f_072_14_05_06.pdf

GCIA. PLANIFICACIÓN Y
PROYECTOS ESPECIALES
Dto. de Auditoría Informática
Gestión de la Tecnología Informática (TI)
NUCLEOELÉCTRICA ARGENTINA S.A. (NA.SA)
Informe aprobado por
Resolución AGN 072/14
ACLARACIONES
PREVIAS
OBJETO DE AUDITORÍA
Nucleoeléctrica S.A. (NA-SA) es
la entidad responsable de las
licencias de operación y/o
construcción de las Centrales
Nucleares Atucha I, Atucha II y
Embalse. Se dedica a la
generación nucleoeléctrica
vinculada a la Central Nuclear
Embalse de Río Tercero y a la
construcción, puesta en marcha
y operación de la Central
Nuclear Atucha II respetando las
normas vigentes en materia de
seguridad nuclear y radiológica,
y las que defina el Ente Nacional
Regulador Nuclear y las que
regulan el Mercado Eléctrico
Mayorista (Ley 24.065, del
30/08/94; Dto. 1540/94, art. 1°).
Evaluación de la Tecnología
Informática (TI) en
Nucleoeléctrica Argentina S.A.,
organismo descentralizado en
el área del Ministerio de
Planificación Federal, Inversión
Pública y Servicios.
El manejo de TI del organismo
lo realiza un departamento
en la administración central y
divisiones en Embalse y
Atucha I y en la administración
de la obra de Atucha II, todas
independientes entre sí tanto
funcional como orgánicamente.
La TI que soporta las acciones
de NA-SA se divide en cuatro
sectores:



AUTORIDADES AGN
Presidente
Dr. Leandro O. Despouy
Auditores Generales
Dr. Vicente Brusca
Dra. Vilma Castillo
Dr. Francisco Fernández
CPN Oscar Lamberto
Dr. Alejandro Nieva
Dr. Horacio F. Pernasetti
AGN
Hipólito Yrigoyen 1236
(C1086AAV)
CABA – Argentina
Tel.: (54 11) 4124-3700
Fax: (54 11) 4124-3775
[email protected]

NASA Administración
Central
Central Atómica
Atucha 1
Central Atómica
Atucha II
Central Atómica
Embalse Río Tercero
La TI vinculada a la operación
de las centrales es auditada
periódicamente por organismos
internacionales especializados
en la materia.
CONCLUSIONES
La gestión de la TI para el control de las centrales nucleares es muy
diferente de la utilizada para la administración del organismo.
En cuanto al primer aspecto, la auditan periódicamente organismos
internacionales especializados; nuestra labor se orientó a inconvenientes
con el espacio físico asignado a los centros de cómputo y a los
correspondientes ambientes de trabajo. En cuanto al segundo aspecto (la
TI de gestión administrativa), mereció un análisis más amplio, en el que se
destaca lo siguiente:
La madurez de la TI se encuentra entre el nivel inicial y repetible (ver
“Niveles del Modelo Genérico de Madurez”, abajo).
- La organización carece de un Plan Estratégico al que pueda alinearse
uno similar, referido a cuestiones de TI, que permita el seguimiento y el
grado de avance, a efectos de detectar y evitar desvíos en los plazos,
costos y metas previstas.
- No hay gestión centralizada de TI para:





Administración de Proyectos
Aseguramiento de la Calidad
Administración de Riesgos
Enfoque de Monitoreo
Arquitectura de la Información
- No hay definido un modelo de arquitectura de la información que abarque
la organización íntegra. Dentro de la estructura orgánica de la
organización, las áreas de TI están dispersas en cinco unidades
distribuidas en las centrales nucleares y la administración central. No
guardan entre sí relaciones jerárquicas ni orgánicas; en consecuencia, hay
multiplicidad de criterios, funciones y esfuerzos.
- La ubicación de estas unidades de TI dentro de la estructura orgánica no
garantiza su independencia respecto de las áreas usuarias, por lo que no
asegura la atención de todos los sectores de la organización. Esto limita el
alcance de los servicios de TI y posibilita que haya áreas usuarias que
también realicen actividades de desarrollo, mantenimiento de software y
almacenamiento de datos.
- En el organigrama de TI, falta cubrir posiciones y determinar otras
claves, que no han sido definidas. Dadas las limitaciones para cubrirlas y
los largos periodos para la contratación de personal, hay una alta
dependencia de individuos clave y tercerización de servicios. Se depende
mucho de personal externo, con el consiguiente riesgo de pérdida de
conocimiento y de exponer información sensible al manejo de los
proveedores.
- Dada la falta de un criterio único y de alcance total para el organismo
sobre la administración y seguridad de las comunicaciones, esta auditoría
ha detectado:
 Múltiples contrataciones de servicios de internet, que aumentan
los costos, los esfuerzos del monitoreo y las gestiones de
penalizaciones por variaciones de servicio.
 Falta de control en la administración de firewalls tercerizada.
 Diferentes soluciones de seguridad implementadas.
 Vulnerabilidades potenciales ante las limitaciones de alcance de
las áreas de TI en la administración de las redes.
 Mayor complejidad en la planificación y capacitación del personal.
 Falta de criterios únicos para los centros de cómputos existentes,
con las consiguientes falencias en seguridad, disponibilidad y
mantenimiento.
- En el organismo no hay una política activa de concientización y
capacitación de alcance íntegro en materia de TI que permita la
especialización del personal técnico y la correcta utilización de las
tecnologías por toda la organización.
- Debilidades en la administración de los datos, accesibles en forma
remota a proveedores de servicios externos.
CENTRALES NUCLEARES ARGENTINAS
En la Argentina hay dos centrales nucleares en funcionamiento, Atucha I y Embalse, que
proporcionan cerca del 8% de la energía distribuida por el sistema interconectado nacional.
Una tercera, Atucha II, está en la etapa final de construcción.
La Comisión Nacional de Energía implementa el Proyecto Extensión de Vida: se utiliza la
central al 80% de su capacidad para así extender la vida útil que depende del total de la
potencia generada.
NIVELES DEL MODELO GENÉRICO DE MADUREZ
0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que
existe un tema a ser tenido en cuenta.
1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin
embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser
aplicadas sobre una base individual o caso por caso. La administración aparece como
desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos
similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay
entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es
asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los
individuos y los errores son probables.
3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con
estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí
mismos no son sofisticados, pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos
están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de
automatización es limitado o fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, con base en
los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada
de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la
calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios .