auditorÍa general de la naciÓn gerencia de
Post on 06-Jan-2017
218 Views
Preview:
TRANSCRIPT
AUDITORÍA GENERAL DE LA NACIÓN
GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES
C.P.N. Gerardo Prataviera
DEPARTAMENTO DE AUDITORÍA INFORMÁTICA
Ing. Ernesto T. Casin
Objeto de Auditoría: Análisis de la gestión informática en Servicio Meteorológico
Nacional (SMN)
Índice1. OBJETO DE AUDITORÍA ........................................................................................................................... 1 2. ALCANCE ..................................................................................................................................................... 1 3. ACLARACIONES PREVIAS ....................................................................................................................... 5
3.1 Cronología Institucional ........................................................................................................................ 5 3.2 Misiones y funciones del SMN ............................................................................................................... 6 3.2.1 Estructura organizacional .................................................................................................................. 6 3.2.2 Gerencia de Teleprocesamiento de Datos .......................................................................................... 7 3.3 Relevamiento .......................................................................................................................................... 7 3.4 Nómina de estaciones automáticas ........................................................................................................ 8 3.5 Personal de la TI ..................................................................................................................................... 8 3.6 Inversiones y Gastos en TI ..................................................................................................................... 8 3.7 Los sistemas evaluados ........................................................................................................................... 9
3.7.1 Los procesos Informáticos y Comunicaciones del SMN ................................................................... 9 3.7.2 Equipamiento en hardware y software ............................................................................................ 11 3.7.3 Equipamiento y Comunicaciones de las Estaciones Meteorológicas Automáticas ......................... 12
4. COMENTARIOS Y OBSERVACIONES ................................................................................................... 12 A. ANÁLISIS BAJO NORMAS COBIT ...................................................................................................... 12
4.1. PLANIFICAR Y ORGANIZAR ........................................................................................................ 13 4.1.1 Definir un plan estratégico para TI .................................................................................................. 13 4.1.2 Definir la arquitectura de información ............................................................................................ 14 4.1.3 Determinar la dirección tecnológica ................................................................................................ 15 4.1.4 Definir los procesos, organización y relaciones de TI ..................................................................... 16 4.1.5 Administrar la inversión en TI ........................................................................................................ 17 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ............................................................... 18 4.1.7 Administrar los recursos humanos de TI ......................................................................................... 19 4.1.8 Administrar la calidad ..................................................................................................................... 20 4.1.9 Evaluar y administrar los riesgos de TI ........................................................................................... 21 4.1.10 Administrar proyectos ................................................................................................................... 22
4.2. ADQUIRIR E IMPLEMENTAR ....................................................................................................... 23 4.2.1 Identificar soluciones automatizadas ............................................................................................... 23 4.2.2 Adquirir o desarrollar y mantener software aplicativo .................................................................... 24 4.2.3 Adquirir y mantener infraestructura tecnológica ............................................................................. 25 4.2.4 Facilitar la operación y el uso .......................................................................................................... 26 4.2.5 Adquirir recursos de TI ................................................................................................................... 27 4.2.6 Administrar cambios ....................................................................................................................... 28 4.2.7 Instalar y acreditar soluciones y cambios ........................................................................................ 29
4.3. ENTREGAR Y DAR SOPORTE ....................................................................................................... 30 4.3.1 Definir y administrar los niveles de servicio ................................................................................... 30 4.3.2 Administrar servicios de terceros .................................................................................................... 31 4.3.3 Administrar el desempeño y la capacidad ....................................................................................... 32 4.3.4 Garantizar la continuidad del servicio ............................................................................................. 33 4.3.5 Garantizar la seguridad de los sistemas ........................................................................................... 34 4.3.6 Identificar y asignar costos .............................................................................................................. 36 4.3.7 Educación y capacitación de los usuarios ........................................................................................ 36 4.3.8 Administrar la mesa de servicio y los incidentes............................................................................. 37 4.3.9 Administrar la configuración ........................................................................................................... 38 4.3.10 Administración de problemas ........................................................................................................ 39 4.3.11 Administración de Datos ............................................................................................................... 40 4.3.12 Administración de instalaciones .................................................................................................... 41
4.3.13 Administración de operaciones ..................................................................................................... 43 4.4 MONITOREAR Y EVALUAR ........................................................................................................... 44
4.4.1 Monitorear y evaluar el desempeño de TI ....................................................................................... 44 4.4.2 Monitorear y evaluar el control interno ........................................................................................... 45 4.4.3 Garantizar el cumplimiento con requerimientos externos ............................................................... 46 4.4.4 Proporcionar gobierno de TI ........................................................................................................... 48
B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS .................................................................................................................................................. 49 5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS DESCARGOS FORMULADOS POR EL SERVICIO METEOROLÓGICO NACIONAL ................................................... 55 6. RECOMENDACIONES .............................................................................................................................. 56 7. CONCLUSIONES ....................................................................................................................................... 96 8. LUGAR Y FECHA ...................................................................................................................................... 97 9. FIRMA ......................................................................................................................................................... 97 ANEXO I ......................................................................................................................................................... 98 ANEXO II ........................................................................................................................................................ 99 ANEXO III ..................................................................................................................................................... 103 ANEXO IV .................................................................................................................................................... 107 ANEXO V – EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS ............................................................................................................................................ 114
INFORME DE AUDITORIA
1
Al Señor Director
Dr. Héctor Horacio CIAPPESONI
Servicio Meteorológico Nacional
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio
de Defensa, con el objeto que se detalla en el apartado 1.
1. OBJETO DE AUDITORÍA Evaluación del ambiente de control de la tecnología de la información y de los sistemas a
seleccionar en el Servicio Meteorológico Nacional.
2. ALCANCE 2.1. El equipo de auditoría en la etapa de planificación identificó los temas de mayor
exposición al riesgo y comprendió los siguientes ítems:
Relevamiento de la documentación normativa del área de tecnología informática del
Organismo.
Relevamiento de la infraestructura informática del Organismo.
Relevamiento de los sistemas existentes en producción y desarrollo.
Verificación de la existencia de la documentación recomendada por la Secretaría de la
Gestión Pública (SGP) y los estándares internacionales.
Verificación de la adecuación de los sistemas, la infraestructura existente y la
planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su
actividad.
Verificación del modelo de arquitectura de la información y su seguridad.
Relevamiento y Análisis de:
el organigrama del área de tecnología informática y su funcionamiento,
el presupuesto operativo anual del área,
la administración de recursos humanos de TI,
INFORME DE AUDITORIA
2
la evaluación de riesgos,
la administración de proyectos,
la administración de calidad
las prácticas de instalación y acreditación de sistemas y de administración de
cambios,
la definición de los niveles de servicio,
la administración de los servicios prestados por terceros,
la administración de la capacidad y el desempeño,
los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,
la imputación de costos,
la capacitación de los usuarios,
la asistencia a los usuarios de la Tecnología de la Información,
la administración de la configuración de hardware y software,
la administración de problemas e incidentes,
la administración de datos, de instalaciones y de operaciones,
el monitoreo de los procesos, la idoneidad del control interno y la existencia de
auditoría interna.
Las tareas de campo abarcaron entre los meses de marzo y junio del año 2013.
2.2. La tarea abarcó la auditoría del estado de utilización de la Tecnología Informática en
el Servicio Meteorológico Nacional, en base a la información obtenida de las siguientes
fuentes:
Entrevistas realizadas con las principales autoridades de la Administración y diversos
niveles operativos.
Cuestionario para la determinación de las necesidades de análisis detallado.
Cuestionarios para el análisis detallado de los temas que lo requerían.
Manuales de Documentación de los Sistemas.
Visitas efectuadas en materia de TI en diversas áreas de Sistemas del Servicio
INFORME DE AUDITORIA
3
Meteorológico Nacional
2.3. Limitaciones:
Durante las tareas de campo no se contó con la siguiente documentación:
Disposiciones emitidas en relación a la TI por el SMN (Políticas, normas y
procedimientos).
Inventario de activos de TI:
o Software de aplicativos.
o Base de datos.
o Sistemas operativos.
o Servidores.
o Lenguajes de desarrollo.
o Cantidad de usuarios y puestos de trabajo.
Plan estratégico anterior al año 2013.
Plan de Infraestructura Tecnológica.
Modelo de arquitectura de la información.
Diccionario de Datos.
Normativa Informática. Acciones realizadas en el marco del Decreto Nº 378/2005
Gobierno Electrónico, Res SIGEN Nº 48/2005 “Pautas de Control Interno de TI” y
Res ONTI Nº 69/2011 “Pautas de Accesibilidad para sitios Web del Sector Público
Nacional”.
Calidad de TI: Política aprobada, manual, planes e informes existentes.
Plan de Seguridad Informática.
Plan de Contingencia de TI.
Informes o evaluaciones de monitoreo de infraestructura tecnológica.
Documentación técnica de los sistemas aplicativos meteorológicos existentes.
2.4. Metodología
Tareas de campo:
La etapa de planificación incluyó el análisis de las siguientes actividades:
Marco legal e institucional del funcionamiento del Organismo.
INFORME DE AUDITORIA
4
Informe de SIGEN “Estado de situación sobre el relevamiento de la estructura y
funcionamiento durante el periodo 2010-2012”.
Entrevistas con los responsables a nivel de Dirección, Gerencias, Jefaturas de
Departamentos y áreas inferiores, en cuanto a la participación y experiencia propia y de
su personal en el uso de la Tecnología de la Información.
En la etapa de análisis detallado se evaluó:
Ambiente de control en la gestión de la TIC (Tecnología de la Información y
Comunicaciones).
Respuestas durante las entrevistas.
Relevamiento de los procesos meteorológicos informáticos y del ambiente de control
interno.
Sitio web del Organismo (http://www.smn.gov.ar/).
Pruebas sustantivas:
Entrevistas y verificaciones, con el objeto de obtener evidencias, en las siguientes
dependencias del SMN en la Ciudad Autónoma de Buenos Aires:
Edificio Central. 25 de Mayo 658.
Oficina de Vigilancia Meteorológica (OVM) del Aeroparque Jorge Newbery.
Estación Meteorológica del Aeroparque Jorge Newbery.
Centro Regional de Contraste Instrumental y Calibración Meteorológico. Av.
Coronel Manuel Dorrego 4019.
Observatorio Central de Buenos Aires (OCBA). Av. de los Constituyentes
3454.
2.5. Se excluye el estudio de los sistemas administrativos-contables que no tenga relación
exclusiva con los sistemas de información meteorológicos.
En función de la información obtenida y los niveles de riesgo estimados se definieron los
trabajos de campo convenientes para realizar las verificaciones necesarias.
En el Anexo III se describe el detalle de las aplicaciones relevadas.
Este informe es producto de la evaluación de la información recabada en las entrevistas
INFORME DE AUDITORIA
5
mantenidas y de las observaciones realizadas en el trabajo de campo.
Por otra parte se realizó un análisis de los riesgos asociados a los Objetivos de Control
definidos para cada uno de los procedimientos relevados.
3. ACLARACIONES PREVIAS La meteorología es una ciencia interdisciplinaria, fundamentalmente una rama de la física
de la atmósfera, que estudia el estado del tiempo, el medio atmosférico, los fenómenos allí
producidos y las leyes que lo rigen.
Los datos atmosféricos obtenidos en múltiples estaciones meteorológicas se usan para
definir el clima, predecir el tiempo y comprender la interacción de la atmósfera con otros
subsistemas.
Varias veces por día, los datos procedentes de cada estación meteorológica se centralizan,
se analizan y se explotan para establecer previsiones sobre el tiempo que hará los días
venideros.
Como las observaciones se repiten, la sucesión de los mapas y diagramas permiten apreciar
la evolución y realizar previsiones que se destinan a la ciudadanía en general y a
determinadas ramas de la actividad humana: la navegación aérea y marítima, la agricultura,
construcción, turismo, deportes, regulación de cursos de agua y prevención de desastres
naturales.
3.1 Cronología Institucional
El 4 de octubre de 1872, el Honorable Congreso de la Nación votó la Ley N° 559, por la
cual se creó la Oficina Meteorológica Argentina (OMA), dependiente del Ministerio de
Agricultura de la Nación. En 1924 la OMA pasa a llamarse Dirección Meteorológica, hasta
1927 que toma el nombre de Dirección de Meteorología. En 1935, y manteniendo su
dependencia del Ministerio de Agricultura pasa a ser la Dirección de Meteorología,
Geofísica e Hidrología (DMGH).
INFORME DE AUDITORIA
6
A través de la Ley N° 10.131 del año 1945, sobre la base de la DMGH y pasando a
depender de la Secretaría de Aeronáutica, se crea el Servicio Meteorológico Nacional
(SMN).
En el año 1957, el SMN pasa al ámbito del Ministerio de Aeronáutica de la Nación.
El 18 de octubre de 1966, el SMN es transferido a la órbita del Comando de Regiones
Aéreas de la Fuerza Aérea Argentina.
Finalmente por el Decreto 1689/2006 (a partir del 1° de enero de 2007) se dispone la
transferencia del SMN al ámbito de la Secretaría de Planeamiento del Ministerio de
Defensa como organismo Descentralizado.
3.2 Misiones y funciones del SMN
El Decreto N° 1432/2007 establece las misiones y funciones del SMN, por las cuales debe
observar y comprender la predicción del tiempo y el clima, tanto en el territorio nacional
como en zonas oceánicas adyacentes con el objeto de contribuir a la protección de la vida y
la propiedad de sus habitantes y al desarrollo sustentable de la economía, y representando
al país ante los organismos meteorológicos internacionales y dar cumplimiento de las
obligaciones asumidas por el país ante los mismos; y a su vez proveyendo y manteniendo
los sistemas de recopilación y control de calidad de los datos de observación en un Banco
Nacional de Datos Meteorológicos y Ambientales, siendo dichos datos procesados para la
provisión de servicios meteorológicos y climatológicos, en tiempo real, con el fin de
organizar el registro climatológico nacional.
3.2.1 Estructura organizacional
En el año 2008 se aprueba la estructura organizativa del SMN a nivel Gerencial, quedando
conformado institucionalmente de la siguiente manera:
Dirección:
o Gerencia de Obtención de Datos.
o Gerencia de Investigación, Desarrollo y Capacitación.
o Gerencia de Administración.
o Gerencia de Teleprocesamiento de Datos.
o Gerencia de Servicios a la Comunidad.
INFORME DE AUDITORIA
7
3.2.2 Gerencia de Teleprocesamiento de Datos
La Gerencia de Teleprocesamiento de Datos tiene la responsabilidad de administrar las
telecomunicaciones del SMN y proveer la adecuada recepción, consistencia,
almacenamiento y procesamiento de los datos meteorológicos, suministrándolos a los
usuarios en los casos indicados y brindar asistencia técnica a las demás áreas del
organismo en materia de informática.
3.3 Relevamiento
No existían estudios previos sobre la actividad de TI en el SMN que señalaran el nivel de
sistematización con el que cuenta este Organismo Se realizaron entrevistas con los
responsables a nivel Dirección, Gerencia y Jefaturas de Departamento, por medio de las
cuales se obtuvieron datos sobre las principales áreas, centros y estaciones meteorológicas
que cuentan con cierto grado de informatización. A continuación, en el siguiente cuadro se
muestra la cantidad de estaciones meteorológicas que funcionan actualmente en todo el
territorio nacional y sus responsables:
Propietario Estaciones
Meteorológicas
Servicio Meteorológico Nacional (SMN) 110
Cooperativas de Trabajo 7
Instituto Nacional de Tecnología Agropecuaria (INTA) 9
Fuerza Aérea Argentina (FAA) 2
Armada Argentina (ARA) 3
En total se relevaron 131 estaciones meteorológicas, las cuales pueden diferenciarse según
el tipo de funcionalidad con las siguientes denominaciones:
Sinópticas (Aeronáuticas y Observatorios).
Climáticas.
Pluviométricas (Precipitaciones de lluvias).
INFORME DE AUDITORIA
8
Automáticas (Gobiernos provinciales, Cooperativas de Trabajo e INTA).
3.4 Nómina de estaciones automáticas
Durante el relevamiento llevado a cabo se encontraron 12 estaciones meteorológicas
automáticas, distribuidas a lo largo de las Provincias Argentinas y la Ciudad Autónoma de
Buenos Aires
3.5 Personal de la TI
El Departamento Informática y Comunicaciones, dependiente de la Gerencia de
Teleprocesamiento de Datos, cuenta con los profesionales en sistemas y técnicos que se
detallan según su función en el siguiente cuadro:
DEPARTAMENTO INFORMÁTICA Y COMUNICACIONES Función Cantidad
Jefe de Departamento 1 Jefe de Operaciones 1 Jefe Técnico de Comunicaciones 1 Secretaria 1 Telefonista 2 Seguridad Informática 1 Desarrollador 6 Soporte 8 Operador de Comunicaciones y Desarrollo
12
Fuente: SMN
3.6 Inversiones y Gastos en TI
El siguiente cuadro muestra los gastos con financiamiento del Tesoro Nacional (Fuente 11)
que devengó la TI durante el período 2011-2012. Valores expresados en pesos.
INFORME DE AUDITORIA
9
Fuente: SMN
3.7 Los sistemas evaluados
Comprendió el proceso e infraestructura tecnológica desde la captura de información
proveniente de las estaciones meteorológicas hasta la publicación final en el sitio web.
3.7.1 Los procesos Informáticos y Comunicaciones del SMN
Las estaciones meteorológicas se encuentran distribuidas a lo largo de todo el territorio del
país. Cada estación toma mediciones que se asientan en una planilla estandarizada
denominada “libreta meteorológica”.
El destino final de estos datos es una aplicación denominada MSS o Base de Mensajes y a
INTRAMET (aplicación de INTRANET del organismo) desde donde otras aplicaciones,
como el SAVIMA1 o la consulta de la página web, extraen información.
1) Proceso de ingreso de datos
Independientemente de la registración manual, según la tecnología disponible en cada
estación, los datos pueden ingresarse a través de una aplicación web o por el Sistema de
Observación Meteorológico (SOM). De no contar con estas dos posibilidades, la estación
transmite la información por correo electrónico, radio o mensaje de texto a otra que sí
disponga de estas herramientas.
2) Procesamiento
La información ingresada es convertida a formatos estándares internacionales del manejo
de la información meteorológica, tales como:
SYNOP2
1 SAVIMA Sistema Automático de Visualización de Información Meteorológica utilizado en cada oficina de vigilancia meteorológica de los distintos aeropuertos del país.
INFORME DE AUDITORIA
10
METAR3
AMHS4
Los datos ingresados al MSS pasan previamente por un analizador sintáctico o Parser5, que
convierte el dato de entrada en otras estructuras, que son más útiles para el posterior
análisis.
En el gráfico siguiente, se detalla lo expresado:
2 SYNOP en Inglés Surface Synoptic Observations o observaciones sinópticas de superficie. Es un código numérico usado para reportar observaciones meteorológicas donde se describe el estado del tiempo de la estación, incluídos datos de temperatura, presión atmosférica y visibilidad. 3 METAR en francés MÉTeorogique Aviation Réguliere, es un estándar internacional del formato del código utilizado para emitir informes de las observaciones meteorológicas. Contempla entre otros datos: viento, visibilidad, nubosidad y temperatura. Es muy utilizado por los pilotos de las aeronaves para conocer la meteorología de los aeropuertos de destino. 4 AMHS es el nuevo estándar de la mensajería dentro del ámbito de tránsito aéreo, definido por la Organización de Aviación Civil Internacional (ICAO). Tiene beneficios adicionales a los sistemas anteriores; entre otras, la capacidad de operar en una red de propósitos generales y compartida con otros sistemas (las anteriores requieren una red dedicada), la firma digital de los mensajes (que asegura la integridad de datos y la autenticación de origen) y el soporte de mensajes de texto largos y con adjuntos. 5 Parser o analizador sintáctico es el nombre dado al proceso por el cual se analiza una secuencia de símbolos, tanto de una lengua natural o de un lenguaje de programación, de acuerdo a las reglas de una gramática formal. El análisis tradicional de las oraciones tiene como fin entender el significado exacto de una oración a partir de sus componentes
INFORME DE AUDITORIA
11
Estación de superficie (automática / manual)
Húmedo
Seco
Mínima
Máxima
Pluviómetro Veleta Heliófanografo
Aplicación SOM
Libreta Meteorológica (manual)
Msg ‐ SYNOP Msg ‐METAR
AMHS
Server PARSER
WEB SMN
SAVIMA
OVM (5)
OMA
Imágenes de Satélite
Imágenes de Radar
Termómetro
Dato aeronáutico
Papel de trabajo: N°329/04/2013Autores: Antonio Vazquez Y Esteban De Martino
MSS (My Sql)
Base de mensajes
3.7.2 Equipamiento en hardware y software
El Organismo cuenta con cuatro centros de procesamiento de datos propios, dos dentro del
Departamento de Informática y Comunicaciones, uno en el Departamento Procesamiento
Automatizado y uno en el Departamento de Pronósticos.
La infraestructura tecnología se basa en plataformas de servidores con una variada cantidad
de sistemas operativos y bases de datos.
Está prevista una sala nueva del Centro de Procesamiento de Datos en el nuevo edificio del
SMN y la instalación de un sitio alternativo.
En los dos últimos años hubo una actualización del equipamiento de PCs.
Actualmente la red del SMN cuenta con aproximadamente 1100 usuarios, siendo 200
exclusivos del edificio central.
INFORME DE AUDITORIA
12
3.7.3 Equipamiento y Comunicaciones de las Estaciones Meteorológicas Automáticas
Datalogger, equipo/dispositivo electrónico usado para la captura y registro de
información meteorológica. Este dispositivo no mide la visibilidad.
PCs e impresoras.
Enlaces satelitales por microondas para servicios de Internet y transmisión de mensajes.
Cableado estructurado y elementos activos de red.
4. COMENTARIOS Y OBSERVACIONES
A. ANÁLISIS BAJO NORMAS COBIT
Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por el
marco de referencia de buenas prácticas de TI COBIT (Control Objectives in Information
Technologies) versión 4. Los Objetivos de Control describen los resultados que debe
alcanzar un Organismo implantando procedimientos de control, basados en las mejores
prácticas aplicables, a los procesos de TI.
Para cada uno de los Objetivos se menciona el nivel de madurez que le corresponde,
conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. En el punto 6, se
encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos.
Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la
información (detallados en el Anexo III) son afectados.
Se destaca que cada Objetivo de Control va acompañado de su nivel de riesgo genérico
(alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su
incumplimiento y sin estar vinculado con la situación del Organismo. Ese nivel genérico es
modificado por el índice de madurez correspondiente (dependiente de las observaciones
realizadas) para establecer el riesgo específico para ese objetivo, en el caso particular.
Puede observarse en los gráficos de los Anexos II y IV que un Objetivo de Control que
tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto,
genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y
un índice de madurez bajo.
INFORME DE AUDITORIA
13
4.1. PLANIFICAR Y ORGANIZAR
4.1.1 Definir un plan estratégico para TI
Objetivo de control: Se requiere una planeación estratégica de Tecnología de la
Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los
objetivos estratégicos del Organismo y las prioridades. La función de TI y los niveles
decisorios de la organización, son responsables de garantizar que se materialice el valor
óptimo de los proyectos y servicios. El plan estratégico debe mejorar el entendimiento de
los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el
desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades
se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes
tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y
aceptadas tanto por el Organismo como por TI.
Este objetivo de control afecta, primariamente:
la efectividad
y en forma secundaria:
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia de TI conoce la necesidad de una planeación
estratégica de TI. La planeación de TI se realiza en base a requerimientos específicos. La
alineación de los requerimientos de las aplicaciones y tecnología se lleva a cabo de modo
reactivo. La posición de riesgo estratégico se identifica de manera informal proyecto por
proyecto.
Observaciones: Para el período auditado, no se cuenta con un Plan Estratégico ni del
Organismo ni uno específico de TI, con sus correspondientes planes tácticos, por lo que no
es posible evaluar, ni realizar un seguimiento del desempeño y de la contribución de la TI a
los objetivos estratégicos del Organismo, así como a los costos y a los riesgos
relacionados.
El hecho de no contar con un plan operativo formal, que respalde a las acciones de TI, no
permite administrarla en forma efectiva.
INFORME DE AUDITORIA
14
En el presente año, el Organismo formalizó un Plan Estratégico con su correspondiente
apéndice de TI que abarca el período 2013-2016.
4.1.2 Definir la arquitectura de información
Objetivo de control: La función de los sistemas de información debe crear y actualizar de
forma regular un modelo de información y definir los sistemas apropiados para optimizar
su uso de esta información. Esto incluye el desarrollo de un diccionario de datos de la
organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso
mejora la calidad de la toma de decisiones gerenciales proveyendo que se proporciona
información confiable y segura, y permite racionalizar los recursos de los sistemas de
información para igualarse con las estrategias del Organismo. Este proceso de TI también
es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los
datos y para mejorar la efectividad y control de la información compartida a lo largo de las
aplicaciones y de las entidades.
Este objetivo de control afecta, primariamente:
la eficiencia
la integridad
y en forma secundaria:
la efectividad
la confidencialidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de una arquitectura de
información. El desarrollo de algunos componentes de una arquitectura de información
ocurre de manera ad hoc. Las definiciones abarcan datos en lugar de información, y son
impulsadas por ofertas de proveedores de software aplicativo. Existe una comunicación
esporádica e inconsistente de la necesidad de una arquitectura de información.
Observaciones: El Organismo no estableció un modelo de información que incluya un
diccionario y un esquema de clasificación, de acuerdo a la criticidad y la sensibilidad, de
INFORME DE AUDITORIA
15
datos. Tampoco están formalizados procedimientos para definir datos nuevos que aseguren
la integridad y la consistencia de toda la información almacenada.
Esta situación puede generar redundancia de datos e inconsistencias.
4.1.3 Determinar la dirección tecnológica
Objetivo de control: La función de servicios de información debe determinar la dirección
tecnológica para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la
creación de un plan de infraestructura tecnológica y de un consejo de arquitectura que
establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer
en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar
de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección
tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.
Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar
la economía de escala en los sistemas de información utilizados por el personal o para la
toma de decisiones, como también en interoperabilidad entre las plataformas y las
aplicaciones.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de planear la infraestructura
tecnológica. El desarrollo de componentes tecnológicos y la implementación de
tecnologías emergentes son específicos para un fin determinado. La dirección tecnológica
está impulsada por los planes evolutivos, del hardware, del software de sistemas y de los
proveedores de software aplicativo. La comunicación del impacto potencial de los cambios
en la tecnología es poco clara.
Observaciones: No se desarrolló un Plan de Infraestructura que esté de acuerdo con los
planes estratégicos y tácticos de TI, con establecimiento de estándares, dirección
INFORME DE AUDITORIA
16
tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras
que engloben a todo el Organismo.
4.1.4 Definir los procesos, organización y relaciones de TI
Objetivo de control: Una organización de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y
supervisión. El Organismo estará inserto en un marco de trabajo de procesos de TI que
asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos de
nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios,
como TI, debe determinar las prioridades de los recursos de TI alineados con las
necesidades del Organismo. Deben existir procesos, políticas administrativas y
procedimientos para todas las funciones, con atención específica en el control, el
aseguramiento de la calidad, la administración de riesgos, la seguridad de la información,
la propiedad de datos y de sistemas y la segregación de tareas.
Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los
procesos importantes de decisión.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Las actividades y funciones de TI son reactivas. TI se
involucra en los proyectos solamente en las etapas finales. La función de TI se considera
como una función de soporte, sin una perspectiva organizacional general. Existe un
entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y
las responsabilidades no están formalizadas.
Observaciones: La ubicación de la función de TI dentro de la estructura organizacional
general no está acorde a la importancia de TI dentro del Organismo, dada su criticidad para
la operatividad de la organización.
INFORME DE AUDITORIA
17
El área de seguridad informática depende del Departamento de Informática y
Comunicaciones.
No existen descripciones formales de políticas, normas y procedimientos de TI, se
observan además desarrollos e instalaciones de software que no cuentan con el control del
área de TI del Organismo sin misiones y funciones explicitas aprobadas en todos los
niveles. Esta situación provoca una disminución de los controles internos y
consecuentemente un sistema de información orgánico sin control.
En otros aspectos no están definidas las funciones relacionadas con la administración de
proyectos, administración de riesgos, documentación, aseguramiento de la calidad y el
encargado o responsable del centro de cómputo.
No se estableció un comité estratégico de TI formado por representantes de los niveles
decisorios y de TI que determine las prioridades de los programas de inversión alineados
con la estrategia y prioridades del Organismo.
La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas.
El nuevo Proyecto de Organigrama del SMN que aún no ha sido aprobado, será evaluado
en una próxima auditoría.
4.1.5 Administrar la inversión en TI
Objetivo de control: Establecer y mantener un marco de trabajo para administrar los
programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.
Trabajar con los interesados para identificar y controlar los costos y beneficios totales
dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas
según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave,
facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los
beneficios y el retorno sobre las inversiones en TI.
Este objetivo de control afecta, primariamente:
la efectividad
INFORME DE AUDITORIA
18
la eficiencia
y en forma secundaria:
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de
seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y
presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de
la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de
TI. Se toman decisiones presupuestales reactivas y tácticas.
Observaciones: No hay una administración presupuestaria detallada de la TI que se
encuentre alineada al Plan Estratégico de TI. Falta la implementación de un enfoque
orientado a la administración por centros de costos y del Plan Estratégico de TI, así como
un proceso de monitoreo para determinar la contribución esperada de TI a los objetivos
estratégicos del Organismo.
En el período auditado, la ausencia de un Plan Estratégico de TI y sus correspondientes
planes tácticos que lo respalden, donde indique las inversiones de TI, impide evaluar o
tener un diagnostico de aspectos tales como: necesidades de nuevo equipamiento,
infraestructura tecnológica, prioridades, costos presupuestados y grado de avance, de
manera de poder identificar en forma oportuna desviaciones, evaluar el impacto y tomar las
medidas correctivas de ser necesarias.
Cabe señalar que, para el período 2012, el presupuesto otorgado para la TI fue de
$14.490.959, del cual sólo se ejecutó el 15%.
4.1.6 Comunicar las aspiraciones y la dirección de la gerencia
Objetivo de control: La dirección debe elaborar un marco de trabajo de control
organizacional para TI, y definir y comunicar las políticas. Se debe implantar un programa
de comunicación continua para articular la misión, los objetivos de servicio, las políticas y
procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de
INFORME DE AUDITORIA
19
los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos.
Este objetivo de control afecta, primariamente:
la efectividad
y en forma secundaria:
el cumplimiento
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia es reactiva al resolver los requerimientos del
ambiente de control de información. Las políticas, procedimientos y estándares se elaboran
y comunican de forma ad hoc de acuerdo a los temas. Algunos procesos de elaboración,
comunicación y cumplimiento son informales.
Observaciones: El Organismo se desarrolla sin una política clara y definida de TI. Las
autoridades no promueven y ni definen formalmente políticas, procedimientos y estándares
en relación a la TI.
Esto provoca que el área de la TI del Organismo no disponga de elementos normativos que
se puedan utilizar para regular sus actividades. Esta situación va en desmedro de los
controles internos y las mejores prácticas.
4.1.7 Administrar los recursos humanos de TI
Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación
y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que
apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la
terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno
depende fuertemente de la motivación y competencia del personal.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
INFORME DE AUDITORIA
20
Nivel de Madurez: Repetible. Existe un enfoque táctico para contratar y administrar al
personal de TI, dirigido por necesidades específicas de proyectos. Se imparte
entrenamiento informal al personal nuevo, quienes después reciben entrenamiento según
sea necesario.
Observaciones: El personal de TI es clave para el funcionamiento del Organismo. Se
observa falta de separación de funciones y en otros casos ausencia de puestos o posiciones
claves.
El nivel de las remuneraciones y el modo de contratación por 12 meses, generan riesgos
ante posibles renuncias del personal técnico informático altamente especializado y que
actualmente mantienen aplicaciones que dan soporte indispensable al funcionamiento del
Organismo.
El Organismo carece de un Plan de Capacitación que se nutra de las necesidades de las
distintas áreas, entre ellas las de TI.
4.1.8 Administrar la calidad
Objetivo de control: Se debe elaborar y mantener un sistema de administración de
calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto
se facilita por medio de la planeación, implantación y mantenimiento del sistema de
administración de calidad, proporcionando requerimientos, procedimientos y políticas
claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con
indicadores cuantificables y alcanzables. La mejora continua se logra por medio del
constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los
interesados. La administración de calidad es esencial para garantizar que la TI está dando
valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los
interesados.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
INFORME DE AUDITORIA
21
la integridad
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de
un Sistema de Administración de la Calidad (SAC). Se realizan juicios informales sobre la
calidad.
Observaciones: No existen políticas ni un sistema de administración de calidad que
establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones,
aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y
conocer la entrega de valor de TI a los objetivos estratégicos del Organismo.
4.1.9 Evaluar y administrar los riesgos de TI
Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración
de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,
estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre
las metas estratégicas del Organismo, causado por algún evento no planeado se debe
identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para
minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe
ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable
de tolerancia.
Este objetivo de control afecta, primariamente:
la confidencialidad
la integridad
la disponibilidad
y en forma secundaria:
la efectividad
la eficiencia
el cumplimiento
la confiabilidad
INFORME DE AUDITORIA
22
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI
son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de
manera ad hoc. Se realizan evaluaciones informales según lo determine cada proyecto. Los
riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad
se toman en cuenta ocasionalmente proyecto por proyecto.
Observaciones: No existe un marco de administración de riesgos que permita
identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o
resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia.
Informalmente los riesgos tecnológicos se conocen, pero la falta de un inventario completo
y detallado de la TI no permite una evaluación formal de éstos que contemple las
fortalezas, las oportunidades, las debilidades y las amenazas.
El Organismo se encuentra expuesto a la ocurrencia de hechos imprevistos que pueden
generar perjuicios, sin que estén contempladas las medidas a tomar en cada caso.
4.1.10 Administrar proyectos
Objetivo de control: Establecer un programa y un marco de control administrativo de
proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe
garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.
El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de
entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de
la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación
para garantizar la administración de los riesgos del proyecto y su contribución a los
objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y
de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles
decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los
proyectos, y maximiza su contribución a los programas de inversión en TI.
Este objetivo de control afecta, primariamente:
la efectividad
INFORME DE AUDITORIA
23
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. El uso de técnicas y enfoques de administración de proyectos
dentro de TI no está formalizada. Hay poca participación de los usuarios para definir los
proyectos de TI. No hay una organización clara dentro de TI para la administración de
proyectos. Los roles y responsabilidades para la administración de proyectos no están
definidas. Los proyectos, cronogramas y puntos clave están vagamente definidos. No se
hace seguimiento al tiempo, a los gastos del equipo del proyecto y no se comparan con lo
previamente estimado.
Observaciones: No existe un marco de administración de proyectos que incluya:
Costos, plazos, hitos a cumplir, alcance, recursos afectados
Parámetros de calidad definidos en el sistema de administración de la calidad.
Un proceso de administración de control de cambios de modo tal que todas las
modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado
de acuerdo al marco de trabajo.
Un proceso de monitoreo del desempeño contra los criterios clave previamente
definidos en el sistema de calidad.
4.2. ADQUIRIR E IMPLEMENTAR
4.2.1 Identificar soluciones automatizadas
Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis
antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen
con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,
considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y
económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión
final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el
costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro
de los objetivos.
Este objetivo de control afecta, primariamente:
INFORME DE AUDITORIA
24
• la efectividad
y en forma secundaria:
• la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia de la necesidad de definir requerimientos y
de identificar soluciones tecnológicas. Las soluciones automatizadas se analizan de manera
informal y los requerimientos se documentan algunas veces. Existe una investigación o
análisis estructurado mínimo de la tecnología disponible.
Observaciones: No existen políticas ni procedimientos formalizados para administrar los
requerimientos de soluciones automatizadas, que permitan evaluar factibilidades, cursos de
acción alternativos, administrar prioridades, acordar alcances, asignar recursos y
determinar un usuario clave que patrocine el proyecto.
Se ha observado la existencia de una ficha manual para llevar la información del
inventario de material instrumental y por otro lado el uso de planillas de cálculo para llevar
el control de stocks de los instrumentos de las estaciones meteorológicas con la falta de
seguridad que este procedimiento conlleva.
4.2.2 Adquirir o desarrollar y mantener software aplicativo
Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo
y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la
operatividad de forma apropiada con las aplicaciones correctamente automatizadas.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la integridad
la confiabilidad
INFORME DE AUDITORIA
25
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia de la necesidad de contar con un proceso de
adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y
mantenimientos de software aplicativo varían de un proyecto a otro.
Observaciones: No hay formalizada una metodología de Ciclo de Vida de Desarrollo de
Sistemas (CVDS) que contemple documentaciones tales como: alcance, requerimientos,
diseño de alto nivel, diseño detallado, detalle del software a modificar o a crear,
procedimientos escritos para las verificaciones funcionales y de código en los entornos de
desarrollo y pruebas, tareas de implementación y post-implementación, con sus
correspondientes aprobaciones por parte de los usuarios clave involucrados y que se
apliquen a todo el Organismo que forme parte de una política de desarrollo de la TI.
No se realiza gestión de aseguramiento de la calidad en los desarrollos ni en la seguridad,
tanto propio como de terceros.
Existen áreas del Organismo, independientes de TI, que llevan a cabo sus propios
desarrollos de aplicaciones, sin utilizar un CVDS y ni estándares de Seguridad Informática.
Para el caso del desarrollo y mantenimiento de las aplicaciones realizadas por terceros, se
aplica el mismo criterio.
4.2.3 Adquirir y mantener infraestructura tecnológica
Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para
adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas
convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista
un soporte tecnológico continuo para las aplicaciones.
Este objetivo de control afecta, primariamente:
la eficiencia
y en forma secundaria:
la efectividad
la integridad
INFORME DE AUDITORIA
26
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura para cada nueva
aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la
infraestructura de TI es importante, no existe un enfoque general consistente. La actividad
de mantenimiento actúa en forma reactiva a necesidades de corto plazo.
Observaciones: No hay un plan de infraestructura tecnológica que considere aspectos tales
como adquisiciones, implementaciones, planeamiento de la capacidad para necesidades
futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente como
contribución de TI para alcanzar los objetivos estratégicos del Organismo. No existe un
ambiente de desarrollo y pruebas. Las pruebas se realizan en ambiente de producción.
4.2.4 Facilitar la operación y el uso
Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generación de documentación y manuales para usuarios y TI, y
proporciona entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe la percepción de que la documentación de proceso es
necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a
grupos limitados. Los materiales de entrenamiento tienen calidad variable. No existen
INFORME DE AUDITORIA
27
procedimientos de integración a través de los diferentes sistemas. No hay aportes de las
áreas involucradas en el diseño de programas de entrenamiento.
Observaciones: Falta un marco para la documentación de los sistemas. No se confecciona
una documentación estándar para cada etapa del proceso de ciclo de vida que permita la
transferencia de conocimiento. No existe documentación o descripción de los
procedimientos de los sistemas de información en producción. Esta auditoría tuvo que
realizar un relevamiento de todo el ciclo ya que no existe documentación. (Ver diagramas
en Anexo V)
4.2.5 Adquirir recursos de TI
Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware,
software y servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI
que se requieren de una manera oportuna y rentable.
Este objetivo de control afecta, primariamente:
la eficiencia
y en forma secundaria:
la efectividad
el cumplimiento
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe conciencia organizacional de la necesidad de tener
políticas y procedimientos básicos para la adquisición de TI. Las políticas y
procedimientos se integran parcialmente con el proceso general de adquisición de la
organización. Los procesos de adquisición se utilizan principalmente en proyectos mayores
y bastante visibles. Se reconoce la importancia de administrar proveedores y las relaciones
con ellos, pero se manejan con base en la iniciativa individual. Los procesos de contrato se
utilizan principalmente en proyectos mayores o muy visibles.
INFORME DE AUDITORIA
28
Observaciones: Existen dos proveedores de servicios de TI, uno de comunicaciones
satelitales y otro de desarrollo y mantenimiento de base de datos, contratados bajo la figura
de legítimo abono desde 1993 y enero del 2012, respectivamente.
El área de TI desconoce las obligaciones contractuales del servicio y en caso de una
contingencia o interrupción no se cuenta con elementos de control y reclamo atento que no
existe otra solución alternativa dispuesta por el Organismo. Esta situación pone en riesgo la
continuidad del servicio en el caso de existir una decisión unilateral por parte del
proveedor.
4.2.6 Administrar cambios
Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y
actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formal y controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y
autorizar previo a la implantación y contrastar contra los resultados planeados después de
la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la
estabilidad o integridad del ambiente de producción.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
la integridad
la disponibilidad
y en forma secundaria:
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Se reconoce que los cambios se deben administrar y controlar.
Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay
documentación de cambio insuficiente. Es posible que ocurran errores junto con
interrupciones al ambiente de producción, provocados por la administración de cambios.
INFORME DE AUDITORIA
29
Observaciones: No hay procedimientos formales para la administración de cambios que
establezcan un tratamiento estandarizado de todas las solicitudes de mantenimiento y
actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema.
Tampoco existe un procedimiento alternativo y formal para atender situaciones de
emergencia.
Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente.
Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no probados a los
sistemas de información.
4.2.7 Instalar y acreditar soluciones y cambios
Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su
desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.
Esto garantiza que los sistemas operacionales estén en línea con las expectativas
convenidas y con los resultados.
Este objetivo de control afecta, primariamente:
la efectividad
y en forma secundaria:
la eficiencia
la integridad
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe la percepción de la necesidad de verificar y confirmar
que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan
para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos
particulares y los enfoques que se toman varían.
INFORME DE AUDITORIA
30
Observaciones: No hay ambiente independiente dedicado a probar las aplicaciones que se
desarrollan o se mantienen. Para el test previo al pasaje a producción, no se usan datos de
prueba sino los de la base real.
Hay sectores que desarrollan sus propias aplicaciones sin intervención alguna del área de
TI, por lo cual el pasaje a producción no está en un entorno controlado.
4.3. ENTREGAR Y DAR SOPORTE
4.3.1 Definir y administrar los niveles de servicio
Objetivo de control: La máxima autoridad debe definir un marco que promueva el
establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño
en virtud de los cuales se medirá su cantidad y calidad.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la confidencialidad
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de
servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de
cuentas para la definición y la administración de servicios no está definida. Si existen las
medidas para medir el desempeño son solamente cualitativas con metas definidas de forma
imprecisa.
Observaciones: No existe un marco formal de administración de niveles de servicio entre
el área de TI y el resto de la organización ni definiciones base sobre servicios de TI, y el
acuerdo del nivel de servicios (ANS) esperado (aprobado por los usuarios claves),
INFORME DE AUDITORIA
31
incluyendo: roles, tareas, responsabilidades y la descripción de cómo serán entregados
técnicamente estos servicios, para todos los procesos críticos, en base a los requerimientos
de los usuarios y las capacidades de TI.
En relación a los proveedores externos, la definición de los ANS es poco precisa.
4.3.2 Administrar servicios de terceros
Objetivo de control: La máxima autoridad debe implementar medidas de control
orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para
garantizar la eficacia y el cumplimiento de la política del Organismo.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la confidencialidad
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad
de tener políticas y procedimientos documentados para la administración de los servicios
de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los
convenios con los prestadores de servicios. La medición de los servicios prestados es
informal y reactiva.
Observaciones: No está formalizado un proceso de gestión de las relaciones con los
proveedores que, sobre la base de lo definido en el sistema de aseguramiento de la calidad
(SAC), detalle: roles, responsabilidades y el acuerdo de nivel de servicios; de forma tal de
mitigar los riesgos relacionados con la entrega de la prestación en forma eficiente y con
continuidad.
INFORME DE AUDITORIA
32
4.3.3 Administrar el desempeño y la capacidad
Objetivo de control: Se debe implementar un proceso de administración orientado a la
recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los
recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la
demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades
futuras, almacenamiento y contingencias, y garantizar que los recursos de información que
soportan los requerimientos del Organismo estén disponibles de manera continua.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. Los usuarios, con frecuencia, tienen que llevar acabo
soluciones alternas para resolver las limitaciones de desempeño y capacidad. Las acciones
para administrar el desempeño y la capacidad son típicamente reactivas. El proceso de
planeación de la capacidad y el desempeño es informal. El entendimiento sobre la
capacidad y el desempeño de TI, actual y futuro, es limitado.
Observaciones: Los enlaces de comunicaciones se monitorean con una herramienta de
software con licencia GNU6, se ha observado que para cumplir eficazmente esta función no
se ha hallado un equipo o PC dedicado a este rol ni haber definido una responsabilidad al
personal.
No se ha formalizado un proceso de monitoreo del desempeño y la capacidad de recursos
de TI, de modo tal de satisfacer los acuerdos de nivel de servicios (ANS), minimizar el
riesgo de interrupciones, balancear la carga de trabajo, analizar ciclos de vida de los
6 Licencia que garantiza a los usuarios finales (personas, organizaciones, compañías) la libertad de usar, estudiar, compartir (copiar) y modificar el software. Su propósito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiación que restrinjan esas libertades
INFORME DE AUDITORIA
33
recursos de TI y el planeamiento de las necesidades futuras, ante los posibles incrementos
en la demanda.
4.3.4 Garantizar la continuidad del servicio
Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la
continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones
y brindar entrenamiento periódico.
Este objetivo de control afecta, primariamente:
la efectividad
la disponibilidad
y en forma secundaria:
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. Las responsabilidades sobre la continuidad de los servicios son
informales y la autoridad para ejecutar responsabilidades es limitada. La máxima autoridad
de TI es consciente de los riesgos relacionados y de la necesidad de mantener continuidad
en los servicios. El enfoque de la gerencia sobre la continuidad del servicio radica en los
recursos de infraestructura, en vez de radicar en los servicios de TI. Los usuarios utilizan
soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a
las interrupciones mayores es reactiva y sin preparación.
Observaciones: No hay un plan de continuidad de servicios de TI diseñado para reducir el
impacto de la interrupción de procesos críticos.
Informalmente, existen procedimientos que permiten la recuperación de datos en los
distintos servidores. No obstante, hay sectores del Organismo, como el Departamento de
Procesos Automáticos y Sensores Remotos, que llevan a cabo la administración de sus
propios resguardos sin intervención y control del área de TI.
No hay una copia de los backups fuera del edificio como tampoco un procedimiento
general tal como entrenamiento o un sitio alternativo que pueda atender la contingencia
ante el caso de desastre en la administración central.
INFORME DE AUDITORIA
34
El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos
que pudieran ocasionar la interrupción de los servicios.
4.3.5 Garantizar la seguridad de los sistemas
Objetivo de control: La necesidad de mantener la integridad de la información y de
proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este
proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas,
estándares y procedimientos de TI. La administración de la seguridad también incluye la
implementación de los controles de acceso lógico que garantizan que el ingreso a los
sistemas, datos y programas está limitado a los usuarios autorizados, los monitoreos y
pruebas periódicas así como acciones correctivas sobre las debilidades o incidentes
identificados.
Este objetivo de control afecta, primariamente:
la confidencialidad
la integridad
y en forma secundaria:
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. La organización reconoce la necesidad de seguridad para TI.
La conciencia de la necesidad de seguridad depende principalmente de las personas. La
seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Los
incidentes de seguridad de TI ocasionan respuestas individuales, debido a que las
responsabilidades no son claras. Las respuestas a los incidentes de seguridad de TI son
impredecibles.
Observaciones: No se lleva una gestión centralizada del manejo de la TI, desde donde
poder definir e implementar políticas y procedimientos No se han establecido los roles,
responsabilidades y estándares de TI. No existen normas formalmente aprobadas y
INFORME DE AUDITORIA
35
definidas que alcancen a todo el Organismo en materia de seguridad informática como
tampoco se han realizado evaluaciones a las normas específicas de la materia.
No se ha definido el rol de administrador de los servidores, como tampoco un
procedimiento específico de administración de cuentas de usuario que establezca la
solicitud, establecimiento, suspensión, modificación y cierre de cuentas. Tampoco existen
procedimientos que permitan auditar las acciones de los administradores, usuarios externos
e internos y para casos de emergencia.
No hay una política específica que establezca revisiones regulares de todas las cuentas de
usuarios y los privilegios asociados.
La ausencia de una administración centralizada de todos los servidores y las cuentas de
usuarios, con sus privilegios, permite que la infraestructura de TI y los datos, se encuentren
expuestos a ataques internos y externos, con lo que pone en riesgo su disponibilidad e
integridad.
Las limitaciones tecnológicas del sistema de comunicaciones por su baja velocidad, no
permite dar un servicio remoto eficiente para la administración de usuarios, datos e
Internet.
Se detectaron:
Usuarios comunes con altos privilegios, lo que habilita la posibilidad de instalar
aplicaciones no autorizadas.
Ausencia de herramientas que permitan la detección de intrusos (usuarios no
habilitados que puedan acceder a los datos).
Usuarios genéricos, que no permiten identificar a las personas que acceden y
utilizan servicios de TI
Transmisión de datos sin encriptación. Esto permite la posibilidad de que un
tercero, con conocimiento de la información, pueda alterarla.
INFORME DE AUDITORIA
36
4.3.6 Identificar y asignar costos
Objetivo de control: Se debe implementar un sistema de imputación de costos que
garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle
requerido y el ofrecimiento de servicio adecuado.
Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y
reportar costos de TI a los usuarios de los servicios.
Este objetivo de control afecta, primariamente:
la eficiencia
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los
servicios de información, pero no hay una distribución de costos por centro de costos. Es
casi nulo el monitoreo de los costos, sólo se reportan a la gerencia los costos agregados. La
distribución de costos de TI se hace como un costo fijo de operación. Al Organismo no se
le brinda información sobre el costo o los beneficios de la prestación del servicio.
Observaciones: No hay un marco de trabajo de administración por centro de costos, en
función de la TI por cada una de las gerencias, que esté alineado con los procedimientos de
contabilización y medición financiera del Organismo; que incluya costos directos,
indirectos, fijos y variables, y que garantice que los cargos para los distintos servicios sean
identificables para su monitoreo.
4.3.7 Educación y capacitación de los usuarios
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada
grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para
llevar a cabo un entrenamiento efectivo y para medir los resultados.
Este objetivo de control afecta, primariamente:
la eficacia
y en forma secundaria:
INFORME DE AUDITORIA
37
la eficiencia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. Hay evidencia de que la organización ha reconocido la
necesidad de contar con un programa de entrenamiento y educación, pero no hay
procedimientos estandarizados. El enfoque global de la gerencia carece de cohesión y sólo
hay comunicación esporádica e inconsistente respecto a los problemas y enfoques para
hacerse cargo del entrenamiento y la educación.
Observaciones: No hay un plan de capacitación, que incluya la concientización de los
usuarios en seguridad informática, que abarque la identificación de las necesidades las
áreas de TI y los mecanismos de impartición, con el correspondiente esquema de
evaluación del entrenamiento recibido.
4.3.8 Administrar la mesa de servicio y los incidentes
Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los
usuarios de TI, requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso
de administración de incidentes. Este proceso incluye la creación de una función de mesa
de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-
raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la
resolución rápida de consultas. Además, permite identificar la causa raíz a través de un
proceso de reporte efectivo.
Este objetivo de control afecta, primariamente:
la efectividad
la eficacia
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. La gerencia reconoce que requiere un proceso soportado por
herramientas y personal para responder a las consultas de los usuarios y administrar la
resolución de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se
brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios, los
INFORME DE AUDITORIA
38
incidentes o las tendencias. No existe un proceso de escalamiento para garantizar que los
problemas se resuelvan.
Observaciones: La mesa de servicios es llevada por el área de Soporte Técnico y el Dpto.
de Comunicaciones sin normas ni procedimientos específicos. Se debe considerar que debe
registrar los cortes de servicios de los enlaces de comunicaciones y los problemas de
soporte técnico de todo el SMN incluyendo Oficinas Meteorológicas de Aeródromos,
Oficinas de Información Meteorológicas, Oficinas de Vigilancia Meteorológicas;
Observatorios; Estaciones Meteorológicas de Aeródromos; Vigilancia Atmosférica Global,
todas ellas distribuidas a lo largo y ancho del país incluyendo el continente Antártico.
No existe un procedimiento ni un único sistema de registración de incidentes que se
aplique de manera uniforme en todo el organismo, que contemple:
Registración unívoca del incidente.
Un procedimiento de escalamiento de problemas.
El seguimiento y evaluación de las distintas resoluciones en base a los distintos
acuerdos de niveles de servicios definidos en el Sistema de Aseguramiento de la
Calidad (SAC).
Que el usuario preste su conformidad formal de la tarea realizada.
Alimentación de una Base de Conocimientos, donde se registren soluciones tipo para
problemas tipo en base a la experiencia adquirida.
Elaboración de estadísticas.
Encuestas de satisfacción de los usuarios.
4.3.9 Administrar la configuración
Objetivo de control: Se deben implementar controles que identifiquen y registren todos
los bienes de Tecnología de la Información y su ubicación física, y un programa de
verificación regular que confirme su existencia. Este programa debe incluir la recolección
de información de la configuración inicial, el establecimiento de normas, la verificación y
auditoría de la información de la configuración y la actualización del repositorio de
configuración conforme se necesite.
INFORME DE AUDITORIA
39
Este objetivo de control afecta, primariamente:
la efectividad
y en forma secundaria:
la eficiencia
la disponibilidad
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. Se reconoce la necesidad de contar con una administración de
configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales
como mantener inventarios de hardware y software pero de manera individual. No están
definidas prácticas estandarizadas.
Observaciones: No hay un repositorio centralizado de inventarios de activos de TI para el
organismo que contenga todos los elementos de configuración incluyendo hardware,
software de base y aplicativos. Sólo existen inventarios parciales que no cubren todas las
características para el control de los recursos informáticos.
No hay un procedimiento de control de cambios aplicable al mantenimiento de los
inventarios.
4.3.10 Administración de problemas
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y de respuesta a todos los incidentes. El proceso también incluye la identificación
de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus
de las acciones correctivas.
Este objetivo de control afecta, primariamente:
la eficacia
la eficiencia
y en forma secundaria:
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
INFORME DE AUDITORIA
40
Nivel de madurez: Inicial. Los individuos reconocen la necesidad de administrar los
problemas y de revolver las causas de fondo. Algunos individuos clave brindan asesoría
sobre problemas relacionados a su área de experiencia, pero no está asignada la
responsabilidad para la administración de problemas. La información no se comparte,
resultando en la creación de nuevos problemas y la pérdida de tiempo productivo mientras
se buscan respuestas.
Observaciones: No existe un procedimiento único para todo el Organismo que permita
reportar y clasificar problemas que han sido identificados como parte de la administración
de incidentes. Tampoco existe una clasificación sobre el impacto, prioridad y categoría del
problema. Los usuarios no dan conformidad formal a la solución del problema. No se
realizan estadísticas que permitan identificar la causa raíz de los problemas.
Se utilizan registros manuales y comunicaciones vía telefónica o mensajes de correo
electrónico y dada la imposibilidad de resolver problemas de soporte técnico en forma
remota y ante la falta de un plan preventivo de mantenimiento, las resoluciones se basan en
comisiones de envío de personal al grupo de estaciones meteorológicas distribuidas
geográficamente por todo el país.
4.3.11 Administración de Datos
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información para asegurar que los datos permanezcan durante su entrada, actualización y
almacenamiento completos, precisos y válidos. El proceso de administración de
información también incluye el establecimiento de procedimientos efectivos para
administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así
como su eliminación apropiada.
Este objetivo de control afecta, primariamente:
la integridad
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
INFORME DE AUDITORIA
41
Nivel de madurez: Inicial. El Organismo reconoce la necesidad de una correcta
administración de los datos. Existe un método para especificar requerimientos de seguridad
en la administración de datos, pero no hay procedimientos implementados de
comunicación formal. No se lleva a cabo capacitación específica sobre administración de
los datos. La responsabilidad sobre la administración de los datos no es clara. Existen
procedimientos de respaldo y recuperación de datos.
Observaciones: No existe un procedimiento formal que establezca un criterio único para
la realización de las copias de resguardo. En cada una de las áreas de TI del organismo se
realizan con diferentes métodos y plataformas tecnológicas.
Los datos no se encuentran clasificados por criticidad, impacto o requerimientos de
seguridad.
No existe un plan de pruebas periódicas que verifique la calidad de las copias de respaldo y
la eficacia del proceso de restauración.
El Organismo no tiene resguardo centralizado de toda la información almacenada en las
bases de datos críticas, y los servidores se encuentran ubicados en diferentes espacios
físicos y departamentos sin un procedimiento formal que establezca un criterio único para
llevarlo a cabo.
Se observó la falta de un repositorio ignífugo para el resguardo de la información relevante
como forma de protección alternativa para casos de desastre en la Administración Central.
4.3.12 Administración de instalaciones
Objetivo de control: La protección del equipo de cómputos y del personal, requiere de
instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y
físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto
funcionamiento.
Este objetivo de control afecta, primariamente:
la integridad
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
INFORME DE AUDITORIA
42
Nivel de madurez: Inicial. La organización reconoce la necesidad de contar con un
ambiente físico que proteja los recursos y el personal contra peligros naturales y causados
por el hombre. La administración de instalaciones y de equipo depende de las habilidades
de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción.
La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento
del personal.
Observaciones: En los centros de cómputos visitados se observó que:
• Ausencia de políticas y normas relativas al registro de ingreso y egreso de personas al
CPD.
• En el Departamento de Procesos Automáticos, que tiene su propio Centro de
Procesamiento de Datos, se encontraron las 2 UPS7 existentes, fuera de servicio.
• Paredes con tabiques de madera.
• Los matafuegos eran de tipo ABC y se encontraron vencidos, posteriormente fueron
reemplazados por los de tipo Halon Clean.8, que también están fuera de las normas
vigentes.
• La seguridad de acceso depende solamente de cerraduras estándar.
• No se controlan ni se llevan registros de los factores ambientales como la temperatura y
humedad.
• Se han hallado deficiencias en el sistema de suministro eléctrico del edificio central, y
se presentan los siguientes riesgos:
o Falta de generadores eléctricos para interrupciones prolongadas de suministro.
o Ausencia un sitio alternativo de procesamiento.
o Falta de luces de emergencia en cada uno de los tableros (planta baja y
subsuelo).
7 UPS (Uninterruptible Power Supply) dispositivo que provee energía eléctrica cuando la fuente principal de energía se interrumpe. 8 Desarrollados a fines de 1940, estos gases se constituyeron en los compuestos más efectivos para combatir el fuego. Actualmente no se utilizan ya que en la atmósfera superior, los halones destruyen más ozono que los cloroflurcarbonados y sus concentraciones en ese medio, si bien son pequeñas, se duplican cada cinco años.
INFORME DE AUDITORIA
43
o Los accesos a los tableros de la planta baja se encuentran obstruidos por objetos
inflamables (cajas de cartón, estantes de madera, mesada con vidrio, armario de
madera, etc.).
o En el primer subsuelo se encuentran 2 bombas de agua en cercanías de las
llaves de corte de las 2 cámaras, cuyo acceso está obstruido por objetos que
interrumpen una rápida acción en caso de emergencia.
4.3.13 Administración de operaciones
Objetivo de control: Un procesamiento completo y apropiado de la información requiere
su efectiva administración y el mantenimiento del hardware involucrado. Este proceso
incluye la definición de políticas y procedimientos de operación para una administración
efectiva del procesamiento programado, protección de datos de salida sensitivos,
monitoreo de infraestructura y mantenimiento preventivo de hardware.
Este objetivo de control afecta primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la integridad
la disponibilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Inicial. El Organismo reconoce la necesidad de estructurar las
funciones de soporte de TI. Se establecen algunos procedimientos estándar y las
actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de
operación son programados de manera informal y el procesamiento de peticiones se acepta
sin validación previa. Puede ocurrir que las computadoras, sistemas y aplicaciones que
soportan los procesos del negocio no están disponibles, se interrumpen o retrasan.
Observaciones: No hay políticas ni procedimientos formales de operación, necesarios
para una efectiva administración del procesamiento.
INFORME DE AUDITORIA
44
4.4 MONITOREAR Y EVALUAR
4.4.1 Monitorear y evaluar el desempeño de TI
Objetivo de control: Una efectiva administración del desempeño de TI requiere un
proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores
de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditivas
cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas
correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la confidencialidad
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar
información sobre los procesos de monitoreo. No se han identificado procesos estándar de
recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de
acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI
específicos. La función de contabilidad monitorea mediciones financieras básicas para TI.
Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a
todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a
seguir para medir la calidad en la entrega de servicios. Este marco debe estar integrado con
un sistema de administración de gestión (tablero de control con indicadores) que permita
comparar en forma periódica el desempeño contra métricas establecidas en un sistema de
calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para
resolver los desvíos que puedan presentarse.
INFORME DE AUDITORIA
45
4.4.2 Monitorear y evaluar el control interno
Objetivo de control: Establecer un programa de control interno efectivo para TI requiere
un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de
las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por
terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad
respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y
regulaciones aplicables.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la confidencialidad
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: No conforma. El Organismo carece de procedimientos para monitorear
la efectividad de los controles internos. Los métodos de reporte de control interno
gerenciales no existen. Falta concientización sobre la seguridad operativa y el
aseguramiento del control interno de TI.
Observaciones: No se ha implantado un marco de trabajo formal de control interno de TI
que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan
verificar el logro de los objetivos de control interno para los procesos de TI, identificar las
acciones de mejoramiento y reportar sus excepciones.
En relación al control interno para terceros, en algunos contratos las cláusulas de
cumplimiento son poco precisas y se verificaron situaciones de legítimo abono.
No se han suministrado informes previos de auditoría referido a TI.
INFORME DE AUDITORIA
46
4.4.3 Garantizar el cumplimiento con requerimientos externos
Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del
establecimiento de un proceso independiente de revisión para garantizar el cumplimiento
de las leyes y regulaciones. Este proceso incluye la definición de una declaración de
auditoría, independencia de los auditores, ética y estándares profesionales, planeación,
desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.
El propósito de este proceso es proporcionar un aseguramiento positivo relativo al
cumplimiento de TI de las leyes y regulaciones.
Este objetivo de control afecta, primariamente:
el cumplimiento
y en forma secundaria:
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe el entendimiento de la necesidad de cumplir con los
requerimientos externos y la necesidad se comunica. En los casos en que el cumplimiento
se ha convertido en un requerimiento recurrente, como en los reglamentos regulatorios o en
la legislación de privacidad, se han desarrollado procedimientos individuales de
cumplimiento y se siguen año a año. No existe, sin embargo, un enfoque estándar. Hay
mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son
posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los
temas de cumplimiento.
Observaciones: Se ha hallado debilidades en el cumplimiento a la siguiente normativas:
Resolución SIGEN N° 48/2005 “Pautas de Control Interno de TI” en cuanto a la
o Organización Informática
o Plan Estratégico de TI
o Arquitectura de la Información
o Políticas y Procedimientos
o Administración de Proyectos
o Desarrollo, Mantenimiento o Adquisición de Software de Aplicación
INFORME DE AUDITORIA
47
o Adquisición y Mantenimiento de la Infraestructura Tecnológica
o Seguridad, Servicios de Procesamiento y/o Soporte Prestados por Terceros
o Servicios de Internet/Extranet/Intranet
o Monitoreo de los Procesos
o Auditoría Interna de Sistemas
Ley 24156. Está creada la Unidad de Auditoría Interna pero no se han cubierto los
cargos.
Disposición ONTI – SGP 6/2005 Modelo de política de seguridad de la
información para organismos de la Administración Pública Nacional de la
Secretaría de la Gestión Pública.
o Organización de la Seguridad
o Clasificación y Control de Activos
o Seguridad del Personal
o Seguridad Física y Ambiental
o Gestión de Comunicaciones y Operaciones
o Control de Accesos
o Desarrollo y Mantenimiento de Sistemas
o Administración de la Continuidad de las Actividades del Oragnismo
o Cumplimiento
Decreto 375/2005 Plan Nacional de Gobierno Electrónico. Los Organismos deben
presentar ante la Secretaria de Gestión Pública un informe de “Diagnóstico de la
situación del Organismo con respecto al Plan Nacional de Gobierno Electrónico” y
designación de un enlace ante la misma.
ONTI Nº 69/2011 “Pautas de accesibilidad para sitios web”. Ver análisis del sitio
web, en “B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y
LOS SERVICIOS DE TI ASOCIADOS”.
INFORME DE AUDITORIA
48
4.4.4 Proporcionar gobierno de TI
Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo,
incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con
las estrategias y objetivos del Organismo.
Este objetivo de control afecta, primariamente:
la efectividad
la eficiencia
y en forma secundaria:
la confidencialidad
la integridad
la disponibilidad
el cumplimiento
la confiabilidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Se reconoce que el tema del gobierno de TI existe y que debe
ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El
enfoque de la gerencia es reactivo y solamente existe una comunicación no formal sobre
los temas y los enfoques para resolverlos.
Observaciones: Falta establecer un marco de gobierno de TI con un entorno de control
con prácticas inequívocas que aseguren:
El alineamiento de TI en el cumplimiento de las metas estratégicas del Organismo.
Tratamiento uniforme para la administración de todos los proyectos de TI.
El cumplimiento de leyes y regulaciones.
Medir la contribución de TI a los objetivos estratégicos del Organismo.
Rendición de cuentas.
Correcta administración de los programas de inversión.
INFORME DE AUDITORIA
49
Esquema de monitoreo que permita medir el desempeño y la correcta asignación de
los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones
correctivas.
Evaluación periódica de riesgos, que permitan reportar aquellos relacionados con
TI y su impacto en la posición de riesgos de la organización.
B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS
SERVICIOS DE TI ASOCIADOS
1. El Proceso Informático Meteorológico propio del SMN
El relevamiento realizado desde la captura de la información en las estaciones hasta su
publicación en la página web contiene debilidades de control a causa de los diversos
procesos que intervienen.
Hay ingresos manuales, mediante formularios web y correos electrónicos. Los ingresos de
información automatizados se realizan utilizando:
Sistemas Propios
Una aplicación denominada “Sistema de Observación Meteorológica (SOM)”,
desarrollada sobre un sistema operativo muy antiguo.
Un “Sistema de Visualización de Información Meteorológica Aeronáutica
(SAVIMA)”, que recibe información pero no la transmite y que presenta problemas
similares a la aplicación anterior.
Sistema “Parser (clasificador de SYNOP9 u otros mensajes)”,
Sistema de Pronósticos (modelos), 9 SYNOP (Surface Synoptic Observations traducido como observaciones sinópticas en superficie) es un
código numérico (llamado FM-12 por la Organización Meteorológica Mundial), usado para reportar
observaciones meteorológicas hechas por estaciones meteorológicas en superficie tanto así como por
estaciones meteorológicas automáticas.
Los reportes SYNOP, a menudo, son enviados cada seis, tres o una hora, a través de onda corta. Estos
reportes consisten en grupos de números y barras, donde se describe el estado del tiempo en la estación,
incluidos los datos de temperatura, presión atmosférica y visibilidad.
INFORME DE AUDITORIA
50
Sistema de recepción y transmisión de mensajes MSS
Estos sistemas están sin mantenimiento, ya que el área de TI no tiene posee los
antecedentes de su desarrollo y no existen los programas fuentes ni documentación. Por
otro lado, los sistemas, que se comunican por interfaces automáticas y manuales en
algunos casos, pueden provocar errores a causa de cortes del sistema de comunicaciones
contratado y la actualización tardía de los datos luego de su reconexión.
Vinculo a un Sistema externo:
Vuelco de datos al sistema para mensajería segura llamado Sistema de Manejo de
Mensajes Aeronáuticos (AMHS, por sus siglas en inglés, también conocido como
ATS Message Handling System Servicio de Manejo de Mansajes para Servicios de
Tráfico Aéreo), de uso oficial para la aeronavegación comercial, cuyo
mantenimiento está a cargo de la Fuerza Aérea o de la Administración Nacional de
Aviación Civil (ANAC).
Hay ciertos procesos automáticos que vuelcan información en forma directa a la página
web, sin un proceso de validación previa.
Los enlaces de comunicaciones de baja velocidad presentan continuas interrupciones lo
que afecta la actualización de la página web y genera riesgos de inconsistencias en el
encolamiento de la información y la posterior retransmisión de datos, con el riesgo de no
tener información oportuna para la aviación comercial.
Estos procedimientos carecen de pistas de auditoría que permitan verificar el estado de la
transferencia de información entre los diversos sistemas o aplicaciones
Se captura también información desde un satélite ubicado a 36.000 km de la Tierra, del
cual el SMN recibe las imágenes digitales que luego son publicadas en la página web. Para
el tratamiento de estas imágenes se utiliza un software llamado TeraScan, no integrado al
resto del sistema meteorológico e instalado en la oficina de Sensores Remotos, pudiendo la
página web tener duplicación de datos.
Hallazgos en los lugares de captura de información del SMN:
INFORME DE AUDITORIA
51
Estación Meteorológica Aeroparque Metropolitano:
Se halló operativa una aplicación desarrollada en un sistema operativo antiguo y sin
mantenimiento.
No tiene servicio de Internet.
El personal no posee cuentas de correo electrónico institucional.
OVM (Oficina de Vigilancia Meteorológica), Aeroparque Metropolitano:
Repetidos cortes del servicio de Internet, ésta situación, se subsana utilizando la
conexión de aeroparque, de menor ancho de banda al contratado.
El gabinete donde están instalados los equipos de la red informática provista por el
proveedor de comunicaciones, no posee seguridad física y se encontraba abierto,
con falta de mantenimiento y limpieza. Se halló un solo matafuego, con su carga
vencida, no apto para combatir el fuego en este tipo de instalaciones dado que su
uso afectaría los componentes electrónicos.
La red informática no está conectada al servicio de emergencia del aeroparque.
El sistema SAVIMA tiene una tecnología constructiva y funcional desactualizada
(Windows 95 y Visual Basic), no hay disponibilidad de los programas fuentes y
está sin mantenimiento.
Observatorio Central de Buenos Aires (OCBA - Villa Ortuzar):
Se halló:
Personal propio realiza captura de información y resguardo de información.
Inestabilidad de los enlaces de comunicaciones satelitales y un servicio de Internet
deficiente, así como enlaces de muy baja velocidad (64 Kbytes).
Existencia de equipamiento con software operativo obsoleto, (PC con Windows
98), que recibe y transmite la información en forma automática al conjunto de los
procesos informáticos meteorológicos.
INFORME DE AUDITORIA
52
2. Sitio Web
Desde el año 1995 el SMN cuenta con sitio institucional.
El siguiente gráfico muestra una estadística de visitas cuyo promedio es de
aproximadamente 10 (diez) millones de visitas mensuales.
Fuente: SMN
El siguiente cuadro muestra por cada ítem el grado de cumplimiento del sitio web del SMN
de los parámetros establecidos por los Estándares Tecnológicos para la Administración
Pública (ETAPs), la Res. ONTI Nº 69/2011 “Pautas de Accesibilidad para sitios Web” y la
Resolución SIGEN N° 48/2005.
INFORME DE AUDITORIA
53
Sitio Web Servicio Meteorológico Nacional (http://www.smn.gov.ar/) 1) Contenidos Básicos Si/No Observaciones Portada Si Autoridades Si Nombre Si Foto No Cargo Si Teléfono No Dirección No Correo electrónico Si El link de contacto inicia outlook Organigrama Si Marco Normativo Si Misiones y Funciones (Objetivos) Si Descripción de Proyectos en curso Si Presupuesto Nacional No Novedades Si Publicaciones Si Versiones en otros idiomas No Dirección (Postal y Teléfonos) No Dirección Electrónica Webmaster Si Con un asistente de correo Enlaces a Redes Sociales Si Exploradores básicos Si 2) Facilidades Básicas Mapa del Sitio No Enlaces Rotos No Enlace al inicio Si Foro No Buscador Si Boletín Informativo Si Consulta para el ciudadano Si Documentación Si Orientación Si Tamaño de las descargas Si 3) Accesibilidad Encabezamientos (filas y columnas) Si Llenado de formularios en línea No
INFORME DE AUDITORIA
54
Marcos con títulos Si Claridad de Jerarquía Si Cancelación de operaciones en línea No Consistencia de elementos visuales Si Claridad de contenidos Si
Del cuadro precedente y el relevamiento realizado surge que:
No existe una intranet única en el Organismo, sino que coexisten dos en
funcionamiento
1. En los departamentos de DPA y Sistemas,
2. La denominada “IntraMet” (una red interna del SMN).
Esta circunstancia puede ocasionar
a) falta de integración
b) duplicación de datos
No existe un administrador o responsable de contenidos. Cada gerencia o sector
(climatología, sensores remotos, etc.) actualiza el sitio web oficial sin un control y
visión integradora.
No existe una aplicación para celulares (App de meteorología).
El texto no puede ser interpretado por sintetizadores de voz o dispositivos Braille.
El diseño correspondiente a los enlaces “Alertas en el país” e “Informe especial en
el país” no es el adecuado.
Tanto la página web como la intranet en todos sus modos no tienen interacción con
el público o con usuarios propios del SMN.
INFORME DE AUDITORIA
55
5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS
DESCARGOS FORMULADOS POR EL SERVICIO METEOROLÓGICO
NACIONAL
Con fecha 8 de enero de 2014 el Servicio Meteorológico Nacional envía su descargo,
manifestando coincidir con las observaciones realizadas en el informe. Así mismo, el
organismo destaca que ha comenzado a elaborar un plan de acción tendiente a implementar
las medidas para subsanar los hallazgos indicados, estimándose que la elaboración,
adecuación e implementación general de los sistemas informáticos de la institución
insumirá un tiempo aproximado de 2 años con etapas parciales semestrales. Las mejoras
que de dicho trabajo resulten, se evaluarán en una próxima auditoría.
INFORME DE AUDITORIA
56
6. RECOMENDACIONES
Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos,
independientemente del hecho de que ya hayan sido parcialmente puestas en práctica.
A. ANÁLISIS BAJO NORMAS COBIT
6.1. PLANIFICAR Y ORGANIZAR
6.1.1. Definir un plan estratégico para TI
El plan estratégico de TI debe incluir: el presupuesto de la inversión/operativo, las fuentes
de financiamiento, la estrategia de procuración, la estrategia de adquisición, y los
requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para permitir
la definición de planes tácticos de TI.
Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI. Estos
deben establecer las iniciativas y los requerimientos de recursos requeridos por TI, y cómo
el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los
planes tácticos deben tener el detalle suficiente para permitir la definición de planes
operativos. Administrar de forma activa los planes tácticos y las iniciativas de TI
establecidas por medio del análisis de la cartera de proyectos y servicios. Esto requiere
encontrar el equilibrio entre requerimientos y recursos, comparándolos con el logro de
metas estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en
caso de desviaciones.
Administrar el grupo de proyectos de TI de forma proactiva y el conjunto de programas de
inversión de TI requerido para lograr objetivos estratégicos y específicos del organismo
por medio de la identificación, definición, evaluación, asignación de prioridades, selección,
inicio, administración y control de los programas. Esto incluye: clarificar los resultados
deseados, garantizar que los objetivos de los programas den soporte para alcanzar las metas
establecidas, entender el alcance completo del esfuerzo requerido, definir una rendición de
cuentas clara, asignar recursos y financiamiento y delegar autoridad.
INFORME DE AUDITORIA
57
Administrar el valor de TI para garantizar que las inversiones en TI contengan programas
con metas posibles de alcanzar. Reconocer que existen inversiones obligatorias, de
sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la
asignación de fondos. Los servicios de TI se deben ejecutar contra acuerdos de niveles de
servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios y del
control de los costos debe ser claramente asignada y monitoreada.
Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar entre
los imperativos de éstas y la tecnología, de tal modo que se puedan establecer prioridades
concertadas.
Evaluar el desempeño actual, el de los planes existentes y de los sistemas de información
en términos de su contribución a los objetivos estratégicos del organismo, su
funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.
6.1.2. Definir la arquitectura de información
Establecer y mantener un modelo de información que facilite el desarrollo de aplicaciones
y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como
se describen en el Plan Estratégico. El modelo facilita la creación, uso y compartición
óptimas de la información por parte del organismo de una manera que conserva la
integridad y es flexible, funcional, rentable, oportuna, segura y tolerante a fallas.
Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis de datos.
El diccionario facilita la compartición de elementos de datos entre las aplicaciones y los
sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del
organismo, y previene la creación de elementos de datos incompatibles.
Establecer un esquema de clasificación de datos que aplique a todo el organismo, basado
en la criticidad y sensibilidad de la información. Este esquema incluye detalles acerca de la
propiedad de datos, la definición de niveles apropiados de seguridad y de controles de
protección, como también una breve descripción de los requerimientos de retención y
destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para
aplicar controles como el control de acceso, archivo o encripción.
INFORME DE AUDITORIA
58
Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los
datos almacenados en formato electrónico, tales como bases de datos y archivos.
6.1.3. Determinar la dirección tecnológica
Planear la dirección tecnológica. Analizar las tecnologías existentes y emergentes y
planear cuál dirección tecnológica es la apropiada para materializar la estrategia de TI y la
arquitectura de sistemas del organismo. También identificar en el plan, qué tecnologías
tienen el potencial de crear oportunidades de nuevas prestaciones. El plan debe abarcar la
arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los
aspectos de contingencia de los componentes de la infraestructura.
Elaborar un Plan de infraestructura tecnológica. Crear y mantener un plan de
infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI.
El plan se basa en la dirección tecnológica e incluye acuerdos para contingencias y
orientación para la adquisición de recursos tecnológicos. También debe tomar en cuenta
los cambios en el ambiente competitivo, las economías de escala en la obtención de equipo
de sistemas de información, y la mejora en la interoperabilidad de las plataformas y las
aplicaciones.
Monitorear tendencias y regulaciones futuras. Establecer un proceso para monitorear las
tendencias del sector/industria, tecnológicas, de infraestructura, legales y regulatorias.
Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura
tecnológica de TI.
Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas consistentes,
efectivas y seguras para toda la organización, brindar directrices tecnológicas, asesoría
sobre los productos de la infraestructura y guías sobre la selección de la tecnología, y
medir el cumplimiento de estos estándares y directrices.
Establecer un consejo de arquitectura de TI que proporcione directrices sobre la
arquitectura y asesoría sobre su aplicación y que verifique el cumplimiento. Esta entidad
orienta el diseño de la arquitectura de TI garantizando que facilite la estrategia adoptada y
tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos
aspectos se relacionan con la arquitectura de la información.
INFORME DE AUDITORIA
59
6.1.4. Definir los procesos, organización y relaciones de TI
Ubicación organizacional de la función de TI. Ubicar a la función de TI dentro de la
estructura organizacional general, en especial en función de la criticidad que representa
para los objetivos estratégicos del organismo y el nivel de dependencia operativa.
Estructura organizacional. Establecer una estructura organizacional de TI interna y
externa que refleje las necesidades de la organización. Además implementar un proceso
para revisar la estructura organizacional de TI de forma periódica para ajustar los
requerimientos de personal y las estrategias internas para satisfacer los objetivos esperados
y las circunstancias cambiantes.
Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles como las
responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el
personal de TI y los usuarios finales. Definir las responsabilidades y la rendición de
cuentas para alcanzar los objetivos estratégicos del organismo.
Responsabilidad del aseguramiento de calidad (QA) de TI. Asignar la responsabilidad para
el desempeño de la función de QA. Asegurar que la ubicación organizacional, las
responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos del
organismo.
Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la propiedad
y la responsabilidad de los riesgos relacionados con TI a un nivel apropiado. Definir y
asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad
específica de la seguridad de la información, la seguridad física y el cumplimiento. Puede
ser necesario asignar responsabilidades adicionales de administración de la seguridad a
nivel de sistemas específicos. Obtener la posición de la alta dirección en relación a los
niveles aceptables de riesgo de TI que se quieren asumir y la aprobación de cualquier
riesgo residual.
Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y
herramientas que le permitan asumir sus responsabilidades de propiedad sobre los datos y
los sistemas de información. Las áreas responsables, dueña de los datos y sistemas,
deberán tomar decisiones sobre la clasificación de la información y cómo protegerlos.
INFORME DE AUDITORIA
60
Implantar prácticas adecuadas de supervisión dentro de la función de TI para garantizar
que los roles y las responsabilidades se ejerzan de forma apropiada. Evaluar si todo el
personal cuenta con la suficiente autoridad para ejecutarlos y para revisar en general los
indicadores clave de desempeño.
Implantar una división de roles y responsabilidades que reduzca la posibilidad de que un
solo individuo afecte un proceso crítico. La máxima autoridad de TI debe asegurar de que
el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones
respectivas.
Evaluar los requerimientos de personal de forma regular o cuando existan cambios
importantes en las necesidades estratégicas del organismo, operativos o de TI para
garantizar que la función de TI cuente con un número suficiente de personal competente, el
entrenamiento cruzado-funcional, la rotación de puestos y las oportunidades de personal
externo.
Definir e identificar al personal clave de TI y minimizar la dependencia en ellos. Debe
existir un plan para contactar al personal clave en caso de emergencia.
Políticas y procedimientos para personal contratado. Definir e implantar políticas y
procedimientos para controlar las actividades de los consultores u otro personal contratado
por la función de TI.
Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre
la función de TI y otras funciones dentro y fuera de la misma, tales como la Dirección
General, las gerencias ejecutivas, usuarios y proveedores de servicios de TI.
Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI.
Este marco incluye estructura y relaciones de procesos de TI, propiedad, medición del
desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Esto
proporciona integración entre los procesos que son específicos para TI, administración de
la cartera de proyectos del organismo. El marco de trabajo de procesos de TI debe estar
integrado en un sistema de administración de calidad y en un marco de trabajo de control
interno.
INFORME DE AUDITORIA
61
Establecer un comité estratégico de TI que deberá asegurar que el gobierno de TI, como
parte del gobierno del organismo, que asesore sobre la dirección estratégica y revise las
inversiones principales.
Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI para:
Determinar las prioridades de los programas de inversión de TI alineadas con la
estrategia y prioridades de los objetivos estratégicos del organismo.
Dar seguimiento de los proyectos y resolver los conflictos de recursos
Monitorear los niveles y las mejoras del servicio.
6.1.5. Administrar la inversión en TI
Establecer un marco de Administración Financiera para TI que impulse la presupuestación,
con base en el grupo de proyectos de inversión en bienes y servicios. Comunicar los
aspectos de costo y beneficio en los procesos de priorización de presupuestos y
administración de costos.
Implantar un proceso de toma de decisiones para dar prioridades a la asignación de
recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal de
maximizar la contribución de TI y optimizar el retorno de inversión de los proyectos de
inversión y otros servicios y activos de TI.
Establecer un proceso para elaborar y administrar un presupuesto que refleje las
prioridades establecidas en los programas de inversión en TI, incluyendo los costos
recurrentes de operar y mantener la infraestructura actual. Este debe dar soporte al
desarrollo de un presupuesto general de TI y de presupuestos para programas individuales,
con énfasis especial en los componentes de TI de esos programas. El proceso debe permitir
la revisión, el refinamiento y la aprobación constantes del presupuesto general y de los
presupuestos de programas individuales.
Implantar un proceso de administración de costos que compare los costos reales con los
presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones,
éstas se deben identificar de forma oportuna y evaluar el impacto. Junto con el
patrocinador del proyecto, se deberán tomar las medidas correctivas apropiadas y, en caso
de ser necesario, el programa de inversión se deberá actualizar.
INFORME DE AUDITORIA
62
Implantar un proceso de monitoreo de beneficios que permita medir la contribución
esperada de TI a los objetivos estratégicos, ya sea como un componente de programas de
inversión en TI o como parte de un soporte operativo regular, que debe identificar, acordar,
monitorear y reportar. Los reportes se deben revisar y, en donde existan oportunidades para
mejorar la contribución de TI, se deben definir y tomar las medidas apropiadas. Siempre
que los cambios en la contribución de TI tengan impacto directo en el programa o a otros
proyectos relacionados, el programa de inversión deberá ser actualizado.
Desarrollar un presupuesto por centro de costos y asociado al presupuesto
6.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI
Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento y el
entendimiento de los objetivos estratégicos del organismo y de TI se comunican a toda la
organización. La información comunicada debe poseer una visión claramente articulada
entre los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de
ética y conducta, políticas y procedimientos. Estos deben incluirse dentro de un programa
de comunicación continua, apoyado por la alta dirección con acciones. La dirección debe
dar especial atención a comunicar la conciencia sobre que la seguridad de TI es
responsabilidad de todos.
Implantación de políticas de TI. Asegurarse de que las políticas de TI se implantan y
comunican a todo el personal relevante de tal forma que estén incluidas y sean parte
integral de las operaciones organizacionales.
Ambiente de políticas y de control. Definir los elementos de un ambiente de control para TI
incluyendo las expectativas/requerimientos respecto a la entrega de valor proveniente de
las inversiones en TI, el nivel de tolerancia aceptado al riesgo, la integridad, los valores
éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El
ambiente de control se debe basar en una cultura que apoya la entrega de valor, mientras
que al mismo tiempo administra riesgos significativos, fomenta la colaboración entre
distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora continua de
procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.
INFORME DE AUDITORIA
63
Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar
mantenimiento a un marco de trabajo que establezca el enfoque del organismo hacia los
riesgos y hacia el control interno. Este debe estar integrado por el marco de procesos de TI,
el sistema de administración de calidad y debe cumplir los objetivos generales del
organismo. Debe tener como meta maximizar el éxito de la entrega de valor mientras
minimiza los riesgos para los activos de información por medio de medidas preventivas, la
identificación oportuna de irregularidades, la limitación de pérdidas y la recuperación
oportuna de activos.
Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto de
políticas que apoyen la estrategia de TI. Estas políticas deben incluir el propósito, los roles
y responsabilidades, los procesos de excepción y referencias a procedimientos, estándares
y directrices. Las políticas deben incluir temas clave como calidad, seguridad,
confidencialidad, controles internos y propiedad intelectual. Se deben revisar regularmente.
6.1.7. Administrar los recursos humanos de TI
Reclutamiento y Retención del Personal. Asegurarse que los procesos de reclutamiento del
personal de TI estén de acuerdo a las políticas y procedimientos generales del personal. La
gerencia debe implementar procesos para garantizar que el organismo cuente con una
fuerza de trabajo posicionada de forma apropiada y que tenga las habilidades necesarias
para alcanzar las metas del organismo.
Competencias del personal. Verificar de forma periódica que el personal tenga las
habilidades para cumplir sus roles con base en su educación, entrenamiento y/o
experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se
les dé mantenimiento, usando programas de calificación y certificación según sea el caso.
Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los roles,
responsabilidades y retribuciones del personal, incluyendo el requisito de adherirse a las
políticas y procedimientos administrativos, así como al código de ética y prácticas
profesionales. Los términos y condiciones de empleo deben enfatizar la responsabilidad del
empleado respecto a la seguridad de la información, al control interno y al cumplimiento
INFORME DE AUDITORIA
64
regulatorio. El nivel de supervisión debe estar de acuerdo con la sensibilidad del puesto y
el grado de responsabilidades asignadas.
Entrenamiento del personal de TI. Proporcionar a los empleados de TI la orientación
necesaria al momento de la contratación y entrenamiento continuo para conservar su
conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al
nivel requerido para alcanzar las metas del organismo.
Dependencia sobre los individuos. Minimizar la exposición de dependencias críticas sobre
individuos clave por medio de la documentación y divulgación del conocimiento, como
también la planeación de la sucesión y rotación de personal.
Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI para el personal
que cubra funciones críticas. Este criterio también debe aplicarse a los contratistas y
proveedores.
Evaluación del desempeño del empleado. Es necesario que las evaluaciones de desempeño
se realicen periódicamente, comparando contra los objetivos individuales derivados de las
metas del organismo, estándares establecidos y responsabilidades específicas del puesto.
Los empleados deben recibir adiestramiento sobre cómo desempeñarse y conducirse, según
sea necesario.
Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los puestos,
en especial las culminaciones sea por renuncia o despido. Se debe realizar la transferencia
del conocimiento, reasignar responsabilidades y eliminar los privilegios de acceso, de tal
modo que los riesgos se minimicen y se garantice la continuidad de la función.
6.1.8. Administrar la calidad
Se debe establecer un Sistema de Administración de la Calidad (SAC) que proporcione un
enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que
esté alineado con los objetivos estratégicos del organismo. El SAC debe identificar los
requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e
interacción, así como las políticas, criterios y métodos para definir, detectar, corregir y
prever las no conformidades. El SAC debe definir la estructura del organismo para la
administración de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas
INFORME DE AUDITORIA
65
las áreas clave deben desarrollar sus planes de calidad de acuerdo a los criterios y políticas,
y registran los datos. Los datos del SAC deben ser monitoreados y medidos para medir la
efectividad y mejorarla cuando sea necesario.
Se deben identificar y mantener estándares, procedimientos y prácticas para los procesos
clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del SAC. Se
deben usar las mejores prácticas como referencia al mejorar y adaptar las prácticas de
calidad del organismo.
Se deben adoptar y mantener estándares para todo desarrollo y adquisición que sigue el
ciclo de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la
documentación de hitos clave con base en criterios de aprobación acordados. Los temas a
considerar incluyen estándares de codificación de software, normas de nomenclatura;
formatos de archivos, estándares de diseño para esquemas y diccionario de datos;
estándares para la interfaz de usuario; interoperabilidad (como impacta la implantación de
una nueva funcionalidad en el funcionamiento total); eficiencia de desempeño de sistemas;
escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos;
planes de pruebas; y pruebas unitarias, de regresión y de integración.
La administración de la calidad debe enfocarse en los usuarios, al determinar sus
requerimientos y alinearlos con los estándares y prácticas de TI. Se deben definir los roles
y responsabilidades respecto a la resolución de conflictos entre las áreas usuarias y la
organización de TI.
Se debe elaborar y comunicar un plan global de calidad que promueva la mejora continua,
de forma periódica a través de mediciones para monitorear el cumplimiento continuo del
SAC, así como el valor que el SAC proporciona. La medición, el monitoreo y el registro de
la información deben ser usados por el dueño del proceso para tomar las medidas
correctivas y preventivas apropiadas.
6.1.9. Evaluar y administrar los riesgos de TI
Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al
marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación
INFORME DE AUDITORIA
66
con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del
organismo.
Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se
aplique para garantizar resultados apropiados. Esto debe incluir la determinación del
contexto interno y externo de cada evaluación de riesgos, la meta de la evaluación y los
criterios contra los cuales éstos se evalúan.
Se deben identificar todos aquellas amenazas y vulnerabilidades que tengan un impacto
potencial sobre las metas o las operaciones del organismo, aspectos de estratégicos,
regulatorios, legales, tecnológicos, de recursos humanos y operativos. Determinar la
naturaleza del impacto y dar mantenimiento a esta información.
Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados,
usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los
riesgos inherentes y residuales se debe determinar de forma individual.
Identificar los propietarios de los riesgos y a los dueños de procesos afectados, y elaborar y
mantener respuestas que garanticen que los controles y las medidas de seguridad mitigan la
exposición de forma continua. La respuesta a los riesgos debe identificar estrategias tales
como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar los costos y
beneficios y seleccionar aquellas que limiten los riesgos residuales dentro de los niveles de
tolerancia previamente definidos.
Mantenimiento y monitoreo de un plan de acción de riesgos. Asignar prioridades y planear
las actividades de control a todos los niveles para implantar las respuestas a los riesgos,
identificadas como necesarias, incluyendo la determinación de costos, beneficios y la
responsabilidad de la ejecución. Buscar la aprobación para las acciones recomendadas y la
aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas
son propiedad del dueño o dueños de los procesos afectados. Monitorear la ejecución de
los planes y reportar cualquier desviación a la alta dirección.
INFORME DE AUDITORIA
67
6.1.10. Administrar proyectos
Preparar un plan de administración de la calidad que describa el sistema de calidad del
proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal
por todas las partes interesadas para luego ser incorporado en el plan integrado.
Establecer un sistema de control de cambios de modo tal que todas las modificaciones a la
línea base o indicadores al inicio del proyecto, como por ejemplo costos, cronograma,
alcance y calidad, se revisen, aprueben e incorporen de manera apropiada al plan integrado,
de acuerdo al marco de trabajo de gobierno del programa y del proyecto.
Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas
nuevos o modificados durante la planeación del proyecto e incluirlos en el plan integrado.
Las tareas deben proporcionar la seguridad de que los controles internos y las
características de seguridad satisfagan los requerimientos definidos.
Medir el desempeño del proyecto contra los criterios clave tales como el alcance, los
tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con respecto al
plan; evaluar su impacto y sobre el programa global; reportar los resultados a los
interesados clave; y recomendar, implantar y monitorear las medidas correctivas, según sea
requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto.
Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan
proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier
actividad sobresaliente requerida para alcanzar los resultados planeados del proyecto y los
beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas
en futuros proyectos y programas.
6.2. ADQUIRIR E IMPLEMENTAR
6.2.1. Adquirir o desarrollar y mantener software aplicativo
Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que
contemple:
Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de
alto nivel para desarrollo de software, tomando en cuenta las directivas
INFORME DE AUDITORIA
68
tecnológicas y la arquitectura de información dentro del organismo, y aprobar las
especificaciones para garantizar que el diseño de alto nivel responde a los
requerimientos.
Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del
software de aplicación. Definir el criterio de aceptación de los requerimientos para
garantizar que corresponden al diseño de alto nivel. Los conceptos a considerar
incluyen, pero no se limitan a, definir y documentar los requerimientos de entrada
de datos, interfaces, la interface de usuario, el diseño para la recopilación de datos
fuente, la especificación de programa, definir y documentar los requerimientos de
archivo, requerimientos de procesamiento, definir los requerimientos de salida,
control y auditabilidad, seguridad y disponibilidad, y pruebas. Realizar una
reevaluación para cuando se presenten discrepancias técnicas o lógicas
significativas durante el desarrollo o mantenimiento.
Control y auditabilidad de las aplicaciones. Asegurar que los controles se
traduzcan correctamente de manera que el procesamiento sea exacto, completo,
oportuno, aprobado y auditable. Los aspectos que se consideran especialmente son:
mecanismos de autorización, integridad de la información, control de acceso,
respaldo y diseño de pistas de auditoría.
Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las
aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos
identificados, de acuerdo con la clasificación de datos, la arquitectura de seguridad
en la información del organismo y el perfil de riesgo. Los aspectos a considerar
incluyen derechos de acceso y administración de privilegios, protección de
información sensible en todas las etapas, autenticación e integridad de las
transacciones y recuperación automática.
Configuración e implantación de software aplicativo adquirido. Personalizar e
implantar la funcionalidad automatizada adquirida con el uso de procedimientos de
configuración, aceptación y prueba. Los aspectos a considerar incluyen el
cumplimiento de los términos contractuales, la arquitectura de información del
INFORME DE AUDITORIA
69
organismo, las aplicaciones existentes y su interoperabilidad con estas, los sistemas
de bases de datos, la eficiencia en el desempeño del sistema, la documentación y
los manuales de usuario, integración y planes de prueba.
Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo
similar al de desarrollo de sistemas nuevos en el caso que se presenten
modificaciones importantes en los sistemas existentes, que resulten en un cambio
significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar
incluyen análisis de impacto, relación costo/beneficio y administración de
requerimientos.
Desarrollo de software aplicativo. Garantizar que la funcionalidad de
automatización se desarrolla de acuerdo con las especificaciones de diseño, los
estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar
y autorizar cada etapa clave del proceso de desarrollo de software aplicativo,
verificando la finalización de las revisiones de funcionalidad, desempeño y calidad.
Los aspectos a considerar incluyen aprobar las especificaciones de diseño que
satisfacen los requerimientos funcionales y técnicos, y las solicitudes de cambio;
verificar la compatibilidad con los sistemas existentes.
Además, garantizar que se identifican y consideran todos los aspectos legales y
contractuales para el software aplicativo que desarrollan terceros.
Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y
ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los
estándares especificados en la definición de los requerimientos y en las políticas y
procedimientos de calidad del organismo. Los aspectos a considerar incluyen
especificar el criterio de calidad y los procesos de validación y verificación,
revisión de algoritmos, código fuente y pruebas.
Administración de los requerimientos de aplicaciones. Garantizar que durante el
diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos
particulares (incluyendo todos los requerimientos rechazados), y que las
INFORME DE AUDITORIA
70
modificaciones se aprueban a través de un proceso establecido de administración de
cambios.
Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el
mantenimiento y pase a producción de software de aplicaciones. Los aspectos a
considerar incluyen implantación planeada y controlada, planeación de recursos,
reparación de defectos de programa y corrección de fallas, pequeñas mejoras,
mantenimiento de documentación, cambios de emergencia, interdependencia con
otras aplicaciones e infraestructura, estrategias de actualización, condiciones
contractuales tales como aspectos de soporte y actualizaciones, revisión periódica
de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad.
6.2.3. Adquirir y mantener infraestructura tecnológica
Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir,
implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos
funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del
organismo. El plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para
actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del
producto al añadir nueva capacidad técnica.
Protección y disponibilidad del recurso de infraestructura. Implantar medidas de
control interno, seguridad y auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la infraestructura para proteger los
recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender
claramente las responsabilidades al utilizar componentes de infraestructura
sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y
evaluar su uso.
Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de
mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administración de cambios. Incluir una revisión
periódica contra las necesidades del organismo, administración de parches y
INFORME DE AUDITORIA
71
estrategias de actualización, riesgos, evaluación de vulnerabilidades y
requerimientos de seguridad.
Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura totalmente independiente del ambiente
de producción, en las primeras fases del proceso de adquisición y desarrollo. Se
debe considerar la funcionalidad, la configuración de hardware y software, pruebas
de integración y desempeño, migración entre ambientes, control de la versiones,
datos y herramientas de prueba y seguridad.
6.2.4. Facilitar la operación y el uso
Marco para la documentación de sistemas. Desarrollar un plan para identificar y
documentar todos los aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos, de manera que todos los interesados puedan elaborar
procedimientos de administración, de usuario y de operación. Este marco debe
aplicarse cada vez que se produzca una actualización de aplicaciones y/o
infraestructura.
Transferencia de conocimiento. Transferir el conocimiento a niveles gerenciales
para permitirles tomar posesión del sistema y los datos, ejercer la responsabilidad
por la entrega y calidad del servicio, del control interno y de los procesos
administrativos de la aplicación. La transferencia de conocimiento incluye la
aprobación de acceso, administración de privilegios, segregación de tareas,
controles automatizados, seguridad física y archivo de la documentación fuente.
Transferencia de conocimiento a usuarios finales. Transferencia de conocimientos
para permitir que los usuarios finales utilicen con efectividad y eficiencia la
aplicación como apoyo a los procesos del Organismo. La transferencia de
conocimiento incluye el desarrollo de un plan de capacitación que abarque al
entrenamiento inicial y al continuo, así como el desarrollo de habilidades, manuales
de usuario, manuales de procedimiento, ayuda en línea, asistencia a usuarios,
identificación del usuario clave y evaluación.
INFORME DE AUDITORIA
72
Transferencia de conocimiento al personal de operaciones y soporte. Transferir el
conocimiento y las habilidades para permitir al personal de soporte técnico y de
operaciones que entregue, apoye y mantenga la aplicación y la infraestructura
asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio
requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial
y continuo, al desarrollo de las habilidades, los manuales de operación, los
manuales de procedimientos y escenarios de atención al usuario.
6.2.5. Adquirir recursos de TI
Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y
estándares consistente con el proceso general y la estrategia de adquisiciones del
organismo, para garantizar que la compra de infraestructura, instalaciones,
hardware, software y servicios relacionados con TI, satisfagan los requerimientos
del organismo.
Administración de contratos con proveedores. Formular un procedimiento para
establecer, modificar y concluir contratos que apliquen a todos los proveedores.
Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras,
organizacionales, documentales, de desempeño, de seguridad de propiedad
intelectual y de conclusión, así como obligaciones y cláusulas de penalización por
incumplimiento cuando no cumplan los acuerdos de niveles de servicios
previamente establecidos. Todos los contratos y las modificaciones a contratos las
deben revisar asesores legales.
Selección de proveedores. Seleccionar proveedores mediante una práctica justa y
formal para garantizar la elección del mejor basado en los requerimientos que se
han desarrollado.
Adquisición de software. Garantizar que se protegen los intereses del organismo en
todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y
obligaciones de todas las partes en los términos contractuales para la adquisición de
software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de
propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje,
INFORME DE AUDITORIA
73
condiciones para la actualización y aspectos de conveniencia que incluyen
seguridad, custodia y derechos de acceso.
Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del
organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer
cumplir los derechos y obligaciones de todas las partes en los términos
contractuales para la adquisición de recursos de desarrollo. Estos derechos y
obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual,
aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes,
pruebas, procesos de administración de calidad que comprenden los criterios de
desempeño requeridos, su correspondiente revisión, términos de pago, garantías,
procedimientos de arbitraje, administración de recursos humanos y cumplimiento
con las políticas de la organización.
Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y
hacer cumplir los derechos y obligaciones de todas las partes en los términos
contractuales, que comprendan los criterios de aceptación para la adquisición de
infraestructura, instalaciones y servicios relacionados. Estos derechos y
obligaciones pueden abarcar los niveles de servicio, procedimientos de
mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de
pago y procedimientos de arbitraje.
6.2.6. Administrar cambios
Establecer procedimientos de administración de cambios formales para manejar de
manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones,
para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y
servicio, y las plataformas fundamentales.
Evaluación de impacto, priorización y autorización. Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos
en los sistemas y su funcionalidad. Esta evaluación deberá incluir
categorización y priorización. Previo a la migración hacia producción, los
interesados correspondientes deberán establecer autorizaciones formales.
INFORME DE AUDITORIA
74
Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y
autorizar los cambios de emergencia que no sigan el proceso de cambio
establecido. La documentación y pruebas podrán realizarse, después de la
implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría
para su posterior revisión.
Seguimiento y reporte del estado del cambio. Establecer un sistema de seguimiento
y reporte para mantener actualizados a los solicitantes y a los interesados relevantes
del cambio, acerca del estado del mismo.
Cierre y documentación del cambio. Siempre que se implantan cambios al sistema,
actualizar el o los sistemas asociados, la documentación de usuario y
procedimientos correspondientes. Establecer un proceso de revisión para garantizar
su implantación completa.
6.2.7. Instalar y acreditar soluciones y cambios
Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al
grupo de operaciones de la función de TI de acuerdo con el plan definido de
entrenamiento e implantación y a los materiales asociados, como parte de cada
proyecto de desarrollo, implantación o modificación de sistemas de información.
Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los
principales involucrados. Dicho plan se debe basar en los estándares de toda la
organización y definir roles, responsabilidades y criterios de éxito. Debe
considerar: requerimientos de entrenamiento, instalación o actualización de un
ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo
y corrección de errores y aprobación formal.
Plan de implantación. Establecer un plan de implantación y obtener la aprobación
de los principales involucrados. Debe definir el diseño de versiones,
procedimientos de instalación, manejo de incidentes, controles de distribución,
almacenamiento de software, revisión de la versión y documentación de cambios.
Deberá también incluir medidas de respaldo y posibilidad de vuelta atrás.
INFORME DE AUDITORIA
75
Ambiente de prueba. Establecer un ambiente de prueba independiente. Este
ambiente debe asemejarse al ambiente de producción para permitir pruebas
acertadas. Se deben tener presentes los procedimientos para garantizar que los datos
utilizados en el ambiente de prueba sean representativos. Proporcionar medidas
adecuadas para prevenir la divulgación de datos sensibles. La documentación de los
resultados de las pruebas se debe archivar.
Conversión de sistema y datos. Garantizar que los métodos de desarrollo del
organismo contemplen para todos los proyectos de desarrollo, implantación o
modificación, todos los elementos necesarios, tales como hardware, software, datos
de transacciones, archivos maestros, interfaces con otros sistemas, procedimientos,
documentación de sistemas, etc., y sean convertidos del viejo al nuevo sistema de
acuerdo con un plan preestablecido. Se debe desarrollar y mantener pistas de
auditoría de los resultados previos y posteriores a la conversión. Los propietarios
del sistema deben verificar detalladamente la transición exitosa.
Prueba de cambios. Garantizar que se prueban los cambios de acuerdo con un plan
de aceptación definido y en base en una evaluación de impacto y de recursos que
incluya el dimensionamiento del desempeño en un ambiente separado de prueba,
por parte de un grupo de prueba independiente de los desarrolladores antes de
comenzar su uso en el ambiente de operación regular. Las pruebas paralelas o
piloto se consideran parte del plan. Los controles de seguridad se prueban y evalúan
antes de la liberación, de manera que se pueda certificar la efectividad de la
seguridad. Los planes de respaldo/vuelta atrás se deben desarrollar y probar antes
de transferir el cambio a producción.
Prueba final de aceptación. Garantizar que los procedimientos proporcionan una
evaluación formal y la aprobación de los resultados de prueba por parte de la
gerencia de los departamentos afectados del usuario y la función de TI. Las pruebas
deberán cubrir todos los componentes del sistema de información y garantizar que
los requerimientos de seguridad de la información se satisfacen para todos los
INFORME DE AUDITORIA
76
componentes. Los datos de prueba se deben salvar para propósitos de pistas de
auditoría y para pruebas futuras.
Transferencia a producción. Implantar procedimientos formales para controlar la
transferencia del sistema desde el ambiente de desarrollo al de pruebas, de acuerdo
con el plan de implantación. La gerencia debe requerir que se obtenga la
autorización del propietario del sistema antes del pasaje al entorno de producción.
Liberación de software. Garantizar que la liberación del software se regula con
procedimientos formales que aseguren la autorización, acondicionamiento, pruebas
de regresión, distribución, transferencia de control, seguimiento, procedimientos de
respaldo y notificación de usuario.
Distribución del sistema. Establecer procedimientos de control para asegurar la
distribución oportuna y correcta, y la actualización de los componentes aprobados
de la configuración. Esto implica controles de integridad; segregación de funciones
entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de
todas las actividades.
Registro y rastreo de cambios. Monitorear los cambios a sistemas aplicativos,
procedimientos, procesos, sistemas y a las plataformas.
Revisión posterior a la implantación. Establecer procedimientos una revisión
posterior a la implantación del sistema para evaluar y reportar si el cambio satisfizo
los requerimientos del usuario y entregó los beneficios esperados.
6.3. ENTREGAR Y DAR SOPORTE
6.3.1. Definir y administrar los niveles de servicio
Definir un marco de trabajo que brinde un proceso formal de administración de
niveles de servicio entre el usuario y el prestador de servicio. Este marco debe
incluir procesos para la creación de requerimientos, definiciones, acuerdos de
niveles de servicio, de niveles de operación y sus correspondientes fuentes de
financiamiento.
INFORME DE AUDITORIA
77
Definir la estructura organizacional para la administración del nivel de servicio,
incluyendo los roles, tareas y responsabilidades de los proveedores externos e
internos y de los usuarios.
Organizar y almacenar de manera centralizada la definición base de los servicios de
TI dependiendo de sus características y de los requerimientos del caso, por medio
de la implantación de un enfoque de catálogo de servicios.
Definir y acordar convenios de niveles de servicio para todos los procesos críticos
de TI con base en los requerimientos del usuario y las capacidades de TI. Deben
incluir los compromisos del usuario, los requerimientos de soporte, métricas
cualitativas y cuantitativas para la medición del servicio firmado por los
interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los
roles y responsabilidades, incluyendo la revisión del acuerdo. Los puntos a
considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento,
niveles de soporte, planeación de continuidad, seguridad y restricciones de
demanda.
Asegurar que los acuerdos de niveles de operación expliquen cómo serán
entregados técnicamente los servicios para soportar los acuerdos de los niveles
pactados de manera óptima.
Monitorear continuamente los criterios de desempeño especificados para el nivel de
servicio.
Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un
formato que sea entendible para los interesados.
Analizar las estadísticas de monitoreo para identificar tendencias positivas y
negativas tanto de servicios individuales como de los servicios en conjunto.
Revisar regularmente con los proveedores internos y externos los acuerdos de
niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que
están actualizados y que se han tomado en cuenta los cambios en los
requerimientos.
INFORME DE AUDITORIA
78
6.3.2. Administrar servicios de terceros
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el
tipo de proveedor, la importancia y la criticidad.
Mantener documentación formal de las relaciones técnicas y organizacionales
incluyendo los roles y responsabilidades, metas, expectativas, entregables
esperados y credenciales de los representantes de estos proveedores.
Formalizar el proceso de administración de relaciones con proveedores por cada
uno de ellos.
Debe existir un responsable que coordine la relación entre los proveedores y los
usuarios para asegurar la calidad y la transparencia, por ejemplo, a través de
acuerdos de niveles de servicio.
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores
para mantener una efectiva entrega de servicios de forma segura y eficiente sobre
una base de continuidad.
Asegurar que los contratos están de acuerdo con los estándares del tema y de
conformidad con los requerimientos legales y regulatorios.
Establecer un proceso para monitorear la prestación del servicio para asegurar que
el proveedor está cumpliendo con los requerimientos actuales del organismo
apegándose de manera continua a los acuerdos del contrato y a los convenios de
niveles de servicio.
Verificar que el desempeño es competitivo respecto a los proveedores alternativos y
a las condiciones del mercado.
6.3.3. Administrar el desempeño y la capacidad
Establecer un proceso de planeación para la revisión del desempeño y la capacidad
de los recursos de TI, que asegure su disponibilidad, con costos justificables, para
procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de
nivel de servicio.
INFORME DE AUDITORIA
79
Revisar la capacidad y desempeño actual de los recursos de TI en intervalos
regulares para determinar si existe suficiente capacidad y desempeño para prestar
los servicios con base en los niveles de servicio acordados.
Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en
intervalos regulares para minimizar el riesgo de interrupciones del servicio
originadas por falta de capacidad o degradación del desempeño.
Identificar el exceso de capacidad para una posible redistribución.
Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que
serán parte de los planes de capacidad y de desempeño.
Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como
cargas de trabajo normales, contingencias, requerimientos de almacenamiento y
ciclos de vida de los recursos de TI.
La gerencia de TI debe garantizar que los planes de contingencia consideren de
forma apropiada la disponibilidad, capacidad y desempeño de los recursos
individuales de TI.
Monitorear continuamente el desempeño y la capacidad de los recursos de TI.
Mantener y poner a punto el desempeño actual dentro de TI y atender temas como
elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de
almacenamiento y adquisición de recursos.
Reportar al organismo la disponibilidad del servicio prestado como se requiere en
los acuerdos de nivel de servicio.
Acompañar todos los reportes de excepción con recomendaciones para llevar a
cabo acciones correctivas.
6.3.4. Garantizar la continuidad del servicio
Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios a
lo largo de todo el organismo. El objetivo de este marco es identificar las
debilidades en la infraestructura de TI, y guiar el desarrollo de los planes de
recuperación de desastres y de contingencias. Debe tomar en cuenta la estructura
INFORME DE AUDITORIA
80
del organismo, la cobertura de roles, las tareas y las responsabilidades de los
proveedores de servicios internos y externos, su administración y sus usuarios; así
como las reglas y estructuras para documentar, probar y ejecutar la recuperación de
desastres y los planes de contingencia de TI. El plan debe también considerar
puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la
disponibilidad de recursos críticos, el procesamiento alternativo y los principios de
respaldo y recuperación.
Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñados
para reducir el impacto de una interrupción mayor de las funciones y los procesos
clave del organismo. Estos deben considerar requerimientos de resistencia a los
incidentes, procesamiento alternativo, y capacidad de recuperación de todos los
servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de comunicación y el enfoque
de pruebas.
Centrar la atención en los puntos determinados como los más críticos en el plan de
continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de
recuperación.
Evitar las demoras para recuperar los puntos menos críticos y asegurar que la
respuesta y la recuperación están alineadas con las necesidades prioritarias del
organismo, verificando también que los costos se mantienen a un nivel aceptable y
se cumple con los requerimientos regulatorios y contractuales.
Considerar los requerimientos de resistencia, respuesta y recuperación para
diferentes niveles de prioridad.
La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios
para asegurar que el plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del organismo. Es esencial
que los cambios en los procedimientos y las responsabilidades sean comunicados
de forma clara y oportuna.
INFORME DE AUDITORIA
81
Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas
pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que
el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte
de los resultados de las pruebas y, de acuerdo con estos, la implementación de un
plan de acción.
Considerar el alcance de las pruebas de recuperación en aplicaciones individuales,
en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el o los proveedores que pudieran estar implicados.
Asegurar que todas las partes involucradas reciban capacitación de forma regular
respecto a los procesos, sus roles y responsabilidades en caso de incidente o
desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de
las pruebas de contingencia.
Determinar que existe una estrategia de distribución definida y administrada para
asegurar que los planes se distribuyan de manera apropiada y segura. Que estén
disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.
Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de
desastre.
Planear las acciones a tomar durante el período en que TI se está recuperando y
reanudando los servicios. Esto puede representar la activación de sitios de respaldo,
el inicio de procesamiento alternativo, la comunicación a usuarios y a los
interesados y realizar procedimientos de reanudación.
Asegurar que los responsables entienden los tiempos de recuperación de TI y las
inversiones necesarias en tecnología para soportar las necesidades de recuperación
y reanudación del servicio.
Almacenar fuera de las instalaciones todos los medios de respaldo, documentación
y otros recursos de TI críticos, necesarios para la recuperación de TI y para los
planes de continuidad.
INFORME DE AUDITORIA
82
El contenido de los respaldos a almacenar debe determinarse en conjunto entre los
responsables de los procesos sustantivos y el personal de TI.
La administración del sitio de almacenamiento externo a las instalaciones, debe
apegarse a la política de clasificación de datos y a las prácticas de almacenamiento
de datos del organismo.
La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean
evaluados periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad.
Asegurarse de la compatibilidad del hardware y del software para poder recuperar
los datos archivados.
Periódicamente probar y renovar los datos archivados.
Una vez lograda una exitosa reanudación de las funciones de TI después de un
desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar
lo adecuado del plan y actualizarlo en consecuencia.
La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados.
6.3.5. Garantizar la Seguridad de los Sistemas
Administrar la seguridad de TI al nivel más apropiado dentro del organismo, de
manera que las acciones de administración de la seguridad estén en línea con los
requerimientos del organismo.
Trasladar los requerimientos de información del organismo, la configuración de TI,
los planes de acción del riesgo de la información y la cultura sobre la seguridad en
la información a un plan global de seguridad de TI.
Implementar el plan global de seguridad de TI mediante políticas y procedimientos
de seguridad en conjunto con inversiones apropiadas en servicios, personal,
software y hardware.
Comunicar las políticas y procedimientos de seguridad a los interesados y a los
usuarios.
INFORME DE AUDITORIA
83
Todos los usuarios, internos, externos y temporales y su actividad en sistemas de TI
deben ser identificables de manera única. No utilizar usuarios genéricos.
Los derechos de acceso del usuario a sistemas y datos deben estar alineados con
necesidades de los procesos del organismo, definidos, documentados y con
requerimientos de trabajo.
Los derechos de acceso del usuario deben ser solicitados por su gerencia, aprobados
por el responsable del sistema e implementado por la persona responsable de la
seguridad.
Las identidades del usuario y los derechos de acceso deben mantenerse en un
repositorio central.
Se debe implementar, mantener y actualizadas medidas técnicas y procedimientos,
para establecer la identificación, realizar la autenticación y habilitar los derechos de
acceso de los usuarios.
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y
cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en
cuenta por el sector responsable de las cuentas de los usuarios.
Debe incluirse un procedimiento que describa al responsable de los datos o del
sistema para que otorgue los privilegios de acceso. Estos procedimientos deben
aplicar para todos los usuarios, incluyendo administradores (usuarios
privilegiados), usuarios externos e internos, para casos normales y de emergencia.
Los derechos y obligaciones relacionados al acceso a los sistemas e información del
organismo deben acordarse contractualmente y en forma fehaciente para todos los
tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las
cuentas y los privilegios asociados.
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada
de forma proactiva.
La seguridad en TI debe ser acreditada periódicamente para garantizar que se
mantiene el nivel de seguridad aprobado. Debe existir una función de ingreso al
INFORME DE AUDITORIA
84
sistema y de monitoreo que permita la detección oportuna de actividades inusuales
o anormales que pueden requerir atención.
Garantizar que las características de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de seguridad
sean atendidos de forma apropiada por medio del proceso de administración de
problemas o incidentes.
Incluir una descripción de lo que se considera un incidente de seguridad y su nivel
de impacto. Definir un número limitado de niveles de impacto para cada incidente,
e identificar las acciones específicas requeridas y las personas que necesitan ser
notificadas.
Garantizar que la tecnología importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentación de seguridad no se divulgue de
forma innecesaria.
Determinar que las políticas y procedimientos para organizar la generación,
cambio, revocación, destrucción, distribución, certificación, almacenamiento,
captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar su
protección contra modificaciones y divulgación no autorizadas.
Garantizar que se cuente con medidas de prevención, detección y corrección a lo
largo de toda la organización para proteger a los sistemas de información y a la
tecnología contra software malicioso.
Garantizar que se utilizan técnicas de seguridad y procedimientos de administración
asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes,
y detección de intrusos, para autorizar acceso y controlar los flujos de información
desde y hacia las redes.
Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a
través de una ruta o medio confiable con controles para brindar autenticidad de
contenido, prueba de envío y recepción, y no repudio del origen.
INFORME DE AUDITORIA
85
Deberá procurarse la protección de los datos sensibles, incluso frente a los
administradores de las bases de datos.
6.3.6. Identificar y asignar costos
Desarrollar un modelo orientado a los centros de costos.
Identificar todos los costos de TI para soportar un modelo de costos transparente.
Vincular los servicios de TI a los procesos del organismo de forma que cada
temática pueda identificar los niveles de costo de los servicios asociados.
Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido.
Analizar y reportar las variaciones entre los presupuestos y los costos actuales de
acuerdo con los sistemas de medición financiera del organismo.
Definir, con base en la característica del servicio, un modelo de costos que incluya
costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de montos
de reintegros por servicio.
Alinear el modelo de costos con los procedimientos de contabilización del
organismo.
El modelo de costos de TI debe garantizar que los cargos por servicios sean
identificables, medibles y predecibles por parte de los usuarios para propiciar el
adecuado uso de recursos.
Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los
servicios.
Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos
para mantener su relevancia para el tema en evolución y para las actividades de TI.
6.3.7. Educación y capacitación de los usuarios
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya:
Estrategias y requerimientos actuales y futuros del ente.
Valores corporativos (valores éticos, cultura de control y seguridad, etc.)
Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)
INFORME DE AUDITORIA
86
Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales
necesarias.
Formas de capacitación (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.
Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a
sus miembros, a los mecanismos de capacitación más eficientes.
Designar instructores y organizar el entrenamiento con tiempo suficiente.
Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la
relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y
valor. Los resultados de esta evaluación deben contribuir a la definición futura de
los planes de estudio y de las sesiones de entrenamiento.
6.3.8. Administrar la mesa de servicio y los incidentes
Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,
para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información.
Establecer procedimientos de monitoreo y escalamiento basados en los niveles de
servicio acordados, que permitan clasificar y priorizar cualquier problema
reportado como incidente, solicitud de servicio o solicitud de información.
Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios
y de los servicios de TI.
Establecer una función y sistema que permita el registro y rastreo de llamadas,
incidentes, solicitudes de servicio y necesidades de información. Debe trabajar
estrechamente con los procesos de administración de incidentes, administración de
problemas, administración de cambios, administración de capacidad y
administración de disponibilidad.
Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo
al equipo de administración de problemas apropiado y mantener informados a los
usuarios sobre el estado de sus consultas.
INFORME DE AUDITORIA
87
Establecer procedimientos de mesa de servicios de manera que los incidentes que
no puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es
adecuado, brindar soluciones alternas.
Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida
permanecen en la mesa de servicios, independientemente de qué grupo de TI esté
trabajando en las actividades de resolución.
Establecer procedimientos para el monitoreo puntual de la resolución de consultas
de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar
la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el
usuario.
Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia
medir el desempeño del servicio y los tiempos de respuesta, así como para
identificar tendencias de problemas recurrentes de manera que el servicio pueda
mejorarse de forma continua.
6.3.9. Administrar la configuración
Establecer una herramienta de soporte y un repositorio central que contenga toda la
información relevante sobre los elementos de configuración.
Monitorear y registrar todos los activos y sus cambios.
Mantener una línea base de los elementos de la configuración para todos los
sistemas y servicios como punto de comprobación al cual volver tras un cambio.
Establecer procedimientos para soportar la gestión que permitan seguir el rastro de
todos los cambios al repositorio de configuración.
Revisar periódicamente los datos de configuración para verificar y confirmar su
integridad actual e histórica.
Revisar periódicamente si el software instalado está de acuerdo con la política de
uso de software para identificar software personal o no licenciado o cualquier otra
instancia de software en exceso del contrato de licenciamiento actual.
INFORME DE AUDITORIA
88
Reportar, actuar y corregir errores y desviaciones.
6.3.10. Administración de problemas
Garantizar una adecuada administración de problemas e incidentes.
Implementar procesos para reportar y clasificar problemas que han sido
identificados como parte de la administración de incidentes.
Categorizar los problemas de manera apropiada en grupos o dominios relacionados
(por ejemplo, hardware, software, software de soporte). Estos grupos pueden
coincidir con las responsabilidades organizacionales o con los grupos de usuarios y
son la base para asignar los problemas al personal de soporte.
El sistema de administración de problemas debe mantener pistas de auditoría
adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los
problemas reportados considerando:
o Todos los elementos de configuración asociados.
o Problemas e incidentes sobresalientes.
o Errores conocidos y probables.
o Seguimiento de las tendencias de los problemas.
Identificar e iniciar soluciones sostenibles indicando la causa raíz.
Disponer de un procedimiento para cerrar registros de problemas ya sea después de
confirmar la eliminación exitosa del error conocido o después de acordar con el
responsable del tema cómo manejar el problema de manera alternativa.
6.3.11. Administración de datos
Establecer mecanismos para garantizar que el proceso reciba los documentos
originales correctos, que se procese toda la información recibida, que se preparen y
entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y
reproceso estén soportadas.
Definir e implementar procedimientos para el archivo y almacenamiento de los
datos, de manera tal que estos permanezcan accesibles y utilizables.
INFORME DE AUDITORIA
89
Definir e implementar procedimientos para mantener un inventario de medios de
almacenamiento en sitio y garantizar su integridad y su uso.
Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y
al software desde equipos o medios una vez que son eliminados o transferidos para
otro uso.
Definir e implementar procedimientos de respaldo y restauración de los sistemas,
datos y configuraciones que estén alineados con los requerimientos de la misión y
con el plan de continuidad.
Verificar el cumplimiento de los procedimientos de respaldo y verificar la
capacidad y el tiempo requerido para tener una restauración completa y exitosa.
Probar los medios de respaldo y el proceso de restauración.
Establecer mecanismos para identificar y aplicar requerimientos de seguridad
aplicables a la recepción, procesamiento, almacenamiento físico y entrega de
información y de mensajes sensitivos que incluyen registros físicos, transmisiones
de datos y cualquier información almacenada fuera del sitio.
6.3.12. Administración de instalaciones
Definir y seleccionar los centros de datos físicos para los equipos de TI que
soportan la estrategia de tecnología ligada a la estrategia del organismo. Debe
tomar en cuenta el riesgo asociado con desastres naturales y causados por el
hombre, considerando las leyes y regulaciones correspondientes.
Definir e implementar medidas de seguridad físicas alineadas con los
requerimientos del ente.
Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte
y de resolución de incidentes de seguridad física.
Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y
revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del
organismo, incluyendo las emergencias.
INFORME DE AUDITORIA
90
Diseñar e implementar medidas de protección contra factores ambientales. Deben
instalarse dispositivos y equipo especializado para monitorear y controlar el
ambiente.
Administrar las instalaciones, incluyendo el equipo de comunicaciones y de
suministro de energía, de acuerdo con las leyes y los reglamentos, los
requerimientos técnicos, las especificaciones del proveedor y los lineamientos de
seguridad y salud.
Disponer un sitio alternativo de procesamiento.
Llevar control de las visitas en los centros de procesamiento.
Incorporar a un plan de contingencia los procedimientos que mitiguen los daños
que puedan presentarse en situaciones de exposición al riesgo.
6.3.13. Administración de operaciones
Definir, implementar y mantener procedimientos estándar para operaciones de TI y
garantizar que el personal de operaciones está familiarizado con todas las tareas de
operación relativas a ellos.
Organizar la programación de trabajos, procesos y tareas en la secuencia más
eficiente, maximizando el desempeño y la utilización para cumplir con los
requerimientos del tema.
Implementar procedimientos para identificar, investigar y aprobar las salidas de los
programas estándar establecidos.
Definir e implementar procedimientos para monitorear la infraestructura de TI y los
eventos relacionados.
Garantizar que en los registros de operación se almacena suficiente información
cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de
tiempo de las operaciones y de las otras actividades que soportan o que están
vinculadas a estas.
INFORME DE AUDITORIA
91
Establecer resguardos físicos, prácticas de registro y administración de inventarios
adecuados sobre los activos de TI más sensitivos tales como formularios,
impresoras de uso especial o dispositivos de seguridad.
Definir e implementar procedimientos para garantizar el mantenimiento oportuno
de la infraestructura para reducir la frecuencia y el impacto de las fallas o
disminución del desempeño.
6.4. MONITOREAR Y EVALUAR
6.4.1. Monitorear y evaluar el desempeño de TI
Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que
abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el
proceso a seguir para medir la solución y la entrega de servicios de TI. Monitorear
la contribución de TI a los objetivos estratégicos del organismo. Integrar el marco
de trabajo con el sistema de administración del desempeño del organismo.
Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias
para definir un conjunto de objetivos de desempeño. Definir referencias con las que
comparar los objetivos, e identificar datos disponibles a recolectar para medirlos.
Se deben establecer procesos para recolectar información oportuna y precisa para
reportar el avance contra las metas.
Método de monitoreo. Implantar un método de monitoreo que brinde una visión
sucinta y completa del desempeño de TI, acorde al sistema de monitoreo del
organismo.
Evaluación del desempeño. Comparar en forma periódica el desempeño contra las
metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver
las causas subyacentes cuando hay desvíos.
Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos
para ser revisados por la alta dirección sobre el avance del organismo hacia metas
identificadas, específicamente en términos del desempeño. Éstos deben incluir el
INFORME DE AUDITORIA
92
grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos,
las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se
debe identificar cualquier desviación respecto al desempeño esperado e iniciar y
reportar las medidas de administración adecuadas.
Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el
monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de
todo el monitoreo, de los reportes y de las evaluaciones con:
o Revisión, negociación y establecimiento de respuestas de administración.
o Asignación de responsabilidades por la corrección.
o Rastreo de los resultados de las acciones comprometidas.
6.4.2. Monitorear y evaluar el control interno
Monitoreo del marco de trabajo de control interno. Monitorear de forma continua,
comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de
TI para satisfacer los objetivos del organismo.
Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión
de la gerencia de TI.
Identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.
Control de auto-evaluación. Evaluar la completitud y efectividad de los controles
de gerencia sobre los procesos, políticas y contratos de TI por medio de un
programa continuo de auto-evaluación.
Aseguramiento del control interno. Obtener, según sea necesario, aseguramiento
adicional de la completitud y efectividad de los controles internos por medio de
revisiones de terceros.
Control interno para terceros. Evaluar el estado de los controles internos de los
proveedores de servicios externos. Confirmar que los proveedores de servicios
INFORME DE AUDITORIA
93
externos cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales.
Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones
correctivas derivadas de los controles de evaluación y los informes.
6.4.3. Garantizar el cumplimiento con requerimientos externos
Identificar los requerimientos de las leyes, regulaciones y cumplimientos
contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros
requerimientos externos que se deben de cumplir para incorporar en las políticas,
estándares, procedimientos y metodologías de TI del organismo.
Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas,
estándares, procedimientos y metodologías de TI para garantizar que los requisitos
legales, regulatorios y contractuales son direccionados y comunicados.
Evaluación del cumplimiento con requerimientos externos. Confirmar el
cumplimiento de políticas, estándares, procedimientos y metodologías de TI con
requerimientos legales y regulatorios.
Aseguramiento positivo del cumplimiento. Obtener y reportar garantía de
cumplimiento y adhesión a todas las políticas internas derivadas de directivas
internas o requerimientos legales externos, regulatorios o contractuales,
confirmando que se ha tomado cualquier acción correctiva para resolver cualquier
brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.
Reportes integrados. Integrar los reportes de TI sobre requerimientos legales,
regulatorios y contractuales con documentos similares provenientes de otras
funciones del organismo.
6.4.4. Proporcionar gobierno de TI
Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el
marco de gobierno de TI con la visión completa del entorno de control y Gobierno
Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo de
control. Proporcionar la rendición de cuentas y prácticas inequívocas para evitar la
INFORME DE AUDITORIA
94
pérdida del control interno. Confirmar que el marco de gobierno de TI asegura el
cumplimiento de las leyes y regulaciones y que está alineado a la estrategia y
objetivos del organismo. Informar del estado y cuestiones de gobierno de TI.
Alineamiento estratégico. Facilitar el entendimiento de la alta gerencia sobre temas
estratégicos de TI tales como el rol de TI, características propias y capacidades de
la tecnología. Garantizar que existe un entendimiento compartido entre las altas
gerencias y la función de TI sobre la contribución potencial de TI a los objetivos
estratégicos del organismo. Trabajar con el consejo directivo para definir e
implementar organismos de gobierno, tales como un comité estratégico de TI, para
brindar una orientación a la gerencia respecto a TI, garantizando así que tanto la
estrategia como los objetivos se distribuyan hacia las unidades operativas y hacia
las unidades de TI.
Entrega de valor. Administrar los programas de inversión con TI, así como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para
apoyar la estrategia y los objetivos del organismo. Asegurarse de que los resultados
esperados de las inversiones habilitadas por TI y el alcance completo del esfuerzo
requerido para lograr esos resultados esté bien entendido, que se generen
situaciones en base a casos reales, integrales y consistentes, y que los aprueben los
interesados, que los activos y las inversiones se administren a lo largo del ciclo de
vida económico, y que se lleve a cabo una administración activa del logro de los
beneficios, tales como la contribución a nuevos servicios, ganancias de eficiencia y
un mejor grado de reacción a los requerimientos. Implementar un enfoque
disciplinado de la administración de los programas de inversión.
Administración de recursos. Revisar inversión, uso y asignación de los activos de
TI por medio de evaluaciones periódicas de las iniciativas y operaciones para
asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los
imperativos actuales y futuros.
Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de
riesgo de TI aceptable por el organismo y obtener garantía razonable que las
INFORME DE AUDITORIA
95
prácticas de administración de riesgos de TI son apropiadas para asegurar que el
riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las
responsabilidades de administración de riesgos en el organismo, asegurando que el
desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados
con TI y su impacto y que la posición de los riesgos de TI del organismo es
entendida por los interesados.
Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o
excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde
los objetivos confirmados no se han alcanzado o el progreso no es el esperado,
revisar las acciones correctivas. Informar a dirección los grupos de proyectos
relevantes, programas y desempeños de TI, soportados por informes para permitir a
la alta dirección revisar el progreso de la empresa hacia las metas identificadas.
Aseguramiento independiente. Garantizar de forma independiente (interna o
externa) la conformidad de TI con la legislación y regulación relevante; las
políticas del organismo, estándares y procedimientos; prácticas generalmente
aceptadas; y la efectividad y eficiencia del desempeño de TI.
B. RECOMENDACIONES SOBRE LA EVALUACIÓN DE LAS APLICACIONES
METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS
Proceso Informático Meteorológico
Evaluar una reingeniería tecnológica y funcional de todos los procesos, hacer un
relevamiento de los activos de la TI de cada estación y mejorar los señalamientos, a fin de
reducir riesgos y proveer un mejor servicio.
1. Sitio Web
Mejorar las debilidades señaladas así como evaluar, seleccionar, implementar e
incorporar procedimientos de verificación periódica del portal respecto a mejores
prácticas de sitios meteorológicos internacionales y mejores prácticas en el diseño de
sitios web (como la W3C).
INFORME DE AUDITORIA
96
7. CONCLUSIONES
El principal activo de esta organización es la información que por la falta de controles está
expuesta a riesgos que exceden los valores normales. Se deben implementar medidas para
solucionar estos inconvenientes.
Una vez realizada la captura de los datos meteorológicos, y su posterior procesamiento, se
elaboran informes que son de vital importancia en el desarrollo de la vida humana.
El organismo adolece de planes, políticas y procedimientos formales de TI.
El área de TI se encuentra organizacionalmente, en un lugar inadecuado de la estructura, ya
que depende de un área usuaria. Asimismo, debe estar reposicionada jerárquicamente para
permitirle llevar a cabo una gestión centralizada desde donde pueda definir e implementar
políticas y procedimientos de manera transversal, referidos al tratamiento de la
información.
Como consecuencia de esto, existe personal e infraestructura de TI, en áreas usuarias, que
no dependen del área de informática, y que llevan a cabo tanto sus propios desarrollos
como el mantenimiento de aplicaciones, y manejo resguardo de datos, sin seguir políticas
y procedimientos definidos por el área de TI de la organización.
Lo expresado anteriormente, provoca incumplimientos en las normas referidas al TI que
rigen al Estado Público Nacional y debilidades en seguridad informática.
Cuestiones tales como la existencia de contratos con proveedores de servicios en situación
de legítimo abono, aplicaciones de los que no disponen de los programas fuente, ausencia
de controles internos, un plan de contingencia formalizado, procedimientos de respaldo de
información, un sitio alternativo de procesamiento, políticas y procedimientos de
seguridad, entre otros, ponen en riesgo el suministro oportuno de la información que el
organismo debe proveer.
Los responsables del organismo deben fijar normativas para disminuir los riesgos para la
consecución de un entorno de control adecuado.
Los índices de madurez correspondientes a la TI del organismo se encuentran mayormente
en inicial. (Ver anexo I).
INFORME DE AUDITORIA
97
Respecto al proceso informático meteorológico que finaliza con la exposición de sus
resultados en el sitio web institucional, se debe planificar un rediseño funcional y
tecnológico que incluya una revisión de todas las aplicaciones intervinientes dado que las
existentes generan riesgos altos en los procesos críticos del organismo.
8. LUGAR Y FECHA
BUENOS AIRES, Septiembre de 2013.
9. FIRMA
INFORME DE AUDITORIA
98
ANEXO I
Niveles del Modelo Genérico de Madurez
0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que
existe un tema a ser tenido en cuenta.
1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin
embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser
aplicadas sobre una base individual o caso por caso. La administración aparece como
desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos
similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay
entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es
asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los
individuos y los errores son probables.
3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir
con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos
en sí mismos no son sofisticados, pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos
están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de
automatización es limitado o fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a
los resultados de la mejora continua y de la movilización con otros organismos. La TI es
usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para
mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los
cambios.
INFORME DE AUDITORIA
99
ANEXO II
Gráficos de brecha para los niveles de madurez de los objetivos de control
considerados.
INFORME DE AUDITORIA
100
INFORME DE AUDITORIA
101
INFORME DE AUDITORIA
102
INFORME DE AUDITORIA
103
ANEXO III
Estimación de los Niveles de Riesgo para los requerimientos de la información según
los procesos informáticos considerados
Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la
gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos
dependen en forma creciente de los sistemas de tecnología de la información, un ambiente
donde también aumentan las noticias sobre fraudes y desastres informáticos. En la
actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento
esencial de la administración del Estado Nacional.
En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se
corresponde con un proceso de tecnología informática.
Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la
información dentro de un organismo para permitirle cumplir con sus misiones y funciones:
Eficacia: Que la información sea relevante y pertinente para la misión del ente, así
como a que su entrega sea oportuna, correcta, consistente y utilizable.
Eficiencia: La provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
Confidencialidad: La protección de información sensible contra divulgación no
autorizada.
Integridad: La precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del organismo.
INFORME DE AUDITORIA
104
Disponibilidad: La disponibilidad de la información cuando ésta es requerida para
cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el organismo está sujeto.
Confiabilidad: La provisión de información apropiada a la administración para
operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en
forma primaria y secundaria por el objetivo de control (ver tabla).
El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un
Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo
controlar las mejoras futuras en forma explícita.
Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de
que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0
representa la situación más segura y 1 la más insegura).
El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al
impacto (definido como el peligro de incumplimiento de las misiones y funciones del
organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de
ocurrencia del evento.
Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo
(33%).
La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se
realiza, y este es evaluado en el informe a través del nivel alcanzado según el modelo de
madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle:
INFORME DE AUDITORIA
105
INFORME DE AUDITORIA
106
Tabla
INFORME DE AUDITORIA
107
ANEXO IV
Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información
para los 34 objetivos de control considerados y su promedio general.
INFORME DE AUDITORIA
108
INFORME DE AUDITORIA
109
INFORME DE AUDITORIA
110
INFORME DE AUDITORIA
111
INFORME DE AUDITORIA
112
INFORME DE AUDITORIA
113
INFORME DE AUDITORIA
114
ANEXO V – EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y
LOS SERVICIOS DE TI ASOCIADOS
INFORME DE AUDITORIA
115
Diagrama de flujo mediante modelo numérico, generando pronósticos
Flujo de mensajes aeronáuticos
INFORME DE AUDITORIA
116
ANEXO VI – RESPUESTA DEL ORGANISMO
INFORME DE AUDITORIA
117
top related