Dirección Nacional de Migraciones - DNM Análisis de la Gestión Informática

Anuncio
Dirección Nacional de Migraciones - DNM
Análisis de la Gestión Informática
Auditoría General de la Nación
Gerencia de Planificación y Proyectos Especiales
Departamento de Auditoría Informática
Índice
1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1 2.1. Ejecución del Trabajo de Auditoría ........................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ............................................................................................................. 1 2.3. Procedimientos de Auditoría ..................................................................................................................... 4 3. ACLARACIONES PREVIAS ........................................................................................... 6 3.1. Contexto general de las migraciones ......................................................................................................... 6 3.2. La Dirección Nacional de Migraciones ................................................................................................... 11 3.3. Los Sistemas de Información de la DNM ............................................................................................... 18 4. COMENTARIOS Y OBSERVACIONES ....................................................................... 21 4.1. PLANIFICAR Y ORGANIZAR ............................................................................................................. 21 4.1.1 Definir un plan estratégico para TI .................................................................................................... 21 4.1.2 Definir la arquitectura de información .............................................................................................. 23 4.1.3 Determinar la dirección tecnológica .................................................................................................. 24 4.1.4 Definir los procesos, organización y relaciones de TI ...................................................................... 26 4.1.5 Administrar la inversión en TI ........................................................................................................... 28 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ................................................................. 30 4.1.7 Administrar los recursos humanos de TI ........................................................................................... 31 4.1.8 Administrar la calidad ........................................................................................................................ 32 4.1.9 Evaluar y administrar los riesgos de TI ............................................................................................. 33 4.1.10 Administrar proyectos...................................................................................................................... 34 4.2. ADQUIRIR E IMPLEMENTAR............................................................................................................. 36 4.2.1 Identificar soluciones automatizadas ................................................................................................. 36 4.2.2 Adquirir o desarrollar y mantener software aplicativo ..................................................................... 37 4.2.3 Adquirir y mantener infraestructura tecnológica .............................................................................. 38 4.2.4 Facilitar la operación y el uso ............................................................................................................ 40 4.2.5 Adquirir recursos de TI ...................................................................................................................... 41 4.2.6 Administrar cambios .......................................................................................................................... 42 4.2.7 Instalar y acreditar soluciones y cambios .......................................................................................... 43 4.3. ENTREGAR Y DAR SOPORTE ............................................................................................................ 44 4.3.1 Definir y administrar los niveles de servicio ..................................................................................... 44 4.3.2 Administrar servicios de terceros ...................................................................................................... 45 4.3.3 Administrar el desempeño y la capacidad ......................................................................................... 46 4.3.4 Garantizar la continuidad del servicio ............................................................................................... 48 4.3.5 Garantizar la seguridad de los sistemas ............................................................................................. 48 4.3.6 Identificar y asignar costos ................................................................................................................ 51 4.3.7 Educación y capacitación de los usuarios ......................................................................................... 52 4.3.8 Administrar la mesa de servicio y los incidentes .............................................................................. 53 4.3.9 Administrar la configuración ............................................................................................................. 55 4.3.10 Administración de problemas .......................................................................................................... 56 4.3.11 Administración de Datos ................................................................................................................. 57 4.3.12 Administración del Ambiente Físico ............................................................................................... 58 4.3.13 Administración de operaciones........................................................................................................ 61 4.4 MONITOREAR Y EVALUAR ................................................................................................................ 62 4.4.1 Monitorear y evaluar el desempeño de TI ......................................................................................... 62 4.4.2 Monitorear y evaluar el control interno ............................................................................................. 64 4.4.3 Garantizar el cumplimiento con requerimientos externos ................................................................ 65 4.4.4 Proporcionar gobierno de TI .............................................................................................................. 68 5. RECOMENDACIONES .................................................................................................. 70 6. CONCLUSIONES ..........................................................................................................106 7. COMUNICACIÓN AL ENTE........................................................................................110 8. LUGAR Y FECHA .........................................................................................................110 9. FIRMA ............................................................................................................................110 10. ANEXOS ......................................................................................................................111 ANEXO I – Comentarios del auditado ......................................................................................................... 111 ANEXO II – Análisis de los comentarios del auditado ............................................................................... 115 NEXO III. Niveles del Modelo Genérico de Madurez ................................................................................. 146 ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. 147 ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los
procesos informáticos considerados ............................................................................................................. 149 ANEXO VI - Análisis de los referentes informáticos en el interior del país............................................... 159 ANEXO VII – Cumplimiento de la ley 26.653 de accesibilidad de la página Web. .................................. 161 Índice de Ilustraciones
Ilustración 1 – Fronteras terrestres ........................................................................................................................ 8 Ilustración 2 – Cauce seco Argentina-Paraguay ................................................................................................. 10 Ilustración 3 – Delegaciones DNM..................................................................................................................... 13 Ilustración 4 – Regionalizacion DNM ................................................................................................................ 14 Ilustración 5 – Ejemplo de Credencial Vecinal Fronteriza ................................................................................ 21 INFORME DE AUDITORIA
Al Señor Director Nacional de Migraciones
Dr. Martín Augusto Arias Duval
Dirección Nacional de Migraciones
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio
del Interior y Transportes de la Nación, con el objeto que se detalla en el apartado 1.
1. OBJETO DE AUDITORÍA
Análisis de la Gestión Informática en la Dirección Nacional de Migraciones.
2. ALCANCE
2.1. Ejecución del Trabajo de Auditoría
El examen fue realizado de conformidad con las Normas de Auditoría Externa (NAE)
aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N°
145/93, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la
Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.
Período auditado: 01/01/2013 al 30/06/2014.
Las tareas de campo se desarrollaron de marzo a septiembre de 2014.
2.2. Enfoque del Trabajo de Auditoría
La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en la Dirección
Nacional de Migraciones en base a la información obtenida, a la identificación de los
1
INFORME DE AUDITORIA
temas de mayor exposición al riesgo, y a las pruebas sustantivas y de cumplimiento
realizadas. Esta auditoría se enfocó en el marco de trabajo de TI del Organismo, con
énfasis en las aplicaciones de Control Migratorio (Si.Ca.M + Si.Ge.R.A.M) y de
regularización de la residencia de extranjeros (S.Ad.Ex), debido a la importancia que
revisten para el cumplimiento de la función del organismo.1
La auditoría se basó en la verificación de los Objetivos de Control establecidos por el
marco de referencia de buenas prácticas de TI COBIT (Control Objectives in Information
Technologies) versión 4.1. Los Objetivos de Control describen los resultados que debe
alcanzar un Organismo implantando procedimientos, basados en las mejores prácticas
aplicables a los procesos de TI.
Para cada uno de los objetivos evaluados se expone el nivel de madurez alcanzado,
conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. Adicionalmente,
se indican los requerimientos de información -detallados en el Anexo III- afectados para
cada objetivo.
Se destaca que cada Objetivo de Control va acompañado del nivel de “riesgo genérico”
(alto, medio o bajo) que le es propio, tomando en cuenta el impacto que provocaría su
incumplimiento, con independencia de la situación en la que se encuentra el Organismo.
Este nivel genérico es modificado por el índice de madurez correspondiente (dependiente
de las observaciones realizadas) para así establecer el “riesgo específico” de ese objetivo
en particular. Puede consultarse en los gráficos de los Anexos IV y V como un Objetivo de
Control con riesgo genérico alto y calificado con un índice de madurez alto, genera un
riesgo específico menor que aquel con riesgo genérico medio o bajo, pero con índice de
1
Un desarrollo más amplio sobre estas aplicaciones se encuentra en el punto 3.3 “Los sistemas de
información de la DNM”, de las Aclaraciones Previas de este informe.
2
INFORME DE AUDITORIA
madurez bajo.
Para tal fin se desarrollaron tareas de relevamiento y análisis de:
 la planificación y organización,
 el organigrama del área de tecnología informática y su funcionamiento,
 el presupuesto operativo anual del área,

la administración de recursos humanos de TI,

la evaluación de riesgos,

la administración de proyectos,

la administración de calidad,

las prácticas de instalación y acreditación de sistemas y de administración de
cambios,

la definición de los niveles de servicio,

la administración de los servicios prestados por terceros,

la administración de la capacidad y el desempeño,

los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,

la imputación de costos,

la capacitación de los usuarios,

la gestión de los usuarios de la Tecnología de la Información,

la administración de la configuración de hardware y software,

la administración de problemas e incidentes,

la administración de datos, de instalaciones y de operaciones,

el monitoreo de los procesos, la idoneidad del control interno y la existencia de
auditoría interna,

documentación normativa del área informática del organismo,
3
INFORME DE AUDITORIA

la infraestructura informática del organismo,

los sistemas existentes, en producción y desarrollo,

la adopción de estándares y normativas de la ONTI2 y SIGEN,

la integración de los sistemas

la planificación, misión y metas del organismo,

las leyes y decretos que regulan su actividad,

la verificación del modelo de arquitectura de la información y su seguridad
informática. –

La administración usuarios de la red informática,

las políticas y procedimientos,

la documentación de los sistemas.
2.3. Procedimientos de Auditoría
En la etapa de análisis se realizaron los siguientes procedimientos:

Evaluación del ambiente de control en la gestión de la Tecnología de la Información y
Comunicaciones.

Realización de entrevistas con los responsables de las diversas áreas relacionadas
directa o indirectamente con la TI.

Verificaciones in situ en los diversos centros de procesamiento de datos en casa central
y en dependencias del interior del país, en materia de seguridad física.
2
ONTI: Oficina Nacional de Tecnologías de Información. Entre sus principales funciones están las de
implementar las estrategias de innovación informática en la administración pública, desarrollar sistemas que
son utilizados en procedimientos de gestión, fijar los estándares que deben utilizar los organismos públicos
cuando incorporan nuevas tecnologías, colaborar con otras dependencias en la creación de portales
informativos y de gestión, promover la interoperabilidad de las redes de información de las instituciones
estatales y fijar los estándares de seguridad
También interviene en la implementación y control de uso de la certificación digital en el Estado, que permite
tramitar electrónicamente los expedientes de manera segura y rápida.
4
INFORME DE AUDITORIA

Verificación de la seguridad lógica.

Análisis de información recibida

Evaluación contenido y funcionalidad del sitio web (http://www.migraciones.gov.ar).

Evaluación contenido y funcionalidad de la Intranet https://www.dnm.gov.ar/

Pruebas de cumplimiento y entrevistas realizadas en las siguientes dependencias del
organismo:
 Administración Central cita en Av. Antártida Argentina 1355
 Unidad de Auditoría Interna cita en Av. Brasil 55 Piso 2
 Terminal “Buquebus”
 Terminal Tigre
 Aeropuerto “Ministro Pistarini” (Ezeiza, Pcia Bs As)
 Aeroparque “Jorge Newbery” (C.A.B.A.)
 Puerto de Buenos Aires (C.A.B.A.)
 Sistema Cristo Redentor (Mendoza)
 Paso fronterizo Clorinda-Puerto Falcón (Formosa)
 Pasarela “La Fraternidad o Amistad” Clorinda-Nanawa (Formosa)
 Paso fronterizo Gral Belgrano-Gral Bruquez (Formosa)
 Paso fronterizo Formosa-Alberdi (Formosa)
 Paso Puerto Pilcomayo-Itá Enramada (Formosa)
 Paso fronterizo Salvador Mazza-Yacuiba (Salta)
 Paso fronterizo Aguas Blancas-Bermejo (Salta)
 Paso fronterizo La Quiaca-Villazón (Jujuy)
 Paso fronterizo Posadas-Encarnación (Misiones)
 Delegación Posadas
 Paso fronterizo Paso de los Libres-Uruguayana (Corrientes)
 Puerto de Ushuaia
5
INFORME DE AUDITORIA
 Delegación Ushuaia
 Paso San Sebastián
3. ACLARACIONES PREVIAS
3.1. Contexto general de las migraciones
La Ley 25.871 de Migraciones entiende por “inmigrante” (o “migrante”) a “todo aquel
extranjero que desee ingresar, transitar, residir o establecerse definitiva, temporaria o
transitoriamente en el país (…)” (art. 2°). No obstante, el tránsito de personas también
comprende a los ciudadanos argentinos que por diversas circunstancias cruzan las fronteras
del país.
De acuerdo a la “Estadística general de movimiento migratorio”3, en 2014 se registraron
más de 56 millones de ingresos y egresos de personas. En el mismo año se iniciaron
257.878 radicaciones.4 Actualmente, el 4,9% de los 42.669.500 habitantes de la Argentina
son extranjeros.5
Las 153.000 personas diarias que en promedio cruzan las fronteras, lo hacen a través de
239 puestos de control fronterizo, once de los cuales –detallados a continuación–
concentran y registran más del 70% del movimiento, por lo que son considerados “de alto
tránsito”:
3
Ministerio del Interior y Transporte. Dirección Nacional de Migraciones. Estadística General de
Movimiento Migratorio.
4
Ministerio del Interior y Transporte. Dirección Nacional de Migraciones. Síntesis Estadística de
Radicaciones, Informe Especial del Año 2014.
5
INDEC “Estimaciones y proyecciones de población 2010-2040 Nro 35 Análisis Demográfico. Datos para
2013.
6
INFORME DE AUDITORIA

Pte. Iguazú - Foz do Iguazú

Aeropuerto Ministro Pistarini (Ezeiza)

Pte. Posadas - Encarnación

Puerto de Buenos Aires (terminal de “Buquebus”)

Aeroparque Metropolitano Jorge Newbery

Pte. Colón - Paysandú

Pte. Clorinda - Pto. Falcón

Sistema Cristo Redentor

Pte. Concordia – Salto

Pte. Paso de los Libres - Uruguayana

Pte. Gualeguachú – Fray Bentos
El control de la migración y residencia implica la vigilancia de 9.376 km de fronteras
terrestres, marítimas y fluviales con Bolivia, Brasil, Chile, Paraguay y Uruguay (ver
Ilustración 1). Éstas presentan distintas características de acuerdo a la zona. Algunas
constituyen barreras naturales que facilitan el control del tránsito, mientras que otras
presentan dificultades para su control, tal como se desarrolla a continuación.
7
INFORME DE AUDITORIA
Ilustración 1 – Fronteras terrestres
Fuente: Gendarmería Nacional Argentina
El límite internacional entre Argentina y Bolivia se encuentra configurado por límites
geodésicos, geométricos, orográficos y fluviales6. Presenta innumerables casos de
permeabilización, donde la población puede desplazarse sin necesariamente pasar por los
controles fronterizos. A modo de ejemplo, en los límites fluviales (zona de los Ríos
Bermejo-Pilcomayo-Grande de Tarija) la mayor parte del año los ríos presentan un caudal
6
Los límites “geodésicos” son aquellos que se apoyan en un meridiano o paralelo, los límites “geométricos”
se apoyan en puntos marcados convencionalmente por el hombre, los “orográficos”, en cambio, se aplican a
regiones montañosas trazando el límite por la línea que une las cumbres más elevadas de una cadena única o
bien por la línea que pasa por la base o al pie de los macizos montañosos, mientras que los “fluviales” siguen
el curso de un río. Fuente: “Principios de Derecho Internacional Público en materia de Límites”, de
Guillermo Lagos Carmona.
8
INFORME DE AUDITORIA
que permite ser cruzado de forma peatonal, mientras que en los límites geométricos, la
frontera está delimitada por hitos o mojones.
La frontera con Brasil es de naturaleza fluvial, y queda demarcada por grandes ríos:
Iguazú, San Antonio, Pepirí Guazú y Uruguay, de acuerdo a lo establecido en 1895 por el
laudo Cleveland.
La frontera con Chile está constituida mayormente por la cordillera de los Andes,
demarcada de acuerdo a los tratados de 1881, 1899 y 1995, y los laudos británicos de 1902
(Andes patagónicos) y 1977 (canal de Beagle) y papal de 1980 (canal de Beagle), éste
último ratificado por referendo en 1984. El extremo sur de la Argentina llega hasta el
pasaje de Drake, el cual vincula los océanos Atlántico y Pacífico.
En el caso de la frontera con Paraguay, corre a lo largo del río homónimo desde la
confluencia con el Río Pilcomayo hasta la intersección con el Paraná. Allí el río presenta
un curso sinuoso, navegable por embarcaciones de calado mediano y con riberas aptas para
el asentamiento humano, por lo que en este tramo el río promueve una activa vida de
relaciones, lo que incluye una clara dinámica de intercambio entre ciudades como
Formosa-Alberdi, Asunción-Clorinda, Posadas-Encarnación y de la frontera tripartita entre
Ciudad del Este, Puerto Iguazú y Foz de Iguazú, así como también las localidades de
Ayolas - Ituzaingó, relación dinamizada en los últimos años por el emprendimiento
hidroeléctrico binacional de Yacyretá. Otra parte de la frontera con Paraguay queda
definida por el cauce del río Pilcomayo, entre el paralelo 22º S por el occidente y la
confluencia de los ríos Paraguay y Pilcomayo por el oriente. El límite fluvial requirió
acuerdos binacionales posteriores que definieron su curso hasta el tratado complementario
de 1945, en el cual se estableció el régimen de administración de las aguas. El escaso
caudal del río y el alto transporte de sedimentos provocaron una derivación de éste en los
9
INFORME DE AUDITORIA
tramos entre Esmeralda y Horqueta, formando el bañado la Estrella que se encuentra en
territorio argentino, quedando el cauce principal totalmente seco durante algunas
estaciones del año. Si bien la situación se normaliza durante la temporada de lluvias
ocurridas en sus cuencas altas andinas o precordilleranas, el resto del año su cauce tiende a
secarse (ver ilustración 2) hasta el punto de generar “fronteras secas”, en las que es posible
pasar a pie de un país a otro. La extensión es de cientos de kilómetros, por lo que su
custodia resulta compleja.
Ilustración 2 – Cauce seco Argentina-Paraguay
Fuente: Elaboración propia
La frontera con Uruguay es fluvial y está dada por el río del mismo nombre y el Río de la
Plata, según tratados de 1961 y 1973. En el caso de la zona limítrofe sobre el río Uruguay,
la línea divisoria resulta ser el canal navegable del río, por su zona más profunda. Se
acordó que la isla Martín García por su tradición histórica sea argentina, aunque a partir del
trazado del límite, quedó del lado uruguayo.
10
INFORME DE AUDITORIA
De los límites terrestres con los cinco países y en virtud de las situaciones geográficas,
demográficas y socioculturales, la frontera norte, es la que presenta el mayor desafío para
su control migratorio.
3.2. La Dirección Nacional de Migraciones
La Dirección Nacional de Migraciones (DNM) es el órgano de aplicación de la ley N°
25.871, con competencia para entender en la admisión, otorgamiento de residencias y su
extensión. Controla el ingreso, permanencia y egreso de personas al país y ejerce el poder
de policía de extranjeros en todo el Territorio de la República (art. 107°). Puede delegar el
ejercicio de sus funciones y facultades en las instituciones que constituyen la Policía
Migratoria Auxiliar (art. 108°), está integrada por la Prefectura Naval Argentina, la
Gendarmería Nacional, la Policía de Seguridad Aeroportuaria y la Policía Federal, las que
en tales funciones están obligadas a prestar a la Dirección Nacional de Migraciones la
colaboración que les requiera (art. 114°).7
Dentro del territorio, son también policías auxiliares la Policía Federal Argentina y las
policías provinciales, de acuerdo a los convenios celebrados.
7
De acuerdo a la ley 19.349. la Gendarmería Nacional se constituye, entre otras, como “Policía auxiliar
aduanera, de migraciones y sanitaria, donde haya autoridad establecida por las respectivas administraciones y
dentro de las horas habilitadas para ellas” (art. 3° inc. b), y como “Policía de prevención y represión del
contrabando, migraciones clandestinas e infracciones sanitarias en los lugares no comprendidos en el inciso
anterior, como así también en éstos, fuera del horario habilitado por las respectivas administraciones” (art. 3°
inc. c). En cuanto a la Prefectura Naval Argentina, conforme la ley 18.398, podrá ejercer como “Policía
auxiliar aduanera, de migraciones y sanitaria, donde funcionen organismos establecidos por las respectivas
administraciones, dentro de las horas habilitadas por ellas” (art. 6º inc. a), y como “Policía aduanera, de
migraciones y sanitaria, fuera de aquellos lugares establecidos en el inciso a, así como también en ellos, pero
fuera de los horarios establecidos por las respectivas administraciones” (art. 6º inc. b).
La Policía de Seguridad Aeroportuaria se rige conforme la ley 26.102, que establece que “ejercerá en el
ámbito aeroportuario las funciones de policía aduanera, migratoria y/o sanitaria donde y cuando no haya
autoridad establecida por las respectivas administraciones” (art. 16).
11
INFORME DE AUDITORIA
Conforme a la ley, el ingreso y egreso de personas al territorio nacional debe realizarse
exclusivamente en los horarios y por los lugares habilitados por la Dirección Nacional de
Migraciones, sean éstos terrestres, fluviales, marítimos o aéreos. En ellos se realizará el
control migratorio correspondiente (art. 34°). Serán causas impedientes del ingreso y
permanencia de extranjeros al Territorio Nacional, entre otras, intentar ingresar o haber
ingresado al Territorio Nacional eludiendo el control migratorio, o por lugar o en horario
no habilitados al efecto (art. 29° inc. i). La irregularidad migratoria de un extranjero no
impide su admisión en un establecimiento educativo (art. 7º), ni restringe el acceso al
derecho a la salud, asistencia social o atención sanitaria (art. 8º). Las escuelas u hospitales
deberán brindar orientación respecto de los trámites necesarios para regularizar la
situación. Por su parte, la Dirección Nacional de Migraciones deberá conminar al
extranjero a regularizar su situación en el plazo perentorio que fije para tal efecto, bajo
apercibimiento de decretar su expulsión. (arts. 37° y 61°).
Las misiones y funciones de la DNM son, entre otras:8

Controlar el ingreso/egreso de personas al territorio en fronteras, aeropuertos y
puertos.

Registrar, archivar y procesar el flujo de entrada/salida de todo el país.

Evaluar y otorgar los distintos tipos de residencia de extranjeros.

Promover la regularización documentaria de los inmigrantes y controlar su
permanencia.

Intervenir en los casos de infracción a la ley.

Proporcionar información a todo organismo del Estado Nacional u organismo no
gubernamental que la requiera, de acuerdo a la normativa vigente.
8
Página Web Institucional de la Dirección Nacional de Migraciones, fecha de visita el 9/04/2015; y Ley
25.871 de Migraciones.
12
INFORME DE AUDITORIA
Para cumplir con sus funciones cuenta con:

Administración Central,

1 Centro de Documentación Rápida con atención de extranjeros,

28 delegaciones territoriales (ver ilustración 3)

6 oficinas migratorias,9

2 unidades móviles de documentación y trámites, y

239 puestos de control fronterizo.
Ilustración 3 – Delegaciones DNM
Fuente: Dirección Nacional de Migraciones
9
Las oficinas migratorias dependientes de las delegaciones de la DNM están facultadas a: i) recepcionar y
remitir a la delegación correspondiente los trámites iniciados en su jurisdicción; ii) conminar a los detectados
en situación irregular a subsanar aquella y, iii) ejercer la función de control de policía en el ingreso y egreso
del país.
13
INFORME DE AUDITORIA
Para optimizar la organización y distribución de las tareas, los 239 puestos de control
fronterizo (PCF) fueron distribuidos en nueve regiones (ver ilustración 4), cada una de las
cuales está a cargo de un coordinador operativo titular y un adjunto. Estos a su vez
dependen orgánica y funcionalmente de la Dirección de Control Fronterizo, dependiente de
la Dirección General de Movimiento Migratorio.
Ilustración 4 – Regionalizacion DNM
Fuente: Elaboración propia en base a información provista por la DNM
14
INFORME DE AUDITORIA
Los 239 puestos de control quedan conformados por: i) 154 pasos fronterizos ii) 44 puertos
y iii) 41 aeropuertos internacionales que se distribuyen por país limítrofe conforme al
siguiente detalle:

Bolivia: 5 puestos en 742 km

Brasil: 22 puestos en 1.132 km

Chile: 74 puestos en 5.308 km

Paraguay: 39 puestos en 1.699 km

Uruguay: 14 puestos en 495 km
En los PCF se realizan tres tipos de control: 1) el migratorio, que se encuentra bajo la
responsabilidad de la DNM, cuyo objetivo es llevar a cabo el control y registro del tránsito
de personas,10 2) el aduanero, que se encuentra a cargo de la Dirección Nacional de
Aduanas (DNA), cuyo objetivo principal es controlar el ingreso de mercancías, equipaje y
medios de transporte, y 3) el zoo-fitosanitario, que se encuentra a cargo del Servicio
10
El control migratorio de noventa y nueve PCF que se encontraban delegados en Prefectura Naval
Argentina y en Gendarmería Nacional, fue asumido progresivamente por la DNM a partir de octubre de 2013
por Disposición DNM 2980/2013. La transferencia abarcó a los siguientes PCF: Puerto Chalanas–Bermejo,
Aguas Blancas–Bermejo (Salta), La Quiaca–Villazón (Jujuy), Paso de los Libres–Uruguayana, Santo ToméSao Borja (Corrientes), Panambí-Vera Cruz, Barra Bonita-M’Biguá, Aurora–Pratos, Alicia-San Antonio, El
Soberbio-Porto Soberbo, Pepirí Guazú-Sao Miguel, Bernardo de Irigoyen-Dionisio Cerqueira, Integración–
Planalto, San Antonio-Santo Antonio, Andresito–Capanema (Misiones), San Francisco (Catamarca), Pircas
Negras (La Rioja), Pino Hachado, Icalma, Manuil Malal, Hua Hum, Cardenal Antonio Samoré, Pérez
Rosales, Coyhaique, Jeinemeini, Dorotea, Laurita-Casas Viejas, Integración Austral, San Sebastián, Jama
Norte, Jama Sur, Yaciretá, Clorinda-Puerto Falcón, Pasarela La Fraternidad, Gral Belgrano-Gral Bruguez,
Gualeguaychú-Fray Bentos, Concordia-Salto, Aeropuerto de Chapelco. Quedan reasumidos, pero en proceso
de relevamiento: El Condado-La Mamora, Socompa, Miranda, El Portillo del Ventillo, Guana, Portillo, Los
Azules, Calderón, El Azufre, Casa de Piedra, Puentecillas, Mondaca, Las Ojotas, Quebrada Fría, Las
Llaretas, Portillo de Piuquenes, Cajón del Maipo, Vergara, Pichachen, Copahue, Carirriñe, Vuriloche, Río
Manso, Rio Puelo, Río Mayer-Ribera Norte, Río Mosco, Lago San Martín-O´Higgins, Jama Norte, Jama Sur,
Laguna Sico, De Buta Mallín, Reigolil, Portezuelo de la Divisoria, Paso Marconi, Cóndor-Daniel Posesión,
Cerro Redondo-Daniel Frontera, Monte Dinero, Pascua Lama, Cóndor II, Isleta-Pareje Rojas Silva, El
Remanso-La Verde, La Madrid-Misión San Leonardo, Misión La Paz-Pozo Hondo.
15
INFORME DE AUDITORIA
Nacional de Sanidad y Calidad Agroalimentaria (SENASA) cuyo objetivo principal es
controlar el ingreso de mercancías de origen animal o vegetal y derivados semielaborados.
Estos controles inciden sobre las cuestiones sociales y económicas, atento a la interacción
diaria entre los miembros de las comunidades asentadas a ambos lados de la frontera, que
con frecuencia cruzan por motivos comerciales, familiares y culturales, entre otros. El
tránsito vecinal fronterizo en algunos PCF es significativo, por lo que ha dado lugar a la
implementación de una credencial a los efectos de agilizar los trámites, tema que se tratará
más adelante.
En cuanto a su configuración, los PCF pueden ser de “cabecera única”, o de “doble
cabecera”, y estos últimos pueden estar o no “integrados”, conforme a la siguiente
descripción:

Cabecera única:
Implica la existencia de un único PCF a lo largo del cruce fronterizo, que puede
ubicarse en uno de los dos países, o bien, estar superpuesto en el límite político
internacional. Las autoridades de ambos países están presentes en un único recinto
y se efectúa el control integrado tanto de entrada como de salida. Ejemplo: PosadasEncarnación.

Doble cabecera sin controles integrados.
El cruce consta de dos PCF, uno de cada lado de la frontera. La persona registra la
salida en el puesto del país saliente y luego registra la entrada en el puesto del país
entrante. Ej: Formosa-Alberdi

Doble cabecera con controles integrados.
16
INFORME DE AUDITORIA
Si bien existen dos PCF, uno de cada lado de la frontera, los controles de entrada y
salida se realizan en un único puesto de control. El puesto en el que se lleven a cabo
los controles depende de si la modalidad elegida es la de “País Entrada-País Sede”
o “País Salida-País Sede”. En la modalidad “País Entrada-País Sede”, los controles
se ejecutan en el país de “entrada” del usuario, por lo que el puesto fronterizo de
ese país es la “sede” de control de ambos países. Tal es el caso del Sistema Cristo
Redentor. En la modalidad “País Salida-País Sede”, a la inversa de la anterior, los
controles se ejecutan en el país de “salida” del usuario, por lo que el puesto
fronterizo de ese país es la “sede” de control de ambos países. Ejemplo: La QuiacaVillazón.
Se aclara que en las configuraciones de Cabecera Única y Doble Cabecera con Controles
Integrados, en los que los funcionarios de cada país comparten un mismo recinto, los
agentes de cada país imputan los datos pertinentes en sus propios aplicativos. Ello obedece
a que la normativa argentina (y en algunos casos, también la del país limítrofe) no permite
compartir información.11 La ventaja para el usuario reside, no obstante, en que debe
detenerse en un solo lugar.
Los PCF funcionan tanto en inmuebles propiedad de la DNM, como de otras dependencias
del Estado e incluso en inmuebles particulares arrendados, lo que en ocasiones configura
situaciones disfuncionales, más aún cuando el espacio es compartido con la Dirección
Nacional de Aduanas y SENASA.
11
Ley 25.326 de Protección de Datos Personales y Disposición 15.442/2005 de la DNM creación del
Registro Único de Aptitud Migratoria.
17
INFORME DE AUDITORIA
La administración de la infraestructura edilicia de los PCF está a cargo de la Dirección de
Asuntos Técnicos de Frontera,12 debiendo intervenir en el supuesto de grandes reformas
edilicias el Ministerio de Planificación Federal, Inversión Pública y Servicios. La
infraestructura de TI, en cambio, es responsabilidad de la DNM.
En las decisiones relacionadas con los PCF intervienen los “Comités de Frontera” (o
“Comités de Integración”), los que constituyen encuentros binacionales que se realizan
entre regiones fronterizas de dos países para el tratamiento de temas de interés mutuo y
alcance local. Existen diversas comisiones, como la de Migraciones, Aduanas o FitoZoosanitaria, entre otras. Los asuntos tratados son elevados para su consideración a las
áreas competentes.
3.3. Los Sistemas de Información de la DNM
La Dirección Nacional de Migraciones cuenta con un conjunto de sistemas que son
centrales para la actividad que desarrolla. Se trata del Si.Ge.R.A.M del S.I.Ca.M. y del
S.Ad.Ex:
1) Si.Ge.R.A.M. v7 (Sistema de Gestión de Registro de Aptitud Migratoria),13
12
La Dirección de Asuntos Técnicos de Fronteras dependiente del Ministerio del Interior y Transporte es la
encargada de coordinar las acciones que desarrollan los organismos nacionales (DNM, SENASA y
Dirección Nacional de Aduanas) en los pasos internacionales habilitados. Algunas de sus funciones son: i)
participar en la administración de los pasos y centros de fronteras, ii) llevar a cabo las tareas inherentes a la
tramitación de los permisos de explotación de servicios complementarios en los complejos fronterizos y las
autorizaciones de construcciones y mejoras en los pasos de fronteras a cargo de la Secretaria de Interior, o iii)
representar a la Secretaria de Interior en el Subcomité Técnico de Controles y Operatoria de Frontera del CT
2 “Asuntos Aduaneros del MERCOSUR” y en las Reuniones Binacionales sobre Temas Fronterizos.
13
En algunos documentos de la DNM hace referencia a este aplicativo como Sistema de Gestión de
Restricciones de Aptitud Migratoria. Se entiende por aptitud migratoria la capacidad de una persona afectada
por las distintas decisiones judiciales y administrativas que dispongan la prohibición de salida del país a toda
persona de existencia visible, su prohibición de reingreso, así como también las restricciones e impedimentos
que sobre las mismas recaigan (Disp. 15.441/2005). Existe un Registro Nacional de Aptitud Migratoria
18
INFORME DE AUDITORIA
Mediante este sistema se verifica si la persona puede entrar o salir del país en virtud de
decisiones judiciales o administrativas. En caso de detectarse una irregularidad, los
funcionarios de la DNM actuantes deben proceder a notificar la situación a los policías
auxiliares.
2) S.I.Ca.M. (Sistema Integral de Captura Migratoria)
Este sistema, que interactúa con el Si.Ge.R.AM., registra el tránsito migratorio en el
Territorio Nacional.
3) S.Ad.Ex (Sistema de Admisión de Extranjeros)
Este sistema, desarrollado por personal del organismo, se utiliza en el proceso de
regularización migratoria (desde la iniciación hasta la resolución de la residencia).
Conforma el denominado Expediente Digital y comprende además la digitalización de
los expedientes existentes en soporte papel, los que una vez digitalizados poseerán el
mismo valor que los originales (documentación histórica).
Los PCF informatizados se encuentran administrados mediante estas tres aplicaciones,
aunque con distintas modalidades en función de si operan con o sin servidor local.
Cuando el PCF actúa con servidor local, la base de datos de consulta de aptitud
migratoria se encuentra sincronizada.14 Los ingresos y egresos se registran en forma
local y se transmiten a las instalaciones de la Administración Central. Ante una caída
del enlace de comunicaciones, el aplicativo –que almacena los datos en el servidor
local- continúa las validaciones contra los datos de aptitud migratoria actualizados
creado por dicha disposición cuyas bases de datos se alimentan de datos propios y otros provenientes de
INTERPOL, juzgados, RENAPER y otros.
14
La “sincronización” implica que las bases de datos son grabadas en tiempo real tanto en la Administración
Central, como en los servidores del PCF.
19
INFORME DE AUDITORIA
hasta el momento de producida la falla. Una vez restablecida la comunicación, las
bases se re-sincronizan bidireccionalmente. Esta versión puede implementarse con o
sin control biométrico (detallado más adelante). Dada la criticidad de la aplicación en
los puestos de control fronterizo de alto tránsito, se utiliza esta versión con servidor
local a los efectos de sostener su continuidad.
Cuando el PCF actúa sin servidor local, el módulo opera sobre las bases de datos de la
Administración Central vía enlace de comunicaciones. Ante una caída del enlace, el
aplicativo no es accesible y los agentes del organismo registran los trámites en forma
manual, cargándolos al sistema una vez restablecidas las comunicaciones (carga
diferida).
A partir de abril de 2012 se comenzó a implementar la tecnología biométrica para el
control migratorio de ingreso y egreso en algunas de las principales terminales del país.15
Este proceso consiste en la toma fotográfica y la captura de la huella dactilar -ambas en
forma digital-, el escaneo del documento de viaje -que registra de modo electrónico los
datos patronímicos-16 y el uso de firma digital del inspector que valida el movimiento
migratorio y habilita la salida o ingreso al territorio.17
En cuanto al tránsito vecinal fronterizo, en algunos PCF se ha implementado el control
mediante el uso de una credencial, que implica la carga previa de los datos pertinentes. En
estos supuestos y por un lapso determinado, al portador no se le requieren los datos
15
En Aeropuerto Ministro Pistarini (Ezeiza), Aeroparque Metropolitano Jorge Newbery y terminal de
“Buquebus”.
16
De acuerdo a la RAE, el término “patronímico” refiere al “nombre que, derivado del perteneciente al padre
u otro antecesor, y aplicado al hijo u otro descendiente, denotaba en estos la calidad de tales.” En el contexto
descrito, refiere al conjunto básico de datos que permiten la identificación de una persona.
17
El proceso de control del movimiento migratorio en el Aeropuerto Internacional de Ezeiza y la Terminal
“Buquebus” del Puerto de Buenos- fue certificado bajo Normas ISO 9001:2008.
20
INFORME DE AUDITORIA
patronímicos en cada ocasión que pasa por el PCF. Al pasar la persona por éste, el
inspector actuante de la DNM procede a leer el código de barras (ver ilustración 5) que
figura en el anverso del documento tramitado al efecto y el sistema registra el movimiento.
Ilustración 5 – Ejemplo de Credencial Vecinal Fronteriza
Fuente: Elaboración propia
Por último, se señala que no todos los pasos fronterizos cuentan con infraestructura
informática. Los PCF que no están informatizados se encuentran por lo general en lugares
poco accesibles y de bajo tránsito, a cargo de Gendarmería Nacional o Prefectura Naval
Argentina. Los agentes de estos organismos toman los datos en forma manual y con cierta
periodicidad los transfieren a la DNM para su registración.
4. COMENTARIOS Y OBSERVACIONES
4.1. PLANIFICAR Y ORGANIZAR
4.1.1 Definir un plan estratégico para TI
Objetivo de control: Se requiere una planeación estratégica de Tecnología de la
Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los
objetivos estratégicos del Organismo y sus prioridades. La Dirección General de Sistemas
y Tecnologías de la Información (DGSyTI) y los niveles decisorios de la organización, son
responsables de garantizar que se materialice el valor óptimo de los proyectos y servicios.
21
INFORME DE AUDITORIA
El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las
oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de
inversión requerido. La estrategia y las prioridades se deben reflejar en los proyectos de
inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen
objetivos, planes y tareas específicas, entendidas y aceptadas tanto por el Organismo como
por TI.
Este objetivo de control afecta, primariamente a la efectividad, y en forma secundaria a la
eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Repetible. La planeación estratégica de TI se comparte con los niveles
decisorios del Organismo según se necesite. La actualización de los planes de TI ocurre
como respuesta a las solicitudes de la dirección. Las decisiones estratégicas se toman
proyecto por proyecto, sin ser necesariamente consistentes con una estrategia global de la
organización. Los riesgos y beneficios al usuario se reconocen de forma intuitiva.
Observaciones: En febrero de 2012 se aprobó un Plan de Tecnologías de la Información
2012-2014, elaborado a partir de una evaluación realizada por la propia DGSyTI, y en
función del lineamiento estratégico de la Dirección Nacional orientado a tomar el control
administrativo sobre los pasos fronterizos administrados por otros organismos (Prefectura
Naval Argentina, Gendarmería Nacional) o a mejorar la infraestructura de TI. También se
plantea la actualización de la infraestructura de Data Center con una contratación llave en
mano (2012-2014), el rediseño de la página Web, mantenimiento de sistemas aplicativos
S.Ad.Ex, S.I.Ca.M, Si.Ge.R.A.M, S.A.Cer18, capacitaciones con aula virtual, a los
usuarios, innovación en materia de digitalización, tecnologías biométricas e infraestructura
de firma digital. En tal sentido, cabe señalar que el Plan de TI 2012-2014 no cuenta con los
18
S.A.Cer Sistema de Administración de Certificados de firma digital conforme al decreto 375/05 del PEN
de Plan de Gobierno Electrónico. Esto permite la utilización de la firma digital que otorga seguridad a las
transacciones electrónicas, a través de la identificación fehaciente de las personas que intercambien
información en formato electrónico. Su aplicación en el Expediente Digital permitió agilizar los trámites..
22
INFORME DE AUDITORIA
planes tácticos que lo respalden, donde se detallen tiempos, recursos afectados, costos,
hitos intermedios a alcanzar o riesgos relacionados, que permitan inferir cómo se lograrán
los objetivos planteados. Al cierre de trabajos de campo de esta auditoría, habían
transcurrido veinticinco meses desde su última actualización.
4.1.2 Definir la arquitectura de información
Objetivo de control: La función de los sistemas de información debe crear y actualizar de
forma regular un modelo de información y definir los sistemas apropiados para optimizar
su uso. Esto incluye el desarrollo de un diccionario de datos de la organización, el esquema
de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la
toma de decisiones gerenciales proveyendo información confiable y segura, y permite
racionalizar los recursos de los sistemas de información. Este proceso de TI también es
necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y
para mejorar la efectividad y control de la información compartida a lo largo de las
aplicaciones.
Este objetivo de control afecta, primariamente a la eficiencia y la integridad y en forma
secundaria a la efectividad y la confidencialidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Repetible. Surge un proceso de arquitectura de información y existen
procedimientos similares, aunque intuitivos, informales y no centralizados. Los
funcionarios de la Dirección General de Sistemas y Tecnologías de la Información
(DGSyTI) obtienen sus habilidades al construir la arquitectura de información por medio
de experiencia práctica y la aplicación repetida de técnicas.
Observaciones: La DGSyTI estableció un modelo no formalizado de arquitectura de la
información.
En ese sentido, se establecieron algunas pautas en cuanto al desarrollo de los aplicativos
(siempre desarrollos propios) y el equipamiento que se distribuyó a lo largo del país en la
23
INFORME DE AUDITORIA
red propia de datos. No obstante, no se formalizó el modelo, como tampoco se definieron
formalmente pautas que aseguren la integridad y la consistencia de toda la información
almacenada, tales como un diccionario de datos de la organización, un esquema de
clasificación de datos de acuerdo a la criticidad y la sensibilidad, los procedimientos para
definir datos nuevos y esquemas de funciones estándar de tratamiento de los datos
(biblioteca de funciones).
La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas.
4.1.3 Determinar la dirección tecnológica
Objetivo de control: Dirección General de Sistemas y Tecnologías de la Información
(DGSyTI) debe determinar la dirección tecnológica para dar soporte a los objetivos
estratégicos del organismo. Esto requiere de la creación de un plan de infraestructura
tecnológica que establezca y administre expectativas realistas y claras de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
El plan se debe actualizar de forma regular y debe abarcar aspectos tales como arquitectura
de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de
migración y contingencias. Esto permite mejorar los tiempos de reacción manteniendo
entornos competitivos, mejorar la economía de escala en los sistemas de información
utilizados por el personal o para la toma de decisiones, como también en interoperabilidad
entre las plataformas y las aplicaciones.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Repetible. La planeación es táctica. La evaluación de los cambios
tecnológicos se delega a individuos que siguen procesos similares, aunque intuitivos. Las
personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje
24
INFORME DE AUDITORIA
práctico y la aplicación repetida de las técnicas. Se verifica el surgimiento de técnicas y
estándares comunes para el desarrollo de componentes de la infraestructura.
Observaciones:
La Dirección General de Sistemas y Tecnologías de la Información ha implementado una
infraestructura tecnológica en los puestos de control de migraciones y en delegaciones
migratorias del país consistente en una red de comunicaciones con enlaces punto a punto y
aplicaciones específicas desarrolladas e implementadas internamente. Adicionalmente
cuenta con una red de celulares corporativos para uso del personal. No obstante no se tuvo
a la vista documentación respaldatoria de las decisiones sobre la infraestructura
tecnológica y los estándares adoptados..
Falta un Plan de Infraestructura que esté de acuerdo con los planes estratégicos y tácticos
de TI alineados con los de la organización, con establecimiento de estándares, dirección
tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras.
La organización utiliza los Estándares Tecnológicos para la Administración Pública
(ETAP)19 solamente para las adquisiciones. En el caso de las versiones de Si.Ca.M con
servidor local, el motor de base de datos se encuentra sin soporte técnico por parte del
fabricante del producto. Esta situación podría comprometer la continuidad del servicio
brindado por el aplicativo en caso de una falla imprevista.20
19
ETAP: Estándares Tecnológicos para la Administración Pública fijados por la Secretaría de Gabinete y
Coordinación Administrativa de la Jefatura de Gabinete de Ministros de la Presidencia de la Nación. Éstos
brindan a los distintos organismos de la Administración Pública Nacional una herramienta que les posibilite
avanzar en los procesos de racionalización, estandarización y homogeneización de las contrataciones de las
diversas tecnologías informáticas. A estos fines, los ETAPs deberán ser utilizados como guía para la
redacción de los pliegos de especificaciones en las áreas que cubren
20
Interbase es un sistema de gestión de bases de datos relacionales desarrollado y comercializado por la
compañía Borland Software Corporation y actualmente adquirida por Embarcadero Technology.
25
INFORME DE AUDITORIA
4.1.4 Definir los procesos, organización y relaciones de TI
Objetivo de control: Una organización de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y
supervisión. El Organismo estará inserto en un marco de trabajo de procesos de TI que
asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de
nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios,
como TI, debe determinar las prioridades de los recursos de TI alineados con las
necesidades del Organismo. Deben existir procesos, políticas administrativas y
procedimientos para todas las funciones, con atención específica en el control, el
aseguramiento de la calidad, la administración de riesgos, la seguridad de la información,
la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte
oportuno de los requerimientos, TI se debe involucrar en los procesos importantes de
decisión.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existen roles y responsabilidades definidos
para la organización de TI y para terceros. La organización de TI se desarrolla, documenta,
comunica y se alinea con la estrategia de TI. Se formulan las relaciones con terceros,
incluyendo los comités de dirección, auditoría interna y administración de proveedores. La
organización de TI está funcionalmente completa. Existen definiciones de las funciones a
ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los
requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. La
división de roles y responsabilidades está definida e implantada.
Observaciones:
Al momento de los trabajos de campo, se encontraba aprobada la estructura organizativa
hasta el tercer nivel operativo del organismo (Dirección General, Direcciones 26
INFORME DE AUDITORIA
anteriormente denominadas Coordinaciones- y Departamentos).21 Adicionalmente, la
segregación de tareas, roles y responsabilidades se encuentran definidos.
No obstante, el organigrama no contempla posiciones importantes como administración de
proyectos, aseguramiento de la calidad, seguridad (física y lógica), monitoreo de la
infraestructura y gestión de riesgos, entre otras. Asimismo, la administración de la
seguridad no está definida en el organigrama. Ante su ausencia, la función está asignada a
funcionarios de diversas áreas, dependiendo del ámbito de aplicación: en el caso de los
vínculos de comunicaciones, y accesos a la red, las tareas las lleva a cabo el Departamento
de Enlaces y Comunicaciones; para acceso y seguridad de servidores, la responsabilidad
recae en el Departamento de Tecnología; mientras que los accesos a las aplicaciones
corresponden al Departamento de Soporte Operativo.
Por último, cabe destacar que el representante de la seguridad de la información ante el
Comité de Seguridad de la Información, es el Director de Aplicaciones Informáticas22, lo
cual vulnera el control por oposición.
En relación a la infraestructura de TI, a cuyo cargo se encuentra la Dirección de
Tecnología y Comunicaciones, y dada la expansión geográfica a la que se vio sometida el
organismo producto de la Disposición DNM 2980/201323, la misma además de una
dotación interna, cuenta con referentes informáticos (RI) en el interior del país que llevan a
cabo tareas de soporte técnico solicitadas desde la administración central.
Considerando que estos agentes deben desplazarse físicamente hasta el lugar del incidente
para proceder a su solución in situ, cabe señalar que, en algunos casos, los RI son
21
Decisión Administrativa DNM N° 1395/2012 (estructura organizativa del primer nivel operativo), 250/08
(estructura organizativa del primer y segundo nivel operativo y aperturas inferiores) y 813/2014
(jerarquización de las coordinaciones de Tecnología y Comunicaciones y de Aplicaciones Informáticas en
direcciones).
22
Disposición DNM 683/2012 del 22/03/2012.
23
Por esta disposición, la DNM asume el control de 99 pasos fronterizos, que estaban a cargo de
Gendarmería Nacional.
27
INFORME DE AUDITORIA
insuficientes (las regiones VI y IX) y en otros inexistentes (Región VIII y las provincias
de Córdoba, La Pampa, San Luis y Tucumán) para garantizar la continuidad del servicio24.
Sobre el rol de cada RI cabe destacar que:

No se encuentran definidas formalmente ni las misiones ni las responsabilidades de
la función. Su dependencia funcional no está claramente definida por cuanto debe
responder a su mando superior (delegado, coordinador de la región, encargado del
PCF y otros) y a las directivas emanadas por la DGSyTI.

En la mayoría de las zonas asignadas, son las únicas personas a cargo de esta tarea,
con lo cual existe una dependencia crítica ante su eventual ausencia.

Algunos agentes se encuentran bajo una modalidad contractual no compatible con
la criticidad de sus responsabilidades.

En algunos casos deben recorrer distancias que en tiempo superan la mitad del
horario de atención al público o tienen más de 40 puestos de trabajo para atender o
la dotación no les permite solucionar más de un incidente en la misma jornada
laboral..

No pueden realizar un programa preventivo que evite una posible discontinuidad
del servicio.
4.1.5 Administrar la inversión en TI
Objetivo de control: Establecer y mantener un marco de trabajo para administrar los
programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.
Trabajar con los interesados para identificar y controlar los costos y beneficios totales
24
Ver ANEXO V Situación de los Referentes Informáticos por Región.
28
INFORME DE AUDITORIA
dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas
según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave,
facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los
beneficios y el retorno sobre las inversiones en TI.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de
seleccionar, administrar y presupuestar las inversiones en TI. Se comunica la necesidad de
un proceso de selección y presupuesto. El cumplimiento depende de la iniciativa de
individuos dentro de la organización. Surgen técnicas comunes para desarrollar
componentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y
tácticas.
Observaciones: La asignación presupuestaria de los recursos de TI no está imputada a las
áreas usuarias de los servicios de TI, sino a la Dirección General de Sistemas y Tecnología
de la Información (DGSyTI).
Falta la implementación a nivel de la organización de un enfoque orientado a la
administración por centros de costos de los recursos de TI. Dentro de este marco de
trabajo, la DGSyTI no presenta un proceso presupuestario propio de los programas de
inversión de TI incluyendo los costos de operar y mantener la infraestructura actual. Este
proceso debería permitir su monitoreo para determinar la contribución esperada de TI a los
objetivos estratégicos del organismo.
En relación a la formulación presupuestaria, el presupuesto total del organismo se
incrementó en un 37,53% en términos nominales entre el 2012 y el 2013; sin embargo, la
inversión en TI prevista, se mantuvo constante en términos nominales pero se redujo en
29
INFORME DE AUDITORIA
términos porcentuales del 6,08% en el 2012 al 4,42% en el 201325 (en relación al
presupuesto total del organismo).
4.1.6 Comunicar las aspiraciones y la dirección de la gerencia
Objetivo de control: La dirección debe elaborar un marco de trabajo de control
organizacional para TI, y definir y comunicar las políticas. Se debe implantar un programa
de comunicación continua para articular la misión, los objetivos de servicio, las políticas y
procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de
los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos.
Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria al
cumplimiento.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Repetible. La DGSyTI tiene un entendimiento implícito de las
necesidades y de los requerimientos de un ambiente de control de información efectivo,
aunque las prácticas son en su mayoría informales. Se ha comunicado la necesidad de
políticas, procedimientos y estándares de control, pero la elaboración se delega a la
consideración de los responsables de los proyectos. La calidad se reconoce como una
filosofía deseable a seguir, pero no se ha formalizado. La comunicación hacia los usuarios
relevantes no siempre es efectiva.
Observaciones: El ambiente de control de TI es incompleto. Existen algunas disposiciones
pero no todas se cumplen.
25
Presupuesto del año 2012Total DNM: $551.284.620, DGSyTI: $33.504.392
Presupuesto del año 2013 DNM: $758.184.001, DGSyTI: $33.543.137 (Fuente: Dirección General de
Administración de la DNM).
30
INFORME DE AUDITORIA
Faltan políticas formalizadas del ambiente de control que se puedan tomar como marco de
referencia y que sean parte de un programa de comunicación continua al personal
relevante, referidas a:

Planificación de Proyectos y su seguimiento

Programa de Aseguramiento de la Calidad

Administración de riesgos

Documentación en general
que tenga como objetivo maximizar la entrega de valor de TI a los objetivos estratégicos
del organismo, mientras se minimizan los riesgos.
4.1.7 Administrar los recursos humanos de TI
Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación
y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que
apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la
terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno
depende fuertemente de la motivación y competencia del personal.
Este objetivo de control afecta a la efectividad y a la eficiencia.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Repetible. Existe un enfoque táctico para contratar y administrar al
personal de TI, dirigido por necesidades específicas de proyectos. Se imparte
entrenamiento informal al personal nuevo, quienes después son capacitados según las
necesidades que se presenten.
Observaciones: La ley 25.164 -Ley marco de Regulación de Empleo Público Nacionaldetermina diferentes modalidades de contratación:

Con sujeción al régimen de estabilidad;

Con sujeción al régimen de contrataciones por tiempo determinado; y
31
INFORME DE AUDITORIA

Con sujeción al régimen para el personal de gabinete o ad honorem.
La DNM adhiere al Convenio Colectivo General para la Administración Pública Nacional
(Decreto 214/2006).
Al momento de los trabajos de campo, en el organismo el 89,55% del personal pertenece a
la Planta Transitoria.26 En este orden, el personal de la Dirección General de Sistemas y
Tecnologías de la Información (DGSyTI) en su mayoría es contratado bajo la modalidad
“transitorio/permanente”. La perpetuidad en esta modalidad de contratación, pensada para
situaciones transitorias o estacionales,27 desvirtúa la naturaleza jurídica de la misma,
provocando situaciones desfavorables para los agentes dentro del organismo. La
percepción del plus informático sólo es exclusiva del Personal de Planta Permanente.
La falta de personal y de formalización de los marcos de trabajo (políticas, procedimientos,
documentaciones varias) genera una alta exposición a dependencias críticas sobre
individuos clave.
4.1.8 Administrar la calidad
Objetivo de control: Se debe elaborar y mantener un sistema de administración de
calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto
se facilita por medio de la planeación, implantación y mantenimiento del sistema de
administración de calidad, proporcionando requerimientos, procedimientos y políticas
claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con
indicadores cuantificables y alcanzables. La mejora continua se logra por medio del
constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los
26
La Dirección Nacional de Migraciones cuenta aproximadamente con 3885 empleados, de los cuales 406
(10,45 % del total del personal) pertenecen a Planta Permanente. En la DGSyTI sólo 4 de 67 agentes
pertenecen a la planta permanente (el 5,97%).
27
El art. 9º del citado texto normativo regla: “El régimen de contrataciones de personal por tiempo
determinado comprenderá exclusivamente la prestación de servicios de carácter transitorio o estacionales no
incluidos en las funciones propias del régimen de carrera, y que no puedan ser cubiertos por personal de
planta permanente…”.
32
INFORME DE AUDITORIA
interesados. La administración de calidad es esencial para garantizar que la TI está dando
valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los
interesados.
Este objetivo de control afecta, primariamente a la efectividad y a la eficiencia, y en forma
secundaria a la integridad y la confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de
un Sistema de Administración de la Calidad (SAC) en relación a TI. Se realizan juicios
informales sobre la calidad.
Observaciones: No existen políticas ni un sistema de administración de calidad
relacionado con TI que establezca estándares para medirla y monitorearla. Esto impide
identificar desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a
los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos
del Organismo.
4.1.9 Evaluar y administrar los riesgos de TI
Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración
de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,
estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre
las metas estratégicas del Organismo causado por algún evento no planeado se debe
identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para
minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe
ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable
de tolerancia.
33
INFORME DE AUDITORIA
Este objetivo de control afecta, primariamente a la confidencialidad, la integridad y la
disponibilidad, y en forma secundaria a la efectividad, la eficiencia, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI
son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de
manera ad hoc. Se realizan evaluaciones informales según lo determine cada proyecto. Los
riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad
se toman en cuenta ocasionalmente proyecto por proyecto.
Observaciones: No existe un marco de administración de riesgos que permita
identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o
resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia.
Informalmente los riesgos tecnológicos se conocen, pero falta la formalización del
contexto de riesgo y su evaluación formal de manera tal de contemplar las fortalezas, las
oportunidades, las debilidades y las amenazas.
El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden
generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso.
4.1.10 Administrar proyectos
Objetivo de control: Establecer un programa y un marco de control administrativo de
proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe
garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.
El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de
entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de
la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación
para garantizar la administración de la ejecución del proyecto y su contribución a los
34
INFORME DE AUDITORIA
objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y
de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles
decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los
proyectos, y maximiza su contribución a los programas de inversión en TI.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Repetible. La alta dirección ha tomado conciencia y comunicado la
necesidad de la administración de los proyectos de TI. La organización está en proceso de
desarrollar y utilizar algunas técnicas y métodos. Los proyectos de TI han definido
objetivos técnicos y de negocio de manera informal. Hay participación limitada de los
interesados en la administración de los proyectos de TI. Las directrices iniciales se han
elaborado para muchos aspectos de su administración.
Observaciones:
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos, pero no se lo
aplica en todos los casos. 28
El marco de trabajo actual no permite inferir cómo se abordan aspectos tales como:

Costos, plazos, hitos a cumplir, alcance, recursos afectados

Parámetros definidos en el sistema de administración de la calidad.

El control de cambios de modo tal que todas las modificaciones a la línea base se
revisen, aprueben e incorporen al plan integrado de acuerdo al marco de trabajo.

El monitoreo del desempeño contra los criterios clave previamente definidos en el
sistema de calidad.
28
Disposición 1678 cuya última versión es del 24/07/2012
35
INFORME DE AUDITORIA
4.2. ADQUIRIR E IMPLEMENTAR
4.2.1 Identificar soluciones automatizadas
Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis
antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen
con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,
considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y
económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión
final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el
costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro
de los objetivos.
Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria a la
eficiencia.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existen enfoques claros y estructurados para
determinar las soluciones de TI. El proceso para determinar las soluciones de TI se aplica
en base a factores tales como las decisiones tomadas por el personal involucrado, la
cantidad de tiempo disponible, el tamaño y prioridad del requerimiento.
Sin embargo, el marco de trabajo es incompleto. Faltan consideraciones relativas a la
formalización de cómo se consideraron la factibilidad, el riesgo, la asignación de costos,
las prioridades, la asignación de recursos y el beneficio esperado de la solución adoptada.
Observaciones:
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos29(MPPI) que
contempla etapas del Ciclo de Vida de Desarrollo de Sistemas, tales como: la
administración de los requerimientos, estudios de factibilidad, evaluación de los distintos
cursos alternativos posibles de acción, análisis de riesgo, asignación de prioridades,
recursos y consentimiento de los usuarios relevantes, pero no se aplica en todos los casos.
29
Disposición 1678 cuya última versión es del 24/07/2012
36
INFORME DE AUDITORIA
En el MPPI, contempla un formulario estándar para realizar un requerimiento a ser
evaludao, pero no siempre se lo utiliza en la práctica. Otros medios tales como correo
electrónico, notas u otros suelen ser también admitidos para cambios considerados
menores.
Falta establecer un marco de trabajo que sirva para la administración de requerimientos
informáticos, que permita organizarlos, clasificarlos, otorgar prioridades, asignar recursos
y calcular costos.
Las áreas solicitantes o usuarias participan en la etapa de prueba sin quedar registros de
ello, ya que no hay un procedimiento que determine cómo se documentarán las mismas.
4.2.2 Adquirir o desarrollar y mantener software aplicativo
Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo
y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la
operatividad de forma apropiada con las aplicaciones correctamente automatizadas.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad y confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia de la necesidad de contar con un proceso de
adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y
mantenimientos de software aplicativo varían de un proyecto a otro.
Observaciones:
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos30 (MPPI) que
contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de Sistemas
30
Disposición 1678 cuya última versión es del 24/07/2012
37
INFORME DE AUDITORIA
(CVDS) incorporando documentaciones tales como: alcance, requerimientos, diseño,
pruebas, e implementación pero no se aplica en todos los casos y el marco de trabajo es
incompleto ya que no se definieron estándares de documentación como los protocolos de
aceptación a aplicar en cada etapa. Por lo tanto se infiere que es una formulación de una
política a aplicar pero no un manual de procedimiento.
A falta de un Sistema de Administración de Calidad (SAC), no se realiza gestión de
aseguramiento de ésta en las distintas etapas del CVDS.
En relación al control y la posibilidad de auditar los desarrollos de aplicaciones, existe un
débil cumplimento de la política formulada, sumada a la falta de especificidad de ésta en
temas tales como: la documentación en las distintas etapas de los proyectos, reportes de
seguimiento, pistas de auditoría, el control del código fuente, mediciones sobre la
satisfacción de usuarios y una definida metodología de desarrollo.
La documentación existente se encuentra desactualizada e incompleta.31
La falta de un entorno de desarrollo integrado permite que existan redundancias o
inconsistencias de datos.32
No está definido el marco de trabajo de los pases de entorno de “Desarrollo”, a “Pruebas”,
y de ésta última a “Producción”.
4.2.3 Adquirir y mantener infraestructura tecnológica
Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado de acuerdo
con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y
31
Por ejemplo, el “Plan de Proyecto” suministrado a este equipo de auditoría corresponde a la versión 6 del
S.I.Ca.M, cuando la vigente es la versión 7 (aprobada por Disp.1936/2012).
32
A modo de ejemplo, los sistemas S.I.Ca.M y S.Ad.Ex presentan tablas en uno y otro sistema que podrían
ser comunes, como las tablas de Pasos Fronterizos, Países, Delegaciones u otras. Queda abierta así la
posibilidad de que alguno de estos conceptos sea actualizado en un sistema y no en otro.
38
INFORME DE AUDITORIA
pruebas, lo que contribuye con la existencia de un soporte tecnológico continuo para las
aplicaciones.
Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la
efectividad, la integridad y la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura sin ningún plan
integral. Aunque se tiene la percepción de que la infraestructura de TI es importante, no
existe un enfoque general consistente. La actividad de mantenimiento se realiza en forma
reactiva a necesidades de corto plazo.
Observaciones:
No hay un plan de infraestructura tecnológica que considere aspectos tales como
adquisiciones, implementaciones, planeamiento de la capacidad para necesidades futuras,
costos de transición, riesgo tecnológico y vida útil de la capacidad existente como
contribución de TI para alcanzar los objetivos estratégicos del Organismo.
Los sistemas principales están sostenidos por una infraestructura tecnológica instalada en
los diferentes pasos fronterizos, delegaciones y administración central conectados a través
de una red MPLS33 para intercambio de datos. Esta infraestructura comprende la
administración de 62 servidores en sede central, 111 servidores en el interior del país,
switches, estaciones de trabajo, impresoras y scanners.
No hay un plan de mantenimiento preventivo sobre la infraestructura detallada del
equipamiento instalado en los distintos puntos mencionados anteriormente, en base a un
diagnóstico previo que incluya las garantías de los proveedores de tecnología. Otro aspecto
relevante es la ausencia de un sistema de stock y registro de repuestos.
33
Multi-Protocol Label Switching
39
INFORME DE AUDITORIA
4.2.4 Facilitar la operación y el uso
Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generación de documentación y manuales para usuarios y TI, y
proporcionar entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad, la disponibilidad, el cumplimiento y la confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existe un esquema bien definido, aceptado y
comprendido para documentación del usuario. Se guardan y se mantienen los
procedimientos en un repositorio formal y cualquiera que necesite saber tiene acceso a él.
Las correcciones a la documentación y a los procedimientos se realizan por reacción. Los
procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en
caso de desastre. No existe un proceso que especifique las actualizaciones de
procedimientos y los materiales de entrenamiento ante un cambio. Los usuarios se
involucran en los procesos informalmente. Cada vez se utilizan más herramientas
automatizadas en la generación y distribución de procedimientos.
Observaciones:
Existen manuales de usuario y hay coordinación con las áreas de Recursos Humanos para
la capacitación del usuario final. Sin embargo, para los casos de cambios o actualizaciones
de los aplicativos, falta un procedimiento que determine la forma en que el usuario tome
conocimiento En ese sentido, la comunicación de cambios es informal.
En relación a la transferencia de conocimientos al personal de operaciones y soporte, se
basa en información de calidad variable no estandarizada.
40
INFORME DE AUDITORIA
4.2.5 Adquirir recursos de TI
Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware,
software y servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI
que se requieren de una manera oportuna y rentable.
Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la
efectividad y el cumplimiento.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Parcialmente Definido. La administración establece políticas y
procedimientos para la adquisición de TI. Las políticas y procedimientos toman como guía
el proceso general de adquisición de la organización. La adquisición de TI se integra en
gran parte con los sistemas generales de adquisición del organismo. Existen estándares de
TI para la adquisición de recursos. Los proveedores de recursos de TI se integran dentro de
los mecanismos de administración de proyectos de la organización desde una perspectiva
de administración de contratos. La administración de TI comunica la necesidad de contar
con una administración adecuada de adquisiciones y contratos en toda la función de TI.
Observaciones:
El organismo cumple con las normas jurídicas correspondientes al Régimen de
Contrataciones de la Administración Pública Nacional.34
34
Decreto Delegado Nº 1023/2001 (Régimen de Contrataciones del Estado Nacional), Decreto Nº 436/2000
(Reglamento para la Adquisición, Enajenación y Contratación de Bienes y Servicios del Estado Nacional).
Ley N˚ 24.156 (Ley de Administración Financiera y Sistemas de Control del Sector Público Nacional); Ley
N˚ 25.188 (Ética en la Función Pública); Ley N˚ 25.551 (Compre Trabajo Argentino); Decreto Nº 1818/2006
(Sistema Electrónico de Contrataciones Públicas); Resolución SIGEN Nº 79/2005 (Sistema de Precios
Testigo); Ley 24.759 Convención Interamericana Contra la Corrupción Artículo 5 inc. 3 de la aplicabilidad
de medidas preventivas destinadas a crear, mantener y fortalecer sistemas para la adquisición de bienes y
servicios por parte del Estado que aseguren publicidad, equidad y eficiencia y el Artículo 9 referido a los
41
INFORME DE AUDITORIA
Sin embargo, falta formular un marco de trabajo que permita medir
el grado de
cumplimiento de los contratos y que en relación a este análisis, contribuya a mejorar,
modificar o concluir contratos que apliquen a todos los proveedores, que abarque:
responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de
desempeño, así como obligaciones y cláusulas de penalización por incumplimiento cuando
no cumplan los acuerdos de niveles de servicios previamente establecidos.
4.2.6 Administrar cambios
Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y
actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formal y controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y
autorizar previo a la implantación y contrastar contra los resultados planeados después de
la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la
estabilidad o integridad del ambiente de producción.
Este objetivo de control afecta, primariamente a la efectividad, la eficiencia, la integridad y
la disponibilidad, y en forma secundaria a la confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Se reconoce que los cambios se deben administrar y controlar.
Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Existe
documentación para los cambios pero es insuficiente. Es posible que ocurran errores junto
con interrupciones al ambiente de producción, provocados por la administración de
cambios.
valores mínimos que cada Estado parte deberá considerar a la hora de establecer los sistemas de contratación
pública basados en la transparencia, competencia y criterios objetivos para la adopción eficaz de decisiones.
42
INFORME DE AUDITORIA
Observaciones: No hay procedimientos formales para la administración de cambios que
establezcan un tratamiento estandarizado de todas las solicitudes de mantenimiento y
actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema.
Tampoco existe un procedimiento alternativo y formal para atender situaciones de
emergencia.
Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente.
Pueden surgir errores a partir de cambios no autorizados y/o no probados a los sistemas de
información.
No se ha contemplado el tratamiento de cambios producidos por cuestiones no funcionales,
tales como cuestiones técnicas (performance y otros) o de seguridad.
4.2.7 Instalar y acreditar soluciones y cambios
Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su
desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.
Esto garantiza que los sistemas operacionales estén en línea con las expectativas
convenidas y con los resultados.
Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la
eficiencia, la integridad y la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Repetible. Existe cierta consistencia entre los enfoques de prueba y
acreditación, pero no se basan en ninguna metodología estandarizada. Los equipos
individuales de desarrollo deciden normalmente el enfoque de prueba y casi siempre hay
ausencia de pruebas de integración. Hay un proceso de aprobación informal.
Observaciones:
43
INFORME DE AUDITORIA
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) que
contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de Sistemas
(CVDS) con documentaciones tales como: alcance, requerimientos, diseño, pruebas, e
implementación, pero no se aplica en todos los casos. Además, el marco de trabajo es
incompleto, ya que no se encuentran definidos los estándares de documentación, como los
protocolos de aceptación a aplicar en cada etapa. En consecuencia, el manual constituye
una política a implementar más que un catálogo de procedimientos.
No existe un marco de trabajo (procedimientos formales) para realizar las pruebas donde
estén definidos los roles, responsabilidades y criterios aceptados. La política establecida en
el MPPI sugiere la posibilidad de pasar del entorno de desarrollo al de producción, sin
pasar por el de pruebas.
Por otra parte, las pruebas se llevan a cabo mediante la duplicación de datos, sin que se
tomen los debidos recaudos para enmascarar o convertir los datos sensibles sobre las
personas.
Tampoco se especifica quienes son los responsables del pasaje de las aplicaciones y los
datos entre los distintos entornos (desarrollo, prueba y producción)
4.3. ENTREGAR Y DAR SOPORTE
4.3.1 Definir y administrar los niveles de servicio
Objetivo de control: La máxima autoridad debe definir un marco que promueva el
establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño
en virtud de los cuales se medirá su cantidad y calidad.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
44
INFORME DE AUDITORIA
Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de
servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de
cuentas para la definición y la administración de servicios no están definidas. Si existen las
medidas para medir el desempeño, son solamente cualitativas, con metas definidas de
forma imprecisa.
Observaciones:
Existe un marco de trabajo que define formalmente los niveles de servicio entre el usuario
y DGSyTI. Dicho marco mantiene una alineación con los requerimientos y las prioridades
del organismo y facilita el entendimiento común.
El marco cuenta con definiciones de servicio, acuerdos de niveles de operación
(especificaciones técnicas del servicio a recibir), las fuentes de financiamiento y los
acuerdos de niveles de servicio.35 No incluye, sin embargo, procesos para la creación de
futuros requerimientos de servicio.
No hay personal dedicado al seguimiento del cumplimiento de la prestación del servicio, ni
una política y procedimientos específicos sobre qué hay que medir (disponibilidad,
desempeño, carga de trabajo, capacidad), ni las acciones que se deben tomar con el
propósito de minimizar el riesgo de interrupciones.
Estos atributos no están organizados en un catálogo de servicios.
4.3.2 Administrar servicios de terceros
Objetivo de control: La máxima autoridad debe implementar medidas de control
orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para
garantizar la eficacia y el cumplimiento de la política del Organismo.
35
Un acuerdo de nivel de servicio es un convenio entre un proveedor de servicio y los usuarios con objeto de
fijar el nivel acordado para la calidad de dicho servicio. Proporciona un marco de entendimiento que ayuda a
ambas partes a llegar a un consenso en términos del nivel de calidad del servicio.
45
INFORME DE AUDITORIA
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad
de tener políticas y procedimientos documentados para la administración de los servicios
de terceros, incluyendo la firma de contratos. La medición de los servicios prestados es
informal y reactiva.
Observaciones: No existe un marco de trabajo para administrar los servicios de terceros.
Esto comprende la formalización del proceso de administración de relaciones con
proveedores, su clasificación y el monitoreo de la prestación brindada en base a los niveles
de servicio acordados.
No hay personal dedicado a esta función, para asegurar que el proveedor está cumpliendo
con los requerimientos convenidos y que adhiere continuamente a los acuerdos del
contrato.
En relación a mantener un efectivo servicio de entrega en forma segura, no se encuentran
identificados los riesgos de no cumplimiento, lo que no permite definir las acciones a
seguir con el fin de mitigarlos.
4.3.3 Administrar el desempeño y la capacidad
Objetivo de control: Se debe implementar un proceso de administración orientado a la
recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los
recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la
demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades
futuras, almacenamiento y contingencias, y garantizar que los recursos de información que
soportan los requerimientos del Organismo estén disponibles de manera continua.
46
INFORME DE AUDITORIA
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible. Se utilizan herramientas para diagnosticar problemas de
desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia
de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o
consideración sobre situaciones de carga pico y peor-escenario. Los problemas de
disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho
tiempo diagnosticarlos y corregirlos.
Observaciones:
La planeación del desempeño y la capacidad es intuitiva. No resulta de un proceso de
monitoreo de la infraestructura de TI presente y su proyección futura.
No hay personal dedicado al monitoreo de la infraestructura, ni una política y
procedimientos específicos sobre lo que hay que medir (disponibilidad, desempeño, carga
de trabajo, capacidad), ni la fijación de acuerdos de nivel de servicios, ni las acciones que
se deben tomar para balancear la carga de trabajo, dar prioridad a ciertas tareas o reasignar
de recursos con el propósito de minimizar el riesgo de interrupciones del servicio.
No se elaboran informes de control asociados entre la capacidad y el desempeño. Éstas se
transmiten a través de canales informales (reuniones de evaluación entre los equipos de la
Dirección de Tecnología y Comunicaciones y la Dirección de Aplicaciones Informáticas).
Esta situación no permite planificar con precisión las necesidades futuras, ni tomar
acciones preventivas para evitar la degradación del servicio ante los posibles incrementos
en la demanda.
47
INFORME DE AUDITORIA
4.3.4 Garantizar la continuidad del servicio
Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la
continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones
y brindar entrenamiento periódico.
Este objetivo de control afecta, primariamente a la efectividad y la disponibilidad, y en
forma secundaria a la eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial. Las responsabilidades sobre la continuidad de los servicios son
informales y la autoridad para ejecutar responsabilidades es limitada. La máxima autoridad
de TI es consciente de los riesgos relacionados y de la necesidad de mantener continuidad
en los servicios. La respuesta de TI a las interrupciones mayores es reactiva.
Observaciones: No existe un plan de contingencia formalizado que garantice la
continuidad de servicios de TI diseñado para reducir el impacto de la interrupción de
procesos críticos. La disposición DNM 19.057 del 9 de mayo de 2006 instruye sobre la
garantía que debe existir en la continuidad del servicio y la necesidad de la existencia de un
plan de contingencia, pero al momento de los trabajos de campo de esta auditoría dichos
planes no se habían formalizado para la administración central.
Tampoco hay planes de contingencia formalizados en las delegaciones y en los puestos de
control fronterizos.
El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos
que pudieran ocasionar la interrupción de los servicios.
4.3.5 Garantizar la seguridad de los sistemas
Objetivo de control: La necesidad de mantener la integridad de la información y de
proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este
48
INFORME DE AUDITORIA
proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas,
estándares y procedimientos de TI. La administración de la seguridad también incluye la
implementación de los controles de acceso lógico que garantizan que el ingreso a los
sistemas, datos y programas está limitado a los usuarios autorizados. También involucra
los monitoreos y pruebas periódicas así como acciones correctivas sobre las debilidades o
incidentes identificados.
Este objetivo de control afecta, primariamente la confidencialidad y la integridad, y en
forma secundaria la disponibilidad, el cumplimiento y la confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible. Las responsabilidades y la rendición de cuentas sobre la
seguridad, están asignadas a un coordinador, pero su autoridad es limitada. La conciencia
sobre la necesidad de la seguridad está fraccionada y no cubre todos los aspectos. Aunque
los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.
Los servicios de terceros pueden no cumplir con los requerimientos específicos de
seguridad de la empresa. Las políticas de seguridad se han estado desarrollando, pero las
herramientas y las habilidades son insuficientes. La habilitación sobre seguridad está
disponible pero depende principalmente de la iniciativa de individuos claves.
Observaciones:
El organismo no ha definido la administración de Seguridad a un nivel jerárquico
apropiado que permita, a partir de roles y responsabilidades adecuadamente definidos, el
establecimiento de un marco de trabajo de manera tal de mantener la integridad de la
información y de la infraestructura de procesamiento, así como minimizar el impacto de las
vulnerabilidades e incidentes de seguridad.
La función del responsable de seguridad no está formalmente definida en el organigrama
del organismo. Actualmente está a cargo de un funcionario afectado a otras tareas críticas e
49
INFORME DE AUDITORIA
incompatibles con esta función.36 Esta superposición de tareas también produce que el
responsable de seguridad no participe ni esté comunicado en la definición y autorización
de los accesos de los usuarios.
De tal modo se debilitan los aspectos centrales que refieren a la seguridad y eficiencia,
derivando en la falta de desarrollo o mejora de procedimientos específicos de control tales
como:

derechos de acceso y sus perfiles,

la existencia única de ingreso a la red y aplicativos por parte de los usuarios,

la definición del responsable de los datos e información almacenada en las bases de
datos,

revisiones de las cuentas y privilegios,

inhabilitación de tiempo sin actividad,

testing de penetración,

uso de puertos USB,37
entre otros.
Los “Términos y condiciones de uso” que se encuentran en la página Web institucional
refieren al acceso a los diversos sistemas, y plasma recomendaciones para el uso de las
cuentas de usuarios, explicita las mejores prácticas en el uso de correo electrónico y realiza
recomendaciones para evitar el phishing.38 No obstante, falta formalizar la lectura y
consentimiento del usuario.
36
A través de la disposición 683/2012 se nombró al Coordinador de Aplicaciones Informáticas a cargo de la
Seguridad.
37
USB Universal Serial Bus, es un puerto estándar industrial que define los cables, conectores y protocolos
usados para conectar, comunicar y proveer de alimentación eléctrica entre computadoras, periféricos y
dispositivos electrónicos
38
Es un término que denomina un modelo de abuso informático que se comete mediante el uso de un tipo de
ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.
50
INFORME DE AUDITORIA
A pesar de la integración en 2006 del Comité de Seguridad Informática,39 aún no se han
generado informes de control referentes a la seguridad lógica o accesos indebidos a la red,
tanto de usuarios comunes como de personal de la DGSyTI.
En cuanto a los servidores Linux, su administrador está designado en el Departamento de
Enlace y Comunicaciones siendo que la responsabilidad por la administración de los
servidores recae sobre el Departamento de Tecnología.
De las pruebas realizadas sobre el servidor de producción donde está alojada la página
Web institucional, se verificó la existencia de los siguientes perfiles de usuarios:

Desarrolladores de aplicaciones con perfiles de Administrador de Base de Datos en
el ambiente de Producción,

Genéricos con perfil Administrador de Base de Datos con acceso al ambiente de
Producción, y

Otros usuarios genéricos.
4.3.6 Identificar y asignar costos
Objetivo de control: Se debe implementar un sistema de imputación de costos que
garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle
requerido y el ofrecimiento de servicio adecuado.
Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y
reportar costos de TI a los usuarios de los servicios.
Este objetivo de control afecta a la eficiencia y la confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
39
El Comité de Seguridad Informática se conformó en el año 2006 integrado por las Direcciones del
Organismo. Han realizado diversas acciones según surgen de las mismas actas, hasta la última reunión
celebrada durante el año 2013. Entre las principales acciones fue aprobar una Política de Seguridad de la
Información y la designación de un responsable según lo dispuesto por la Disp. DNM 19057/2006 en
concordancia a lo resuelto en la Disp. de la ONTI 6/2005 y que aún no fue actualizada al último modelo
(Disp. ONTI 3/2013).
51
INFORME DE AUDITORIA
Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los
servicios de información, pero no hay una distribución de costos por usuario, cliente,
departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. El marco
de monitoreo de los costos de TI es débil e incompleto.
Observaciones: No hay un marco de trabajo de administración por centro de costos, en
función del uso de TI para cada una de las dependencias del organismo, que esté alineado
con los procedimientos de contabilización y medición financiera que incluya costos
directos, indirectos, fijos y variables, y que garantice que los cargos para los distintos
servicios sean identificables para su monitoreo.
El aplicativo contable en uso (SIDIF40) no prevé una clasificación de cuentas específica
para las partidas aplicadas a TI. En consecuencia, se debe recurrir a procesos manuales por
fuera de este sistema para obtener la información que las refleje. En el caso del Sistema de
Patrimonio,41 se identificó equipamiento fuera de uso y pendiente de baja asignados a TI,
lo que brinda información inexacta sobre los activos asignados al área.
4.3.7 Educación y capacitación de los usuarios
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada
grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para
llevar a cabo un entrenamiento efectivo y para medir los resultados.
Este objetivo de control afecta, primariamente a la eficacia y en forma secundaria a la
eficiencia.
40
SIDIF: SISTEMA INTEGRADO DE INFORMACIÓN FINANCIERA de acuerdo a la Ley 24.156 de
Administración Financiera y de los Sistemas de Control del Sector Público Nacional.
41
Este sistema de control patrimonial permite inventariar todos los bienes que la organización considere de
consumo durable (esto suele excluir bienes de bajo costo o consumibles en el ejercicio). Los bienes se rotulan
con una etiqueta inviolable, que contiene información alfanumérica y con código de barras, Esta información
es leída por lectores colectores y procesada por un software de administración que emite reportes sobre su
ubicación física actual y sobre las altas, bajas y faltantes de cada uno de los bienes.
52
INFORME DE AUDITORIA
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Definido. El programa de entrenamiento y educación se
institucionaliza y comunica, y los empleados y gerentes identifican y documentan las
necesidades de entrenamiento. Los procesos de entrenamiento y educación se estandarizan
y documentan. Para soportar el programa de entrenamiento y educación, se establecen
presupuestos, recursos, instructores e instalaciones. La mayoría de los procesos de
entrenamiento y educación son monitoreados, pero no todas las desviaciones son
susceptibles de detección por parte de la gerencia. El análisis sobre problemas de
entrenamiento y educación solo se aplica de forma ocasional.
Observaciones:
La planificación de la capacitación se lleva a dos niveles: hay un Plan Anual de
Capacitación (PAC) que forma parte de un Plan Estratégico de Capacitación Trianual
(PEC).
Las necesidades que exponen las distintas direcciones del organismo constituyen parte del
PAC. El criterio de elección de los cursos a ser brindados es definido por el Área de
Capacitación y de la Dirección de Recursos Humanos.
En relación a la capacitación de las aplicaciones informáticas, los conocimientos son
impartidos por analistas funcionales de la Dirección General de Sistemas y Tecnologías de
Información.
4.3.8 Administrar la mesa de servicio y los incidentes
Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los
usuarios de TI requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso
de administración de incidentes. Este proceso incluye la creación de una función de mesa
de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causaraíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la
53
INFORME DE AUDITORIA
resolución rápida de consultas. Además, permite identificar la causa raíz a través de un
proceso de reporte efectivo.
Este objetivo de control afecta a la efectividad y la eficacia.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Inicial. La gerencia reconoce que requiere un proceso soportado por
herramientas y personal para responder a las consultas de los usuarios y administrar la
resolución de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se
brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios, los
incidentes o las tendencias. No existe un proceso de escalamiento para garantizar que los
problemas se resuelvan.
Observaciones:
No existe un marco estructurado y formalizado para el tratamiento de incidentes.
La atención se encuentra concentrada en la administración central. Para incidentes en el
interior (delegaciones, puestos fronterizos) que requieran la presencia física de personal
técnico, se dispone de una estructura conformada con personal de estas características a
nivel de las nueve regiones en las que se encuentra dividido el país.
Los requerimientos llegan por distintos medios: correos electrónicos, llamados telefónicos,
notas y otros. Se cargan en una planilla de cálculo y se procede a derivar al personal
correspondiente.
La falta de un marco estructurado posibilita que:

No se registren todos los incidentes, especialmente los que se producen en el
interior. Como consecuencia de esto, no se cuenta con información completa para
analizar posteriormente, tales como: porcentaje de incidentes resueltos dentro de un
tiempo aceptable/acordado, nivel satisfacción del usuario, alimentación de una base
de conocimientos42 y otros.
42
La base de conocimientos sirve para almacenar soluciones estándar para problemas comunes. Es usual que
se alimente a medida que se generan soluciones ante la aparición de incidentes con una cierta frecuencia. De
54
INFORME DE AUDITORIA

No se fijen acuerdos de nivel de servicio.43

No se alimente una base de conocimientos, donde se registren soluciones estándar
para determinados problemas en particular

No se realicen encuestas de satisfacción de usuarios, lo que permitiría saber su
grado de conformidad respecto del servicio.

No se realice el seguimiento del estado del incidente.

No se emitan reportes o consultas con estadísticas que permitan sacar conclusiones.
4.3.9 Administrar la configuración
Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen
y registren todos los bienes tangibles e intangibles –lo que incluye licencias de software
adquirido o de propia producción– de Tecnología de la Información, con su ubicación
física. Estos procedimientos deben incluir la recolección y registro de información de la
configuración inicial, el establecimiento de normas que prohíban movimientos y
modificaciones no autorizadas, la verificación y auditoría de la información de la
configuración y la actualización del repositorio de configuración conforme se necesite.
Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la
eficiencia, la disponibilidad y la confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial. Se reconoce la necesidad de contar con una administración de
configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales
este modo, frente a una nueva situación de este tipo, el operador de la Mesa de Ayuda puede consultarla, y de
encontrarse la solución ya almacenada (la cual debe haber sido homologada técnicamente), se procede a
accionar en función de ésta, que ha sido implementada anteriormente en forma exitosa.
43
Un acuerdo de nivel de servicio es un convenio escrito entre un proveedor de servicio y su usuario final,
con el objeto de fijar el nivel acordado para la calidad del mismo. Es una herramienta que ayuda a ambas
partes a llegar a un consenso en términos de prestación.
55
INFORME DE AUDITORIA
como mantener inventarios de hardware y software pero de manera individual. No están
definidas prácticas estandarizadas.
Observaciones: Los bienes de Tecnología de la Información se registran parcialmente a
través de un Sistema de Patrimonio de uso exclusivo de la Dirección Gral. de
Administración y que abarca solamente bienes adquiridos a terceros con recursos
presupuestarios, aunque no las licencias de software. Paralelamente la DGSyTI mantiene
información similar en una planilla de cálculo, sin acceso al sistema de patrimonio antes
mencionado. En esta planilla de cálculo se registran los servidores centrales, como así
también los que están en los pasos fronterizos. En el caso específico de las estaciones
usadas para control migratorio se asigna la responsabilidad patrimonial a cada Delegación
local. En este sentido, también está a su cargo el mantenimiento, reparación y
reconfiguración del equipo por parte de los informáticos locales. Sin embargo, no está
previsto algún procedimiento que registre el evento, justifique la acción sobre el equipo y
el eventual reemplazo de componentes internos. No existe un sistema de control de stock
de repuestos a nivel central, con control de la DGSyTI.
No se constató que se mantenga una biblioteca de las aplicaciones desarrolladas
internamente como parte de los activos organizacionales de TI.
4.3.10 Administración de problemas
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y de respuesta a todos los incidentes. El proceso también incluye la identificación
de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus
de las acciones correctivas.
Este objetivo de control afecta, primariamente a la eficacia y la eficiencia, y en forma
secundaria a la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
56
INFORME DE AUDITORIA
Nivel de madurez: Inicial. Los individuos reconocen la necesidad de administrar los
problemas y de revolver las causas de fondo. Algunos individuos expertos clave brindan
asesoría sobre problemas relacionados a su área de experiencia.
Observaciones:
El proceso de resolución de problemas no se encuentra bajo un marco estructurado y
formalizado para su tratamiento.
Al igual que para el caso del tratamiento de incidentes, faltan procedimientos aprobados
formalmente que contemplen las distintas etapas de la administración de problemas:
evaluación de impacto, asignación de prioridad, escalabilidad, tratamiento, rastreo,
resolución, conformidad de usuario y monitoreo.
4.3.11 Administración de Datos
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información para asegurar que los datos permanezcan durante su entrada, actualización y
almacenamiento completos, precisos y válidos. El proceso de administración de
información también incluye el establecimiento de procedimientos efectivos para
administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así
como su eliminación apropiada.
Este objetivo de control afecta a la integridad y la confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible. A lo largo de toda la organización existe conciencia sobre la
necesidad de una adecuada administración de los datos. A un alto nivel empieza a
observarse la propiedad o responsabilidad sobre los datos. Los requerimientos de seguridad
para la administración de datos son documentados por individuos clave. Se lleva a cabo
algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración
57
INFORME DE AUDITORIA
de datos (respaldos, recuperación y desecho). Las responsabilidades para la administración
de datos son asignadas de manera informal a personal clave de TI.
Observaciones:
Falta formalizar un marco de trabajo para administrar datos. Las tareas se llevan a cabo en
forma intuitiva.
No existen procedimientos formalizados para:

Administrar las bibliotecas de medios de almacenamiento, respaldo, retención,
recuperación y eliminación de datos.

Resguardar la seguridad en relación al recibo, procesamiento, almacenamiento y
salida de datos, para que cumpla con las políticas de seguridad de la organización y
los requerimientos regulatorios.

Determinar una clasificación por criticidad, impacto o requerimientos de seguridad
alineados al plan de continuidad.
4.3.12 Administración del Ambiente Físico
Objetivo de control: La protección del equipo de cómputos y del personal requiere de
instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y
físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto
funcionamiento.
Este objetivo de control afecta, a la integridad y a la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez:

Centro de Procesamiento de Datos de la Administración Central y Delegaciones
Repetible. Los controles ambientales se implementan y monitorean por parte del
personal de operaciones. La seguridad física es un proceso informal, realizado para
asegurar las instalaciones físicas. Los procedimientos de mantenimiento de
58
INFORME DE AUDITORIA
instalaciones no están bien documentados y dependen de las buenas prácticas de
algunos individuos.

Pasos de Control Fronterizos (PCF)
No Conforma. No hay conciencia sobre la necesidad de proteger las instalaciones o
la inversión en recursos de TI. Los factores ambientales tales como protección
contra fuego, polvo, tierra y exceso de calor y humedad no se controlan ni se
monitorean.
Observaciones:
Se hace necesario diferenciar en este punto entre la situación del Centro de Procesamiento
de Datos de la Administración Central y los servidores locales y controladores de
comunicaciones instalados en los distintos puntos del país. En cuanto a los últimos, se
presentan diversos problemas producto de que deben funcionar en emplazamientos
antiguos, de baja calidad de mantenimiento, sin las dimensiones apropiadas y en algunos
casos compartiendo el espacio con agentes de la Dirección Nacional de Aduanas y el
Servicio Nacional de Sanidad y Calidad Agroalimentaria (SENASA). Se presentan
también circunstancias en las cuales las instalaciones edilicias son suministradas por
organismos de migraciones de los países fronterizos.
En ese sentido, el ambiente de TI presenta vulnerabilidades que en ocasiones están sujetas
a decisiones multijuridiccionales44. ,
Las principales observaciones de algunos PCF visitados son:

Cortes de energía. Gran parte se encuentran sometidos a cortes de energía
frecuentes. En tal sentido, no todos tienen:
o Instalación
eléctrica
apropiada
que
cumpla
con
las
normas
y
reglamentaciones de seguridad, como la existencia de llaves térmicas y
disyuntores. No se estableció un estándar para las instalaciones eléctricas.
44
Los requerimientos de mejoras edilicias se administran a través de las comisiones de los comités de
frontera o la Dirección de Asuntos Técnicos de Fronteras mencionados en aclaraciones previas.
59
INFORME DE AUDITORIA
Se observaron elementos en mal estado, empalmes inapropiados y la
existencia de prolongadores.
o Grupo electrógeno propio que permita la continuidad de la operatividad de
los aplicativos, más un sistema de baterías que permita el cierre ordenado de
las aplicaciones ante un corte. En muchos casos dependen de los servicios
brindados por los otros organismos con los que comparten el lugar.
o Energía eléctrica estabilizada.
o Luces de emergencia.

Ubicación física de los equipos. No en todos los PCF los equipos no están en
lugares aislados y debidamente refrigerados, suelen estar en locales inadecuados,
como cocinas o lugares de tránsito de personas.

Sistemas contra incendios. No cuentan con detectores de humo, y los matafuegos
no son los adecuados para tratar focos de fuego en lugares con componentes
electrónicos.

Presencia de material inflamable: cajas de cartón, papeles, elementos plásticos,
anafes, garrafas, instalaciones de gas, estufas, cortinas, pisos y puertas de madera.
En relación al Centro de Procesamiento de Datos de la Administración Central, se
detectaron las siguientes debilidades:
•
No se cuenta con un plan de contingencia formal. No obstante, la Disposición
DNM N° 19.057/2006 hace mención a que debe ser realizada la confección del
mismo.
•
No se cuenta con un sitio alternativo de procesamiento para situaciones de
contingencia. Si bien hay un lugar alternativo en el Centro de Documentación
Rápida no cuenta con infraestructura de red de datos y su procesamiento. Sólo se
utiliza este sitio para el resguardo del back-up.
•
Los matafuegos no se encuentran emplazados en el lugar correcto.
60
INFORME DE AUDITORIA
•
Se halló material inflamable (cajas de cartón, puertas y ventanas de madera).
•
Las ventanas del Data Center carecen de protección.
•
Para cubrir faltantes de los paneles del cielo raso, se recurre a soluciones precarias.
•
No se realizan pruebas periódicas de verificación del funcionamiento de los
detectores de humo, ni se efectúa su mantenimiento preventivo
•
El cableado de los servidores no se encuentra identificado bajo una nomenclatura
estructurada y se encuentran desprolijidades en las conexiones.
•
El caño de escape del grupo electrógeno carece de ventilación a los cuatro vientos.
•
El mantenimiento del grupo electrógeno está tercerizado y no se lleva registro de
los días y horarios que se efectúa.
Cabe señalar que el Plan de Tecnologías de la Información 2012-2014, en su punto 5
menciona que se realizará una actualización de la infraestructura del data center a los
efectos de proporcionar un ambiente de máxima seguridad. Al momento de cierre de los
trabajos de campo de esta auditoría, la ejecución del plan se encuentra atrasada respecto de
la planificación original.45
4.3.13 Administración de operaciones
Objetivo de control: Un procesamiento completo y apropiado de la información requiere
su efectiva administración y el mantenimiento del hardware involucrado. Este proceso
incluye la definición de políticas y procedimientos de operación para una administración
efectiva del procesamiento programado, protección de datos de salida sensitivos,
monitoreo de infraestructura y mantenimiento preventivo de hardware.
Este objetivo de control afecta primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad y la disponibilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
45
Se cumplieron las etapas 1 “Confección del Pliego y Aprobación de la ONTI/UAI” correspondiente al
ejercicio 2012 y la etapa 2 “Llamado a Licitación Pública” correspondiente al ejercicio 2013.
61
INFORME DE AUDITORIA
Nivel de madurez: Repetible. La organización está consciente del rol clave que las
actividades de operaciones de TI juegan en brindar funciones de soporte. Las operaciones
de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las
habilidades de los individuos. Las instrucciones de qué hacer, cuándo y en qué orden no
están documentadas.
Observaciones: No hay políticas ni procedimientos formales de operación, necesarios
para una efectiva administración del procesamiento. En tal sentido, faltan:

Procedimientos estándar para operaciones de TI que garanticen que el personal de
operaciones esté familiarizado con todas las tareas de su responsabilidad.

Procedimientos para monitorear la infraestructura de TI y los eventos relacionados.

Procedimientos para garantizar el mantenimiento oportuno de la infraestructura
para reducir la frecuencia y el impacto de las fallas o disminución del desempeño.
En relación al mantenimiento de infraestructura de TI instalada en el interior del país, a
cuyo cargo se encuentran los referentes informáticos46, no se cuenta con procedimientos
formales para atender las fallas más frecuentes y darles un tratamiento estandarizado.
Tampoco cuentan con un stock de los repuestos de los componentes más sensibles que
permitan subsanar un probable incidente. Esto puede provocar la discontinuidad del
servicio hasta tanto llegue el repuesto de la Administración Central.
4.4 MONITOREAR Y EVALUAR
4.4.1 Monitorear y evaluar el desempeño de TI
Objetivo de control: Una efectiva administración del desempeño de TI requiere un
proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores
de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditas
46
Referentes informáticos: agentes del organismo, que llevan a cabo tareas técnicas solicitadas desde la
administración central
62
INFORME DE AUDITORIA
cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas
correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
Este objetivo de control afecta, primariamente la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar
información sobre los procesos de monitoreo. No se han identificado procesos estándar de
recolección y evaluación.
Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a
todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a
seguir para medir la calidad en la entrega de servicios integrado con un sistema de
administración de gestión (tablero de control con indicadores) que permita comparar en
forma periódica el desempeño contra métricas establecidas en un sistema de aseguramiento
de la calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para
resolver los desvíos que puedan presentarse.
No hay personal dedicado al monitoreo. Se utilizan herramientas tales como el Nagios47 y
el System Center Operations Manager (SCOM)48 que monitorean el estado de la red y que
emiten alarmas cuando los parámetros previamente definidos por el administrador de red
exceden los valores establecidos. Estas son recibidas por el personal en sus estaciones de
trabajo o en sus teléfonos inteligentes (fuera del horario de trabajo, donde se establecen
47
Nagios es un sistema de monitorización de redes, que vigila los equipos (carga del procesador, uso de los
discos, memoria, estado de los puertos) y servicios de red que se especifiquen. Genera alertas, que pueden ser
recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes
SMS, cuando estos parámetros exceden los márgenes definidos por el administrador de red.
48
System Center Operations Manager (SCOM) sistema de administración de datos de sistemas operativos.
Muestra información del estado del sistema y el rendimiento. Proporciona alertas generadas de acuerdo a la
identificación de situaciones de disponibilidad, seguridad, configuración o rendimiento. Al detectarlas puede
notificar a un responsable, a través de un correo electrónico o mensaje de texto (SMS).
63
INFORME DE AUDITORIA
guardias rotativas) y en función del criterio de quien esté a cargo del incidente, procede a
su solución. Las acciones son mayormente reactivas.
La falta de un marco de trabajo de monitoreo de la infraestructura y del respectivo personal
afectado a esta tarea, imposibilita el análisis de datos orientado a la toma de acciones
correctivas oportunas.
La falta de un marco de trabajo de Mesa de Ayuda se suple con un esquema de trabajo de
guardias pasivas rotativas del personal, que genera un estado de situación similar al de una
contingencia permanente, con el consiguiente desgaste del personal afectado.
Del análisis de datos relevados sobre la actividad de la red de datos de casi un semestre
provista por el organismo49, se desprenden que la tasa de caída de los enlaces de
comunicaciones entre los puestos fronterizos, tales como el puente Tancredo Neves (2.082
hs.), Puerto Pilcomayo (1.377 hs.), el aeropuerto de Ushuaia (1.130 hs.), Posadas (697,73
hs.) y Bariloche (341 hs.), 50 y la Sede Central provocando que la base de datos contra la que
se controla la aptitud migratoria no se encuentre actualizada en tiempo real al momento de
realizarse los controles.
4.4.2 Monitorear y evaluar el control interno
Objetivo de control: Establecer un programa de control interno efectivo para TI requiere
un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de
las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por
terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad
eficiencia y eficacia respecto a las operaciones así como en el cumplimiento de las leyes y
regulaciones aplicables.
49
Período que abarca 01/01/2014 a 10/06/2014.
En el PCF de alta concurrencia como el Puente Internacional Tancredo Neves que une las ciudades de
Puerto Iguazú (Argentina) con Foz do Iguaçu (Brasil) o el aeropuerto de Ushuaia registran 2.082 horas y
1.130 horas de discontinuidad del servicio respectivamente.
50
64
INFORME DE AUDITORIA
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de Madurez: Repetible. La organización utiliza reportes de control para comenzar
iniciativas de acción correctiva. La evaluación del control interno depende de las
habilidades de individuos clave. La gerencia de servicios de información realiza monitoreo
periódico sobre la efectividad de lo que considera controles internos críticos. Se están
empezando a usar metodologías y herramientas para monitorear los controles internos,
aunque no se basan en un plan. Los factores de riesgo específicos del ambiente de TI se
identifican con base en las habilidades de individuos.
Observaciones: No se ha implantado un marco de trabajo formal de control interno de TI
que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan
verificar el logro de los objetivos de control interno para los procesos de TI (básicamente
eficacia/eficiencia), identificar las acciones de mejoramiento y reportar sus excepciones.
Las auditorías internas son llevadas a cabo por un único funcionario, que realiza controles
a algunos objetivos de auditoría puntuales pero que no puede abarcar un programa más
completo.
4.4.3 Garantizar el cumplimiento con requerimientos externos
Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del
establecimiento de un proceso independiente de revisión para garantizar el cumplimiento
de las leyes y regulaciones. Este proceso incluye la definición de una declaración de
auditoría, independencia de los auditores, ética y estándares profesionales, planeación,
desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.
El propósito de este proceso es proporcionar un aseguramiento positivo relativo al
cumplimiento de TI de las leyes y regulaciones.
65
INFORME DE AUDITORIA
Este objetivo de control afecta, primariamente al cumplimiento y en forma secundaria a la
confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Repetible. Existe el entendimiento de la necesidad de cumplir con los
requerimientos externos y la necesidad se comunica. No existe, sin embargo, un enfoque
estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y
los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos
externos y a los temas de cumplimiento.
Observaciones:
En orden a los hallazgos de las tareas de campo llevadas a cabo, se puede determinar las
siguientes debilidades:

Resolución 48 de SIGEN
o Se elaboró un Plan de Tecnologías de la Información 2012/2014, no
obstante ello, no cuentan con planes tácticos que lo respalden tales como:
tiempos, recursos, costos, hitos intermedios a alcanzar o riesgos
relacionados, que permitan inferir el logro de los objetivos planteados.
Asimismo, a la fecha de las tareas de campo, no se había actualizado el
Plan.
o No existe un modelo de arquitectura de la información formal con pautas
que aseguren la integridad y la consistencia de toda la información
almacenada, tales como un diccionario de datos de la organización, un
esquema de clasificación de datos de acuerdo a la criticidad y la
sensibilidad, procedimientos para definir datos nuevos y esquemas de
funciones estándar de tratamiento de los datos (biblioteca de funciones).
o Faltan definir Políticas y Procedimientos de algunos procesos claves, ej:
Plan de Continuidad.
66
INFORME DE AUDITORIA
o No se adoptó una metodología de administración de proyectos informáticos
encarados, el qué, mínimamente debería contemplar entre otros:
a)
Documentación, justificación y aprobación que origina el proyecto;
b)
Definición clara del Plan, determinando sus objetivos, alcances y
asignación de misiones y funciones del grupo de trabajo;
c)
Presupuesto de los recursos a ser utilizados. En orden al método,
también resultaría necesario, la elaboración del Plan de Prueba y de
Capacitación.
o No existe un método formal para las actividades de desarrollo,
mantenimiento o adquisición de sistemas, el que debe estar documentado y
aprobado y de aplicación complementaria a las normas relativas a la
administración de proyectos.
o No hay una definición del marco de trabajo para el monitoreo de procesos,
por el cual y a partir de indicadores de desempeño se pueda llevar a cabo el
objetivo de control de la infraestructura de TI, debiendo en consecuencia,
presentar informes periódicos de gestión a la Dirección de la organización,
con el fin que esta última supervise el cumplimiento de los objetivos
planteados.
Marco de la ley 26.653 "Accesibilidad de la Información de las Páginas Web". La
Dirección Nacional de Migraciones cumple con lo prescripto por la norma, no
obstante ello, en cuanto a criterios de usabilidad, existen principios tales como:
comprensibilidad y navegabilidad por y entre las distintas secciones de la página
que debieran mejorarse a fin de obtener una integración completa de las personas
con discapacidad (sobretodo visual) por ejemplo: gráficos y botones etiquetados,
inclusión de textos alternativos en las imágenes, asociación de celdas de
encabezado con celda de datos, etc. Ver detalle en ANEXO VII.
67
INFORME DE AUDITORIA
Se verificó el cumplimiento del decreto 375/2005 de Gobierno Electrónico, la ley 25.506
de Firma Digital y el Régimen de Contrataciones de la Administración Nacional.51
4.4.4 Proporcionar gobierno de TI
Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo,
incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con
las estrategias y objetivos del organismo.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de Madurez: Inicial. Se reconoce que el tema del gobierno de TI existe y que debe
ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El
enfoque de la gerencia es reactivo y solamente existe una comunicación no formal sobre
los temas para proceder a su resolución.
Observaciones:
Faltan cubrir posiciones funcionales claves como:

Administración de la Seguridad

Monitoreo de la Infraestructura de TI
51
Decreto Delegado Nº 1023/2001 (Régimen de Contrataciones del Estado Nacional), Decreto Nº 436/2000
(Reglamento para la Adquisición, Enajenación y Contratación de Bienes y Servicios del Estado Nacional).
Ley N˚ 24.156 (Ley de Administración Financiera y Sistemas de Control del Sector Público Nacional); Ley
N˚ 25.188 (Ética en la Función Pública); Ley N˚ 25.551 (Compre Trabajo Argentino); Decreto Nº 1818/2006
(Sistema Electrónico de Contrataciones Públicas); Resolución SIGEN Nº 79/2005 (Sistema de Precios
Testigo); Ley 24.759 Convención Interamericana Contra la Corrupción Artículo 5 inc. 3 de la aplicabilidad
de medidas preventivas destinadas a crear, mantener y fortalecer sistemas para la adquisición de bienes y
servicios por parte del Estado que aseguren publicidad, equidad y eficiencia y el Artículo 9 referido a los
valores mínimos que cada Estado parte deberá considerar a la hora de establecer los sistemas de contratación
pública basados en la transparencia, competencia y criterios objetivos para la adopción eficaz de decisiones.
68
INFORME DE AUDITORIA

Administración de Gestión de Aseguramiento de la Calidad

Administración de Riesgos

Administración de Proyectos
Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo
definidos y formalizados para asegurar:

El tratamiento uniforme para la administración de todos los proyectos de TI.

El seguimiento de la gestión, mediante un programa de calidad que establezca
indicadores a partir de metas y objetivos definidos previamente, de modo de medir
la contribución de TI a los objetivos estratégicos del Organismo y posibilite la
rendición de cuentas.

Administración de costos, donde se identifiquen los distintos costos y que garantice
los cargos para los distintos servicios sean identificables para su monitoreo y una
correcta administración de los programas de inversión.

Esquema de monitoreo que permita medir el desempeño y la correcta asignación de
los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones
correctivas.

Administración de riesgos, que permitan reportar aquellos relacionados con TI y su
impacto en la posición de riesgos de la organización.
69
INFORME DE AUDITORIA
5. RECOMENDACIONES
Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos,
independientemente del hecho de que ya hayan sido parcialmente puestas en práctica.
5.1. PLANIFICAR Y ORGANIZAR
5.1.1. Definir un plan estratégico para TI

Reelaborar el Plan de Tecnologías de la Información (Plan Estratégico de TI). El
mismo debe contener un conjunto de definiciones tecnológicas e iniciativas de TI
que deben soportar la visión, misión y estrategias que el organismo tiene para un
horizonte de tiempo definido. Debe incluir un diagnóstico previo, las necesidades y
los recursos necesarios, los plazos, el presupuesto de la inversión, las fuentes de
financiamiento, la estrategia de obtención, la estrategia de adquisición, y los
requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para
permitir la definición de planes tácticos de TI.

Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI.
Estos deben establecer las iniciativas y los requerimientos de recursos requeridos
por TI, y cómo el uso de los recursos y el logro de los beneficios serán
monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente
para permitir la definición de las tareas operativas. Administrar de forma activa los
planes tácticos y las iniciativas de TI establecidas. Esto requiere encontrar el
equilibrio entre requerimientos y recursos, comparándolos con el logro de metas
estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en
caso de desviaciones.

Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar
entre los imperativos de éstas y la tecnología, de tal modo que se puedan establecer
prioridades concertadas.
70
INFORME DE AUDITORIA

Evaluar el desempeño actual, el de los planes existentes y de los sistemas de
información en términos de su contribución a los objetivos estratégicos del
organismo, su funcionalidad, su estabilidad, su complejidad, sus costos, sus
fortalezas y debilidades.
5.1.2. Definir la arquitectura de información

Establecer y mantener un modelo de información que facilite el desarrollo de
aplicaciones y las actividades de soporte a la toma de decisiones, consistente con
los planes de TI como se describan en el Plan Estratégico. El modelo facilita la
creación, uso y compartición óptimas de la información por parte del organismo de
una manera que conserva la integridad y es flexible, funcional, rentable, oportuna,
segura y tolerante a fallas.

Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis
de datos. El diccionario facilita la compartición de elementos de datos entre las
aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los
usuarios de TI y del organismo, y previene la creación de elementos de datos
incompatibles.

Establecer un esquema de clasificación de datos que aplique a todo el organismo,
basado en la criticidad y sensibilidad de la información. Este esquema incluye
detalles acerca de la propiedad de datos, la definición de niveles apropiados de
seguridad y de controles de protección, como también una breve descripción de los
requerimientos de retención y destrucción de datos, además de qué tan críticos y
sensibles son. Se usa como base para aplicar controles como el control de acceso,
archivo o encriptación.

Definir e implantar procedimientos para garantizar la integridad y consistencia de
todos los datos almacenados en formato electrónico, tales como bases de datos y
archivos.
71
INFORME DE AUDITORIA
5.1.3. Determinar la dirección tecnológica

Elaborar un Plan de infraestructura tecnológica que esté de acuerdo con los planes
estratégicos y tácticos de TI basado en la dirección tecnológica y que incluya
acuerdos para contingencias. Analizar las tecnologías existentes y emergentes y
planear cuál dirección tecnológica es la apropiada para materializar la estrategia de
TI y la arquitectura de sistemas del organismo. También identificar en el plan, qué
tecnologías tienen el potencial de crear oportunidades de nuevas prestaciones. El
plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las
estrategias de migración y los aspectos de contingencia de los componentes de la
infraestructura.

Monitorear tendencias y regulaciones futuras. Establecer un proceso para
monitorear las tendencias del sector/industria, tecnológicas, de infraestructura,
legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo
del plan de infraestructura tecnológica de TI.

Establecer
estándares
tecnológicos.
Proporcionar
soluciones
tecnológicas
consistentes, efectivas y seguras para toda la organización, brindar directrices
tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la
selección de la tecnología, y medir el cumplimiento de estos estándares y
directrices.
5.1.4. Definir los procesos, organización y relaciones de TI
Reformular la estructura organizacional de la Dirección General de Sistemas y Tecnologías
de la Información en función de las observaciones planteadas en el punto 4.1.4 y las
recomendaciones siguientes:

Estructura organizacional. Establecer una estructura organizacional de TI interna y
externa que refleje las necesidades de la organización. Además implementar un
72
INFORME DE AUDITORIA
proceso para revisar la estructura organizacional de TI de forma periódica para
ajustar los requerimientos de personal y las estrategias internas para satisfacer los
objetivos esperados y las circunstancias cambiantes.

Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles
como las responsabilidades para el personal de TI y los usuarios que delimiten la
autoridad entre el personal de TI y los usuarios finales. Definir las
responsabilidades y la rendición de cuentas para alcanzar los objetivos estratégicos
del organismo.

Responsabilidad del aseguramiento de calidad (AC) de TI. Asignar la
responsabilidad para el desempeño de la función de AC. Asegurar que la ubicación
organizacional, las responsabilidades y el tamaño del grupo de AC satisfacen los
requerimientos del organismo.

Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la
propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel
apropiado. Definir y asignar roles críticos para administrar los riesgos de TI,
incluyendo la responsabilidad específica de la seguridad de la información, la
seguridad física y el cumplimiento. Obtener la posición de la Dirección Nacional en
relación a los niveles aceptables de riesgo de TI que se quieren asumir y la
aprobación de cualquier riesgo residual.

Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y
herramientas que le permitan asumir sus responsabilidades de propiedad sobre los
datos y los sistemas de información. Las áreas responsables, dueña de los datos y
sistemas, deberán tomar decisiones sobre la clasificación de la información y cómo
protegerlos.

Implantar prácticas adecuadas de supervisión dentro de la función de TI para
garantizar que los roles y las responsabilidades se ejerzan de forma apropiada.
Evaluar si todo el personal cuenta con la suficiente autoridad para ejecutarlos.
73
INFORME DE AUDITORIA

Implantar una división de roles y responsabilidades que reduzca la posibilidad de
que un solo individuo afecte un proceso crítico. La máxima autoridad de TI debe
asegurar de que el personal realice sólo las tareas autorizadas, relevantes a sus
puestos y posiciones respectivas.

Evaluar los requerimientos de personal de forma regular o cuando existan cambios
importantes en las necesidades estratégicas del organismo, operativos o de TI para
garantizar que la función de TI cuente con un número suficiente de personal
competente, el entrenamiento cruzado-funcional, la rotación de puestos y las
oportunidades de personal externo.

Políticas y procedimientos para personal contratado. Definir e implantar políticas y
procedimientos para controlar las actividades de los consultores u otro personal
contratado por la función de TI.

Establecer y mantener una estructura óptima de enlace, comunicación y
coordinación entre la función de TI y otras funciones dentro y fuera de la misma,
tales como la Dirección General, las gerencias ejecutivas, usuarios y proveedores
de servicios de TI.

Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico
de TI. Este marco incluye medición del desempeño, mejoras, cumplimiento, metas
de calidad y planes para alcanzarlas. Debe estar integrado en un sistema de
administración de calidad y en un marco de trabajo de control interno.

Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI
para:
o Determinar las prioridades de los programas de inversión de TI alineadas
con la estrategia y prioridades de los objetivos estratégicos del organismo.
o Dar seguimiento de los proyectos y resolver los conflictos de recursos
o Monitorear los niveles y las mejoras del servicio.
74
INFORME DE AUDITORIA
5.1.5. Administrar la inversión en TI

Establecer un marco de Administración Financiera para TI que impulse la
presupuestación, con base en los proyectos vigentes de inversión en bienes y
servicios. Comunicar los aspectos de costo y beneficio en los procesos de
priorización de presupuestos y administración de costos.

Implantar un proceso de toma de decisiones para dar prioridades a la asignación de
recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal
de maximizar la contribución de TI y optimizar el retorno de inversión de los
proyectos de inversión y otros servicios y activos.

Establecer un proceso para elaborar y administrar un presupuesto que refleje las
prioridades establecidas en los programas de inversión en TI, incluyendo los costos
de operar y mantener la infraestructura actual.

Implantar un proceso de administración de costos que compare los costos reales
con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan
desviaciones, éstas se deben identificar de forma oportuna y evaluar el impacto.

Desarrollar un presupuesto por centro de costos y asociado al presupuesto.

Respecto de los recursos físicos, optimizar el empleo del Sistema de Patrimonio
articulando la información entre las áreas de Administración y TI; esto con el fin de
identificar el volumen y calidad de equipamiento por las distintas áreas usuarias las
que, en este sentido, funcionan como centros de apropiación de costos.

Con la información disponible del punto precedente, establecer los criterios de
distribución de los costos de mantenimiento, insumos y reparación en condiciones
de ser prorrateados por las áreas beneficiarias; con criterios similares, apropiar los
costos de tiempo de recursos humanos (los técnicos asociados a soporte) a las
diferentes áreas beneficiarias.
75
INFORME DE AUDITORIA

Diferenciar / categorizar / clasificar las tareas de TI en recurrentes o permanentes
(mantenimiento, soporte, etc.) respecto de las específicas o “por proyectos / microproyectos” (por ej., desarrollo y mantenimiento de aplicaciones). Este criterio
permitirá prorratear los costos por función y por áreas usuarias para los recursos
humanos dedicados a diseño y programación.

Para posteriores ejercicios, emplear esta información como base de planeamiento
de inversiones físicas que impactarían en la formulación
presupuestaria o
necesidades de personal que alertarían sobre requerimientos adicionales de personal
por función.
5.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI

Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento
y el entendimiento de los objetivos estratégicos del organismo y de TI se
comunican a toda la organización. La información comunicada debe poseer una
visión claramente articulada entre los objetivos de servicio, la seguridad, los
controles internos, la calidad, el código de ética y conducta, políticas y
procedimientos. Estos deben incluirse dentro de un programa de comunicación
continua, apoyado por la alta dirección con acciones. Se debe dar especial atención
a comunicar la conciencia sobre que la seguridad de TI es responsabilidad de todos.

Ambiente de políticas y de control. Definir los elementos de un ambiente de control
para TI que se base en una cultura que apoya la entrega de valor, mientras que al
mismo tiempo administra riesgos significativos, fomenta la colaboración entre
distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora
continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma
adecuada.

Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar
mantenimiento a un marco de trabajo que establezca el enfoque del organismo
76
INFORME DE AUDITORIA
hacia los riesgos y hacia el control interno. Este debe estar integrado por el marco
de procesos de TI, el sistema de administración de calidad y debe cumplir los
objetivos generales del organismo. Debe tener como meta maximizar el éxito de la
entrega de valor mientras minimiza los riesgos para los activos de información por
medio de medidas preventivas, la identificación oportuna de irregularidades, la
limitación de pérdidas y la recuperación oportuna de activos.

Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto
de políticas que apoyen la estrategia de TI. Estas políticas deben incluir el
propósito, los roles y responsabilidades, los procesos de excepción y referencias a
procedimientos, estándares y directrices. Las políticas deben incluir temas clave
como calidad, seguridad, confidencialidad, controles internos y propiedad
intelectual. Se deben revisar regularmente.
5.1.7. Administrar los recursos humanos de TI

Reclutamiento y Retención del Personal de TI. Asegurarse que los procesos de
reclutamiento estén de acuerdo a las políticas y procedimientos generales del
personal.

Competencias del personal. Verificar de forma periódica que el personal tenga las
habilidades para cumplir sus roles con base en su educación, entrenamiento y/o
experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar
que se les dé actualización.

Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los
roles, responsabilidades y retribuciones del personal, incluyendo el requisito de
adherirse a las políticas y procedimientos administrativos, así como al código de
ética y prácticas profesionales. Los términos y condiciones de empleo deben
enfatizar la responsabilidad del empleado respecto a la seguridad de la información,
al control interno y al cumplimiento regulatorio. Los niveles de supervisión debe
77
INFORME DE AUDITORIA
estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades
asignadas.

Entrenamiento del personal de TI. Proporcionar entrenamiento continuo para
conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia
sobre la seguridad, al nivel requerido para alcanzar las metas estratégicas del
organismo.

Dependencia sobre los individuos. Minimizar la exposición de dependencias
críticas sobre individuos clave por medio de la documentación y divulgación del
conocimiento, como también la planeación de la sucesión y rotación de personal.

Evaluación del desempeño del empleado. Es necesario que las evaluaciones de
desempeño se realicen periódicamente, comparando contra los objetivos
individuales derivados de las metas del organismo, estándares establecidos y
responsabilidades específicas del puesto.

Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los
puestos, en especial las culminaciones sea por renuncia o despido. Se debe realizar
la transferencia del conocimiento, reasignar responsabilidades y eliminar los
privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la
continuidad de la función.

Se recomienda regularizar la situación de aquellos agentes que ocupan posiciones
sensibles en el área de TI de modo que pueda desarrollar una carrera administrativa
acorde a sus funciones.
5.1.8. Administrar la calidad
Establecer un Sistema de Administración de la Calidad (SAC) que proporcione un enfoque
estándar, formal y continuo, con respecto a la administración de la calidad, que esté
alineado con los objetivos estratégicos del organismo, que contemple:
78
INFORME DE AUDITORIA

Identificar los requerimientos y los criterios de calidad, los procesos claves de TI
así como las políticas, criterios y métodos para definir, detectar, corregir y prever
las no conformidades.

Identificar y mantener estándares, procedimientos y prácticas para los procesos
clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del
SAC.

Adoptar y mantener estándares para todo desarrollo y adquisición que sigue el ciclo
de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la
documentación de hitos clave con base en criterios de aprobación acordados. Los
temas a considerar incluyen estándares de:
o
codificación de software
o nomenclaturas
o formatos de archivos
o diccionario de datos
o interfaces de usuario
o pruebas (unitarias, de regresión y de integración).
Los datos del SAC deben ser monitoreados y medidos para medir la efectividad y
mejorarla cuando sea necesario.
5.1.9. Evaluar y administrar los riesgos de TI
Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al
marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación
con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del
organismo.
Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se
aplique para garantizar resultados apropiados.
Esto debe incluir:
79
INFORME DE AUDITORIA

La determinación del contexto interno y externo de cada evaluación de riesgos, la
meta de la evaluación y los criterios contra los cuales éstos se evalúan.

Identificación de todas aquellas amenazas y vulnerabilidades que tengan un
impacto potencial sobre las metas o las operaciones del organismo, aspectos de
estratégicos, regulatorios, legales, tecnológicos, de recursos humanos y operativos.
Determinar la naturaleza del impacto y dar mantenimiento a esta información.

Evaluación en forma recurrente la posibilidad e impacto de todos los riesgos
identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto
asociados a los riesgos inherentes y residuales se debe determinar de forma
individual.

Identificación de los dueños de procesos afectados, y elaborar y mantener
respuestas que garanticen que los controles y las medidas de seguridad mitigan la
exposición de forma continua. La respuesta a los riesgos debe identificar estrategias
tales como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar
los costos y beneficios y seleccionar aquellas que limiten los riesgos residuales
dentro de los niveles de tolerancia previamente definidos.

Mantenimiento y monitoreo del plan de acción de riesgos. Asignar prioridades y
planear las actividades de control a todos los niveles para implantar las respuestas a
los riesgos, identificadas como necesarias, incluyendo la determinación de costos,
beneficios y la responsabilidad de la ejecución. Buscar la aprobación para las
acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de
que las acciones comprometidas son propiedad del dueño o dueños de los procesos
afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la
alta dirección.
5.1.10. Administrar proyectos

Establecer un marco de Administración de Proyectos.
80
INFORME DE AUDITORIA

Establecer un sistema de control de cambios de modo tal que todas las
modificaciones a la línea base o indicadores al inicio del proyecto, como por
ejemplo costos, cronograma, alcance y calidad, se revisen, aprueben e incorporen
de manera apropiada al plan integrado.

Medir el desempeño del proyecto contra los criterios clave tales como el alcance,
los tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con
respecto al plan; evaluar su impacto y sobre el programa global; reportar los
resultados a los interesados clave; y recomendar, implantar y monitorear las
medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de
gobierno del programa y del proyecto.

Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan
proporcionado los resultados y los beneficios esperados.
5.2. ADQUIRIR E IMPLEMENTAR
5.2.1 Identificar Soluciones Automatizadas

Identificar a un usuario relevante como patrocinador del proyecto.

Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales.
Identificar, dar prioridades, especificar y acordar los requerimientos funcionales y
técnicos.

Análisis de Riesgos. Identificar, documentar y analizar los riesgos asociados con
los requerimientos y diseño de soluciones como parte de los procesos
organizacionales para el desarrollo de los requerimientos.

Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. Se debe
evaluar la factibilidad y los cursos alternativos de acción y realizar
recomendaciones al patrocinador del proyecto.
81
INFORME DE AUDITORIA

El proceso requiere al patrocinador del proyecto para aprobar y autorizar los
requisitos tanto funcionales como técnicos, y los reportes del estudio de factibilidad
en las etapas clave predeterminadas.
5.2.2. Adquirir o desarrollar y mantener software aplicativo
Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que
contemple:

Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de
alto nivel para desarrollo de software, tomando en cuenta las directivas
tecnológicas y la arquitectura de información dentro del organismo, y aprobar las
especificaciones para garantizar que el diseño de alto nivel responde a los
requerimientos.

Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del
software de aplicación. Los conceptos a considerar incluyen, definir y documentar
los requerimientos de entrada de datos,
interfaces, la interface de usuario, la
especificación de programa, definir los requerimientos de salida, control y
auditabilidad (pistas de auditoría). Realizar una reevaluación para cuando se
presenten discrepancias técnicas o lógicas significativas durante el desarrollo o
mantenimiento.

Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las
aplicaciones. Los aspectos a considerar incluyen derechos de acceso y
administración de privilegios, protección de información sensible en todas las
etapas, autenticación e integridad de las transacciones y recuperación automática.

Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo
similar al de desarrollo de sistemas nuevos en el caso que se presenten
modificaciones importantes en los sistemas existentes, que resulten en un cambio
significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar
82
INFORME DE AUDITORIA
incluyen análisis de impacto, relación costo/beneficio y administración de
requerimientos.

Desarrollo de software aplicativo. Garantizar que la funcionalidad de
automatización se desarrolla de acuerdo con las especificaciones de diseño, los
estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar
y autorizar cada etapa clave del proceso, verificando la finalización de las
revisiones de funcionalidad, desempeño y calidad. Los aspectos a considerar
incluyen aprobar las especificaciones de diseño que satisfacen los requerimientos
funcionales y técnicos, y las solicitudes de cambio; verificar la compatibilidad con
los sistemas existentes.
Además, garantizar que se identifican y consideran todos los aspectos legales y
contractuales para el software aplicativo que desarrollan terceros.

Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y
ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los
estándares especificados en la definición de los requerimientos y en las políticas y
procedimientos de calidad del organismo. Los aspectos a considerar incluyen
especificar el criterio de calidad y los procesos de validación y verificación,
revisión de algoritmos, código fuente y pruebas.

Administración de los requerimientos de aplicaciones. Garantizar que durante el
diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos
particulares (incluyendo todos los requerimientos rechazados), y que las
modificaciones se aprueban a través de un proceso establecido de administración de
cambios.

Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el
mantenimiento y pase a producción de software de aplicaciones. Los aspectos a
considerar incluyen implantación planeada y controlada, planeación de recursos,
reparación de defectos de programa y corrección de fallas, pequeñas mejoras,
83
INFORME DE AUDITORIA
mantenimiento de documentación, cambios de emergencia, interdependencia con
otras aplicaciones e infraestructura, estrategias de actualización, condiciones
contractuales tales como aspectos de soporte y actualizaciones, revisión periódica
de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad.
5.2.3. Adquirir y mantener infraestructura tecnológica

Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir,
implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos
funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del
organismo. El plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para
actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del
producto al añadir nueva capacidad técnica.

Protección y disponibilidad del recurso de infraestructura. Implantar medidas de
control interno, seguridad y auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la infraestructura para proteger los
recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender
claramente las responsabilidades al utilizar componentes de infraestructura
sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y
evaluar su uso.

Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de
mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administración de cambios. Incluir una revisión
periódica contra las necesidades del organismo, administración de parches y
estrategias
de
actualización,
riesgos,
evaluación
de
vulnerabilidades
y
requerimientos de seguridad.
84
INFORME DE AUDITORIA

Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura totalmente independiente del ambiente
de producción, en las primeras fases del proceso de adquisición y desarrollo. Se
debe considerar la funcionalidad, la configuración de hardware y software, pruebas
de integración y desempeño, migración entre ambientes, control de la versiones,
datos y herramientas de prueba y seguridad.
5.2.4. Facilitar la operación y el uso

Marco para la documentación de sistemas. Desarrollar un plan para identificar y
documentar todos los aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos, de manera que todos los interesados puedan elaborar
procedimientos de administración, de usuario y de operación. Este marco debe
aplicarse cada vez que se produzca una actualización de aplicaciones y/o
infraestructura.

Transferencia de conocimiento a usuarios finales. Transferencia de conocimientos
para permitir que los usuarios finales utilicen con efectividad y eficiencia la
aplicación como apoyo a los procesos del Organismo. La transferencia de
conocimiento incluye el desarrollo de un plan de capacitación que abarque al
entrenamiento inicial y al continuo, así como el desarrollo de manuales de usuario,
manuales de procedimiento y ayuda en línea.

Transferencia de conocimiento al personal de operaciones y soporte. Transferir el
conocimiento y las habilidades para permitir al personal de soporte técnico y de
operaciones que entregue, apoye y mantenga la aplicación y la infraestructura
asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio
requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial
85
INFORME DE AUDITORIA
y continuo, los manuales de operación, los manuales de procedimientos y
escenarios de atención al usuario.
5.2.5. Adquirir recursos de TI

Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y
estándares consistente con el proceso general y la estrategia de adquisiciones del
organismo, para garantizar que la compra de infraestructura, instalaciones,
hardware, software y servicios relacionados con TI, satisfagan los requerimientos
del organismo.

Administración de contratos con proveedores. Formular un procedimiento para
establecer, modificar y concluir contratos que apliquen a todos los proveedores.
Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras,
organizacionales, documentales, de desempeño, de seguridad de propiedad
intelectual y de conclusión, así como obligaciones y cláusulas de penalización por
incumplimiento cuando no cumplan los acuerdos de niveles de servicios
previamente establecidos. Todos los contratos y las modificaciones a contratos las
deben revisar asesores legales.

Selección de proveedores. Seleccionar proveedores mediante una práctica justa y
formal para garantizar la elección del mejor basado en los requerimientos que se
han desarrollado.

Adquisición de software. Garantizar que se protegen los intereses del organismo en
todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y
obligaciones de todas las partes en los términos contractuales para la adquisición de
software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de
propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje,
condiciones para la actualización y aspectos de conveniencia que incluyen
seguridad, custodia y derechos de acceso.
86
INFORME DE AUDITORIA

Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del
organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer
cumplir los derechos y obligaciones de todas las partes en los términos
contractuales para la adquisición de recursos de desarrollo. Estos derechos y
obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual,
aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes,
pruebas, procesos de administración de calidad que comprenden los criterios de
desempeño requeridos, su correspondiente revisión, términos de pago, garantías,
procedimientos de arbitraje, administración de recursos humanos y cumplimiento
con las políticas de la organización.

Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y
hacer cumplir los derechos y obligaciones de todas las partes en los términos
contractuales, que comprendan los criterios de aceptación para la adquisición de
infraestructura, instalaciones y servicios relacionados. Estos derechos y
obligaciones pueden abarcar los niveles de servicio, procedimientos de
mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de
pago y procedimientos de arbitraje.
5.2.6. Administrar cambios

Establecer procedimientos de administración de cambios formales para manejar de
manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones,
para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y
servicio, y las plataformas fundamentales.

Evaluación de impacto, priorización y autorización. Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos
en los sistemas y su funcionalidad. Esta evaluación deberá incluir categorización y
87
INFORME DE AUDITORIA
priorización.
Previo
a
la
migración
hacia
producción,
los
interesados
correspondientes deberán establecer autorizaciones formales.

Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y
autorizar los cambios de emergencia que no sigan el proceso de cambio
establecido. La documentación y pruebas podrán realizarse, después de la
implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría
para su posterior revisión.
5.2.7. Instalar y acreditar soluciones y cambios

Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al
grupo de operaciones de la función de TI, como parte de cada proyecto de
desarrollo, implantación o modificación de sistemas de información.

Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los
principales involucrados. Dicho plan se debe basar en los estándares de toda la
organización y definir roles, responsabilidades y criterios de éxito. Debe
considerar: requerimientos de entrenamiento, instalación o actualización de un
ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo
y corrección de errores y aprobación formal.

Ambiente de prueba. Establecer un ambiente de prueba independiente. Este
ambiente debe asemejarse al ambiente de producción para permitir pruebas
acertadas. Se deben tener presentes los procedimientos para garantizar que los datos
utilizados en el ambiente de prueba sean representativos. Proporcionar medidas
adecuadas para prevenir la divulgación de datos sensibles. La documentación de los
resultados de las pruebas se debe archivar.

Prueba final de aceptación. Garantizar que los procedimientos proporcionan una
evaluación formal y la aprobación de los resultados de prueba por parte de los
usuarios afectados.
88
INFORME DE AUDITORIA

Transferencia a producción. Implantar procedimientos formales para controlar la
transferencia del sistema desde el ambiente de desarrollo al de pruebas. La
Dirección General de Sistemas y Tecnologías de la Información debe requerir que
se obtenga la autorización del propietario del sistema antes del pasaje al entorno de
producción.

Liberación de software. Garantizar que la liberación del software se regula con
procedimientos formales que aseguren la autorización, acondicionamiento, pruebas
de regresión, distribución, transferencia de control, seguimiento, procedimientos de
respaldo y notificación de usuario.

Distribución del sistema. Establecer procedimientos de control para asegurar la
distribución oportuna y correcta, y la actualización de los componentes aprobados
de la configuración. Esto implica controles de integridad; segregación de funciones
entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de
todas las actividades.
5.3. ENTREGAR Y DAR SOPORTE
5.3.1. Definir y administrar los niveles de servicio

Definir un marco de trabajo que brinde un proceso formal de administración de
niveles de servicio entre el usuario y el prestador de servicio. Este marco debe
incluir procesos para la creación de requerimientos, y acuerdos de niveles de
servicio.

Definir la estructura organizacional para la administración del nivel de servicio,
incluyendo los roles, tareas y responsabilidades de los proveedores externos e
internos y de los usuarios.

Organizar y almacenar de manera centralizada la definición base de los servicios de
TI (catálogo de servicios).
89
INFORME DE AUDITORIA

Definir y acordar convenios de niveles de servicio para todos los procesos críticos
de TI con base en los requerimientos del usuario y las capacidades de TI.

Monitorear continuamente los criterios de desempeño especificados para el nivel de
servicio.

Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un
formato que sea entendible para los interesados.

Analizar las estadísticas de monitoreo para identificar tendencias positivas y
negativas tanto de servicios individuales como de los servicios en conjunto.

Revisar regularmente con los proveedores internos y externos los acuerdos de
niveles de servicio y los contratos de apoyo, para asegurar que son efectivos.
5.3.2. Administrar servicios de terceros

Debe existir un responsable que coordine la relación entre los proveedores y los
usuarios para asegurar la calidad y la transparencia, a través de acuerdos de niveles
de servicio.

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el
tipo de proveedor, la importancia y la criticidad.

Formalizar el proceso de administración de relaciones con proveedores por cada
uno de ellos.

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores
para mantener una efectiva entrega de servicios de forma segura y eficiente.
Asegurar que los contratos están de acuerdo con los estándares del tema y de
conformidad con los requerimientos legales y regulatorios.

Establecer un proceso para monitorear la prestación del servicio para asegurar que
el proveedor está cumpliendo con los requerimientos de acuerdo a los contratos y a
los convenios de niveles de servicio.
90
INFORME DE AUDITORIA

Verificar que el desempeño es competitivo respecto a los proveedores alternativos
y a las condiciones del mercado.
5.3.3. Administrar el desempeño y la capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad
de los recursos de TI, que asegure su disponibilidad, con costos justificables, para
procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de
nivel de servicio.

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos
regulares para determinar si existe suficiente capacidad y desempeño para prestar
los servicios con base en los niveles de servicio acordados.

Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en
intervalos regulares para minimizar el riesgo de interrupciones del servicio
originadas por falta de capacidad o degradación del desempeño.

Identificar el exceso de capacidad para una posible redistribución.

Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que
serán parte de los planes de capacidad y de desempeño.

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como
cargas de trabajo normales, contingencias, requerimientos de almacenamiento y
ciclos de vida de los recursos de TI.

La gerencia de TI debe garantizar que los planes de contingencia consideren de
forma apropiada la disponibilidad, capacidad y desempeño de los recursos
individuales de TI.

Monitorear continuamente el desempeño y la capacidad de los recursos de TI.

Incorporar al organigrama de la Dirección General de Sistemas y Tecnologías de la
Información, la unidad administrativa correspondiente.
91
INFORME DE AUDITORIA
5.3.4. Garantizar la continuidad del servicio

Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios
para en casos de contingencia, reducir el impacto de una interrupción de los
procesos claves. El objetivo de este marco es identificar las debilidades en la
infraestructura de TI, y guiar el desarrollo de los planes de recuperación de
desastres y de contingencias. Debe tomar en cuenta la estructura del organismo, la
cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios
internos y externos, su administración y sus usuarios; así como las reglas y
estructuras para documentar, probar y ejecutar la recuperación de desastres y los
planes de contingencia de TI. El plan debe también considerar puntos tales como la
identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de
recursos críticos, el procesamiento alternativo y los principios de respaldo y
recuperación.

Centrar la atención en los puntos determinados como los más críticos en el plan de
continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de
recuperación.

La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios
para asegurar que el plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del organismo. Es esencial
que los cambios en los procedimientos y las responsabilidades sean comunicados
de forma clara y oportuna.

Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas
pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que
el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte
de los resultados de las pruebas y, de acuerdo con estos, la implementación de un
plan de acción.
92
INFORME DE AUDITORIA

Considerar el alcance de las pruebas de recuperación en aplicaciones individuales,
en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el o los proveedores que pudieran estar implicados.

Asegurar que todas las partes involucradas reciban capacitación de forma regular
respecto a los procesos, sus roles y responsabilidades en caso de incidente o
desastre.

Determinar que existe una estrategia de distribución definida y administrada para
asegurar que los planes se distribuyan de manera apropiada y segura. Que estén
disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.
Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de
desastre.

Planear las acciones a tomar durante el período en que TI se está recuperando y
reanudando los servicios. Esto puede representar la activación de sitios de respaldo,
el inicio de procesamiento alternativo, la comunicación a usuarios y a los
interesados y realizar procedimientos de reanudación.

Asegurar que los responsables entienden los tiempos de recuperación de TI y las
inversiones necesarias en tecnología para soportar las necesidades de recuperación
y reanudación del servicio.

Almacenar fuera de las instalaciones todos los medios de respaldo, documentación
y otros recursos de TI críticos, necesarios para la recuperación de TI y para los
planes de continuidad.

El contenido de los respaldos a almacenar debe determinarse en conjunto entre los
responsables de los procesos sustantivos y el personal de TI.

La administración del sitio de almacenamiento externo a las instalaciones, debe
apegarse a la política de clasificación de datos y a las prácticas de almacenamiento
de datos del organismo.
93
INFORME DE AUDITORIA

La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean
evaluados periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad.

Asegurarse de la compatibilidad del hardware y del software para poder recuperar
los datos archivados.

Periódicamente probar y renovar los datos archivados.

Una vez lograda una exitosa reanudación de las funciones de TI después de un
desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar
lo adecuado del plan y actualizarlo en consecuencia.

La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados.
5.3.5. Garantizar la Seguridad de los Sistemas
Incluir y asignar a un cargo compatible las funciones relacionadas con:administrar
y dar cumplimiento a la Política de Seguridad de TI al nivel más apropiado para
llevar a cabo exitosamente las tareas de:

Comunicar las políticas y procedimientos de seguridad a los interesados y a los
usuarios.

Identificar de manera única a todos los usuarios, internos, externos y temporales
y su actividad.

Alinear, definir y documentar los derechos de acceso del usuario a sistemas y
datos con las necesidades de los procesos del organismo.

Definir formalmente un marco de trabajo para que los derechos de acceso del
usuario sean solicitados por su gerencia, aprobados por el responsable del
sistema e implementado por el área de la seguridad.

Mantener en un repositorio central las identidades del usuario y los derechos de
acceso deben mantenerse en un repositorio central.
94
INFORME DE AUDITORIA

Implementar, mantener y actualizadas medidas técnicas y procedimientos, para
establecer la identificación, realizar la autenticación y habilitar los derechos de
acceso de los usuarios.

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación
y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en
cuenta por el sector responsable de las cuentas de los usuarios.

Incluir un procedimiento que describa al responsable de los datos o del sistema
para que otorgue los privilegios de acceso. Estos procedimientos se deben
aplicar para todos los usuarios, incluyendo administradores (usuarios
privilegiados), usuarios externos e internos, para casos normales y de
emergencia.

Acordar los derechos y obligaciones relacionados al acceso a los sistemas e
información del organismo para todos los tipos de usuarios. Llevar a cabo una
revisión regular de todas las cuentas y los privilegios asociados.

Garantizar que la implementación de la seguridad en TI sea probada y
monitoreada de forma proactiva.

Acreditar la seguridad de TI periódicamente para garantizar que se mantiene el
nivel de seguridad aprobado. Definir una función de ingreso al sistema y de
monitoreo que permita la detección oportuna de actividades inusuales o
anormales que pueden requerir atención.

Garantizar que las características de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de
seguridad sean atendidos de forma apropiada por medio del proceso de
administración de problemas o incidentes.

Incluir una descripción de lo que se considera un incidente de seguridad y su
nivel de impacto. Definir un número limitado de niveles de impacto para cada
95
INFORME DE AUDITORIA
incidente, e identificar las acciones específicas requeridas y las personas que
necesitan ser notificadas.

Garantizar que la tecnología importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentación de seguridad no se divulgue de
forma innecesaria.

Determinar que las políticas y procedimientos para organizar la generación,
cambio, revocación, destrucción, distribución, certificación, almacenamiento,
captura, uso y archivo de llaves criptográficas estén implantadas, para
garantizar su protección contra modificaciones y divulgación no autorizadas.

Garantizar que se cuente con medidas de prevención, detección y corrección a
lo largo de toda la organización para proteger a los sistemas de información y a
la tecnología contra software malicioso.

Garantizar que se utilizan técnicas de seguridad y procedimientos de
administración asociados, por ejemplo, firewalls, dispositivos de seguridad,
segmentación de redes, y detección de intrusos, para autorizar acceso y
controlar los flujos de información desde y hacia las redes.

Garantizar que las transacciones de datos sensibles sean intercambiadas
solamente a través de una ruta o medio confiable con controles para brindar
autenticidad de contenido, prueba de envío y recepción, y no repudio del origen.

Procurar la protección de los datos sensibles, incluso frente a los
administradores de las bases de datos.
5.3.6. Identificar y asignar costos

Desarrollar un modelo orientado a los centros de costos.

Identificar todos los costos de TI para soportar un modelo de costos transparente.
96
INFORME DE AUDITORIA

Vincular los servicios de TI a los procesos del organismo de forma que cada
temática pueda identificar los niveles de costo de los servicios asociados.

Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido.

Analizar y reportar las variaciones entre los presupuestos y los costos actuales de
acuerdo con los sistemas de medición financiera del organismo.

Definir, con base en la característica del servicio, un modelo de costos que incluya
costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de montos
de reintegros por servicio.

Alinear el modelo de costos con los procedimientos de contabilización del
organismo.

El modelo de costos de TI debe garantizar que los cargos por servicios sean
identificables, medibles y predecibles por parte de los usuarios para propiciar el
adecuado uso de recursos.

Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los
servicios.

Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos
para mantener su relevancia para el tema en evolución y para las actividades de TI.
5.3.7. Educación y capacitación de los usuarios
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya:

Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a
sus miembros, a los mecanismos de capacitación más eficientes.

Designar instructores y organizar el entrenamiento con tiempo suficiente.

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la
relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y
97
INFORME DE AUDITORIA
valor. Los resultados de esta evaluación deben contribuir a la definición futura de
los planes de estudio y de las sesiones de entrenamiento.

Valores corporativos (valores éticos, cultura de control y seguridad)
5.3.8. Administrar la mesa de servicio y los incidentes

Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,
para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información.

Establecer procedimientos de monitoreo y escalamiento basados en los niveles de
servicio acordados, que permitan clasificar y priorizar cualquier problema
reportado como incidente, solicitud de servicio o solicitud de información.

Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios
y de los servicios de TI.

Establecer una función y sistema que permita el registro y rastreo de llamadas,
incidentes, solicitudes de servicio y necesidades de información. Debe trabajar
estrechamente con los procesos de administración de incidentes, administración de
problemas,
administración
de
cambios,
administración
de
capacidad
y
administración de disponibilidad.

Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo
al equipo de administración de problemas apropiado y mantener informados a los
usuarios sobre el estado de sus consultas.

Establecer procedimientos de mesa de servicios de manera que los incidentes que
no puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es
adecuado, brindar soluciones alternas.

Establecer procedimientos para el monitoreo puntual de la resolución de consultas
de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar
98
INFORME DE AUDITORIA
la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el
usuario.

Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia
medir el desempeño del servicio y los tiempos de respuesta, así como para
identificar tendencias de problemas recurrentes de manera que el servicio pueda
mejorarse de forma continua.
5.3.9. Administrar la configuración

Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus
repuestos) o intangibles (licencias de software y aplicaciones de producción propia)

Diseñar y mantener una aplicación de gestión que permita
monitorear las
modificaciones introducidas al equipamiento y sus movimientos a otras oficinas o
ámbitos de trabajo. Asimismo, esta herramienta debe mantener un repositorio
central con toda la información relevante sobre los elementos de configuración –
física y de software – de servidores y estaciones.

Para la biblioteca de aplicaciones de producción propia, mantener una línea-base de
los elementos de la configuración para todos los sistemas y servicios como punto
de comprobación al cual volver tras un cambio y establecer rutinas documentadas y
periódicas de revisión.

Establecer un procedimiento estandarizado
que permita seguir los cambios al
repositorio de configuración.
5.3.10. Administración de problemas

Implementar procesos para reportar y clasificar problemas que han sido
identificados como parte de la administración de incidentes.

Categorizar los problemas de manera apropiada en grupos o dominios relacionados
(por ejemplo, hardware, software, software de soporte). Estos grupos pueden
99
INFORME DE AUDITORIA
coincidir con las responsabilidades organizacionales o con los grupos de usuarios y
son la base para asignar los problemas al personal de soporte.

El sistema de administración de problemas debe mantener pistas de auditoría
adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los
problemas reportados considerando:
o Todos los elementos de configuración asociados.
o Problemas e incidentes sobresalientes.
o Errores conocidos y probables.
o Seguimiento de las tendencias de los problemas.

Disponer de un procedimiento para cerrar registros de problemas ya sea después de
confirmar la eliminación exitosa del error conocido o después de acordar con el
responsable del tema cómo administrar el problema de manera alternativa.
5.3.11. Administración de datos

Establecer mecanismos para garantizar que el proceso reciba los documentos
originales correctos, que se procese toda la información recibida, que se preparen y
entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y
reproceso estén soportadas.

Definir e implementar procedimientos para el archivo y almacenamiento de los
datos, de manera tal que estos permanezcan accesibles y utilizables.

Definir e implementar procedimientos para mantener un inventario de medios de
almacenamiento en sitio y garantizar su integridad y su uso.

Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y
al software desde equipos o medios una vez que son eliminados o transferidos para
otro uso.
100
INFORME DE AUDITORIA

Definir e implementar procedimientos de respaldo y restauración de los sistemas,
datos y configuraciones que estén alineados con los requerimientos de la misión y
con el plan de continuidad.

Verificar el cumplimiento de los procedimientos de respaldo y verificar la
capacidad y el tiempo requerido para tener una restauración completa y exitosa.

Probar los medios de respaldo y el proceso de restauración.

Establecer mecanismos para identificar y aplicar requerimientos de seguridad
aplicables a la recepción, procesamiento, almacenamiento físico y entrega de
información y de mensajes sensitivos que incluyen registros físicos, transmisiones
de datos y cualquier información almacenada fuera del sitio.
5.3.12. Administración de instalaciones

Definir y seleccionar los centros de datos físicos para los equipos de TI. Debe
tomar en cuenta el riesgo asociado con desastres naturales y causados por el
hombre, considerando las leyes y regulaciones correspondientes.

Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte
y de resolución de incidentes de seguridad física.

Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y
revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del
organismo, incluyendo las emergencias.

Diseñar e implementar medidas de protección contra factores ambientales. Deben
instalarse dispositivos y equipo especializado para monitorear y controlar el
ambiente.

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de
suministro de energía, de acuerdo con las leyes y los reglamentos, los
requerimientos técnicos, las especificaciones del proveedor y los lineamientos de
101
INFORME DE AUDITORIA
seguridad y salud. En relación a los PCF se recomienda independizar el suministro
eléctrico del sector de la DNM del resto de los organismos actuantes, con un tablero
secundario con sus correspondientes llaves termo magnéticas.

Disponer un sitio alternativo de procesamiento.

Llevar control de las visitas en los centros de procesamiento.

Incorporar a un plan de contingencia los procedimientos que mitiguen los daños
que puedan presentarse en situaciones de exposición al riesgo.
5.3.13. Administración de operaciones

Definir, implementar y mantener procedimientos estándar para operaciones de TI y
garantizar que el personal de operaciones está familiarizado con todas las tareas de
operación relativas a ellos.

Organizar la programación de trabajos, procesos y tareas en la secuencia más
eficiente, maximizando el desempeño y la utilización para cumplir con los
requerimientos del tema.

Definir e implementar procedimientos para monitorear la infraestructura de TI y los
eventos relacionados.

Garantizar que en los registros de operación se almacena suficiente información
cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de
tiempo de las operaciones y de las otras actividades que soportan o que están
vinculadas a estas.

Establecer resguardos físicos, prácticas de registro y administración de inventarios
adecuados sobre los activos de TI.

Definir e implementar procedimientos para garantizar el mantenimiento oportuno
de la infraestructura para reducir la frecuencia y el impacto de las fallas o
disminución del desempeño.
102
INFORME DE AUDITORIA
5.4. MONITOREAR Y EVALUAR
5.4.1. Monitorear y evaluar el desempeño de TI

Contemplar y asignar las funciones administrativas exclusivas de monitoreo y
evaluación de desempeño de la infraestructura de TI.

Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que
abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el
proceso a seguir para medir la solución y la entrega de servicios de TI.

Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias
para definir un conjunto de objetivos de desempeño.

Evaluación del desempeño. Comparar en forma periódica el desempeño contra las
metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver
las causas subyacentes cuando hay desvíos.

Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos
para ser revisados por la alta dirección sobre el avance del organismo hacia metas
identificadas, específicamente en términos del desempeño. Éstos deben incluir el
grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos,
las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se
debe identificar cualquier desviación respecto al desempeño esperado e iniciar y
reportar las medidas de administración adecuadas.

Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el
monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de
todo el monitoreo, de los reportes y de las evaluaciones con:
o Revisión, negociación y establecimiento de respuestas de administración.
o Asignación de responsabilidades por la corrección.
o Rastreo de los resultados de las acciones comprometidas.
103
INFORME DE AUDITORIA
5.4.2. Monitorear y evaluar el control interno

Monitoreo del marco de trabajo de control interno. Monitorear de forma continua,
comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de
TI para satisfacer los objetivos del organismo.

Monitorear y evaluar la eficiencia y efectividad de los controles internos de
revisión de la gerencia de TI.

Identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.

Control interno para terceros. Evaluar el estado de los controles internos de los
proveedores de servicios externos. Confirmar que los proveedores de servicios
externos cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales.

Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones
correctivas derivadas de los controles de evaluación y los informes.
5.4.3. Garantizar el cumplimiento con requerimientos externos

Identificar los requerimientos de las leyes, regulaciones y cumplimientos
contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros
requerimientos externos que se deben de cumplir para incorporar en las políticas,
estándares, procedimientos y metodologías de TI del organismo.

Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas,
estándares, procedimientos y metodologías de TI para garantizar que los requisitos
legales, regulatorios y contractuales son direccionados y comunicados.

Evaluación del cumplimiento con requerimientos externos. Confirmar el
cumplimiento de políticas, estándares, procedimientos y metodologías de TI con
requerimientos legales y regulatorios.
104
INFORME DE AUDITORIA

Ajustar el diseño de la página web del organismo para cumplir con las
observaciones detalladas en el ANEXO VII.
5.4.4. Proporcionar gobierno de TI

Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el
marco de gobierno de TI con la visión completa del entorno de control. Basar el
marco de trabajo en un adecuado proceso de TI y modelo de control. Proporcionar
la rendición de cuentas y prácticas inequívocas para evitar la pérdida del control
interno. Confirmar que el marco de gobierno de TI asegura el cumplimiento de las
leyes y regulaciones y que está alineado a la estrategia y objetivos del organismo.
Informar del estado y cuestiones de gobierno de TI.

Alineamiento estratégico. Facilitar el entendimiento de los niveles decisorios sobre
temas estratégicos de TI, de manera que exista un entendimiento compartido entre
las altas gerencias y la función de TI sobre la contribución potencial de TI a los
objetivos estratégicos del organismo.

Entrega de valor. Administrar los programas de inversión con TI, así como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para
apoyar la estrategia y los objetivos del organismo.

Administración de recursos. Revisar inversión, uso y asignación de los activos de
TI por medio de evaluaciones periódicas de las iniciativas y operaciones para
asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los
imperativos actuales y futuros.

Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de
riesgo de TI aceptable por el organismo y obtener garantía razonable que las
prácticas de administración de riesgos de TI son apropiadas para asegurar que el
riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las
responsabilidades de administración de riesgos en el organismo, asegurando que el
105
INFORME DE AUDITORIA
desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados
con TI y su impacto y que la posición de los riesgos de TI del organismo es
entendida por los interesados.

Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o
excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde
los objetivos confirmados no se han alcanzado o el progreso no es el esperado,
revisar las acciones correctivas.

Aseguramiento independiente. Garantizar de forma independiente (interna o
externa) la conformidad de TI con la legislación y regulación relevante; las
políticas del organismo, estándares y procedimientos; prácticas generalmente
aceptadas; y la efectividad y eficiencia del desempeño de TI.
6. CONCLUSIONES
Los movimientos migratorios internacionales han representado para la Argentina un
elemento relevante en materia socio-cultural, política y económica, constituyendo aportes
fundamentales en su configuración histórica y actual.52
Más allá de la histórica inmigración europea de finales de siglo XIX y principios del XX,
el país constituye un polo de atracción para los migrantes del cono sur latinoamericano, tal
como surge de las estadísticas de radicación, que arrojan un promedio anual de más de
200.000 personas por año para el período 2004 – 2014 (con picos de 336.987 y 304.251 en
2006 y 2012), y las estadísticas de movimiento de personas, que ascienden a más de 56
millones para 2014 -considerando ingresos y egresos. Esto ocurre en un territorio con
fronteras extensas y en ocasiones permeables, cuyo control estricto resulta complejo.
52
“Inmigrantes y criollos en el Bicentenario” de Alberto Sarramone ISBN 978-987-627-133-2 Ediciones B
Argentina S.A.
106
INFORME DE AUDITORIA
La Dirección Nacional de Migraciones (DNM) es el organismo responsable de controlar el
ingreso, permanencia y egreso de personas al país y ejerce el poder de policía de
extranjeros en todo el territorio de la República. A partir de la sanción de la Ley 25.871,53
su rol cobró relevancia en el control de los trámites migratorios al asumir funciones que
anteriormente estaban asignadas a otros organismos, tales como Gendarmería Nacional o
Prefectura Naval Argentina.
Este proceso de crecimiento institucional no fue acompañado por un desarrollo acorde de
la estructura de la Dirección General de Sistemas y Tecnologías de la Información
(DGSyTI).
Como consecuencia de esto, se observan falencias en la planificación y la organización
que, dada la dependencia crítica que representa la TI para el organismo, conducen a una
gestión basada en acciones reactivas.
La ausencia de marcos de trabajo formalizados no permite generar información a partir de
la cual se puedan obtener los indicadores cuantitativos y cualitativos necesarios para la
conformación de un tablero de control de gobierno de TI y medir la entrega de valor.
Mientras que la infraestructura de TI creció en forma exponencial, algunas funciones
sensibles tales como la planificación, el monitoreo de la infraestructura, la administración
53
Política Migratoria Argentina. Derechos y obligaciones de los extranjeros. Atribuciones del Estado.
Admisión de extranjeros a la República Argentina y sus excepciones. Ingreso y egreso de personas.
Obligaciones de los medios de transporte internacional. Permanencia de los extranjeros. Legalidad e
ilegalidad de la permanencia. Régimen de los recursos. Competencia. Tasas. Argentinos en el exterior.
Autoridad de aplicación. Disposiciones complementarias y transitorias.
107
INFORME DE AUDITORIA
de la seguridad, la gestión de riesgos o el aseguramiento de la calidad del servicio, no han
sido formalmente definidas.
Además, para el mantenimiento de la infraestructura de TI en el interior, la DGSyTI no
cuenta con una estructura funcional propia. Lo hace a través de referentes informáticos que
dependen jerárquicamente de los funcionarios de rango superior del lugar de asiento. Esto
provoca una dicotomía en relación al principio de unidad de mando, cuando en presencia
de incidentes varios, debe responder por este principio a su inmediato superior.
Por otra parte, la política de retención de recursos humanos resulta poco apropiada atento
que el 94,03 % del personal se encuentra bajo una modalidad de contrato que no permite
un plan de carrera en el organismo54 e introduce un factor de riesgo de inestabilidad laboral
al tener que renovar el vínculo anualmente.
Respecto de la información en las aplicaciones informáticas de control de tránsito
migratorio, debe considerarse que:

No todos los pasos fronterizos se encuentran informatizados. En estos casos, la
registración de los datos de los migrantes se hace en forma manual y se cargan en
las aplicaciones en forma diferida, proceso que está sujeto a las siguientes
debilidades: i) los pasos no cuentan con el control de aptitud migratoria, ii) los
datos son factibles de errores o faltantes en su manipulación, iii) producto del punto
anterior, pueden generarse inconsistencias tales como casos de personas que
ingresan por los lugares habilitados que quedan en situación migratoria de
irregularidad.

La base de datos de la DNM no contiene la totalidad de los movimientos de
personas.
54
Sólo pueden ser promovidos a un ascenso el personal de la planta permanente.
108
INFORME DE AUDITORIA

La inadecuada infraestructura de TI de algunos PCF provoca caídas del servicio
que lo ponen en la misma situación que los que no están informatizados.
La falta de información en el sistema que registra el movimiento de personas en las
fronteras no sólo obedece a debilidades en el entorno tecnológico, sino también a
debilidades en el control ejercido por el organismo competente, tanto en lugares u horarios
no habilitados a través de las policías auxiliares, como en los entornos de los puestos de
control fronterizo. La consecuente falta de datos dificulta la identificación y detección de
personas cuyo egreso, ingreso o permanencia en el Territorio Nacional deba ser sancionada
y/o prohibida por las razones expuestas en el art. 29º de la ley.55.
55
ARTICULO 29. — Serán causas impedientes del ingreso y permanencia de extranjeros al Territorio
Nacional:
a) La presentación ante la autoridad de documentación nacional o extranjera material o ideológicamente
falsa o adulterada. El hecho será sancionado con una prohibición de reingreso por un lapso mínimo de
cinco (5) años;
b) Tener prohibido el ingreso, haber sido objeto de medidas de expulsión o de prohibición de reingreso,
hasta tanto las mismas no hayan sido revocadas o se hubiese cumplido el plazo impuesto al efecto;
c) Haber sido condenado o estar cumpliendo condena, en la Argentina o en el exterior, o tener antecedentes
por tráfico de armas, de personas, de estupefacientes o por lavado de dinero o inversiones en actividades
ilícitas o delito que merezca para la legislación argentina pena privativa de la libertad de tres (3) años o
más;
d) Haber incurrido o participado en actos de gobierno o de otro tipo, que constituyan genocidio, crímenes de
guerra, actos de terrorismo o delitos de lesa humanidad y de todo otro acto susceptible de ser juzgado por
el Tribunal Penal Internacional;
e) Tener antecedentes por actividades terroristas o por pertenecer a organizaciones nacional o
internacionalmente reconocidas como imputadas de acciones susceptibles de ser juzgadas por el Tribunal
Penal Internacional o por la ley 23.077, de Defensa de la Democracia;
f) Haber sido condenado en la Argentina o tener antecedentes por promover o facilitar, con fines de lucro, el
ingreso, la permanencia o el egreso ilegales de extranjeros en el Territorio Nacional;
g) Haber sido condenado en la Argentina o tener antecedentes por haber presentado documentación material
o ideológicamente falsa, para obtener para sí o para un tercero un beneficio migratorio;
h) Promover la prostitución; lucrar con ello; haber sido condenado o tener antecedentes, en la Argentina o en
el exterior por haber promovido la prostitución; por lucrar con ello o por desarrollar actividades
relacionadas con el tráfico o la explotación sexual de personas;
i) Intentar ingresar o haber ingresado al Territorio Nacional eludiendo el control migratorio o por lugar o en
horario no habilitados al efecto;
j) Constatarse la existencia de alguno de los impedimentos de radicación establecidos en la presente ley;
k) El incumplimiento de los requisitos exigidos por la presente ley.
109
INFORME DE AUDITORIA
7. COMUNICACIÓN AL ENTE
Por nota N° 71/15-A06 la AGN remite el proyecto de informe a la Dirección Nacional de
Migraciones (DNM), quien lo recibe con fecha 15 de junio de 2015.
El 5 de julio de 2015 la DNM, mediante la nota N° 426/15, envía el descargo que AGN
recepciona el 6 de julio del corriente.
En los ANEXOS I y II al presente informe, en orden simultáneo, se presentan tanto la
respuesta del organismo auditado como los comentarios de la AGN.
Como resultado del análisis realizado, se modifica parcialmente el texto de la observación
4.4.1 sin incidencia en su nivel de madurez.
8. LUGAR Y FECHA
BUENOS AIRES, agosto de 2015
9. FIRMA
En el caso del inciso a) el Gobierno Federal se reserva la facultad de juzgar a la persona en la República
cuando el hecho pueda relacionarse con cuestiones relativas a la seguridad del Estado, a la cooperación
internacional o resulte posible vincular al mismo o a los hechos que se le imputen con otras
investigaciones sustanciadas en el Territorio Nacional.
La Dirección Nacional de Migraciones, previa intervención del Ministerio del Interior, podrá admitir,
excepcionalmente, por razones humanitarias o de reunificación familiar, en el país en las categorías de
residentes permanentes o temporarios, mediante resolución fundada en cada caso particular, a los extranjeros
comprendidos en el presente artículo.
110
INFORME DE AUDITORIA
10. ANEXOS
ANEXO I – Comentarios del auditado
111
INFORME DE AUDITORIA
A continuación se exponen los comentarios del auditado sobre cada una de las observaciones
señaladas.
4.1 PLANIFICAR Y ORGANIZAR
4.1.1 Definir Plan Estratégico para TI
“Se acompaña Plan Estratégico 2015 – 2017”.
4.1.2 Definir la Arquitectura de la Información
“La DNM cuenta con documentos que sustentan la integridad y consistencia de la información, los
cuales se encuentran en proceso de formalización en funci6n de los recursos recientemente
incorporado”.
4.1.3 Determinar la dirección tecnológica
“Se implementarán las recomendaciones formuladas”.
4.1.4 Definir los procesos, organización y relaciones de TI
“Se acompañan disposiciones 3843/2014, 3912/2014 y 2042/2010”.
4.1.5 Administrar la inversión en TI
“Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”.
4.1.6 Comunicar las aspiraciones y la dirección de la gerencia
“Se acompaña Plan Estratégico 2015 – 2017”.
4.1.7 Administrar los recursos humanos de TI
“Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”.
4.1.8 Administrar la calidad
“La DGSyTI se encuentra acreditado como proveedor de servicios en la certificación 150:9001
obtenida para el proceso de Control de Ingresos y Egresos, encontrándose así mismo en curso el
otro proceso sustantivo correspondiente a la Admisión de Extranjeros”.
4.1.9 Evaluar y administrar los riesgos de TI
“Se acompaña el Plan de Operatividad y Continuidad del Negocio”.
4.1.10 Administrar proyectos
“Se encuentra en proceso de actualización el Manual de Procedimientos de Administración de
Proyectos Informáticos”.
4.2 ADQUIRIR E IMPLEMENTAR
4.2.1 Identificar Soluciones Automatizadas
“Se implementarán las recomendaciones”.
112
INFORME DE AUDITORIA
4.2.2 Adquirir o desarrollar y mantener software aplicativo
“Se implementarán las recomendaciones”.
4.2.3 Adquirir y mantener infraestructura tecnológica
“Se encuentra en trámite el Programa de Mantenimiento de Hardware por expediente DNM
12898/2014”.
4.2.4 Facilitar la operación y el uso
“Se implementaran las recomendaciones”.
4.2.5 Adquirir recursos de TI
“Se encuentra en trámite la actualización de servicios prestados por terceros contemplando
Acuerdo de Nivel de Servicio por expediente DNM 16766/2014”.
4.2.6 Administrar cambios
“Se implementarán las recomendaciones”.
4.2.7 Instalar y acreditar soluciones y cambios
“Se implementarán las recomendaciones”.
4.3 ENTREGAR Y DAR SOPORTE
4.3.1 Definir y administrar los niveles de servicio
“Se implementarán las recomendaciones”.
4.3.2 Administrar servicios de terceros
“Se encuentra en trámite la actualización de servicios prestados por terceros contemplando
Acuerdo de Nivel de Servicio por expediente DNM 16766/2014”.
4.3.3 Administrar el desempeño y la capacidad
“EI organismo no dispone de recursos para atender en forma específica la cobertura de esta
actividad y se desempeña con las mejores prácticas "a requerimiento", sin perjuicio de lo cual se
evaluará su implementación”.
4.3.4 Garantizar la continuidad del servicio
“Se encuentra en proceso de actualización la Política de Seguridad de la Información y los Planes
asociados a su cumplimiento”.
4.3.5 Garantizar la seguridad de los sistemas
“Se creó la Unidad de Seguridad Informática por Disposición 3912/2014 y se encuentra en
proceso de actualización la Política de Seguridad de la Información y los Planes asociados a su
cumplimiento”.
4.3.6 Identificar y asignar costos
“Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”.
113
INFORME DE AUDITORIA
4.3.7 Educación y capacitación de los usuarios
“Se Adjunta Memorándum 902/2015 producido por la Dirección General de Administración”.
4.3.8 Administrar la mesa de servicio y los incidentes
“Se implementarán las recomendaciones”.
4.3.9 Administrar la configuración
“Se implementarán las recomendaciones”.
4.3.10 Administración de problemas
“Se implementarán las recomendaciones”.
4.3.11 Administración de Datos
“Se encuentra en proceso de actualización el Procedimiento de Resguardo de la Información”.
4.3.12 Administración de Instalaciones
“Se encuentra en trámite la Adecuación de la infraestructura de los CPD por expediente DNM
2489/11”.
4.3.13 Administración de operaciones
“Se implementarán las recomendaciones”.
4.4 MONITOREAR Y EVALUAR
4.4.1 Monitorear y evaluar el desempeño de TI
“Sin perjuicio de que esta instancia no comparte el diagnóstico sobre la base de datos de Aptitud
Migratoria, toda vez que existen mecanismos alternativos para su actualización, se tendrá en
cuenta la recomendación formulada para optimizar los procedimientos actuales”.
4.4.2 Monitorear y evaluar el control interno
“EI Organismo se ajusta a las pautas establecidas en la resolución 48/05 ‘Normas de Control
Interno para Tecnología de la Información’ y Normativas emitidas por la ONTI, siendo su
cumplimiento evaluado por la Unidad de Auditoría Interna”.
4.4.3 Garantizar el cumplimiento con requerimientos externos
“EI Organismo se ajusta a las pautas establecidas en la resolución 48/05 "Normas de Control
Interno para Tecnología de la Información" y Normativas emitidas por la ONTI, siendo su
cumplimiento evaluado por la Unidad de Auditoría Interna”.
4.4.4 Proporcionar gobierno de TI
“Se acompaña Plan Estratégico 2015 – 2017”.
114
INFORME DE AUDITORIA
ANEXO II – Análisis de los comentarios del auditado
A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado.
Nº de
observación
4.1. Planificar y
organizar
4.1.1 Definir un
plan estratégico
para TI
Observación
Respuesta DNM
En febrero de 2012 se aprobó un Plan de Tecnologías de la Información 2012-2014, Se acompaña Plan
elaborado a partir de una evaluación realizada por la propia DGSyTI, y en función Estratégico 2015 del lineamiento estratégico de la Dirección Nacional orientado a tomar el control 2017.
administrativo sobre los pasos fronterizos administrados por otros organismos
(Prefectura Naval Argentina, Gendarmería
Nacional) o a mejorar la infraestructura de TI. También se plantea la actualización
de la infraestructura de Data Center con una contratación llave en mano (20122014), el rediseño de la página Web, mantenimiento de sistemas aplicativos
S.Ad.Ex, S.I.Ca.M, Si.Ge.R.A.M, S.A.Cer , capacitaciones con aula virtual, a los
usuarios, innovación en materia de digitalización, tecnologías biométricas e
infraestructura de firma digital. En tal sentido, cabe señalar que el Plan de TI 20122014 no cuenta con los planes tácticos que lo respalden, donde se detallen tiempos,
recursos afectados, costos, hitos intermedios a alcanzar o riesgos relacionados, que
Comentario AGN
Se mantienen las observaciones. La
documentación
presentada
es
posterior56 al período auditado57 y a
los trabajos de campo58. Se evaluarán
en una próxima auditoría.
56
El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015
De 01/01/2013 al 30/06/2014
58
De 01/03/2014 al 30/09/2014
57
115
INFORME DE AUDITORIA
Nº de
observación
4.1. Planificar y
organizar
4.1.2 Definir la
Arquitectura de la
Información
4.1. Planificar y
organizar
4.1.3 Determinar
la dirección
tecnológica
Observación
Respuesta DNM
Comentario AGN
La DNM cuenta con
documentos que
sustentan la
integridad y
consistencia de la
información, los
cuales se encuentran
en proceso de
formalización en
funci6n de los
recursos
recientemente
incorporados.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
La Dirección General de Sistemas y Tecnologías de la Información ha Se implementarán las
implementado una infraestructura tecnológica en los puestos de control de recomendaciones
migraciones y en delegaciones migratorias del país consistente en una red de formuladas.
comunicaciones con enlaces punto a punto y aplicaciones específicas desarrolladas e
implementadas internamente. Adicionalmente cuenta con una red de celulares
corporativos para uso del personal. No obstante no se tuvo a la vista documentación
respaldatoria de las decisiones sobre la infraestructura tecnológica y los estándares
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
permitan inferir cómo se lograrán los objetivos planteados. Al cierre de trabajos de
campo de esta auditoría, habían transcurrido veinticinco meses desde su última
actualización.
La DGSyTI estableció un modelo no formalizado de arquitectura de la información.
En ese sentido, se establecieron algunas pautas en cuanto al desarrollo de los
aplicativos (siempre desarrollos propios) y el equipamiento que se distribuyó a lo
largo del país en la red propia de datos. No obstante, no se formalizó el modelo,
como tampoco se definieron formalmente pautas que aseguren la integridad y la
consistencia de toda la información almacenada, tales como un diccionario de datos
de la organización, un esquema de clasificación de datos de acuerdo a la criticidad y
la sensibilidad, los procedimientos para definir datos nuevos y esquemas de
funciones estándar de tratamiento de los datos (biblioteca de funciones).
La propiedad de los datos y de los sistemas no se encuentra formal y claramente
definidas.
116
INFORME DE AUDITORIA
Nº de
observación
4.1. Planificar y
organizar
4.1.4 Definir los
procesos,
organización y
relaciones de TI
Observación
adoptados.
Falta un Plan de Infraestructura que esté de acuerdo con los planes estratégicos y
tácticos de TI alineados con los de la organización, con establecimiento de
estándares, dirección tecnológica, un planeamiento de la capacidad instalada y las
posibles necesidades futuras.
La organización utiliza los Estándares Tecnológicos para la Administración Pública
(ETAP) solamente para las adquisiciones. En el caso de las versiones de Si.Ca.M
con servidor local, el motor de base de datos se encuentra sin soporte técnico por
parte del fabricante del producto. Esta situación podría comprometer la continuidad
del servicio brindado por el aplicativo en caso de una falla imprevista.
Al momento de los trabajos de campo, se encontraba aprobada la estructura
organizativa hasta el tercer nivel operativo del organismo (Dirección General,
Direcciones -anteriormente denominadas Coordinaciones- y Departamentos).
Adicionalmente, la segregación de tareas, roles y responsabilidades se encuentran
definidos.
No obstante, el organigrama no contempla posiciones importantes como
administración de proyectos, análisis funcional, aseguramiento de la calidad,
seguridad (física y lógica), monitoreo de la infraestructura y gestión de riesgos, entre
otras. Asimismo, la administración de la seguridad no está definida en el
organigrama. Ante su ausencia, la función está asignada a funcionarios de diversas
áreas, dependiendo del ámbito de aplicación: en el caso de los vínculos de
comunicaciones, y accesos a la red, las tareas las lleva a cabo el Departamento de
Enlaces y Comunicaciones; para acceso y seguridad de servidores, la
Respuesta DNM
Se acompañan
Disposiciones
3843/2014 y
3912/2014.
Comentario AGN
Se mantiene la observación. Las
disposiciones DNM 3843 y 3912 son
posteriores al período auditado y a
los trabajos de campo. Las mismas
se evaluarán en una próxima
auditoría.
En relación a la observación referida
a las posiciones importantes que no
están
contempladas
en
el
organigrama,
se
admite
la
formalización de los analistas
funcionales a través de la disposición
DNM 2042/2010.
117
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN
responsabilidad recae en el Departamento de Tecnología; mientras que los accesos a
las aplicaciones corresponden al Departamento de Soporte Operativo.
Por último, cabe destacar que el representante de la seguridad de la información ante
el Comité de Seguridad de la Información, es el Director de Aplicaciones
Informáticas, lo cual vulnera el control por oposición. En relación a la
infraestructura de TI, a cuyo cargo se encuentra la Dirección de Tecnología y
Comunicaciones, y dada la expansión geográfica a la que se vio sometida el
organismo producto de la disposición DNM 2980/2013, la misma además de una
dotación interna, cuenta con referentes informáticos (RI) en el interior del país que
llevan a cabo tareas de soporte técnico solicitadas desde la administración central.
Considerando que estos agentes deben desplazarse físicamente hasta el lugar del
incidente para proceder a su solución in situ, cabe señalar que, en algunos casos, los
RI son insuficientes (las regiones VI y IX) y en otros inexistentes (Región VIII y las
provincias de Córdoba, La Pampa, San Luis y Tucumán) para garantizar la
continuidad del servicio.
Sobre el rol de cada RI cabe destacar que:
 No se encuentran definidas formalmente ni las misiones ni las
responsabilidades de la función. Su dependencia funcional no está
claramente definida por cuanto debe responder a su mando superior
(delegado, coordinador de la región, encargado del PCF y otros) y a las
directivas emanadas por la DGSyTI.
 En la mayoría de las zonas asignadas, son las únicas personas a cargo de
esta tarea, con lo cual existe una dependencia crítica ante su eventual
118
INFORME DE AUDITORIA
Nº de
observación
Observación
ausencia.
Algunos agentes se encuentran bajo una modalidad contractual no
compatible con la criticidad de sus responsabilidades.
 En algunos casos deben recorrer distancias que en tiempo superan la mitad
del horario de atención al público o tienen más de 40 puestos de trabajo para
atender o la dotación no les permite solucionar más de un incidente en la
misma jornada laboral.
 No pueden realizar un programa preventivo que evite una posible
discontinuidad del servicio.
La asignación presupuestaria de los recursos de TI no está imputada a las áreas
usuarias de los servicios de TI, sino a la Dirección General de Sistemas y
Tecnología de la Información (DGSyTI).
Falta la implementación a nivel de la organización de un enfoque orientado a la
administración por centros de costos de los recursos de TI. Dentro de este marco de
trabajo, la DGSyTI no presenta un proceso presupuestario propio de los programas
de inversión de TI incluyendo los costos de operar y mantener la infraestructura
actual. Este proceso debería permitir su monitoreo para determinar la contribución
esperada de TI a los objetivos estratégicos del organismo.
En relación a la formulación presupuestaria, el presupuesto total del organismo se
incrementó en un 37,53% en términos nominales entre el 2012 y el 2013; sin
embargo, la inversión en TI prevista, se mantuvo constante en términos nominales
Respuesta DNM
Comentario AGN
Se Adjunta
Memorándum
902/2015 producido
por la Dirección
General de
Administración.
La observación no cuestiona el
cumplimiento por parte de la DNM
de la ley de Administración
Financiera59 sino a la conveniencia
de
llevar
un
proceso
de
administración
presupuestaria
desagregado en lo concerniente a la
TI. En relación a la incidencia del
presupuesto de TI sobre el
presupuesto general de los períodos
2012 y 2013, los cálculos expresados
en la observación están basados en la

4.1. Planificar y
organizar
4.1.5 Administrar
la inversión en TI
59
Ley 24.156
119
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
pero se redujo en términos porcentuales del 6,08% en el 2012 al 4,42% en el 2013
(en relación al presupuesto total del organismo).
4.1. Planificar y
organizar
4.1.6 Comunicar
las aspiraciones y
la dirección de la
gerencia
4.1. Planificar y
organizar
El ambiente de control de TI es incompleto. Existen algunas disposiciones pero no
todas se cumplen.
Faltan políticas formalizadas del ambiente de control que se puedan tomar como
marco de referencia y que sean parte de un programa de comunicación continua al
personal relevante, referidas a:
 Planificación de Proyectos y su seguimiento
 Programa de Aseguramiento de la Calidad
 Administración de riesgos
 Documentación en general que tenga como objetivo maximizar la entrega
de valor de TI a los objetivos estratégicos del organismo, mientras se
minimizan los riesgos.
La ley 25.164 -Ley marco de Regulación de Empleo Público Nacional- determina
diferentes modalidades de contratación:
Comentario AGN
formulación
presupuestaria
correspondiente a esos años que
fuera suministrada a este equipo de
auditoría por la Dirección General de
Administración.
Se acompaña Plan
Estratégico 2015 –
2017.
Se mantienen las observaciones. La
documentación
presentada
es
posterior60 al período auditado61 y a
los trabajos de campo62. Se evaluarán
en una próxima auditoría.
Se Adjunta
Memorándum
La respuesta del organismo no
contradice
las
observaciones
60
El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015
De 01/01/2013 al 30/06/2014
62
De 01/03/2014 al 30/09/2014
61
120
INFORME DE AUDITORIA
Nº de
observación
4.1.7 Administrar
los recursos
humanos de TI
4.1. Planificar y
organizar
4.1.8 Administrar
la calidad
Observación
Respuesta DNM
Comentario AGN
 Con sujeción al régimen de estabilidad;
 con sujeción al régimen de contrataciones por tiempo determinado; y
 con sujeción al régimen para el personal de gabinete o ad honorem.
La DNM adhiere al Convenio Colectivo General para la Administración Pública
Nacional (Decreto 214/2006).
Al momento de los trabajos de campo, en el organismo el 89,55% del personal
pertenece a la Planta Transitoria. En este orden, el personal de la Dirección General
de Sistemas y Tecnologías de la Información (DGSyTI) en su mayoría es contratado
bajo la modalidad “transitorio/permanente”. La perpetuidad en esta modalidad de
contratación, pensada para situaciones transitorias o estacionales, desvirtúa la
naturaleza jurídica de la misma, provocando situaciones desfavorables para los
agentes dentro del organismo. La percepción del plus informático sólo es exclusiva
del Personal de Planta Permanente.
La falta de personal y de formalización de los marcos de trabajo (políticas,
procedimientos, documentaciones varias) genera una alta exposición a dependencias
críticas sobre individuos clave.
No existen políticas ni un sistema de administración de calidad relacionado con TI
que establezca estándares para medirla y monitorearla. Esto impide identificar
desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a los
usuarios involucrados y conocer la entrega de valor de TI a los objetivos
estratégicos del Organismo.
902/2015 producido
por la Dirección
General de
Administración.
realizadas por esta auditoría, por lo
tanto se mantienen las mismas. Al
momento de los trabajos de campo
sólo 4 (cuatro) funcionarios de la
DGSyTI pertenecían a la Planta
Permanente.
La DGSyTI se
encuentra acreditado
como proveedor de
servicios en la
certificación
150:9001 obtenida
para el proceso de
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, toda
vez que no se encuentra definida en
el organigrama de TI una función
dedicada a la administración de un
sistema de aseguramiento de la
121
INFORME DE AUDITORIA
Nº de
observación
4.1. Planificar y
organizar
4.1.9 Evaluar y
administrar los
riesgos de TI
Observación
No existe un marco de administración de riesgos que permita identificarlos para
tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en
caso de un incidente, cuantificando costos y probabilidades de ocurrencia.
Informalmente los riesgos tecnológicos se conocen, pero falta la formalización del
contexto de riesgo y su evaluación formal de manera tal de contemplar las
fortalezas, las oportunidades, las debilidades y las amenazas.
El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que
pueden generar perjuicios, sin que estén analizadas las medidas a tomar para cada
caso.
Respuesta DNM
Comentario AGN
Control de
Ingresos y Egresos,
encontrándose así
mismo en curso el
otro proceso
sustantivo
correspondiente a la
Admisión de
Extranjeros.
Se acompaña el Plan
de Operatividad y
Continuidad del
Negocio.
calidad, ni fueron presentadas
evidencias de un marco de trabajo al
respecto (documentación solicitada
al comienzo de la auditoría), por lo
tanto se mantienen las mismas.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, toda
vez que no se encuentra definida
dentro del organigrama de TI una
función dedicada a la administración
de riesgos, ni se presentaron
evaluaciones
que
permitan
evidenciar cuales son los riesgos de
la organización a nivel de la TI, ni
fueron presentadas evidencias de un
marco de trabajo al respecto
(documentación
solicitada
al
comienzo de la auditoría), por lo
122
INFORME DE AUDITORIA
Nº de
observación
4.1. Planificar y
organizar
4.1.10
Administrar
proyectos
4.2. Adquirir e
Observación
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos, pero no
se lo aplica en todos los casos.
El marco de trabajo actual no permite inferir cómo se abordan aspectos tales como:
 Costos, plazos, hitos a cumplir, alcance, recursos afectados
 Parámetros definidos en el sistema de administración de la calidad.
 El control de cambios de modo tal que todas las modificaciones a la línea
base se revisen, aprueben e incorporen al plan integrado de acuerdo al
marco de trabajo.
 El monitoreo del desempeño contra los criterios clave previamente
definidos en el sistema de calidad.
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI)
Respuesta DNM
Se encuentra en
proceso de
actualización el
Manual de
Procedimientos de
Administración de
Proyectos
Informático.
Se implementarán las
Comentario AGN
tanto se mantienen las mismas.
En relación al Plan de Operatividad y
Continuidad del negocio, el mismo
fue evaluado durante los trabajos de
campo y no se consideró suficiente
para el objetivo que fue propuesto ya
que
no
cuenta
con
los
procedimientos
explícitamente
formalizados a realizar en caso de
una discontinuidad del servicio, ni
los responsables a cargo de llevarlos
a cabo.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
El
organismo
123
acepta
las
INFORME DE AUDITORIA
Nº de
observación
Implementar
4.2.1 Identificar
soluciones
automatizadas
4.2. Adquirir e
Implementar
4.2.2 Adquirir o
desarrollar y
mantener
software
aplicativo
Observación
Respuesta DNM
que contempla etapas del Ciclo de Vida de Desarrollo de Sistemas, tales como: la recomendaciones.
administración de los requerimientos, estudios de factibilidad, evaluación de los
distintos cursos alternativos posibles de acción, análisis de riesgo, asignación de
prioridades, recursos y consentimiento de los usuarios relevantes, pero no se aplica
en todos los casos. En el MPPI, contempla un formulario estándar para realizar un
requerimiento a ser evaluado, pero no siempre se lo utiliza en la práctica. Otros
medios tales como correo electrónico, notas u otros suelen ser también admitidos
para cambios considerados menores.
Falta establecer un marco de trabajo que sirva para la administración de
requerimientos informáticos, que permita organizarlos, clasificarlos, otorgar
prioridades, asignar recursos y calcular costos.
Las áreas solicitantes o usuarias participan en la etapa de prueba sin quedar
registros de ello, ya que no hay un procedimiento que determine cómo se
documentarán las mismas.
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) Se implementarán las
que contempla cuestiones que hacen a esta etapa del Ciclo de Vida de Desarrollo de recomendaciones
Sistemas (CVDS) incorporando documentaciones tales como: alcance,
requerimientos, diseño, pruebas, e implementación pero no se aplica en todos los
casos y el marco de trabajo es incompleto ya que no se definieron estándares de
documentación como los protocolos de aceptación a aplicar en cada etapa. Por lo
tanto se infiere que es una formulación de una política a aplicar pero no un manual
de procedimiento.
A falta de un Sistema de Administración de Calidad (SAC), no se realiza gestión de
Comentario AGN
observaciones realizadas por lo tanto
se mantienen las mismas.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
124
INFORME DE AUDITORIA
Nº de
observación
4.2. Adquirir e
Implementar
4.2.3 Adquirir y
mantener
infraestructura
tecnológica
Observación
aseguramiento de ésta en las distintas etapas del CVDS. En relación al control y la
posibilidad de auditar los desarrollos de aplicaciones, existe un débil cumplimento
de la política formulada, sumada a la falta de especificidad de ésta en temas tales
como: la documentación en las distintas etapas de los proyectos, reportes de
seguimiento, pistas de auditoría, el control del código fuente, mediciones sobre la
satisfacción de usuarios y una definida metodología de desarrollo. La
documentación existente se encuentra desactualizada e incompleta.
La falta de un entorno de desarrollo integrado permite que existan redundancias o
inconsistencias de datos.
No está definido el marco de trabajo de los pases de entorno de “Desarrollo”, a
“Pruebas”, y de ésta última a “Producción”.
No hay un plan de infraestructura tecnológica que considere aspectos tales como
adquisiciones, implementaciones, planeamiento de la capacidad para necesidades
futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente
como contribución de TI para alcanzar los objetivos estratégicos del Organismo. Los
sistemas principales están sostenidos por una infraestructura tecnológica instalada
en los diferentes pasos fronterizos, delegaciones y administración central conectados
a través de una red MPLS para intercambio de datos. Esta infraestructura comprende
la administración de 62 servidores en sede central, 111 servidores en el interior del
país, switches, estaciones de trabajo, impresoras y scanners. No hay un plan de
mantenimiento preventivo sobre la infraestructura detallada del equipamiento
instalado en los distintos puntos mencionados anteriormente, en base a un
diagnóstico previo que incluya las garantías de los proveedores de tecnología. Otro
Respuesta DNM
Comentario AGN
Se encuentra en
trámite el Programa
de Mantenimiento de
Hardware por
expediente DNM
12898/2014.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
125
INFORME DE AUDITORIA
Nº de
observación
4.2. Adquirir e
Implementar
4.2.4 Facilitar la
operación y el
uso
4.2. Adquirir e
Implementar
4.2.5 Adquirir
recursos de TI
4.2. Adquirir e
Implementar
4.2.6 Administrar
cambios
Observación
Respuesta DNM
Comentario AGN
Se implementaran las
recomendaciones.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
Se encuentra en
trámite la
actualización de
servicios prestados
por terceros
contemplando
Acuerdo de Nivel de
Servicio por
expediente DNM
16766/2014.
No hay procedimientos formales para la administración de cambios que establezcan Se implementarán las
un tratamiento estandarizado de todas las solicitudes de mantenimiento y recomendaciones.
actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema.
Tampoco existe un procedimiento alternativo y formal para atender situaciones de
emergencia.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
aspecto relevante es la ausencia de un sistema de stock y registro de repuestos.
Existen manuales de usuario y hay coordinación con las áreas de Recursos Humanos
para la capacitación del usuario final. Sin embargo, para los casos de cambios o
actualizaciones de los aplicativos, falta un procedimiento que determine la forma en
que el usuario tome conocimiento. En ese sentido, la comunicación de cambios es
informal.
En relación a la transferencia de conocimientos al personal de operaciones y
soporte, se basa en información de calidad variable no estandarizada.
El organismo cumple con las normas jurídicas correspondientes al Régimen de
Contrataciones de la Administración Pública Nacional.
Sin embargo, falta formular un marco de trabajo que permita medir el grado de
cumplimiento de los contratos y que en relación a este análisis, contribuya a
mejorar, modificar o concluir contratos que apliquen a todos los proveedores, que
abarque: responsabilidades y obligaciones legales, financieras, organizacionales,
documentales, de desempeño, así como obligaciones y cláusulas de penalización por
incumplimiento cuando no cumplan los acuerdos de niveles de servicios
previamente establecidos.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
126
INFORME DE AUDITORIA
Nº de
observación
4.2. Adquirir e
Implementar
4.2.7 Instalar y
acreditar
soluciones y
cambios
Observación
Respuesta DNM
Cuando se realizan cambios o actualizaciones no se genera la documentación
pertinente.
Pueden surgir errores a partir de cambios no autorizados y/o no probados a los
sistemas de información.
No se ha contemplado el tratamiento de cambios producidos por cuestiones no
funcionales, tales como cuestiones técnicas (performance y otros) o de seguridad.
Se ha formalizado un Manual de Procedimientos de Proyectos Informáticos (MPPI) Se implementarán las
recomendaciones.
que contempla cuestiones que hacen a esta etapa del Ciclo de
Vida de Desarrollo de Sistemas (CVDS) con documentaciones tales como: alcance,
requerimientos, diseño, pruebas, e implementación, pero no se aplica en todos los
casos. Además, el marco de trabajo es incompleto, ya que no se encuentran
definidos los estándares de documentación, como los protocolos de aceptación a
aplicar en cada etapa.
En consecuencia, el manual constituye una política a implementar más que un
catálogo de procedimientos.
No existe un marco de trabajo (procedimientos formales) para realizar las pruebas
donde estén definidos los roles, responsabilidades y criterios aceptados. La política
establecida en el MPPI sugiere la posibilidad de pasar del entorno de desarrollo al de
producción, sin pasar por el de pruebas.
Por otra parte, las pruebas se llevan a cabo mediante la duplicación de datos, sin que
se tomen los debidos recaudos para enmascarar o convertir los datos sensibles sobre
las personas.
Tampoco se especifica quienes son los responsables del pasaje de las aplicaciones y
Comentario AGN
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
127
INFORME DE AUDITORIA
Nº de
observación
4.3. Entregar y
dar Soporte
4.3.1 Definir y
administrar los
niveles de
servicio
4.3. Entregar y
dar Soporte
4.3.2 Administrar
servicios de
terceros
Observación
Respuesta DNM
los datos entre los distintos entornos (desarrollo, prueba y producción).
Existe un marco de trabajo que define formalmente los niveles de servicio entre el Se implementarán las
usuario y DGSyTI. Dicho marco mantiene una alineación con los requerimientos y recomendaciones.
las prioridades del organismo y facilita el entendimiento común.
El marco cuenta con definiciones de servicio, acuerdos de niveles de operación
(especificaciones técnicas del servicio a recibir), las fuentes de financiamiento y los
acuerdos de niveles de servicio. No incluye, sin embargo, procesos para la creación
de futuros requerimientos de servicio.
No hay personal dedicado al seguimiento del cumplimiento de la prestación del
servicio, ni una política y procedimientos específicos sobre qué hay que medir
(disponibilidad, desempeño, carga de trabajo, capacidad), ni las acciones que se
deben tomar con el propósito de minimizar el riesgo de interrupciones.
Estos atributos no están organizados en un catálogo de servicios.
No existe un marco de trabajo para administrar los servicios de terceros. Esto
comprende la formalización del proceso de administración de relaciones con
proveedores, su clasificación y el monitoreo de la prestación brindada en base a los
niveles de servicio acordados. No hay personal dedicado a esta función, para
asegurar que el proveedor está cumpliendo con los requerimientos convenidos y que
adhiere continuamente a los acuerdos del contrato. En relación a mantener un
efectivo servicio de entrega en forma segura, no se encuentran identificados los
riesgos de no cumplimiento, lo que no permite definir las acciones a seguir con el
fin de mitigarlos.
Se encuentra en
trámite la
actualización de
servicios prestados
por terceros
contemplando
Acuerdo de Nivel de
Servicio por
expediente DNM
Comentario AGN
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
128
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN
16766/2014.
4.3. Entregar y
dar Soporte
4.3.3 Administrar
el desempeño y la
capacidad
4.3. Entregar y
dar Soporte
4.3.4 Garantizar
la continuidad del
servicio
La planeación del desempeño y la capacidad es intuitiva. No resulta de un proceso
de monitoreo de la infraestructura de TI presente y su proyección futura.
No hay personal dedicado al monitoreo de la infraestructura, ni una política y
procedimientos específicos sobre lo que hay que medir (disponibilidad, desempeño,
carga de trabajo, capacidad), ni la fijación de acuerdos de nivel de servicios, ni las
acciones que se deben tomar para balancear la carga de trabajo, dar prioridad a
ciertas tareas o reasignar de recursos con el propósito de minimizar el riesgo de
interrupciones del servicio.
No se elaboran informes de control asociados entre la capacidad y el desempeño.
Éstas se transmiten a través de canales informales (reuniones de evaluación entre los
equipos de la Dirección de Tecnología y Comunicaciones y la Dirección de
Aplicaciones Informáticas). Esta situación no permite planificar con precisión las
necesidades futuras, ni tomar acciones preventivas para evitar la degradación del
servicio ante los posibles incrementos en la demanda.
No existe un plan de contingencia formalizado que garantice la continuidad de
servicios de TI diseñado para reducir el impacto de la interrupción de procesos
críticos. La disposición DNM 19.057 del 9 de mayo de 2006 instruye sobre la
garantía que debe existir en la continuidad del servicio y la necesidad de la
existencia de un plan de contingencia, pero al momento de los trabajos de campo de
esta auditoría dichos planes no se habían formalizado para la administración central.
Tampoco hay planes de contingencia formalizados en las delegaciones y en los
El organismo no
dispone de recursos
para atender en
forma específica la
cobertura de esta
actividad y se
desempeña con las
mejores prácticas “a
requerimiento", sin
perjuicio de lo cual
se evaluará su
implementación.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
Se encuentra en
proceso de
actualización la
Política de
Seguridad de la
Información y los
Planes asociados a
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas. En
relación al Plan de Operatividad y
Continuidad del negocio, el mismo
fue evaluado durante los trabajos de
129
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
puestos de control fronterizos.
su cumplimiento.
El Organismo no se encuentra preparado ante el riesgo de acontecimientos no
previstos que pudieran ocasionar la interrupción de los servicios.
4.3. Entregar y
dar Soporte
4.3.5 Garantizar
la seguridad de
los sistemas
63
El organismo no ha definido la administración de Seguridad a un nivel jerárquico
apropiado que permita, a partir de roles y responsabilidades adecuadamente
definidos, el establecimiento de un marco de trabajo de manera tal de mantener la
integridad de la información y de la infraestructura de procesamiento, así como
minimizar el impacto de las vulnerabilidades e incidentes de seguridad.
La función del responsable de seguridad no está formalmente definida en el
organigrama del organismo. Actualmente está a cargo de un funcionario afectado a
otras tareas críticas e incompatibles con esta función. Esta superposición de tareas
también produce que el responsable de seguridad no participe ni esté comunicado en
la definición y autorización de los accesos de los usuarios.
De tal modo se debilitan los aspectos centrales que refieren a la seguridad y
eficiencia, derivando en la falta de desarrollo o mejora de procedimientos
Se creó la Unidad de
Seguridad
Informática por
Disposición
3912/2014 y se
encuentra en proceso
de actualización la
Política de
Seguridad de la
Información y los
Planes asociados a
su cumplimiento.
Comentario AGN
campo y no se consideró suficiente
para el objetivo que fue propuesto ya
que
no
cuenta
con
los
procedimientos
explícitamente
formalizados a realizar en caso de
una discontinuidad del servicio, ni
los responsables a cargo de llevarlos
a cabo. Esta situación no permite
hacer simulacros de prueba que
permitan evaluar su efectividad.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas. La
vigencia
de
la
Disposición
3912/2014 es posterior a los trabajos
de campo.63 Los efectos que surjan
de su aplicación serán evaluados en
una próxima
Desde xxx a yyy
130
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN
específicos de control tales como:
 derechos de acceso y sus perfiles,
 la existencia única de ingreso a la red y aplicativos por parte de los usuarios,
 la definición del responsable de los datos e información almacenada en las
bases de datos,
 revisiones de las cuentas y privilegios,
 inhabilitación de tiempo sin actividad,
 testing de penetración,
 uso de puertos USB, entre otros.
Los “Términos y condiciones de uso” que se encuentran en la página Web
institucional refieren al acceso a los diversos sistemas, y plasma recomendaciones
para el uso de las cuentas de usuarios, explicita las mejores prácticas en el uso de
correo electrónico y realiza recomendaciones para evitar el phishing. No obstante,
falta formalizar la lectura y consentimiento del usuario.
A pesar de la integración en 2006 del Comité de Seguridad Informática, aún no se
han generado informes de control referentes a la seguridad lógica o accesos
indebidos a la red, tanto de usuarios comunes como de personal de la DGSyTI.
En cuanto a los servidores Linux, su administrador está designado en el
Departamento de Enlace y Comunicaciones siendo que la responsabilidad por la
administración de los servidores recae sobre el Departamento de Tecnología.
De las pruebas realizadas sobre el servidor de producción donde está alojada la
página Web institucional, se verificó la existencia de los siguientes perfiles de
usuarios:
131
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN
Desarrolladores de aplicaciones con perfiles de Administrador de Base de
Datos en el ambiente de Producción,
 Genéricos con perfil Administrador de Base de Datos con acceso al
ambiente de Producción, y
 Otros usuarios genéricos.
No hay un marco de trabajo de administración por centro de costos, en función del
uso de TI para cada una de las dependencias del organismo, que esté alineado con
los procedimientos de contabilización y medición financiera que incluya costos
directos, indirectos, fijos y variables, y que garantice que los cargos para los
distintos servicios sean identificables para su monitoreo.
El aplicativo contable en uso (SIDIF) no prevé una clasificación de cuentas
específica para las partidas aplicadas a TI. En consecuencia, se debe recurrir a
procesos manuales por fuera de este sistema para obtener la información que las
refleje. En el caso del Sistema de Patrimonio, se identificó equipamiento fuera de
uso y pendiente de baja asignados a TI, lo que brinda información inexacta sobre los
activos asignados al área.
Se Adjunta
Memorándum
902/2015 producido
por la Dirección
General de
Administración.
La respuesta del
organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
Las observaciones efectuadas por
esta auditoría no objetan el
cumplimiento de la Ley de
Administración Financiera por parte
de la DNM.
Se centran en buenas prácticas de
imputación de costos. En tal sentido,
tanto las observaciones, como las
recomendaciones correspondientes
se focalizan en identificar los costos
que son propios de la DGSyTI de
aquellos que otras direcciones
utilizan en relación a ésta para su
desenvolvimiento. La Dirección

4.3. Entregar y
dar Soporte
4.3.6 Identificar y
asignar costos
132
INFORME DE AUDITORIA
Nº de
observación
Observación
4.3 Entregar y dar La planificación de la capacitación se lleva a dos niveles: hay un Plan Anual de
Capacitación (PAC) que forma parte de un Plan Estratégico de Capacitación
Soporte
Trianual (PEC).
4.3.7 Educación y Las necesidades que exponen las distintas direcciones del organismo constituyen
parte del PAC. El criterio de elección de los cursos a ser brindados es definido por el
capacitación de
Área de Capacitación y de la Dirección de Recursos Humanos.
los usuarios
En relación a la capacitación de las aplicaciones informáticas, los conocimientos son
impartidos por analistas funcionales de la Dirección General de Sistemas y
Tecnologías de Información.
4.3 Entregar y dar No existe un marco estructurado y formalizado para el tratamiento de incidentes.
La atención se encuentra concentrada en la administración central. Para incidentes
Soporte
en el interior (delegaciones, puestos fronterizos) que requieran la presencia física de
4.3.8 Administrar personal técnico, se dispone de una estructura conformada con personal de estas
características a nivel de las nueve regiones en las que se encuentra dividido el país.
la mesa de
Los requerimientos llegan por distintos medios: correos electrónicos, llamados
servicio y los
telefónicos, notas y otros. Se cargan en una planilla de cálculo y se procede a derivar
incidentes
al personal correspondiente. La falta de un marco estructurado posibilita que:
Respuesta DNM
Se Adjunta
Memorándum
902/2015 producido
por la Dirección
General de
Administración.
Se implementarán las
recomendaciones.
Comentario AGN
General de Administración de la
DNM imputa la totalidad de los
costos de TI a la DGSyTI de
servicios transversales que son
usados
también
por
otras
direcciones.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
133
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN

No se registren todos los incidentes, especialmente los que se producen en
el interior. Como consecuencia de esto, no se cuenta con información
completa para analizar posteriormente, tales como: porcentaje de incidentes
resueltos dentro de un tiempo aceptable/acordado, nivel satisfacción del
usuario, alimentación de una base de conocimientos y otros.
 No se fijen acuerdos de nivel de servicio.
 No se alimente una base de conocimientos, donde se registren soluciones
estándar para determinados problemas en particular
 No se realicen encuestas de satisfacción de usuarios, lo que permitiría saber
su grado de conformidad respecto del servicio.
 No se realice el seguimiento del estado del incidente.
 No se emitan reportes o consultas con estadísticas que permitan sacar
conclusiones.
4.3 Entregar y dar Los bienes de Tecnología de la Información se registran parcialmente a través de un Se implementarán las
Sistema de Patrimonio de uso exclusivo de la Dirección Gral. de Administración y recomendaciones.
Soporte
que abarca solamente bienes adquiridos a terceros con recursos presupuestarios,
4.3.9 Administrar aunque no las licencias de software. Paralelamente la DGSyTI mantiene
información similar en una planilla de cálculo, sin acceso al sistema de patrimonio
la configuración
antes mencionado. En esta planilla de cálculo se registran los servidores centrales,
como así también los que están en los pasos fronterizos. En el caso específico de las
estaciones usadas para control migratorio se asigna la responsabilidad patrimonial a
cada Delegación local. En este sentido, también está a su cargo el mantenimiento,
reparación y reconfiguración del equipo por parte de los informáticos locales. Sin
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
134
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
embargo, no está previsto algún procedimiento que registre el evento, justifique la
acción sobre el equipo y el eventual reemplazo de componentes internos. No existe
un sistema de control de stock de repuestos a nivel central, con control de la
DGSyTI.
No se constató que se mantenga una biblioteca de las aplicaciones desarrolladas
internamente como parte de los activos organizacionales de TI.
4.3 Entregar y dar El proceso de resolución de problemas no se encuentra bajo un marco estructurado y Se implementarán las
formalizado para su tratamiento. Al igual que para el caso del tratamiento de recomendaciones.
Soporte
incidentes, faltan procedimientos aprobados formalmente que contemplen las
distintas etapas de la administración de problemas: evaluación de impacto,
4.3.10
asignación de prioridad, escalabilidad, tratamiento, rastreo, resolución, conformidad.
Administración
de problemas
4.3 Entregar y dar Falta formalizar un marco de trabajo para administrar datos. Las tareas se llevan a Se encuentra en
proceso de
cabo en forma intuitiva.
Soporte
actualización el
No existen procedimientos formalizados para:
4.3.11
 Administrar las bibliotecas de medios de almacenamiento, respaldo, Procedimiento de
Resguardo de la
Administración
retención, recuperación y eliminación de datos.
de Datos
 Resguardar la seguridad en relación al recibo, procesamiento, Información.
almacenamiento y salida de datos, para que cumpla con las políticas de
seguridad de la organización y los requerimientos regulatorios.
 Determinar una clasificación por criticidad, impacto o requerimientos de
seguridad alineados al plan de continuidad.
4.3 Entregar y dar Se hace necesario diferenciar en este punto entre la situación del Centro de Se encuentra en
Comentario AGN
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
La respuesta del organismo no
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
La respuesta del organismo no
135
INFORME DE AUDITORIA
Nº de
observación
Soporte
4.3.12
Administración
de Instalaciones
Observación
Respuesta DNM
Comentario AGN
Procesamiento de Datos de la Administración Central y los servidores locales y
controladores de comunicaciones instalados en los distintos puntos del país. En
cuanto a los últimos, se presentan diversos problemas producto de que deben
funcionar en emplazamientos antiguos, de baja calidad de mantenimiento, sin las
dimensiones apropiadas y en algunos casos compartiendo el espacio con agentes de
la Dirección Nacional de Aduanas y el Servicio Nacional de Sanidad y Calidad
Agroalimentaria (SENASA). Se presentan también circunstancias en las cuales las
instalaciones edilicias son suministradas por organismos de migraciones de los
países fronterizos.
En ese sentido, el ambiente de TI presenta vulnerabilidades que en ocasiones están
sujetas a decisiones multijuridiccionales. Las principales observaciones de algunos
PCF visitados son:
 Cortes de energía. Gran parte se encuentran sometidos a cortes de energía
frecuentes. En tal sentido, no todos tienen: Instalación eléctrica apropiada
que cumpla con las normas y reglamentaciones de seguridad, como la
existencia de llaves térmicas y disyuntores. No se estableció un estándar
para las instalaciones eléctricas. Se observaron elementos en mal estado,
empalmes inapropiados y la existencia de prolongadores.
 Grupo electrógeno propio que permita la continuidad de la operatividad de
los aplicativos, más un sistema de baterías que permita el cierre ordenado de
las aplicaciones ante un corte. En muchos casos dependen de los servicios
brindados por los otros organismos con los que comparten el lugar.
 Energía eléctrica estabilizada.
trámite la
Adecuación de la
infraestructura de los
CPD por expediente
DNM 2489/11.
contradice
las
observaciones
realizadas por esta auditoría, por lo
tanto se mantienen las mismas.
136
INFORME DE AUDITORIA
Nº de
observación
Observación










Respuesta DNM
Comentario AGN
Luces de emergencia.
Ubicación física de los equipos. No en todos los PCF los equipos no están
en lugares aislados y debidamente refrigerados, suelen estar en locales
inadecuados, como cocinas o lugares de tránsito de personas.
Sistemas contra incendios. No cuentan con detectores de humo, y los
matafuegos no son adecuados para tratar focos de fuego en lugares con
componentes electrónicos.
Presencia de material inflamable: cajas de cartón, papeles, elementos
plásticos, anafes, garrafas, instalaciones de gas, estufas, cortinas, pisos y
puertas de madera.
En relación al Centro de Procesamiento de Datos de la Administración
Central, se detectaron las siguientes debilidades:
No se cuenta con un plan de contingencia formal. No obstante, la
Disposición DNM N°19.057/2006 hace mención a que debe ser realizada la
confección del mismo.
No se cuenta con un sitio alternativo de procesamiento para situaciones de
contingencia. Si bien hay un lugar alternativo en el Centro de
Documentación Rápida no cuenta con infraestructura de red de datos y su
procesamiento. Sólo se utiliza este sitio para el resguardo del back-up.
Los matafuegos no se encuentran emplazados en el lugar correcto.
Se halló material inflamable (cajas de cartón, puertas y ventanas de
madera).
Las ventanas del Data Center carecen de protección.
137
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN

Para cubrir faltantes de los paneles del cielo raso, se recurre a soluciones
precarias. No se realizan pruebas periódicas de verificación del
funcionamiento de los detectores de humo, ni se efectúa su mantenimiento
preventivo
 El cableado de los servidores no se encuentra identificado bajo una
nomenclatura estructurada y se encuentran desprolijidades en las
conexiones.
 El caño de escape del grupo electrógeno carece de ventilación a los cuatro
vientos.
 El mantenimiento del grupo electrógeno está tercerizado y no se lleva
registro de los días y horarios que se efectúa.
Cabe señalar que el Plan de Tecnologías de la Información 2012-2014, en su punto
5 menciona que se realizará una actualización de la infraestructura del data center a
los efectos de proporcionar un ambiente de máxima seguridad. Al momento de
cierre de los trabajos de campo de esta auditoría, la ejecución del plan se encuentra
atrasada respecto de la planificación original.
4.3 Entregar y dar No hay políticas ni procedimientos formales de operación, necesarios para una Se implementarán las
recomendaciones.
efectiva administración del procesamiento. En tal sentido, faltan:
Soporte
 Procedimientos estándar para operaciones de TI que garanticen que el
4.3.13
personal de operaciones esté familiarizado con todas las tareas de su
Administración
responsabilidad.
de operaciones
 Procedimientos para monitorear la infraestructura de TI y los eventos
relacionados.
El
organismo
acepta
las
observaciones realizadas por lo tanto
se mantienen las mismas.
138
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
Comentario AGN
Procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o
disminución del desempeño.
En relación al mantenimiento de infraestructura de TI instalada en el interior del
país, a cuyo cargo se encuentran los referentes informáticos, no se cuenta con
procedimientos formales para atender las fallas más frecuentes y darles un
tratamiento estandarizado.
Tampoco cuentan con un stock de los repuestos de los componentes más sensibles
que permitan subsanar un probable incidente. Esto puede provocar la discontinuidad
del servicio hasta tanto llegue el repuesto de la Administración Central.
Falta establecer un marco de trabajo de monitoreo general que abarque a todas las
áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a
seguir para medir la calidad en la entrega de servicios integrado con un sistema de
administración de gestión (tablero de control con indicadores) que permita comparar
en forma periódica el desempeño contra métricas establecidas en un sistema de
aseguramiento de la calidad (SAC), realizar análisis de la causa origen e iniciar
medidas correctivas para resolver los desvíos que puedan presentarse.
No hay personal dedicado al monitoreo. Se utilizan herramientas tales como el
Nagios y el System Center Operations Manager (SCOM) que monitorean el estado
de la red y que emiten alarmas cuando los parámetros previamente definidos por el
administrador de red exceden los valores establecidos. Estas son recibidas por el
personal en sus estaciones de trabajo o en sus teléfonos inteligentes (fuera del
horario de trabajo, donde se establecen guardias rotativas) y en función del criterio
Sin perjuicio de que
esta instancia no
comparte el
diagnóstico sobre la
base de datos de
Aptitud Migratoria,
toda vez que existen
mecanismos
alternativos para su
actualización, se
tendrá en cuenta la
recomendación
formulada para
Tanto las observaciones como las
recomendaciones de esta auditoría se
focalizan en la falta de un marco de
trabajo (y los recursos necesarios
para llevarlo adelante) en el
monitoreo de la infraestructura de TI,
la cual ha tenido un crecimiento
exponencial en el último bienio.

4.4 Monitorear y
Evaluar
4.4.1 Monitorear
y evaluar el
desempeño de TI
Con respecto al control de la aptitud
migratoria, es un proceso dinámico
que sólo puede ser efectivo en
tiempo y forma en la medida que el
139
INFORME DE AUDITORIA
Nº de
observación
Observación
Respuesta DNM
de quien esté a cargo del incidente, procede a su solución. Las acciones son optimizar los
procedimientos
mayormente reactivas.
La falta de un marco de trabajo de monitoreo de la infraestructura y del respectivo actuales.
personal afectado a esta tarea, imposibilita el análisis de datos orientado a la toma de
acciones correctivas oportunas.
La falta de un marco de trabajo de Mesa de Ayuda se suple con un esquema de
trabajo de guardias pasivas rotativas del personal, que genera un estado de situación
similar al de una contingencia permanente, con el consiguiente desgaste del personal
afectado.
Del análisis de datos relevados sobre la actividad de la red de datos de casi un
semestre provista por el organismo, se desprenden que la tasa de caída
de los enlaces de comunicaciones entre los puestos fronterizos, tales como el puente
Tancredo Neves (2.082 hs.), Puerto Pilcomayo
(1.377 hs.), el aeropuerto de Ushuaia (1.130 hs.), Posadas (697,73 hs.) y Bariloche
(341 hs.), 64 y la Sede Central provocando que la base de datos contra la que se
controla la aptitud migratoria no se encuentre actualizada en tiempo real al momento
de realizarse los controles pertinentes.
Comentario AGN
servicio de TI no se interrumpa. En
tal
sentido,
a
través
del
procesamiento de datos de este
equipo de auditoría de casi un
semestre,
se
observaron
discontinuidades
del
servicio
prolongadas, incluso en pasos
considerados de alto tránsito. Dentro
de las observaciones formuladas por
esta AGN se reemplazó el término
“servidores” por “enlaces de
comunicaciones entre los puestos
fronterizos” y se agregó “Sede
Central”. No obstante, se toma nota
del comentario de la DNM y se
modifica el texto de la observación
para darle mayor precisión, del
siguiente
modo:
donde
dice
"...provocando que la base de datos
contra la que se controla la aptitud
migratoria
no
se
encuentre
64
En el PCF de alta concurrencia como el Puente Internacional Tancredo Neves que une las ciudades de Puerto Iguazú (Argentina) con Foz do Iguaçu
(Brasil) o el aeropuerto de Ushuaia registran 2.082 horas y 1.130 horas de discontinuidad del servicio respectivamente.
140
INFORME DE AUDITORIA
Nº de
observación
4.4 Monitorear y
Evaluar
4.4.2 Monitorear
y evaluar el
control interno
4.4 Monitorear y
Evaluar
Observación
Respuesta DNM
EI Organismo se
ajusta a las pautas
establecidas en la
resolución 48/05
"Normas de Control
Interno para
Tecnología de la
Información" y
Normativas emitidas
por la ONTI, siendo
su cumplimiento
evaluado por la
Unidad de Auditoría
Interna.
En orden a los hallazgos de las tareas de campo llevadas a cabo, se puede determinar EI Organismo se
las siguientes debilidades:
ajusta a las pautas
No se ha implantado un marco de trabajo formal de control interno de TI que pueda
evaluarse posteriormente, por lo tanto se carece de métricas que permitan verificar
el logro de los objetivos de control interno para los procesos de TI (básicamente
eficacia/eficiencia), identificar las acciones de mejoramiento y reportar sus
excepciones.
Las auditorías internas son llevadas a cabo por un único funcionario, que realiza
controles a algunos objetivos de auditoría puntuales pero que no puede abarcar un
programa más completo.
Comentario AGN
actualizada" se reemplaza por "…
provocando que la base de datos
contra la que se controla la aptitud
migratoria
no
se
encuentre
actualizada en tiempo real al
momento
de
realizarse
los
controles”.
Se mantienen las observaciones.
De las evaluaciones que llevó a cabo
este equipo de auditoría se verifica el
incumplimiento de las resoluciones
48/05 de SIGEN (que se detallan en
el punto 4.4.3 “Garantizar el
cumplimiento con requerimientos
externos”) y la resolución ONTI
3/2013 (ver detalles en el punto
“4.3.5 Garantizar la seguridad de los
sistemas”).
Se mantienen las observaciones. La
documentación
presentada
es
141
INFORME DE AUDITORIA
Nº de
observación
4.4.3 Garantizar
el cumplimiento
con
requerimientos
externos
Observación





Resolución 48 de SIGEN
Se elaboró un Plan de Tecnologías de la Información 2012/2014, no
obstante ello, no cuentan con planes tácticos que lo respalden tales como:
tiempos, recursos, costos, hitos intermedios a alcanzar o riesgos
relacionados, que permitan inferir el logro de los objetivos planteados.
Asimismo, a la fecha de las tareas de campo, no se había actualizado el
Plan.
No existe un modelo de arquitectura de la información formal con pautas
que aseguren la integridad y la consistencia de toda la información
almacenada, tales como un diccionario de datos de la organización, un
esquema de clasificación de datos de acuerdo a la criticidad y la
sensibilidad, procedimientos para definir datos nuevos y esquemas de
funciones estándar de tratamiento de los datos (biblioteca de funciones).
Faltan definir Políticas y Procedimientos de algunos procesos claves, ej:
Plan de Continuidad.
No se adoptó una metodología de administración de proyectos informáticos
encarados, el qué, mínimamente debería contemplar entre otros:
Respuesta DNM
Comentario AGN
establecidas en la
resolución 48/05
"Normas de Control
Interno para
Tecnología de la
Información" y
Normativas emitidas
por la ONTI, siendo
su cumplimiento
evaluado por la
Unidad de Auditoría
Interna.
posterior65 al período auditado66 y a
los trabajos de campo67. Se evaluarán
en una próxima auditoría.
Se mantienen las observaciones. La
documentación
presentada
es
posterior68 al período auditado69 y a
los trabajos de campo70. Se evaluarán
en una próxima auditoría.
65
El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015
De 01/01/2013 al 30/06/2014
67
De 01/03/2014 al 30/09/2014
68
El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015
69
De 01/01/2013 al 30/06/2014
70
De 01/03/2014 al 30/09/2014
66
142
INFORME DE AUDITORIA
Nº de
observación
Observación



Respuesta DNM
Comentario AGN
a) Documentación, justificación y aprobación que origina el proyecto;
b) Definición clara del Plan, determinando sus objetivos, alcances y
asignación de misiones y funciones del grupo de trabajo;
c) Presupuesto de los recursos a ser utilizados. En orden al método,
también resultaría necesario, la elaboración del Plan de Prueba y de
Capacitación.
No existe un método formal para las actividades de desarrollo,
mantenimiento o adquisición de sistemas, el que debe estar documentado y
aprobado y de aplicación complementaria a las normas relativas a la
administración de proyectos.
No hay una definición del marco de trabajo para el monitoreo de procesos,
por el cual y a partir de indicadores de desempeño se pueda llevar a cabo el
objetivo de control de la infraestructura de TI, debiendo en consecuencia,
presentar informes periódicos de gestión a la Dirección de la organización,
con el fin que esta última supervise el cumplimiento de los objetivos
planteados.Marco de la ley 26.653 "Accesibilidad de la Información de las Páginas
Web". La Dirección Nacional de Migraciones cumple con lo prescripto por
la norma, no obstante ello, en cuanto a criterios de usabilidad, existen
principios tales como: comprensibilidad y navegabilidad por y entre las
distintas secciones de la página que debieran mejorarse a fin de obtener una
integración completa de las personas con discapacidad (sobretodo visual)
por ejemplo: gráficos y botones etiquetados, inclusión de textos alternativos
143
INFORME DE AUDITORIA
Nº de
observación
4.4 Monitorear y
Evaluar
4.4.4
Proporcionar
gobierno de TI
Observación
Respuesta DNM
en las imágenes, asociación de celdas de encabezado con celda de datos, etc.
Ver detalle en ANEXO VII.
Se verificó el cumplimiento del decreto 375/2005 de Gobierno Electrónico, la ley
25.506 de Firma Digital y el Régimen de Contrataciones de la Administración
Nacional.
Faltan cubrir posiciones funcionales claves como:
Se acompaña Plan
Estratégico 2015 –
 Administración de la Seguridad
2017.
 Monitoreo de la Infraestructura de TI
 Administración de Gestión de Aseguramiento de la Calidad
 Administración de Riesgos
 Administración de Proyectos
Comentario AGN
Se mantienen las observaciones. La
documentación
presentada
es
posterior71 al período auditado72 y a
los trabajos de campo73. Se evaluarán
en una próxima auditoría.
Falta establecer el gobierno de TI con un entorno de control que incluya marcos de
trabajo definidos y formalizados para asegurar:
 El tratamiento uniforme para la administración de todos los proyectos de TI.
 El seguimiento de la gestión, mediante un programa de calidad que
establezca indicadores a partir de metas y objetivos definidos previamente,
de modo de medir la contribución de TI a los objetivos estratégicos del
Organismo y posibilite la rendición de cuentas.
71
El “Plan de Tecnologías de la Información” presentado fue reformulado el 12/01/2015
De 01/01/2013 al 30/06/2014
73
De 01/03/2014 al 30/09/2014
72
144
INFORME DE AUDITORIA
Nº de
observación
Observación



Respuesta DNM
Comentario AGN
Administración de costos, donde se identifiquen los distintos costos y que
garantice los cargos para los distintos servicios sean identificables para su
monitoreo y una correcta administración de los programas de inversión.
Esquema de monitoreo que permita medir el desempeño y la correcta
asignación de los recursos y si los objetivos perseguidos son alcanzados o
no, y permitan acciones correctivas.
Administración de riesgos, que permitan reportar aquellos relacionados con
TI y su impacto en la posición de riesgos de la organización.
145
INFORME DE AUDITORIA
ANEXO III. Niveles del Modelo Genérico de Madurez
0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que
existe un tema a ser tenido en cuenta.
1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin
embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser
aplicadas sobre una base individual o caso por caso. La administración aparece como
desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos
similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay
entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es
asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los
individuos y los errores son probables.
3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir
con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos
en sí mismos no son sofisticados, pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos
están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de
automatización es limitado o fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a
los resultados de la mejora continua y de la movilización con otros organismos. La TI es
usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para
mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los
cambios.
146
INFORME DE AUDITORIA
ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de
control considerados.
147
INFORME DE AUDITORIA
148
INFORME DE AUDITORIA
ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la
información según los procesos informáticos considerados
Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la
gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos
dependen en forma creciente de los sistemas de tecnología de la información, un ambiente
donde también aumentan las noticias sobre fraudes y desastres informáticos. En la
actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento
esencial de la administración del Estado Nacional.
En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se
corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de
los siguientes requerimientos que debe satisfacer la información dentro de un organismo
para permitirle cumplir con sus misiones y funciones:

Eficacia: Que la información sea relevante y pertinente para la misión del ente, así
como a que su entrega sea oportuna, correcta, consistente y utilizable.

Eficiencia: La provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.

Confidencialidad: La protección de información sensible contra divulgación no
autorizada.

Integridad: La precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del organismo.

Disponibilidad: La disponibilidad de la información cuando ésta es requerida para
cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
149
INFORME DE AUDITORIA

Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el organismo está sujeto.

Confiabilidad: La provisión de información apropiada a la administración para
operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en
forma primaria y secundaria por el objetivo de control (ver tabla).
El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un
Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo
controlar las mejoras futuras en forma explícita.
Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de
que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0
representa la situación más segura y 1 la más insegura).
El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al
impacto (definido como el peligro de incumplimiento de las misiones y funciones del
organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de
ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto
(99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente
vinculada a la calidad del control que se realiza, y este es evaluado en el informe a través
del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente
según el siguiente detalle:
150
INFORME DE AUDITORIA
151
INFORME DE AUDITORIA
152
INFORME DE AUDITORIA
Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información
para los 34 objetivos de control considerados y su promedio general.
153
INFORME DE AUDITORIA
154
INFORME DE AUDITORIA
155
INFORME DE AUDITORIA
156
INFORME DE AUDITORIA
157
INFORME DE AUDITORIA
158
INFORME DE AUDITORIA
ANEXO VI - Análisis de los referentes informáticos en el interior del país
A partir de información suministrada por la DNM

Se obtuvieron del Sistema de Patrimonio datos sobre la distribución de
equipamiento por delegaciones, aeropuertos y pasos. Se identificaron 1.192
estaciones de trabajo agrupadas en 28 delegaciones. Se obtuvo información
desagregada al analizar el tercer nivel de detalle del equipamiento que describe del
destino del equipamiento en oficinas migratorias, pasos fronterizos, aeropuertos y
puertos74.

La cantidad de referentes informáticos ascendía a 23 personas distribuidas
geográficamente.
Ciudad de Asiento de los Referentes Informáticos Cantidad de Referentes Informáticos Total Estaciones de Trabajo Jujuy S.S. de Jujuy 2 115 Salta Formosa Formosa 1 256 Región Delegaciones Integrantes I II III IV V VI Iguazú Iguazú 4 Posadas Posadas 3 Corrientes Corrientes 3 165 Entre Ríos C. del Uruguay 2 Mendoza Mendoza 2 154 La Rioja Neuquén Neuquén 2 103 Bariloche Comodoro Rivadavia Comodoro Rivadavia 1 24 74
Cabe destacar que a los efectos de este estudio, se agruparon las estaciones de trabajo pertenecientes a
“Corrientes Norte” dentro de la Región III para poder confluir las diferencias entre las divisiones
establecidas por la DNM entre las Delegaciones y las Regiones.
159
INFORME DE AUDITORIA
VII VIII IX Rawson Tierra del Fuego Ushuaia 2 84 Río Gallegos Bahía Blanca 0 47 Puerto Madryn Viedma Rosario Rosario 1 153 Florencio Varela La Plata Mar del Plata Almirante Brown Córdoba 0 91 La Pampa San Luis Tucuman 23 1.192 Del análisis de este cruzamiento de datos se obtienen las siguientes conclusiones:

No cuentan con ningún referente informático tanto la Región VIII (Bahía Blanca/P.
Madryn/Viedma) como las provincias que no se encuentran alcanzadas por la
regionalización: Córdoba, La Pampa, San Luis y Tucumán.

Las regiones VI y IX sólo cuentan con un referente informático. Por lo tanto no
cuenta con reemplazo en caso de licencia o desafectación.

En algunas regiones el referente informático debe desplazarse desde la ciudad de
asentamiento hasta el PCF más de media jornada laboral75 para llegar al destino, lo
que pondría en riesgo la continuidad del servicio por ese lapso de tiempo.
75
Jujuy con Salvador Mazza y La Quiaca; Corrientes con Paso de los Libres, Santo Tomé, Pto. Monte
Caseros, Pto. Alvear, Pto. Yapeyu, Pto. La Cruz y Pto. Esquina; C. del Uruguay con Pto Santa Eloísa;
Mendoza con Pehuenche, San Francisco (La Rioja), Pircas Negras (La Rioja) y Agua Negra (San Juan);
Comodoro Rivadavia con Futaleufù, Jeinemeni, Coyhaique, Ing. Palavecini, Triana y Pto. Deseado.,
160
INFORME DE AUDITORIA
ANEXO VII – Cumplimiento de la ley 26.653 de accesibilidad de la página Web.
El presente anexo expone el resultado del control efectuado sobre la página web del
organismo auditado, en lo que respecta al cumplimiento de la ley 26.653 “Accesibilidad de
la Información de las Páginas Web”. A continuación, se exponen los principales hallazgos:
a) Existen imágenes, animaciones y gráficos que no se encuentran debidamente
etiquetadas o con su texto alternativo descriptivo en la portada y otras secciones.
b) No existe un criterio unificado para la delimitación de títulos de secciones. Algunos
se delimitan por listas, otros mediante gráficos y otros sólo mediante palabras
sueltas.
c) Algunos enlaces con o sin gráficos no funcionan con el lector de pantalla, como
por ejemplo: “Consulte el estado de su trámite”, “Imprima su tarjeta migratoria” y
“Abone su tasa de reciprocidad”.
d) La estructura de la página de Normativa incluye una zona de selección de categoría
de ésta, y un marco donde se ubican los enlaces de acceso a cada una. A fin de
acceder al contenido, el usuario debe posicionar en una categoría y presionar
“ENTER”. El algoritmo no actualiza toda la página, sino solo el marco inferior,
por lo tanto un usuario no vidente no percibe cambio alguno en la página,
imposibilitando el acceso a la información.
e) En la página “delegaciones”, cuando se presiona “ENTER” sobre una delegación
determinada, el contenido asociado a esa sección aparece al final de la lista, sin
encabezado ni otro elemento que permita ubicarlo cómodamente. En este aspecto,
resultaría útil que la información se encuentre separada en distintos renglones para
facilitar su selección y copiado, como así también que las direcciones de correo
electrónico figuraran como enlace. A modo de ejemplo ilustrativo: en la página
161
INFORME DE AUDITORIA
figura el nombre del Director Nacional de Migraciones, Asiento Buenos Aires,
Domicilio Av. Antártida Argentina 1355, entre otros datos). Debería establecerse:
Responsable
XXXXXXXXXXXXXXX XXXXXXXXXX
Nombre del Director
Nacional de
ASIENTO
BUENOS AIRES
DOMICILIO
Avda. Antártida Argentina 1355
f) En la página “estadísticas”, algunos enlaces aclaran que ciertos archivos están en
formato pdf. Sin embargo, la aclaración no se encuentra al final del nombre de
archivo (por ejemplo: “Enlace gráfico Archivo pdf Estadísticas de Movimientos de
Ingreso y Egreso -Principales Puestos Migratorios 2012”). En este supuesto, sería
beneficioso que la leyenda “pdf” se colocara al final del texto, atento que al buscar
la información correspondiente se dificulta acceder rápidamente al enlace con
funciones tales como el listado de enlaces que poseen los lectores de pantalla, pues
hay varios enlaces que empiezan con las mismas palabras. Esto imposibilita buscar
el enlace pulsando la primera letra de su texto como estrategia rápida de ubicación.
g) En las páginas de Novedades, Diario digital, Periódico migraciones y
Colectividades, los ítems tendrían que estar separados por una línea en blanco y la
primera estar constituida por un encabezado que facilite su ubicación aleatoria o
bien saltar entre ellas, respetando un criterio unificado de distribución de los
contenidos en el sitio.
162
Descargar