. Es una herramienta que ayuda a ambas partes a llegar a un consenso en términos de prestación. 55 INFORME DE AUDITORIA como mantener inventarios de hardware y software pero de manera individual. No están definidas prácticas estandarizadas. Observaciones: Los bienes de Tecnología de la Información se registran parcialmente a través de un Sistema de Patrimonio de uso exclusivo de la Dirección Gral. de Administración y que abarca solamente bienes adquiridos a terceros con recursos presupuestarios, aunque no las licencias de software. Paralelamente la DGSyTI mantiene información similar en una planilla de cálculo, sin acceso al sistema de patrimonio antes mencionado. En esta planilla de cálculo se registran los servidores centrales, como así también los que están en los pasos fronterizos. En el caso específico de las estaciones usadas para control migratorio se asigna la responsabilidad patrimonial a cada Delegación local. En este sentido, también está a su cargo el mantenimiento, reparación y reconfiguración del equipo por parte de los informáticos locales. Sin embargo, no está previsto algún procedimiento que registre el evento, justifique la acción sobre el equipo y el eventual reemplazo de componentes internos. No existe un sistema de control de stock de repuestos a nivel central, con control de la DGSyTI. No se constató que se mantenga una biblioteca de las aplicaciones desarrolladas internamente como parte de los activos organizacionales de TI. 4.3.10 Administración de problemas Objetivo de control: Se debe implementar un sistema de administración de problemas que registre y de respuesta a todos los incidentes. El proceso también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus de las acciones correctivas. Este objetivo de control afecta, primariamente a la eficacia y la eficiencia, y en forma secundaria a la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 56 INFORME DE AUDITORIA Nivel de madurez: Inicial. Los individuos reconocen la necesidad de administrar los problemas y de revolver las causas de fondo. Algunos individuos expertos clave brindan asesoría sobre problemas relacionados a su área de experiencia. Observaciones: El proceso de resolución de problemas no se encuentra bajo un marco estructurado y formalizado para su tratamiento. Al igual que para el caso del tratamiento de incidentes, faltan procedimientos aprobados formalmente que contemplen las distintas etapas de la administración de problemas: evaluación de impacto, asignación de prioridad, escalabilidad, tratamiento, rastreo, resolución, conformidad de usuario y monitoreo. 4.3.11 Administración de Datos Objetivo de control: La máxima autoridad debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la Información para asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento completos, precisos y válidos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así como su eliminación apropiada. Este objetivo de control afecta a la integridad y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Repetible. A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos. A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos. Los requerimientos de seguridad para la administración de datos son documentados por individuos clave. Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración 57 INFORME DE AUDITORIA de datos (respaldos, recuperación y desecho). Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI. Observaciones: Falta formalizar un marco de trabajo para administrar datos. Las tareas se llevan a cabo en forma intuitiva. No existen procedimientos formalizados para: Administrar las bibliotecas de medios de almacenamiento, respaldo, retención, recuperación y eliminación de datos. Resguardar la seguridad en relación al recibo, procesamiento, almacenamiento y salida de datos, para que cumpla con las políticas de seguridad de la organización y los requerimientos regulatorios. Determinar una clasificación por criticidad, impacto o requerimientos de seguridad alineados al plan de continuidad. 4.3.12 Administración del Ambiente Físico Objetivo de control: La protección del equipo de cómputos y del personal requiere de instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Este objetivo de control afecta, a la integridad y a la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Centro de Procesamiento de Datos de la Administración Central y Delegaciones Repetible. Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado para asegurar las instalaciones físicas. Los procedimientos de mantenimiento de 58 INFORME DE AUDITORIA instalaciones no están bien documentados y dependen de las buenas prácticas de algunos individuos. Pasos de Control Fronterizos (PCF) No Conforma. No hay conciencia sobre la necesidad de proteger las instalaciones o la inversión en recursos de TI. Los factores ambientales tales como protección contra fuego, polvo, tierra y exceso de calor y humedad no se controlan ni se monitorean. Observaciones: Se hace necesario diferenciar en este punto entre la situación del Centro de Procesamiento de Datos de la Administración Central y los servidores locales y controladores de comunicaciones instalados en los distintos puntos del país. En cuanto a los últimos, se presentan diversos problemas producto de que deben funcionar en emplazamientos antiguos, de baja calidad de mantenimiento, sin las dimensiones apropiadas y en algunos casos compartiendo el espacio con agentes de la Dirección Nacional de Aduanas y el Servicio Nacional de Sanidad y Calidad Agroalimentaria (SENASA). Se presentan también circunstancias en las cuales las instalaciones edilicias son suministradas por organismos de migraciones de los países fronterizos. En ese sentido, el ambiente de TI presenta vulnerabilidades que en ocasiones están sujetas a decisiones multijuridiccionales44. , Las principales observaciones de algunos PCF visitados son: Cortes de energía. Gran parte se encuentran sometidos a cortes de energía frecuentes. En tal sentido, no todos tienen: o Instalación eléctrica apropiada que cumpla con las normas y reglamentaciones de seguridad, como la existencia de llaves térmicas y disyuntores. No se estableció un estándar para las instalaciones eléctricas. 44 Los requerimientos de mejoras edilicias se administran a través de las comisiones de los comités de frontera o la Dirección de Asuntos Técnicos de Fronteras mencionados en aclaraciones previas. 59 INFORME DE AUDITORIA Se observaron elementos en mal estado, empalmes inapropiados y la existencia de prolongadores. o Grupo electrógeno propio que permita la continuidad de la operatividad de los aplicativos, más un sistema de baterías que permita el cierre ordenado de las aplicaciones ante un corte. En muchos casos dependen de los servicios brindados por los otros organismos con los que comparten el lugar. o Energía eléctrica estabilizada. o Luces de emergencia. Ubicación física de los equipos. No en todos los PCF los equipos no están en lugares aislados y debidamente refrigerados, suelen estar en locales inadecuados, como cocinas o lugares de tránsito de personas. Sistemas contra incendios. No cuentan con detectores de humo, y los matafuegos no son los adecuados para tratar focos de fuego en lugares con componentes electrónicos. Presencia de material inflamable: cajas de cartón, papeles, elementos plásticos, anafes, garrafas, instalaciones de gas, estufas, cortinas, pisos y puertas de madera. En relación al Centro de Procesamiento de Datos de la Administración Central, se detectaron las siguientes debilidades: • No se cuenta con un plan de contingencia formal. No obstante, la Disposición DNM N° 19.057/2006 hace mención a que debe ser realizada la confección del mismo. • No se cuenta con un sitio alternativo de procesamiento para situaciones de contingencia. Si bien hay un lugar alternativo en el Centro de Documentación Rápida no cuenta con infraestructura de red de datos y su procesamiento. Sólo se utiliza este sitio para el resguardo del back-up. • Los matafuegos no se encuentran emplazados en el lugar correcto. 60 INFORME DE AUDITORIA • Se halló material inflamable (cajas de cartón, puertas y ventanas de madera). • Las ventanas del Data Center carecen de protección. • Para cubrir faltantes de los paneles del cielo raso, se recurre a soluciones precarias. • No se realizan pruebas periódicas de verificación del funcionamiento de los detectores de humo, ni se efectúa su mantenimiento preventivo • El cableado de los servidores no se encuentra identificado bajo una nomenclatura estructurada y se encuentran desprolijidades en las conexiones. • El caño de escape del grupo electrógeno carece de ventilación a los cuatro vientos. • El mantenimiento del grupo electrógeno está tercerizado y no se lleva registro de los días y horarios que se efectúa. Cabe señalar que el Plan de Tecnologías de la Información 2012-2014, en su punto 5 menciona que se realizará una actualización de la infraestructura del data center a los efectos de proporcionar un ambiente de máxima seguridad. Al momento de cierre de los trabajos de campo de esta auditoría, la ejecución del plan se encuentra atrasada respecto de la planificación original.45 4.3.13 Administración de operaciones Objetivo de control: Un procesamiento completo y apropiado de la información requiere su efectiva administración y el mantenimiento del hardware involucrado. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Este objetivo de control afecta primariamente a la efectividad y la eficiencia, y en forma secundaria a la integridad y la disponibilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 45 Se cumplieron las etapas 1 “Confección del Pliego y Aprobación de la ONTI/UAI” correspondiente al ejercicio 2012 y la etapa 2 “Llamado a Licitación Pública” correspondiente al ejercicio 2013. 61 INFORME DE AUDITORIA Nivel de madurez: Repetible. La organización está consciente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de qué hacer, cuándo y en qué orden no están documentadas. Observaciones: No hay políticas ni procedimientos formales de operación, necesarios para una efectiva administración del procesamiento. En tal sentido, faltan: Procedimientos estándar para operaciones de TI que garanticen que el personal de operaciones esté familiarizado con todas las tareas de su responsabilidad. Procedimientos para monitorear la infraestructura de TI y los eventos relacionados. Procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño. En relación al mantenimiento de infraestructura de TI instalada en el interior del país, a cuyo cargo se encuentran los referentes informáticos46, no se cuenta con procedimientos formales para atender las fallas más frecuentes y darles un tratamiento estandarizado. Tampoco cuentan con un stock de los repuestos de los componentes más sensibles que permitan subsanar un probable incidente. Esto puede provocar la discontinuidad del servicio hasta tanto llegue el repuesto de la Administración Central. 4.4 MONITOREAR Y EVALUAR 4.4.1 Monitorear y evaluar el desempeño de TI Objetivo de control: Una efectiva administración del desempeño de TI requiere un proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditas 46 Referentes informáticos: agentes del organismo, que llevan a cabo tareas técnicas solicitadas desde la administración central 62 INFORME DE AUDITORIA cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas. Este objetivo de control afecta, primariamente la efectividad y la eficiencia, y en forma secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo. No se han identificado procesos estándar de recolección y evaluación. Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la calidad en la entrega de servicios integrado con un sistema de administración de gestión (tablero de control con indicadores) que permita comparar en forma periódica el desempeño contra métricas establecidas en un sistema de aseguramiento de la calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para resolver los desvíos que puedan presentarse. No hay personal dedicado al monitoreo. Se utilizan herramientas tales como el Nagios47 y el System Center Operations Manager (SCOM)48 que monitorean el estado de la red y que emiten alarmas cuando los parámetros previamente definidos por el administrador de red exceden los valores establecidos. Estas son recibidas por el personal en sus estaciones de trabajo o en sus teléfonos inteligentes (fuera del horario de trabajo, donde se establecen 47 Nagios es un sistema de monitorización de redes, que vigila los equipos (carga del procesador, uso de los discos, memoria, estado de los puertos) y servicios de red que se especifiquen. Genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos parámetros exceden los márgenes definidos por el administrador de red. 48 System Center Operations Manager (SCOM) sistema de administración de datos de sistemas operativos. Muestra información del estado del sistema y el rendimiento. Proporciona alertas generadas de acuerdo a la identificación de situaciones de disponibilidad, seguridad, configuración o rendimiento. Al detectarlas puede notificar a un responsable, a través de un correo electrónico o mensaje de texto (SMS). 63 INFORME DE AUDITORIA guardias rotativas) y en función del criterio de quien esté a cargo del incidente, procede a su solución. Las acciones son mayormente reactivas. La falta de un marco de trabajo de monitoreo de la infraestructura y del respectivo personal afectado a esta tarea, imposibilita el análisis de datos orientado a la toma de acciones correctivas oportunas. La falta de un marco de trabajo de Mesa de Ayuda se suple con un esquema de trabajo de guardias pasivas rotativas del personal, que genera un estado de situación similar al de una contingencia permanente, con el consiguiente desgaste del personal afectado. Del análisis de datos relevados sobre la actividad de la red de datos de casi un semestre provista por el organismo49, se desprenden que la tasa de caída de los enlaces de comunicaciones entre los puestos fronterizos, tales como el puente Tancredo Neves (2.082 hs.), Puerto Pilcomayo (1.377 hs.), el aeropuerto de Ushuaia (1.130 hs.), Posadas (697,73 hs.) y Bariloche (341 hs.), 50 y la Sede Central provocando que la base de datos contra la que se controla la aptitud migratoria no se encuentre actualizada en tiempo real al momento de realizarse los controles. 4.4.2 Monitorear y evaluar el control interno Objetivo de control: Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad eficiencia y eficacia respecto a las operaciones así como en el cumplimiento de las leyes y regulaciones aplicables. 49 Período que abarca 01/01/2014 a 10/06/2014. En el PCF de alta concurrencia como el Puente Internacional Tancredo Neves que une las ciudades de Puerto Iguazú (Argentina) con Foz do Iguaçu (Brasil) o el aeropuerto de Ushuaia registran 2.082 horas y 1.130 horas de discontinuidad del servicio respectivamente. 50 64 INFORME DE AUDITORIA Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Repetible. La organización utiliza reportes de control para comenzar iniciativas de acción correctiva. La evaluación del control interno depende de las habilidades de individuos clave. La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en un plan. Los factores de riesgo específicos del ambiente de TI se identifican con base en las habilidades de individuos. Observaciones: No se ha implantado un marco de trabajo formal de control interno de TI que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan verificar el logro de los objetivos de control interno para los procesos de TI (básicamente eficacia/eficiencia), identificar las acciones de mejoramiento y reportar sus excepciones. Las auditorías internas son llevadas a cabo por un único funcionario, que realiza controles a algunos objetivos de auditoría puntuales pero que no puede abarcar un programa más completo. 4.4.3 Garantizar el cumplimiento con requerimientos externos Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un proceso independiente de revisión para garantizar el cumplimiento de las leyes y regulaciones. Este proceso incluye la definición de una declaración de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. 65 INFORME DE AUDITORIA Este objetivo de control afecta, primariamente al cumplimiento y en forma secundaria a la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento. Observaciones: En orden a los hallazgos de las tareas de campo llevadas a cabo, se puede determinar las siguientes debilidades: Resolución 48 de SIGEN o Se elaboró un Plan de Tecnologías de la Información 2012/2014, no obstante ello, no cuentan con planes tácticos que lo respalden tales como: tiempos, recursos, costos, hitos intermedios a alcanzar o riesgos relacionados, que permitan inferir el logro de los objetivos planteados. Asimismo, a la fecha de las tareas de campo, no se había actualizado el Plan. o No existe un modelo de arquitectura de la información formal con pautas que aseguren la integridad y la consistencia de toda la información almacenada, tales como un diccionario de datos de la organización, un esquema de clasificación de datos de acuerdo a la criticidad y la sensibilidad, procedimientos para definir datos nuevos y esquemas de funciones estándar de tratamiento de los datos (biblioteca de funciones). o Faltan definir Políticas y Procedimientos de algunos procesos claves, ej: Plan de Continuidad. 66 INFORME DE AUDITORIA o No se adoptó una metodología de administración de proyectos informáticos encarados, el qué, mínimamente debería contemplar entre otros: a) Documentación, justificación y aprobación que origina el proyecto; b) Definición clara del Plan, determinando sus objetivos, alcances y asignación de misiones y funciones del grupo de trabajo; c) Presupuesto de los recursos a ser utilizados. En orden al método, también resultaría necesario, la elaboración del Plan de Prueba y de Capacitación. o No existe un método formal para las actividades de desarrollo, mantenimiento o adquisición de sistemas, el que debe estar documentado y aprobado y de aplicación complementaria a las normas relativas a la administración de proyectos. o No hay una definición del marco de trabajo para el monitoreo de procesos, por el cual y a partir de indicadores de desempeño se pueda llevar a cabo el objetivo de control de la infraestructura de TI, debiendo en consecuencia, presentar informes periódicos de gestión a la Dirección de la organización, con el fin que esta última supervise el cumplimiento de los objetivos planteados. Marco de la ley 26.653 "Accesibilidad de la Información de las Páginas Web". La Dirección Nacional de Migraciones cumple con lo prescripto por la norma, no obstante ello, en cuanto a criterios de usabilidad, existen principios tales como: comprensibilidad y navegabilidad por y entre las distintas secciones de la página que debieran mejorarse a fin de obtener una integración completa de las personas con discapacidad (sobretodo visual) por ejemplo: gráficos y botones etiquetados, inclusión de textos alternativos en las imágenes, asociación de celdas de encabezado con celda de datos, etc. Ver detalle en ANEXO VII. 67 INFORME DE AUDITORIA Se verificó el cumplimiento del decreto 375/2005 de Gobierno Electrónico, la ley 25.506 de Firma Digital y el Régimen de Contrataciones de la Administración Nacional.51 4.4.4 Proporcionar gobierno de TI Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con las estrategias y objetivos del organismo. Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la confiabilidad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se reconoce que el tema del gobierno de TI existe y que debe ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El enfoque de la gerencia es reactivo y solamente existe una comunicación no formal sobre los temas para proceder a su resolución. Observaciones: Faltan cubrir posiciones funcionales claves como: Administración de la Seguridad Monitoreo de la Infraestructura de TI 51 Decreto Delegado Nº 1023/2001 (Régimen de Contrataciones del Estado Nacional), Decreto Nº 436/2000 (Reglamento para la Adquisición, Enajenación y Contratación de Bienes y Servicios del Estado Nacional). Ley N˚ 24.156 (Ley de Administración Financiera y Sistemas de Control del Sector Público Nacional); Ley N˚ 25.188 (Ética en la Función Pública); Ley N˚ 25.551 (Compre Trabajo Argentino); Decreto Nº 1818/2006 (Sistema Electrónico de Contrataciones Públicas); Resolución SIGEN Nº 79/2005 (Sistema de Precios Testigo); Ley 24.759 Convención Interamericana Contra la Corrupción Artículo 5 inc. 3 de la aplicabilidad de medidas preventivas destinadas a crear, mantener y fortalecer sistemas para la adquisición de bienes y servicios por parte del Estado que aseguren publicidad, equidad y eficiencia y el Artículo 9 referido a los valores mínimos que cada Estado parte deberá considerar a la hora de establecer los sistemas de contratación pública basados en la transparencia, competencia y criterios objetivos para la adopción eficaz de decisiones. 68 INFORME DE AUDITORIA Administración de Gestión de Aseguramiento de la Calidad Administración de Riesgos Administración de Proyectos Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo definidos y formalizados para asegurar: El tratamiento uniforme para la administración de todos los proyectos de TI. El seguimiento de la gestión, mediante un programa de calidad que establezca indicadores a partir de metas y objetivos definidos previamente, de modo de medir la contribución de TI a los objetivos estratégicos del Organismo y posibilite la rendición de cuentas. Administración de costos, donde se identifiquen los distintos costos y que garantice los cargos para los distintos servicios sean identificables para su monitoreo y una correcta administración de los programas de inversión. Esquema de monitoreo que permita medir el desempeño y la correcta asignación de los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones correctivas. Administración de riesgos, que permitan reportar aquellos relacionados con TI y su impacto en la posición de riesgos de la organización. 69 INFORME DE AUDITORIA 5. RECOMENDACIONES Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos, independientemente del hecho de que ya hayan sido parcialmente puestas en práctica. 5.1. PLANIFICAR Y ORGANIZAR 5.1.1. Definir un plan estratégico para TI Reelaborar el Plan de Tecnologías de la Información (Plan Estratégico de TI). El mismo debe contener un conjunto de definiciones tecnológicas e iniciativas de TI que deben soportar la visión, misión y estrategias que el organismo tiene para un horizonte de tiempo definido. Debe incluir un diagnóstico previo, las necesidades y los recursos necesarios, los plazos, el presupuesto de la inversión, las fuentes de financiamiento, la estrategia de obtención, la estrategia de adquisición, y los requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para permitir la definición de planes tácticos de TI. Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI. Estos deben establecer las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente para permitir la definición de las tareas operativas. Administrar de forma activa los planes tácticos y las iniciativas de TI establecidas. Esto requiere encontrar el equilibrio entre requerimientos y recursos, comparándolos con el logro de metas estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en caso de desviaciones. Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar entre los imperativos de éstas y la tecnología, de tal modo que se puedan establecer prioridades concertadas. 70 INFORME DE AUDITORIA Evaluar el desempeño actual, el de los planes existentes y de los sistemas de información en términos de su contribución a los objetivos estratégicos del organismo, su funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades. 5.1.2. Definir la arquitectura de información Establecer y mantener un modelo de información que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describan en el Plan Estratégico. El modelo facilita la creación, uso y compartición óptimas de la información por parte del organismo de una manera que conserva la integridad y es flexible, funcional, rentable, oportuna, segura y tolerante a fallas. Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis de datos. El diccionario facilita la compartición de elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del organismo, y previene la creación de elementos de datos incompatibles. Establecer un esquema de clasificación de datos que aplique a todo el organismo, basado en la criticidad y sensibilidad de la información. Este esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y de controles de protección, como también una breve descripción de los requerimientos de retención y destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o encriptación. Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos y archivos. 71 INFORME DE AUDITORIA 5.1.3. Determinar la dirección tecnológica Elaborar un Plan de infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI basado en la dirección tecnológica y que incluya acuerdos para contingencias. Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es la apropiada para materializar la estrategia de TI y la arquitectura de sistemas del organismo. También identificar en el plan, qué tecnologías tienen el potencial de crear oportunidades de nuevas prestaciones. El plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura. Monitorear tendencias y regulaciones futuras. Establecer un proceso para monitorear las tendencias del sector/industria, tecnológicas, de infraestructura, legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnológica de TI. Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas consistentes, efectivas y seguras para toda la organización, brindar directrices tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la selección de la tecnología, y medir el cumplimiento de estos estándares y directrices. 5.1.4. Definir los procesos, organización y relaciones de TI Reformular la estructura organizacional de la Dirección General de Sistemas y Tecnologías de la Información en función de las observaciones planteadas en el punto 4.1.4 y las recomendaciones siguientes: Estructura organizacional. Establecer una estructura organizacional de TI interna y externa que refleje las necesidades de la organización. Además implementar un 72 INFORME DE AUDITORIA proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos esperados y las circunstancias cambiantes. Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles como las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y los usuarios finales. Definir las responsabilidades y la rendición de cuentas para alcanzar los objetivos estratégicos del organismo. Responsabilidad del aseguramiento de calidad (AC) de TI. Asignar la responsabilidad para el desempeño de la función de AC. Asegurar que la ubicación organizacional, las responsabilidades y el tamaño del grupo de AC satisfacen los requerimientos del organismo. Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la información, la seguridad física y el cumplimiento. Obtener la posición de la Dirección Nacional en relación a los niveles aceptables de riesgo de TI que se quieren asumir y la aprobación de cualquier riesgo residual. Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y herramientas que le permitan asumir sus responsabilidades de propiedad sobre los datos y los sistemas de información. Las áreas responsables, dueña de los datos y sistemas, deberán tomar decisiones sobre la clasificación de la información y cómo protegerlos. Implantar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada. Evaluar si todo el personal cuenta con la suficiente autoridad para ejecutarlos. 73 INFORME DE AUDITORIA Implantar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte un proceso crítico. La máxima autoridad de TI debe asegurar de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas. Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en las necesidades estratégicas del organismo, operativos o de TI para garantizar que la función de TI cuente con un número suficiente de personal competente, el entrenamiento cruzado-funcional, la rotación de puestos y las oportunidades de personal externo. Políticas y procedimientos para personal contratado. Definir e implantar políticas y procedimientos para controlar las actividades de los consultores u otro personal contratado por la función de TI. Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la función de TI y otras funciones dentro y fuera de la misma, tales como la Dirección General, las gerencias ejecutivas, usuarios y proveedores de servicios de TI. Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco incluye medición del desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Debe estar integrado en un sistema de administración de calidad y en un marco de trabajo de control interno. Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI para: o Determinar las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de los objetivos estratégicos del organismo. o Dar seguimiento de los proyectos y resolver los conflictos de recursos o Monitorear los niveles y las mejoras del servicio. 74 INFORME DE AUDITORIA 5.1.5. Administrar la inversión en TI Establecer un marco de Administración Financiera para TI que impulse la presupuestación, con base en los proyectos vigentes de inversión en bienes y servicios. Comunicar los aspectos de costo y beneficio en los procesos de priorización de presupuestos y administración de costos. Implantar un proceso de toma de decisiones para dar prioridades a la asignación de recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal de maximizar la contribución de TI y optimizar el retorno de inversión de los proyectos de inversión y otros servicios y activos. Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en los programas de inversión en TI, incluyendo los costos de operar y mantener la infraestructura actual. Implantar un proceso de administración de costos que compare los costos reales con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones, éstas se deben identificar de forma oportuna y evaluar el impacto. Desarrollar un presupuesto por centro de costos y asociado al presupuesto. Respecto de los recursos físicos, optimizar el empleo del Sistema de Patrimonio articulando la información entre las áreas de Administración y TI; esto con el fin de identificar el volumen y calidad de equipamiento por las distintas áreas usuarias las que, en este sentido, funcionan como centros de apropiación de costos. Con la información disponible del punto precedente, establecer los criterios de distribución de los costos de mantenimiento, insumos y reparación en condiciones de ser prorrateados por las áreas beneficiarias; con criterios similares, apropiar los costos de tiempo de recursos humanos (los técnicos asociados a soporte) a las diferentes áreas beneficiarias. 75 INFORME DE AUDITORIA Diferenciar / categorizar / clasificar las tareas de TI en recurrentes o permanentes (mantenimiento, soporte, etc.) respecto de las específicas o “por proyectos / microproyectos” (por ej., desarrollo y mantenimiento de aplicaciones). Este criterio permitirá prorratear los costos por función y por áreas usuarias para los recursos humanos dedicados a diseño y programación. Para posteriores ejercicios, emplear esta información como base de planeamiento de inversiones físicas que impactarían en la formulación presupuestaria o necesidades de personal que alertarían sobre requerimientos adicionales de personal por función. 5.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento y el entendimiento de los objetivos estratégicos del organismo y de TI se comunican a toda la organización. La información comunicada debe poseer una visión claramente articulada entre los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de ética y conducta, políticas y procedimientos. Estos deben incluirse dentro de un programa de comunicación continua, apoyado por la alta dirección con acciones. Se debe dar especial atención a comunicar la conciencia sobre que la seguridad de TI es responsabilidad de todos. Ambiente de políticas y de control. Definir los elementos de un ambiente de control para TI que se base en una cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos, fomenta la colaboración entre distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada. Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque del organismo 76 INFORME DE AUDITORIA hacia los riesgos y hacia el control interno. Este debe estar integrado por el marco de procesos de TI, el sistema de administración de calidad y debe cumplir los objetivos generales del organismo. Debe tener como meta maximizar el éxito de la entrega de valor mientras minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la recuperación oportuna de activos. Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto de políticas que apoyen la estrategia de TI. Estas políticas deben incluir el propósito, los roles y responsabilidades, los procesos de excepción y referencias a procedimientos, estándares y directrices. Las políticas deben incluir temas clave como calidad, seguridad, confidencialidad, controles internos y propiedad intelectual. Se deben revisar regularmente. 5.1.7. Administrar los recursos humanos de TI Reclutamiento y Retención del Personal de TI. Asegurarse que los procesos de reclutamiento estén de acuerdo a las políticas y procedimientos generales del personal. Competencias del personal. Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles con base en su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se les dé actualización. Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y retribuciones del personal, incluyendo el requisito de adherirse a las políticas y procedimientos administrativos, así como al código de ética y prácticas profesionales. Los términos y condiciones de empleo deben enfatizar la responsabilidad del empleado respecto a la seguridad de la información, al control interno y al cumplimiento regulatorio. Los niveles de supervisión debe 77 INFORME DE AUDITORIA estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas. Entrenamiento del personal de TI. Proporcionar entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas estratégicas del organismo. Dependencia sobre los individuos. Minimizar la exposición de dependencias críticas sobre individuos clave por medio de la documentación y divulgación del conocimiento, como también la planeación de la sucesión y rotación de personal. Evaluación del desempeño del empleado. Es necesario que las evaluaciones de desempeño se realicen periódicamente, comparando contra los objetivos individuales derivados de las metas del organismo, estándares establecidos y responsabilidades específicas del puesto. Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los puestos, en especial las culminaciones sea por renuncia o despido. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función. Se recomienda regularizar la situación de aquellos agentes que ocupan posiciones sensibles en el área de TI de modo que pueda desarrollar una carrera administrativa acorde a sus funciones. 5.1.8. Administrar la calidad Establecer un Sistema de Administración de la Calidad (SAC) que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los objetivos estratégicos del organismo, que contemple: 78 INFORME DE AUDITORIA Identificar los requerimientos y los criterios de calidad, los procesos claves de TI así como las políticas, criterios y métodos para definir, detectar, corregir y prever las no conformidades. Identificar y mantener estándares, procedimientos y prácticas para los procesos clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del SAC. Adoptar y mantener estándares para todo desarrollo y adquisición que sigue el ciclo de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la documentación de hitos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen estándares de: o codificación de software o nomenclaturas o formatos de archivos o diccionario de datos o interfaces de usuario o pruebas (unitarias, de regresión y de integración). Los datos del SAC deben ser monitoreados y medidos para medir la efectividad y mejorarla cuando sea necesario. 5.1.9. Evaluar y administrar los riesgos de TI Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del organismo. Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se aplique para garantizar resultados apropiados. Esto debe incluir: 79 INFORME DE AUDITORIA La determinación del contexto interno y externo de cada evaluación de riesgos, la meta de la evaluación y los criterios contra los cuales éstos se evalúan. Identificación de todas aquellas amenazas y vulnerabilidades que tengan un impacto potencial sobre las metas o las operaciones del organismo, aspectos de estratégicos, regulatorios, legales, tecnológicos, de recursos humanos y operativos. Determinar la naturaleza del impacto y dar mantenimiento a esta información. Evaluación en forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual. Identificación de los dueños de procesos afectados, y elaborar y mantener respuestas que garanticen que los controles y las medidas de seguridad mitigan la exposición de forma continua. La respuesta a los riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar los costos y beneficios y seleccionar aquellas que limiten los riesgos residuales dentro de los niveles de tolerancia previamente definidos. Mantenimiento y monitoreo del plan de acción de riesgos. Asignar prioridades y planear las actividades de control a todos los niveles para implantar las respuestas a los riesgos, identificadas como necesarias, incluyendo la determinación de costos, beneficios y la responsabilidad de la ejecución. Buscar la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas son propiedad del dueño o dueños de los procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección. 5.1.10. Administrar proyectos Establecer un marco de Administración de Proyectos. 80 INFORME DE AUDITORIA Establecer un sistema de control de cambios de modo tal que todas las modificaciones a la línea base o indicadores al inicio del proyecto, como por ejemplo costos, cronograma, alcance y calidad, se revisen, aprueben e incorporen de manera apropiada al plan integrado. Medir el desempeño del proyecto contra los criterios clave tales como el alcance, los tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con respecto al plan; evaluar su impacto y sobre el programa global; reportar los resultados a los interesados clave; y recomendar, implantar y monitorear las medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto. Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan proporcionado los resultados y los beneficios esperados. 5.2. ADQUIRIR E IMPLEMENTAR 5.2.1 Identificar Soluciones Automatizadas Identificar a un usuario relevante como patrocinador del proyecto. Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales. Identificar, dar prioridades, especificar y acordar los requerimientos funcionales y técnicos. Análisis de Riesgos. Identificar, documentar y analizar los riesgos asociados con los requerimientos y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de los requerimientos. Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. Se debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al patrocinador del proyecto. 81 INFORME DE AUDITORIA El proceso requiere al patrocinador del proyecto para aprobar y autorizar los requisitos tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. 5.2.2. Adquirir o desarrollar y mantener software aplicativo Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que contemple: Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de alto nivel para desarrollo de software, tomando en cuenta las directivas tecnológicas y la arquitectura de información dentro del organismo, y aprobar las especificaciones para garantizar que el diseño de alto nivel responde a los requerimientos. Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Los conceptos a considerar incluyen, definir y documentar los requerimientos de entrada de datos, interfaces, la interface de usuario, la especificación de programa, definir los requerimientos de salida, control y auditabilidad (pistas de auditoría). Realizar una reevaluación para cuando se presenten discrepancias técnicas o lógicas significativas durante el desarrollo o mantenimiento. Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las aplicaciones. Los aspectos a considerar incluyen derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten modificaciones importantes en los sistemas existentes, que resulten en un cambio significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar 82 INFORME DE AUDITORIA incluyen análisis de impacto, relación costo/beneficio y administración de requerimientos. Desarrollo de software aplicativo. Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar y autorizar cada etapa clave del proceso, verificando la finalización de las revisiones de funcionalidad, desempeño y calidad. Los aspectos a considerar incluyen aprobar las especificaciones de diseño que satisfacen los requerimientos funcionales y técnicos, y las solicitudes de cambio; verificar la compatibilidad con los sistemas existentes. Además, garantizar que se identifican y consideran todos los aspectos legales y contractuales para el software aplicativo que desarrollan terceros. Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los estándares especificados en la definición de los requerimientos y en las políticas y procedimientos de calidad del organismo. Los aspectos a considerar incluyen especificar el criterio de calidad y los procesos de validación y verificación, revisión de algoritmos, código fuente y pruebas. Administración de los requerimientos de aplicaciones. Garantizar que durante el diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las modificaciones se aprueban a través de un proceso establecido de administración de cambios. Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el mantenimiento y pase a producción de software de aplicaciones. Los aspectos a considerar incluyen implantación planeada y controlada, planeación de recursos, reparación de defectos de programa y corrección de fallas, pequeñas mejoras, 83 INFORME DE AUDITORIA mantenimiento de documentación, cambios de emergencia, interdependencia con otras aplicaciones e infraestructura, estrategias de actualización, condiciones contractuales tales como aspectos de soporte y actualizaciones, revisión periódica de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad. 5.2.3. Adquirir y mantener infraestructura tecnológica Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del organismo. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del producto al añadir nueva capacidad técnica. Protección y disponibilidad del recurso de infraestructura. Implantar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y evaluar su uso. Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios. Incluir una revisión periódica contra las necesidades del organismo, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. 84 INFORME DE AUDITORIA Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura totalmente independiente del ambiente de producción, en las primeras fases del proceso de adquisición y desarrollo. Se debe considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad. 5.2.4. Facilitar la operación y el uso Marco para la documentación de sistemas. Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan elaborar procedimientos de administración, de usuario y de operación. Este marco debe aplicarse cada vez que se produzca una actualización de aplicaciones y/o infraestructura. Transferencia de conocimiento a usuarios finales. Transferencia de conocimientos para permitir que los usuarios finales utilicen con efectividad y eficiencia la aplicación como apoyo a los procesos del Organismo. La transferencia de conocimiento incluye el desarrollo de un plan de capacitación que abarque al entrenamiento inicial y al continuo, así como el desarrollo de manuales de usuario, manuales de procedimiento y ayuda en línea. Transferencia de conocimiento al personal de operaciones y soporte. Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoye y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial 85 INFORME DE AUDITORIA y continuo, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario. 5.2.5. Adquirir recursos de TI Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general y la estrategia de adquisiciones del organismo, para garantizar que la compra de infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los requerimientos del organismo. Administración de contratos con proveedores. Formular un procedimiento para establecer, modificar y concluir contratos que apliquen a todos los proveedores. Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad de propiedad intelectual y de conclusión, así como obligaciones y cláusulas de penalización por incumplimiento cuando no cumplan los acuerdos de niveles de servicios previamente establecidos. Todos los contratos y las modificaciones a contratos las deben revisar asesores legales. Selección de proveedores. Seleccionar proveedores mediante una práctica justa y formal para garantizar la elección del mejor basado en los requerimientos que se han desarrollado. Adquisición de software. Garantizar que se protegen los intereses del organismo en todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje, condiciones para la actualización y aspectos de conveniencia que incluyen seguridad, custodia y derechos de acceso. 86 INFORME DE AUDITORIA Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de recursos de desarrollo. Estos derechos y obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual, aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes, pruebas, procesos de administración de calidad que comprenden los criterios de desempeño requeridos, su correspondiente revisión, términos de pago, garantías, procedimientos de arbitraje, administración de recursos humanos y cumplimiento con las políticas de la organización. Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los términos contractuales, que comprendan los criterios de aceptación para la adquisición de infraestructura, instalaciones y servicios relacionados. Estos derechos y obligaciones pueden abarcar los niveles de servicio, procedimientos de mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de pago y procedimientos de arbitraje. 5.2.6. Administrar cambios Establecer procedimientos de administración de cambios formales para manejar de manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones, para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales. Evaluación de impacto, priorización y autorización. Garantizar que todas las solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en los sistemas y su funcionalidad. Esta evaluación deberá incluir categorización y 87 INFORME DE AUDITORIA priorización. Previo a la migración hacia producción, los interesados correspondientes deberán establecer autorizaciones formales. Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas podrán realizarse, después de la implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría para su posterior revisión. 5.2.7. Instalar y acreditar soluciones y cambios Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI, como parte de cada proyecto de desarrollo, implantación o modificación de sistemas de información. Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los principales involucrados. Dicho plan se debe basar en los estándares de toda la organización y definir roles, responsabilidades y criterios de éxito. Debe considerar: requerimientos de entrenamiento, instalación o actualización de un ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo y corrección de errores y aprobación formal. Ambiente de prueba. Establecer un ambiente de prueba independiente. Este ambiente debe asemejarse al ambiente de producción para permitir pruebas acertadas. Se deben tener presentes los procedimientos para garantizar que los datos utilizados en el ambiente de prueba sean representativos. Proporcionar medidas adecuadas para prevenir la divulgación de datos sensibles. La documentación de los resultados de las pruebas se debe archivar. Prueba final de aceptación. Garantizar que los procedimientos proporcionan una evaluación formal y la aprobación de los resultados de prueba por parte de los usuarios afectados. 88 INFORME DE AUDITORIA Transferencia a producción. Implantar procedimientos formales para controlar la transferencia del sistema desde el ambiente de desarrollo al de pruebas. La Dirección General de Sistemas y Tecnologías de la Información debe requerir que se obtenga la autorización del propietario del sistema antes del pasaje al entorno de producción. Liberación de software. Garantizar que la liberación del software se regula con procedimientos formales que aseguren la autorización, acondicionamiento, pruebas de regresión, distribución, transferencia de control, seguimiento, procedimientos de respaldo y notificación de usuario. Distribución del sistema. Establecer procedimientos de control para asegurar la distribución oportuna y correcta, y la actualización de los componentes aprobados de la configuración. Esto implica controles de integridad; segregación de funciones entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de todas las actividades. 5.3. ENTREGAR Y DAR SOPORTE 5.3.1. Definir y administrar los niveles de servicio Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el usuario y el prestador de servicio. Este marco debe incluir procesos para la creación de requerimientos, y acuerdos de niveles de servicio. Definir la estructura organizacional para la administración del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los usuarios. Organizar y almacenar de manera centralizada la definición base de los servicios de TI (catálogo de servicios). 89 INFORME DE AUDITORIA Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del usuario y las capacidades de TI. Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un formato que sea entendible para los interesados. Analizar las estadísticas de monitoreo para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos. 5.3.2. Administrar servicios de terceros Debe existir un responsable que coordine la relación entre los proveedores y los usuarios para asegurar la calidad y la transparencia, a través de acuerdos de niveles de servicio. Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad. Formalizar el proceso de administración de relaciones con proveedores por cada uno de ellos. Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente. Asegurar que los contratos están de acuerdo con los estándares del tema y de conformidad con los requerimientos legales y regulatorios. Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos de acuerdo a los contratos y a los convenios de niveles de servicio. 90 INFORME DE AUDITORIA Verificar que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. 5.3.3. Administrar el desempeño y la capacidad Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI, que asegure su disponibilidad, con costos justificables, para procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de nivel de servicio. Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados. Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar el exceso de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los planes de capacidad y de desempeño. Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI. La gerencia de TI debe garantizar que los planes de contingencia consideren de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI. Monitorear continuamente el desempeño y la capacidad de los recursos de TI. Incorporar al organigrama de la Dirección General de Sistemas y Tecnologías de la Información, la unidad administrativa correspondiente. 91 INFORME DE AUDITORIA 5.3.4. Garantizar la continuidad del servicio Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios para en casos de contingencia, reducir el impacto de una interrupción de los procesos claves. El objetivo de este marco es identificar las debilidades en la infraestructura de TI, y guiar el desarrollo de los planes de recuperación de desastres y de contingencias. Debe tomar en cuenta la estructura del organismo, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administración y sus usuarios; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación. Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de recuperación. La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del organismo. Es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte de los resultados de las pruebas y, de acuerdo con estos, la implementación de un plan de acción. 92 INFORME DE AUDITORIA Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el o los proveedores que pudieran estar implicados. Asegurar que todas las partes involucradas reciban capacitación de forma regular respecto a los procesos, sus roles y responsabilidades en caso de incidente o desastre. Determinar que existe una estrategia de distribución definida y administrada para asegurar que los planes se distribuyan de manera apropiada y segura. Que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre. Planear las acciones a tomar durante el período en que TI se está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a usuarios y a los interesados y realizar procedimientos de reanudación. Asegurar que los responsables entienden los tiempos de recuperación de TI y las inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del servicio. Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos sustantivos y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos del organismo. 93 INFORME DE AUDITORIA La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados. Periódicamente probar y renovar los datos archivados. Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizarlo en consecuencia. La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados. 5.3.5. Garantizar la Seguridad de los Sistemas Incluir y asignar a un cargo compatible las funciones relacionadas con:administrar y dar cumplimiento a la Política de Seguridad de TI al nivel más apropiado para llevar a cabo exitosamente las tareas de: Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios. Identificar de manera única a todos los usuarios, internos, externos y temporales y su actividad. Alinear, definir y documentar los derechos de acceso del usuario a sistemas y datos con las necesidades de los procesos del organismo. Definir formalmente un marco de trabajo para que los derechos de acceso del usuario sean solicitados por su gerencia, aprobados por el responsable del sistema e implementado por el área de la seguridad. Mantener en un repositorio central las identidades del usuario y los derechos de acceso deben mantenerse en un repositorio central. 94 INFORME DE AUDITORIA Implementar, mantener y actualizadas medidas técnicas y procedimientos, para establecer la identificación, realizar la autenticación y habilitar los derechos de acceso de los usuarios. Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por el sector responsable de las cuentas de los usuarios. Incluir un procedimiento que describa al responsable de los datos o del sistema para que otorgue los privilegios de acceso. Estos procedimientos se deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Acordar los derechos y obligaciones relacionados al acceso a los sistemas e información del organismo para todos los tipos de usuarios. Llevar a cabo una revisión regular de todas las cuentas y los privilegios asociados. Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. Acreditar la seguridad de TI periódicamente para garantizar que se mantiene el nivel de seguridad aprobado. Definir una función de ingreso al sistema y de monitoreo que permita la detección oportuna de actividades inusuales o anormales que pueden requerir atención. Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administración de problemas o incidentes. Incluir una descripción de lo que se considera un incidente de seguridad y su nivel de impacto. Definir un número limitado de niveles de impacto para cada 95 INFORME DE AUDITORIA incidente, e identificar las acciones específicas requeridas y las personas que necesitan ser notificadas. Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria. Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar su protección contra modificaciones y divulgación no autorizadas. Garantizar que se cuente con medidas de prevención, detección y corrección a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso. Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos, para autorizar acceso y controlar los flujos de información desde y hacia las redes. Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envío y recepción, y no repudio del origen. Procurar la protección de los datos sensibles, incluso frente a los administradores de las bases de datos. 5.3.6. Identificar y asignar costos Desarrollar un modelo orientado a los centros de costos. Identificar todos los costos de TI para soportar un modelo de costos transparente. 96 INFORME DE AUDITORIA Vincular los servicios de TI a los procesos del organismo de forma que cada temática pueda identificar los niveles de costo de los servicios asociados. Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Analizar y reportar las variaciones entre los presupuestos y los costos actuales de acuerdo con los sistemas de medición financiera del organismo. Definir, con base en la característica del servicio, un modelo de costos que incluya costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de montos de reintegros por servicio. Alinear el modelo de costos con los procedimientos de contabilización del organismo. El modelo de costos de TI debe garantizar que los cargos por servicios sean identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los servicios. Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el tema en evolución y para las actividades de TI. 5.3.7. Educación y capacitación de los usuarios Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a sus miembros, a los mecanismos de capacitación más eficientes. Designar instructores y organizar el entrenamiento con tiempo suficiente. Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y 97 INFORME DE AUDITORIA valor. Los resultados de esta evaluación deben contribuir a la definición futura de los planes de estudio y de las sesiones de entrenamiento. Valores corporativos (valores éticos, cultura de control y seguridad) 5.3.8. Administrar la mesa de servicio y los incidentes Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Establecer procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI. Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad. Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo al equipo de administración de problemas apropiado y mantener informados a los usuarios sobre el estado de sus consultas. Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es adecuado, brindar soluciones alternas. Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar 98 INFORME DE AUDITORIA la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario. Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de manera que el servicio pueda mejorarse de forma continua. 5.3.9. Administrar la configuración Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus repuestos) o intangibles (licencias de software y aplicaciones de producción propia) Diseñar y mantener una aplicación de gestión que permita monitorear las modificaciones introducidas al equipamiento y sus movimientos a otras oficinas o ámbitos de trabajo. Asimismo, esta herramienta debe mantener un repositorio central con toda la información relevante sobre los elementos de configuración – física y de software – de servidores y estaciones. Para la biblioteca de aplicaciones de producción propia, mantener una línea-base de los elementos de la configuración para todos los sistemas y servicios como punto de comprobación al cual volver tras un cambio y establecer rutinas documentadas y periódicas de revisión. Establecer un procedimiento estandarizado que permita seguir los cambios al repositorio de configuración. 5.3.10. Administración de problemas Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes. Categorizar los problemas de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden 99 INFORME DE AUDITORIA coincidir con las responsabilidades organizacionales o con los grupos de usuarios y son la base para asignar los problemas al personal de soporte. El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: o Todos los elementos de configuración asociados. o Problemas e incidentes sobresalientes. o Errores conocidos y probables. o Seguimiento de las tendencias de los problemas. Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el responsable del tema cómo administrar el problema de manera alternativa. 5.3.11. Administración de datos Establecer mecanismos para garantizar que el proceso reciba los documentos originales correctos, que se procese toda la información recibida, que se preparen y entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y reproceso estén soportadas. Definir e implementar procedimientos para el archivo y almacenamiento de los datos, de manera tal que estos permanezcan accesibles y utilizables. Definir e implementar procedimientos para mantener un inventario de medios de almacenamiento en sitio y garantizar su integridad y su uso. Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso. 100 INFORME DE AUDITORIA Definir e implementar procedimientos de respaldo y restauración de los sistemas, datos y configuraciones que estén alineados con los requerimientos de la misión y con el plan de continuidad. Verificar el cumplimiento de los procedimientos de respaldo y verificar la capacidad y el tiempo requerido para tener una restauración completa y exitosa. Probar los medios de respaldo y el proceso de restauración. Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a la recepción, procesamiento, almacenamiento físico y entrega de información y de mensajes sensitivos que incluyen registros físicos, transmisiones de datos y cualquier información almacenada fuera del sitio. 5.3.12. Administración de instalaciones Definir y seleccionar los centros de datos físicos para los equipos de TI. Debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre, considerando las leyes y regulaciones correspondientes. Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del organismo, incluyendo las emergencias. Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente. Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos, las especificaciones del proveedor y los lineamientos de 101 INFORME DE AUDITORIA seguridad y salud. En relación a los PCF se recomienda independizar el suministro eléctrico del sector de la DNM del resto de los organismos actuantes, con un tablero secundario con sus correspondientes llaves termo magnéticas. Disponer un sitio alternativo de procesamiento. Llevar control de las visitas en los centros de procesamiento. Incorporar a un plan de contingencia los procedimientos que mitiguen los daños que puedan presentarse en situaciones de exposición al riesgo. 5.3.13. Administración de operaciones Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos. Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con los requerimientos del tema. Definir e implementar procedimientos para monitorear la infraestructura de TI y los eventos relacionados. Garantizar que en los registros de operación se almacena suficiente información cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las operaciones y de las otras actividades que soportan o que están vinculadas a estas. Establecer resguardos físicos, prácticas de registro y administración de inventarios adecuados sobre los activos de TI. Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño. 102 INFORME DE AUDITORIA 5.4. MONITOREAR Y EVALUAR 5.4.1. Monitorear y evaluar el desempeño de TI Contemplar y asignar las funciones administrativas exclusivas de monitoreo y evaluación de desempeño de la infraestructura de TI. Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI. Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias para definir un conjunto de objetivos de desempeño. Evaluación del desempeño. Comparar en forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes cuando hay desvíos. Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance del organismo hacia metas identificadas, específicamente en términos del desempeño. Éstos deben incluir el grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos, las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al desempeño esperado e iniciar y reportar las medidas de administración adecuadas. Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con: o Revisión, negociación y establecimiento de respuestas de administración. o Asignación de responsabilidades por la corrección. o Rastreo de los resultados de las acciones comprometidas. 103 INFORME DE AUDITORIA 5.4.2. Monitorear y evaluar el control interno Monitoreo del marco de trabajo de control interno. Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos del organismo. Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI. Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias. Control interno para terceros. Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes. 5.4.3. Garantizar el cumplimiento con requerimientos externos Identificar los requerimientos de las leyes, regulaciones y cumplimientos contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI del organismo. Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatorios y contractuales son direccionados y comunicados. Evaluación del cumplimiento con requerimientos externos. Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios. 104 INFORME DE AUDITORIA Ajustar el diseño de la página web del organismo para cumplir con las observaciones detalladas en el ANEXO VII. 5.4.4. Proporcionar gobierno de TI Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de control. Basar el marco de trabajo en un adecuado proceso de TI y modelo de control. Proporcionar la rendición de cuentas y prácticas inequívocas para evitar la pérdida del control interno. Confirmar que el marco de gobierno de TI asegura el cumplimiento de las leyes y regulaciones y que está alineado a la estrategia y objetivos del organismo. Informar del estado y cuestiones de gobierno de TI. Alineamiento estratégico. Facilitar el entendimiento de los niveles decisorios sobre temas estratégicos de TI, de manera que exista un entendimiento compartido entre las altas gerencias y la función de TI sobre la contribución potencial de TI a los objetivos estratégicos del organismo. Entrega de valor. Administrar los programas de inversión con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos del organismo. Administración de recursos. Revisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y operaciones para asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los imperativos actuales y futuros. Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de riesgo de TI aceptable por el organismo y obtener garantía razonable que las prácticas de administración de riesgos de TI son apropiadas para asegurar que el riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las responsabilidades de administración de riesgos en el organismo, asegurando que el 105 INFORME DE AUDITORIA desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados con TI y su impacto y que la posición de los riesgos de TI del organismo es entendida por los interesados. Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas. Aseguramiento independiente. Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y regulación relevante; las políticas del organismo, estándares y procedimientos; prácticas generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI. 6. CONCLUSIONES Los movimientos migratorios internacionales han representado para la Argentina un elemento relevante en materia socio-cultural, política y económica, constituyendo aportes fundamentales en su configuración histórica y actual.52 Más allá de la histórica inmigración europea de finales de siglo XIX y principios del XX, el país constituye un polo de atracción para los migrantes del cono sur latinoamericano, tal como surge de las estadísticas de radicación, que arrojan un promedio anual de más de 200.000 personas por año para el período 2004 – 2014 (con picos de 336.987 y 304.251 en 2006 y 2012), y las estadísticas de movimiento de personas, que ascienden a más de 56 millones para 2014 -considerando ingresos y egresos. Esto ocurre en un territorio con fronteras extensas y en ocasiones permeables, cuyo control estricto resulta complejo. 52 “Inmigrantes y criollos en el Bicentenario” de Alberto Sarramone ISBN 978-987-627-133-2 Ediciones B Argentina S.A. 106 INFORME DE AUDITORIA La Dirección Nacional de Migraciones (DNM) es el organismo responsable de controlar el ingreso, permanencia y egreso de personas al país y ejerce el poder de policía de extranjeros en todo el territorio de la República. A partir de la sanción de la Ley 25.871,53 su rol cobró relevancia en el control de los trámites migratorios al asumir funciones que anteriormente estaban asignadas a otros organismos, tales como Gendarmería Nacional o Prefectura Naval Argentina. Este proceso de crecimiento institucional no fue acompañado por un desarrollo acorde de la estructura de la Dirección General de Sistemas y Tecnologías de la Información (DGSyTI). Como consecuencia de esto, se observan falencias en la planificación y la organización que, dada la dependencia crítica que representa la TI para el organismo, conducen a una gestión basada en acciones reactivas. La ausencia de marcos de trabajo formalizados no permite generar información a partir de la cual se puedan obtener los indicadores cuantitativos y cualitativos necesarios para la conformación de un tablero de control de gobierno de TI y medir la entrega de valor. Mientras que la infraestructura de TI creció en forma exponencial, algunas funciones sensibles tales como la planificación, el monitoreo de la infraestructura, la administración 53 Política Migratoria Argentina. Derechos y obligaciones de los extranjeros. Atribuciones del Estado. Admisión de extranjeros a la República Argentina y sus excepciones. Ingreso y egreso de personas. Obligaciones de los medios de transporte internacional. Permanencia de los extranjeros. Legalidad e ilegalidad de la permanencia. Régimen de los recursos. Competencia. Tasas. Argentinos en el exterior. Autoridad de aplicación. Disposiciones complementarias y transitorias. 107 INFORME DE AUDITORIA de la seguridad, la gestión de riesgos o el aseguramiento de la calidad del servicio, no han sido formalmente definidas. Además, para el mantenimiento de la infraestructura de TI en el interior, la DGSyTI no cuenta con una estructura funcional propia. Lo hace a través de referentes informáticos que dependen jerárquicamente de los funcionarios de rango superior del lugar de asiento. Esto provoca una dicotomía en relación al principio de unidad de mando, cuando en presencia de incidentes varios, debe responder por este principio a su inmediato superior. Por otra parte, la política de retención de recursos humanos resulta poco apropiada atento que el 94,03 % del personal se encuentra bajo una modalidad de contrato que no permite un plan de carrera en el organismo54 e introduce un factor de riesgo de inestabilidad laboral al tener que renovar el vínculo anualmente. Respecto de la información en las aplicaciones informáticas de control de tránsito migratorio, debe considerarse que: No todos los pasos fronterizos se encuentran informatizados. En estos casos, la registración de los datos de los migrantes se hace en forma manual y se cargan en las aplicaciones en forma diferida, proceso que está sujeto a las siguientes debilidades: i) los pasos no cuentan con el control de aptitud migratoria, ii) los datos son factibles de errores o faltantes en su manipulación, iii) producto del punto anterior, pueden generarse inconsistencias tales como casos de personas que ingresan por los lugares habilitados que quedan en situación migratoria de irregularidad. La base de datos de la DNM no contiene la totalidad de los movimientos de personas. 54 Sólo pueden ser promovidos a un ascenso el personal de la planta permanente. 108 INFORME DE AUDITORIA La inadecuada infraestructura de TI de algunos PCF provoca caídas del servicio que lo ponen en la misma situación que los que no están informatizados. La falta de información en el sistema que registra el movimiento de personas en las fronteras no sólo obedece a debilidades en el entorno tecnológico, sino también a debilidades en el control ejercido por el organismo competente, tanto en lugares u horarios no habilitados a través de las policías auxiliares, como en los entornos de los puestos de control fronterizo. La consecuente falta de datos dificulta la identificación y detección de personas cuyo egreso, ingreso o permanencia en el Territorio Nacional deba ser sancionada y/o prohibida por las razones expuestas en el art. 29º de la ley.55. 55 ARTICULO 29. — Serán causas impedientes del ingreso y permanencia de extranjeros al Territorio Nacional: a) La presentación ante la autoridad de documentación nacional o extranjera material o ideológicamente falsa o adulterada. El hecho será sancionado con una prohibición de reingreso por un lapso mínimo de cinco (5) años; b) Tener prohibido el ingreso, haber sido objeto de medidas de expulsión o de prohibición de reingreso, hasta tanto las mismas no hayan sido revocadas o se hubiese cumplido el plazo impuesto al efecto; c) Haber sido condenado o estar cumpliendo condena, en la Argentina o en el exterior, o tener antecedentes por tráfico de armas, de personas, de estupefacientes o por lavado de dinero o inversiones en actividades ilícitas o delito que merezca para la legislación argentina pena privativa de la libertad de tres (3) años o más; d) Haber incurrido o participado en actos de gobierno o de otro tipo, que constituyan genocidio, crímenes de guerra, actos de terrorismo o delitos de lesa humanidad y de todo otro acto susceptible de ser juzgado por el Tribunal Penal Internacional; e) Tener antecedentes por actividades terroristas o por pertenecer a organizaciones nacional o internacionalmente reconocidas como imputadas de acciones susceptibles de ser juzgadas por el Tribunal Penal Internacional o por la ley 23.077, de Defensa de la Democracia; f) Haber sido condenado en la Argentina o tener antecedentes por promover o facilitar, con fines de lucro, el ingreso, la permanencia o el egreso ilegales de extranjeros en el Territorio Nacional; g) Haber sido condenado en la Argentina o tener antecedentes por haber presentado documentación material o ideológicamente falsa, para obtener para sí o para un tercero un beneficio migratorio; h) Promover la prostitución; lucrar con ello; haber sido condenado o tener antecedentes, en la Argentina o en el exterior por haber promovido la prostitución; por lucrar con ello o por desarrollar actividades relacionadas con el tráfico o la explotación sexual de personas; i) Intentar ingresar o haber ingresado al Territorio Nacional eludiendo el control migratorio o por lugar o en horario no habilitados al efecto; j) Constatarse la existencia de alguno de los impedimentos de radicación establecidos en la presente ley; k) El incumplimiento de los requisitos exigidos por la presente ley. 109 INFORME DE AUDITORIA 7. COMUNICACIÓN AL ENTE Por nota N° 71/15-A06 la AGN remite el proyecto de informe a la Dirección Nacional de Migraciones (DNM), quien lo recibe con fecha 15 de junio de 2015. El 5 de julio de 2015 la DNM, mediante la nota N° 426/15, envía el descargo que AGN recepciona el 6 de julio del corriente. En los ANEXOS I y II al presente informe, en orden simultáneo, se presentan tanto la respuesta del organismo auditado como los comentarios de la AGN. Como resultado del análisis realizado, se modifica parcialmente el texto de la observación 4.4.1 sin incidencia en su nivel de madurez. 8. LUGAR Y FECHA BUENOS AIRES, agosto de 2015 9. FIRMA En el caso del inciso a) el Gobierno Federal se reserva la facultad de juzgar a la persona en la República cuando el hecho pueda relacionarse con cuestiones relativas a la seguridad del Estado, a la cooperación internacional o resulte posible vincular al mismo o a los hechos que se le imputen con otras investigaciones sustanciadas en el Territorio Nacional. La Dirección Nacional de Migraciones, previa intervención del Ministerio del Interior, podrá admitir, excepcionalmente, por razones humanitarias o de reunificación familiar, en el país en las categorías de residentes permanentes o temporarios, mediante resolución fundada en cada caso particular, a los extranjeros comprendidos en el presente artículo. 110 INFORME DE AUDITORIA 10. ANEXOS ANEXO I – Comentarios del auditado 111 INFORME DE AUDITORIA A continuación se exponen los comentarios del auditado sobre cada una de las observaciones señaladas. 4.1 PLANIFICAR Y ORGANIZAR 4.1.1 Definir Plan Estratégico para TI “Se acompaña Plan Estratégico 2015 – 2017”. 4.1.2 Definir la Arquitectura de la Información “La DNM cuenta con documentos que sustentan la integridad y consistencia de la información, los cuales se encuentran en proceso de formalización en funci6n de los recursos recientemente incorporado”. 4.1.3 Determinar la dirección tecnológica “Se implementarán las recomendaciones formuladas”. 4.1.4 Definir los procesos, organización y relaciones de TI “Se acompañan disposiciones 3843/2014, 3912/2014 y 2042/2010”. 4.1.5 Administrar la inversión en TI “Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”. 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia “Se acompaña Plan Estratégico 2015 – 2017”. 4.1.7 Administrar los recursos humanos de TI “Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”. 4.1.8 Administrar la calidad “La DGSyTI se encuentra acreditado como proveedor de servicios en la certificación 150:9001 obtenida para el proceso de Control de Ingresos y Egresos, encontrándose así mismo en curso el otro proceso sustantivo correspondiente a la Admisión de Extranjeros”. 4.1.9 Evaluar y administrar los riesgos de TI “Se acompaña el Plan de Operatividad y Continuidad del Negocio”. 4.1.10 Administrar proyectos “Se encuentra en proceso de actualización el Manual de Procedimientos de Administración de Proyectos Informáticos”. 4.2 ADQUIRIR E IMPLEMENTAR 4.2.1 Identificar Soluciones Automatizadas “Se implementarán las recomendaciones”. 112 INFORME DE AUDITORIA 4.2.2 Adquirir o desarrollar y mantener software aplicativo “Se implementarán las recomendaciones”. 4.2.3 Adquirir y mantener infraestructura tecnológica “Se encuentra en trámite el Programa de Mantenimiento de Hardware por expediente DNM 12898/2014”. 4.2.4 Facilitar la operación y el uso “Se implementaran las recomendaciones”. 4.2.5 Adquirir recursos de TI “Se encuentra en trámite la actualización de servicios prestados por terceros contemplando Acuerdo de Nivel de Servicio por expediente DNM 16766/2014”. 4.2.6 Administrar cambios “Se implementarán las recomendaciones”. 4.2.7 Instalar y acreditar soluciones y cambios “Se implementarán las recomendaciones”. 4.3 ENTREGAR Y DAR SOPORTE 4.3.1 Definir y administrar los niveles de servicio “Se implementarán las recomendaciones”. 4.3.2 Administrar servicios de terceros “Se encuentra en trámite la actualización de servicios prestados por terceros contemplando Acuerdo de Nivel de Servicio por expediente DNM 16766/2014”. 4.3.3 Administrar el desempeño y la capacidad “EI organismo no dispone de recursos para atender en forma específica la cobertura de esta actividad y se desempeña con las mejores prácticas "a requerimiento", sin perjuicio de lo cual se evaluará su implementación”. 4.3.4 Garantizar la continuidad del servicio “Se encuentra en proceso de actualización la Política de Seguridad de la Información y los Planes asociados a su cumplimiento”. 4.3.5 Garantizar la seguridad de los sistemas “Se creó la Unidad de Seguridad Informática por Disposición 3912/2014 y se encuentra en proceso de actualización la Política de Seguridad de la Información y los Planes asociados a su cumplimiento”. 4.3.6 Identificar y asignar costos “Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”. 113 INFORME DE AUDITORIA 4.3.7 Educación y capacitación de los usuarios “Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”. 4.3.8 Administrar la mesa de servicio y los incidentes “Se implementarán las recomendaciones”. 4.3.9 Administrar la configuración “Se implementarán las recomendaciones”. 4.3.10 Administración de problemas “Se implementarán las recomendaciones”. 4.3.11 Administración de Datos “Se encuentra en proceso de actualización el Procedimiento de Resguardo de la Información”. 4.3.12 Administración de Instalaciones “Se encuentra en trámite la Adecuación de la infraestructura de los CPD por expediente DNM 2489/11”. 4.3.13 Administración de operaciones “Se implementarán las recomendaciones”. 4.4 MONITOREAR Y EVALUAR 4.4.1 Monitorear y evaluar el desempeño de TI “Sin perjuicio de que esta instancia no comparte el diagnóstico sobre la base de datos de Aptitud Migratoria, toda vez que existen mecanismos alternativos para su actualización, se tendrá en cuenta la recomendación formulada para optimizar los procedimientos actuales”. 4.4.2 Monitorear y evaluar el control interno “EI Organismo se ajusta a las pautas establecidas en la resolución 48/05 ‘Normas de Control Interno para Tecnología de la Información’ y Normativas emitidas por la ONTI, siendo su cumplimiento evaluado por la Unidad de Auditoría Interna”. 4.4.3 Garantizar el cumplimiento con requerimientos externos “EI Organismo se ajusta a las pautas establecidas en la resolución 48/05 "Normas de Control Interno para Tecnología de la Información" y Normativas emitidas por la ONTI, siendo su cumplimiento evaluado por la Unidad de Auditoría Interna”. 4.4.4 Proporcionar gobierno de TI “Se acompaña Plan Estratégico 2015 – 2017”. 114 INFORME DE AUDITORIA ANEXO II – Análisis de los comentarios del auditado A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado. Nº de observación 4.1. Planificar y organizar 4.1.1 Definir un plan estratégico para TI Observación Respuesta DNM En febrero de 2012 se aprobó un Plan de Tecnologías de la Información 2012-2014, Se acompaña Plan elaborado a partir de una evaluación realizada por la propia DGSyTI, y en función Estratégico 2015 del lineamiento estratégico de la Dirección Nacional orientado a tomar el control 2017. administrativo sobre los pasos fronterizos administrados por otros organismos (Prefectura Naval Argentina, Gendarmería Nacional) o a mejorar la infraestructura de TI. También se plantea la actualización de la infraestructura de Data Center con una contratación llave en mano (20122014), el rediseño de la página Web, mantenimiento de sistemas aplicativos S.Ad.Ex, S.I.Ca.M, Si.Ge.R.A.M, S.A.Cer , capacitaciones con aula virtual, a los usuarios, innovación en materia de digitalización, tecnologías biométricas e infraestructura de firma digital. En tal sentido, cabe señalar que el Plan de TI 20122014 no cuenta con los planes tácticos que lo respalden, donde se detallen tiempos, recursos afectados, costos, hitos intermedios a alcanzar o riesgos relacionados, que Comentario AGN Se mantienen las observaciones. La documentación presentada es posterior56 al período auditado57 y a los trabajos de campo58. Se evaluarán en una próxima auditoría. 56 El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015 De 01/01/2013 al 30/06/2014 58 De 01/03/2014 al 30/09/2014 57 115 INFORME DE AUDITORIA Nº de observación 4.1. Planificar y organizar 4.1.2 Definir la Arquitectura de la Información 4.1. Planificar y organizar 4.1.3 Determinar la dirección tecnológica Observación Respuesta DNM Comentario AGN La DNM cuenta con documentos que sustentan la integridad y consistencia de la información, los cuales se encuentran en proceso de formalización en funci6n de los recursos recientemente incorporados. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. La Dirección General de Sistemas y Tecnologías de la Información ha Se implementarán las implementado una infraestructura tecnológica en los puestos de control de recomendaciones migraciones y en delegaciones migratorias del país consistente en una red de formuladas. comunicaciones con enlaces punto a punto y aplicaciones específicas desarrolladas e implementadas internamente. Adicionalmente cuenta con una red de celulares corporativos para uso del personal. No obstante no se tuvo a la vista documentación respaldatoria de las decisiones sobre la infraestructura tecnológica y los estándares El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. permitan inferir cómo se lograrán los objetivos planteados. Al cierre de trabajos de campo de esta auditoría, habían transcurrido veinticinco meses desde su última actualización. La DGSyTI estableció un modelo no formalizado de arquitectura de la información. En ese sentido, se establecieron algunas pautas en cuanto al desarrollo de los aplicativos (siempre desarrollos propios) y el equipamiento que se distribuyó a lo largo del país en la red propia de datos. No obstante, no se formalizó el modelo, como tampoco se definieron formalmente pautas que aseguren la integridad y la consistencia de toda la información almacenada, tales como un diccionario de datos de la organización, un esquema de clasificación de datos de acuerdo a la criticidad y la sensibilidad, los procedimientos para definir datos nuevos y esquemas de funciones estándar de tratamiento de los datos (biblioteca de funciones). La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas. 116 INFORME DE AUDITORIA Nº de observación 4.1. Planificar y organizar 4.1.4 Definir los procesos, organización y relaciones de TI Observación adoptados. Falta un Plan de Infraestructura que esté de acuerdo con los planes estratégicos y tácticos de TI alineados con los de la organización, con establecimiento de estándares, dirección tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras. La organización utiliza los Estándares Tecnológicos para la Administración Pública (ETAP) solamente para las adquisiciones. En el caso de las versiones de Si.Ca.M con servidor local, el motor de base de datos se encuentra sin soporte técnico por parte del fabricante del producto. Esta situación podría comprometer la continuidad del servicio brindado por el aplicativo en caso de una falla imprevista. Al momento de los trabajos de campo, se encontraba aprobada la estructura organizativa hasta el tercer nivel operativo del organismo (Dirección General, Direcciones -anteriormente denominadas Coordinaciones- y Departamentos). Adicionalmente, la segregación de tareas, roles y responsabilidades se encuentran definidos. No obstante, el organigrama no contempla posiciones importantes como administración de proyectos, análisis funcional, aseguramiento de la calidad, seguridad (física y lógica), monitoreo de la infraestructura y gestión de riesgos, entre otras. Asimismo, la administración de la seguridad no está definida en el organigrama. Ante su ausencia, la función está asignada a funcionarios de diversas áreas, dependiendo del ámbito de aplicación: en el caso de los vínculos de comunicaciones, y accesos a la red, las tareas las lleva a cabo el Departamento de Enlaces y Comunicaciones; para acceso y seguridad de servidores, la Respuesta DNM Se acompañan Disposiciones 3843/2014 y 3912/2014. Comentario AGN Se mantiene la observación. Las disposiciones DNM 3843 y 3912 son posteriores al período auditado y a los trabajos de campo. Las mismas se evaluarán en una próxima auditoría. En relación a la observación referida a las posiciones importantes que no están contempladas en el organigrama, se admite la formalización de los analistas funcionales a través de la disposición DNM 2042/2010. 117 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN responsabilidad recae en el Departamento de Tecnología; mientras que los accesos a las aplicaciones corresponden al Departamento de Soporte Operativo. Por último, cabe destacar que el representante de la seguridad de la información ante el Comité de Seguridad de la Información, es el Director de Aplicaciones Informáticas, lo cual vulnera el control por oposición. En relación a la infraestructura de TI, a cuyo cargo se encuentra la Dirección de Tecnología y Comunicaciones, y dada la expansión geográfica a la que se vio sometida el organismo producto de la disposición DNM 2980/2013, la misma además de una dotación interna, cuenta con referentes informáticos (RI) en el interior del país que llevan a cabo tareas de soporte técnico solicitadas desde la administración central. Considerando que estos agentes deben desplazarse físicamente hasta el lugar del incidente para proceder a su solución in situ, cabe señalar que, en algunos casos, los RI son insuficientes (las regiones VI y IX) y en otros inexistentes (Región VIII y las provincias de Córdoba, La Pampa, San Luis y Tucumán) para garantizar la continuidad del servicio. Sobre el rol de cada RI cabe destacar que: No se encuentran definidas formalmente ni las misiones ni las responsabilidades de la función. Su dependencia funcional no está claramente definida por cuanto debe responder a su mando superior (delegado, coordinador de la región, encargado del PCF y otros) y a las directivas emanadas por la DGSyTI. En la mayoría de las zonas asignadas, son las únicas personas a cargo de esta tarea, con lo cual existe una dependencia crítica ante su eventual 118 INFORME DE AUDITORIA Nº de observación Observación ausencia. Algunos agentes se encuentran bajo una modalidad contractual no compatible con la criticidad de sus responsabilidades. En algunos casos deben recorrer distancias que en tiempo superan la mitad del horario de atención al público o tienen más de 40 puestos de trabajo para atender o la dotación no les permite solucionar más de un incidente en la misma jornada laboral. No pueden realizar un programa preventivo que evite una posible discontinuidad del servicio. La asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la Dirección General de Sistemas y Tecnología de la Información (DGSyTI). Falta la implementación a nivel de la organización de un enfoque orientado a la administración por centros de costos de los recursos de TI. Dentro de este marco de trabajo, la DGSyTI no presenta un proceso presupuestario propio de los programas de inversión de TI incluyendo los costos de operar y mantener la infraestructura actual. Este proceso debería permitir su monitoreo para determinar la contribución esperada de TI a los objetivos estratégicos del organismo. En relación a la formulación presupuestaria, el presupuesto total del organismo se incrementó en un 37,53% en términos nominales entre el 2012 y el 2013; sin embargo, la inversión en TI prevista, se mantuvo constante en términos nominales Respuesta DNM Comentario AGN Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración. La observación no cuestiona el cumplimiento por parte de la DNM de la ley de Administración Financiera59 sino a la conveniencia de llevar un proceso de administración presupuestaria desagregado en lo concerniente a la TI. En relación a la incidencia del presupuesto de TI sobre el presupuesto general de los períodos 2012 y 2013, los cálculos expresados en la observación están basados en la 4.1. Planificar y organizar 4.1.5 Administrar la inversión en TI 59 Ley 24.156 119 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM pero se redujo en términos porcentuales del 6,08% en el 2012 al 4,42% en el 2013 (en relación al presupuesto total del organismo). 4.1. Planificar y organizar 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia 4.1. Planificar y organizar El ambiente de control de TI es incompleto. Existen algunas disposiciones pero no todas se cumplen. Faltan políticas formalizadas del ambiente de control que se puedan tomar como marco de referencia y que sean parte de un programa de comunicación continua al personal relevante, referidas a: Planificación de Proyectos y su seguimiento Programa de Aseguramiento de la Calidad Administración de riesgos Documentación en general que tenga como objetivo maximizar la entrega de valor de TI a los objetivos estratégicos del organismo, mientras se minimizan los riesgos. La ley 25.164 -Ley marco de Regulación de Empleo Público Nacional- determina diferentes modalidades de contratación: Comentario AGN formulación presupuestaria correspondiente a esos años que fuera suministrada a este equipo de auditoría por la Dirección General de Administración. Se acompaña Plan Estratégico 2015 – 2017. Se mantienen las observaciones. La documentación presentada es posterior60 al período auditado61 y a los trabajos de campo62. Se evaluarán en una próxima auditoría. Se Adjunta Memorándum La respuesta del organismo no contradice las observaciones 60 El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015 De 01/01/2013 al 30/06/2014 62 De 01/03/2014 al 30/09/2014 61 120 INFORME DE AUDITORIA Nº de observación 4.1.7 Administrar los recursos humanos de TI 4.1. Planificar y organizar 4.1.8 Administrar la calidad Observación Respuesta DNM Comentario AGN Con sujeción al régimen de estabilidad; con sujeción al régimen de contrataciones por tiempo determinado; y con sujeción al régimen para el personal de gabinete o ad honorem. La DNM adhiere al Convenio Colectivo General para la Administración Pública Nacional (Decreto 214/2006). Al momento de los trabajos de campo, en el organismo el 89,55% del personal pertenece a la Planta Transitoria. En este orden, el personal de la Dirección General de Sistemas y Tecnologías de la Información (DGSyTI) en su mayoría es contratado bajo la modalidad “transitorio/permanente”. La perpetuidad en esta modalidad de contratación, pensada para situaciones transitorias o estacionales, desvirtúa la naturaleza jurídica de la misma, provocando situaciones desfavorables para los agentes dentro del organismo. La percepción del plus informático sólo es exclusiva del Personal de Planta Permanente. La falta de personal y de formalización de los marcos de trabajo (políticas, procedimientos, documentaciones varias) genera una alta exposición a dependencias críticas sobre individuos clave. No existen políticas ni un sistema de administración de calidad relacionado con TI que establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos del Organismo. 902/2015 producido por la Dirección General de Administración. realizadas por esta auditoría, por lo tanto se mantienen las mismas. Al momento de los trabajos de campo sólo 4 (cuatro) funcionarios de la DGSyTI pertenecían a la Planta Permanente. La DGSyTI se encuentra acreditado como proveedor de servicios en la certificación 150:9001 obtenida para el proceso de La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, toda vez que no se encuentra definida en el organigrama de TI una función dedicada a la administración de un sistema de aseguramiento de la 121 INFORME DE AUDITORIA Nº de observación 4.1. Planificar y organizar 4.1.9 Evaluar y administrar los riesgos de TI Observación No existe un marco de administración de riesgos que permita identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente los riesgos tecnológicos se conocen, pero falta la formalización del contexto de riesgo y su evaluación formal de manera tal de contemplar las fortalezas, las oportunidades, las debilidades y las amenazas. El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso. Respuesta DNM Comentario AGN Control de Ingresos y Egresos, encontrándose así mismo en curso el otro proceso sustantivo correspondiente a la Admisión de Extranjeros. Se acompaña el Plan de Operatividad y Continuidad del Negocio. calidad, ni fueron presentadas evidencias de un marco de trabajo al respecto (documentación solicitada al comienzo de la auditoría), por lo tanto se mantienen las mismas. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, toda vez que no se encuentra definida dentro del organigrama de TI una función dedicada a la administración de riesgos, ni se presentaron evaluaciones que permitan evidenciar cuales son los riesgos de la organización a nivel de la TI, ni fueron presentadas evidencias de un marco de trabajo al respecto (documentación solicitada al comienzo de la auditoría), por lo 122 INFORME DE AUDITORIA Nº de observación 4.1. Planificar y organizar 4.1.10 Administrar proyectos 4.2. Adquirir e Observación Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos, pero no se lo aplica en todos los casos. El marco de trabajo actual no permite inferir cómo se abordan aspectos tales como: Costos, plazos, hitos a cumplir, alcance, recursos afectados Parámetros definidos en el sistema de administración de la calidad. El control de cambios de modo tal que todas las modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado de acuerdo al marco de trabajo. El monitoreo del desempeño contra los criterios clave previamente definidos en el sistema de calidad. Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) Respuesta DNM Se encuentra en proceso de actualización el Manual de Procedimientos de Administración de Proyectos Informático. Se implementarán las Comentario AGN tanto se mantienen las mismas. En relación al Plan de Operatividad y Continuidad del negocio, el mismo fue evaluado durante los trabajos de campo y no se consideró suficiente para el objetivo que fue propuesto ya que no cuenta con los procedimientos explícitamente formalizados a realizar en caso de una discontinuidad del servicio, ni los responsables a cargo de llevarlos a cabo. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. El organismo 123 acepta las INFORME DE AUDITORIA Nº de observación Implementar 4.2.1 Identificar soluciones automatizadas 4.2. Adquirir e Implementar 4.2.2 Adquirir o desarrollar y mantener software aplicativo Observación Respuesta DNM que contempla etapas del Ciclo de Vida de Desarrollo de Sistemas, tales como: la recomendaciones. administración de los requerimientos, estudios de factibilidad, evaluación de los distintos cursos alternativos posibles de acción, análisis de riesgo, asignación de prioridades, recursos y consentimiento de los usuarios relevantes, pero no se aplica en todos los casos. En el MPPI, contempla un formulario estándar para realizar un requerimiento a ser evaluado, pero no siempre se lo utiliza en la práctica. Otros medios tales como correo electrónico, notas u otros suelen ser también admitidos para cambios considerados menores. Falta establecer un marco de trabajo que sirva para la administración de requerimientos informáticos, que permita organizarlos, clasificarlos, otorgar prioridades, asignar recursos y calcular costos. Las áreas solicitantes o usuarias participan en la etapa de prueba sin quedar registros de ello, ya que no hay un procedimiento que determine cómo se documentarán las mismas. Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) Se implementarán las que contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de recomendaciones Sistemas (CVDS) incorporando documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación pero no se aplica en todos los casos y el marco de trabajo es incompleto ya que no se definieron estándares de documentación como los protocolos de aceptación a aplicar en cada etapa. Por lo tanto se infiere que es una formulación de una política a aplicar pero no un manual de procedimiento. A falta de un Sistema de Administración de Calidad (SAC), no se realiza gestión de Comentario AGN observaciones realizadas por lo tanto se mantienen las mismas. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 124 INFORME DE AUDITORIA Nº de observación 4.2. Adquirir e Implementar 4.2.3 Adquirir y mantener infraestructura tecnológica Observación aseguramiento de ésta en las distintas etapas del CVDS. En relación al control y la posibilidad de auditar los desarrollos de aplicaciones, existe un débil cumplimento de la política formulada, sumada a la falta de especificidad de ésta en temas tales como: la documentación en las distintas etapas de los proyectos, reportes de seguimiento, pistas de auditoría, el control del código fuente, mediciones sobre la satisfacción de usuarios y una definida metodología de desarrollo. La documentación existente se encuentra desactualizada e incompleta. La falta de un entorno de desarrollo integrado permite que existan redundancias o inconsistencias de datos. No está definido el marco de trabajo de los pases de entorno de “Desarrollo”, a “Pruebas”, y de ésta última a “Producción”. No hay un plan de infraestructura tecnológica que considere aspectos tales como adquisiciones, implementaciones, planeamiento de la capacidad para necesidades futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente como contribución de TI para alcanzar los objetivos estratégicos del Organismo. Los sistemas principales están sostenidos por una infraestructura tecnológica instalada en los diferentes pasos fronterizos, delegaciones y administración central conectados a través de una red MPLS para intercambio de datos. Esta infraestructura comprende la administración de 62 servidores en sede central, 111 servidores en el interior del país, switches, estaciones de trabajo, impresoras y scanners. No hay un plan de mantenimiento preventivo sobre la infraestructura detallada del equipamiento instalado en los distintos puntos mencionados anteriormente, en base a un diagnóstico previo que incluya las garantías de los proveedores de tecnología. Otro Respuesta DNM Comentario AGN Se encuentra en trámite el Programa de Mantenimiento de Hardware por expediente DNM 12898/2014. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. 125 INFORME DE AUDITORIA Nº de observación 4.2. Adquirir e Implementar 4.2.4 Facilitar la operación y el uso 4.2. Adquirir e Implementar 4.2.5 Adquirir recursos de TI 4.2. Adquirir e Implementar 4.2.6 Administrar cambios Observación Respuesta DNM Comentario AGN Se implementaran las recomendaciones. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. Se encuentra en trámite la actualización de servicios prestados por terceros contemplando Acuerdo de Nivel de Servicio por expediente DNM 16766/2014. No hay procedimientos formales para la administración de cambios que establezcan Se implementarán las un tratamiento estandarizado de todas las solicitudes de mantenimiento y recomendaciones. actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema. Tampoco existe un procedimiento alternativo y formal para atender situaciones de emergencia. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. aspecto relevante es la ausencia de un sistema de stock y registro de repuestos. Existen manuales de usuario y hay coordinación con las áreas de Recursos Humanos para la capacitación del usuario final. Sin embargo, para los casos de cambios o actualizaciones de los aplicativos, falta un procedimiento que determine la forma en que el usuario tome conocimiento. En ese sentido, la comunicación de cambios es informal. En relación a la transferencia de conocimientos al personal de operaciones y soporte, se basa en información de calidad variable no estandarizada. El organismo cumple con las normas jurídicas correspondientes al Régimen de Contrataciones de la Administración Pública Nacional. Sin embargo, falta formular un marco de trabajo que permita medir el grado de cumplimiento de los contratos y que en relación a este análisis, contribuya a mejorar, modificar o concluir contratos que apliquen a todos los proveedores, que abarque: responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, así como obligaciones y cláusulas de penalización por incumplimiento cuando no cumplan los acuerdos de niveles de servicios previamente establecidos. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 126 INFORME DE AUDITORIA Nº de observación 4.2. Adquirir e Implementar 4.2.7 Instalar y acreditar soluciones y cambios Observación Respuesta DNM Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente. Pueden surgir errores a partir de cambios no autorizados y/o no probados a los sistemas de información. No se ha contemplado el tratamiento de cambios producidos por cuestiones no funcionales, tales como cuestiones técnicas (performance y otros) o de seguridad. Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) Se implementarán las recomendaciones. que contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de Sistemas (CVDS) con documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación, pero no se aplica en todos los casos. Además, el marco de trabajo es incompleto, ya que no se encuentran definidos los estándares de documentación, como los protocolos de aceptación a aplicar en cada etapa. En consecuencia, el manual constituye una política a implementar más que un catálogo de procedimientos. No existe un marco de trabajo (procedimientos formales) para realizar las pruebas donde estén definidos los roles, responsabilidades y criterios aceptados. La política establecida en el MPPI sugiere la posibilidad de pasar del entorno de desarrollo al de producción, sin pasar por el de pruebas. Por otra parte, las pruebas se llevan a cabo mediante la duplicación de datos, sin que se tomen los debidos recaudos para enmascarar o convertir los datos sensibles sobre las personas. Tampoco se especifica quienes son los responsables del pasaje de las aplicaciones y Comentario AGN El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 127 INFORME DE AUDITORIA Nº de observación 4.3. Entregar y dar Soporte 4.3.1 Definir y administrar los niveles de servicio 4.3. Entregar y dar Soporte 4.3.2 Administrar servicios de terceros Observación Respuesta DNM los datos entre los distintos entornos (desarrollo, prueba y producción). Existe un marco de trabajo que define formalmente los niveles de servicio entre el Se implementarán las usuario y DGSyTI. Dicho marco mantiene una alineación con los requerimientos y recomendaciones. las prioridades del organismo y facilita el entendimiento común. El marco cuenta con definiciones de servicio, acuerdos de niveles de operación (especificaciones técnicas del servicio a recibir), las fuentes de financiamiento y los acuerdos de niveles de servicio. No incluye, sin embargo, procesos para la creación de futuros requerimientos de servicio. No hay personal dedicado al seguimiento del cumplimiento de la prestación del servicio, ni una política y procedimientos específicos sobre qué hay que medir (disponibilidad, desempeño, carga de trabajo, capacidad), ni las acciones que se deben tomar con el propósito de minimizar el riesgo de interrupciones. Estos atributos no están organizados en un catálogo de servicios. No existe un marco de trabajo para administrar los servicios de terceros. Esto comprende la formalización del proceso de administración de relaciones con proveedores, su clasificación y el monitoreo de la prestación brindada en base a los niveles de servicio acordados. No hay personal dedicado a esta función, para asegurar que el proveedor está cumpliendo con los requerimientos convenidos y que adhiere continuamente a los acuerdos del contrato. En relación a mantener un efectivo servicio de entrega en forma segura, no se encuentran identificados los riesgos de no cumplimiento, lo que no permite definir las acciones a seguir con el fin de mitigarlos. Se encuentra en trámite la actualización de servicios prestados por terceros contemplando Acuerdo de Nivel de Servicio por expediente DNM Comentario AGN El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. 128 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN 16766/2014. 4.3. Entregar y dar Soporte 4.3.3 Administrar el desempeño y la capacidad 4.3. Entregar y dar Soporte 4.3.4 Garantizar la continuidad del servicio La planeación del desempeño y la capacidad es intuitiva. No resulta de un proceso de monitoreo de la infraestructura de TI presente y su proyección futura. No hay personal dedicado al monitoreo de la infraestructura, ni una política y procedimientos específicos sobre lo que hay que medir (disponibilidad, desempeño, carga de trabajo, capacidad), ni la fijación de acuerdos de nivel de servicios, ni las acciones que se deben tomar para balancear la carga de trabajo, dar prioridad a ciertas tareas o reasignar de recursos con el propósito de minimizar el riesgo de interrupciones del servicio. No se elaboran informes de control asociados entre la capacidad y el desempeño. Éstas se transmiten a través de canales informales (reuniones de evaluación entre los equipos de la Dirección de Tecnología y Comunicaciones y la Dirección de Aplicaciones Informáticas). Esta situación no permite planificar con precisión las necesidades futuras, ni tomar acciones preventivas para evitar la degradación del servicio ante los posibles incrementos en la demanda. No existe un plan de contingencia formalizado que garantice la continuidad de servicios de TI diseñado para reducir el impacto de la interrupción de procesos críticos. La disposición DNM 19.057 del 9 de mayo de 2006 instruye sobre la garantía que debe existir en la continuidad del servicio y la necesidad de la existencia de un plan de contingencia, pero al momento de los trabajos de campo de esta auditoría dichos planes no se habían formalizado para la administración central. Tampoco hay planes de contingencia formalizados en las delegaciones y en los El organismo no dispone de recursos para atender en forma específica la cobertura de esta actividad y se desempeña con las mejores prácticas “a requerimiento", sin perjuicio de lo cual se evaluará su implementación. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. Se encuentra en proceso de actualización la Política de Seguridad de la Información y los Planes asociados a La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. En relación al Plan de Operatividad y Continuidad del negocio, el mismo fue evaluado durante los trabajos de 129 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM puestos de control fronterizos. su cumplimiento. El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos que pudieran ocasionar la interrupción de los servicios. 4.3. Entregar y dar Soporte 4.3.5 Garantizar la seguridad de los sistemas 63 El organismo no ha definido la administración de Seguridad a un nivel jerárquico apropiado que permita, a partir de roles y responsabilidades adecuadamente definidos, el establecimiento de un marco de trabajo de manera tal de mantener la integridad de la información y de la infraestructura de procesamiento, así como minimizar el impacto de las vulnerabilidades e incidentes de seguridad. La función del responsable de seguridad no está formalmente definida en el organigrama del organismo. Actualmente está a cargo de un funcionario afectado a otras tareas críticas e incompatibles con esta función. Esta superposición de tareas también produce que el responsable de seguridad no participe ni esté comunicado en la definición y autorización de los accesos de los usuarios. De tal modo se debilitan los aspectos centrales que refieren a la seguridad y eficiencia, derivando en la falta de desarrollo o mejora de procedimientos Se creó la Unidad de Seguridad Informática por Disposición 3912/2014 y se encuentra en proceso de actualización la Política de Seguridad de la Información y los Planes asociados a su cumplimiento. Comentario AGN campo y no se consideró suficiente para el objetivo que fue propuesto ya que no cuenta con los procedimientos explícitamente formalizados a realizar en caso de una discontinuidad del servicio, ni los responsables a cargo de llevarlos a cabo. Esta situación no permite hacer simulacros de prueba que permitan evaluar su efectividad. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. La vigencia de la Disposición 3912/2014 es posterior a los trabajos de campo.63 Los efectos que surjan de su aplicación serán evaluados en una próxima Desde xxx a yyy 130 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN específicos de control tales como: derechos de acceso y sus perfiles, la existencia única de ingreso a la red y aplicativos por parte de los usuarios, la definición del responsable de los datos e información almacenada en las bases de datos, revisiones de las cuentas y privilegios, inhabilitación de tiempo sin actividad, testing de penetración, uso de puertos USB, entre otros. Los “Términos y condiciones de uso” que se encuentran en la página Web institucional refieren al acceso a los diversos sistemas, y plasma recomendaciones para el uso de las cuentas de usuarios, explicita las mejores prácticas en el uso de correo electrónico y realiza recomendaciones para evitar el phishing. No obstante, falta formalizar la lectura y consentimiento del usuario. A pesar de la integración en 2006 del Comité de Seguridad Informática, aún no se han generado informes de control referentes a la seguridad lógica o accesos indebidos a la red, tanto de usuarios comunes como de personal de la DGSyTI. En cuanto a los servidores Linux, su administrador está designado en el Departamento de Enlace y Comunicaciones siendo que la responsabilidad por la administración de los servidores recae sobre el Departamento de Tecnología. De las pruebas realizadas sobre el servidor de producción donde está alojada la página Web institucional, se verificó la existencia de los siguientes perfiles de usuarios: 131 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN Desarrolladores de aplicaciones con perfiles de Administrador de Base de Datos en el ambiente de Producción, Genéricos con perfil Administrador de Base de Datos con acceso al ambiente de Producción, y Otros usuarios genéricos. No hay un marco de trabajo de administración por centro de costos, en función del uso de TI para cada una de las dependencias del organismo, que esté alineado con los procedimientos de contabilización y medición financiera que incluya costos directos, indirectos, fijos y variables, y que garantice que los cargos para los distintos servicios sean identificables para su monitoreo. El aplicativo contable en uso (SIDIF) no prevé una clasificación de cuentas específica para las partidas aplicadas a TI. En consecuencia, se debe recurrir a procesos manuales por fuera de este sistema para obtener la información que las refleje. En el caso del Sistema de Patrimonio, se identificó equipamiento fuera de uso y pendiente de baja asignados a TI, lo que brinda información inexacta sobre los activos asignados al área. Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. Las observaciones efectuadas por esta auditoría no objetan el cumplimiento de la Ley de Administración Financiera por parte de la DNM. Se centran en buenas prácticas de imputación de costos. En tal sentido, tanto las observaciones, como las recomendaciones correspondientes se focalizan en identificar los costos que son propios de la DGSyTI de aquellos que otras direcciones utilizan en relación a ésta para su desenvolvimiento. La Dirección 4.3. Entregar y dar Soporte 4.3.6 Identificar y asignar costos 132 INFORME DE AUDITORIA Nº de observación Observación 4.3 Entregar y dar La planificación de la capacitación se lleva a dos niveles: hay un Plan Anual de Capacitación (PAC) que forma parte de un Plan Estratégico de Capacitación Soporte Trianual (PEC). 4.3.7 Educación y Las necesidades que exponen las distintas direcciones del organismo constituyen parte del PAC. El criterio de elección de los cursos a ser brindados es definido por el capacitación de Área de Capacitación y de la Dirección de Recursos Humanos. los usuarios En relación a la capacitación de las aplicaciones informáticas, los conocimientos son impartidos por analistas funcionales de la Dirección General de Sistemas y Tecnologías de Información. 4.3 Entregar y dar No existe un marco estructurado y formalizado para el tratamiento de incidentes. La atención se encuentra concentrada en la administración central. Para incidentes Soporte en el interior (delegaciones, puestos fronterizos) que requieran la presencia física de 4.3.8 Administrar personal técnico, se dispone de una estructura conformada con personal de estas características a nivel de las nueve regiones en las que se encuentra dividido el país. la mesa de Los requerimientos llegan por distintos medios: correos electrónicos, llamados servicio y los telefónicos, notas y otros. Se cargan en una planilla de cálculo y se procede a derivar incidentes al personal correspondiente. La falta de un marco estructurado posibilita que: Respuesta DNM Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración. Se implementarán las recomendaciones. Comentario AGN General de Administración de la DNM imputa la totalidad de los costos de TI a la DGSyTI de servicios transversales que son usados también por otras direcciones. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 133 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN No se registren todos los incidentes, especialmente los que se producen en el interior. Como consecuencia de esto, no se cuenta con información completa para analizar posteriormente, tales como: porcentaje de incidentes resueltos dentro de un tiempo aceptable/acordado, nivel satisfacción del usuario, alimentación de una base de conocimientos y otros. No se fijen acuerdos de nivel de servicio. No se alimente una base de conocimientos, donde se registren soluciones estándar para determinados problemas en particular No se realicen encuestas de satisfacción de usuarios, lo que permitiría saber su grado de conformidad respecto del servicio. No se realice el seguimiento del estado del incidente. No se emitan reportes o consultas con estadísticas que permitan sacar conclusiones. 4.3 Entregar y dar Los bienes de Tecnología de la Información se registran parcialmente a través de un Se implementarán las Sistema de Patrimonio de uso exclusivo de la Dirección Gral. de Administración y recomendaciones. Soporte que abarca solamente bienes adquiridos a terceros con recursos presupuestarios, 4.3.9 Administrar aunque no las licencias de software. Paralelamente la DGSyTI mantiene información similar en una planilla de cálculo, sin acceso al sistema de patrimonio la configuración antes mencionado. En esta planilla de cálculo se registran los servidores centrales, como así también los que están en los pasos fronterizos. En el caso específico de las estaciones usadas para control migratorio se asigna la responsabilidad patrimonial a cada Delegación local. En este sentido, también está a su cargo el mantenimiento, reparación y reconfiguración del equipo por parte de los informáticos locales. Sin El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 134 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM embargo, no está previsto algún procedimiento que registre el evento, justifique la acción sobre el equipo y el eventual reemplazo de componentes internos. No existe un sistema de control de stock de repuestos a nivel central, con control de la DGSyTI. No se constató que se mantenga una biblioteca de las aplicaciones desarrolladas internamente como parte de los activos organizacionales de TI. 4.3 Entregar y dar El proceso de resolución de problemas no se encuentra bajo un marco estructurado y Se implementarán las formalizado para su tratamiento. Al igual que para el caso del tratamiento de recomendaciones. Soporte incidentes, faltan procedimientos aprobados formalmente que contemplen las distintas etapas de la administración de problemas: evaluación de impacto, 4.3.10 asignación de prioridad, escalabilidad, tratamiento, rastreo, resolución, conformidad. Administración de problemas 4.3 Entregar y dar Falta formalizar un marco de trabajo para administrar datos. Las tareas se llevan a Se encuentra en proceso de cabo en forma intuitiva. Soporte actualización el No existen procedimientos formalizados para: 4.3.11 Administrar las bibliotecas de medios de almacenamiento, respaldo, Procedimiento de Resguardo de la Administración retención, recuperación y eliminación de datos. de Datos Resguardar la seguridad en relación al recibo, procesamiento, Información. almacenamiento y salida de datos, para que cumpla con las políticas de seguridad de la organización y los requerimientos regulatorios. Determinar una clasificación por criticidad, impacto o requerimientos de seguridad alineados al plan de continuidad. 4.3 Entregar y dar Se hace necesario diferenciar en este punto entre la situación del Centro de Se encuentra en Comentario AGN El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. La respuesta del organismo no 135 INFORME DE AUDITORIA Nº de observación Soporte 4.3.12 Administración de Instalaciones Observación Respuesta DNM Comentario AGN Procesamiento de Datos de la Administración Central y los servidores locales y controladores de comunicaciones instalados en los distintos puntos del país. En cuanto a los últimos, se presentan diversos problemas producto de que deben funcionar en emplazamientos antiguos, de baja calidad de mantenimiento, sin las dimensiones apropiadas y en algunos casos compartiendo el espacio con agentes de la Dirección Nacional de Aduanas y el Servicio Nacional de Sanidad y Calidad Agroalimentaria (SENASA). Se presentan también circunstancias en las cuales las instalaciones edilicias son suministradas por organismos de migraciones de los países fronterizos. En ese sentido, el ambiente de TI presenta vulnerabilidades que en ocasiones están sujetas a decisiones multijuridiccionales. Las principales observaciones de algunos PCF visitados son: Cortes de energía. Gran parte se encuentran sometidos a cortes de energía frecuentes. En tal sentido, no todos tienen: Instalación eléctrica apropiada que cumpla con las normas y reglamentaciones de seguridad, como la existencia de llaves térmicas y disyuntores. No se estableció un estándar para las instalaciones eléctricas. Se observaron elementos en mal estado, empalmes inapropiados y la existencia de prolongadores. Grupo electrógeno propio que permita la continuidad de la operatividad de los aplicativos, más un sistema de baterías que permita el cierre ordenado de las aplicaciones ante un corte. En muchos casos dependen de los servicios brindados por los otros organismos con los que comparten el lugar. Energía eléctrica estabilizada. trámite la Adecuación de la infraestructura de los CPD por expediente DNM 2489/11. contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. 136 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN Luces de emergencia. Ubicación física de los equipos. No en todos los PCF los equipos no están en lugares aislados y debidamente refrigerados, suelen estar en locales inadecuados, como cocinas o lugares de tránsito de personas. Sistemas contra incendios. No cuentan con detectores de humo, y los matafuegos no son adecuados para tratar focos de fuego en lugares con componentes electrónicos. Presencia de material inflamable: cajas de cartón, papeles, elementos plásticos, anafes, garrafas, instalaciones de gas, estufas, cortinas, pisos y puertas de madera. En relación al Centro de Procesamiento de Datos de la Administración Central, se detectaron las siguientes debilidades: No se cuenta con un plan de contingencia formal. No obstante, la Disposición DNM N°19.057/2006 hace mención a que debe ser realizada la confección del mismo. No se cuenta con un sitio alternativo de procesamiento para situaciones de contingencia. Si bien hay un lugar alternativo en el Centro de Documentación Rápida no cuenta con infraestructura de red de datos y su procesamiento. Sólo se utiliza este sitio para el resguardo del back-up. Los matafuegos no se encuentran emplazados en el lugar correcto. Se halló material inflamable (cajas de cartón, puertas y ventanas de madera). Las ventanas del Data Center carecen de protección. 137 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN Para cubrir faltantes de los paneles del cielo raso, se recurre a soluciones precarias. No se realizan pruebas periódicas de verificación del funcionamiento de los detectores de humo, ni se efectúa su mantenimiento preventivo El cableado de los servidores no se encuentra identificado bajo una nomenclatura estructurada y se encuentran desprolijidades en las conexiones. El caño de escape del grupo electrógeno carece de ventilación a los cuatro vientos. El mantenimiento del grupo electrógeno está tercerizado y no se lleva registro de los días y horarios que se efectúa. Cabe señalar que el Plan de Tecnologías de la Información 2012-2014, en su punto 5 menciona que se realizará una actualización de la infraestructura del data center a los efectos de proporcionar un ambiente de máxima seguridad. Al momento de cierre de los trabajos de campo de esta auditoría, la ejecución del plan se encuentra atrasada respecto de la planificación original. 4.3 Entregar y dar No hay políticas ni procedimientos formales de operación, necesarios para una Se implementarán las recomendaciones. efectiva administración del procesamiento. En tal sentido, faltan: Soporte Procedimientos estándar para operaciones de TI que garanticen que el 4.3.13 personal de operaciones esté familiarizado con todas las tareas de su Administración responsabilidad. de operaciones Procedimientos para monitorear la infraestructura de TI y los eventos relacionados. El organismo acepta las observaciones realizadas por lo tanto se mantienen las mismas. 138 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN Procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño. En relación al mantenimiento de infraestructura de TI instalada en el interior del país, a cuyo cargo se encuentran los referentes informáticos, no se cuenta con procedimientos formales para atender las fallas más frecuentes y darles un tratamiento estandarizado. Tampoco cuentan con un stock de los repuestos de los componentes más sensibles que permitan subsanar un probable incidente. Esto puede provocar la discontinuidad del servicio hasta tanto llegue el repuesto de la Administración Central. Falta establecer un marco de trabajo de monitoreo general que abarque a todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la calidad en la entrega de servicios integrado con un sistema de administración de gestión (tablero de control con indicadores) que permita comparar en forma periódica el desempeño contra métricas establecidas en un sistema de aseguramiento de la calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para resolver los desvíos que puedan presentarse. No hay personal dedicado al monitoreo. Se utilizan herramientas tales como el Nagios y el System Center Operations Manager (SCOM) que monitorean el estado de la red y que emiten alarmas cuando los parámetros previamente definidos por el administrador de red exceden los valores establecidos. Estas son recibidas por el personal en sus estaciones de trabajo o en sus teléfonos inteligentes (fuera del horario de trabajo, donde se establecen guardias rotativas) y en función del criterio Sin perjuicio de que esta instancia no comparte el diagnóstico sobre la base de datos de Aptitud Migratoria, toda vez que existen mecanismos alternativos para su actualización, se tendrá en cuenta la recomendación formulada para Tanto las observaciones como las recomendaciones de esta auditoría se focalizan en la falta de un marco de trabajo (y los recursos necesarios para llevarlo adelante) en el monitoreo de la infraestructura de TI, la cual ha tenido un crecimiento exponencial en el último bienio. 4.4 Monitorear y Evaluar 4.4.1 Monitorear y evaluar el desempeño de TI Con respecto al control de la aptitud migratoria, es un proceso dinámico que sólo puede ser efectivo en tiempo y forma en la medida que el 139 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM de quien esté a cargo del incidente, procede a su solución. Las acciones son optimizar los procedimientos mayormente reactivas. La falta de un marco de trabajo de monitoreo de la infraestructura y del respectivo actuales. personal afectado a esta tarea, imposibilita el análisis de datos orientado a la toma de acciones correctivas oportunas. La falta de un marco de trabajo de Mesa de Ayuda se suple con un esquema de trabajo de guardias pasivas rotativas del personal, que genera un estado de situación similar al de una contingencia permanente, con el consiguiente desgaste del personal afectado. Del análisis de datos relevados sobre la actividad de la red de datos de casi un semestre provista por el organismo, se desprenden que la tasa de caída de los enlaces de comunicaciones entre los puestos fronterizos, tales como el puente Tancredo Neves (2.082 hs.), Puerto Pilcomayo (1.377 hs.), el aeropuerto de Ushuaia (1.130 hs.), Posadas (697,73 hs.) y Bariloche (341 hs.), 64 y la Sede Central provocando que la base de datos contra la que se controla la aptitud migratoria no se encuentre actualizada en tiempo real al momento de realizarse los controles pertinentes. Comentario AGN servicio de TI no se interrumpa. En tal sentido, a través del procesamiento de datos de este equipo de auditoría de casi un semestre, se observaron discontinuidades del servicio prolongadas, incluso en pasos considerados de alto tránsito. Dentro de las observaciones formuladas por esta AGN se reemplazó el término “servidores” por “enlaces de comunicaciones entre los puestos fronterizos” y se agregó “Sede Central”. No obstante, se toma nota del comentario de la DNM y se modifica el texto de la observación para darle mayor precisión, del siguiente modo: donde dice "...provocando que la base de datos contra la que se controla la aptitud migratoria no se encuentre 64 En el PCF de alta concurrencia como el Puente Internacional Tancredo Neves que une las ciudades de Puerto Iguazú (Argentina) con Foz do Iguaçu (Brasil) o el aeropuerto de Ushuaia registran 2.082 horas y 1.130 horas de discontinuidad del servicio respectivamente. 140 INFORME DE AUDITORIA Nº de observación 4.4 Monitorear y Evaluar 4.4.2 Monitorear y evaluar el control interno 4.4 Monitorear y Evaluar Observación Respuesta DNM EI Organismo se ajusta a las pautas establecidas en la resolución 48/05 "Normas de Control Interno para Tecnología de la Información" y Normativas emitidas por la ONTI, siendo su cumplimiento evaluado por la Unidad de Auditoría Interna. En orden a los hallazgos de las tareas de campo llevadas a cabo, se puede determinar EI Organismo se las siguientes debilidades: ajusta a las pautas No se ha implantado un marco de trabajo formal de control interno de TI que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan verificar el logro de los objetivos de control interno para los procesos de TI (básicamente eficacia/eficiencia), identificar las acciones de mejoramiento y reportar sus excepciones. Las auditorías internas son llevadas a cabo por un único funcionario, que realiza controles a algunos objetivos de auditoría puntuales pero que no puede abarcar un programa más completo. Comentario AGN actualizada" se reemplaza por "… provocando que la base de datos contra la que se controla la aptitud migratoria no se encuentre actualizada en tiempo real al momento de realizarse los controles”. Se mantienen las observaciones. De las evaluaciones que llevó a cabo este equipo de auditoría se verifica el incumplimiento de las resoluciones 48/05 de SIGEN (que se detallan en el punto 4.4.3 “Garantizar el cumplimiento con requerimientos externos”) y la resolución ONTI 3/2013 (ver detalles en el punto “4.3.5 Garantizar la seguridad de los sistemas”). Se mantienen las observaciones. La documentación presentada es 141 INFORME DE AUDITORIA Nº de observación 4.4.3 Garantizar el cumplimiento con requerimientos externos Observación Resolución 48 de SIGEN Se elaboró un Plan de Tecnologías de la Información 2012/2014, no obstante ello, no cuentan con planes tácticos que lo respalden tales como: tiempos, recursos, costos, hitos intermedios a alcanzar o riesgos relacionados, que permitan inferir el logro de los objetivos planteados. Asimismo, a la fecha de las tareas de campo, no se había actualizado el Plan. No existe un modelo de arquitectura de la información formal con pautas que aseguren la integridad y la consistencia de toda la información almacenada, tales como un diccionario de datos de la organización, un esquema de clasificación de datos de acuerdo a la criticidad y la sensibilidad, procedimientos para definir datos nuevos y esquemas de funciones estándar de tratamiento de los datos (biblioteca de funciones). Faltan definir Políticas y Procedimientos de algunos procesos claves, ej: Plan de Continuidad. No se adoptó una metodología de administración de proyectos informáticos encarados, el qué, mínimamente debería contemplar entre otros: Respuesta DNM Comentario AGN establecidas en la resolución 48/05 "Normas de Control Interno para Tecnología de la Información" y Normativas emitidas por la ONTI, siendo su cumplimiento evaluado por la Unidad de Auditoría Interna. posterior65 al período auditado66 y a los trabajos de campo67. Se evaluarán en una próxima auditoría. Se mantienen las observaciones. La documentación presentada es posterior68 al período auditado69 y a los trabajos de campo70. Se evaluarán en una próxima auditoría. 65 El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015 De 01/01/2013 al 30/06/2014 67 De 01/03/2014 al 30/09/2014 68 El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015 69 De 01/01/2013 al 30/06/2014 70 De 01/03/2014 al 30/09/2014 66 142 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN a) Documentación, justificación y aprobación que origina el proyecto; b) Definición clara del Plan, determinando sus objetivos, alcances y asignación de misiones y funciones del grupo de trabajo; c) Presupuesto de los recursos a ser utilizados. En orden al método, también resultaría necesario, la elaboración del Plan de Prueba y de Capacitación. No existe un método formal para las actividades de desarrollo, mantenimiento o adquisición de sistemas, el que debe estar documentado y aprobado y de aplicación complementaria a las normas relativas a la administración de proyectos. No hay una definición del marco de trabajo para el monitoreo de procesos, por el cual y a partir de indicadores de desempeño se pueda llevar a cabo el objetivo de control de la infraestructura de TI, debiendo en consecuencia, presentar informes periódicos de gestión a la Dirección de la organización, con el fin que esta última supervise el cumplimiento de los objetivos planteados.Marco de la ley 26.653 "Accesibilidad de la Información de las Páginas Web". La Dirección Nacional de Migraciones cumple con lo prescripto por la norma, no obstante ello, en cuanto a criterios de usabilidad, existen principios tales como: comprensibilidad y navegabilidad por y entre las distintas secciones de la página que debieran mejorarse a fin de obtener una integración completa de las personas con discapacidad (sobretodo visual) por ejemplo: gráficos y botones etiquetados, inclusión de textos alternativos 143 INFORME DE AUDITORIA Nº de observación 4.4 Monitorear y Evaluar 4.4.4 Proporcionar gobierno de TI Observación Respuesta DNM en las imágenes, asociación de celdas de encabezado con celda de datos, etc. Ver detalle en ANEXO VII. Se verificó el cumplimiento del decreto 375/2005 de Gobierno Electrónico, la ley 25.506 de Firma Digital y el Régimen de Contrataciones de la Administración Nacional. Faltan cubrir posiciones funcionales claves como: Se acompaña Plan Estratégico 2015 – Administración de la Seguridad 2017. Monitoreo de la Infraestructura de TI Administración de Gestión de Aseguramiento de la Calidad Administración de Riesgos Administración de Proyectos Comentario AGN Se mantienen las observaciones. La documentación presentada es posterior71 al período auditado72 y a los trabajos de campo73. Se evaluarán en una próxima auditoría. Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo definidos y formalizados para asegurar: El tratamiento uniforme para la administración de todos los proyectos de TI. El seguimiento de la gestión, mediante un programa de calidad que establezca indicadores a partir de metas y objetivos definidos previamente, de modo de medir la contribución de TI a los objetivos estratégicos del Organismo y posibilite la rendición de cuentas. 71 El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015 De 01/01/2013 al 30/06/2014 73 De 01/03/2014 al 30/09/2014 72 144 INFORME DE AUDITORIA Nº de observación Observación Respuesta DNM Comentario AGN Administración de costos, donde se identifiquen los distintos costos y que garantice los cargos para los distintos servicios sean identificables para su monitoreo y una correcta administración de los programas de inversión. Esquema de monitoreo que permita medir el desempeño y la correcta asignación de los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones correctivas. Administración de riesgos, que permitan reportar aquellos relacionados con TI y su impacto en la posición de riesgos de la organización. 145 INFORME DE AUDITORIA ANEXO III. Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados, pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los cambios. 146 INFORME DE AUDITORIA ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. 147 INFORME DE AUDITORIA 148 INFORME DE AUDITORIA ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los procesos informáticos considerados Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos dependen en forma creciente de los sistemas de tecnología de la información, un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento esencial de la administración del Estado Nacional. En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la información dentro de un organismo para permitirle cumplir con sus misiones y funciones: Eficacia: Que la información sea relevante y pertinente para la misión del ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable. Eficiencia: La provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Confidencialidad: La protección de información sensible contra divulgación no autorizada. Integridad: La precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del organismo. Disponibilidad: La disponibilidad de la información cuando ésta es requerida para cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. 149 INFORME DE AUDITORIA Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el organismo está sujeto. Confiabilidad: La provisión de información apropiada a la administración para operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en forma primaria y secundaria por el objetivo de control (ver tabla). El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo controlar las mejoras futuras en forma explícita. Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0 representa la situación más segura y 1 la más insegura). El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al impacto (definido como el peligro de incumplimiento de las misiones y funciones del organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se realiza, y este es evaluado en el informe a través del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle: 150 INFORME DE AUDITORIA 151 INFORME DE AUDITORIA 152 INFORME DE AUDITORIA Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información para los 34 objetivos de control considerados y su promedio general. 153 INFORME DE AUDITORIA 154 INFORME DE AUDITORIA 155 INFORME DE AUDITORIA 156 INFORME DE AUDITORIA 157 INFORME DE AUDITORIA 158 INFORME DE AUDITORIA ANEXO VI - Análisis de los referentes informáticos en el interior del país A partir de información suministrada por la DNM Se obtuvieron del Sistema de Patrimonio datos sobre la distribución de equipamiento por delegaciones, aeropuertos y pasos. Se identificaron 1.192 estaciones de trabajo agrupadas en 28 delegaciones. Se obtuvo información desagregada al analizar el tercer nivel de detalle del equipamiento que describe del destino del equipamiento en oficinas migratorias, pasos fronterizos, aeropuertos y puertos74. La cantidad de referentes informáticos ascendía a 23 personas distribuidas geográficamente. Ciudad de Asiento de los Referentes Informáticos Cantidad de Referentes Informáticos Total Estaciones de Trabajo Jujuy S.S. de Jujuy 2 115 Salta Formosa Formosa 1 256 Región Delegaciones Integrantes I II III IV V VI Iguazú Iguazú 4 Posadas Posadas 3 Corrientes Corrientes 3 165 Entre Ríos C. del Uruguay 2 Mendoza Mendoza 2 154 La Rioja Neuquén Neuquén 2 103 Bariloche Comodoro Rivadavia Comodoro Rivadavia 1 24 74 Cabe destacar que a los efectos de este estudio, se agruparon las estaciones de trabajo pertenecientes a “Corrientes Norte” dentro de la Región III para poder confluir las diferencias entre las divisiones establecidas por la DNM entre las Delegaciones y las Regiones. 159 INFORME DE AUDITORIA VII VIII IX Rawson Tierra del Fuego Ushuaia 2 84 Río Gallegos Bahía Blanca 0 47 Puerto Madryn Viedma Rosario Rosario 1 153 Florencio Varela La Plata Mar del Plata Almirante Brown Córdoba 0 91 La Pampa San Luis Tucuman 23 1.192 Del análisis de este cruzamiento de datos se obtienen las siguientes conclusiones: No cuentan con ningún referente informático tanto la Región VIII (Bahía Blanca/P. Madryn/Viedma) como las provincias que no se encuentran alcanzadas por la regionalización: Córdoba, La Pampa, San Luis y Tucumán. Las regiones VI y IX sólo cuentan con un referente informático. Por lo tanto no cuenta con reemplazo en caso de licencia o desafectación. En algunas regiones el referente informático debe desplazarse desde la ciudad de asentamiento hasta el PCF más de media jornada laboral75 para llegar al destino, lo que pondría en riesgo la continuidad del servicio por ese lapso de tiempo. 75 Jujuy con Salvador Mazza y La Quiaca; Corrientes con Paso de los Libres, Santo Tomé, Pto. Monte Caseros, Pto. Alvear, Pto. Yapeyu, Pto. La Cruz y Pto. Esquina; C. del Uruguay con Pto Santa Eloísa; Mendoza con Pehuenche, San Francisco (La Rioja), Pircas Negras (La Rioja) y Agua Negra (San Juan); Comodoro Rivadavia con Futaleufù, Jeinemeni, Coyhaique, Ing. Palavecini, Triana y Pto. Deseado., 160 INFORME DE AUDITORIA ANEXO VII – Cumplimiento de la ley 26.653 de accesibilidad de la página Web. El presente anexo expone el resultado del control efectuado sobre la página web del organismo auditado, en lo que respecta al cumplimiento de la ley 26.653 “Accesibilidad de la Información de las Páginas Web”. A continuación, se exponen los principales hallazgos: a) Existen imágenes, animaciones y gráficos que no se encuentran debidamente etiquetadas o con su texto alternativo descriptivo en la portada y otras secciones. b) No existe un criterio unificado para la delimitación de títulos de secciones. Algunos se delimitan por listas, otros mediante gráficos y otros sólo mediante palabras sueltas. c) Algunos enlaces con o sin gráficos no funcionan con el lector de pantalla, como por ejemplo: “Consulte el estado de su trámite”, “Imprima su tarjeta migratoria” y “Abone su tasa de reciprocidad”. d) La estructura de la página de Normativa incluye una zona de selección de categoría de ésta, y un marco donde se ubican los enlaces de acceso a cada una. A fin de acceder al contenido, el usuario debe posicionar en una categoría y presionar “ENTER”. El algoritmo no actualiza toda la página, sino solo el marco inferior, por lo tanto un usuario no vidente no percibe cambio alguno en la página, imposibilitando el acceso a la información. e) En la página “delegaciones”, cuando se presiona “ENTER” sobre una delegación determinada, el contenido asociado a esa sección aparece al final de la lista, sin encabezado ni otro elemento que permita ubicarlo cómodamente. En este aspecto, resultaría útil que la información se encuentre separada en distintos renglones para facilitar su selección y copiado, como así también que las direcciones de correo electrónico figuraran como enlace. A modo de ejemplo ilustrativo: en la página 161 INFORME DE AUDITORIA figura el nombre del Director Nacional de Migraciones, Asiento Buenos Aires, Domicilio Av. Antártida Argentina 1355, entre otros datos). Debería establecerse: Responsable XXXXXXXXXXXXXXX XXXXXXXXXX Nombre del Director Nacional de ASIENTO BUENOS AIRES DOMICILIO Avda. Antártida Argentina 1355 f) En la página “estadísticas”, algunos enlaces aclaran que ciertos archivos están en formato pdf. Sin embargo, la aclaración no se encuentra al final del nombre de archivo (por ejemplo: “Enlace gráfico Archivo pdf Estadísticas de Movimientos de Ingreso y Egreso -Principales Puestos Migratorios 2012”). En este supuesto, sería beneficioso que la leyenda “pdf” se colocara al final del texto, atento que al buscar la información correspondiente se dificulta acceder rápidamente al enlace con funciones tales como el listado de enlaces que poseen los lectores de pantalla, pues hay varios enlaces que empiezan con las mismas palabras. Esto imposibilita buscar el enlace pulsando la primera letra de su texto como estrategia rápida de ubicación. g) En las páginas de Novedades, Diario digital, Periódico migraciones y Colectividades, los ítems tendrían que estar separados por una línea en blanco y la primera estar constituida por un encabezado que facilite su ubicación aleatoria o bien saltar entre ellas, respetando un criterio unificado de distribución de los contenidos en el sitio. 162