INFORME DE AUDITORÍA Al Lic. Diego Luis Bossio Director Ejecutivo Administración Nacional de la Seguridad Social. En uso de las facultades conferidas por el artículo 118 de la Ley N° 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito de la Administración Nacional de la Seguridad Social, con el objeto que se detalla en el apartado 1. 1.- Objeto de la auditoría Seguimiento de las recomendaciones formuladas luego de la auditoría de gestión informática realizada en 2006. (Actuación 192/2005, Resolución AGN 76/07) 2.- Alcance del examen El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría General de la Nación, aprobadas por la Resolución Nº 145/1993, dictada en virtud de las facultades conferidas por el artículo 119, inciso b) de la Ley Nº 24.156, habiéndose practicado los siguientes procedimientos: 2.1. Se revisó la estructura orgánica, las misiones y las funciones asignadas a las áreas responsables. 2.2. Se realizaron entrevistas con los responsables de los siguientes sectores: Gerencia de Arquitectura e Innovación de TI Gerencia de Aseguramiento de la Calidad y Control de Gestión de TI Gerencia de Procesamiento Gerencia de Seguridad Informática Gerencia de Sistemas Gerencia de Tecnología Gerencia de Normatización 1 Gerencia de Servicio a Usuarios Coordinación Contrataciones 2.3. Se revisó y actualizó el marco jurídico aplicable en la Administración. 2.4. Se analizó la información recibida en respuesta a la solicitud efectuada, a fin de verificar el cumplimiento de las recomendaciones del informe de auditoría aprobado por Resolución AGN Nº 76/07. 2.5. Limitación al alcance: No se recibió la información solicitada de la base de datos, razón por la cual no se pudo hacer un análisis comparativo de su calidad. Las tareas de campo abarcaron desde noviembre 2010 hasta marzo 2011.Este informe es producto de la evaluación de la información recabada en las entrevistas mantenidas y de las observaciones realizadas en el trabajo de campo.Las observaciones originales y las actuales se detallan para cada uno de los objetivos de control del Informe aprobado por Resolución AGN N° 76/07. 3.- Aclaraciones previas Mediante Ley N° 26.425 del 9 de diciembre de 2008 se unifico el Sistema Integrado de Jubilaciones y Pensiones en un Único Régimen Previsional Publico denominado Sistema Integrado Previsional Argentino (SIPA), financiado a través de un Sistema Solidario de Reparto, “...garantizando, a los afiliados y beneficiarios del Régimen de Capitalización vigente hasta ese momento idéntica cobertura y tratamiento que la brindada por el Régimen Previsional Público.”. La estructura orgánico funcional de contingencia del Organismo aprobado oportunamente por Dto. 893/2001 fue sustituida por el Dto.2105/2008, quedando la Gerencia General y las Gerencias que le dependen por tres subdirecciones, dependientes de la Dirección Ejecutiva.- 4.- Comentarios y observaciones Seguimiento de los comentarios y observaciones formuladas en Resolución Nº 76/07 AGN. Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por las 2 normas COBIT (Control OBjectives in Information Technologies). Los Objetivos de Control describen los resultados que debe alcanzar un organismo implantando procedimientos de control, basados en las mejores prácticas aplicables, a los procesos de TI. Para cada una de los Objetivos se menciona el nivel de madurez que le correspondió en el 2006 y el actual, conforme al Modelo de Madurez de la Capacidad incluido en el Anexo II. Es de mencionar que las “Observaciones” que figuran en cada Objetivo se incluyen para respaldar el nivel de madurez asignado y pueden ser tanto una fortaleza como una debilidad del ente auditado. En el punto 6, se encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos. Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la información (detallados en el Anexo V) son afectados. Se destaca que cada objetivo de control va acompañado de su nivel de riesgo genérico (alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su incumplimiento y sin estar vinculado con la situación del organismo. Ese nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones realizadas) para establecer el riesgo específico para ese objetivo, en el caso particular. Puede observarse en los gráficos de los Anexos que un objetivo de control que tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto, genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y un índice de madurez de bajo. 4.1.– Planificación y organización 4.1.1.– Definición de un Plan Estratégico de Tecnología de la Información Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse oportunamente en planes operativos que definan metas claras y concretas a corto plazo. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 3 la eficacia y en forma secundaria: la eficiencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. La planificación estratégica de Tecnología de la Información es comprendida por la gerencia de Tecnología de la Información, pero los procedimientos utilizados para realizar la planificación no están documentados. La planificación estratégica de Tecnología de la Información esta a cargo de la gerencia de Sistemas y Telecomunicaciones y es aprobada por la Dirección Ejecutiva. No hay un proceso proactivo formal para identificar las novedades de Tecnología de la Información y del organismo que requieren actualizaciones al plan. Las decisiones estratégicas se toman proyecto por proyecto, sin uniformidad de criterios con una estrategia global para la organización. Los riesgos y beneficios que las grandes decisiones estratégicas podrían tener para el usuario se reconocen, pero su definición es intuitiva. Observaciones: El primer Plan Estratégico de Tecnología de la Información en Anses fue realizado para el período 2006 – 2010 y se aprobó a mediados de junio 2006. El último Plan Estratégico del Organismo disponible abarcó desde el 2002 al 2005 y la Gerencia de Planeamiento del Organismo aún no lo actualizó. El Plan Operativo Anual 2005 de Sistemas y Telecomunicaciones fue aprobado con anterioridad al Plan Estratégico de Sistemas y Telecomunicaciones. El plan de tecnología de información no evalúa los sistemas de información existentes en cuanto al grado de automatización de las actividades, de funcionalidad, estabilidad, complejidad, costos, puntos más fuertes y más débiles. No se encuentra documentación de planificación, seguimiento y control de proyectos globales de largo plazo y alto impacto tales como la mudanza del centro de cómputos que debería incluir el desalojo del edificio, su remodelación y la construcción de una sala cofre ya contratada, con anterioridad a la mudanza propiamente dicha. Situación actual Nivel de Madurez: Proceso definido. Existe una política que define cuándo y cómo realizar la planificación estratégica de TI, que sigue un enfoque estructurado, documentado 4 y conocido por todo el personal. El proceso de planificación de TI es razonablemente sólido y da garantías de que se realizará la planificación adecuada. Sin embargo, se permite discrecionalidad a los gerentes en cuanto a la implementación del proceso. La estrategia global de TI incluye una definición coherente de los riesgos que el organismo está dispuesto a tomar como innovador o seguidor. La adquisición de productos y tecnologías se basa cada vez más en estrategias financieras, técnicas y de recursos humanos de TI. Comentarios y observaciones: No están formalizados los procedimientos, que estando integrados con el proceso de formulación de estrategias, permitan la actualización de las consideraciones de riesgo y la comparación parametrizada con normas de otros organismos confiables. No hay establecidos indicadores aprobados formalmente para medir el desempeño del proceso estratégico. 4.1.2.– Definición de la Arquitectura de la Información Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser identificada, recopilada y comunicada en forma y tiempo tales que permita a las personas cumplir sus responsabilidades de manera eficiente y oportuna. La función de servicios de información debe crear y mantener un modelo de arquitectura de información que incluya el modelo de datos del organismo y los sistemas de información relacionados. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia la confidencialidad la integridad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial, en desarrollo. La alta gerencia reconoce la necesidad de una arquitectura de la información y ha creado una gerencia al efecto, pero no ha formalizado ni un proceso ni un plan para desarrollarla. Hay un avance aislado y reactivo de los componentes de la arquitectura de la información. Existen implementaciones aisladas y 5 parciales de reglas de sintaxis y diagramas de datos y documentación. Las definiciones se basan en los datos, en lugar de la información. Observaciones: Existe conciencia de la importancia de la arquitectura de la información pero no se ha avanzado en el tema y no existe un modelo al respecto. Del análisis de los datos de beneficios pagados por el Organismo surgen deficiencias de calidad imputables al hecho de que la información no se encuentra organizada por medio de un sistema de administración de base de datos sino en archivos independientes indexados o secuenciales. La falta de un modelo de datos volcado en una base de datos de los habitantes del país que cobran desde asignaciones por nacimiento hasta jubilaciones y pensiones, pasando por asignaciones familiares y prestaciones sociales como desempleo y Plan Jefes, genera un almacenamiento de datos como mínimo, por duplicado y triplicado, inconsistencias, falta de certeza en su significado, pérdida de validez de la información disponible, menor seguridad frente a ataques para manipular o destruir la información (o simplemente ante las errores no deseados de algún usuario autorizado), y mayor dificultad en el desarrollo y mantenimiento de los sistemas de información que hacen al pago de miles de millones de pesos anuales. Situación actual Nivel de madurez: Proceso definido. La importancia de la arquitectura de la información se entiende y acepta, y la responsabilidad de su desarrollo ha sido asignada y comunicada. Los procedimientos, herramientas y técnicas relacionados están estandarizados y documentados, y forman parte de las actividades de capacitación informal. Se desarrollaron políticas básicas de arquitectura de la información, que incluyen algunos requerimientos estratégicos, pero el cumplimiento de las políticas, las normas y las herramientas no se aplican en forma consistente. Existe una función de administración de datos formalmente definida, que fija normas para todo el organismo y comienza a informar sobre el desarrollo y el uso de la arquitectura de la información. Comentarios y observaciones: Los procedimientos actuales no dan respuesta a todos los cambios y necesidades de las actividades del organismo. No se genera información por el desempeño del proceso de desarrollo de la arquitectura ni se mide el éxito de la arquitectura de la información. 6 4.1.3.– Determinación de la Dirección Tecnológica Objetivo de control: La función de servicios de información debe crear y mantener un plan de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial, en desarrollo. Hubo un comité asesor interorganismo para fijar el plan estratégico 2006-2010 pero se desconoce la existencia de políticas y procesos formales definidos para el tema. Tampoco existen políticas y procedimientos para evaluar y monitorear las tendencias tecnológicas, ni para que dichas evaluaciones sean tenidas en cuenta durante el desarrollo y mantenimiento del plan de infraestructura tecnológica. Estas tareas se efectúan de acuerdo a las misiones y funciones según la experiencia y el conocimiento de los funcionarios. La alta gerencia reconoce la necesidad de la planificación de la infraestructura tecnológica y se creó en 2006 la Gerencia de Arquitectura de la Información responsable de investigar nuevas tecnologías en hardware y software pero aún no ha formalizado políticas y procedimientos al respecto. El desarrollo de los componentes tecnológicos y la implementación de nuevas tecnologías son hechos ad hoc. Las direcciones tecnológicas son manejadas por los planes de evolución de los organismos rectores en la materia y la oferta de los proveedores de productos de hardware, software de sistemas y software de aplicaciones. No hay análisis, ni comunicación normalizados del impacto potencial que podrían tener los cambios tecnológicos. Observaciones: Se tiene conciencia de la importancia que la planificación de infraestructura tecnológica reviste para el organismo y se encuentra formalmente definida 7 un área para la determinación de la dirección tecnológica. Sin embargo a la fecha no existe normativa formal para la función. Situación Actual Nivel de madurez: Proceso definido. La gerencia está consciente de la importancia del plan de infraestructura tecnológica. El proceso para el plan de infraestructura tecnológica es razonablemente sólido y está alineado con el plan estratégico de TI. Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente. La orientación de la infraestructura tecnológica incluye el entendimiento de dónde el organismo desea ser líder y dónde desea rezagarse respecto al uso de tecnología, con base en los riesgos y en la alineación con la estrategia organizacional. Los proveedores clave se seleccionan con base en su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección de la organización. Comentarios y observaciones: No existe un proceso continuo y reforzado para mejorar el plan de infraestructura tecnológica. No existe un monitoreo formal de los cambios tecnológicos que permita determinar amenazas y oportunidades. 4.1.4.– Definición de la organización y las Relaciones de Tecnología de la Información Objetivo de control: La máxima autoridad debe establecer una estructura organizativa adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y brinde una dirección eficaz y un control adecuado. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. Hay un entendimiento implícito de la necesidad de tener una organización de Tecnología de la Información, aunque los roles y responsabilidades no 8 están formalizados y no se hacen cumplir. La función de Tecnología de la Información esta creada para responder tácticamente, pero sin uniformidad, a las necesidades de los clientes y las relaciones con los proveedores. Se comunica la necesidad de una organización estructurada y una administración de los proveedores, pero las decisiones todavía dependen del conocimiento y las habilidades de personas clave. Aparecen técnicas comunes para administrar la organización de Tecnología de la Información y las relaciones con los proveedores. Observaciones: No existe el comité de planificación de la función servicios de información, ni métodos y procedimientos formales al respecto. Al formarse un comité ad hoc para la confección del Plan Estratégico de Sistemas 2006-2010, el plan equivalente de la organización no estaba aprobado y por tal motivo la armonización fue informal. No existen políticas formales que aborden la necesidad de evaluar y modificar la estructura organizativa a fin de dar respuesta a objetivos y circunstancias en constante cambio. De hecho la organización varía acorde a requerimientos externos, como la modificación de estructura de principios de 2006, acorde a la Resolución Sigen 48/05. A principios de 2006, se ha creado una Gerencia de Calidad y todavía no ha fijado las políticas de garantía de calidad, le falta personal y experiencia. Si bien existe un responsable de la seguridad informática, no se dispone de procesos formales para aumentar la concientización y reforzar el entendimiento y las aptitudes a fin de identificar y resolver problemas de administración de información. Todavía la organización no ha tratado el tema de la propiedad de los sistemas y los datos. Situación actual: Nivel de madurez: Proceso definido. Existen roles y responsabilidades definidos para la organización de TI y los proveedores. La organización de TI esta desarrollada, documentada, comunicada y alineada con la estrategia de TI. El diseño organizacional y el ambiente de control interno están definidos. Hay una formalización de las relaciones con otras partes, incluso comités de dirección, auditoria interna y administración de proveedores. La organización de TI esta funcionalmente completa, sin embargo, todavía se concentra más en las soluciones técnicas que en el uso de la tecnología para resolver 9 problemas de las actividades sustantivas del organismo. Hay definiciones de las funciones que debe desempeñar el personal de TI y de las que serán desempeñadas por los usuarios. Comentarios y observaciones: No existe un sistema de medición estandarizado que de soporte a los objetivos de la misión y a los factores críticos del éxito definidos por los usuarios. No se cuenta con inventarios de habilidades para respaldar la asignación de recursos humanos a los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos disponibles internamente y los que es necesario obtener de proveedores externos no está definido. 4.1.5.– Administración de la Inversión en Tecnología de Información Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de inversión, establecido y aprobado por el organismo. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. Hay un entendimiento implícito de la necesidad de selección y presupuestación de la inversión de Tecnología de la Información. Se ha comunicado la necesidad de establecer un proceso a tal fin. El cumplimiento queda librado a la iniciativa de las distintas personas del organismo. Aparecen técnicas comunes para desarrollar los componentes del presupuesto de Tecnología de la Información. Se toman decisiones de presupuestación reactivas y tácticas. Comienzan a enunciarse expectativas basadas en tendencias de la tecnología y a considerarse en las decisiones de inversión su impacto sobre la productividad y los ciclos de vida de sistemas. Observaciones: No existe en el Organismo una política formal, ni un procedimiento de formulación presupuestaria que garanticen el establecimiento de un presupuesto operativo anual y su aprobación de conformidad con los planes estratégicos del organismo y de 10 tecnología de la información. No se hace un seguimiento o monitoreo de las inversiones y los gastos de Tecnología de la Información. Situación actual Nivel de madurez: Proceso definido. Las políticas y los procesos para inversiones y presupuestos están definidos, documentados y comunicados y cubren temas clave de la misión y de tecnología. El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del ente. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados. Surge el entrenamiento formal aunque todavía se basa de modo principal en iniciativas individuales. Ocurre la aprobación formal de la selección de inversiones en TI y presupuestos. El personal de TI cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas. Comentarios y observaciones: No se verifica la realización de análisis formales que contemplen los costos directos e indirectos de las operaciones existentes, como tampoco los del ciclo de vida completo de las propuestas de inversiones. 4.1.6.– Comunicación de los Objetivos y Directivas de la Gerencia Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas a fin de traducir las opciones estratégicas en reglas prácticas y útiles. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: el cumplimiento Nivel de riesgo: [ ] Alto[X] Medio [ ] Bajo Situación 2006 Nivel de madurez: No conforma. La máxima autoridad del organismo no ha establecido un ambiente positivo de control de la información. No hay reconocimiento de la necesidad de establecer un conjunto de procesos de políticas, procedimientos, normas y cumplimiento. 11 Observaciones: No existen políticas formales que impongan un comportamiento de los funcionarios vinculado a la ética. Existen áreas responsables de la formulación de políticas y procedimientos que no cuentan con personal suficiente en calidad y cantidad. Existen normas formales que no son conocidas por los Coordinadores responsables de su aplicación. No existe un marco de referencia y un proceso para las revisiones periódicas de estándares, políticas, directrices y procedimientos. Los procedimientos y políticas implementados no son cumplimentados en forma completa y general. El compromiso con la calidad se ha limitado a la creación de una gerencia al efecto, la cual no cuenta aún con el personal necesario y las políticas rectoras. No existe una política dirigida a la minimización de riesgos a través de medidas preventivas, identificación oportuna de irregularidades, limitación de pérdidas y recuperación oportuna. No se ha realizado la definición de acciones disciplinarias asociadas con la falta de cumplimiento con las políticas de seguridad y control interno. No existe un plan de contingencia. Tampoco hay una política por escrito sobre derechos de propiedad intelectual, que cubra el desarrollo de software, tanto interno como contratado a externos. Situación actual Nivel de madurez: Proceso definido. La gerencia ha elaborado, documentado y comunicado un ambiente completo de administración de calidad y control de la información, que incluye un marco para las políticas, procedimientos y estándares. El proceso de elaboración de políticas es estructurado, mantenido y conocido por el personal, y las políticas, procedimientos y estándares existentes son razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la importancia de la conciencia de la seguridad de TI y ha iniciado programas de concienciación. El entrenamiento formal está disponible para apoyar al ambiente de control de información, aunque no se aplica de forma rigurosa. Aunque existe un marco general de desarrollo para las políticas y estándares de control, el monitoreo del cumplimiento de estas políticas y estándares es inconsistente. Las técnicas para fomentar la conciencia de la seguridad están estandarizadas y formalizadas. Comentarios y observaciones: No se realizan estadísticas de los niveles de entendimiento de las políticas y los procedimientos instaurados. 12 4.1.7.– Administración de los Recursos Humanos Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y transparentes de administración de personal en cuanto a selección, alineación, verificación de antecedentes, remuneración, capacitación, evaluación, promoción y despido. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. La alta gerencia reconoce la necesidad de la administración de los recursos humanos pero no ha formalizado ningún proceso o plan. El proceso de administración de los recursos humanos de Tecnología de la Información es informal y tiene un enfoque reactivo y centrado en las operaciones para la contratación y administración del personal. Hay escasa conciencia sobre el impacto que los rápidos cambios de las actividades sustantivas del organismo y la tecnología y las soluciones cada vez más complejas pueden tener en la necesidad de nuevos niveles de habilidades y competencias. Observaciones: No existe una política formal de reclutamiento y promoción de personal. El personal encargado de puestos delicados no toma vacaciones ininterrumpidas con una duración suficiente como para probar la habilidad de la organización para manejar casos de ausencia y detectar actividades fraudulentas. No existen procedimientos de acreditación de seguridad del personal. No hay un proceso adecuado de evaluación de desempeño del personal que ocupa los cargos del área informática. Los perfiles de los cargos no están definidos. Situación actual Nivel de madurez: Repetible. Existe un enfoque táctico para contratar y administrar al personal de TI, dirigido por necesidades específicas de proyectos, en lugar de hacerlo con base en un equilibrio entendido de disponibilidad interna y externa de personal calificado. 13 Se imparte entrenamiento informal al personal nuevo, quienes a posteriori reciben entrenamiento según sea necesario. Comentarios y observaciones: No hay un plan de administración de recursos humanos de TI definido y documentado. 4.1.8.- Garantía del cumplimiento de los requerimientos externos Objetivo de control: Se deben establecer procedimientos para la identificación y el análisis de los requerimientos externos a fin de determinar su impacto sobre la tecnología de información y la adopción de las medidas necesarias para su cumplimiento. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia el cumplimiento y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. Se ha tomado conciencia del cumplimiento con las regulaciones, los contratos y la legislación que afectan al organismo. Se siguen procesos informales para mantener el cumplimiento, pero solo a medida que surge una necesidad en nuevos proyectos o en respuesta a auditorias o revisiones. Observaciones: No existen políticas y procedimientos formales para garantizar que se adopten en forma oportuna las medidas correctivas necesarias en relación con la revisión de los requisitos externos. Tampoco hay políticas y procedimientos formales para abordar los resguardos y objetivos de seguridad e higiene correspondientes. De hecho desde 1999 no existe responsable matriculado en la materia. Se carece de políticas y procedimientos formales para garantizar el cumplimiento de las exigencias de los contratos de seguros. Situación actual 14 Nivel de Madurez: Proceso definido. Se desarrollaron, documentaron y comunicaron políticas, procedimientos y procesos para garantizar el cumplimiento de las regulaciones y las obligaciones legales y contractuales. Estos no siempre se siguen y algunos pueden ser poco prácticos o estar desactualizados. Hay un bajo nivel de monitoreo y hay requerimientos de cumplimiento que no se han abordado. Se brinda capacitación en requerimientos legales y regulatorios externos que afectan al organismo y los procesos de cumplimiento definidos. Existen contratos pro forma y procesos legales estándares para minimizar los riesgos relacionados con la responsabilidad contractual. Comentarios y observaciones: No hay un mecanismo implementado para monitorear el incumplimiento de los requerimientos externos, hacer cumplir las prácticas internas e implementar acciones correctivas. 4.1.9.- Evaluación de Riesgos Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo se ocupa de identificar los riesgos de Tecnología de la Información y analizar su impacto, involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos a fin de mitigar los riesgos. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la confidencialidad la integridad la disponibilidad y en forma secundaria: la eficacia la eficiencia el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: No conforma. No se realiza una evaluación de riesgos para los procesos y las decisiones de actividades sustantivas. El organismo no considera los 15 impactos en la actividad relacionados con las vulnerabilidades de la seguridad y las incertidumbres de los proyectos de desarrollo. La administración de riesgos no se identifico como punto relevante en la adquisición de soluciones de Tecnología de la Información y la prestación de servicios de Tecnología de la Información. Observaciones: No existe un marco formal de evaluación de riesgos, ni se realiza su identificación. Situación actual Nivel de madurez: Repetible. Existe un enfoque de evaluación de riesgos en desarrollo y se implementa a criterio de los gerentes de proyecto. La administración de riesgos se da por lo general a alto nivel y típicamente se aplica solo a proyectos grandes o como respuesta a problemas. Los procesos de mitigación de riesgos están empezando a ser implementados. Comentarios y observaciones: La administración de riesgos no sigue un proceso definido y documentado. 4.1.10.- Administración de Proyectos Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el organismo identifique y priorice los proyectos en concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien concebidas de administración de proyectos para cada uno que se inicie. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. La alta gerencia tomó conciencia y comunicó la necesidad de una administración de los proyectos de Tecnología de la Información. El organismo esta en el proceso de aprender y repetir ciertas técnicas y métodos de un proyecto a otro. Los proyectos de Tecnología de la Información tienen objetivos técnicos y funcionales definidos informalmente. Hay una participación limitada de las partes interesadas en la 16 administración de proyectos de Tecnología de la Información. Se desarrollaron algunas pautas para la mayoría de los aspectos de la administración de proyectos, pero su aplicación queda a discreción de cada gerente de proyecto. Observaciones: No se conoce la existencia formal de un marco de administración de proyectos ni de procesos de monitoreo de plazos y costos de proyectos. Existe una normativa no siempre respetada para el desarrollo y mantenimiento de software. No hay una política de costos, ni normas respecto al aseguramiento de calidad ni para la administración de proyectos como la mudanza del centro de cómputos. Situación actual Nivel de madurez: Proceso definido. El proceso y la metodología de administración de proyectos de TI han sido establecidos y comunicados. Los proyectos de TI se definen con los objetivos técnicos y de función adecuados. La alta dirección del ente y de TI, empiezan a comprometerse y a participar en la administración de los proyectos de TI. Se ha establecido una oficina de administración de proyectos dentro de TI, con roles y responsabilidades iniciales definidas. Los proyectos de TI se monitorean, con puntos clave, cronogramas y mediciones de presupuesto y desempeño definidos y actualizados. Existe entrenamiento para la administración de proyectos. El entrenamiento en administración de proyectos es un resultado principalmente de las iniciativas individuales del equipo. Los procedimientos de aseguramiento de calidad y las actividades de implantación post-sistema han sido definidos, pero no se aplican de manera amplia por parte de los gerentes de TI. Comentarios y observaciones: La administración de proyectos no se mide y evalúa luego de su finalización. 4.1.11.– Administración de la Calidad Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el mantenimiento de normas y sistemas de administración de calidad del organismo, que proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia 17 la eficiencia la integridad y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial parcial. La alta gerencia ha tomado conciencia de la necesidad de una garantía de la calidad, pero aún no se realiza. Los proyectos y las operaciones de Tecnología de la Información en general no se miden en cuanto a su calidad, pero se hacen juicios informales sobre ella. Observaciones: No se conoce la existencia de un plan de calidad ni de políticas y procedimientos para su administración. La metodología del ciclo de vida del desarrollo y mantenimiento de sistemas (Res. CSI 05/2004) es incompleta y no siempre se aplica. No existe la medición de los resultados de las actividades. Situación actual Nivel de madurez: Proceso definido. La dirección ha comunicado un proceso definido de administración de la calidad e involucra a TI y a la gerencia del usuario final. Un programa de educación y entrenamiento está surgiendo para instruir a todos los niveles de la organización sobre el tema de la calidad. Se han definido expectativas básicas de calidad y éstas se comparten dentro de los proyectos y la organización de TI. Están surgiendo herramientas y prácticas comunes para administrar la calidad. Las encuestas de satisfacción de la calidad se planean y ocasionalmente se aplican. Comentarios y observaciones: No existen procedimientos estandarizados para las métricas de calidad. 4.2.- Administración e implementación 4.2.1.- Identificación de Soluciones Automatizadas Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis claro y objetivo de las alternativas, medidas en comparación con los requerimientos del usuario. 18 Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. A pesar de no haber una metodología formalmente definida para la adquisición e implementación, los requerimientos tienden a ser definidos en forma similar en toda la organización debido a prácticas comunes dentro de la función de Tecnología de la Información. Las soluciones se identifican informalmente en función de la experiencia interna y el conocimiento de la función de Tecnología de la Información. El éxito de cada proyecto depende de la pericia de unas pocas personas clave de Tecnología de la Información, y la calidad de la documentación y la toma de decisiones varían considerablemente Observaciones: De la información recibida surge la existencia de la Resolución Nº 005/04 del Comité de Seguridad Informática que define una metodología para el desarrollo, mantenimiento e implementación de proyectos y es aplicada, parcialmente, en temas de pago de beneficios y obviada en sistemas internos. No se obtuvo evidencia de políticas definidas que satisfagan los requerimientos de desempeño, confiabilidad, compatibilidad y legislación. No existen políticas para la identificación de los paquetes de software comercial, justificado en que no suele utilizarse software de terceros. Todos los desarrollos de aplicativos son propios salvo el SIDIF OD propiedad de la Secretaría de Hacienda, el sistema de liquidación de remuneraciones denominado Meta4 y el software de base y abierto. No se realizan estudios de factibilidad. No existen políticas sobre costos y tampoco se realizan estimaciones de costos ni se evalúan los costos insumidos luego de finalizado el proyecto. El organismo esta trabajando en la definición de un modelo de datos, pero aún no cuenta con uno definido. No se definieron políticas que incluyan los problemas 19 ergonómicos asociados a la introducción de sistemas automatizados. El reglamento de contrataciones del organismo se encuentra en desarrollo. No se realiza análisis de riesgos. Situación actual Nivel de madurez: Proceso definido. El organismo estableció una metodología de adquisición e implementación que requiere un enfoque claro y estructurado en la determinación de las soluciones de TI para satisfacer los requerimientos del organismo. El enfoque requiere la consideración de alternativas evaluadas con respecto a los requerimientos del usuario, oportunidades tecnológicas, factibilidad económica, evaluaciones de riesgos y otros factores. Comentarios y observaciones: El tratamiento de los requerimientos de soluciones informáticas se administra mediante un aplicativo desarrollado internamente. Como particularidad de trabajo, el organismo cuenta con una Gerencia de Diseño de Normas y Procesos que tiene a su cargo la carga de los requerimientos. Se ha establecido mediante una resolución la metodología de administración de proyectos cuyos lineamientos están basados en los estándares fijados por Project Management Institute (PMI). A través de un aplicativo denominado GEPRO se gestiona la administración de los proyectos. Para el desarrollo de Sistemas se aplica una metodología propia, denominada MEDESI formalizada por la resolución 693/2008, cuyo esquema conceptual se basa en el desarrollo estructurado y orientado a objetos, siguiendo los lineamientos de la norma ISO 12207 y que cubre tanto desarrollos internos, desarrollos externos y paquetes de soluciones cerrados. Algunos requerimientos correspondientes a aplicaciones desarrolladas en forma externa como SIDIF o META4, no pasan por el aplicativo de administración de requerimientos. 4.2.2.- Adquisición y Mantenimiento del Software de Aplicación Objetivo de control: La adquisición y mantenimiento del software aplicativo debe realizarse por medio de la definición específica de requerimientos funcionales y operativos con una implementación por etapas de prestaciones claras. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 20 la eficacia la eficiencia y en forma secundaria: la integridad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Proceso definido parcial. Existen procesos de desarrollo y mantenimiento definidos, no así para la contratación externa. Se hace el intento de aplicar los procesos documentados en forma coherente a distintas aplicaciones y proyectos, pero no siempre se aplican y casi nunca en forma completa, con frecuencia se pasan por alto algunos pasos. Las aplicaciones de proveedor externo suelen adquirirse en forma aislada y puntual. Observaciones: La metodología del ciclo de vida del desarrollo y mantenimiento de sistemas de la organización se encuentra definida en la Resolución Nº 005/04 del Comité de Seguridad Informática. Se pudo verificar la no aplicación de la resolución en numerosos casos. No se encuentra definido el diccionario de datos del organismo. Situación actual Nivel de madurez: Proceso definido. Existen procesos de adquisición y mantenimiento documentados. Se hace el intento de aplicar los procesos documentados en forma coherente a distintas aplicaciones y proyectos, pero no siempre resultan prácticos de implementar ni reflejan las soluciones tecnológicas actuales. En general son inflexibles y no son aplicables a todos los casos, de modo que con frecuencia se pasan por alto algunos pasos. Por consiguiente, las aplicaciones suelen adquirirse en forma aislada y puntual. La gestión sigue un enfoque definido, pero en general lleva mucho tiempo y es ineficiente. Comentarios y observaciones: Las metodologías formalizadas en procedimientos de las actividades correspondientes al Ciclo de Vida de Desarrollo de Sistemas contemplan los pasos a seguir para la adquisición y el mantenimiento del software de aplicación. 21 No obstante existe una fuerte tendencia al desarrollo de aplicaciones con recursos propios debido a las frecuentes alteraciones en los planes de trabajo, resultantes de la toma de decisiones políticas del más alto nivel, que requieren soluciones muy específicas y en corto tiempo, por lo que se aprovecha la experiencia del personal para lograr estos objetivos. 4.2.3.- Adquisición y Mantenimiento de la Infraestructura Tecnológica Objetivo de control: La gerencia de la función de servicios de información debe impulsar la adquisición criteriosa del software y el hardware, la estandarización del software, la evaluación de los rendimientos, y la administración coherente de sistemas. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la integridad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. Existe uniformidad entre los enfoques tácticos, cuando se trata de adquirir y mantener la infraestructura de Tecnología de la Información. No obstante, se carece de una estrategia definida que considere las necesidades de las aplicaciones funcionales a las que ha de darse soporte. Observaciones: Se ha elaborado un Plan Estratégico de Sistemas y Telecomunicaciones 2006-2010 que propone acciones para superar la mayoría de las deficiencias identificadas en esta auditoría. Sin embargo, ha sido elaborado sin las políticas y los procedimientos formales necesarios a tal fin y que permitirían asegurar que la configuración, la instalación y el mantenimiento del software de base no ponen en peligro la seguridad de los datos y programas que en él se almacenan. No existe un manual de procedimientos para las contrataciones informáticas de ANSES. No existen políticas formalmente definidas sobre el mantenimiento preventivo del hardware. Situación actual 22 Nivel de madurez: Proceso definido. Aparece un proceso claro, definido y generalmente entendido para la administración de la infraestructura tecnológica. Da soporte a las necesidades de las aplicaciones críticas y está alineado con la estrategia del organismo y de TI. Sin embargo, no es posible determinar si hay uniformidad en la aplicación del proceso y, por lo tanto, no es probable que las instalaciones den pleno soporte a las necesidades de las aplicaciones del organismo. En general, se opta por la tercerización de la totalidad o parte de la infraestructura de TI ante problemas u oportunidades puntuales. Comentarios y observaciones: La adquisición y mantenimiento de la Infraestructura Tecnológica se enmarca en el Plan Estratégico de Informática e Innovación Tecnológica (PEIIT) vigente, aprobado por resolución Nro 506/06 de la Dirección Ejecutiva del Organismo. El mismo se revisa semestralmente para ajustar sus objetivos. Su confección se enmarca en la resolución Nro 1012/05 de la Dirección Ejecutiva del Organismo. Sin embargo este Plan sufre alteraciones producto de situaciones no contempladas referidas a nuevos roles y responsabilidades que va asumiendo el organismo producto de decisiones del Poder Ejecutivo. Estas situaciones provocan repentinos cambios en la asignación de prioridades y recursos. Esto también impacta en las consideraciones sobre las opciones de desarrollo interno o externo, ya que la premura con la que se solicitan las soluciones tecnológicas para un proyecto no contemplado originalmente exige que se apele a los conocimientos del personal interno. En relación a la estandarización del software, la gestión de aseguramiento de la calidad del software está enfocada en aspectos relativos a las pruebas (funcionales y de rendimiento) y a la seguridad, no así al análisis del código fuente. 4.2.4.- Desarrollo y Mantenimiento de Procedimientos Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de capacitación. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 23 la eficacia la eficiencia y en forma secundaria: la integridad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. Se toman enfoques similares con respecto a la producción de procedimientos y documentación, pero no están basados en un lineamiento o marco estructurado. Los procedimientos operativos y del usuario están documentados pero se carece de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad dependen en gran medida de las personas, y no de un proceso formal. Hay material de capacitación disponible, pero también tiende a ser producido individualmente y la calidad depende de las personas involucradas. Por consiguiente, los procedimientos reales y la calidad del soporte al usuario pueden variar de deficiente a muy satisfactorio, con poca uniformidad e integración en las distintas áreas del organismo. Observaciones: No se evalúan los requerimientos operativos con los datos históricos. No se definen ni planifican los requerimientos operativos, ni los niveles de servicio ni las expectativas de desempeño. No se verificó, en los sistemas de microinformática y de gestión interna, la existencia de manuales de procedimientos del usuario, de operaciones y/o herramientas de capacitación. Situación actual Nivel de madurez: Proceso definido. Existe un marco claramente definido, aceptado y entendido para la documentación del usuario, los manuales de operaciones y los materiales de capacitación. Los procedimientos se guardan y mantienen en una biblioteca formal y están a disposición de quienes los necesiten. Las correcciones se hacen en forma reactiva. Los procedimientos están disponibles fuera de línea y pueden accederse a ellos y mantenerlos en caso de desastre. Existe un proceso que especifica las actualizaciones a los procedimientos y los materiales de capacitación como uno de los resultados de un proyecto 24 de cambio. A pesar de la existencia de enfoques definidos, el contenido real varía porque no hay control para aplicar el cumplimiento con las normas. Los usuarios participan en el proceso informalmente. Cada vez se usan más herramientas automatizadas en la generación y distribución de los procedimientos. Comentarios y observaciones: El organismo cuenta con una Gerencia de Diseño de Normas y Procesos que actúa como nexo entre las áreas operativas y la Gerencia de Informática e Innovación Tecnológica (GIIT). Diseñan los procesos funcionales de las distintas aplicaciones que se formalizan en una resolución. Elaboran y actualizan la documentación respectiva, tal como los manuales de usuario. Tanto las resoluciones como la documentación están disponibles para los usuarios finales en la Intranet. 4.2.5.- Instalación y acreditación de aplicativos Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un plan bien formalizado de instalación, migración, conversión y aceptación. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la integridad la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. Se ha tomado conciencia de la necesidad de verificar y confirmar que las soluciones implementadas sean adecuadas para la finalidad prevista. Se efectúan pruebas para algunos proyectos, pero las iniciativas de estas quedan a criterio de cada equipo de proyecto y los enfoques adoptados pueden variar. La acreditación y aprobación formal es escasa o nula. Observaciones: Las políticas y procedimientos referentes al proceso del ciclo de vida del desarrollo de sistemas no se aplican para la totalidad de los proyectos. No existe manual de calidad, ni plan de calidad, ni estimación de desempeño ni programas formales de capacitación. 25 Situación actual Nivel de madurez: Repetible. Hay cierta consistencia entre los enfoques de prueba y acreditación, pero no se basan en ninguna metodología. Los equipos de desarrollo individuales son los que normalmente deciden el enfoque de prueba, y suele haber ausencia de pruebas de integración. Hay un procedimiento de aprobación formal, no necesariamente basado en criterios estandarizados. Comentarios y observaciones: La etapa de acreditación de los aplicativos está claramente definida tanto en la metodología de desarrollo de sistemas como en la de administración de proyectos. El pase de los aplicativos al entorno de producción se lleva a cabo con el consentimiento del usuario después de la aprobación por parte de éste de las pruebas correspondientes. La etapa de pruebas de la metodología de desarrollo de sistemas está claramente establecida. Sin embargo, no existe un enfoque estructurado para llevarlas a cabo, por lo que la calidad de las mismas difiere de un proyecto a otro. En los casos de aplicaciones no desarrolladas para mainframe no siempre el usuario cuenta con un entorno independiente para su instalación y/o acreditación. Por otra parte, tampoco se realiza gestión de aseguramiento de la calidad del software relacionado con el análisis del código fuente previo al pasaje al entorno de prueba, con lo que este aspecto no está controlado. 4.2.6.- Administración de Cambios Objetivo de control: Se debe implementar un sistema de administración de cambios que permita el análisis, la implementación y el seguimiento de todas las modificaciones solicitadas y realizadas en la infraestructura de Tecnología de la Información existente. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia la integridad la disponibilidad y en forma secundaria: 26 la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. Se reconoce que los cambios deberían ser administrados y controlados, pero no hay un proceso uniforme a seguir. Las prácticas varían y es probable que ocurran cambios no autorizados. La documentación de los cambios es escasa o nula, mientras que la documentación de la configuración es incompleta y poco confiable. Es probable que se produzcan errores e interrupciones en el ambiente de producción debido a una deficiente administración de cambios. El proceso utilizado no incluye categorización, priorización, ni procedimientos de emergencia. Existe un proceso de aprobación de cambios y control de versiones que está definido y se cumple en los proyectos observados. No se verificaron cambios no autorizados. Observaciones: Del análisis de la información recibida surge que no existe una metodología formal para priorizar las solicitudes de cambios. No se han encontrado procedimientos de cambios de emergencia en los manuales de operaciones verificados. El control de cambios es un procedimiento formal para usuarios y desarrolladores pero existen desarrollos donde no se aplica. No se pudo verificar la existencia de un registro de cambios y existen desarrollos que no poseen documentación de los cambios realizados. No realizan evaluaciones de costos de los cambios, por lo cual es desconocido. Tampoco se verificó la existencia de un proceso de monitoreo de cambios realizados. Situación actual Nivel de madurez: Proceso definido. Existe un proceso formal de administración de cambios, definido en la metodología de desarrollo de sistemas que incluye categorización, priorización, análisis de impacto, procedimientos de emergencia, autorización de cambios y administración de las versiones de software. Comentarios y observaciones: Existe una metodología de desarrollo de sistemas y de administración de proyectos que contemplan procesos definidos para llevar a cabo la administración de cambios. Se ha conformado un Comité de Cambios integrado por todos los gerentes de la Gerencia de Sistemas y Telecomunicaciones más una Secretaría Administrativa. 27 Su función es estudiar y analizar el impacto de los cambios desde los distintos puntos de vista de las distintas gerencias y otorgar prioridades. También, se llevan a cabo análisis de riesgo, paso que es obligatorio para el tratamiento de cada requerimiento. Solamente se analizan los cambios de software de aplicativos o que tengan impacto en los sistemas operativos. En aquellos casos donde el riesgo es moderado, la Secretaría Administrativa tiene la facultad de dar curso a los requerimientos, para no demorar la decisión de la solución a la reunión semanal. Salvo en estos casos, en el resto el requerimiento debe estar acompañado de su correspondiente análisis de riesgo realizado por el sector de análisis. La solicitud de cambio se genera a través de la confección de un requerimiento en el aplicativo de administración de requerimientos, que luego de pasar por las autorizaciones correspondientes, es derivado a la Gerencia de Sistemas para su desarrollo. Falta una mayor integración entre los aplicativos de administración de requerimientos, administración de proyectos y la metodología de desarrollo de sistemas, que por el momento, trabajan de forma independiente. 4.3.- Entrega y Soporte 4.3.1.- Definición y Administración de los Niveles de Servicio Objetivo de control: La máxima autoridad debe definir un marco del cual promueva el establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad 28 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial parcial. La dirección reconoce la necesidad de administrar los niveles de servicio, pero el proceso no se realiza. No están definidos los acuerdos de desempeño, ni su monitoreo, ni sus responsables. La presentación de informes sobre el desempeño no se realiza. Observaciones: La Gerencia de Control de Gestión y Aseguramiento de la Calidad, creada en el 2006, tiene en sus misiones la definición de los acuerdos de niveles de servicio y de su monitoreo pero no cuenta aún con el personal necesario y la definición de políticas y procedimientos para su procesamiento. Situación actual Nivel de madurez: Proceso definido. Las responsabilidades están bien definidas. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio. Los servicios y los niveles de servicio están definidos, documentados y se ha acordado utilizar un proceso estándar. Las deficiencias en los niveles de servicio están identificadas. Hay un claro vínculo entre el cumplimiento del nivel de servicio esperado y el presupuesto contemplado. Los niveles de servicio están acordados pero pueden no responder a las necesidades del ente. Comentarios y observaciones: Existen procedimientos formales para la definición de acuerdos de niveles de servicio. El cumplimiento de los niveles de servicios acordados con los proveedores (comunicaciones, mantenimiento de servidores, etc.) lo llevan a cabo las áreas responsables de esos servicios por parte del ANSES firmándose actas que certifican el cumplimiento de lo pactado. 4.3.2.– Administración de Servicios Prestados por Terceros Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar su eficacia y el cumplimiento de la política del organismo. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia 29 la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Situación 2006 Nivel de madurez: Repetible. El proceso de supervisión de los proveedores de servicios y la prestación de los servicios es informal. Se usa un contrato firmado formal con términos y condiciones para los proveedores y una descripción de los servicios a prestar. Se toman mediciones, pero no siempre son relevantes. Hay informes disponibles, aunque no siempre dan soporte a los objetivos de las actividades sustantivas del organismo. Observaciones: De la información recibida surge que no existen normas y procedimientos formales del Organismo para la supervisión de los contratos. Situación actual: Nivel de madurez: Proceso definido. Existen procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar con los proveedores. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo asociado con los servicios del tercero está valorado y reportado. Comentarios y observaciones: Actualmente todos los servicios, que la Gerencia de Informática e Innovación Tecnológica utiliza, tienen su correspondiente contrato, no existiendo ningún proveedor en situación de “legítimo abono”. En las contrataciones analizadas se observó que en las mismas se encuentran definidos los acuerdos de nivel de servicios donde se incluyen qué parámetros se tomaran en cuenta y las penalidades por incumplimiento de los mismos. Todos los meses se emite un Certificado de Cumplimiento firmado por un representante de ANSES y otro del 30 adjudicatario, indicando, en caso de existir incumplimientos, si son causa para la aplicación de las penalidades previstas. La Comisión de Recepción Definitiva de la Gerencia de Coordinación de Procesos Internos emite el Acta de Recepción Definitiva y de ser el caso aplica las penalizaciones previstas. 4.3.3.- Administración de la Capacidad y el Desempeño Objetivo de control: Se debe implementar un proceso de administración orientado a la recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. La administración de la capacidad y el desempeño es reactiva y esporádica. Los usuarios suelen tener que diseñar sus propios métodos para solucionar las limitaciones del desempeño y la capacidad. Los responsables de los programas del organismo no valoran las necesidades de servicios de Tecnología de la Información lo suficiente. La gestión de Tecnología de la Información conoce la necesidad de una administración del desempeño y la capacidad pero la acción tomada suele ser reactiva o incompleta. El proceso de planificación es informal. Observaciones: Según la información disponible no existen en el Administración políticas y procedimientos formales para la planificación de la capacidad. Si bien se realizan estimaciones basadas en las expectativas de cambio de arquitectura de sistemas de información, la falta de definiciones al respecto dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha está al límite de su capacidad. Situación actual 31 Nivel de madurez: Proceso definido. Los requerimientos de desempeño y capacidad están definidos a lo largo del ciclo de vida del sistema. Hay métricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeño operacional. Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño. Los problemas relacionados al desempeño y a la capacidad siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo tiempo. Comentarios y observaciones: La Gerencia de Tecnología y Telecomunicaciones se encarga del monitoreo del funcionamiento de los equipos del centro de cómputos y del software de base. Las coordinaciones de esta gerencia elaboran mensualmente estadísticas que permiten analizar los problemas relacionados con el desempeño. Se lleva un registro de los programas que no terminaron correctamente por una excepción en su procesamiento que puede ser motivada por la ejecución de instrucciones invalidas, intento de almacenamiento de datos en áreas de memoria no asignadas, direccionamiento a áreas de memoria inexistente , datos en un formato distinto del esperado, operaciones matemáticas incorrectas (división por cero). La Coordinación Administración Base de Datos lleva estadísticas mensuales del comportamiento de las bases. La Coordinación Gestión y Administración de Servidores se ocupa de controlar y registrar el uso y disponibilidad de los servidores mediante datos extraídos del uso de CPU, memoria disponible, paginación, cantidad de procesos, etc. La coordinación de Monitoreo de Infraestructura Tecnológica que depende de la Gerencia de Servicio a Usuarios se encarga de controlar la performance de la red de datos. Esta tarea se realiza mediante el software denominado OpenView que presenta una imagen con un sistema de semáforos indicando el estado de cada uno de los nodos de la red y emite alarmas en caso de fallas enviando correos electrónicos a los responsables del sector. 4.3.4.- Garantía de un Servicio Continuo Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de continuidad de tecnología de información que concuerde con el plan de continuidad general del organismo y sus requerimientos de actividad relacionados. 32 Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la disponibilidad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. Las responsabilidades del servicio continuo son informales, con autoridad limitada. La máxima autoridad y la alta gerencia son consientes de los riesgos relacionados y la necesidad de un servicio continuo. El foco esta puesto en la función de Tecnología de la Información, y no en la función de las actividades del organismo. Los usuarios implementan formas de solucionar las interrupciones. La respuesta a las grandes interrupciones es reactiva y carece de planificación. Observaciones: De la información recibida surge que no se ha formalizado un plan de continuidad del servicio. A la fecha la Gerencia de Tecnología de la Información está diseñando un plan de contingencia que contemple las necesidades de procesamiento informático del organismo, pero hasta el momento no se implementó una solución al respecto. Situación actual Nivel de madurez: Repetible. Se asigna la responsabilidad para mantener la continuidad del servicio. Los enfoques para asegurar la continuidad están fragmentados. Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el funcionamiento del Organismo. No hay un plan de continuidad de TI documentado, aunque hay compromiso para mantener disponible la continuidad del servicio y sus principios más importantes se conocen. Existe un inventario de sistemas y componentes críticos, pero puede no ser confiable. Las prácticas de continuidad en los servicios emergen, pero el éxito depende de acciones individuales. Comentarios y observaciones: No existe un plan de contingencia formalmente definido, se está trabajando actualmente en la redacción del mismo. Se dispone de un sitio de 33 procesamiento alquilado, donde se puede de procesar en un equipo IBM Z900 con un disco propio que está espejado con el centro de cómputos principal. El centro de cómputos central está conectado con el sitio alternativo mediante dos fibras ópticas (una de backup) que tienen recorridos diferentes. Se realizaron pruebas de funcionamiento del disco y del procesador del sitio alternativo utilizando los discos del centro de cómputos principal sin que se presentaran problemas. Se realizan backup de los archivos de disco de mainframe y de los servidores. Para el primero se utiliza un disco virtual donde se realiza en primera instancia el copiado de los archivos, una vez finalizada la copia son transferidos a una cinta, mediante un robot, sin la intervención de la CPU del equipo. Para las bases de datos DB2 se realizan 2 backups incrementales semanales y uno completo los fines de semana. Estos últimos se realizan en disco y permanecen una semana, además éste backup se copia en el centro de datos alternativo en una lectograbadora externa. Quedan así 4 juegos de cintas físicas por mes y 4 juegos de cintas virtuales que se reutilizan al cumplir el ciclo. Se realizan 2 copias mensuales para recuperación en caso de catástrofe, de los discos del sistema operativo que se graban en unidades externas en el sitio alternativo. Para los sistemas de arquitectura se realizan backups diarios, semanales y mensuales. Las cintas para el recupero en caso de catástrofe se almacenan en cajas fuertes ubicadas en otro edificio del organismo. Se realizan pruebas de restauración de las tablas de las bases de datos, pero no en forma periódica. 4.3.5.– Garantía de la Seguridad de los Sistemas Objetivo de control: La máxima autoridad debe establecer y mantener un programa de seguridad de la información para implementar los controles de acceso lógico que garantizan que el acceso a los sistemas, datos y programas está limitado a los usuarios autorizados. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la confidencialidad 34 la integridad y en forma secundaria: la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Proceso definido parcial. La dirección tiene conciencia de la seguridad y la promueve parcialmente. Se realizaron sesiones informativas sobre temas de seguridad, pero no se estandarizaron y formalizaron. Algunos procedimientos de seguridad de Tecnología de la Información están definidos e integrados en una estructura de políticas y procedimientos de seguridad. Las responsabilidades de la seguridad de Tecnología de la Información están asignadas, aunque no se observan en forma consistente. Existe un plan de seguridad de Tecnología de la Información pero aún no se realizan análisis de riesgos ni se realizan pruebas de intrusión. El informe de la seguridad de Tecnología de la Información se concentra en la función de Tecnología de la Información y todavía no en la misión del organismo. Observaciones: El organismo cuenta con una política de seguridad informática y con la autoridad y el poder de dictar y hacer cumplir las normas que considere necesarias. Se destacan la formalización de los procesos de alta de usuarios y la reglamentación sobre la transferencia de datos del organismo. Aún quedan pendientes de resolución el procedimiento de bajas de los usuarios que a la fecha es totalmente reactivo y la limitación del uso de los puertos USB a fin de que por los mismos no pueda extraerse información. La seguridad física no depende de la Gerencia de Seguridad Informática. Situación actual Nivel de madurez: Proceso definido. Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas, entendidas e implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Se realizan pruebas de 35 seguridad adecuadas. Existe capacitación en seguridad para TI, programada y comunicada de manera formal. Comentarios y observaciones: La Gerencia de Seguridad Informática tiene como función la de proveer y definir la Seguridad Lógica en todo el Organismo y verificar la seguridad física del edificio donde se encuentra ubicado el centro de cómputos. Esta coordinación otorga el acceso a los usuarios internos y externos tanto de otros organismos como público en general que realiza trámites utilizando el sitio en Internet. En la Intranet del ANSES esta gerencia tiene publicados boletines de información y normativa en materia de seguridad de la información, formularios y temas de seguridad. Actualmente en los equipos que utilizan los empleados no es posible conectar dispositivos de almacenamiento externo (pen drives) ni disponen de grabadoras de CD o de DVD. Para disponer de estas facilidades se debe enviar una nota firmada por el jefe del área indicando los motivos por los cuales se solicita. La gerencia genera y distribuye boletines de seguridad a Gerentes y Coordinadores con información a transmitir sus subordinados. En el caso de información crítica se la envía a todos los agentes a través del área de Prensa. Regularmente se envían correos electrónicos a los usuarios a fin de instruirlos sobre distintos aspectos de seguridad de la información. En el curso de inducción para los nuevos empleados existe un capítulo dedicado a seguridad informática. Actualmente está en estudio la implementación de un registro de incidentes. La gerencia da de baja a aquellos usuarios cuyas cuentas permanecen 120 días inactivas, lo mismo que los informados por RR.HH. que dejaron de trabajar en el organismo. El reglamento del Personal, del año 1993, no contempla sanciones específicas por violaciones a la seguridad informática. El personal al recibir el alta en los sistemas informáticos se notifica que la violación de las normas establecidas puede traducirse en la aplicación de sanciones. 4.3.6.– Identificación e Imputación de Costos Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el ofrecimiento de servicio adecuado. 36 Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficiencia la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: No conforma. Se carece totalmente de un proceso reconocible para identificar e imputar costos con respecto a los servicios de información prestados. El organismo ni siquiera ha reconocido que hay una cuestión que merece abordarse en cuanto a la contabilización de los costos y no hay comunicación al respecto. Observaciones: Solo se tiene registro de los costos relacionados con las horas-hombre presupuestadas en algunos proyectos y no se realizan controles durante el desarrollo ni luego de la finalización. Situación actual Nivel de madurez: No conforma. Se carece totalmente de un proceso reconocible para identificar e imputar costos con respecto a los servicios de información prestados. El organismo ni siquiera ha reconocido que hay una cuestión que merece abordarse en cuanto a la contabilización de los costos y no hay comunicación al respecto. Comentarios y observaciones: No hubo cambios respecto de la situación del 2006. 4.3.7.- Educación y Capacitación de los Usuarios Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y desarrollo. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 37 Nivel de madurez: Repetible parcial. Se tomo conciencia de la necesidad de un programa de educación y capacitación y de los procesos relacionados en todo el organismo. La capacitación comienza a ser identificada como una necesidad. Se dictan clases de educación y capacitación a cargo de distintos instructores, cubriendo un mismo tema con distintos enfoques. Se depende mucho del conocimiento de las personas, sin embargo, hay una comunicación coherente sobre las cuestiones generales y la necesidad de abordarlas. En ausencia de un programa organizado, los empleados identifican las necesidades y solicitan los cursos de capacitación que son otorgados de acuerdo a las disponibilidades. Observaciones: Las distintas áreas de Tecnología de la Información solicitan la capacitación que consideran necesaria para el siguiente año y se efectúan de acuerdo a las posibilidades. Actualmente se implementó un ciclo de conferencias y seminarios sobre nuevas arquitecturas pero su asistencia no es obligatoria. No existe una planificación a largo plazo del nivel de capacitación que debe tener el personal de Tecnología de la Información. Se observó una falta de capacitación muy importante en el sector Mesa de Ayuda Situación actual Nivel de madurez: Proceso definido. El programa de entrenamiento y educación se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educación están estandarizados y documentados. Para sostener el programa de entrenamiento y educación, se dispone de presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre prácticas de seguridad en los sistemas. Comentarios y observaciones: Actualmente la gestión de las actividades de capacitación de la Gerencia de Informática e Innovación Tecnológica (GIIT) está a cargo de la Coordinación de Gestión de Mejoras en los Servicios de TI, que depende de la Gerencia de Aseguramiento de la Calidad y Control de Gestión de TI. La función de esta coordinación es gestionar todas las capacitaciones en temas técnicos para todas las áreas de la gerencia que las requieran. Para ello anualmente se efectúa un relevamiento de necesidades de capacitación mediante un formulario que una vez completado es enviado a la coordinación. Está información se procesa y los resultados son 38 elevados a la GIIT la cual asigna prioridades y decide en función de los planes estratégicos que cursos de capacitación se realizará. 4.3.8.- Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y asesoramiento de primera línea. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible avanzado. El organismo tomó conciencia de la necesidad de contar con una función de mesa de ayuda y dicha función se ha creado en unidades organizacionales apropiadas. La asistencia está disponible formalmente, a través de una red de personas con conocimientos especializados. Estas personas cuentan con algunas herramientas comunes para ayudar a resolver los problemas. No hay una capacitación ni comunicación formal sobre procedimientos estándares, y la responsabilidad queda librada a cada uno. No existe una comunicación uniforme sobre las cuestiones globales y la necesidad de abordarlas. Observaciones: No todas las llamadas que recibe la Mesa de Ayuda son registradas en el sistema de monitoreo lo que imposibilita conocer en forma exhaustiva los problemas que se presentan. No se dispone de documentación que formalice y estandarice los procedimientos. Las herramientas informáticas que utiliza el sector son obsoletas. La cantidad de personal es escasa y se observaron demoras en la atención telefónica. No hay una base centralizada de conocimientos que reúna problemas y soluciones. El personal de la mesa de ayuda no está capacitado y no se mejoran los procesos a través del uso de software específico para cada tarea. No se identifica la causa-raíz de los problemas y no se informan las tendencias, con lo cual se lograría una corrección oportuna de los problemas. Situación actual Nivel de madurez: Proceso definido. Se reconoce y se acepta la necesidad de contar con una función de mesa de servicio y un proceso para la administración de incidentes. Los 39 procedimientos se estandarizan y documentan, pero se lleva acabo entrenamiento informal. Se deja la responsabilidad al individuo de conseguir entrenamiento y de seguir los estándares. Se desarrollan guías de usuario y preguntas frecuentes (FAQs), pero los individuos deben encontrarlas y puede ser que no las sigan. Las consultas y los incidentes se rastrean de forma manual y se monitorean de forma individual, pero no existe un sistema formal de reporte. No se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden quedar sin resolución. Los usuarios han recibido indicaciones claras de dónde y cómo reportar problemas e incidentes. Comentarios y observaciones: La función de mesa de servicio la cumple la Coordinación de Mesa de Servicios que depende de la Gerencia de Servicio a Usuarios. Atiende reclamos sobre TI tanto de los edificios de administración central como los de aproximadamente 400 delegaciones del interior del país. Las solicitudes pueden llegar por tres canales diferentes: 1. Utilizando la WEB 2. Correo electrónico. 3. Atención telefónica El primero se utiliza solamente para solicitudes técnicas derivándose los pedidos al sector que corresponda. Para los restantes canales, en los casos complejos se carga el incidente en el sistema Remedy, cada incidente (ticket) tiene un número que lo identifica y que es asignado automáticamente por el sistema. Si bien el sistema cuenta con una base de datos de los empleados del ANSES con sus números de legajos y ubicación física la misma no se actualiza automáticamente debiendo verificarse dichos datos en todas las llamadas. En aquellos casos en los que la Mesa de Ayuda no pueda resolver el incidente, se gira el ticket al área que corresponda, esta lo resuelve y mediante un correo electrónico o una llamada telefónica le informa al operador que inició el ticket que el mismo está resuelto. Puede ocurrir que en algunos casos no se le informe al operador la solución del incidente. Se reciben normalmente de 600 a 700 llamados, llegando algunas veces a recibir de 1200 a 1400 llamados que son recibidos por un único número, la central telefónica los deriva a los operadores libres. Los supervisores pueden controlar en todo momento por la cantidad de agentes ocupados, libres, y las llamadas en espera. 40 En la Intranet del Organismo pueden encontrarse instructivos y ayudas sobre todos los aplicativos del organismo, uso de correo electrónico, uso del sistema operativo Windows entre otros. Los operadores disponen de un software (UltraVNC Server) que les permite el acceso remoto al equipo del usuario. Para ello solicitan la identificación del equipo y acceden para solucionar el problema y luego informan al interesado. El sistema Remedy no dispone de una base de conocimiento que pueda ser consultada por el operador. No se realizan encuestas de satisfacción de usuarios. 4.3.9.- Administración de la Configuración Objetivo de control: Se deben implementar controles que identifiquen y registren todos los bienes de Tecnología de la Información y su ubicación física, y un programa de verificación regular que confirme su existencia. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la disponibilidad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. Se reconoce la necesidad de administración de la configuración. Se realizan tareas básicas de administración de la configuración, como mantenimiento del inventario de hardware y software, en forma individual. No se aplican prácticas estándares. Observaciones: De la documentación recibida se deduce que no existen procedimientos formales para la administración de la configuración. La información entregada del inventario de hardware es fragmentada e incompleta. Situación actual 41 Nivel de madurez: Inicial. Se reconoce la necesidad de administración de la configuración. Se realizan tareas básicas de administración de la configuración, como mantenimiento del inventario de hardware y software, en forma individual. No se aplican prácticas estándares. Comentarios y observaciones: No se recibió información que indique un cambio respecto de la situación del año 2006 4.3.10.- Administración de Problemas e Incidentes Objetivo de control: Se debe implementar un sistema de administración de problemas que registre y de respuesta a todos los incidentes. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. El organismo reconoce que hay una necesidad de resolver problemas y evaluar incidentes. Hay especialistas dentro del organismo que ayudan a resolver los problemas relacionados con su área de conocimiento y responsabilidad. La información no se comparte con otros y las soluciones varían de una persona de soporte a otra, con lo cual se crean problemas adicionales y se pierde tiempo productivo mientras se buscan las respuestas. Observaciones: No hay una política ni una metodología de administración de problemas. Existen un área que lleva estadísticas sobre incidentes y entrega informes mensuales (Mesa de Ayuda), tampoco existe información sobre escalamiento de problemas. Situación actual Nivel de madurez: Proceso definido. Se acepta la necesidad de un sistema integrado de administración de problemas y se evidencia con el apoyo de la gerencia y la asignación de presupuesto. Se estandarizan los procesos de escalamiento y resolución de problemas. El 42 registro y rastreo de problemas y de sus soluciones se dividen dentro del equipo de respuesta, utilizando las herramientas disponibles. Es poco probable detectar las desviaciones de los estándares y de las normas establecidas. La información se comparte entre el personal de manera formal y proactiva. La revisión de incidentes y los análisis de identificación y resolución de problemas son limitados e informales. Comentarios y observaciones: Se encuentran definidos los circuitos de resolución de incidentes. La coordinación de Mesa de Ayuda centraliza los reclamos y aquellos que no pueden ser resueltos en forma inmediata son girados por el sistema Remedy al sector que corresponda para su solución. Este sistema tiene predefinido de acuerdo al problema que se trate a quien debe ser enviado el ticket para su resolución. Los tickets son cerrados por el sector que resuelve el problema, no siendo informada la Coordinación Mesa de Ayuda de la solución del mismo. Se realizan estadísticas, que se publican en el resumen estadístico anual de Sistemas. 4.3.11.- Administración de Datos Objetivo de control: La máxima autoridad debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la Información para asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento completos, precisos y válidos. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. El organismo reconoce la necesidad de tener datos precisos. Se desarrollan algunos métodos a nivel de cada persona para prevenir y detectar los errores en la entrada, el procesamiento y la salida de los datos. El proceso de identificación y corrección de errores es un trabajo manual realizado individualmente y las reglas y requerimientos no se transmiten de un empleado a otro cuando hay movimientos o rotación 43 de personal. La integridad y seguridad de los datos no son requerimientos de gestión y, si existe seguridad, es administrada por la función de servicios de información. Observaciones: Los datos que recibe el organismo provienen de distintas fuentes como ser AFIP, Registros Civiles y de los propios beneficiarios. No se realizan controles sobre los datos que se reciben de otros organismos, sólo se controlan los datos provenientes de los beneficiarios. Los documentos fuentes son guardados por cada UDAI, verificándose en la Unidad visitada que el lugar físico para el almacenamiento de dichos documentos no es adecuado ni suficiente. Se observó que los archivos de datos del organismo no son confiables en cuanto a la exactitud de la información. Ver Anexo I. Situación actual Nivel de madurez: Proceso definido. Se entiende y acepta la necesidad de la administración de datos, tanto dentro de TI como a lo largo de toda la organización. Se establece la responsabilidad sobre la administración de los datos. Se asigna la propiedad sobre los datos a la parte responsable que controla la integridad y la seguridad. Los procedimientos de administración de datos se formalizan dentro de TI y se utilizan algunas herramientas para respaldos / recuperación y desecho de equipo. Se lleva a cabo algún tipo de monitoreo sobre la administración de datos. Se definen métricas básicas de desempeño. Comienza a aparecer el entrenamiento sobre administración de información. Comentarios y observaciones: Los datos que integran las bases de datos del ANSES están clasificados por su contenido de acuerdo al documento “Clasificación de datos contenidos en las bases de datos del ANSES”, que además indica cual es el procedimiento a seguir para la tarea. Los datos que recibe el ANSES de otros organismos en forma electrónica (AFIP, PAMI, entre otros) se rigen de acuerdo a la resolución que regula el intercambio electrónico de información. Los documentos fuente que reciben las UDAI por parte de los beneficiarios cuando realizan distintos trámites son almacenados por estas durante dos años, transcurrido ese tiempo solicitan su envío al Archivo Central (ubicado en Partido de San Martín). 44 Actualmente se inició un proceso de digitalización de los documentos almacenados en el Archivo Central pero todavía se encuentra en su fase inicial por falta del equipamiento de procesamiento y almacenamiento adecuados. 4.3.12.- Administración de Instalaciones Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la integridad la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial. El organismo reconoce el requerimiento de la actividad de brindar un entorno físico adecuado que proteja los recursos y el personal contra los peligros generados por la naturaleza y el hombre. No existen procedimientos estándares y la administración de las instalaciones y los equipos dependen de la idoneidad y capacidad de ciertas personas clave. No se controlan las actividades de proveedores habituales en las instalaciones y la gente se desplaza sin restricciones. La dirección no monitorea habitualmente los controles ambientales de las instalaciones ni el movimiento del personal. Observaciones: Si bien se encuentran definidas las políticas de acceso físico al área restringida central y las mismas se cumplen, no se realizan testeos de penetración que permitan medir su grado de efectividad. La Gerencia de Tecnología de la Información no tiene ninguna injerencia en el control de acceso físico a zonas que deberían ser de acceso restringido tales como servidores descentralizados y de usuarios. No hay una política documentada en materia de Seguridad y Salud Ocupacional, ni un procedimiento escrito indicando qué se debe hacer con las cintas, los cartuchos y el tóner usados de las impresoras, ni respecto a la destrucción de las cintas de backup y al plan de Emergencia y Evacuación específico. No se obtuvo la documentación referida a los planes de mantenimiento ni registros correspondientes a las condiciones termo - higrométricas. Las cintas de respaldo se encuentran sobre las mesas de trabajo y estantes. 45 Situación actual Nivel de madurez: Proceso definido. Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado. Se aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil. Se monitorea el cumplimiento de los reglamentos de higiene y seguridad. Comentarios y observaciones: El organismo comenzó a operar en Octubre de 2008 en su nuevo centro de cómputos. Los servidores y equipos de comunicaciones se encuentran dentro de una sala cofre sellada que protege los equipos contra incendios, humo, gases corrosivos, interferencias electromagnéticas, filtraciones, polvo, ingresos indebidos, etc. Dicha sala cubre una superficie de 135 m2 donde se encuentran alojados el mainframe principal, 137 servidores, sistemas de comunicaciones y los equipos para realizar copias de respaldo. Se encuentran alojados también 51 servidores que próximamente serán enviados al centro de procesamiento alternativo contratado. Mediante el software de monitoreo CMC TC Manager se controla desde la consola de operaciones la temperatura, la humedad ambiente en la sala, la humedad ambiente bajo piso, funcionamiento de equipos de aire acondicionado, el estado de la puerta de acceso y la tensión de entrada a la sala. Este software emite alarmas cuando cualquiera de los parámetros esta fuera de los rangos admitidos. El mantenimiento de los dispositivos contra incendios, equipos de aire acondicionado, y tableros de alimentación eléctrica, los realiza la misma empresa proveedora de la sala cofre. El centro de datos fue certificado por International Computer Room Experts Association (ICREA) como S-WCQA (Level 3) de acuerdo con la norma ICREA-std-131-2009. Esta certificación es auditada periódicamente por ICREA. El acceso al interior de la sala cofre se realiza mediante el uso de tarjetas de acceso, un código numérico y un dispositivo biométrico que controlan la apertura de la puerta. Dentro de la sala cofre se encuentra otra en donde se están alojados los servidores que almacenan 46 las claves criptográficas de firma digital. Para acceder a esta deben estar presentes una persona autorizada del sector de procesamiento y una persona del área Firma Digital de la Gerencia de Seguridad Informática. 4.3.13.- Administración de Operaciones Objetivo de control: Se debe establecer para el logro de todas las actividades un cronograma de actividades de soporte que se registre y apruebe. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la integridad la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Repetible. El organismo es consciente del papel clave que las actividades de operaciones de Tecnología de la Información desempeñan en la provisión de las funciones de soporte de Tecnología de la Información. Además, la alta gerencia transmite la necesidad de coordinación entre los usuarios y las operaciones de sistemas. Se están asignando presupuestos para herramientas de administración de servidores caso por caso. Las operaciones de soporte de Tecnología de la Información son informales e intuitivas. Se depende en gran medida de las habilidades de las personas. Las instrucciones sobre qué hacer en emergencia, cuando y en qué orden no están documentadas. No hay estándares operativos ni capacitación formal para los operadores. La dirección no mide el cumplimiento de los programas de operaciones de Tecnología de la Información ni analiza las demoras. Observaciones: No existen normas formales de desempeño ni acuerdos de nivel de servicio del usuario ni se encontraron procedimientos formales de mantenimientos de equipos. 47 Los operadores no cambian de turnos, las vacaciones son interrumpidas según la necesidad del área y no existe un plan de capacitación permanente para mantener sus competencias. Situación actual Nivel de madurez: Proceso definido. Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo. Se han asignado recursos y se lleva a cabo alguna capacitación durante el trabajo. Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia la gerencia. Se introduce el uso de herramientas de programación automatizadas que limitan la intervención del operador. Se introducen controles para colocar nuevos trabajos en operación. Se desarrolla una política formal para reducir el número de eventos no programados. Comentarios y observaciones: Las tareas de administración de operaciones son realizadas por el personal de la Gerencia de Procesamiento. La misma dispone actualmente de 90 personas que cubre las necesidades operativas del área. Este sector se ocupa de las tareas de operaciones de un mainframe IBM modelo Z10 y de 180 servidores. Los proveedores de servicio técnico de todos los equipos (mainframe y servidores) pueden realizar diagnósticos y tareas de mantenimiento preventivo en forma remota, en el caso de ser necesaria la vista de los mismos deben presentarse en el término de 2 horas a partir de ser detectada la falla. Los proveedores tienen firmados acuerdos de niveles de servicio que deben respetar y que se encuentran incluidos en los respectivos contratos. Las coordinaciones de Implementación Previsional, y la de Activos, Planes Sociales y Asignaciones familiares trabajan según los respectivos cronogramas de tareas. 4.4.- Monitoreo 4.4.1.- Monitoreo de los Procesos Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata en caso de desviaciones 48 Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia y en forma secundaria: la eficiencia la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Situación 2006 Nivel de madurez: Inicial parcial. La dirección reconoce la necesidad de recopilar y evaluar información sobre los procesos de monitoreo. Existe una Gerencia, creada en 2006 a este efecto, que todavía no ha generado acciones efectivas. Observaciones: No se realizan monitoreos de los recursos de la función servicios de información. Los recursos son inadecuados por atrasos en la contratación de hardware y software e imposibilidad de retener al personal. Se monitorea con las herramientas disponibles el uso de mainframe pero no el resto. No se utilizan indicadores clave del desempeño a fin de medir el desempeño de la función servicios de información. No se han recibido informes internos referentes a la utilización de los recursos de la función servicios de información (personal, instalaciones, sistemas de aplicación, tecnología y datos). El tablero de comando interno no satisface las necesidades por falta de herramientas. Desde el 2005 se están aplicando las recomendaciones de AI y Sigen lo que hace que se esté dando un proceso de normalización. No existe un plan formal de mejora del desempeño con políticas y procedimientos documentados. No existe el análisis formal de satisfacción del usuario. 49 Situación actual Nivel de madurez: Proceso definido. La gerencia ha comunicado e institucionalizado un procesos estándar de monitoreo. Se han implantado programas educacionales y de entrenamiento para el monitoreo. Se ha desarrollado una base de conocimiento formalizada del desempeño histórico. Las evaluaciones todavía se realizan al nivel de procesos y proyectos individuales de TI y no están integradas a través de todos los procesos. Se han definido herramientas para monitorear los procesos y los niveles de servicio de TI. Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales. Las mediciones del desempeño específicas de TI, las mediciones no financieras, las estratégicas, las de satisfacción del cliente y los niveles de servicio están definidas. Se ha definido un marco de trabajo para medir el desempeño. Comentarios y observaciones: No hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI no están formalizados. 4.4.2.- Evaluación de la idoneidad del control interno Objetivo de control: Debe existir el compromiso del funcionario principal de servicios de información de monitorear los controles internos, evaluar su eficacia y realizar informes en forma periódica. Este objetivo de control afecta los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: la eficacia la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 50 Situación 2006 Nivel de madurez: No conforma. El organismo carece de procedimientos para monitorear la eficacia de los controles internos. No se cuenta con métodos de informes de gestión en el área del control interno. Hay desconocimiento en este rubro. La dirección y los empleados no son conscientes de la importancia del monitoreo de los controles internos. Observaciones: Dada la inexistencia de controles internos formales no existen procedimientos para su evaluación. Situación actual Nivel de Madurez: Proceso definido. La gerencia apoya y ha institucionalizado el monitoreo del control interno. Se han desarrollado políticas y procedimientos para evaluar y reportar las actividades de monitoreo del control interno. Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del ente y de TI. Se usan herramientas, aunque no necesariamente están integradas en todos los procesos. Las políticas de evaluación de riesgos de los procesos de TI se utilizan dentro de los marcos de trabajo desarrollados de manera específica para la función de TI. Se han definido políticas para el manejo y mitigación de riesgos específicos de procesos. Comentarios y observaciones: La organización no ha establecido niveles de tolerancia para el proceso de monitoreo del control interno. No se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. 5.- Comunicación del proyecto de informe y análisis de los descargos formulados por el Organismo. El Proyecto de Informe de auditoría fue enviado al Organismo auditado para que formule las observaciones y/o comentarios que estime pertinentes, con fecha 19 de diciembre de 2011, por Nota AGN N° 465/11-A02. Los mismos fueron remitidos por el Ente el 12 de enero de 2012. Como consecuencia del análisis del descargo presentado por el Organismo auditado (que consta como Anexo VI), se ratifican las observaciones oportunamente formuladas. 51 6.- Recomendaciones Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos, independientemente del hecho de que ya hayan sido puestas en práctica. 6.1.- Planificación y organización 6.1.1.- Definición de un Plan estratégico de Tecnología de la Información: La gerencia informática debe implementar planes a corto y largo plazo que sean compatibles con la misión y las metas de la organización. En este aspecto, debe garantizar que: - la tecnología de información forme parte del plan de la organización a corto y largo plazo - se elabore un Plan de Tecnología de la Información a largo plazo - se actualiza el enfoque y la estructura de la planificación de Tecnología de la Información a largo plazo - se realicen los cambios del plan de Tecnología de la Información a largo plazo - se elabore la planificación a corto plazo de la función de servicios de información - se comuniquen los planes de Tecnología de la Información - se controlen y evalúen los planes de Tecnología de la Información - se evalúen los sistemas existentes 6.1.2.- Definición de la Arquitectura de la Información: La gerencia informática debe impulsar la creación y el mantenimiento de un modelo que contemple lo siguiente: - un modelo de arquitectura de la información - el diccionario de datos del organismo y reglas de sintaxis de los datos - un esquema de clasificación de los datos - los niveles de seguridad. 6.1.3.- Determinación de la dirección Tecnológica: Se debe crear y actualizar periódicamente un plan de infraestructura tecnológica. Dicho plan debe comprender aspectos tales como la arquitectura de los sistemas, la dirección tecnológica y las estrategias de información. 6.1.4.- Definición de la organización y las Relaciones de Tecnología de la Información: Al ubicar la función de servicios de información dentro de la estructura del organismo, la dirección del ente debe garantizar autoridad, masa crítica e independencia de las áreas de 52 usuarios en la medida necesaria para lograr soluciones de tecnología de información eficientes. En este aspecto se debe asegurar: - la designación de un comité permanente de planificación de Tecnología de la Información - la ubicación de la función de servicios de información en el organismo. - la revisión de los logros organizacionales - los roles y responsabilidades - la responsabilidad sobre el aseguramiento de calidad - la responsabilidad sobre la seguridad lógica y física - la propiedad y custodia de los datos - la supervisión de las actividades de Tecnología de la Información - la separación de funciones - la competencia del personal de Tecnología de la Información - las descripciones de los puestos del personal de Tecnología de la Información - las políticas y procedimientos relativos al personal contratado - las relaciones de coordinación, comunicación y enlace. 6.1.5.- Administración de la Inversión en Tecnología de Información: Debe implementarse un proceso de formulación presupuestaria que contemple lo siguiente: - un presupuesto operativo anual de Tecnología de la Información por centro de costos - el monitoreo de costos y beneficios - la justificación de costos y beneficios. 6.1.6.- Comunicación de los Objetivos y Directivas de la Gerencia: Se debe implementar un marco y un programa de concientización que propicien un ambiente de control positivo en todo el organismo. Este marco debe abordar la integridad, los valores éticos, y la competencia de las personas, la filosofía de gestión, el estilo operativo y la información de lo actuado. En este aspecto, la dirección del ente y la gerencia informática deben garantizar: - la responsabilidades sobre la formulación de las políticas - la comunicación de las políticas del organismo - la disponibilidad de los recursos para la implementación de políticas 53 - el mantenimiento de políticas - el cumplimiento de las políticas, los procedimientos y las normas - el compromiso con la calidad - la política marco de seguridad y control interno - la observancia de los derechos de propiedad intelectual - la comunicación de la concientización en materia de seguridad. 6.1.7.- Administración de los Recursos Humanos: El organismo debe contar con una fuerza laboral que tenga las habilidades necesarias para lograr sus metas. La gerencia informática debe garantizar que se realicen: - la selección y promoción del personal - la formación y experiencia del personal - la definición de roles y responsabilidades - la capacitación del personal - la capacitación cruzada o personal de reemplazo - los procedimientos de verificación de antecedentes del personal - la evaluación del desempeño laboral - el cambio de puestos y la seguridad en la extinción de la relación laboral. 6.1.8.- Garantía del cumplimiento de los requerimientos externos: La gerencia informática debe establecer y mantener procedimientos para la revisión de los requerimientos externos que permitan identificar los relacionados con las prácticas y controles de la tecnología de información. Además, se debe determinar en que medida es preciso que las estrategias de Tecnología de la Información respalden los requerimientos de cualquier tercero relacionado. En este aspecto, debe garantizar: - la revisión de los requerimientos externos - las prácticas y procedimientos para garantizar el cumplimiento de los requerimientos externos - el cumplimiento de la normativa en materia de seguridad y ergonomía - la privacidad de datos y la propiedad intelectual - el cumplimiento de la legislación en las actividades de comercio/gobierno electrónico - el cumplimiento de los contratos de seguro 54 6.1.9.- Evaluación de Riesgos: Se debe establecer un marco de evaluación sistemática de riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información relacionados con la consecución de los objetivos del organismo, que constituya una base para determinar cómo deben administrarse los riegos a un nivel aceptable. La gerencia informática debe garantizar que se realice: - una evaluación de riesgos de la actividad - la identificación de riesgos - la medición de riesgos - un plan de acción de reducción de riesgos - la aceptación de riesgos. 6.1.10.- Administración de Proyectos: Se debe establecer un marco de administración de proyectos que debe contemplar, como mínimo, la asignación de responsabilidades, división de tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y aprobaciones. La gerencia informática debe garantizar que: - se aplique un marco de administración de proyectos - se contemple la participación del departamento de usuarios en el inicio del proyecto - se asignen miembros y responsabilidades del equipo del proyecto - exista una definición del proyecto - se aprueben las fases del proyecto - exista un plan maestro del proyecto - se defina un plan de garantía de calidad del sistema - se implemente la administración formal de riesgos del proyecto - se elabore un plan de pruebas - se elabore un plan de capacitación - se desarrolle un plan de revisión posterior a la implementación. 6.1.11.- Administración de la Calidad: Debe desarrollarse y mantenerse periódicamente un plan general de calidad basado en los planes del organismo y de tecnología de información a largo plazo. La gerencia informática debe garantizar que exista: - un plan general de calidad - un enfoque de garantía de calidad 55 - una planificación de garantía de calidad - la revisión de garantía de calidad de la observación de las normas y procedimientos de la función de servicios de información - una metodología del ciclo de vida del desarrollo de sistemas - una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios importantes en la tecnología existente - la actualización de la metodología del ciclo de vida del desarrollo de sistemas - la coordinación y comunicación entre los usuarios y el personal de Tecnología de la Información - un marco de adquisición y mantenimiento de la infraestructura tecnológica - un marco para las relaciones con terceros a cargo de la implementación - la observación de las normas de documentación de programas verificando que: se cumplan las normas de prueba de programas se cumplan las normas de prueba de sistemas se utilicen pruebas en paralelo/piloto - la documentación de pruebas de sistemas 6.2.- Administración e implementación 6.2.1.- Identificación de Soluciones Automatizadas: Se debe garantizar la aplicación y mejora continua de la metodología del ciclo de vida de desarrollo de sistemas (CVDS) definida en la Resolución 005/04 del Comité de Seguridad Informática para todos los proyectos del organismo con la especificación de los hitos de control de avance y uso de recursos y los requerimientos funcionales y operativos de las soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación. Además, la metodología del CVDS debe contemplar un plan de estrategias de adquisición de software y de evaluación de requerimientos y especificaciones para la contratación de terceros proveedores de servicios. En este aspecto, se debe garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - definición de los requerimientos de información - formulación de cursos alternativos de acción 56 - formulación de la estrategia de adquisición - formulación requisitos para servicios prestados por terceros - estudio de factibilidad tecnológica - estudio de factibilidad económica - definición de la arquitectura de la información - informe de análisis de riesgos - controles de seguridad económicos - diseño de pistas de auditoría - adecuación ergonómica - selección del software de sistemas - control de compras - adquisición de productos de software - mantenimiento del software de terceros - programación contratada de aplicaciones - aceptación de las instalaciones - aceptación de la tecnología 6.2.2.- Adquisición y Mantenimiento del Software de Aplicación: Se deben establecer procedimientos y técnicas adecuadas para la aplicación de la metodología del ciclo de vida de desarrollo de sistemas (CVDS) del organismo, que impliquen una coordinación estrecha con los usuarios de sistemas, para la creación de especificaciones de diseño para cada proyecto de desarrollo de un sistema nuevo y la verificación de dichas especificaciones. Debe garantizarse la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - normalización de los métodos de diseño - registración de los cambios de los sistemas existentes - aprobación del diseño - definición y documentación de los requerimientos de archivos - especificación de programas - diseño de la recopilación de datos fuente - definición y documentación de los requerimientos de entrada 57 - definición de interfaces - normalización de la interfase usuario-máquina - definición y documentación de los requerimientos de procesamiento - definición y documentación de los requerimientos de salida - normalización de la controlabilidad - establecimiento de la disponibilidad como factor clave del diseño - normalización de las especificaciones de integridad de tecnología de información en programas de aplicación - realización de las pruebas del software de aplicación - desarrollo de materiales de soporte y referencia del usuario - reevaluación del diseño de sistemas 6.2.3.- Adquisición y Mantenimiento de la Infraestructura Tecnológica: Garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - evaluación del hardware y el software nuevos - mantenimiento preventivo del hardware - atender a la seguridad del software del sistema - instalación del software del sistema - mantenimiento del software del sistema - realizar los controles de cambios del software del sistema 6.2.4.- Desarrollo y Mantenimiento de Procedimientos: Aplicar la metodología del ciclo de vida del desarrollo de sistemas (CVDS) del organismo de manera tal de garantizar la definición oportuna de los requerimientos operativos y niveles de servicio, la preparación de manuales de usuario y de operaciones y el desarrollo de materiales de capacitación. La gerencia informática debe verificar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - los requerimientos operativos y niveles de servicio - la confección de manuales de procedimientos del usuario - la confección del manual de operaciones - la preparación de los materiales de capacitación 58 6.2.5.- Instalación y Acreditación de Sistemas de aplicación: Se debe aplicar para todos los proyectos las resoluciones del Comité de seguridad Informática para la implementación o modificación de los sistemas de aplicación. La gerencia informática debe garantizar la aplicación de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - capacitación de los usuarios y personal de servicios de información - dimensionamiento del desempeño del software de aplicación - desarrollo del plan de implementación - conversión de sistemas de aplicación - conversión de datos - definición de la estrategia y los planes de prueba - realización de la prueba de cambios - aplicación de criterios de ejecución de pruebas paralelas/piloto - realización de la prueba de aceptación final - realización de las pruebas de acreditación de seguridad - realización de la prueba de funcionamiento - transición a producción - evaluación del cumplimiento de los requerimientos del usuario - revisión de la gerencia posterior a la implementación 6.2.6.- Administración de Cambios: Aplicar los procedimientos específicos para tratar los pedidos de cambios, mantenimiento de sistemas y mantenimiento del proveedor. La gerencia informática debe garantizar su aplicación para las siguientes tareas y/o actividades de Tecnología de la Información: - inicio y control de solicitudes de cambio - evaluación del impacto - control de cambios - realización de los cambios de emergencia - desarrollo de documentación y procedimientos - mantenimiento autorizado - aplicación de políticas de versiones de software 59 - distribución de software 6.3.- Entrega y Soporte 6.3.1.- Definición y Administración de los Niveles de Servicio: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - establecer marco de acuerdos de nivel de servicio - procedimientos de ejecución - monitoreo e informes - revisión de los contratos y acuerdos de nivel de servicio - establecer un programa de mejora del servicio. 6.3.2.- Administración de Servicios Prestados por Terceros: Se debe verificar que los servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación técnica y funcional con los proveedores esté documentada. La máxima autoridad de la gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - interrelación con proveedores de Tecnología de la Información - asignar la responsabilidad por la relaciones - formalización de contratos con terceros - evaluación del conocimiento y la experiencia de terceros - formalización de contratos de tercerización - asegurar la continuidad de los servicios - acordar las relaciones de seguridad - monitoreo de la prestación del servicio. 6.3.3.- Administración de la Capacidad y el Desempeño: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de requerimientos de disponibilidad y desempeño - establecer un plan de disponibilidad - monitoreo e informes del desempeño de los recursos de Tecnología de la Información - utilización de herramientas para la creación de modelos 60 - administración proactiva del desempeño - la realización de pronósticos de la carga de trabajo - administración de la capacidad de los recursos - establecer la disponibilidad de recursos - planificación de recursos. 6.3.4.- Garantía de un Servicio Continuo: La gerencia informática debe crear un marco de continuidad que defina los roles, responsabilidades, enfoque y las normas y estructuras para documentar un plan de contingencia que garantice el servicio continuo. La alta gerencia y el funcionario principal de la función de servicios de información deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - un marco de continuidad de Tecnología de la Información - definir estrategias y filosofía del plan de continuidad de Tecnología de la Información - establecer contenido del plan de continuidad de Tecnología de la Información - reducción de los requerimientos de continuidad de Tecnología de la Información - mantenimiento del plan de continuidad de Tecnología de la Información - realizar la prueba del plan de continuidad de Tecnología de la Información - capacitación en el plan de continuidad de Tecnología de la Información - distribución del plan de continuidad de Tecnología de la Información - el resguardo del procesamiento alternativo del usuario - identificar recursos críticos de Tecnología de la Información - definir el sitio y equipamiento alternativos - almacenamiento de resguardo en sitio alternativo - reevaluación periódica del plan. 6.3.5.- Garantía de la Seguridad de los Sistemas: La gerencia informática y el responsable principal de la función de seguridad informática deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - administración de las medidas de seguridad - identificación, autenticación y acceso 61 - la seguridad del acceso en línea a los datos - administración de cuentas de usuarios - revisión de la gerencia de cuentas de usuarios - el control ejercido por el usuario en sus propias cuentas - la supervisión de la seguridad - clasificación de los datos - administración centralizada de identificaciones y derechos de acceso - realizar informes de violación y actividades de seguridad - manejo de incidentes - re acreditación - regular la confianza en la contraparte - autorización de transacciones - establecer la imposibilidad de rechazo - definir ruta de acceso confiable - protección de las funciones de seguridad - administración de claves criptográficas - prevención, detección y corrección de software malicioso - establecer arquitectura de firewalls y conexiones con redes públicas - protección del valor electrónico. 6.3.6.- Identificación e Implementación de Costos: La máxima autoridad del organismo y la gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificar ítems imputables - definir procedimientos de determinación de costos - utilizar procedimientos de cargos e imputación de costos al usuario. 6.3.7.- Educación y capacitación de los Usuarios: La máxima autoridad del organismo y la gerencia informática deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de necesidades de capacitación - organización de sesiones de capacitación 62 - capacitación y concientización en los principios de seguridad. 6.3.8.- Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información: La gerencia informática y el responsable de la función de mesa de ayuda debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - el soporte al usuario a través de la mesa de ayuda - registro completo de consultas de usuarios - escalamiento de consultas de usuarios - monitoreo de soluciones - análisis e informe de tendencias. 6.3.9.- Administración de la Configuración: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - registro de la configuración - establecer el nivel básico de configuración - registro del estado de la configuración - control de la configuración - detectar el software no autorizado - almacenamiento del software - administración de configuración - seguimiento y control de versiones de software. 6.3.10.- Administración de Problemas e Incidentes: La gerencia informática y el responsable de la función de soporte deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - sistema de administración de problemas - escalamiento de problemas - seguimiento de problemas y pistas de auditoría - autorizaciones de emergencia y acceso temporario - establecer las prioridades de procesamiento de emergencia. 63 6.3.11.- Administración de Datos: La gerencia informática, los responsables de programas y actividades y el funcionario principal de las funciones de procesamiento, desarrollo, y comunicaciones deben garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - preparación de datos - autorización de documentos fuente - recopilación de datos de documentos fuente - manejo de errores de documentos fuente - conservación de documentos fuente - autorización de entrada de datos - verificación de exactitud, integridad y autorización - manejo de errores de entrada de datos - asegurar la integridad del procesamiento de datos - validación y edición del procesamiento de datos - manejo de errores del procesamiento de datos - manejo y conservación de salidas - distribución de salidas de datos - balanceo y conciliación de salidas de datos - revisión y manejo de errores de salidas de datos - seguridad de los informes de salida - protección de información crítica durante la transmisión y el transporte - protección de información crítica eliminada - administración del almacenamiento - establecer períodos de conservación y condiciones de almacenamiento - establecer un sistema de administración de biblioteca de medios - definir las responsabilidades de administración de la biblioteca de medios - resguardo y restauración - tareas de resguardo - almacenamiento de resguardos - administración de archivos 64 - protección de mensajes críticos - autenticación e integridad. 6.3.12.- Administración de Instalaciones: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - seguridad física - asegurar la discreción del sitio de tecnología de información - acompañamiento de visitas - salud y seguridad del personal - protección contra factores ambientales 6.3.13.- Administración de Operaciones: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - desarrollo de manuales de instrucciones y procedimientos de las operaciones de procesamiento - documentación del proceso de puesta en marcha y otras operaciones - fijación de programas de trabajo - control de las desviaciones de los programas estándares de trabajo - asegurar la continuidad del procesamiento - registración de operaciones - salvaguardia de formularios especiales y dispositivos de salida - realización de operaciones remotas. 6.4.- Monitoreo 6.4.1.- Monitoreo de los Procesos: La gerencia informática es responsable de garantizar que se: - recopilan los datos de monitoreo - evalúa el desempeño en forma continua - evalúa la satisfacción del usuario - elaboran informes de gestión. 65 6.4.2.- Evaluación de la idoneidad del control interno: La gerencia informática es responsable de monitorear la eficacia de los controles internos en el curso normal de las operaciones. Además, las desviaciones graves deben informarse a la máxima autoridad del organismo. Debe garantizar: - el monitoreo del control interno - la operación oportuna del control interno - los informes del nivel de control interno - la seguridad operativa y el control interno. 7.- Conclusiones Durante los trabajos de campo, se ha podido observar una evolución del organismo en lo atinente a tecnología de la información de acuerdo con las recomendaciones que figuran en el informe llevado a cabo en el año 2007, habiéndose mejorado los valores correspondientes a los niveles de madurez, tal como puede observarse en los gráficos que figuran en el anexo III, que compara la situación anterior con la actual. No obstante ello, existe una serie de ítems sobre los cuales deberá prestarse especial atención, atento a que aún necesitan desarrollo para poder mantener los niveles de riesgo dentro de valores aceptables. A continuación se enumeran los más importantes: Evaluación de riesgos. Administración de recursos humanos. Instalación y acreditación de sistemas de aplicación. Administración de Operaciones. Identificación e imputación de costos. Administración de configuración Garantía de servicio continuo. Finalmente, cabe destacar que una vez logrados estos objetivos, deberá hacerse hincapié en la definición de coeficientes, que permitan medir la funcionalidad de TI, y acercase así al desarrollo de los conceptos de calidad. 66 8.- LUGAR Y FECHA BUENOS AIRES, JULIO DE 2011 9.- FIRMA 67 ANEXO I - ANÁLISIS DE LOS DATOS ALMACENADOS La información solicitada de la base de datos no fue remitida por el Organismo para poder actualizar este análisis. En consecuencia se reproduce el anterior: 1.- Archivo de Personas El Archivo de Personas (ADP), es una base de datos administrada con el sistema de base de datos de IBM llamado Data Base 2 (DB2), se creó a partir de la captación de datos obtenidos de distintas fuentes entre las cuales se encuentran las antiguas Cajas de Jubilación, la unión de Cajas de Subsidios Familiares, los Registros Civiles de las Provincias, el Registro Nacional de las Personas (ReNaPer), Dirección General Impositiva, Policía y Servicios Penitenciarios entre otros. Como producto de estas fusiones se generó una base que tiene inconsistencias, ya que al cargar datos de distintas fuentes al formato ANSES no siempre se disponía de toda la información. La tabla principal (Personas1) analizada contiene 38.482.289 registros. Uno de los campos del registro se llama Grupo de Control y es una medida de la calidad de los datos. Los niveles de mayor calidad son los que figuran como “acreditados” y están codificados con los dígitos 7, 8 y 9. Los casos en estos niveles conforman un subconjunto de 6.717.975 registros. 1.1.- Hallazgos en la tabla completa 1.1.1.- Se encontró en esa tabla registros con el campo Apellido y Nombre inválido y con número de documento y fecha de nacimiento en blanco. 1.1.2.- Otros con Apellido y Nombre aparentemente válidos pero con Número de Documento de uno o dos dígitos que no se corresponden con las Fechas de Nacimiento informadas. 1.1.3.- Fechas de Nacimiento inválidas. 1.2.- Hallazgos en el subconjunto de registros con calidad de acreditados 68 1.2.1.- Valores de Fecha de nacimiento inconsistentes como 24-01-1339 y 09-09-1394 y 2.606 casos con el valor 01-01-1901. 1.2.2.- Contenido de Apellido y Nombre con valor XXX. 1.2.3.- Incongruencias entre sexo y tipo de documento (L.E. y L.C.). 1.2.4.- Número de documento con valor nulo. 1.2.5.- Los datos de domicilio son de escritura libre y no figuran en aproximadamente el 40% de los casos. 1.2.6.- El lugar de nacimiento es de escritura libre y en general no figura. 2.- Registro Único de Beneficiarios (RUB). Sistema de liquidación de los haberes previsionales. 2.1.- Tabla Beneficios. Contiene los beneficios previsionales otorgados, incluyendo los vigentes. Se recibieron (8.738.401 registros). A cada trámite de beneficio previsional se le asigna un Número de Beneficio que no se puede repetir y uno de Beneficio Principal que permite agrupar todos los beneficios de un mismo beneficiario. 2.1.1.- Apellido y Nombre: se detectaron casos con este campo en blanco, esos registros tienen Fecha de Baja distinta de blanco, lo que indicaría que el beneficio está activo pero se dificulta identificar al beneficiario. El campo cuenta con 40 caracteres y resulta insuficiente para los nombres de algunas personas. 2.1.2.- Fecha de Baja se encontraron casos donde es inválida. 2.2.- Subconjunto de beneficios “activos”. Los registros de beneficios tienen un campo Fecha de Baja que si está en blanco es considerado como beneficio activo. En la tabla recibida los beneficios activos son 4.129.530. 2.2.1.- Campo Número de Documento: se verifican casos en 0 2.2.2.- Tipo de Documento: hay casos donde el código es inválido o está en blanco. 2.2.3.- Provincia del Documento está en blanco en general. 2.2.4.- Número de CUIL: se encontraron casos donde no esta cargado y otros donde no se corresponde con Número de documento. 2.2.5.- Se detectaron casos donde para el mismo número de documento el número de CUIL difería manteniéndose el Apellido y Nombre que significaría que la misma persona cobra distintos beneficios con distinto CUIL. 69 2.2.6.- Haber Real: este campo guarda el primer valor que ANSES estimó debería pagarse por el beneficio. Existen valores del mismo que difieren substancialmente con los efectivamente pagados. 2.2.7.- Sexo responde a una codificación aunque hay casos con el valor en blanco. 2.2.8.- Nacionalidad: A=Argentino, E=Extranjero pero hay valores en blanco. 2.2.9.- Domicilio Calle: escritura libre. Hay valores inválidos. 2.2.10.- Domicilio Número: Existen valores en 0. 2.2.11.- Domicilio Código Postal: Hay códigos postales en 0. 2.2.12.- Localidad: es de escritura libre. Hay casos en blanco. 2.2.13.- Provincia: responde a una tabla, pero hay casos en blanco. 2.2.14.- Clase de Beneficio: existe una tabla de códigos válidos, pero se encontraron casos que no corresponden a la tabla. 3.- Verificaciones Cruzadas entre las tablas de Personas y de Beneficios 3.1.- Análisis de la distribución por Grupo de Control (calidad de los datos) en la base de Personas de los beneficiarios considerados activos en la tabla Beneficios: el 80% no tiene el campo Grupo de Control como acreditado. 3.2.- Se encontraron registros de beneficios “activos” cuyos titulares no figuran en la base Personas, dado que los números de CUIL por los que se aparean los archivos o son inválidos en Tabla Beneficios o no figuran en Base Personas. 3.3.- Se encontraron personas que figuran con Fecha de fallecimiento anterior a fin de 2004 en la base de Personas y que son beneficiarios activos en la tabla Beneficios a junio 2006. 3.4.- Hay casos donde la persona identificada con el mismo Número de CUIL en ambas tablas es distinta por Apellido y Nombre, Sexo o Número de documento. 4.- Conclusión El grado de inconsistencias y/o errores en las tablas de datos del Archivo de Personas y del Registro Único de Beneficios indica que, aún en aquellos registros de ADP que han sido verificados (Grupos de control 7, 8 y 9), el software y la base de datos permiten el ingreso de valores erróneos o que no tienen consistencia entre sí. 70 Esta situación genera un nivel de riesgo alto en la liquidación de beneficios que paga el Estado. Por otro lado, la información de respaldo es escasa y no transparente, lo que se traduce en dependencia de las personas que manejan los programas y que no documentan información sensible. Las recomendaciones referidas a la solución de este problema figuran en el cuerpo principal del informe de auditoría, sin embargo se indica aquí la importancia de crear un modelo de datos del organismo, de reorganizar las bases de datos, eliminando la actual duplicación o triplicación de datos y de insertar controles que impidan los errores de carga de datos o dejar en blanco campos que directamente identifican al individuo y al beneficio que cobra. 71 ANEXO II Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. La organización reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a los resultados de la mejora continua y de la movilización con otras organizaciones. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios. 72 Anexo III Gráficos de brecha comparativos para los niveles de madurez de los objetivos de control considerados. 73 74 3: Estandar aceptable 2: Repetible 0 1 2 3 4 5 1: Inicial 4.1.7 Administración de los recursos humanos 4.1.8 Garantía del cumplimiento de los requerimientos externos 4.1.9 Evaluación de riesgos 4.1.10 Administración de proyectos 4.1.11 Administración de la calidad 4.1.5 Administración de la inversión en Tecnología de Informática 4.1.4 Definición de la organización y las relaciones de Tecnología Informática 4.1.3 Determinación de la dirección tecnológica 4.1.2 Definición de la arquitectura de la información Nivel de lMadurez 2010 Nivel de Madurez 2006 4.1.6 Comunicación de los objetivos y directivas de la gerencia 4.1.1 Definición del plan estratégico Diagrama de brechas en Planificación y Organización 75 3: Estandar aceptable 2: Repetible 4.2.6 Administración de cambios 4.4.1 Monitoreo de los procesos 4.4.2 Evaluar la idoneidad del control interno A 1: Inicial Nivel de Madurez 2006 4.2.4 Desarrollo y mantenimiento de procedimientos 4.2.3 Adquisición y mantenimiento de la infraestructura tecnológica 4.2.2 Adquisición y mantenimiento del software de aplicación Nivel de Madurez 2010 4.2.5 Instalación y acreditación de sistemas de aplicación 0 1 2 3 4 5 4.2.1 Identificación de soluciones automatizadas Diagrama de brechas en Adquisición e Implementación y en Monitoreo 76 3: Estandar aceptable 2: Repetible 0 1 2 3 4 5 1: Inicial 4.3.8 Asistencia y asesoramiento a los usuarios de Tecnología Informática 4.3.9 Administración de la configuración 4.3.10 Administración de problemas e incidentes 4.3.11 Administración de datos 4.3.12 Administración de instalaciones 4.3.13 Administración de operaciones 4.3.6 Identificación e imputación de costos 4.3.5 Garantía de la seguridad de los sistemas 4.3.4 Garantía de un servicio continuo 4.3.3 Administración de la capacidad y desempeño 4.3.2 Administración de servicios prestados por terceros Nivel de Madurez 2010 Nivel de Madurez 2006 4.3.7 Educación y capacitación de los usuarios 4.3.1 Definición y administración de los niveles de servicios Diagrama de brechas en Entrega y Soporte Anexo IV Gráficos comparativos (2006/2010) de los niveles de riesgos en cada requerimiento de la información para cada uno de los treinta objetivos de control considerados y del promedio. 77 78 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 4 .1 .1 4 .1 .2 4 .1 .3 4 .1 .4 4 .1 .5 4 .1 .6 4 .1 .7 4 .1 .8 4 .1 .9 4 .1 .1 0 4 .1 .1 1 4 .2 .1 4 .2 .2 4 .2 .3 4 .2 .4 Objetivo de control Niveles de Riesgo para la Eficacia 4 .2 .5 4 .2 .6 4 .3 .1 4 .3 .2 4 .3 .3 4 .3 .4 4 .3 .7 4 .3 .8 4 .3 .9 4 .3 .1 0 4 .3 .1 3 4 .4 .1 4 .4 .2 Riesgos Primarios 2006 Riesgo Secundari2006o Riesgos Primarios 2010 Resgos Secundarios 2010 Riesgo Aceptable 79 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 Niveles de Riesgo para la Eficiencia 4 . 2 .6 Objetivos de control 4 . 4 .2 4 .3 .1 3 4 . 4 .1 4 .3 .1 0 4 . 3 .7 4 . 3 .6 4 . 3 .4 4 . 3 .3 4 . 3 .2 4 . 3 .1 4 . 2 .4 4 . 2 .3 4 . 2 .2 4 .1 .1 1 4 .1 .1 0 4 . 1 .9 4 . 1 .7 4 . 1 .5 4 . 1 .4 4 . 1 .3 4 . 1 .2 4 . 1 .1 Riesgos Primario 2006s Riesgos Secundarios 2006 Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 80 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 Objetivos de control Niveles de Riesgo para la Confidencialidad 4 .4 .2 4 .4 .1 4 .3 .5 4 .3 .2 4 .3 .1 4 .1 .9 4 .1 .2 Riesgos Primarios 2006 Riesgos Secundario2006s Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 81 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 Niveles de Riesgo para la Integridad 4 .2 .6 4 .2 .5 Objetivos de control 4 .4 .2 4 .4 .1 4 .3 .1 3 4 .3 .1 2 4 .3 .1 1 4 .3 .5 4 .3 .2 4 .3 .1 4 .2 .4 4 .2 .3 4 .2 .2 4 .1 .1 1 4 .1 .9 4 .1 .2 Riesgos Primarios 2006 Riesgos Secundarios 2010 Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 82 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 Niveles de Riesgo para la Disponibilidad 4 .2 .6 4 .2 .5 Objetivos de control 4 .4 .2 4 .4 .1 4 .3 .1 3 4 .3 .1 2 4 .3 .1 0 4 .3 .9 4 .3 .5 4 .3 .4 4 .3 .3 4 .3 .2 4 .3 .1 4 .1 .9 Riesgos Primarios 2006 Riesgos Secundarios 2006 Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 83 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 Objetivos de control Niveles de Riesgo para el Cumplimiento 4 .4 .2 4 .4 .1 4 .3 .5 4 .3 .2 4 .3 .1 4 .2 .4 4 .2 .2 4 .1 .9 4 .1 .8 4 .1 .6 Riesgos Primarios 2006 Riesgos Secundarios 2006 Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 84 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 Niveles de Riesgo para la Confiabilidad 4 . 2 .6 Objetivos de control 4 . 4 .2 4 . 4 .1 4 .3 .1 1 4 .3 .1 0 4 . 3 .9 4 . 3 .6 4 . 3 .5 4 . 3 .2 4 . 3 .1 4 . 2 .4 4 . 2 .2 4 .1 .1 1 4 . 1 .9 4 . 1 .8 4 . 1 .5 Riesgos Primarios 2006 Riesgos Secundarios 2006 Riesgos Primarios 2010 Riesgos Secundarios 2010 Riesgo Aceptable 85 0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00 eficacia eficiencia confidencialidad Requerimiento de la información integridad disponibilidad Niveles promedio de riesgo en los objetivos de control considerados. cumplimiento confiabilidad Riesgos Promedios 2006 Riesgos Promedios 2010 Riesgo Aceptable Anexo V Estimación de los Niveles de Riesgo para los requerimientos de la información según los procesos informáticos considerados La alta velocidad con la que se producen los cambios en la tecnología informática enfatiza la necesidad de optimizar la gestión de los riesgos relacionados con la misma. Las misiones y funciones críticas de los organismos dependen en forma creciente de los sistemas de tecnología de la información en un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad se entiende que la gestión de riesgos relacionados con la tecnología de la información es un elemento esencial de la administración del Estado Nacional. En esta auditoría se trabajó sobre treinta y dos objetivos de control, cada uno de los cuales se corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la información dentro de un organismo para permitirle cumplir con sus misiones y funciones: Eficacia: Que la información sea relevante y pertinente para la misión del ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable. Eficiencia: La provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Confidencialidad: La protección de información sensible contra divulgación no autorizada. Integridad: La precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del organismo. Disponibilidad: La disponibilidad de la información cuando ésta es requerida para cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. 86 Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el organismo está sujeto. Confiabilidad: La provisión de información apropiada a la administración para operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. En los treinta casos se indica dentro de las observaciones que requerimientos son afectados en forma primaria y secundaria por el objetivo de control (ver Tabla I). El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un Tablero de Control que posibilite conocer los problemas con mayor riesgo y al mismo tiempo controlar las mejoras que se produzcan en el futuro en forma explícita. Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de que la información carezca del mencionado requisito. Este valor fluctúa entre cero y uno, siendo cero la situación más segura y uno la más insegura. El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al impacto definiendo como impacto el peligro de incumplimiento de las misiones y funciones del organismo, para los procesos involucrados en el objetivo de control, y a la probabilidad de ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo (33%). En cuanto a la probabilidad de ocurrencia se entiende que la misma está directamente vinculada a la calidad del control que se realiza y este es evaluado en el informe a través del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle: Nivel de Madurez No conforma Inicial Repetible Proceso Definido Administrado Optimizado Coeficiente 1,00 0,80 0,50 0,30 0,20 0,10 87 Tabla I confiabilidad cumplimiento disponibilidad Proceso integridad eficiencia eficacia Dominio Planeamiento y Organización Adquisición e Implementación Entrega y Soporte de Servicios Monitoreo confidencialidad Requerimiento de la información 4.1.1 Definir un plan estratégico de sistemas P S 4.1.2 Definir la arquitectura de la información P S 4.1.3 Determinar la dirección tecnológica P S 4.1.4 Definir la organización y sus relaciones P S 4.1.5 Administrar las inversiones (en TI) P P 4.1.6 Comunicar la dirección y objetivos de la gerencia P 4.1.7 Administrar los recursos humanos P 4.1.8 Garantizar el cumplimiento de los requisitos externos. P 4.1.9 Evaluar riesgos S S 4.110 Administrar proyectos P P 4.1.11 Administrar calidad P P 4.2.1 Identificar soluciones de automatización P S 4.2.2 Adquirir y mantener software de aplicación P P 4.2.3 Adquirir y mantener la arquitectura tecnológica P P S 4.2.4 Desarrollar y mantener procedimientos P P S 4.2.5 Instalar y acreditar sistemas de información P 4.2.6 Administrar cambios P P 4.3.1 Definir niveles de servicio P P S S S S S 4.3.2 Administrar servicios de terceros P P S S S S S 4.3.3 Administrar desempeño y capacidad P P S 4.3.4 Asegurar continuidad de servicio P S P S S S S P S P P P P S P S S P S S P P P S S S S S S S 4.3.5 Garantizar la seguridad de sistemas 4.3.6 Identificar y asignar costos S 4.3.7 Educar y capacitar a usuarios P 4.3.8 Apoyar y orientar a clientes P 4.3.9 Administrar la configuración P 4.3.10 Administrar problemas e incidentes P 4.3.11 Administrar la información P 4.3.12 Administrar las instalaciones P P 4.3.13 Administrar la operación P P S S 4.4.1 Monitorear el proceso P S S S S S S 4.4.2 Evaluar idoneidad del monitoreo P P S S S S S P S P S S P S S P 88 Anexo VI Análisis de la Vista 89 4.1.– Planificación y organización 4.1.1.– Definición de un Plan Estratégico de Tecnología de la Información Recomendación: La gerencia informática debe implementar planes a corto y largo plazo que sean compatibles con la misión y las metas de la organización. En este aspecto, debe garantizar que: - la tecnología de información forme parte del plan de la organización a corto y largo plazo - se elabore un Plan de Tecnología de la Información a largo plazo - se actualiza el enfoque y la estructura de la planificación de Tecnología de la Información a largo plazo - se realicen los cambios del plan de Tecnología de la Información a largo plazo - se elabore la planificación a corto plazo de la función de servicios de información - se comuniquen los planes de Tecnología de la Información - se controlen y evalúen los planes de Tecnología de la Información - se evalúen los sistemas existentes. Respuesta del Organismo: Respecto de las recomendaciones: - que la tecnología de información forme parte del plan de la organización a corto y largo plazo: La DGIIT ha elaborado el Plan Estratégico de Informática e Innovación Tecnológica 20112015 (PEIIT 2011 - 2015), aprobado por resolución DE 048/11, cuyos objetivos están alineados con los objetivos del Plan de ANSES. - que se elabore un Plan de Tecnología de la Información a largo plazo: El PEIIT 2011-2015, mencionado en punto anterior, tiene alcance a largo plazo, con fecha fin en el año 2015. - que se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a largo plazo: 90 La visión estratégica del PEIIT es a largo plazo, el desarrollo, a través de la planificación operativa, se va efectivizando y ajustando cada año en base a las exigencias que surjan, siempre en pos del cumplimiento de los lineamientos establecidos por la ANSES. - que se realicen los cambios del plan de Tecnología de la Información a largo plazo: Anualmente se revisiona el PEIIT y se realizan los cambios necesarios a partir de las exigencias que surjan, siempre en pos del cumplimiento de los lineamientos establecidos por la ANSES. - que se elabore la planificación a corto plazo de la función de servicios de información: La planificación operativa se realiza semestral y anualmente. - que se comuniquen los planes de Tecnología de la Información: Tanto la formulación del PEIIT, como las revisiones semestral y anual, son comunicados y elevados a los niveles superiores y operativos del organismo. - que se controlen y evalúen los planes de Tecnología de la Información: El PEIIT está sujeto a evaluaciones trimestrales focalizadas en el cumplimiento de los objetivos definidos en el plan. Por otro lado, los proyectos que lo componen y que están dentro del marco del proyecto POA relativo al PEIIT, están sujetos a la evaluación trimestral realizada por Planeamiento, dentro del ejercicio POA 2012. El resultado de las evaluaciones del PEIIT se muestra a través de distintos informes e indicadores para medir el desempeño del mismo. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.2.– Definición de la Arquitectura de la Información Recomendación: La gerencia informática debe impulsar la creación y el mantenimiento de un modelo que contemple lo siguiente: - un modelo de arquitectura de la información - el diccionario de datos del organismo y reglas de sintaxis de los datos - un esquema de clasificación de los datos 91 - los niveles de seguridad. Respuesta del Organismo: Desde setiembre de 2011 se tiene en disposición el relevamiento automatizado de la totalidad de los servicios web punto Net y Java que exponen datos a las aplicaciones y se desarrolló una metodología de auto-documentación de los mismos. Actualmente se encuentra en desarrollo la herramienta que permitirá contar con el catálogo completo de los servicios en forma automática. Se desarrolló una aplicación denominada RAD -Robot de Articulación de Datosaplicación que permite la carga del diccionario de datos y su homologación por parte de los responsables de normas y procesos. Esta aplicación no solo trata de los datos de las Bases de datos, sino que también incluye el significado funcional de los mismos (la semántica) y los servicios web que exponen estos datos a las demás aplicaciones. Asimismo se han definido las nomenclaturas para la generación y tipificación de datos. En cuanto a los niveles de seguridad somos muy estrictos en su acceso y el logueo de las operaciones realizadas que consultan o modifican datos. Para ello se construyó el Director que actúa como gerenciador entre la capa de usuario (perfil) y la de aplicaciones y acceso a los datos. De esta forma la arquitectura de aplicación del organismo garantiza la seguridad de la información y su acceso, tanto para usuarios propios como así también externos. La totalidad de las aplicaciones de entorno abierto críticas de negocio están serviciadas y sólo se accede a los datos desde los servidores de aplicación mediante claves y perfiles aprobados por los responsables específicos La totalidad de las aplicaciones de entorno abierto críticas de negocio están serviciadas y sólo se accede a los datos desde los servidores de aplicación mediante claves y perfiles aprobados por los responsables específicos. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.3.– Determinación de la Dirección Tecnológica 92 Recomendación: Se debe crear y actualizar periódicamente un plan de infraestructura tecnológica. Dicho plan debe comprender aspectos tales como la arquitectura de los sistemas, la dirección tecnológica y las estrategias de información. Respuesta del Organismo: Respecto de la recomendación: - se debe crear y actualizar periódicamente un plan de TI Si bien existe un Plan Estratégico de TI y un Plan de infraestructura Tecnológica a corto, mediano y largo plazo, el cambio de rol del organismo en estos últimos dos años, de un organismo en reducción a uno en expansión por donde pasa la ejecución de las políticas públicas, han hecho que los cambios y aplicación de los planes se ejecuten en forma abrupta y, a veces, sin la profundidad del análisis competente. Nos encontramos en un proceso de ordenamiento de los cambios y evaluación del impacto de las nuevas tecnologías dentro del organismo. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.4. –Definición de la organización y las Relaciones de Tecnología de la Información Recomendación: Al ubicar la función de servicios de información dentro de la estructura del organismo, la dirección del ente debe garantizar autoridad, masa crítica e independencia de las áreas de usuarios en la medida necesaria para lograr soluciones de tecnología de información eficientes. En este aspecto se debe asegurar: - la designación de un comité permanente de planificación de Tecnología de la Información - la ubicación de la función de servicios de información en el organismo. - la revisión de los logros organizacionales - los roles y responsabilidades 93 - la responsabilidad sobre el aseguramiento de calidad - la responsabilidad sobre la seguridad lógica y física - la propiedad y custodia de los datos - la supervisión de las actividades de Tecnología de la Información - la separación de funciones - la competencia del personal de Tecnología de la Información - las descripciones de los puestos del personal de Tecnología de la Información - las políticas y procedimientos relativos al personal contratado - las relaciones de coordinación, comunicación y enlace. Respuesta del Organismo: Se cuenta con documentación aprobada y debidamente publicada respecto de: - Definición de Misiones y Funciones - Roles y Responsabilidades - Revisión de los Logros alcanzados anualmente (se publica el Anuario Estadístico y la Memoria de Gestión de la DGIIT) - Descripción de los Puestos del Personal de la DGIIT - Políticas y procedimientos relativos al personal contratado. Respecto al aseguramiento de la calidad, se han obtenido certificaciones ISO sobre Mesa de Servicio y Firma Digital. Es un objetivo de la DGIIT certificar otros procesos en forma anual. Diversos procedimientos escritos de esta Dirección se refieren a: - la responsabilidad sobre la seguridad lógica y física - la propiedad y la custodia de datos - la competencia del personal de TI - las descripciones de los puestos del personal de TI - políticas y procedimientos relativos al personal contratado - las relaciones de coordinación, comunicación y enlace. 94 Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.5.- Administración de la Inversión en Tecnología de Información Recomendación: Debe implementarse un proceso de formulación presupuestaria que contemple lo siguiente: - un presupuesto operativo anual de Tecnología de la Información por centro de costos - el monitoreo de costos y beneficios - la justificación de costos y beneficios. Respuesta del Organismo: Respecto a las Recomendaciones: Debe implementarse un proceso de formulación presupuestaria que contemple lo siguiente: - un presupuesto operativo anual de Tecnología de la Información por centro de costos: De acuerdo a lo establecido por la Dirección General de Finanzas, se encuentra implementada y se cumple habitualmente con la formulación del Detalle de las Necesidades de DGIIT que conformarán el Plan de Gastos Corrientes y Plan de Inversiones para el ejercicio correspondiente. El mismo se presenta en la forma y fecha estipuladas anualmente por 1a Dirección Gestión Presupuestaria, y de acuerdo al Proceso descripto en el Punto 4.3 del Manual Operativo de la Coordinación Gestión y Control de Proveedores. - el monitoreo de costos y beneficios - la justificación de costos y beneficios: Específicamente respecto a los costos, en cada requerimiento de contrataciones de bienes y servicios se acompañan TRES (3) presupuestos que justifican el costo estimado, o se detallan las razones que no lo permiten, (EJ: Contratación Directa por Exclusividad; carencia de alternativas en el mercado, etc.). Asimismo los costos establecidos son monitoreados por la Dirección de Compras y Contrataciones de acuerdo a los procedimientos propios del área, entre los que se incluyen valores testigos SIGEN. 95 Respecto a la justificación, además de incluirse en la mayoría de los casos la relación con objetivos estratégicos de TI formulados en el Plan Anual, se incluye la justificación desde el punto de vista operativo y de alcance de los objetivos planteados, los que a su vez son informados en la elevación de pedido de aprobación al organismo competente ONTI. Se impulsarán las acciones tendientes a determinar el método más apropiado para realizar el monitoreo y la justificación de costos y beneficios recomendados. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.6.- Comunicación de los Objetivos y Directivas de la Gerencia Recomendaciones: Se debe implementar un marco y un programa de concientización que propicien un ambiente de control positivo en todo el organismo. Este marco debe abordar la integridad, los valores éticos, y la competencia de las personas, la filosofía de gestión, el estilo operativo y la información de lo actuado. En este aspecto, la dirección del ente y la gerencia informática deben garantizar: - la responsabilidades sobre la formulación de las políticas - la comunicación de las políticas del organismo - la disponibilidad de los recursos para la implementación de políticas - el mantenimiento de políticas - el cumplimiento de las políticas, los procedimientos y las normas - el compromiso con la calidad - la política marco de seguridad y control interno - la observancia de los derechos de propiedad intelectual - la comunicación de la concientización en materia de seguridad. Respuesta del Organismo: La comunicación de las políticas y normas de todo el organismo es responsabilidad de la Dirección General de Diseño de Normas y Procesos 96 (DGDNP). Sin embargo la DGIIT, para algunos casos específicos como las políticas de seguridad y su concientización, actúa de manera más proactiva, emitiendo informes periódicos de concientización a través de la Intranet y de actividades presénciales en la red de prestaciones en todo el país. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.7.- Administración de los Recursos Humanos Recomendación: El organismo debe contar con una fuerza laboral que tenga las habilidades necesarias para lograr sus metas. La gerencia informática debe garantizar que se realicen: - la selección y promoción del personal - la formación y experiencia del personal - la definición de roles y responsabilidades - la capacitación del personal - la capacitación cruzada o personal de reemplazo - los procedimientos de verificación de antecedentes del personal - la evaluación del desempeño laboral - el cambio de puestos y la seguridad en la extinción de la relación laboral. Respuesta del Organismo: Se lleva a cabo un Plan de Capacitación en temas referentes a la tecnología y otros temas complementarios. Existe la definición de Roles y Responsabilidades. Hasta el año 2010 se realizó la evaluación del desempeño requerida por el área de RRHH de la organización. Se finalizará en el primer semestre de 2012 el proyecto de desarrollo de un curso de Inducción para los temas relativos a la Dirección General de Informática e Innovación 97 Tecnológica, para el personal de dicha dirección, el cual incluirá temas relativos a las Misiones y funciones de cada dirección, usos y costumbres, métodos de solicitud de los recursos disponibles, enfermería, etc. Respecto a la capacitación de la Mesa de Servicios, ésta se realiza de acuerdo a la normativa RRHH-04-03 Circuito de Réplicas de Capacitación, resolución 084/11 desde 15/07/11. En la misma se crea la figura del replicador que será el encargado de capacitar al nuevo personal que se vaya Incorporando al área. Las políticas, planes y procedimientos de la administración de RRHH del organismo son dirigidas y ejecutadas por la Dirección General de RRHH. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.8.- Garantía del cumplimiento de los requerimientos externos Recomendación: La gerencia informática debe establecer y mantener procedimientos para la revisión de los requerimientos externos que permitan identificar los relacionados con las prácticas y controles de la tecnología de información. Además, se debe determinar en qué medida es preciso que las estrategias de Tecnología de la Información respalden los requerimientos de cualquier tercero relacionado. En este aspecto, debe garantizar: - la revisión de los requerimientos externos - las prácticas y procedimientos para garantizar el cumplimiento de los requerimientos externos - el cumplimiento de la normativa en materia de seguridad y ergonomía - la privacidad de datos y la propiedad intelectual - el cumplimiento de la legislación en las actividades de comercio/gobierno electrónico - el cumplimiento de los contratos de seguro. 98 Respuesta del Organismo: Los requerimientos externos, relacionados con las contrataciones y su cumplimiento, son evaluados y conformados por las Direcciones usuarias dependientes de la DGIIT. Asimismo, en lo que respecta a cuestiones de índole formal como seguros, son controlados por la Dirección de Compras y Contrataciones. La privacidad de datos y la propiedad intelectual se encuentran amparados por los convenios firmados por los externos y es responsabilidad de la DGDNP, los mismos son exigidos por la DGIIT, debidamente conformados, previo a la ejecución de las tareas para las cuales fueron creados. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.9.- Evaluación de Riesgos Recomendación: Se debe establecer un marco de evaluación sistemática de riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información relacionados con la consecución de los objetivos del organismo, que constituya una base para determinar cómo deben administrarse los riegos a un nivel aceptable. La gerencia informática debe garantizar que se realice: - una evaluación de riesgos de la actividad - la identificación de riesgos - la medición de riesgos - un plan de acción de reducción de riesgos - la aceptación de riesgos. Respuesta del Organismo: Respecto de las recomendaciones: - evaluación de riesgos de la actividad dentro de la DGIIT: 99 La administración de riesgos se da a alto nivel, ya que existe un Comité de Control de Cambios conformado por el Director General y todos los Directores de TI, que tiene entre otras finalidades efectuar el control, evaluación y seguimiento de los riesgos sobre los requerimientos informáticos no categorizados como proyectos, y aplicados a mantener, adaptar y optimizar los sistemas existentes. Respecto de las recomendaciones siguientes las respuestas aplican a los proyectos del PEIIT: - identificación de riesgos: Para los proyectos del PEIIT tallo establecido por la Metodología GEPRO, para la Gestión de Proyectos, se elabora el Registro de Riesgos, detallando su categorización, mitigación y contingencia. Dentro de la metodología el carácter de esta documentación es obligatorio para todos los proyectos del porfolio de la DGIIT. - medición de riesgos: Dentro de la metodología mencionada en punto anterior, en el estándar Registro de Riesgos, evaluando probabilidad e impacto, se contempla la medición de los mismos. - plan de acción de reducción de riesgos: Durante la elaboración del registro de riesgos se efectúan los pasos necesarios para que una vez identificados los mismos puedan ser minimizados a través de las acciones de mitigación. - aceptación de riesgos: Con la identificación y reducción de los riesgos, los que no pueden ser anulados, se aceptan generando los procesos preventivos para la contingencia en caso que se manifiesten Existe un Proyecto financiado por Banco Mundial, pendiente de su liberación, para establecer el conjunto de buenas prácticas que determina ITIL, dentro de las cuales se comprenden las de evaluaciones de riesgos. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 100 4.1.10.- Administración de Proyectos Recomendación: Se debe establecer un marco de administración de proyectos que debe contemplar, como mínimo, la asignación de responsabilidades, división de tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y aprobaciones. La gerencia informática debe garantizar que: - se aplique un marco de administración de proyectos - se contemple la participación del departamento de usuarios en el inicio del proyecto - se asignen miembros y responsabilidades del equipo del proyecto - exista una definición del proyecto - se aprueben las fases del proyecto - exista un plan maestro del proyecto - se defina un plan de garantía de calidad del sistema - se implemente la administración formal de riesgos del proyecto - se elabore un plan de pruebas - se elabore un plan de capacitación - se desarrolle un plan de revisión posterior a la implementación. Respuesta del Organismo: Respecto de las recomendaciones: Se aplique un marco de administración de proyectos. Se aplica la metodología Gepro para todos los proyectos y la metodología MEDESI para las tareas específicas para proyectos de Desarrollo de Aplicaciones. - se contemple la participación del departamento de usuarios en el inicio del proyecto: Para los proyectos liderados por la DGIIT, se realizan las reuniones con los involucrados en los proyectos. - se asignen miembros y responsabilidades del equipo del proyecto: En todos los proyectos se asignan los miembros y las responsabilidades tanto en el cronograma como en el Plan de Proyecto. 101 - exista una definición del proyecto: La definición macro del proyecto se realiza en la Ficha con el alcance, objetivo y tareas globales con su tiempo de ejecución. La definición detallada se realiza en el Plan de Proyecto. - se aprueben las fases del proyecto: Los proyectos del PEIIT, acordados en el ámbito de la DGIIT, se formalizan mediante la formulación y las Revisiones Anuales y Semestrales del PEIIT 2011-2015, elevadas a los niveles de conducción. - exista un plan maestro del proyecto: Existe el Plan de Proyecto, documento de carácter obligatorio. - se defina un plan de garantía de calidad del sistema: Existe el Plan de Calidad del Proyecto, propuesto como obligatorio para los proyectos que inician en 2012. - se elabore un plan de pruebas: Se elabora un Plan de Pruebas en el área de Prueba de Aplicaciones de la Coordinación Gestión y Control de Calidad, que se ejecuta para aquellos procesos que son remitidos al área antes de su puesta en Producción - planes de prueba unitarias y de integración, juntamente con los resultados de las pruebas: Luego del desarrollo de aplicaciones, la Dirección Sistemas realiza las pruebas unitarias e integrales, utilizando casos de desarrollo, previo a la entrega del aplicativo al usuario. El usuario realiza las pruebas correspondientes con sus casos de prueba. - se elabore un plan de capacitación: Existe un Plan de Capacitación Anual que se desarrolla a partir de una encuesta que se remite a todas las Direcciones de la DGIIT. Este Plan lo elabora la Coordinación Gestión de Mejoras en los Servicios de TI dependiente de la Dirección de Aseguramiento de la Calidad y Control de Gestión de TI. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.1.11.- Administración de la Calidad Recomendación: Debe desarrollarse y mantenerse periódicamente un plan general de calidad basado en los planes del organismo y de tecnología de información a largo plazo. La gerencia informática debe garantizar que exista: 102 - un plan general de calidad - un enfoque de garantía de calidad - una planificación de garantía de calidad - la revisión de garantía de calidad de la observación de las normas y procedimientos de la función de servicios de información - una metodología del ciclo de vida del desarrollo de sistemas - una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios importantes en la tecnología existente - la actualización de la metodología del ciclo de vida del desarrollo de sistemas - la coordinación y comunicación entre los usuarios y el personal de Tecnología de la Información - un marco de adquisición y mantenimiento de la infraestructura tecnológica - un marco para las relaciones con terceros a cargo de la implementación - la observación de las normas de documentación de programas verificando que: se cumplan las normas de prueba de programas se cumplan las normas de prueba de sistemas se utilicen pruebas en paralelo/piloto - la documentación de pruebas de sistemas. Respuesta del Organismo: Para las recomendaciones: - un plan general de calidad: Existe el desarrollo de un Plan General de Calidad que está en el proceso de desarrollo para ser presentado a la superioridad en el primer semestre de 2012. - un enfoque de garantía de calidad: Existe un enfoque de garantía de calidad a partir del cual se han desarrollado los Planes de Aseguramiento de la Calidad que se aplican en las Metodologías GEPRO y MEDESI. - una planificación de garantía de calidad: Existen planes respectivos de aseguramiento de la calidad que se aplican en las Metodologías GEPRO y MEDESI. 103 - la revisión de garantía de calidad de la observación de las normas y procedimientos de la función de servicio: de información: El plan de Aseguramiento de la Calidad contempla la revisión en cuanto a la observancia y cumplimiento de procedimientos, estándares, entregables y normas, que afectan al ciclo de vida del software. Complementan a las que se aplican tanto en la Metodología GEPRO como en la metodología MEDESI. - una metodología del ciclo de vida del desarrollo de sistemas: Mediante las Metodologías GEPRO y MEDESI se cumple con la metodología del ciclo de Vida del desarrollo de sistemas. Dichas metodologías se complementan para la correcta gestión del ciclo de ida del desarrollo del software de aplicación. - una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios Importantes en la tecnología existente: Están desarrolladas, publicadas e implementadas las Metodologías GEPRO y MEDESI mediante las cuales se establecen las pautas para los cambios en los sistemas existentes. - la actualización de la metodología del ciclo de vida del desarrollo de sistemas: Existen y son ejecutados los procedimientos para el mantenimiento de las metodologías que dan cumplimiento al ciclo de vida del desarrollo de sistemas. Se han producido nuevas versiones de las metodologías, orientadas a optimizar sus procesos, actividades y tareas. - la coordinación y comunicación entre los usuarios y el personal de Tecnología de la Información: Existen procedimientos de comunicación entre áreas, aunque el desarrollo de un sistema integral está dependiendo de la puesta en marcha del proyecto ITIL el que se encuentra a la espera de la aprobación de Banco Mundial. - la documentación de pruebas de sistemas: Luego del desarrollo de aplicaciones, la Dirección Sistemas realiza las pruebas unitarias e integrales, utilizando casos de desarrollo, previo a la entrega del aplicativo al usuario. El usuario realiza las pruebas correspondientes con sus casos de prueba. No existe un formato unificado para la documentación de las pruebas unitarias, integrales y de regresión. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 104 4.2.- Administración e implementación 4.2.1.- Identificación de Soluciones Automatizadas Recomendación: Se debe garantizar la aplicación y mejora continua de la metodología del ciclo de vida de desarrollo de sistemas (CVDS) definida en la Resolución 005/04 del Comité de Seguridad Informática para todos los proyectos del organismo con la especificación de los hitos de control de avance y uso de recursos y los requerimientos funcionales y operativos de las soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación. Además, la metodología del CVDS debe contemplar un plan de estrategias de adquisición de software y de evaluación de requerimientos y especificaciones para la contratación de terceros proveedores de servicios. En este aspecto, se debe garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - definición de los requerimientos de información - formulación de cursos alternativos de acción - formulación de la estrategia de adquisición - formulación requisitos para servicios prestados por terceros - estudio de factibilidad tecnológica - estudio de factibilidad económica - definición de la arquitectura de la información - informe de análisis de riesgos - controles de seguridad económicos - diseño de pistas de auditoría - adecuación ergonómica - selección del software de sistemas - control de compras - adquisición de productos de software 105 - mantenimiento del software de terceros - programación contratada de aplicaciones - aceptación de las instalaciones - aceptación de la tecnología. Respuesta del Organismo: Respecto a la recomendación: - Se debe garantizar la aplicación y mejora continua de la metodología del ciclo de vida de desarrollo de sistemas (CVDS): Se ejecutan los procedimientos para el mantenimiento de las metodologías que dan cumplimiento al ciclo de vida del desarrollo de sistemas. Se han producido nuevas versiones de las metodologías, orientadas a optimizar sus procesos, actividades y tareas. - la metodología del CVDS debe contemplar un plan de estrategias de adquisición de software y de evaluación de requerimientos y especificaciones para la contratación de terceros proveedores de servicios: Está definido el estándar vigente en el catálogo de estándares de la instalación, de cumplimiento obligatorio y sujeto a revisión en el Plan de Aseguramiento de la Calidad. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.2.2.- Adquisición y Mantenimiento del Software de Aplicación Recomendación: Se deben establecer procedimientos y técnicas adecuadas para la aplicación de la metodología del ciclo de vida de desarrollo de sistemas (CVDS) del organismo, que impliquen una coordinación estrecha con los usuarios de sistemas, para la creación de especificaciones de diseño para cada proyecto de desarrollo de un sistema nuevo y la verificación de dichas especificaciones. Debe garantizarse la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: 106 - normalización de los métodos de diseño - registración de los cambios de los sistemas existentes - aprobación del diseño - definición y documentación de los requerimientos de archivos - especificación de programas - diseño de la recopilación de datos fuente - definición y documentación de los requerimientos de entrada - definición de interfaces - normalización de la interface usuario-máquina - definición y documentación de los requerimientos de procesamiento - definición y documentación de los requerimientos de salida - normalización de la controlabilidad - establecimiento de la disponibilidad como factor clave del diseño - normalización de las especificaciones de integridad de tecnología de información en programas de aplicación - realización de las pruebas del software de aplicación - desarrollo de materiales de soporte y referencia del usuario - reevaluación del diseño de sistemas. Respuesta del Organismo: Respecto a la recomendación se ha diseñado un patrón de desarrollo para las aplicaciones denominado Arquitectura PRISSA que incluye los componentes que deben utilizarse en los desarrollos. Se utiliza desde hace 2 años una infraestructura de control del desarrollo y ciclo de vida de las aplicaciones que incluyen componentes específicos para el control automatizado del código fuente, componentes, errores, vicios de programación, cumplimiento de estándares, etc. Se tienen publicados estándares de desarrollo y mantenimiento vigentes y en proceso de actualización continua. En forma permanente se están editando nuevos desde la coordinación de arquitectura de Integración de la información. Todas las Bases de datos para cualquier aplicativo deben ser homologadas por el área de 107 modelización de datos. Existe un área de control de cambios dependiente de la Gerencia de arquitectura y se información los riesgos de cada desarrollo y/ o cambio que se genera. Existen modelos de documentación que se actualizan periódicamente que cubren todos los aspectos del ciclo de vida de las aplicaciones. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.2.3.- Adquisición y Mantenimiento de la Infraestructura Tecnológica Recomendación: Garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - evaluación del hardware y el software nuevos - mantenimiento preventivo del hardware - atender a la seguridad del software del sistema - instalación del software del sistema - mantenimiento del software del sistema - realizar los controles de cambios del software del sistema. Respuesta del Organismo: Respecto de las recomendaciones: - evaluación del hardware y el software nuevos - mantenimiento preventivo del hardware - atender a la seguridad del software del sistema - instalación del software del sistema - mantenimiento del software del sistema - realizar los controles de cambios del software del sistema Ante decisiones de urgencia del Poder Ejecutivo no contempladas por el PEIIT, se ajusta el requerimiento a la infraestructura tecnológica disponible, las cuales cuentan con todas las 108 recomendaciones mencionadas ya que todo software que se instale en el organismo, deberá cumplir con las pautas de seguridad, adecuarse a los procedimientos de instalación y mantenimiento preventivo y correctivo, al mismo tiempo de adecuarse a la estructura metodológica para el control de cambio. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.2.4.- Desarrollo y Mantenimiento de Procedimientos Recomendación: Aplicar la metodología del ciclo de vida del desarrollo de sistemas (CVDS) del organismo de manera tal de garantizar la definición oportuna de los requerimientos operativos y niveles de servicio, la preparación de manuales de usuario y de operaciones y el desarrollo de materiales de capacitación. La gerencia informática debe verificar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - los requerimientos operativos y niveles de servicio - la confección de manuales de procedimientos del usuario - la confección del manual de operaciones - la preparación de los materiales de capacitación. Respuesta del Organismo: El procedimiento definido se cumple brindando, en tiempo y forma, el material correspondiente y los elementos necesarios para facilitar la elaboración de la documentación requerida para la elaboración de los manuales de procedimiento de usuario, materiales de capacitación, para la elaboración por parte de la DGNYP. Asimismo respecto al nivel de satisfacción de los requerimientos operativos, y nivel de servicio, se elaborará un proyecto para definir los SLA de los sistemas implementados. Actualmente existe un sistema de comunicación a la mesa de servicios de las dificultades operativas de las oficinas en el uso de las aplicaciones y hardware instalado. Esta información es 109 derivada en forma automática a las direcciones competentes para su intervención en forma inmediata y resolución del problema. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.2.5.- Instalación y Acreditación de Sistemas de aplicación Recomendación: Se debe aplicar para todos los proyectos las resoluciones del Comité de seguridad Informática para la implementación o modificación de los sistemas de aplicación. La gerencia informática debe garantizar la aplicación de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - capacitación de los usuarios y personal de servicios de información - dimensionamiento del desempeño del software de aplicación - desarrollo del plan de implementación - conversión de sistemas de aplicación - conversión de datos - definición de la estrategia y los planes de prueba - realización de la prueba de cambios - aplicación de criterios de ejecución de pruebas paralelas/piloto - realización de la prueba de aceptación final - realización de las pruebas de acreditación de seguridad - realización de la prueba de funcionamiento - transición a producción - evaluación del cumplimiento de los requerimientos del usuario - revisión de la gerencia posterior a la implementación. 110 Respuesta del Organismo: La Dirección Sistemas conjuntamente con la Dirección Tecnología y Arquitectura de TI, se encuentran trabajando en el tema para poder disponer de un entorno de prueba para los usuarios en ambiente abierto. El entorno de prueba para mainframe existe y está disponible para los usuarios. En algunos casos, la premura con la que se deben implementar las aplicaciones deviene en la imposibilidad de cumplir con las tareas de prueba y control de calidad de forma efectiva y ordenada. Respecto de las recomendaciones: - desarrollo del plan de implementación - conversión de sistemas de aplicación - conversión de datos - definición de la estrategia y los planes de prueba - realización de la prueba de cambios - aplicación de criterios de ejecución de ejecución den pruebas paralelas/piloto - realización de las pruebas de acreditación de seguridad - realización de la prueba de funcionamiento El área Pruebas de Aplicaciones de la Dirección de Aseguramiento de la Calidad y Control de Gestión de TI participa en las mismas. Se trabajará en conjunto entre la DACYCGTI y la Dirección de Sistemas para establecer los mecanismos y preparación de ambientes para la realización de las pruebas e implementación tomando en cuenta las recomendaciones realizadas. - transición a producción. Se encuentran definidos y se ejecutan los procedimientos de pase a producción, con la realización de la carpeta operativa y los perfiles de seguridad asociados previos a su puesta en marcha. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.2.6.- Administración de Cambios 111 Recomendación: Aplicar los procedimientos específicos para tratar los pedidos de cambios, mantenimiento de sistemas y mantenimiento del proveedor. La gerencia informática debe garantizar su aplicación para las siguientes tareas y/o actividades de Tecnología de la Información: - inicio y control de solicitudes de cambio - evaluación del impacto - control de cambios - realización de los cambios de emergencia - desarrollo de documentación y procedimientos - mantenimiento autorizado - aplicación de políticas de versiones de software - distribución de software. Respuesta del Organismo: Respecto de las recomendaciones: - inicio y control de solicitudes de cambio Se realiza en el Comité de Control de Cambios. Participan todas las Direcciones involucradas - evaluación del impacto Se realiza en el Comité de Control de Cambios. Participan todas las Direcciones involucradas. - realización de los cambios de emergencia Está implementado un proceso mediante la utilización de herramientas de Workflow donde participan las Direcciones involucradas. Mediante este procedimiento se realiza la evaluación, ejecución y control de estas solicitudes participando las Direcciones involucradas. Respecto del comentario relativo a requerirse una mayor integración entre las metodologías de desarrollo de sistemas, administración de proyectos y los aplicativos de 112 administración de requerimientos, durante el año 2012 se aplicará mejora continua para optimizar la interrelación entre las mismas. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.- Entrega y Soporte 4.3.1.- Definición y Administración de los Niveles de Servicio Recomendación: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - establecer marco de acuerdos de nivel de servicio - procedimientos de ejecución - monitoreo e informes - revisión de los contratos y acuerdos de nivel de servicio - establecer un programa de mejora del servicio. Respuesta del Organismo: Respecto de las recomendaciones: - revisión de los contratos y acuerdos de nivel de servicio - establecer un programa de mejora del servicio. - establecer marco de acuerdos de nivel de servicio - procedimientos de ejecución - monitoreo e informes En el marco de mejora continua de los servicios de TI provistos por DGIIT: se está trabajando en la mejora de la gestión operativa de TI a través de la revisión de los acuerdos marco para los niveles de servicio de TI y de la reingeniería de los 113 procedimientos de ejecución, monitoreo e informes. Esta tarea se está realizando entre todas las áreas involucradas en la gestión operativa de TI. la Mesa de Servicios se encuentra operando dentro de un Sistema de Gestión de Calidad, contemplando el registro, controles e informes de sus procesos primarios. En el caso de adquisición de productos y/o servicios de terceros: los acuerdos de nivel de servicio son. acordados por cada una de las áreas que intervienen en la redacción del pliego, especificándose los tiempos de respuesta para los servicios de mantenimiento, los punitorios que deberán ser aplicados ante el incumplimiento por parte del prestador y el tiempo de duración del servicio. Mensualmente se ejecuta un procedimiento en el cual mediante un acta a firmar entre el proveedor y el responsable técnico de la Dirección Servicio a Usuarios, se verifica la prestación haciendo constar los servicios que no estén dentro de los plazos fijados. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.2.- Administración de Servicios Prestados por Terceros Recomendación: Se debe verificar que los servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación técnica y funcional con los proveedores esté documentada. La máxima autoridad de la gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - interrelación con proveedores de Tecnología de la Información - asignar la responsabilidad por la relaciones - formalización de contratos con terceros - evaluación del conocimiento y la experiencia de terceros - formalización de contratos de tercerización - asegurar la continuidad de los servicios 114 - acordar las relaciones de seguridad - monitoreo de la prestación del servicio. Respuesta del Organismo: Respecto al Objetivo de control: “La máxima autoridad debe implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar su eficacia y el cumplimiento de la política del organismo.”: La Dirección General de Informática e Innovación Tecnológica ha implementado como medida de control orientada a la revisión y al monitoreo de los contratos, el procedimiento para garantizar su eficacia y el cumplimiento de la política de este Organismo, consistente en establecer en las Especificaciones Técnicas que integran cada Pliego de Bases y Condiciones que los rige, los mecanismos para: a) Suscribir el Acta de Inicio del Servicio: Documento que da por formalmente iniciado el servicio y además designa al Responsable Técnico del Adjudicatario y al Representante Técnico de ANSES, que actuaran durante la vigencia del contrato para validar las actuaciones. b) Suscribir el Certificado de Servicio Mensual: En los contratos de tracto sucesivo, al término de cada mes de prestación, se establece que el Responsable Técnico del Adjudicatario y el Representante Técnico de ANSES, labrarán en forma conjunta y firmarán de conformidad el Certificado de Servicio Mensual, por triplicado, en el cual constarán todos los reclamos presentados y el nivel de respuesta obtenido a partir del Servicio Técnico del Contratista, indicándose allí mismo los valores de las multas o penalidades, que pudieran corresponder. Los TRES (3) ejemplares del Certificado de Servicio Mensual se distribuyen según: Original: Queda en poder del Contratista; Duplicado: Queda en poder de la Dirección General de Informática e Innovación Tecnológica de ANSES; Triplicado: Es remitido por la Dirección General de Informática e Innovación Tecnológica de ANSES a la Comisión de Recepción Definitiva del Organismo. 115 También en las mismas especificaciones se detalla para los contratos de provisión de bienes el procedimiento para efectivizar la recepción provisoria, que habilita a realizar la Recepción Definitiva, Además, se especifica el Acuerdo de Nivel de Servicio exigido para todos los contratos y las Penalidades por su incumplimiento. El Pliego de Bases y Condiciones que contiene las estipulaciones precedentemente detalladas, es previamente intervenido por la OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN (ONTI), organismo que constata el cumplimiento de los ESTANDARES TECNOLOGICOS PARA LA ADMINISTRACIÓN PUBLICA (ETAPs) aplicables, y posteriormente es aprobado por el funcionario que autoriza el llamado, por Acto Administrativo debidamente registrado, lo cual queda documentado en el Expediente en el que se emitió el contrato respectivo. Respecto a los Convenios con Entidades Académicas: Los Convenios Específicos de Colaboración Técnica propiciados por la DGIIT, actualmente vigentes, han sido suscriptos por la Dirección Ejecutiva en el marco de los Convenios Marcos de Colaboración con Entidades Académicas para el cumplimiento de determinados objetivos definidos en el Plan Estratégico de Informática e Innovación Tecnológica. Ante el requerimiento de proyecto de acuerdo, el área Gestión de Servicios TI interviene desde setiembre/08 en reunir la información (requerimiento, especificaciones de carácter técnico, condiciones, cronograma de entregables, documentación relativa a la representatividad de la Entidad Académica firmante del convenio, etc.) y confeccionar la documentación (modelo de acuerdo, etc.), necesarias para formalizar en un expediente protocolizado y ser sometida a consideración del Servicio Jurídico de la Organización y del área Finanzas para la pertinente previsión presupuestaria. Cumplimentadas estas instancias (Dictamen Jurídico y Afectación), el proyecto de acuerdo es elevado a la superioridad para su suscripción y posterior protocolización y comunicación fehaciente a la Entidad Académica. 116 Los Convenios Específicos detallan en sus Anexos Técnicos el cronograma de actividades y las instancias de controles requeridos para habilitar la conformidad de las actividades desarrolladas por la Entidad Académica firmante. El área Gestión Servicios TI ha habilitado en el Servidor gsytnas una carpeta que contiene la Base de Convenios celebrados a instancias de la DGIIT, con la finalidad de tener fehacientemente registrada toda información relativa al acuerdo en curso de ejecución , corroborar que se ajusta a los términos del acuerdo y proceder a su seguimiento. Obtenida la conformidad al entregable estipulado en el Convenio por parte del área responsable DGIIT/líder proyecto y la documentación de la Entidad Académica, se elabora la elevación para la firma del responsable DGIIT al área Finanzas. Copia de la documentación es agregada al expediente que dio origen al acuerdo. Se emiten informes periódicos a DGIIT respecto al estado de avance de los acuerdos, manteniéndose una fluida comunicación con el área responsable DGIIT/líder del proyecto. Respecto de las recomendaciones: -interrelación con proveedores de Tecnología de la Información La interrelación con los proveedores se da al momento de firma del Acta de Inicio del Servicio. - formalización de contratos con terceros La formalización de contratos con terceros está dada en la Orden de Compra. - asegurar la continuidad de los servicios La continuidad del servicio se asegura, llegado el caso, contratando a otro proveedor. - monitoreo de la prestación del servicio. El monitoreo de la real prestación del servicio es mensual mediante la firma de un Certificado de Servicio. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.3.- Administración de la Capacidad y el Desempeño 117 Recomendación: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de requerimientos de disponibilidad y desempeño - establecer un plan de disponibilidad - monitoreo e informes del desempeño de los recursos de Tecnología de la Información - utilización de herramientas para la creación de modelos - administración proactiva del desempeño - la realización de pronósticos de la carga de trabajo - administración de la capacidad de los recursos - establecer la disponibilidad de recursos - planificación de recursos. Respuesta del Organismo: Respecto de las recomendaciones: - administración de la capacidad de los recursos - establecer la disponibilidad de recursos - planificación de recursos - utilización de herramientas para la creación de modelos - establecer un plan de disponibilidad - monitoreo e informes del desempeño de los recursos de TI - administración proactiva del desempeño Se cuenta con herramientas que permiten llevar a cabo acciones proactivas sobre la infraestructura tecnológica, la cual además permite administrar la capacidad de los recursos permitiendo así poder realizar la planificación tecnológica. Respecto a la Infraestructura Tecnológica, se generan informes estadísticos periódicos sobre el desempeño y disponibilidad de redes y aplicaciones, los cuales se distribuyen a las áreas de competencia para su análisis y para facilitar la planificación de los recursos. Además las herramientas utilizadas para el registro de los resultados del monitoreo están disponibles para la consulta de la información. Por ejemplo: 118 Respecto a las Bases de Datos, se generan informes estadísticos sobre el espacio en disco en ambas plataformas, tanto en ambiente abierto como en ambiente Mainframe. Los informes permiten controlar el crecimiento y evolución de aspectos físicos de los archivos de datos que, conjuntamente con informes sobre creación de nuevos objetos de Bases de Datos, permite obtener proyecciones respecto del espacio en disco necesario para disponer a lo largo de los proyectos que requiere la Dirección. Se dispone de reportes de control y monitoreo diario obtenido a través de jobs generados con herramientas propias de motor de Base de Datos. Respecto de la capacidad del mainframe y de la actividad del mismo, se realizan mediciones a través de la herramienta TIVOLI. Respecto a la Infraestructura de Servidores, se realizan mediciones de las cuales se obtienen los gráficos correspondientes. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.4.- Garantía de un Servicio Continuo Recomendación: La gerencia informática debe crear un marco de continuidad que defina los roles, responsabilidades, enfoque y las normas y estructuras para documentar un plan de contingencia que garantice el servicio continuo. La alta gerencia y el funcionario principal de la función de servicios de información deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - un marco de continuidad de Tecnología de la Información - definir estrategias y filosofía del plan de continuidad de Tecnología de la Información - establecer contenido del plan de continuidad de Tecnología de la Información - reducción de los requerimientos de continuidad de Tecnología de la Información - mantenimiento del plan de continuidad de Tecnología de la Información 119 - realizar la prueba del plan de continuidad de Tecnología de la Información - capacitación en el plan de continuidad de Tecnología de la Información - distribución del plan de continuidad de Tecnología de la Información - el resguardo del procesamiento alternativo del usuario - identificar recursos críticos de Tecnología de la Información - definir el sitio y equipamiento alternativos - almacenamiento de resguardo en sitio alternativo - reevaluación periódica del plan. Respuesta del Organismo: Respecto de las recomendaciones: - definir el sitio y equipamiento alternativos - almacenamiento de resguardo en sitio alternativo: ANSES cuenta con un sitio de PROCESAMIENTO ALTERNATIVO, un cuerpo de discos que permanentemente realiza la copia espejo de los discos del sitio principal, además de servidores y mainframe. Esto asegura al Organismo la liquidación de todas sus prestaciones en caso de ocurrir un desastre. Se han realizado pruebas desastre y recupero. Habitualmente se realizan pruebas de las mismas características entorno a los procedimientos de firma digital. Se está revaluando el plan de contingencia, definiendo un nuevo sitio de procesamiento alternativo propio. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.5.- Garantía de la Seguridad de los Sistemas Recomendación: La gerencia informática y el responsable principal de la función de seguridad informática deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: 120 - administración de las medidas de seguridad - identificación, autenticación y acceso - la seguridad del acceso en línea a los datos - administración de cuentas de usuarios - revisión de la gerencia de cuentas de usuarios - el control ejercido por el usuario en sus propias cuentas - la supervisión de la seguridad - clasificación de los datos - administración centralizada de identificaciones y derechos de acceso - realizar informes de violación y actividades de seguridad - manejo de incidentes - re acreditación - regular la confianza en la contraparte - autorización de transacciones - establecer la imposibilidad de rechazo - definir ruta de acceso confiable - protección de las funciones de seguridad - administración de claves criptográficas - prevención, detección y corrección de software malicioso - establecer arquitectura de firewalls y conexiones con redes públicas - protección del valor electrónico. Respuesta del Organismo: A continuación se enumeran las recomendaciones de esta auditoría que ya se encuentran cumplidas: - administración de las medidas de seguridad - identificación, autenticación y acceso - la seguridad del acceso en línea a los datos - administración de cuentas ele usuarios - revisión de la gerencia de cuentas de usuarios - la supervisión de la seguridad 121 - administración centralizada de identificaciones y derechos de acceso - realizar informes de violación y actividades de seguridad (parcialmente cumplida). - manejo de incidentes (parcialmente cumplida). - autorización de transacciones - establecer la imposibilidad de rechazo - definir ruta de acceso confiable - protección de las funciones de seguridad - administración de claves criptográficas - prevención, detección y corrección de software malicioso - establecer arquitectura de firewalls conexiones con redes públicas. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.7.- Educación y capacitación de los Usuarios Recomendación: La máxima autoridad del organismo y la gerencia informática deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de necesidades de capacitación - organización de sesiones de capacitación - capacitación y concientización en los principios de seguridad. Respuesta del Organismo: - identificación de necesidades de capacitación Existe un Plan de Capacitación Anual que se desarrolla a partir de una encuesta que se remite a todas las Direcciones de la DGIIT. Este Plan lo elabora y ejecuta en los casos que así correspondiere, la Coordinación Gestión de Mejoras en los Servicios de TI dependiente de la Dirección de Aseguramiento de la Calidad y Control de Gestión de TI. 122 - organización de sesiones de capacitación La Coordinación Gestión de Mejoras en los Servicios de TI dependiente de la Dirección de Aseguramiento de la Calidad y Control de Gestión de TI, organiza las sesiones de capacitación en base al plan elaborado y a los recursos disponibles y a las capacitaciones contratadas junto con las adquisiciones de TI (se cuenta con cuatro aulas para realizar capacitaciones). - capacitación y concientización en los principios de seguridad. Si bien se cuenta con el área y la capacitación ya descrita, la DIRECCIÓN DE SEGURIDAD INFORMÁTICA, de acuerdo a lo estipulado en la normas vigentes, desarrolla además, actividades de capacitación y concientización específicas a sus funciones, dirigidas a todo el personal, al personal nuevo ingresante y con alcance a toda la Organización en forma periódica. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.8.- Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información Recomendación: La gerencia informática y el responsable de la función de mesa de ayuda debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - el soporte al usuario a través de la mesa de ayuda - registro completo de consultas de usuarios - escalamiento de consultas de usuarios - monitoreo de soluciones - análisis e informe de tendencias. Respuesta del Organismo: La Mesa de Servicios se encuentra operando dentro de un Sistema de Gestión de Calidad, para sus procesos primarios, basándose en: 123 La Resolución 067/11 SIST-19-01 del 01/07/2011 para las tareas de recepción, registración y tratamiento de tickets de reclamos a la Mesa de Servicios. La Resolución 068/11 SIST-19-03 del 01/07/2011 para las tareas de back office, para normalizar los procesos que se realizan luego de la atención telefónica para evitar desvíos en el procedimiento y mejorar la calidad del servicio. Respecto a la operatoria: Todas las solicitudes que llegan son cargadas en un TKT, para su resolución inmediata, en caso de que lo pueda ejecutar la Mesa de Servicio, o para su escalamiento a las áreas involucradas en caso de depender de las mismas para su resolución. Una vez cumplido el TKT por el área correspondiente se da por resuelto el mismo y se carga la acción realizada en el log de eventos, por lo cual el personal de la Mesa de Servicios cuenta con la in información de lo actuado para la resolución y el legajo del agente que procedió a la misma. Los agentes de la Mesa de Servicio son los únicos con perfil para el cierre del evento. Para los tickets resueltos en primer nivel, se consulta al usuario sobre la resolución satisfactoria del problema, para los tickets escalados, resueltos en segundo nivel, se realiza mensualmente un muestreo para evaluar el nivel de satisfacción del usuario. Se elaboran informes mensuales de gestión. También se reciben incidentes a través de un sistema elaborado por la Subdirección de Prestaciones, los incidentes allí informados son cargados en el sistema de TKT y dados de baja a través del mismo sistema informando la recuperación de las anomalías. Respecto a la capacitación: La misma se realiza de acuerdo a la normativa RRHH-04-03 Circuito de Réplicas de Capacitación, resolución 084/11 desde 15/07/11. En la misma se crea la figura del replicador que será el encargado de capacitar al nuevo personal que se vaya incorporando al área, Respecto a las mejoras a implementar: Cabe señalar que se está trabajando para la contratación e implementación de una nueva versión de Remedy, donde se podrá realizar, entre otras cosas, el análisis e informes de las tendencias, carga de la base de conocimiento y registro de las actuaciones de las áreas 124 intervinientes, consulta de escalamiento de problemas, actualización automática de los datos de las personas. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.9.- Administración de la Configuración Recomendación: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - registro de la configuración - establecer el nivel básico de configuración - registro del estado de la configuración - control de la configuración - detectar el software no autorizado - almacenamiento del software - administración de configuración - seguimiento y control de versiones de software. Respuesta del Organismo: Existe un inventario del HW el que se registra a través de la herramienta Remedy donde se impactan las altas, bajas y rotación de elementos informáticos. Desde la Dirección de Seguridad Informática se efectúan periódicamente sendos controles para la posible detección de irregularidades en las estaciones de trabajo, se distribuyen actualizaciones a las configuraciones de seguridad, se controla que no haya usuarios administradores de equipos (salvo aquellos expresamente registrados) para evitar la instalación de software no autorizado, etc., para mantener ordenadas las configuraciones de los equipos. 125 Para plataforma Abierta se implementaron procedimientos de integración para la Gestión de la Configuración del Software; se utiliza el SVN para controlar versiones y se implementaron los procedimientos para pase entre ambientes (desarrollo-calidadproducción). Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.10.- Administración de Problemas e Incidentes Recomendación: La gerencia informática y el responsable de la función de soporte deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - sistema de administración de problemas - escalamiento de problemas - seguimiento de problemas y pistas de auditoría - autorizaciones de emergencia y acceso temporario - establecer las prioridades de procesamiento de emergencia. Respuesta del Organismo: La Mesa de Servicios se encuentra operando dentro de un Sistema de Gestión de Calidad, para sus procesos primarios, basándose en: La Resolución 067/11 SIST-19-01 del 01/07/2011 para las tareas de recepción, registración y tratamiento de tickets de reclamos a la Mesa de Servicios. La Resolución 068/11 SIST-19-03 del 01/07/2011 para las tareas de back office, para normalizar los procesos que se realizan luego de la atención telefónica para evitar desvíos en el procedimiento y mejorar la calidad del servicio. Respecto a la operatoria: Todas las solicitudes que llegan son cargadas en un TKT, para su resolución inmediata, en caso de que lo pueda ejecutar la Mesa de Servicio, o para su escalamiento a las áreas 126 involucradas en caso de depender de las mismas para su resolución. Una vez cumplido el TKT por el área correspondiente se da por resuelto el mismo y se carga la acción realizada en el log de eventos, por lo cual el personal de la Mesa de Servicios cuenta con la in información de lo actuado para la resolución y el legajo del agente que procedió a la misma. Los agentes de la Mesa de Servicio son los únicos con perfil para el cierre del evento. Para los tickets resueltos en primer nivel, se consulta al usuario sobre la resolución satisfactoria del problema, para los tickets escalados, resueltos en segundo nivel, se realiza mensualmente un muestreo para evaluar el nivel de satisfacción del usuario. Se elaboran informes mensuales de gestión. También se reciben incidentes a través de un sistema elaborado por la Subdirección de Prestaciones, los incidentes allí informados son cargados en el sistema de TKT y dados de baja a través del mismo sistema informando la recuperación de las anomalías. Respecto a la capacitación: La misma se realiza de acuerdo a la normativa RRHH-04-03 Circuito de Réplicas de Capacitación, resolución 084/11 desde 15/07/11. En la misma se crea la figura del replicador que será el encargado de capacitar al nuevo personal que se vaya incorporando al área, Respecto a las mejoras a implementar: Cabe señalar que se está trabajando para la contratación e implementación de una nueva versión de Remedy, donde se podrá realizar, entre otras cosas, el análisis e informes de las tendencias, carga de la base de conocimiento y registro de las actuaciones de las áreas intervinientes, consulta de escalamiento de problemas, actualización automática de los datos de las personas. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.11.- Administración de Datos 127 Recomendación: La gerencia informática, los responsables de programas y actividades y el funcionario principal de las funciones de procesamiento, desarrollo, y comunicaciones deben garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - preparación de datos - autorización de documentos fuente - recopilación de datos de documentos fuente - manejo de errores de documentos fuente - conservación de documentos fuente - autorización de entrada de datos - verificación de exactitud, integridad y autorización - manejo de errores de entrada de datos - asegurar la integridad del procesamiento de datos - validación y edición del procesamiento de datos - manejo de errores del procesamiento de datos - manejo y conservación de salidas - distribución de salidas de datos - balanceo y conciliación de salidas de datos - revisión y manejo de errores de salidas de datos - seguridad de los informes de salida - protección de información crítica durante la transmisión y el transporte - protección de información crítica eliminada - administración del almacenamiento - establecer períodos de conservación y condiciones de almacenamiento - establecer un sistema de administración de biblioteca de medios - definir las responsabilidades de administración de la biblioteca de medios - resguardo y restauración - tareas de resguardo - almacenamiento de resguardos 128 - administración de archivos - protección de mensajes críticos - autenticación e integridad. Respuesta del Organismo: Respecto de las recomendaciones: - asegurar la integridad del procesamiento de datos: Todo procesamiento mantiene la integridad de los datos, la misma es asegurada a través de los accesos asignados a cada implementador por la Dirección de Seguridad Informática, como así también su seguimiento a través del log del sistema detallando todo lo acontecido con el usuario del implementador. - validación y edición del procesamiento de datos: La validación de los datos en cada procesamiento se efectúa a través del Programa que aplica cada sistema, y su resultante es editado en los totales y archivos de salida de cada JOB ejecutado. Los registros que no conforman la validación son rechazados e informados al usuario. - manejo de errores del procesamiento de datos: EI manejo de errores de los procesos es resuelto de acuerdo a nivel Sistema Operativo, a través de los correspondientes manuales de errores. Los errores propios de los datos de ingreso son resueltos según se estipule en la Carpeta Operativa del Sistema. - manejo y conservación de salidas: El manejo y conservación, como su tiempo de resguardo es enunciado en la Carpeta Operativa del Sistema. - distribución de salidas de datos: Está enunciado en la Carpeta Operativa del Sistema. - administración del almacenamiento: Hay establecidos procesos periódicos de administración y se ejecutan según cronograma previsto. - manejo de errores del procesamiento de datos: 129 EI manejo de errores de los procesos es resuelto de acuerdo a nivel Sistema Operativo, a través de los correspondientes manuales de errores. Los errores propios de los datos de ingreso son resueltos según se estipule en la Carpeta Operativa del Sistema. - manejo y conservación de salidas: El manejo y conservación, como su tiempo de resguardo es enunciado en la Carpeta Operativa del Sistema. - distribución de salidas de datos: Está enunciado en la Carpeta Operativa del Sistema. - administración del almacenamiento: Hay establecidos procesos periódicos de administración y se ejecutan según cronograma previsto. - resguardo y restauración: Se brinda seguridad e integridad del dato. Las tareas de resguardo están planificadas, siendo su modalidad (frecuencia, versiones, tipo de soporte, etc.) determinada por el usuario. La restauración es eventual y se realiza a pedido. - tareas de resguardo: Se desarrollan según lo indicado en el Manual Operativo de la Dirección de Procesamiento, Coord. Operación Centralizada y de la Coord. Operación Descentralizada. - almacenamiento de resguardos: Los datos son resguardados en soportes magnéticos y storage de discos, este último está replicado en el Sitio de Contingencia. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.12.- Administración de Instalaciones Recomendación: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: 130 - seguridad física - asegurar la discreción del sitio de tecnología de información - acompañamiento de visitas - salud y seguridad del personal - protección contra factores ambientales. Respuesta del Organismo: Respecto a las recomendaciones: - seguridad física: En lo relativo a la seguridad física del edificio de la GIIT, Piedras 363, el mismo cuenta con 6 niveles de seguridad claramente definidos; delimitados y controlados, acceso electrónico al edificio y a cada piso por tarjetas electrónicas en relación a perfiles, circuito cerrado de CCTV, control de contenido bultos, maletines/ mochilas al ingreso y egreso del edificio, registro de visitas, etc. o sea, se cuenta con los elementos suficientes para garantizar la seguridad física de la instalación. - asegurar la discreción del sitio de tecnología de información: Para garantizar la discreción del sitio de tecnología de información, las instalaciones físicas no poseen una identificación que permita conocer las actividades que se realizan en su interior. - acompañamiento de visitas: Las visitas son registradas por la guardia del edificio y luego son acompañadas por un Coord. de la Dirección Procesamiento o los Supervisores del área, y por un representante de Firma Digital. Antes de ingresar al Ambiente de Máxima Seguridad, se vuelven a registrar y se les autoriza la entrada al AMS, en todo momento están acompañados por personal idóneo. - salud y seguridad del personal: Se monitorea el cumplimiento de los reglamentos de higiene y seguridad. En noviembre 2011 se realizaron chequeos médicos obligatorios a todos los integrantes de la DGIIT. - protección contra factores ambientales: 131 El centro de datos fue certificado por Internacional Computer Room Experts Association (ICREA) como S-WCQA (Level 3) de acuerdo con la norma ICREA-std-131-2009. Esta certificación es auditada periódicamente por ICREA. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.3.13.- Administración de Operaciones Recomendación: La gerencia informática debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - desarrollo de manuales de instrucciones y procedimientos de las operaciones de procesamiento - documentación del proceso de puesta en marcha y otras operaciones - fijación de programas de trabajo - control de las desviaciones de los programas estándares de trabajo - asegurar la continuidad del procesamiento - registración de operaciones - salvaguardia de formularios especiales y dispositivos de salida - realización de operaciones remotas. Respuesta del Organismo: Respecto de las Recomendaciones: - desarrollo de manuales de instrucciones y procedimientos de las operaciones de procesamiento - documentación del proceso de puesta en marcha y otras operaciones: La versión original de los manuales ha sido entregada, las actualizaciones del año 2011 están en elaboración, como así también la documentación de los procesos. - fijación de programas de trabajo: 132 Las tareas que realiza la Dirección Procesamiento tienen sus cronogramas de cumplimiento y planificación mensual. - control de las desviaciones de los programas estándares de trabajo: Los desvíos se miden para los procesos claves, como por ejemplo la disponibilidad del sistema medida mensualmente. - registración de operaciones: La registración de operaciones se vuelca diariamente en un Parte Diario de Novedades que se puede visual izar a través del “TSO”. - salvaguardia de formularios especiales y dispositivos de salida: La DGIIT no posee formularios preimpresos, las únicas impresiones que se realizan, para el pago de la prestación Contención Familiar, se arman a partir de un archivo con datos que asocian el contenido y formato de la impresión. Los pagos de Sentencias se envían por SITACI al usuario, este es el único medio de transferencia electrónica de datos desde y hacia los usuarios. - realización de operaciones remotas: Eventualmente se usa VPN para conexión remota con todos los protocolos de Seguridad que se aplican en la instalación. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.4.- Monitoreo 4.4.1.- Monitoreo de los Procesos Recomendación: La gerencia informática es responsable de garantizar que se: - recopilan los datos de monitoreo - evalúa el desempeño en forma continua - evalúa la satisfacción del usuario 133 - elaboran informes de gestión. Respuesta del Organismo: Respecto de las recomendaciones: - recopilan los datos de monitoreo - evalúa el desempeño en forma continua - elaboran informes de gestión: Las distintas áreas de la DGIIT emiten informes de gestión, con el objetivo de brindar una visión ejecutiva de los parámetros de interés, representativos del estado de situación de sus temas específicos. Por ejemplo, respecto del monitoreo de aplicaciones y redes, el resultante del mismo se registra en las herramientas específicas, a través de las cuales las áreas de competencia pueden realizar consultas sobre el desempeño histórico, además de contar con informes para facilitar la planificación de los recursos. Se realizan encuestas de satisfacción del servicio como por ejemplo la Encuesta Anual de Satisfacción de Servicio cuyo objetivo es obtener indicadores específicos respecto al desempeño de la Coordinación Gestión y Control de Proveedores, con el doble propósito de arbitrar de inmediato las medidas correctivas que permitan perfeccionar el desarrollo de las tareas y establecer parámetros que posibiliten efectuar una comparación adecuada respecto a la situación previa. Se está desarrollando un proyecto para la definición e implantación de Indicadores de Desempeño de los procesos claves realizados en la DGIIT. Se ha finalizado exitosamente la primera, etapa del mismo, habiéndose recopilado e implementado indicadores ara los principales procesos relevados en cada Dirección de la DGIIT. Además, existe un proyecto financiado por el Banco Mundial, pendiente de su liberación, para el conjunto de buenas prácticas e indicadores que determina ITIL. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 4.4.2.- Evaluación de la idoneidad del control interno 134 Recomendación: La gerencia informática es responsable de monitorear la eficacia de los controles internos en el curso normal de las operaciones. Además, las desviaciones graves deben informarse a la máxima autoridad del organismo. Debe garantizar: - el monitoreo del control interno - la operación oportuna del control interno - los informes del nivel de control interno - la seguridad operativa y el control interno. Respuesta del Organismo: Esta en desarrollo el tablero de gestión de la DGIIT. Comentario AGN: El Organismo no objeta las observaciones. En consecuencia se mantienen. 135 Anexo VII Descargo del Organismo 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167