Ambiente de control de la tecnología de la información (TI) y de los sistemas a seleccionar SERVICIO METEOROLÓGICO NACIONAL (SMN) GCIA. PLANIFICACIÓN Y PROYECTOS ESPECIALES Dto. de Auditoría Informática Informe aprobado por Resolución AGN 015/14 OBJETO DE AUDITORÍA Ambiente de control de la tecnología de la información (TI) y de los sistemas a seleccionar en el Servicio Meteorológico Nacional. ACLARACIONES PREVIAS CONCLUSIONES MARCO LEGAL E INSTITUCIONAL El principal activo de esta organización es la información; una vez capturados y procesados los datos meteorológicos, se elaboran informes de vital importancia. Sin embargo, por la falta de controles, la información está expuesta a riesgos que exceden los valores normales. 4 de octubre de 1872. Se crea la Oficina Meteorológica Argentina (OMA), dependiente del Ministerio de Agricultura de la Nación (Ley 559). 1924. La OMA pasa a llamarse Dirección Meteorológica. 1927. Toma el nombre de Dirección de Meteorología. AUTORIDADES AGN Presidente Dr. Leandro O. Despouy Auditores Generales Dr. Vicente Brusca Dra. Vilma Castillo Dr. Francisco Fernández CPN Oscar Lamberto Dr. Alejandro Nieva Dr. Horacio F. Pernasetti AGN Hipólito Yrigoyen 1236 (C1086AAV) CABA – Argentina Tel.: (54 11) 4124-3700 Fax: (54 11) 4124-3775 informacion@agn.gov.ar www.agn.gov.ar 1935. Pasa a ser la Dirección de Meteorología, Geofísica e Hidrología (DMGH), manteniendo su dependencia del Ministerio de Agricultura. 1945. Sobre la base de la DMGH y pasando a depender de la Secretaría de Aeronáutica, se crea el Servicio Meteorológico Nacional (SMN) (Ley 10.131). 1957. El SMN pasa al ámbito del Ministerio de Aeronáutica de la Nación. 1966. El 18 de octubre, el SMN es transferido a la órbita del Comando de Regiones Aéreas de la Fuerza Aérea Argentina. 2007. A partir del 1° de enero se transfiere el SMN al ámbito de la Secretaría de Planeamiento del Ministerio de Defensa como organismo descentralizado (Decreto 1689/06). MISIONES Y FUNCIONES DEL SMN Observar y comprender la predicción del tiempo y el clima, tanto en el territorio nacional como en zonas oceánicas adyacentes con el objeto de contribuir a la protección de la vida y la propiedad de sus habitantes y al desarrollo sustentable de la economía, representando al país ante los organismos meteorológicos internacionales. - Dar cumplimiento a las obligaciones asumidas por el país ante los organismos meteorológicos internaciones. - Proveer y mantener los sistemas de recopilación y control de calidad de los datos de observación en un Banco El organismo carece de planes, políticas y procedimientos formales de TI. El área de TI se encuentra, organizacionalmente, en un lugar inadecuado de la estructura, ya que depende de un área usuaria. Es necesario reposicionarla jerárquicamente para permitirle llevar a cabo una gestión centralizada desde donde definir e implementar políticas y procedimientos de manera transversal, referidos al tratamiento de la información. Hay personal e infraestructura de TI en áreas usuarias, que no dependen del área de informática, y que llevan a cabo tanto sus propios desarrollos como el mantenimiento de aplicaciones y resguardo de datos, sin seguir políticas y procedimientos definidos por el área de TI de la organización. En consecuencia, se incumplen las normas referidas a la TI que rigen el Sector Público Nacional y hay debilidades en seguridad informática. Cuestiones tales como que haya proveedores de servicios sin contrato y cobrando por legítimo abono, aplicaciones de cuyos programas fuente no se dispone; ausencia de controles internos, de un plan de contingencia formalizado, de procedimientos de respaldo de información, de un sitio alternativo de procesamiento, de políticas y procedimientos de seguridad, entre otros, ponen en riesgo el suministro oportuno de la información que el organismo debe proveer. Los responsables del organismo deben fijar normativas para disminuir los riesgos y alcanzar un entorno de control adecuado. Los índices de madurez correspondientes a la TI del organismo se encuentran mayormente en “Inicial”. (Ver “Niveles del Modelo Genérico de Madurez”, abajo). La web institucional requiere un rediseño funcional y tecnológico que incluya una revisión de todas las aplicaciones intervinientes, dado que las existentes generan riesgos altos en los procesos críticos del organismo. Nacional de Datos Meteorológicos y Ambientales. Esos datos se procesan para la provisión de servicios meteorológicos y climatológicos, en tiempo real, con el fin de organizar el registro climatológico nacional. Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados, pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, con base en los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios.