BUENOS AIRES, SEÑOR SECRETARIO DE HACIENDA DEL MINISTERIO DE ECONOMIA Lic. Jorge E. SARGHINI S. / D. Tengo el agrado de dirigirme a Ud., con la finalidad de hacerle llegar copia autenticada del informe referido a la “Evaluación de la arquitectura de la información SIDIF Central”. Saludo a Ud. atentamente. AUDITORIA GENERAL DE LA NACION GERENCIA DE PLANIFICACION Y PROYECTOS ESPECIALES Dr. Felipe Pizzuto DEPARTAMENTO DE AUDITORIA INFORMATICA Y SISTEMAS Equipo de Trabajo Coordinador: Ing. Ernesto Casin Auditores: Lic. César Gómez Saravia Ing. Mercedes Pérez Lic. Carlos Terrones Byrne Objeto de Auditoria : Evaluación de la arquitectura de la información del Sistema Integrado de Información Financiera (SIDIF) en la Secretaria de Hacienda de la Nación. INDICE 1. OBJETO DE LA AUDITORIA. 4 2. ALCANCE DEL EXAMEN. 4 2.1 Relevamiento de la siguiente documentación 5 2.2 Entrevistas realizadas 6 2.3 Evidencias 7 3. ACLARACIONES PREVIAS 7 3.1 Introducción 7 3.2 Antecedentes 8 3.2.1 Area de Comunicaciones y Microinformática 9 3.2.2 Area soporte técnico y operaciones 10 3.2.3 Continuidad del servicio 14 3.2.4 Control de Calidad 15 4. OBSERVACIONES Y COMENTARIOS. 15 4.1 Objetivo de Control: Modelo de la Arquitectura de Información 16 4.2 Objetivo de Control: Niveles de Seguridad 18 4.3 Objetivo de Control: Plan General de Calidad 20 4.4 Objetivo de Control: Actualización de la Metodología del Ciclo de Vida de Desarrollo de Sistemas 22 4.5 Objetivo de Control: Estándares para la Documentación 23 4.6 Objetivo de Control: Inicio y Control de Solicitudes de Cambio 24 4.7 Objetivo de Control: Control de Cambios 25 2 4.8 Objetivo de Control: Documentación y Procedimientos 26 4.9 Objetivo de Control: Responsabilidad por la Seguridad Lógica y Física 27 4.10 Objetivo de Control: Cumplimiento de Políticas, Procedimientos y Estándares 28 4.11 Objetivo de Control: Funciones y Responsabilidades 30 4.12 Objetivo de Control: Segregación de Funciones 31 4.13 Objetivo de Control: Administrar Medidas de Seguridad 33 4.14 Objetivo de Control: Identificación, Autenticación y Acceso 34 4.15 Objetivo de Control: Administración de Cuentas de Usuarios 37 4.16 Objetivo de Control: Respaldo y Restauración 40 4.17 Objetivo de Control: Seguridad del Software del Sistema 42 4.18 Objetivo de Control: Seguridad de Acceso a Datos en Línea 43 4.19 Objetivo de Control: Arquitectura de Protección y redes 44 4.20 Objetivo de Control: Plan de continuidad de TI 45 4.21 Objetivo de Control: Contratación de servicios a proveedores externos “Oracle Arg. S.A” 46 4.22 Objetivo de control : Seguridad Física 47 4.23 Objetivo de control : Escolta de Visitantes 48 4.24 Objetivo de control Salud y Seguridad del Personal 49 4.25 Objetivo de control Protección contra Factores Ambientales 50 4.26 Objetivo de control : Suministro Ininterrumpido de Energía (UPS). 62 5. CONCLUSIONES. 62 6. LUGAR Y FECHA DE LA EMISION DEL INFORME: 64 3 INFORME DE AUDITORIA Al Sr. Secretario de Hacienda del Ministerio de Economía En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORIA GENERAL DE LA NACION (AGN) procedió a efectuar un examen en el ámbito de la SECRETARIA DE HACIENDA, con el objeto que se detalla en el apartado 1. 1. OBJETO DE LA AUDITORIA. Evaluación de la arquitectura de la información del Sistema Integrado de Información Financiera (SIDIF) en la Secretaria de Hacienda de la Nación. 2. ALCANCE DEL EXAMEN. El examen fue realizado de conformidad con normas de auditoría externa de la AUDITORIA GENERAL DE LA NACION, aprobadas por la Resolución Nº 145/93, dictadas en virtud de las facultades conferidas por el articulo 119, Inciso d) de la Ley 24.156. La presente evaluación tiene en cuenta el informe anterior practicado por AGN sobre “Evaluar la estructura organizativa y documental del Sistema Integrado de Información Financiera (SIDIF) en la Secretaría de Hacienda de la Nación entre el período 1996-2000”. El análisis comprende los controles técnico-informáticos relativos a la gestión de la arquitectura de información del SIDIF. La misma se ha limitado a la evaluación de controles para la administración de la base de datos de producción del SIDIF y su entorno tecnológico: servidores y dispositivos de comunicaciones empleados para la actualización de los datos de la base. La revisión de esta auditoría excluye: Controles sobre la validez del diseño de los objetos de la base adoptadas por SIDIF. Evaluación de controles sobre otros servidores y dispositivos de enlace no conectados directamente con la base de producción. 4 2.1 Relevamiento de la siguiente documentación q Notas e información § 16/02/2002 solicitud de auditorias a la Dirección de Auditoria de Sistemas –CGN-. § 21/02/2002 solicitud de información a la Dirección Técnica Operativa -Ministerio de Economía§ 25/02/2002 solicitud de espacio físico- UI-. § 19/03/202 solicitud Dirección Obligaciones del Tesoro -cumplimiento de cuestionario§ 25/04/2002 solicitud de archivos de configuración de diversos servidores de comunicaciones y producción del SIDIF y listados de usuarios a la UI. § 8/05/2002 solicitud al Sr. Subsecretario del Presupuesto –Sec. De Hacienda§ 13/05/2002 solicitud a la Dirección de Compras y Contrataciones –Sec. De Hacienda§ Planos técnicos de la infraestructura informática de la UI § Nómina de servidores y tecnología de la UI § Ley 24.156 § Disposición 17 de la “Procedimiento para altas, bajas y modificación de usuarios de SIDIF” CGN § Intranet del MECON http://uninet/ y mecon.gov.ar q Documentos entregados por la Coordinación de Higiene y Seguridad en el Trabajo Dirección Gral de Recursos Humanos –MECON. § Resolución N° 6/98 del 2/03/98 “Capacitación en riesgos laborales” § Registro Nacional Unico de Graduados Universitarios en Higiene y Seguridad en el Trabajo (R.U.G.U.). § Planes de Mejoras. § Planillas de medición de niveles de iluminación. § Planilla de Relevamiento de Protección Contra Incendio. 5 § Informe de Estado de los edificios. q Documentos entregados por la Coordinación del Area de Mantenimiento § Esquema ubicación de las jabalinas. Valores de Resistencias Obtenidos. § Prórroga del contrato por el servicio de Mantenimiento de Equipos de lucha contra incendio para el Centro de Cómputos de la Secretaría de Hacienda. q Copia de documentos Dirección de Compras y Contrataciones –MECON§ Mantenimiento del Aire Acondicionado – Mantenimiento preventivo y correctivo del sistema de climatización de los Centros de Cómputos. § Hewlett- Packard Arg. S.A y Oracle Arg. S.A q Información y Documentación requerida mediante notas § Nota 19/03/02 Dirección De Obligaciones del Tesoro - Cuestionarios N° 1 y 2 .- MECON. q Correos electrónicos. 2.2 Entrevistas realizadas § Coordinador General de la Unidad Informática § Subcoordinadora General de la Unidad Informática § Responsable del área Comunicaciones y Microinformática § Personal área Comunicaciones y Microinformática § Responsable del área Soporte Técnico y Operaciones § Personal del área Soporte Técnico y Operaciones § Responsable del área de Ingeniería § Responsable del área de Desarrollo de Sistemas § Director de Normas y Sistemas –CGN- § Coordinara de Higiene y Seguridad en Trabajo. –MECON6 § Coordinador del Area de Mantenimiento –MECON- Las tareas de campo se realizaron principalmente en el ámbito de la Unidad Informática en el periodo diciembre 2001 a Mayo 2002. 2.3 Evidencias Las entrevistas se desarrollaron en base a guías preparadas al efecto por cada tema y objetivos de control evaluados. Durante las mismas también se desarrollaron pruebas digitales y físicas y obtención de información digital de respaldo. Las pruebas digitales se desarrollaron conjuntamente con el responsable contando como acceso la máquina PC del mismo y los derechos del mismo. Las pruebas físicas se realizaron mediante inspección personal con obtención de fotografías donde se consideró relevante. Información adicional requerida se obtuvo mediante correos electrónicos oficiales con los administradores de los sistemas operativos y de la base de datos así como con los responsables de áreas de la UI. 3. ACLARACIONES PREVIAS La Secretaria de Hacienda fue puesta en conocimiento del presente informe y no ha formulado descargo respecto del mismo. 3.1 Introducción El Sistema Integrado de Administración Financiera –SIDIF– se ha desarrollado e implementado a partir de la vigencia de la Ley de Administración Financiera y Sistemas de Control del Sector Público Nacional en 1992. El objeto es el de proveer la gestión integrada del presupuesto nacional desde cada uno de los Centros de Registro –SAF– que lo integran y producir los estados contables vinculados a la contabilidad presupuestaria y patrimonial del Estado Nacional. 7 Los órganos que regulan los servicios que debe proveer el sistema son: la Oficina Nacional de Presupuesto, la Contaduría General de la Nación y la Tesorería General de la Nación. El sistema se compone de los módulos de Presupuesto, Contabilidad y Tesorería que interactúan a través de programas con una base de datos central la cual aloja las transacciones validadas. Las transacciones remotas (provenientes de más de 100 organismos) son remitidas para su actualización en la base a través de un programa específico de comunicaciones (Transaf) y una red que involucran líneas punto a punto, módems, ruteadores (routers) y servidores de comunicaciones. Los centros de registro del Ministerio de Economía se comunican a través de la red local del Ministerio de Economía. Los organismos disponen de sistemas contables y presupuestarios locales – en sus versiones CONPRE, SLU, SIDIF local provistos por UI, otros que desarrollaron algunos organismos o bien sistemas contratados a terceros – todos ellos, preparados para realizar la comunicación con SIDIF. 3.2 Antecedentes La Ley 24.156 en sus disposiciones generales indica “Desarrollar sistemas que proporcionen información oportuna y confiable sobre el comportamiento financiero del sector público nacional útil para la dirección de las jurisdicciones y entidades y para evaluar la gestión de los responsables de cada una de las áreas administrativas”. La Unidad Informática es la encargada del desarrollo y mantenimiento informático del SIDIF (sistema integrado de información financiera) según Disp. Nro.58/96 de la Contaduría General 8 de la Nación. Asimismo se encarga de la administración de los servidores y dispositivos de comunicaciones, base de datos, sus relaciones, seguridad, tecnología y continuidad del servicio. 3.2.1 Area de Comunicaciones y Microinformática Entre sus tareas principales establece y mantiene los vínculos de comunicaciones entre los SAF y la UI así como las transferencias bidireccionales de datos. La UI mantiene la administración de los servidores de comunicaciones y dispositivos activos de red tales cómo ruteadores (routers) y switches. Cada SAF (Servicio de Administración Financiera) y a través de su versión local de sistema contable (OD, AC, Conpre u otros) trasmite sus transacciones por medio de a) vía telefónica (módem), b) líneas punto a punto c) red propia del Ministerio de Economía al SIDIF Central. Dichas transacciones utilizan el sistema de transferencia de Datos Transaf desarrollado entre los años 1993-1997. A la fecha existen tres versiones en uso, a) Transaf 94 con comunicación vía Módem. Actualmente 65 SAF aproximadamente trabajan en esta modalidad, b) Transaf local con plataforma Unix mediante líneas punto a punto y con administración automática c) Transaf NG nueva generación mediante un esquema de comunicación similar al anterior. A tales efectos, esta área administra varios servidores críticos de comunicaciones con servicios de protección contra intrusiones a la red de UI (Ver. Anexo I). El sistema Transaf Central instalado en un servidor Hewlett Packard 9000 con procesador de tecnología RISC tiene la tarea de concentrar, recibir o enviar toda la información a cada uno de los SAF. 9 Otro servidor Central de Tráfico de línea Intel Data General y con sistema operativo del tipo Unix atiende el 100% del tráfico entrante o saliente entre la red de economía, los SAF y la red de la UI. (Ver Anexo I). Su función es utilizada para controlar el tráfico de información y permitir solamente el paso de comunicaciones autorizadas provenientes de cada SAF. Esta función se cumple ejerciendo la protección contra intrusiones y ocultando al exterior la red interna de la UI (firewall/proxy). Con similares características otro servidor actúa entre la red de economía y la red de la UI (Ver Anexo I). Se utiliza un programa de seguridad para el ingreso al sistema encriptando contraseñas y cuentas. Se han realizado algunos avances en la seguridad de las comunicaciones, encriptando principalmente los paquetes de información trasmitidos con algunos SAF. En relación a los SAF se estaría evaluando esta modalidad para utilizarla en todas las sesiones. A la fecha se ha implementado solamente en la conexión SAF -Instituto Geográfico Militar-. Para ciertas tareas el personal técnico accede directamente a la red de la UI y a los servidores de producción -vía módem- desde fuera del edificio del Ministerio de Economía. Dicha tarea es efectuada cuando están de guardia para mantenimiento en sus respectivos domicilios particulares. A la fecha el personal técnico se compone de 7 personas contratadas bajo modalidad contractual Decreto 92/95 incluyendo al responsable del sector. 3.2.2 Area soporte técnico y operaciones Esta área administra a fecha de relevamiento 29 servidores, entre otros, el servidor de producción del SIDIF Central equipo marca y modelo RISC Hewlett Packard con HP-UNIX serie 9000. 10 La UI cuenta con una red y dominio interno administrado con un servidor Windows NT PDC Cuentas de Usuarios de la red UI e instalado a modo seguro. Su función es administrar todas las cuentas de los usuarios de la red de la UI, este servidor tiene otro servidor de resguardo con una copia de todos los usuarios declarados en el dominio. En otros dos servidores se encuentran instalados el sistema aplicativo del nuevo sistema gráfico SIDIF. Estos servidores poseen un programa administrador de aplicaciones que reparte la carga operativa entre ellos de manera de ir priorizando al equipo con menor trabajo para ejecutar la aplicación y mejorar de esta manera la performance del conjunto. Existen además otros servidores para desarrollo y testeo de los SIDIF locales AC y OD, con sistema operativo Unix y Windows NT utilizados el la re-ingeniería del SIDIF gráfico Estos equipos fueron adquiridos y actualizados durante varios años con los créditos internacionales del BID 826/OC. A la fecha el sistema aplicativo SIDIF Central presenta dos entornos de operación, por un lado el modo carácter y por el otro el modo gráfico utilizando la misma base de datos central, estando actualmente en un proceso de re-ingenería funcional (incorporación de nuevos aspectos temáticos) y tecnológica (migración al entorno gráfico). Para el ingreso al SIDIF deben cumplir los siguientes pasos a) Si es SIDIF carácter se debe estar declarado como usuario en el Unix de HP del servidor producción SIDIF. b) Si es SIDIF gráfico en el Windows NT del servidor Cuentas de Usuarios UI. c) En ambos caso deben tener roles y permisos definidos sobre la Base de datos Oracle. 11 Entorno Carácter Fig. 1 Entorno Gráfico Sistema Operativo Unix Sistema Operativo Windows NT Autenticación Autenticación BASE DE DATOS SIDIF El servidor producción del SIDIF cuenta con 859 usuarios declarados en Unix de los cuales 309 están habilitados y 550 están deshabilitados. Existe una política de administración de contraseñas, incorporada a nivel de Unix, para este servidor. El personal técnico de dicha área administra los servidores y -en particular las cuentas de usuarios- de la red interna de la UI y la base de datos ORACLE del SIDIF. A tal efecto el procedimiento utilizado es el dispuesto por la Disp. Nro.17 de la CGN indicando las tareas de altas, bajas, modificación y rehabilitación de accesos de usuarios a SIDIF (modo carácter o el nuevo entorno gráfico). La UI dispuso que cierto personal de las áreas desarrollo, soporte técnico y comunicaciones puedan entrar a la red interna por módem. Esta modalidad permite ingresar desde afuera del 12 edificio del Ministerio de Economía y se usa a los efectos de permitir realizar trabajos en días y horas fuera de la jornada laboral. A su cargo, tiene también, la administración de la seguridad física del CPD -centro de procesamiento de datos- ubicado dentro del Ministerio de Economía que dispone de los servidores de producción. También administra los servidores ubicados en un edificio contiguo perteneciente a la AFIP en modo remoto y sin personal asignado en forma permanente. En este sitio se disponen de dos servidores de desarrollo (SIDIF local y gerencial) y otro para la intranet de la UI. Esta seguridad física comprende la protección y aseguramiento de los activos (servidores, equipos dispositivos, etc) pertenecientes al sector y que son vital importancia para el normal funcionamiento del SIDIF. El CPD cuenta con tres locales: la sala de servidores, el taller de reparaciones y la sala de computadoras (ver ANEXO II). Las paredes de cerramiento del CPD son de mampostería, de las cuatro paredes donde se encuentra el recinto, dos limitan a zonas de vías de tránsito interno (pasillos). Ambas paredes perimetrales poseen vidrios revestidos con un material -film Heidy- que impide que los locales internos se observen desde el exterior. La tercera pared linda con la sala de reuniones. La cuarta pared limita, una parte con la caja de los ascensores y la otra con un aire – luz. La parte que linda con el aire – luz posee ventanas. Las divisiones interiores del CPD son de vidrio. El CPD posee dos puertas. Una ubicada (Puerta 1) en la sala de computadoras, lugar por donde habitualmente se ingresa y egresa. La otra puerta (Puerta 2) que se podría usar como salida de emergencia se encuentra en el taller de reparaciones. Dicha puerta está obstruida internamente. 13 Los locales poseen equipos de aire acondicionado. En la sala de servidores se encuentra el tablero eléctrico. Desde allí se realiza el corte de energía eléctrica del CPD. En este local también se encuentra un equipo que controla la humedad y la temperatura del ambiente. En ambas puertas se encuentran controles de los sistemas de acceso y de los sistemas de protección contra incendios. Los tres locales poseen un Sistema de Detección. En el local del servidor y el taller de reparaciones se encuentra instalado un Sistema Fijo de Extinción. El agente extintor de este Sistema es el gas FM-200. Las tareas de copias de resguardo del servidor producción del SIDIF se efectúan en horario nocturno a la 1:00 hs. utilizándose para ello un total de 11 cintas. El procedimiento definido por la UI y publicado en la UNINET (Intranet de la Unidad Informática) para resguardo de la Base de Datos SIDIF central -unos 43 Giga bytes aprox.utiliza una orden del sistema operativo Unix tomando una cinta de 4mm distinta por cada día y durante cuatro semanas, otra cinta por cada día de fin de mes durante los últimos 4 meses y otra por cada último día de cada año. El sistema de almacenamiento de memoria del servidor está compuesto por 20 discos de 9 Giga bytes cada uno con tecnología de almacenamiento redundante para prevenir la falla de alguno de ellos. Las tareas de operación y mantenimiento las realizan siete personas, incluyendo al responsable. 3.2.3 Continuidad del servicio Existe un contrato anual de mantenimiento del hardware y actualización del sistema operativo con la firma Hewlett - Packard Arg. S.A. por un total mensual de $ 14.731,78. La cobertura del mismo comprende la asistencia técnica durante los 365 días del año y las 24 hs. del día. 14 Se posee un contrato anual por servicios a la firma Oracle Arg. S.A por ser proveedora del motor de la Base de Datos y herramientas de desarrollo a los efectos de brindar asistencia técnica, actualización de productos y acceso electrónico vía Web por un total de $ 165.624,32.- 3.2.4 Control de Calidad En el Plan Estratégico de Sistemas 2002-2007 elaborado por la UI propone como lineamiento estratégico la mejora de procesos que ejecuta la UI mediante el empleo de la metodología IDEAL basada en la experiencia del SEI (Software Engineering Institute –USA-) a los fines de alcanzar la certificación ISO 9001 –3 en Junio de 2004. 4. OBSERVACIONES Y COMENTARIOS. Se detallan los objetivos de control analizados, las principales observaciones, efectos y recomendaciones apropiadas a los mismos, identificando el riesgo en tres niveles Alto, Medio y Bajo. 15 4.1 Objetivo de Control: Modelo de la Arquitectura de Información La función de sistemas de información deberá crear y actualizar regularmente un modelo de arquitectura de información, abarcando el modelo de datos corporativo y los sistemas de información asociados. El modelo de arquitectura de información deberá conservar consistencia con el plan estratégico de tecnología a largo plazo. Observaciones Efectos Recomendaciones 1. La documentación de los Se generan pérdidas de tiempo Se estima conveniente asignar modelos lógicos de datos y de –dinero- y dependencia del la función de documentalista, procesos de la base de datos de conocimiento de los analistas y que orgánicamente tenga la SIDIF se encuentran desactua- programadores durante el lizados, en particular para la desarrollo de las aplicaciones responsabilidad de la gestión de toda la documentación de versión de SIDIF modo SIDIF y participe del proceso Carácter. de cambios. 16 2. Se dispone de la herramienta La UI tendría contratada una Definir una herramienta Oracle Designer que facilita el herramienta –Oracle Designer- automática para la diseño y documentación de la de la cual no se obtienen documentación del modelo de base y sus aplicaciones. La beneficios importantes a los datos y sistemas. Evaluar la misma no se emplea para fines de la documentación de conveniencia técnica y documentar el modelo de la base y el diseño de económica de continuar la procesos. Se emplea para aplicativo. contratación de la herramienta documentar el modelo de datos Oracle Designer 2000. para algunas aplicaciones reingenierizadas y a fines didácticos. En nuestras pruebas para verificar consistencia entre tablas físicas y definiciones lógicas para el módulo Gastos bajo la herramienta Oracle Designer 2000 se encontraron 963 tablas sin definición lógica y 5 tablas lógicas no definidas en el Diccionario. Ello indica una baja utilización de esa herramienta. Nivel de Riesgo ü Alto 17 4.2 Objetivo de Control: Niveles de Seguridad La Unidad Informática deberá definir, implementar y mantener niveles de seguridad. Estos niveles de seguridad deberán representar el conjunto de medidas de seguridad y de control apropiado (mínimo) para cada una de las clasificaciones. Observaciones Efectos Recomendaciones 1. Se encontraron dos roles Podrían producirse, por error o Disponer de un único rol de equivalentes a administrador malintención, severos daños en administrador (DBA) sin de la base – Granted Role de la base y en los datos sin tener posibilidad de otorgar roles DBA- asignados a miembros identificado a su responsable. equivalentes (granted role) a de la UI (uno no identificado). terceros a quienes se definirán roles específicos para cumplir las funciones asignadas dentro de la base. La copia de la password del DBA –de al menos 12 caracteres - debería almacenarse en una caja de seguridad a disposición del Coordinador de la UI. 18 2. La asignación de roles de los Se podrían producir errores en Definir un procedimiento para usuarios (derechos dentro del la asignación de los roles y la carga de los perfiles de los menú de SIDIF) –requeridos cuando por DNyS (Dirección de innecesarias para determinar recomienda segmentar la Normas y Sistemas de la los roles requeridos. menos demoras usuarios de SIDIF. Se identificación de los usuarios. CGN)- resulta imprecisa y de acuerdo a responsabilidad y suelen hacerse con referencia a área de pertenencia a los fines roles de otros usuarios activos de obtener mejor control y a pesar de existir roles asignar el control general, predefinidos en tablas del preferentemente a un oficial de sistema seguridad. 3. No se encontró habilitada la Podría producirse cambios en Habilitar las pistas de auditoría función de auditoría que las transacciones sin dejar pista de la base y asignar un dispone la base (Audit_Trail) de los mismos. responsable la tarea de ese control. Para evitar disminución sensible de la performance de la base y de la capacidad en disco se estima conveniente la realización previa de estudios técnicos que determinen el nivel de auditoría del sistema y nivel de auditoría de objetos así como tipos de eventos a auditar. Nivel de Riesgo ü Alto 19 4.3 Objetivo de Control: Plan General de Calidad La Unidad Informática deberá desarrollar y mantener regularmente un plan general de calidad basado en los planes organizacionales y de tecnología de información a largo plazo. El plan deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y cómo. Observaciones Efectos Recomendaciones 1. No se obtuvo evidencia de Disminuye la probabilidad que § Se estima conveniente la un Plan Detallado de Calidad se pueda alcanzar la elaboración de un plan de que defina el proyecto y los certificación en el plazo calidad y que el mismo recursos para alcanzar ese señalado en el Plan Estratégico tenga en cuenta además: objetivo. de Sistemas al no haber sido § si existieran evaluada cuantitativamente y cualitativamente el desarrollo Planes de calidad de CGN § La especificación del nivel de cada una de las fases de la de servicio –estándares e metodología IDEAL en el indicadores- ámbito de la UI. brindar a cada grupo de previsto a usuarios (como ser CGN, SAF, MECON y Terceros) § El establecimiento límites para de las interrupciones de servicio. . 20 2. No existen controles inde- Quien es parte del proceso de Definir procedimientos de pendientes que garanticen el generación de la documenta- control para el cumplimiento cumplimiento de la normativa ción no dispone de objetivi- de la normativa y que esa y metodologías que aseguren dad para ejercer dichos responsabilidad no recaiga en la mejora continua. controles. funcionarios que estén involucrados en la realización de tareas a controlar. Nivel de Riesgo ü Alto 21 4.4 Objetivo de Control: Actualización de la Metodología del Ciclo de Vida de Desarrollo de Sistemas La Unidad Informática deberá implementar una revisión periódica de su metodología del ciclo de vida de desarrollo de sistemas para asegurar que incluya técnicas y procedimientos actuales generalmente aceptados. Observaciones Efectos Recomendaciones 1. La metodología del ciclo La ausencia de análisis de Incorporar al ciclo de vida de de vida del desarrollo de costos, beneficios y riesgos – desarrollo procedimientos para software no contiene defini- entre otros- hacen menos la evaluación técnica y ciones para las etapas: previsibles a los proyectos económica de los proyectos, la § Estudio de factibilidad reduciendo la capacidad de aceptación y aprobación técnica–económica del control sobre los mismos. formal del usuario proyecto. Se imponen hechos Aceptación y aprobación consumados a los usuarios al del usuario. no requerirse la aprobación del § producto desarrollado. 2. No se dispone de revisiones Pérdida de control en el ciclo Incorporar al ciclo de vida de posteriores a la implementa- de calidad para producir la desarrollo la revisión de las ción de los sistemas por parte mejora continua. implementaciones de los de un equipo de garantía de sistemas. calidad. Nivel de Riesgo ü Alto 22 4.5 Objetivo de Control: Estándares para la Documentación La metodología del ciclo de vida de desarrollo de sistemas deberá incorporar estándares para la documentación que hayan sido impuestos y comunicados al personal interesado. La metodología deberá asegurar que la documentación creada durante el desarrollo del sistema de información o de los proyectos de modificación coincida con estos estándares. Observaciones Efectos Recomendaciones 1. Los template y estándares Podrían generarse resistencias Se estima conveniente definir de documentación elaborados a la validez de los estándares un procedimiento formal para para el ciclo de vida: de documentación. la generación y aprobación de § No cuentan con aprobación No se puede asegurar su formal de autoridad de la cumplimiento en todas las Unidad Informática. fases. § No facilita su consistencia y No tienen definidos controles independientes para coherencia en las distintas asegurar el cumplimiento de fases. los mismos en todas las fases . los estándares y asignar un responsable. del ciclo de vida. § Carecen de un marco conceptual y consolidación en un único manual. Nivel de Riesgo ü Alto 23 4.6 Objetivo de Control: Inicio y Control de Solicitudes de Cambio La Unidad Informática deberá asegurar que todas las solicitudes de cambios tanto internos como por parte de proveedores estén estandarizados y sujetas a procedimientos formales de administración de cambios. Las solicitudes deberán categorizarse, priorizarse y establecerse, además, procedimientos específicos para manejar asuntos urgentes. Los solicitantes de cambios deben permanecer informados acerca del estado de su solicitud. Observaciones Efectos Recomendaciones La definición de la prioridad Genera confusión en los Se estima necesario fijar y de resolución de los usuarios: dificilmente podrán publicar los criterios y los requerimientos del usuario, entender porque otros trabajos miembros que determinaran las principalmente de mante- se resuelven antes que los prioridades de los trabajos de nimiento, se encuentra a cargo propios. El área de Desarrollo los usuarios. del Coordinador de Desarrollo. al asumir la decisión de definir No se disponen de criterios las prioridades no es objetiva objetivos en conocimiento de pues es parte interesada del los usuarios. problema. 2. La fecha prevista de la Los usuarios no pueden Fijar la fecha prevista de puesta en producción de los planificar su tarea en función entrega de los trabajos, lo cual trabajos que involucran un de la facilidad en trámite. en un proceso, permitirá requerimiento del usuario no ajustar mejor la organización es de conocimiento del mismo de la UI a las necesidades del ni se incluye en el sistema de usuario. administración de cambios cuya información de la marcha de los trabajos se publica en uninet (intranet de la UI). Nivel de Riesgo ü Alto 24 4.7 Objetivo de Control: Control de Cambios La Unidad Informática deberá asegurar que la administración de cambios, así como el control y la distribución de software sean integrados apropiadamente en un sistema completo de administración. Observaciones Mediante la herramienta Efectos Recomendaciones El control sobre el seguimiento Evaluar la conveniencia de un Continuus se gestiona en modo de los cambios se debilita al no sistema que integre la automático y seguro el incluir todas las fases del ciclo. información de la herramienta seguimiento de los cambios en El empleo de planillas excel no de administración de cambios las etapas de Desarrollo, solo elimina la visón global del –Continuus- con las etapas de Pruebas (Testing) e seguimiento si no que afecta la entrada en servicio y análisis Implementación. Esta última seguridad al no proveer un etapa finaliza con la registro automático –log- e actualización de fuentes en el inalterable de las operaciones entorno de producción. La de entrada en servicio. de requerimientos. etapa de efectiva entrada en producción se registra manualmente en un planilla excel -basado en un template-. 25 4.8 Objetivo de Control: Documentación y Procedimientos El procedimiento de cambios deberá asegurar que, siempre que se implementen modificaciones a un sistema, la documentación y procedimientos relacionados sean actualizados de manera correspondiente.. Observaciones Efectos Recomendaciones 1. La documentación elaborada No permita evidenciar el grado Evaluar el desarrollo de un para el ciclo de vida a través de de actualización de la docu- sistema que permita gestionar los estándares definidos se mentación existente. Dado el la documentación en todas las basan, en gran medida, en volumen de documentación a etapas del ciclo de vida y sea documentos Word y/o Excel controlar no resulta posible por parte del proceso de la sin herramientas que integren medios manuales determinar el administración de cambios la producción de la grado de actualización de la documentación. misma. Los documentos producidos La documentación producida podrían ser alterados sin dejar no provee confiabilidad. incorporando allí controles. registro de esos cambios. Nivel de Riesgo ü Alto 26 4.9 Objetivo de Control: Responsabilidad por la Seguridad Lógica y Física La UI deberá asignar formalmente la responsabilidad de la seguridad lógica y física de los activos de información de la organización a un responsable de seguridad de la información quien reportara al Coordinador General. Cómo mínimo su responsabilidad deberá establecerse a todos los niveles de la UI. En caso necesario, deberán asignarse responsabilidades gerenciales adicionales a niveles específicos con el fin de resolver los problemas de seguridad relacionados con ellos. Observaciones Efecto Recomendaciones 1. Existe un agente de la UI En ese contexto le podrían Definir formalmente el cargo asignado a la función de ser asignadas -incluso de Administrador de la Base de administrador de la base. No se formalmente- otras tareas que Datos de SIDIF, sus funciones obtuvo evidencia de una debiliten los controles sobre definición formal del cargo ni la base o que impidan una descripción de las funciones y adecuada separación de responsabilidades que funciones. y responsabilidades involucran esa función. 2. No existe un esquema de Impide tomar medidas de Diseñar un esquema adecuado organización centralizada de la seguridad integrales. de seguridad 3. No existe un responsable Actualmente la Incorporar un responsable de integral de seguridad responsabilidad esta repartida seguridad seguridad en dos áreas (técnica y comunicaciones) Nivel de Riesgo ü Alto 27 4.10 Objetivo de Control: Cumplimiento de Políticas, Procedimientos y Estándares La UI deberá asegurar que se establezcan procedimientos apropiados para determinar si el personal comprende los procedimientos y políticas implementados, y que este cumple con dichas políticas y procedimientos. Observaciones 1. Se evidencia muy poca Efecto Riesgo de no disponer un Recomendaciones Seria conveniente efectuar una normativa escrita (tema tratado adecuado control de los normativa de los puntos más en informe anterior efectuado relevantes de la UI. recursos. por esta AGN). q Servidor Windows NT PDC “Cuentas de usuarios de la red UI” 2. El menú “Plan de auditoria” No permite auditar : Teniendo en cuenta que por provisto por el sistema § Inicio y cierre de sesión este servidor ingresan y se operativo Windows NT esta § Acceso a archivos y validan todos los usuarios del objetos domino de la UI y los del Uso de los derechos y SIDIF modo gráfico es grupos necesario tomar acciones Cambios en el plan de correctivas de tipo preventivo en modo “no auditar”. § § seguridad § Reinicio, apagado y sistema § Seguimiento de procesos 28 3. Dentro de este servidor no Posibilita el ingreso indebido y Teniendo en cuenta que por se evidencia que las políticas hace permeable la seguridad este servidor ingresan y se definidas sean equivalentes a del sistema. validan todos los usuarios del las del servidor de producción domino de la UI y los del del SIDIF. SIDIF modo gráfico, es necesario tomar acciones correctivas de tipo preventivo Nivel de Riesgo ü Alto 29 4.11 Objetivo de Control: Funciones y Responsabilidades La UI deberá asegurar que todo el personal en la organización conozca sus funciones y responsabilidades en relación con los sistemas de información. Todo el personal deberá contar con autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hallan sido asignadas. Todos deberán estar conscientes de que tienen una cierta responsabilidad con respecto a la seguridad y al control interno Observaciones Efecto Recomendaciones 1. No existe un organigrama La falta de definición de Es necesario contar con una con descripción de funciones, niveles, funciones, roles y organigrama con descripción que se encuentre aprobado por responsabilidades de cada de cargos y funciones de cada niveles superiores de la UI. sector y del personal diluye área debidamente aprobado por (tema tratado en informe responsabilidades, niveles superiores a la UI. anterior efectuado por esta consecuentemente debilita el AGN). control y acciones Nivel de Riesgo ü Alto 30 4.12 Objetivo de Control: Segregación de Funciones La UI deberá implementar una división de funciones y responsabilidades que excluya la posibilidad de que un solo individuo resuelva un proceso crítico. La UI deberá asegurar también que el personal lleve a cabo únicamente aquellas tareas estipuladas para sus respectivos puestos . En particular deberá mantenerse segregación entre las siguientes funciones § Uso de sistemas de información § Operaciones § Administración de redes § Administración de sistemas § Desarrollo y mantenimiento de sistemas § Administración de cambios y seguridad q Servidor de “Producción del SIDIF” Observaciones Efecto Recomendaciones 1. Se detectaron cuentas de Riesgos de penetración Establecer un adecuado usuarios de las áreas indebida y/o alteraciones no ambiente de desarrollo, desarrollo, comunicaciones y controladas pruebas y producción microinformática, mesa de estableciendo quienes y que ayuda, ingeniería en ambiente tendrá acceso. producción 31 q A nivel de base 4. Personal del área ingeniería Quien debe controlar el Establecer adecuadamente los realiza tareas de implemen- seguimiento de cambios no roles de ingeniería e tación puede ser parte de los mismos. implementación Hay conflicto de intereses. 5. Personal del área desarrollo Se permite acceder incluso a Se considera necesario que dispone roles que permiten modificar datos de producción personal de Desarrollo no actualizar tablas de la base de a personal que no debería estar disponga derechos de datos de producción autorizado. actualización sobre tablas de producción. Nivel de Riesgo ü Alto 32 4.13 Objetivo de Control: Administrar Medidas de Seguridad La seguridad en Tecnología de la información deberá ser administrada de tal forma que sus controles se encuentren en línea con los definidos en un plan especifico Observaciones Efecto Recomendaciones 1. No se evidencia un plan de La falta de un plan de Efectuar un plan de seguridad seguridad. seguridad genera caos en la y ponerlo en conocimiento de administración. No es posible todo el personal involucrado. evaluar la magnitud de las consecuencias. Nivel de Riesgo ü Alto 33 4.14 Objetivo de Control: Identificación, Autenticación y Acceso El acceso lógico y el uso de los recursos de Tecnología Información deberá restringirse a través de la instrumentación de un mecanismo adecuado de autenticación de usuarios identificados y recursos asociados con reglas de acceso. Dicho mecanismo deberá evitar que el personal no autorizado, conexiones telefónicas de marcado y otros puertos de entrada al sistema (redes) tengan acceso a los recursos, de igual forma deberá minimizar la necesidad múltiples claves de acceso a ser utilizadas por usuarios autorizados. Asimismo deberán establecerse procedimientos para conservar la efectividad de los mecanismos de autenticación y acceso (por Ej. cambios periódicos de contraseñas) q Servidor Windows NT PDC “Cuentas de usuarios de la red UI” Observaciones Efecto 1. Hay 29 usuarios que acceden No hay controles suficientes a la red UI por vía telefónica Recomendaciones Es deseable que no existan con respecto a las tareas que se conexiones directas al servidor utilizando Módem. Entre otros efectúan; existe un potencial en producción por esta vía. El figuran personal de desarrollo, riesgo de entrar al sistema por usuario externo conectado, ingeniería, técnica, esta vía y no quedar registrado debería ingresar cómo si fuera Comunicaciones y en ninguna parte. un SAF pasando por todos los Microinformática. En las controles y protecciones; para mismas condiciones ingresa el personal técnico de la UI también un usuario final minimizar al máximo este tipo externo al sector público. Un de ingreso. 30% del personal de la UI estaría entrando en esta modalidad, pudiendo acceder a su Pc de trabajo y luego accediendo al servidor en producción de SIDIF. 34 Cumplir con la Disp. Nro. 17 2. No hay desconexión No se cumpliría con la Disp. automática de usuarios en el Nro. 17 de la CGN dentro este de la CGN dentro este servidor Servidor luego de un periodo servidor por lo tanto no habría “Deben desconectarse a los de inactividad. uniformidad de criterios en usuarios luego de 60 días de cada uno de los servidores inactividad” Un usuario podría dejar la comunicación activa en forma inarvertida displicentemente y esta ser utilizada por un tercero que acceda a recursos no autorizados. 3. No esta indicado en el Posibilita el ingreso indebido y Teniendo en cuenta que por servidor Windows NT el hace permeable la seguridad este servidor ingresan y se tiempo de expiración las del sistema. validan todos los usuarios del contraseñas Con el tiempo, resulta domino de la UI y los del inevitable la difusión de las SIDIF modo gráfico, es claves de acceso de los necesario tomar acciones usuarios. No puede dejarse el correctivas de tipo preventivo plazo de duración a la voluntad individual de las personas q Cuentas de la base de datos y aplicativo 1. En la mayoría de los casos La usurpación de login por Estudiar el rediseño de los la denominación de los login personas no autorizadas login para hacerlos menos de usuarios de SIDIF resulta de configura una situación de previsibles y, password fácil detección. obligatoria con longitud riesgo. mínima de 6 caracteres 35 2. No se almacena No permite una identificación Adoptar un identificador correctamente las adecuada de los usuarios del unívoco para designar un identificaciones de los usuarios sistema. usuario (Ej. DNI) de la base de datos y el aplicativo. Nivel de Riesgo ü Alto 36 4.15 Objetivo de Control: Administración de Cuentas de Usuarios La UI deberá establecer procedimientos para asegurar acciones oportunas relacionadas con la requisición, establecimiento, emisión, suspensión de cuentas de usuario. Deberá incluirse un procedimiento de aprobación formal que indique el propietario de los datos o del sistema que otorga los privilegios de acceso. Observaciones Efecto Recomendaciones 1. En los servidores de Podría utilizarse comunicaciones se hallaron indebidamente cuentas activas activas de ex personal de la UI cuentas activas pertenecientes de ex personal a ex personal de la UI Eliminar todas las cuentas y generar normativa al respecto. 2. Los administradores de los Genera una gran debilidad de Generar cuenta con perfil y equipos Unix utilizan el modo seguridad dado que la cuenta características equivalente a de ingreso super usuario para super usuario no debe ser super usuario de manera de no realizar tareas habituales de utilizada para tareas comunes utilizar el “root” como loguin administración y de administración. de identificación de acceso. De mantenimiento del sistema esta forma quedan registradas e operativo. identificadas las acciones de cada usuario en modo super usuario. 3. En el servidor SIDIF de Desorden en la administración Eliminar las cuentas producción se conserva un de cuentas. desactivadas. 64% de cuentas desactivadas. 37 4. En el servidor de producción Puede provocar ingresos Mantener cómo norma general SIDIF se detectaron cuentas indebidos y diluye la la no generación de cuentas genéricas activas responsabilidad al no poder genéricas verificar al usuario responsable 5. No existe una Genera un mayor administración centralizada de mantenimiento de cuentas de usuarios, dados los entornos usuarios posibles problemas de Unix, Windows NT y Oracle. consistencia entre los diversos Evaluar la forma de centralizar la operatoria. entornos 6. Se encontraron login El empleo de login genéricos Restringir las cuentas genéricas genéricos como usuarios de la no permiten individualizar a de usuarios y su otorgamiento base, atribuibles a áreas de la quienes realizan operaciones. regulado por procedimiento UI. Resultan fáciles de capturar y formal que establezca la vida se agravan cuando a través de útil de la misma. ese login disponen derechos de actualización de tablas 7. No se tuvo evidencia de la Como resultado de nuestra Unificar y simplificar la existencia de procedimientos revisión se encontraron 47 administración de usuarios de sistemáticos de actualización usuarios activos sin poder SIDIF con procedimientos que de usuarios y roles. El identificar su pertenencia faciliten tanto el alta en los procedimiento de baja de después de consultar a la distintos ambientes (Sistema usuarios SIDIF se produce por Subsecretaria de Presupuesto y Operativo, base de datos y comunicación del área que la DNyS aplicativo) como la solicitó el alta, hecho que no se actualización y baja de los produce regularmente. mismos. Se recomienda evaluar la incorporación de procedimientos de depuración 38 automáticos que cuenten información cierta de los usuarios como el sistema de liquidación de haberes del organismo, el SIRHU (sistema integrado de Recursos Humanos) y otros. Nivel de Riesgo ü Alto 39 4.16 Objetivo de Control: Respaldo y Restauración La UI deberá implementar una estrategia apropiada de respaldo y restauración para asegurar que esta incluya una revisión de los requerimientos , así como el desarrollo, implementación, prueba y documentación del plan de recuperación. Se deberían establecer procedimientos para asegurar que los respaldos satisfagan los requerimientos mencionados. Observaciones 1. No existe un proceso, ni Efectos Riesgo de control . Recomendaciones Seria conveniente contar con software que administre en un servidor a los efectos de forma centralizada el centralizar la operatoria y almacenamiento de todos los disponer herramientas servidores en producción. adecuadas para la administración de backup´s y restauración 2. No hay evidencia de Riesgo de generarse backup´s Llevar controles y registros al efectuar controles al re-uso de estériles e imposibilidad de re-uso de cintas; mantener un cintas y poseer un stock realizar el backup al servidor stock suficiente de cintas. suficiente (habría menos de 12 de producción del SIDIF. Realizar pruebas de a la fecha). restauración de la información. 3. Falta de caja ignífuga para Pérdida de los backup´s repositorio de las cintas Sería conveniente depositar las cintas en caja ignífuga. 4. En el procedimiento no se Riesgo de no se saber si se Efectuar procedimientos de evidencia backup´s a los están efectuando los backup´s backup´s a todos los servidores de comunicaciones a estos servidores servidores. 40 5. El servidor de resguardo del La caída de este servidor servidor de comunicaciones dejaría a todos los SAF y a los “Control de Tráfico de órganos rectores sin servicio Información entre la red del de conexión al SIDIF central. Poner operacional el servidor de resguardo. MECON, UI y los SAF” no se encontró operativo en el momento de esta auditoria. Nivel de Riesgo ü Alto 41 4.17 Objetivo de Control: Seguridad del Software del Sistema La UI deberá asegurar que la instalación no arriesgue la seguridad de los datos y programas ya almacenados en el mismo. Deberá ponerse atención a la instalación y mantenimiento de los parámetros del software del sistema. Observaciones Efectos Recomendaciones 1. Se encontró activo el Podrían generarse programas Eliminar el compilador C en compilador del lenguaje “C” escritos en “C” sin ningún esta instancia en los servidores de control y autorización comunicaciones Nivel de Riesgo ü Alto 42 4.18 Objetivo de Control: Seguridad de Acceso a Datos en Línea Se deberá garantizar el control de la seguridad de acceso, tomando como base las necesidades individuales demostradas de visualizar, agregar, modificar, o eliminar datos. Observaciones Efectos Recomendaciones 1. Previo al pasaje al SIDIF Podría ser modificado el Estudiar la forma que garantice producción; el servidor de archivo luego de ser una adecuada restricción a comunicaciones “Transaf transferido por el SAF.dado datos de producción Central sucede que el archivo que no hay un entorno de generado luego de la seguridad adecuado ya sea por transmisión de datos, queda encriptamiento de datos (CRC) accesible en modo lectura y o otros mecanismos de escritura. seguridad. Nivel de Riesgo ü Alto 43 4.19 Objetivo de Control: Arquitectura de Protección y redes Se deberá contar con protección de seguridad (firewall) adecuados para protegerse en contra de la negación de servicios y los recursos internos, controlando los flujos en ambos sentidos. Observaciones Efectos Recomendaciones 1. El servidor de producción Los usuarios que tienen acceso No se debe permitir el acceso del SIDIF establece relaciones al servidor desarrollo y testeo de usuarios de desarrollo o de confianza con dos podrían entrar de producción testeo a producción por otro servidores del dominio SIDIF dado que no se requiere lado es conveniente que no utilizados para testing y contraseña por la confianza existan relaciones de confianza desarrollo. declarada en dicho servidor. por el gran problema de Riego de vulnerabilidad a la seguridad que puede causar al seguridad del servidor servidor producción SIDIF . producción SIDIF. 2. Desde la red de la UI se Podría penetrarse a cualquier Es deseable incorporar una permite acceso directo al servidor de producción desde arquitectura de protección servidor de producción SIDIF. la red de la UI. Es una puerta (firewall) al servidor en No hay una arquitectura de abierta de seguridad no se ha producción SIDIF. seguridad que lo proteja de considerado la posibilidad de Deberían separarse los cualquier ataque desde una un ataque desde el sector de la servidores críticos en una red máquina de la UI tomando en UI. Los servidores de produc- independiente y con acceso cuenta que en el sector hay ción se encuentran protegidos restringido a la misma (ver más de 100 Pc conectadas a la por un único equipo. Si se con- Anexo V) red. sidera el vinculo con los SAF cómo inseguros, la protección de los servidores críticos se la estima insuficiente. Nivel de Riesgo ü Alto 44 4.20 Objetivo de Control: Plan de continuidad de TI La UI deberá crear un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque basado en el riesgo, la metodología a seguir, las reglas y la estructura para documentar el plan, así cómo los procedimientos de aprobación. Observaciones Efectos Recomendaciones 1. El servidores utilizados De existir un siniestro de Es deseable mantener el supuestamente como backup se cierta magnitud en el CPD no equipo de backup un sitio encuentran en el mismo sitio se podría efectuar de procesamiento (CPD). rápidamente una continuidad alternativo de procesamiento. de las operaciones de procesamiento del SIDIF. 2. Para llegar al sitio Trastornos para llegar y operar Es deseable tener una vía de acceso segura y rápida alternativo de procesamiento de la DGI (AFIP) hay que acceder por pasillos y escaleras de estado muy precario 3. No se evidencia pruebas de Se desconoce el éxito de la Es deseable que se realicen recuperación en el sitio instalación del sitio alternativo pruebas de recuperación para alternativo de procesamiento en caso de verificar la eficiencia del contingencia sistema. 4. No existe ni plan de El hecho de no tener un plan Confeccionar un plan de contingencia ni de en el momento de una contingencia y recuperación de recuperación de las contingencia traerá las operaciones. operaciones cuando se produce improvisaciones y desorden de una emergencia incendios los recursos técnicos y humanos afectados. Nivel de Riesgo ü Alto 45 4.21 Objetivo de Control: Contratación de servicios a proveedores externos “Oracle Arg. S.A” Observaciones Efectos 1. Estando próximo al Pone en peligro la asistencia y vencimiento 31/5/02 no se actualización de la base de encuentra el pedido de datos Recomendaciones Renovar la contratación renovación. 2. Según lo visto en el El servicio de soporte de expediente 001-0011877/2001 asistencia extendida (EAS) referido a la contratación con provisto por Oracle no incluye la firma Oracle Arg. S.A, el los siguientes servicios: soporte y actualización esta § migrar a una versión soportada por Oracle. Corrección de errores (nuevos bugs) dado en función de una versión no discontinuada. Evaluar la conveniencia de § Certificación con La Base de Datos SIDIF productos soportados en cuenta con una versión V.7.3.4 versiones de sistemas y 7.2.3 no soportada y operativos más recientes o obsolescente según Oracle nuevos compiladores. Corporation. Nivel de Riesgo ü Alto 46 4.22 Objetivo de control : Seguridad Física Deberán establecerse apropiadas medidas de seguridad física y control de acceso para las instalaciones de tecnología de información de acuerdo con la política de seguridad general, incluyendo el uso de dispositivos de información fuera de las instalaciones. El acceso deberá restringirse a las personas que hayan sido autorizadas a contar con dicho acceso. q CPD Observaciones 1.No existen normas y Efecto Ingreso de personas no Recomendaciones Se deberían realizar normas y procedimientos para el control de autorizadas a zonas de acceso procedimientos para el control entradas y salidas. restringido. de entradas y salidas al CPD. Nivel de Riesgo ü Alto 47 4.23 Objetivo de control : Escolta de Visitantes Deberán establecerse apropiados procedimientos que aseguren que las personas que no formen parte del grupo de operaciones de la función de servicios de información sean escoltadas por algún miembro de ese grupo cuando deban entrar a las instalaciones de cómputo. Deberá mantenerse y revisarse regularmente una bitácora de visitantes. q CPD Observaciones Efecto 1. El procedimiento para acceder Ingreso de personas no Recomendaciones No deberían existir dos al CPD no es siempre el mismo. autorizadas a zonas de acceso procedimientos para acceder al Cada visita se acredita en la restringido. CPD desde el ingreso al Central de Control de Accesos Organismo. Un miembro del perteneciente a la Dirección CPD debería escoltar a las Técnica Operativa del Ministerio visitas desde su ingreso al de Economía, lugar que controla organismo hasta las y registra el movimiento del instalaciones de cómputo. personal. La Central de Control de Accesos, solicita el documento de identidad, el cual se devuelve a la visita con una tarjeta para poder ingresar. En algunas oportunidades el personal de esta Central, avisa telefónicamente al CPD quien va a ingresar. Otras veces se permite el acceso sin consulta previa. Nivel de Riesgo ü Alto 48 4.24 Objetivo de control Salud y Seguridad del Personal Deberán establecerse y mantenerse prácticas de salud y seguridad en línea con las leyes y regulaciones internacionales, nacionales, regionales, estatales y locales. q CPD Observaciones Efecto Recomendaciones 2. Según la documentación Posibles daños a la salud del Se deberían adecuar los presentada los niveles de personal. niveles de iluminación a la iluminación no cumplen con la Legislación vigente. Legislación vigente (Ley de Higiene y Seguridad / Ley de Riesgo del Trabajo). Nivel de Riesgo ü Alto 49 4.25 Objetivo de control Protección contra Factores Ambientales La gerencia de la función de servicios de información deberá asegurar que se establezcan y mantengan las suficientes medidas para la protección contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Deberán instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente. q CPD (ver Anexo I) Observaciones Efecto Recomendaciones 1. No se ha definido a nivel de Posible incumplimiento de Sería conveniente definir a las máximas autoridades la los objetivos y falta de nivel de las máximas política en materia de Seguridad compromiso en distintos y Salud Ocupacional. autoridades la política en niveles de la Organización en materia de Seguridad y Salud materia de Seguridad y Salud Ocupacional. Ocupacional. 2. No se pudo acceder a los Dificultad para realizar Sería conveniente obtener los antecedentes y documentación de evaluaciones de riesgo como antecedentes y documentación la obra. así también para realizar de la obra. 3. No se pudo verificar si se posibles modificaciones. Se deberían obtener los realizaron estudios de carga de estudios de carga de fuego, fuego, como así tampoco como así también obtener las determinar las normas que se han normas que se han tenido en tenido en cuenta cuando se cuenta cuando se diseñó el diseñó el CPD desde el punto de CPD desde el punto de vista de vista de riesgo de incendios. riesgo de incendios. 50 Observaciones Efecto Recomendaciones 4. Los cerramientos de los Potenciales riesgos de Se deberían evaluar los locales presentan ventanas con impactos debido a agentes cerramientos perimetrales del vidrios. Las ventanas que están externos y rotura en caso de CPD., las puertas y ventanas ubicadas sobre el aire luz no incendios. Fachadas sin con respecto a la resistencia al tienen paneles exteriores paneles exteriores: En caso fuego y posibles impactos. protectores. de incendios, peligro de propagación del fuego a plantas superiores no afectadas en un primer momento. 5. El local lindero (Sala de Potenciales fuegos declarados Sería conveniente realizar una Reuniones) y el que está ubicado en el exterior al CPD podrían evaluación del emplazamiento debajo del mismo (Comisión de afectarlo. del CPD. con respecto a otras Coordinación Operativa) no áreas del Organismo desde el poseen protección contra punto de vista de riesgo de incendios. incendio. 6. Los huecos de los ascensores ubicados sobre el lado izquierdo del local no poseen protección contra incendios. 51 7. Se encuentran cajas, bolsas Potencial riesgo de accidentes Se deberían ordenar y retirar plásticas y papeles ubicados en y de incendio. distintos lugares (piso, sobre los elementos combustibles que se encuentran en los locales. armarios, etc.). 8. No están ubicadas las tapas de Se deberían realizar protección en las aberturas procedimientos para la correspondientes al piso falso. ejecución de los trabajos en los falsos pisos. 9. Falta de orden y limpieza en el Daños involuntarios en los taller de reparación. 10. No existe un procedimiento Se debería ordenar y limpiar el equipos, fuga de información taller de reparación. Deberían y materiales. Falta de higiene. realizarse procedimientos para las tareas de limpieza y para realizar la limpieza. recolección de bolsas de 11. No se realiza una inspección residuos. Sería conveniente de las bolsas de residuos. que las bolsas de residuos sean 12. Las bolsas de residuos son transparentes. Todos los color negro. recipientes de residuos deberían tener bolsas y ser 13. Algunos recipientes de resistentes al fuego. residuos no poseen bolsas. 14. No existe un procedimiento Residuos potencialmente Debería existir un escrito indicando que se debe tóxicos pudiendo afectar a la procedimiento indicando que realizar con las cintas, cartuchos salud del personal y al medio se debe realizar con las cintas, y toner de las impresoras usados. ambiente. cartuchos y toner de las impresoras usados. 52 Observaciones Efecto Recomendaciones 15. No se encuentran ordenados Potencial riesgo de falla o Se deberían ordenar los cables los cables que están debajo del recalentamiento de alguno de que están debajo del escritorio escritorio ubicado en el taller de lo cables, afectará a los reparaciones. demás, pudiendo producir un reparaciones. ubicado en el taller de incendio. 16. No existe un procedimiento Riesgo de pérdida Se debería realizar un escrito con respecto a la involuntaria y posible procedimiento con respecto a destrucción de las cintas de recuperación por personal no la destrucción de las cintas de backup. deseado. backup que deban eliminarse. 17. La cintas se encuentran sobre Posibles pérdidas de las Se deberían guardar en un las mesas de trabajo y estantes. gabinete ignífugo las cintas de cintas. backup 18. Ingresa aire caliente por las Potencial riesgo de incendio Se debería evitar que ingrese rejas del equipo central de aire y propagación de humos. aire caliente por las rejas del condicionado ubicados sobre la Modificación de la equipo central de aire pared izquierda del local de las temperatura ambiental. condicionado. computadoras. 53 19. No se ha instalado en la En caso de emergencia Se deberían instalar en la puerta principal controles impide acceder en forma puerta principal controles eléctricos de emergencia (llaves rápida a las llaves de corte eléctricos de emergencia de corte de energía eléctrica del suministro eléctrico. accesibles al operador (llaves usadas en casos de emergencia). de corte de energía eléctrica usadas en casos de emergencia). Los mismos deberían estar protegidos contra potenciales sabotajes, etc. ocasionados por personal no autorizado. 20. No se realizan evaluaciones y Se podrían producir Se deberían realizar estudios en el sistema de deterioros en los equipos por evaluaciones y estudios en el ventilación cuando se cambian falta de ventilación adecuada. sistema de ventilación cuando y/o ingresan equipos. se cambian y/o ingresan equipos. 54 Observaciones Efecto Recomendaciones 21. No existen instrucciones en Incertidumbre en el personal. Los locales deberían tener los locales indicando como Impide actuar en forma instrucciones indicando como actuar en caso de incendio en el rápida y eficaz. actuar en caso de incendio. CPD. 22. El local donde se encuentran Potencial riesgo de incendio Se estima conveniente evaluar las computadoras no posee con compromiso de los otros la ampliación del sistema de sistema de extinción de locales del CPD. debido a extinción de incendios en la incendios. que los mismos no están sala de computadoras. separados por cerramientos resistentes al fuego (actuales tabiques con vidrios). 23. El único matafuego que se No se puede identificar con Se debería instalar el encuentra en el local está sobre facilidad. Posibilidad de matafuego de acuerdo a la el piso. accidentarse el personal. La normativa vigente. Sería 24. No se realizan los controles falta de control por personal conveniente realizar los trimestrales obligatorios a los especializado podría controles trimestrales matafuegos según lo establecido posibilitar que en el momento obligatorios a los matafuegos. en la norma IRAM 3517 – Parte de una emergencia no pueda 2. utilizarse. 55 25. El personal del CPD no está Ante un conato de incendio el Se debería capacitar y entrenar entrenado en el manejo de los personal presente no puede en forma semestral al personal matafuegos. intervenir en forma rápida y del CPD en el manejo de los eficaz. matafuegos. 26. No existen normas que Potencial riesgo de incendio. Sería conveniente realizar indiquen con que frecuencia se normas para la inspección y inspeccionan y se realiza la limpieza de los pisos falsos. limpieza de piso falso (Polvo, basuras, acumulación de cables que no se usan, etc.). Sería conveniente tener 27. No se pudo obtener una No se pudo obtener la memoria de cálculo del Sistema documentación que avale que disponible la memoria de de Hidrantes. el Sistema de Hidrantes cálculo del Sistema de cumpla con el objetivo para Hidrantes. el cual fue diseñado. 28. No se ha elaborado un plan Se pueden producir daños a Se debería elaborar un plan de de Emergencia y Evacuación los equipos y a las personas. Emergencia y Evacuación específico. La falta de un Sistema de específico. Sería conveniente 29. No se realizan los simulacros Audio hace que la señal de realizar los simulacros de de evacuación. emergencia y la evacuación evacuación. Se debería instalar 30. No existe un Sistema de no realice en forma rápida y un Sistema de Audio para Audio para usarlo en caso de eficiente. usarlo en caso de emergencia. Impedimento para usar la Se deberían retirar las cajas, emergencia. 31. Cajas, puertas de muebles, etc. obstruyen la salida en una de puerta en caso de emergencia. puertas de muebles y todos los las puertas (local de reparaciones elementos que obstruyan la de equipos). puerta del local de reparación de equipos. 56 32. No se cumple con la Potencial riesgo de incendio. Se debería dar cumplimiento a obligación “Prohibido Fumar”. la obligación “Prohibido Fumar”. 33. No está señalizada la salida Impide su identificación en Se debería señalizar la salida de emergencia. caso de emergencia. de emergencia. 34. No existen luces de Dificulta las acciones de Sería conveniente instalar luces emergencias autónomas. restablecimiento manual del de emergencias autónomas. sistema y el desplazamiento en los locales en caso de cortes de energía eléctrica. 35. En la cabina de los tubos de Falta de higiene y potencial Retirar los objetos ubicados en gas FM - 200 existen objetos que riesgo de incendio. la cabina de los tubos de gas no pertenecen a la instalación. FM - 200 que no pertenecen a la instalación. 36. No existen instrucciones Dificultad del personal para Sería conveniente colocar sobre el gas extintor FM – 200. actuar en caso de producirse instrucciones sobre el sistema una descarga del agente de extinción fijo. extintor. q Depósito de papeles y equipos - CPD- subsuelo- (ver Anexo III) 37. El lugar se encuentra sucio y Potencial riesgo de incendio Se debería limpiar y ordenar el desordenado. con compromiso a los pisos lugar. 38. Existencia de materiales superiores del Organismo. Debido a la existencia de combustibles. Refugio de roedores y otras materiales combustibles, sería 39. No se ha instalado protección plagas. conveniente instalar un sistema contra incendios. de protección contra incendios. 40. No existen carteles indicando Se deberían colocar carteles “Prohibido Fumar”. indicando “Prohibido Fumar”. 57 41. En los pasillos no hay Falta de respuesta inmediata Se deberían colocar los matafuegos. en caso de un conato de matafuegos en los pasillos. incendio. 42. No hay lámparas/tubos de Dificultad en caso de iluminación en las vías de acceso emergencia para evacuar el al depósito. Se deberían colocar las lámparas/tubos de iluminación lugar y acceder la brigada de en las vías de acceso al incendio. depósito. 43. El lugar no cumple con las Potencial riesgo de incendio Se debería dar cumplimiento mínimas medidas de Higiene y con compromiso a los pisos con la legislación vigente en Seguridad. superiores del Organismo. materia de Higiene y Refugio de roedores y otras Seguridad. plagas. q Sitio alternativo de procesamiento – Edificio externo al Organismo – Piso 7° (ver Anexo IV) Deberían estar disponibles 44. No se pudo verificar si se Dificultad para realizar realizaron estudios de carga de evaluaciones de riesgo como obtener los estudios de carga fuego, como así tampoco las así también para realizar de fuego y las normas que se normas que se han tenido en posibles modificaciones. han tenido en cuenta cuando se cuenta cuando se diseñó el sitio diseñó el sitio alternativo desde alternativo de procesamiento el punto de vista de riesgo de desde el punto de vista de riesgo incendios. Se deberían evaluar de incendios. los cerramientos perimetrales y la puerta de ingreso al sitio alternativo con respecto a la resistencia al fuego y posibles impactos. 58 45. Las paredes de los locales Posible deterioro en las Se deberían reparar las paredes presentan signos de humedad. instalaciones y equipos. e instalar en forma adecuada 46. En una de las paredes Potencial riesgo de accidente. los cables eléctricos. internas del local de ingreso, presentan orificios y cables eléctricos a la vista. 47. No se pudo determinar si en Posible deterioro en los Se deberían realizar los este lugar se realizan controles equipos. controles de humedad y de humedad y temperatura. temperatura. 48. No existen en la puerta En caso de emergencia Se deberían instalar en la principal de este local impide acceder en forma puerta principal controles interruptores de emergencia que rápida a las llaves de corte eléctricos de emergencia corten la energía que alimenta a del suministro eléctrico. accesibles al operador (llaves todo el sistema eléctrico. de corte de energía eléctrica usadas en casos de emergencia). Los mismos deberían estar protegidos contra potenciales sabotajes, etc. ocasionados por personal no autorizado. 59 49. No posee lámparas/tubos de Las vías de acceso sin Se deberían colocar las iluminación la escalera de acceso iluminación, cubiertas de lámparas/tubos de iluminación principal. materiales combustibles y la escalera de acceso principal. 50. Los pasillos y lugares de sucias impiden un acceso Se debería mantener el orden y paso para acceder al Piso 7° se rápido y seguro. la limpieza en los pasillos y encuentran cubiertos de papeles, Impedimento para circular muebles, sillas rotas, cajas de por las vías de ingreso y cartón y pedazos de espuma de egreso especialmente en nylon. emergencias. áreas de paso para acceder al Piso 7°. 51. El acceso se encuentra sucio y desordenado. 52 Hay humedad en la pared del Deterioro de las instalaciones Realizar las reparaciones en el gabinete donde están ubicados existentes en el lugar. gabinete donde están ubicados los tubos de gas del agente los tubos de gas del agente extintor FM – 200. extintor FM – 200. 53. No existen instrucciones Dificultad del personal para Se estima conveniente colocar sobre del gas extintor FM-200. actuar en caso de producirse instrucciones con respecto a los una descarga del agente sistemas de protección contra extintor. incendios. 54. No existe un plan de Impedimento para circular Debería existir un plan de mantenimiento de las luces por las vías de ingreso y mantenimiento de las luces externas en las vías de ingreso y egreso, especialmente en externas en las vías de ingreso egreso. emergencias. y egreso 55. No existen luces de Dificulta las acciones de Sería conveniente instalar luces emergencias autónomas. restablecimiento manual del de emergencias autónomas. sistema y el desplazamiento en los locales en caso de cortes de energía eléctrica. 60 56. No se observan en el local Riesgo de incendios. Si se Se estima conveniente evaluar ubicado en el piso inferior del declara un incendio en el el emplazamiento del sitio sitio alternativo sistemas de local ubicado piso inferior alternativo con respecto a otras protección contra incendios. afectará el sitio alternativo. áreas del edifico desde el punto de vista de riesgo de incendio. Nivel de Riesgo ü Alto 61 4.26 Objetivo de control : Suministro Ininterrumpido de Energía (UPS). La Gerencia deberá evaluar regularmente la necesidad de generadores y baterías de suministro ininterrumpido de energía para las aplicaciones críticas de tecnología de información, con el fin de asegurarse contra fallas y fluctuaciones de energía. Cuando sea justificable, deberá instalarse el equipo más apropiado. q CPD (centro de procesamiento de datos) Observaciones 1. No hay mantenimiento Efecto Potencial riesgo de Recomendaciones Se debería realizar el preventivo de la UPS (Unidad de imposibilidad de uso de la mantenimiento preventivo de la Energía Ininterrumpida). UPS (Unidad de Energía UPS (Unidad de Energía Ininterrumpida). en el CPD. Ininterrumpida). q Sitio alternativo de procesamiento – Edificio externo al Ministerio de Economía – Piso 7° Observaciones 1. No posee UPS (Unidad de Energía Ininterrumpida). Efecto Pérdida de información. Recomendaciones Se debería instalar UPS (Unidad de Energía Ininterrumpida). Nivel de Riesgo ü Alto 5. CONCLUSIONES. Nuestro análisis sobre la arquitectura de la información de SIDIF se ha limitado a evaluar controles de la seguridad física, lógica y de administración en torno a la base de datos de producción de SIDIF Central. El área donde se desarrolló la auditoría ha sido la Unidad Informática. 62 En la misma se encontró un alto nivel de profesionalismo basado en la calidad de sus cuadros técnicos. Otro aspecto auspicioso es la aplicación de metodologías y tecnologías actuales para el desarrollo y la administración del ciclo de vida del desarrollo del sistema entre las cuales es de destacar, la herramienta para la administración de fuentes. Tanto en el tipo de organización adoptada como en ciertos aspectos de administración se encontraron debilidades en los controles. La organización de la UI posee un alto grado de informalidad que si bien provee gran flexibilidad suele estar acompañada de inadecuada separación de funciones y responsabilidades que generan desprotección en el control de funciones sensibles como la administración de la base de datos. En relación a la seguridad física se considera conveniente evaluar y adecuar los locales a las normativas Nacionales e Internacionales referentes a la protección contra incendios, como así también realizar y cumplimentar los planes de contingencia y optimizar los controles de ingreso y egreso. La debilidades encontradas para asegurar la continuidad del servicio de SIDIF descansan en la inexistencia de un sitio alternativo de procesamiento y falencias en la seguridad física de las instalaciones del CPD. Una adecuada respuesta deberá estar sustentada en un Plan de Contingencia integral. Tanto en la administración de usuarios, la administración de la estandarización y documentación de SIDIF y aspectos de la administración de cambios se han detectado debilidades en el control atribuibles en parte, a la complejidad y/o volumen de la información involucrados. 63 Nuestras recomendaciones se basan en proveer mayor automatización incorporando controles en instancias proactivas y cuya implementación este acompañada de una clara asignación de responsabilidades y funciones del personal interviniente. Se estima conveniente extender esa política a la gestión de los planes y proyectos de la UI, es decir, desarrollar sistemas que aseguren de manera precisa el seguimiento y control de los mismos. También se considera necesario organizar la presencia y decisión de los usuarios en aspectos como la priorización de los trabajos, la aprobación de las mejoras requeridas y en la formulación del Plan de Estratégico de Sistemas. En el mismo sentido, se recomienda insertar la formulación del Plan de Calidad, en el marco de la visión estratégica definida por los órganos rectores, incorporando a éste niveles de servicio e indicadores que deberá fijar la Unidad Informática, con el objetivo de lograr una mejora continua. Si bien la Reingeniería del SIDIF no fue motivo de evaluación de esta auditoría, se observaron problemas derivados de la coexistencia de dos versiones del sistema. Cabe destacar también que la versión del motor de la base de datos Oracle en la que se mantiene y actualiza la información se encuentra discontinuada y sin asistencia técnica por parte del proveedor. Finalmente esta circunstancia, genera distintos niveles de riesgos en la administración del sistema, por lo que se estima necesario asignar prioridad a la finalización del plan de migración. 6. LUGAR Y FECHA DE LA EMISION DEL INFORME: Buenos Aires, 25 de Junio del 2002.- 7. FIRMA: 64 ANEXO I (RESERVADO) 65 ANEXO II 66 ANEXO III 67 ANEXO IV 68 ANEXO V SAF LOCALES SCO UNIX WINDOWS TYNI TERM FIREWALL PROXY RED DEL MECON SAF AC SERVIDOR DE COMUNICACIONES ENTRE RED UI Y MECON Módem ROUTER TRANSAF LOCAL SAF OD FIREWALL PROXY SERVIDOR WINDOWS NT PDC CUENTAS DE USUARIOS DE RED UI SERVIDOR BACKUP SERVIDOR DE COMUNICACIONES CENTRAL TRAFICO FIREWALL/ ROUTER/ SWITCH CON CAPACIDAD CAPA 3 | EQUIPAMIENTO COMPUTADORAS PERSONALES DE LA UNIDAD INFORMATICA UNIX SERVIDOR DE COMUNICACIONES TRANSAF CENTRAL UNIX HP SERVIDOR PRODUCCION SIDIF SIDIF CENTRAL Módem SERVIDOR DE BACKUP WINDOWS NT BDC USUARIOS RAS RED INDEPENDIENTE EJ. VLAN 69