Planificación Auditoría Informática Tecnología de la Información en la Biblioteca Nacional. Res N°: 21/2009 - Fecha: 26/02/09 Datos del Informe • La auditoría se propuso evaluar la gestión de la Tecnología de la Información en la Biblioteca Nacional, organismo descentralizado en la órbita de la Secretaría de Cultura de la Presidencia de la Nación, para determinar debilidades y fortalezas de la administración de la información. Período Auditado • Julio 2007 - Febrero 2008. CONSIDERACIONES GENERALES ASPECTOS PRINCIPALES La Biblioteca Nacional es un organismo descentralizado y autárquico en Jurisdicción de la Secretaría de Cultura de la Presidencia de la Nación, con personería jurídica propia, conforme lo prescripto por el artículo 1º del Decreto 1386/96 del 29 de noviembre de 1996. Por Decreto 94/98 se aprobó la estructura organizativa del organismo, destacando dentro del Anexo II – Las AccionesPunto 4 y en lo que se refiere al objetivo informático el: “Planificar y dirigir la instalación y administración de las redes informáticas que faciliten la mejor atención al público en salas y a distancia”. Ninguno de los cuatro objetivos de control considerados (Planificación y Organización; Administración e Implementación; Entrega y Soporte y Monitoreo) alcanza el nivel mínimo necesario para cumplir con los objetivos y las acciones que la legislación le asigna al organismo, ni para garantizar la conservación de la información digital disponible en la actualidad. La evaluación realizada con el modelo genérico de madurez indica que el 100% de los objetivos de control se encuentran en los niveles más bajos del modelo: “”No conforma” e “Inicial”, y ninguno alcanza el valor mínimo recomendable de “Proceso Definido”. La conducta del organismo en los temas de Tecnología de la Información es reactiva y genera los inconvenientes típicos de la falta de planificación. La localización del centro de cómputos es inapropiada, está ubicado en lo que fue un depósito y está cruzado en altura por caños que transportan distintos tipos de fluidos poniendo en peligro la continuidad de su funcionamiento. El Departamento de Sistemas no cuenta con una estructura propia aprobada, ni con un jefe nombrado por concurso, ni con personal de planta o con los perfiles necesarios. Algunas observaciones y comentarios - Plan Estratégico de Tecnología de la Información. No se realiza planificación estratégica formal. No hay conciencia de que se necesita una planificación estratégica de Tecnología de la Información para planificar. ¿Cómo se llevó a cabo el presente informe? La tarea se basó en la verificación de los Objetivos de Control fijados por las normas COBIT (Contro Objetives for Information and related Technology- Objetivos de Control de la Información y las Tecnologías Relacionadas). Informe completo www.agn.gov.ar/informes/ informesPDF2009/2009_021.pdf Los informes de Auditoria son aprobados por el Colegio de Auditores Generales conformado por el Presidente Dr. Leandro O. Despouy, y los Auditores Generales Dr. Vicente M. Brusca, Dr. Francisco J. Fernández, Dr. Alfredo Fólica, Dr. Oscar S. Lamberto, Dr. Gerardo L. Palacios y Dr. Horacio F. Pernasetti. Página 2 Normativa Vigente Decretos: 1386/96– 94/98 - Administración de los Recursos Humanos. No se ha tomado conciencia de la importancia de alinear la administración de recursos humanos de Tecnologías de la Información con el proceso de planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente responsable de la administración de recursos humanos específicos de Tecnologías de Información. El personal de Sistemas es contratado y no es evaluado. - Garantía de la Seguridad de los Sistemas. El Organismo reconoce la necesidad de la seguridad de TI pero la concientización depende de cada persona. La seguridad de la TI se encara en forma reactiva y no se realizan mediciones. Las responsabilidades no son claras. Las respuestas a las violaciones de la seguridad de la TI son impredecibles. - Monitoreo de los procesos. El organismo no ha implementado procesos de monitoreo. La función de TI no monitorea proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y precisos ni con objetivos de proceso claramente entendidos.