2014_171info.pdf
Anuncio
AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES C.P.N. Gerardo Prataviera DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin Objeto de Auditoría: Evaluación de la Tecnología Informática del Instituto Nacional de Tecnología Agropecuaria – INTA – Sede Central Índice 1. OBJETO DE AUDITORÍA ........................................................................................................................... 1 2. ALCANCE ..................................................................................................................................................... 1 3. ACLARACIONES PREVIAS ....................................................................................................................... 3 4. COMENTARIOS Y OBSERVACIONES ..................................................................................................... 7 A. ANÁLISIS BAJO NORMAS COBIT ........................................................................................................ 7 4.1. PLANIFICAR Y ORGANIZAR .......................................................................................................... 7 4.1.1 Definir un plan estratégico para TI .................................................................................................... 7 4.1.2 Definir la arquitectura de información .............................................................................................. 8 4.1.3 Determinar la dirección tecnológica ................................................................................................ 10 4.1.4 Definir los procesos, organización y relaciones de TI ..................................................................... 10 4.1.5 Administrar la inversión en TI ........................................................................................................ 13 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ............................................................... 14 4.1.7 Administrar los recursos humanos de TI ......................................................................................... 14 4.1.8 Administrar la calidad ..................................................................................................................... 15 4.1.9 Evaluar y administrar los riesgos de TI ........................................................................................... 16 4.1.10 Administrar proyectos ................................................................................................................... 17 4.2. ADQUIRIR E IMPLEMENTAR ....................................................................................................... 19 4.2.1 Identificar soluciones automatizadas ............................................................................................... 19 4.2.2 Adquirir o desarrollar y mantener software aplicativo .................................................................... 20 4.2.3 Adquirir y mantener infraestructura tecnológica ............................................................................. 20 4.2.4 Facilitar la operación y el uso .......................................................................................................... 21 4.2.5 Adquirir recursos de TI ................................................................................................................... 22 4.2.6 Administrar cambios ....................................................................................................................... 23 4.2.7 Instalar y acreditar soluciones y cambios ........................................................................................ 24 4.3. ENTREGAR Y DAR SOPORTE ....................................................................................................... 25 4.3.1 Definir y administrar los niveles de servicio ................................................................................... 25 4.3.2 Administrar servicios de terceros .................................................................................................... 26 4.3.3 Administrar el desempeño y la capacidad ....................................................................................... 27 4.3.4 Garantizar la continuidad del servicio ............................................................................................. 28 4.3.5 Garantizar la seguridad de los sistemas ........................................................................................... 29 4.3.6 Identificar y asignar costos .............................................................................................................. 31 4.3.7 Educación y capacitación de los usuarios........................................................................................ 32 4.3.8 Administrar la mesa de servicio y los incidentes............................................................................. 33 4.3.9 Administrar la configuración........................................................................................................... 34 4.3.10 Administración de problemas ........................................................................................................ 35 4.3.11 Administración de Datos ............................................................................................................... 36 4.3.12 Administración de instalaciones .................................................................................................... 37 4.3.13 Administración de operaciones ..................................................................................................... 41 4.4 MONITOREAR Y EVALUAR ........................................................................................................... 43 4.4.1 Monitorear y evaluar el desempeño de TI ....................................................................................... 43 4.4.2 Monitorear y evaluar el control interno ........................................................................................... 44 4.4.3 Garantizar el cumplimiento con requerimientos externos ............................................................... 45 4.4.4 Proporcionar gobierno de TI ........................................................................................................... 47 5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS DESCARGOS FORMULADOS POR EL INSTITUTO NACIONAL DE TECNOLOGIA AGROPECUARIA ................... 49 6. RECOMENDACIONES .............................................................................................................................. 50 7. CONCLUSIONES ....................................................................................................................................... 90 8. LUGAR Y FECHA ...................................................................................................................................... 92 9. FIRMA ......................................................................................................................................................... 92 ANEXO I ......................................................................................................................................................... 93 ANEXO II ........................................................................................................................................................ 94 ANEXO III ....................................................................................................................................................... 99 ANEXO IV .................................................................................................................................................... 103 ANEXO V – ESTUDIO DE SITUACION DE LOS REFERENTES INFORMATICOS EN EL INTERIOR DEL PAIS ...................................................................................................................................................... 112 ANEXO VI………………………………………………………………………………………………… 148 ANEXO VII - DESCARGO DEL INSTITUTO NACIONAL DE TECNOLOGIA AGROPECUARIA (INTA) Y COMENTARIOS RELATIVOS DE AGN………………………………………………….… 151 Al Señor Presidente Ing. Agr. Francisco Juan Oscar ANGLESIO Instituto Nacional de Tecnología Agropecuaria (INTA) En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de Agricultura, Ganadería y Pesca de la Nación, con el objeto que se detalla en el apartado 1. 1. OBJETO DE AUDITORÍA Evaluación de la Tecnología Informática del Instituto Nacional de Tecnología Agropecuaria (INTA) Sede Central. 2. ALCANCE 2.1. La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en el Instituto Nacional de Tecnología Agropecuaria (INTA), en base a la información obtenida1 y a las pruebas sustantivas y de cumplimiento realizadas. Se identificaron los temas de mayor exposición al riesgo del ambiente de control que comprendieron los siguientes aspectos: Relevamiento y Análisis de: planificación y organización el organigrama del área de tecnología informática y su funcionamiento, el presupuesto operativo anual del área, la administración de recursos humanos de TI, la evaluación de riesgos, la administración de proyectos, la administración de calidad las prácticas de instalación y acreditación de sistemas y de administración de cambios, 1 la definición de los niveles de servicio, la administración de los servicios prestados por terceros, la administración de la capacidad y el desempeño, los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas, la imputación de costos, la capacitación de los usuarios, la gestión de los usuarios de la Tecnología de la Información, la administración de la configuración de hardware y software, la administración de problemas e incidentes, la administración de datos, de instalaciones y de operaciones, el monitoreo de los procesos, la idoneidad del control interno y la existencia de auditoría interna. documentación normativa del área informática del Organismo. infraestructura informática del Organismo. sistemas existentes en producción y desarrollo. estándares de nacionales e internacionales y normativas de la ONTI2 y SIGEN. la integración de los sistemas, la infraestructura existente la planificación a la misión y metas del Organismo las leyes y decretos que regulan su actividad. Verificación del modelo de arquitectura de la información y su Seguridad informática. - usuarios de la red informática Políticas y procedimientos Documentación de los Sistemas. 2.2. Procedimiento de Auditoría: En la etapa de análisis detallado se evaluó: El ambiente de control en la gestión de la Tecnología de la Información y Comunicaciones. Se celebraron más de treinta entrevistas con los responsables de las diversas áreas relacionadas directa o indirectamente con la TI. 2 Verificaciones in situ en los diversos centros de procesamiento de datos casa central e interior en materia de seguridad física Verificación de la seguridad lógica Análisis de información recibida Sitio web (http://inta.gob.ar/). Intranet http://intranet.inta.gob.ar/ Pruebas de cumplimiento: Entrevistas y verificaciones, en las siguientes dependencias del organismo en: 1.- Administración Central: Chile 2.- Sede Rivadavia 3.- Sede Alsina Estación Experimental Agropecuaria Área Metropolitana de Buenos Aires Av. Gob. Udaondo 1695, Ituzaingo. Instituto de Clima y Agua - Nicolas Repetto y de los Reseros s/n (1686), Hurlingham. Centro Regional Sur - Calle 16 N° 674, Balcarce. Estación Experimental Agropecuaria Balcarce - Ruta 226 km 73,5 Balcarce. Agencia de Extensión Rural Necochea - Jesuita Cardiel 2332, Necochea. Las tareas de campo abarcaron entre los meses de septiembre, octubre, noviembre y diciembre del año 2013. 3. ACLARACIONES PREVIAS El Instituto Nacional de Tecnología Agropecuaria (INTA) es un organismo estatal descentralizado con autarquía operativa y financiera, dependiente del Ministerio de Agricultura, Ganadería y Pesca de la Nación. Fue creado3 el 4 de diciembre de 1956 con el fin de impulsar y vigorizar el desarrollo de la investigación y extensión agropecuarias para el mejoramiento de la empresa agraria y la 3 vida rural. La ley faculta al organismo para ampliar o crear estaciones experimentales, institutos de investigación, laboratorios, servicios de extensión, campos demostrativos o explotaciones pilotos, a cuyo efecto se lo faculta para planificar, proyectar, realizar y conducir las obras, trabajos y demás servicios necesarios. La estructura orgánica del Instituto, está establecida con: Un Consejo Directivo que entre sus funciones se establece el dictado del reglamento del organismo, así como estructurar y racionalizar sus servicios, celebrar convenios de colaboración con el fin de llevar a cabo programas de investigación y de extensión agropecuaria y elevar anualmente al Poder Ejecutivo una memoria detallada de sus actividades técnicas y administrativas. Está regido por un Presidente y un Vicepresidente, designados por el Poder Ejecutivo Nacional, además de vocales en representación del sector Público y Privado.4 Una Dirección Nacional que es el órgano ejecutivo del organismo, encargado entre otras funciones la de formular los objetivos y planes generales de trabajo; asesorar al Consejo Directivo y hacer cumplir sus resoluciones, manteniéndolo permanentemente informado sobre la marcha del organismo. En el año 1986 habida cuenta las transformaciones operadas en el sector agropecuario respecto de la demanda por tecnología como por el incremento de participantes en la generación y transferencia tecnológicas, se llevó a cabo un proceso de descentralización operativa y se habilitó a la participación en la conducción de los sectores involucrados5 En la actualidad, cuenta con 15 Centros Regionales (CR), 250 Agencias de Extensión Rural (AER) y otras instalaciones con distintas funciones y denominaciones (Campo Anexo, Centro Experimental, Estación Forestal, Oficinas de proyecto, Laboratorio, Agencias de Proyecto, Oficina de Información Técnica, Campos Forestales, Unidad de Extensión y Experimentación Adaptativa, Oficina de Desarrollo) que dependen funcionalmente de los CR y conforman una red de asistencia técnica a lo largo del territorio nacional. 4 Además de estos órganos rectores, la matriz institucional se completa con Programas Nacionales (PN) y Áreas Estratégicas (EA).6 La Información suministrada por el Organismo, expresa que: En Argentina, las 327 cadenas agroalimentarias aportan un 15% del PBI8, producen alimentos para 430 millones de personas, generan 1.870.000 puestos de trabajo9, representan aproximadamente 50% de las exportaciones 10 y se e estima que la demanda de alimentos aumentará un 70% en los próximos 40 años.11 El 85% del área sembrable del país, se exporta por el puerto de Rosario12 (con altos costos de flete13), mayormente de cereales y oleaginosas con escasos procesos industriales14. Gran parte de las exportaciones del país son producción agrícola primaria, sin el agregado de valor, generando además pocos puestos de trabajo, y ocasionando migraciones poblacionales desde el interior hacia los grandes centros urbanos produciendo índices demográficos negativos en poblaciones agrícolas. Simultáneamente, el país importa bienes industrializados con un valor de la tonelada, sustancialmente mayor.15 Ganadería. Las diferentes cadenas agroindustriales demandan el 36% de la mano de obra del país. De éstas, la mayor incidencia en la generación de empleo está asociada a la cadena de carnes y cueros con el 23%, lo que la transforma en una de las industrias más importantes, inclusive superando en importancia a la industria automotriz y textil. Por sí sola, acumula aproximadamente el 20% de los aportes impositivos de la actividad agroindustrial en su conjunto.16 Bioenergía. Argentina dispone de una biomasa vegetal, que dada la balanza comercial energética, hoy negativa, demanda un alto costo de importación. Se ofrecen oportunidades de negocio en origen para la generación de bioenergía, tales como biodiesel, biometano, bioelectricidad, bioetanol, biogás y subproductos. 17 Maquinaria Agrícola. El campo varió sustancialmente la forma de producir con el uso de nuevas maquinarias. Es el principal segmento de la industria argentina en 5 bienes de capital, con fuerte crecimiento exportador en los últimos años, Existen aproximadamente 850 empresas, que generan alrededor de 40.000 empleos directos –en su mayor parte personal de mano de obra calificada- y 50.000 empleos indirectos, factura 3.300 millones de pesos y exporta en la actualidad por 256 millones de dólares.18 El rol social del INTA. El organismo cumple un importante aporte a la economía social, a través de distintos programas que tienden a reforzar y potenciar a los pequeños y medianos productores, por medio de la investigación y la intervención de sus profesionales, mejorando la equidad social, la sustentabilidad y la competitividad de la actividad de éstos. En este sentido, cabe destacar los programas que integran a más de 630.000 huertas comunitarias y 130.000 granjas.19 En función de su amplia distribución geográfica, el INTA ha encarado un plan para la interconexión de aproximadamente 420 puntos en red con servicio de disponibilidad las 24 horas del día los 365 días del año, con el objetivo de: Realizar una gestión centralizada de la información, que permita a la Dirección Nacional, tener un tablero de control de la organización. Manejo eficiente de los recursos. Compartir recursos, conocimientos, implementar planes de capacitación y divulgación a distancia. Mejorar la integración y cohesión de las tareas de las distintas unidades, a través de los distintos canales de comunicación (video, voz, datos, etc) para que trabajen en conjunto. Mejorar la logística, evitando el traslado físico de personas y otros recursos. Incorporar mayor tecnología a la gestión, mediante aplicaciones para dispositivos móviles. Con éstas se podrán enviar y recibir información en tiempo real, que serán de utilidad considerando la extensión territorial del organismo.20 Minimizar redundancia de datos. 6 4. COMENTARIOS Y OBSERVACIONES Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por el marco de referencia de buenas prácticas de TI COBIT (Control Objectives in Information Technologies) versión 4.1. Los Objetivos de Control describen los resultados que debe alcanzar un Organismo implantando procedimientos, basados en las mejores prácticas aplicables, a los procesos de TI. Para cada uno de los Objetivos se menciona el nivel de madurez que le corresponde, conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. En el punto 6, se encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos. Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la información (detallados en el Anexo III) son afectados. Se destaca que cada Objetivo de Control va acompañado de su nivel de riesgo genérico (alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su incumplimiento y sin estar vinculado con la situación del Organismo. Ese nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones realizadas) para establecer el riesgo específico para ese objetivo en particular. Puede observarse en los gráficos de los Anexos II y IV que un Objetivo de Control que tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto, genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y un índice de madurez bajo. 4.1. PLANIFICAR Y ORGANIZAR 4.1.1 Definir un plan estratégico para TI Objetivo de control: Se requiere una planeación estratégica de Tecnología de la Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los objetivos estratégicos del Organismo y las prioridades. La función de TI y los niveles decisorios de la organización, son responsables de garantizar que se materialice el valor óptimo de los proyectos y servicios. El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el 7 desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y aceptadas tanto por el Organismo como por TI. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia de TI conoce la necesidad de una planeación estratégica de TI. La planeación de TI se realiza en base a requerimientos específicos. La alineación de los requerimientos de las aplicaciones y tecnología se lleva a cabo de modo reactivo. La posición de riesgo estratégico se identifica de manera informal proyecto por proyecto. Observaciones: Existen tanto el plan estratégico institucional21 como su correspondiente de TI22, pero sus metas no se encuentran respaldadas por sus correspondientes planes tácticos que detallen como se lograrán los objetivos planteados. No hay detalles de tiempos, recursos afectados, costos, hitos intermedios a alcanzar, o riesgos relacionados. Por consiguiente, no se hace posible un correcto control y seguimiento. De hecho, del Plan Estructurante, concebido entre los años 2006 y 2007, gran parte de los objetivos (salvo aquellos relacionados con la infraestructura informática), no se han cumplido al momento de los trabajos de campo de esta auditoría. 4.1.2 Definir la arquitectura de información Objetivo de control: La función de los sistemas de información debe crear y actualizar de forma regular un modelo de información y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario de datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales proveyendo información confiable y 8 segura, y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del Organismo. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades. Este objetivo de control afecta, primariamente: la eficiencia la integridad y en forma secundaria: la efectividad la confidencialidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos de sus componentes ocurre de manera ad hoc. Las definiciones abarcan datos en lugar de información, y son impulsadas por ofertas de proveedores de software aplicativo. Existe una comunicación esporádica e inconsistente de la necesidad de una arquitectura de información. Observaciones: El Organismo no estableció un modelo de arquitectura de información integrada que incluya un diccionario y un esquema de clasificación, de acuerdo a la criticidad y la sensibilidad, de datos. Tampoco están formalizados procedimientos para definir datos nuevos que aseguren la integridad y la consistencia de toda la información almacenada. Se llevan a cabo desarrollos en distintas unidades del INTA sin seguir ningún lineamiento organizacional dependiente de la administración central. Conviven distintas plataformas de hardware y software, los datos en muchos casos se almacenan localmente, sin seguir una política de seguridad de datos. Esta situación puede generar redundancia de datos, inconsistencias y/o fuga de información fuera el organismo. 9 4.1.3 Determinar la dirección tecnológica Objetivo de control: La función de servicios de información debe determinar la dirección tecnológica para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la creación de un plan de infraestructura tecnológica y de un consejo de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar la economía de escala en los sistemas de información utilizados por el personal o para la toma de decisiones, como también en interoperabilidad entre las plataformas y las aplicaciones. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implementación de tecnologías emergentes son específicos para un fin determinado. La dirección tecnológica está impulsada por los planes evolutivos, del hardware, del software de sistemas y de los proveedores de software aplicativo. La comunicación del impacto potencial de los cambios en la tecnología es poco clara. Observaciones: No se desarrolló un Plan de Infraestructura que esté de acuerdo con los planes estratégicos y tácticos de TI alineados con los de la organización, con establecimiento de estándares, dirección tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras que engloben a todo el Organismo. 4.1.4 Definir los procesos, organización y relaciones de TI Objetivo de control: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y 10 supervisión. El Organismo estará inserto en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios, como TI, debe determinar las prioridades de los recursos de TI alineados con las necesidades del Organismo. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los procesos importantes de decisión. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Las actividades y funciones de TI son reactivas. TI se involucra en los proyectos solamente en las etapas finales. La función de TI se considera como una función de soporte, sin una perspectiva organizacional general. Existe un entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y las responsabilidades no están formalizadas. Observaciones: Falta la aprobación de una estructura formal de TI para las posiciones inferiores a gerentes, que en la actualidad se ejercen ad hoc. Por otra parte, de la estructura de TI, depende el Departamento de Biblioteca, que es un área usuaria. No existen descripciones formales de políticas, normas y procedimientos de TI. Se observan además desarrollos de software e instalaciones que no cuentan con el control del área de TI, sin misiones y funciones explicitas aprobadas en todos los niveles. Esta situación provoca una disminución de los controles internos. No se estableció un comité estratégico de TI formado por representantes de los niveles decisorios y de TI que determine las prioridades de los programas de inversión alineados 11 con la estrategia y prioridades del Organismo. Existe un Comité de Informática pero sólo con enfoque hacia la infraestructura. La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas. Faltan posiciones claves como personal que tenga a su cargo la administración de proyectos, análisis funcionales, aseguramiento de la calidad y gestión de riesgos. La función de seguridad está asignada a una sola persona, lo cual dada la magnitud de las instalaciones, se le hace imposible cumplir con las misiones y funciones encomendadas descriptas en la política de seguridad.23 En relación a la infraestructura de TI, a cuyo cargo se encuentra la Gerencia de Informática, la misma cuenta con una dotación interna, además de una estructura informal en el interior del país, de agentes del organismo, que llevan a cabo tareas técnicas solicitadas desde la administración central, que se denominan “Referentes Informáticos” (RI). Tanto la dotación interna como los RI son insuficientes para garantizar un servicio de continuidad. Sobre el rol de cada RI cabe destacar que: No se encuentran definidas formalmente ni las misiones, ni las funciones ni las responsabilidades. En muchos casos desempeñan otras tareas además de esta función. En la mayoría de las zonas asignadas, son la única persona a cargo de esta tarea, con lo cual existe una dependencia riesgosa ante su eventual ausencia. Algunos se encuentran bajo un modo de contratación sin estabilidad en cuanto a la relación de continuidad, no acorde a la criticidad de sus responsabilidades. En algunos casos, deben desplazarse muchos kilómetros24 y tienen demasiados puestos de trabajo para atender. No pueden realizar un programa preventivo que evite una posible discontinuidad del servicio. Se detalla en el ANEXO V un estudio sobre la situación por cada Centro Regional. 12 4.1.5 Administrar la inversión en TI Objetivo de control: Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto. Trabajar con los interesados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los beneficios y el retorno sobre las inversiones en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de seleccionar, administrar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y tácticas. Observaciones: El enfoque presupuestario en relación a TI es en general, por proyecto. Falta la implementación de un enfoque orientado a la administración por centros de costos así como un proceso de monitoreo para determinar la contribución esperada de TI a los objetivos estratégicos del Organismo. La asignación de los recursos de TI no está imputada a los usuarios de los servicios de TI, sino en todos los casos a la propia área de TI. 13 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia Objetivo de control: La dirección debe elaborar un marco de trabajo de control organizacional para TI, y definir y comunicar las políticas. Se debe implantar un programa de comunicación continua para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: el cumplimiento Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia es reactiva al resolver los requerimientos del ambiente de control de información. Las políticas, procedimientos y estándares se elaboran y comunican de forma ad hoc de acuerdo a los temas. Algunos procesos de elaboración, comunicación y cumplimiento son informales. Observaciones: La Dirección Nacional Asistente de Sistemas de Información, Comunicación y Calidad está en un proceso inicial de elaboración de un marco de trabajo de políticas y procedimientos de TI. Faltan algunas políticas y procedimientos relevantes tales como las relacionadas a la formulación y ejecución del Plan Estratégico de TI, formulación y administración de proyectos de TI, Ciclo de Vida de Desarrollo de Sistemas (existe una metodología, pero es incompleta), Pruebas e Implementación, Plan de Contingencia, Administración de Riesgos y Administración de Calidad, entre otros. 4.1.7 Administrar los recursos humanos de TI Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la 14 terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un enfoque táctico para contratar y administrar al personal de TI, dirigido por necesidades específicas de proyectos. Se imparte entrenamiento informal al personal nuevo, quienes después reciben entrenamiento según sea necesario. Observaciones: El personal de TI suele tener a su cargo procesos críticos relacionados con la operatoria de la organización. El Instituto tiene un Convenio Colectivo que promueve la profesionalización de sus empleados.25 En el mercado laboral, las áreas de TI suelen proveerse mayormente de personal idóneo, en muchos casos no profesional, pero especializado en tecnología, con altos niveles salariales. La rigidez del convenio o su falta de adecuación,26 provoca que los salarios ofrecidos por el organismo, estén por debajo del nivel del mercado, con lo cual dificulta el ingreso y la retención del personal. El organismo cuenta con un esquema limitado para generar nuevas vacantes, por lo que se procede a la contratación bajo la modalidad 1.8.7, becarios y otras, que no generan situaciones de estabilidad en los involucrados. Asimismo carece de una política de retención. 4.1.8 Administrar la calidad Objetivo de control: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con 15 indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los interesados. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de un Sistema de Administración de la Calidad (SAC) en relación a TI. Se realizan juicios informales sobre la calidad. Observaciones: No existen políticas ni un sistema de administración de calidad relacionado con TI que establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos del Organismo. 4.1.9 Evaluar y administrar los riesgos de TI Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas estratégicas del Organismo, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de tolerancia. 16 Este objetivo de control afecta, primariamente: la confidencialidad la integridad la disponibilidad y en forma secundaria: la efectividad la eficiencia el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales según lo determine cada proyecto. Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Observaciones: No existe un marco de administración de riesgos que permita identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente los riesgos tecnológicos se conocen, pero la falta de un inventario completo y detallado de la TI no permite una evaluación formal de éstos que contemple las fortalezas, las oportunidades, las debilidades y las amenazas. El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden generar perjuicios, sin que estén contempladas las medidas a tomar en cada caso. 4.1.10 Administrar proyectos Objetivo de control: Establecer un programa y un marco de control administrativo de proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de 17 la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación para garantizar la administración de los riesgos del proyecto y su contribución a los objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribución a los programas de inversión en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. El uso de técnicas y enfoques de administración de proyectos dentro de TI no está formalizada. Hay poca participación de los usuarios en las etapas de definición. No hay una organización clara dentro de TI para la administración de proyectos. Los roles y responsabilidades para la administración no están definidas. Los, cronogramas y objetivos intermedios están vagamente definidos. No se hace seguimiento al tiempo, a los gastos y no se comparan con lo previamente estimado. Observaciones: No existe un marco de administración de proyectos centralizado que incluya: Costos, plazos, hitos a cumplir, alcance, recursos afectados Parámetros de calidad definidos en el sistema de administración de la calidad. Un proceso de administración de control de cambios de modo tal que todas las modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado de acuerdo al marco de trabajo. Un proceso de monitoreo del desempeño contra los criterios clave previamente definidos en el sistema de calidad. 18 4.2. ADQUIRIR E IMPLEMENTAR 4.2.1 Identificar soluciones automatizadas Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos. Este objetivo de control afecta, primariamente: • la efectividad y en forma secundaria: • la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas. Las soluciones automatizadas se analizan de manera informal y los requerimientos se documentan algunas veces. Existe una investigación o análisis estructurado mínimo de la tecnología disponible. Observaciones: No existe una gestión centralizada del desarrollo de software. Existen políticas y procedimientos formalizados27 para administrar los requerimientos de soluciones automatizadas, que permitan evaluar factibilidades, cursos de acción alternativos, administrar prioridades, acordar alcances, asignar recursos y determinar un usuario clave que patrocine el proyecto, pero no se aplican en todos los casos. En muchas unidades administrativas se llevan a cabo desarrollos sin control de la Gerencia de Gestión de la Información. Existe una metodología de Ciclo de Vida de Desarrollo de Sistemas, pero no se aplica en todos los casos. 19 4.2.2 Adquirir o desarrollar y mantener software aplicativo Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la operatividad de forma apropiada con las aplicaciones correctamente automatizadas. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a otro. Observaciones: Hay formalizada una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS)28 que contempla documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación pero no se aplica en todos los casos y la misma es incompleta ya que no se definieron estándares de documentación a aplicar en cada etapa. No se realiza gestión de aseguramiento de la calidad en los desarrollos ni en la seguridad, tanto propia como para terceros. Existen áreas del Organismo, independientes de TI, que llevan a cabo sus propios desarrollos de aplicaciones, sin utilizar la metodología y ni estándares de Seguridad Informática. La misma situación se encuentra en el caso del desarrollo y mantenimiento de las aplicaciones realizadas por terceros. 4.2.3 Adquirir y mantener infraestructura tecnológica Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado de acuerdo 20 con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones. Este objetivo de control afecta, primariamente: la eficiencia y en forma secundaria: la efectividad la integridad la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura sin ningún plan integral. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento se realiza en forma reactiva a necesidades de corto plazo. Observaciones: No hay un plan de infraestructura tecnológica que considere aspectos tales como adquisiciones, implementaciones, planeamiento de la capacidad para necesidades futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente como contribución de TI para alcanzar los objetivos estratégicos del Organismo. Existe la intención de unir 420 puntos en todo el país, pero no se llevó a cabo un análisis de las aplicaciones que se desarrollaron en el interior y que pueden transformarse en corporativas. El impacto del aumento del tránsito de datos futuro no se ha contemplado. 4.2.4 Facilitar la operación y el uso Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: 21 la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe la percepción de que la documentación de procesos es necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a grupos limitados. Los materiales de entrenamiento tienen calidad variable. No existen procedimientos de integración a través de los diferentes sistemas. No hay aportes de las áreas involucradas en el diseño de programas de entrenamiento. Observaciones: Falta un marco para la documentación de los sistemas. No se confecciona una documentación estándar para cada etapa del proceso de ciclo de vida que permita la transferencia de conocimiento. No existe documentación o descripción de los procedimientos de los sistemas de información en producción. Además, se desarrolla software en las distintas unidades administrativas del organismo, que no se encuentran controladas bajo la administración central, por lo que cada una adopta su propio criterio de administración de las aplicaciones. 4.2.5 Adquirir recursos de TI Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. Este objetivo de control afecta, primariamente: la eficiencia y en forma secundaria: la efectividad el cumplimiento Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 22 Nivel de Madurez: Repetible. Existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI. Las políticas y procedimientos se integran parcialmente con el proceso general de adquisición de la organización. Los procesos de adquisición se utilizan principalmente en proyectos mayores y bastante visibles. Se reconoce la importancia de administrar proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual. Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles. Observaciones: Falta formular un procedimiento para establecer, modificar y concluir contratos que apliquen a todos los proveedores, que abarque: responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad de propiedad intelectual y de conclusión, así como obligaciones y cláusulas de penalización por incumplimiento cuando no cumplan los acuerdos de niveles de servicios previamente establecidos. En el caso de la propiedad intelectual de Software desarrollado por la organización no se encuentra preservado, ya sea por debilidades de seguridad (existen desarrollos llevados a cabo en las distintas áreas del organismo y que no están bajo el control de la DNA Sistemas de Información, Comunicaciones y Calidad) y porque no se ha formalizado un documento con los desarrolladores, de respetar esta propiedad. 4.2.6 Administrar cambios Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formal y controladamente. Los cambios (incluyendo procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y contrastar contra los resultados planeados después de la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la estabilidad o integridad del ambiente de producción. Este objetivo de control afecta, primariamente: la efectividad la eficiencia 23 la integridad la disponibilidad y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio insuficiente. Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por la administración de cambios. Observaciones: No hay procedimientos formales para la administración de cambios que establezcan un tratamiento estandarizado de todas las solicitudes de mantenimiento y actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema. Tampoco existe un procedimiento alternativo y formal para atender situaciones de emergencia. Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente. Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no probados a los sistemas de información. 4.2.7 Instalar y acreditar soluciones y cambios Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operacionales estén en línea con las expectativas convenidas y con los resultados. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia la integridad 24 la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe la percepción de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían. Observaciones: Existe una metodología de Ciclo de Vida de Desarrollo de Sistemas, pero no se aplica en todos los casos. Además existen desarrollos de aplicaciones en varias unidades administrativas del organismo, donde se siguen criterios propios. Todas las tareas referidas a la implementación de un sistema o su modificación, no siguen criterios estándares preestablecidos. En relación a las pruebas, no se confecciona un ambiente independiente a tal efecto, en el que el usuario pueda llevarlas a cabo. Tampoco se aplica documentación estandarizada para esta etapa. 4.3. ENTREGAR Y DAR SOPORTE 4.3.1 Definir y administrar los niveles de servicio Objetivo de control: La máxima autoridad debe definir un marco que promueva el establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad 25 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de cuentas para la definición y la administración de servicios no están definidas. Si existen las medidas para medir el desempeño son solamente cualitativas con metas definidas de forma imprecisa. Observaciones: Falta definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el usuario y el prestador del servicio, que incluya procesos para la creación de requerimientos, definiciones, acuerdos de niveles de servicio (ANS) para todos los procesos críticos de TI y sus correspondientes fuentes de financiamiento, y que, a partir de reportes periódico permita monitorear continuamente los criterios de desempeño y revisar periódicamente los ANS para asegurar que son efectivos. 4.3.2 Administrar servicios de terceros Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar la eficacia y el cumplimiento de la política del Organismo. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los 26 convenios con los prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Observaciones: No existe un marco de trabajo para administrar los servicios de terceros que incluya formalizar el proceso de administración de relaciones con proveedores; tenerlos catalogados, asegurarse que los contratos están de conformidad con los requerimientos legales y regulatorios y monitorear de la prestación del servicio en base a los acuerdos de niveles de servicio (ANS). 4.3.3 Administrar el desempeño y la capacidad Objetivo de control: Se debe implementar un proceso de administración orientado a la recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras, almacenamiento y contingencias, y garantizar que los recursos de información que soportan los requerimientos del Organismo estén disponibles de manera continua. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente Repetible. Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyecto. Algunas herramientas individuales pueden utilizarse para diagnosticar problemas de desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o consideración sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos. Cualquier 27 medición de desempeño se basa primordialmente en las necesidades de TI y no en las necesidades del cliente. Observaciones: No se ha formalizado un proceso de monitoreo del desempeño y la capacidad de recursos de TI, de modo tal de satisfacer los acuerdos de nivel de servicios (ANS), minimizar el riesgo de interrupciones, balancear la carga de trabajo, analizar ciclos de vida de los recursos de TI y el planeamiento de las necesidades futuras, ante los posibles incrementos en la demanda. En el planeamiento de la capacidad, no se ha tomado en cuenta el proceso de incorporar como corporativos los desarrollos de software realizados en el interior. 4.3.4 Garantizar la continuidad del servicio Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento periódico. Este objetivo de control afecta, primariamente: la efectividad la disponibilidad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. La máxima autoridad de TI es consciente de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios. El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI. Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación. Observaciones: No hay un plan de continuidad de servicios de TI diseñado para reducir el impacto de la interrupción de procesos críticos. 28 Hay sectores del Organismo que llevan a cabo la administración de sus propios resguardos sin intervención y control del área de TI. El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos que pudieran ocasionar la interrupción de los servicios o perdida de datos. 4.3.5 Garantizar la seguridad de los sistemas Objetivo de control: La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye la implementación de los controles de acceso lógico que garantizan que el ingreso a los sistemas, datos y programas está limitado a los usuarios autorizados, los monitoreos y pruebas periódicas así como acciones correctivas sobre las debilidades o incidentes identificados. Este objetivo de control afecta, primariamente: la confidencialidad la integridad y en forma secundaria: la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente de las personas. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Los incidentes de seguridad de TI ocasionan respuestas individuales, debido a que las responsabilidades no son claras. Las respuestas a los incidentes de seguridad de TI son impredecibles. Observaciones: Las funciones de seguridad están a cargo de un único funcionario que debe atender una red proyectada de aproximadamente 420 puntos y más de 7.000 usuarios. 29 En julio de 2013 se formalizaron políticas para la administración de usuarios en forma centralizada mediante la utilización de un controlador de dominio único para todas en las plataformas Windows y Linux para los servicios de internet, aplicaciones y mails. Se detectaron las siguientes falencias: Existen algunos aplicativos accesibles vía intranet con autenticación propia por no tener desarrollado un módulo de autenticación integrada al dominio. No hay procedimientos escritos y aprobados que permitan auditar las acciones de los administradores, usuarios externos e internos y casos de emergencia. El sistema de RRHH permite el acceso a su información, pero no existe un control o proceso automático de validación entre la información registrada en este sistema y los procedimientos de altas o bajas de usuarios en la red. Si bien existen políticas para la administración de los firewalls que protegen a la red interna de la externa, no se encuentran implementadas políticas individuales en los servidores, que impidan que, por ejemplo, logrando ingresar a un servidor desde la red interna, sería posible desde éste, ganar acceso a servicios no autorizados en otros servidores). En algunos casos hay servidores que utilizan los firewalls del Sistema Operativo con sus configuraciones por defecto. Ausencia de procedimientos específicos para desarrollo, actualización y control del Plan de Contingencia, control de vulnerabilidades de la red informática y base de datos (limitación y control del código SQL). No hay política de escritorios libres de información, lo que posibilita que información sensible pueda estar expuesta al alcance de personal no autorizado. Referente a la administración de usuarios, No se formaliza la utilización del formulario “Conformidad del Usuario” durante la entrega de la respectiva contraseña. Existen aproximadamente 3200 cuentas de usuarios con más de 6 meses de inactividad habilitadas y cuyos usuarios nunca accedieron a la red informática del 30 organismo. Las Políticas de Seguridad aprobada Res. 285/2008 indica que deben inhabilitarlas. Existe un usuario genérico para la administración local de los servidores Linux cuya contraseña es conocida por más de una persona. Además en un servidor analizado se encontró usuarios locales con acceso remoto de personal ajeno al departamento de Redes e Infraestructura perteneciente a la Gerencia de Gestión de la Información. Se utiliza el usuario privilegiado “root” o super-usuario para acceder a los servidores Linux en lugar de hacerlo desde una aplicación, que invoque al usuario “root”, de manera tal de que queden los rastros necesarios para realizar los procedimientos de auditoría. Si bien las aplicaciones cuentan con usuarios particulares para acceder a las bases de datos, estos no se encuentran limitados al servidor de aplicación específico posibilitando la utilización desde ubicaciones remotas dentro de la red. 4.3.6 Identificar y asignar costos Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el ofrecimiento de servicio adecuado. Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Este objetivo de control afecta, primariamente: la eficiencia la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Repetible. Hay conciencia general de la necesidad de identificar y asignar costos. La asignación de costos está basada en procedimientos rudimentarios. Los procesos de asignación de costos pueden repetirse. No hay habilitación o comunicación formal sobre la identificación de costos estándar y sobre los procedimientos de asignación. No está asignada la responsabilidad sobre la recopilación o la asignación de los costos. 31 Observaciones: No hay un marco de trabajo de administración por centro de costos, en función de la TI por cada una de las Direcciones Nacionales, que esté alineado con los procedimientos de contabilización y medición financiera del Organismo; que incluya costos directos, indirectos, fijos y variables, y que garantice los cargos para los distintos servicios sean identificables para su monitoreo. En el aplicativo contable, denominado e-Siga, no existe una clasificación de cuentas especifica de las inversiones de TI. En consecuencia, se deben recurrir a procesos manuales para obtener la información que refleje en forma consolidada la concentración de todas las inversiones en TI. 4.3.7 Educación y capacitación de los usuarios Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Este objetivo de control afecta, primariamente: la eficacia y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. Hay evidencia de que la organización ha reconocido la necesidad de contar con un programa de entrenamiento y educación, pero no hay procedimientos estandarizados. El enfoque global de la gerencia carece de cohesión y sólo hay comunicación esporádica e inconsistente respecto a los problemas y enfoques para hacerse cargo del entrenamiento y la educación. Observaciones: No hay un Plan de capacitación de TI, que abarque la identificación de las necesidades de capacitación en tecnología en cada una de las diferentes áreas del organismo y en especial la de TI y los mecanismos de impartición, con el correspondiente esquema de evaluación del entrenamiento recibido. 32 4.3.8 Administrar la mesa de servicio y los incidentes Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causaraíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, permite identificar la causa raíz a través de un proceso de reporte efectivo. Este objetivo de control afecta, primariamente: la efectividad la eficacia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Definido. Los procedimientos se estandarizan y documentan, pero se lleva acabo entrenamiento informal. Se deja la responsabilidad al individuo de conseguir entrenamiento y de seguir los estándares. Las consultas y los incidentes se rastrean de forma manual y se monitorean de forma individual, pero no existe un sistema formal de reporte. No se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden quedar sin resolución. Los usuarios han recibido indicaciones claras de dónde y cómo reportar problemas e incidentes. Observaciones: Hay procedimientos escritos que han sido elaborados, controlados y aprobados por la misma Gerencia de Informática. La mesa de servicios es llevada por el Departamento de Mesa y Ayuda y Soporte Técnico en Buenos Aires. Se atiende en forma centralizada a alrededor de 420 puntos del país. Se registran todos los incidentes, no sólo los referidos a informática sino también los de telefonía fija y móvil. Transitoriamente, los puntos que todavía no están conectados a la red corporativa se manejan reportando los incidente telefónicamente, los cuales son cargados en el aplicativo por los operadores de la Mesa de Ayuda. Se observan las siguientes falencias: 33 No realizan encuestas de satisfacción de usuarios. No se realizan acuerdos de niveles de servicios29 con los usuarios 4.3.9 Administrar la configuración Objetivo de control: Se deben implementar controles que identifiquen y registren todos los bienes de Tecnología de la Información y su ubicación física, y un programa de verificación regular que confirme su existencia. Este programa debe incluir la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia la disponibilidad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. Se reconoce la necesidad de contar con una administración de configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales como mantener inventarios de hardware y software pero de manera individual. No están definidas prácticas estandarizadas. Observaciones: No hay un repositorio centralizado de inventarios de activos de TI para el organismo que contenga todos los elementos de configuración incluyendo hardware, software de base y aplicativos. Sólo existen inventarios parciales que no cubren todas las características para el control de los recursos informáticos. No hay un procedimiento de control de cambios aplicable al mantenimiento de los inventarios. 34 4.3.10 Administración de problemas Objetivo de control: Se debe implementar un sistema de administración de problemas que registre y de respuesta a todos los incidentes. El proceso también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus de las acciones correctivas. Este objetivo de control afecta, primariamente: la eficacia la eficiencia y en forma secundaria: la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Definido. Se cuenta con un sistema integrado de administración de problemas Los procesos de escalamiento y resolución de problemas están formalizados. El registro y rastreo de problemas y de sus soluciones se dividen dentro del equipo de respuesta, utilizando las herramientas disponibles sin centralizar. Es poco probable detectar las desviaciones de los estándares y de las normas establecidas. La información se comparte entre el personal. La revisión de incidentes y los análisis de identificación y resolución de problemas son limitados e informales. Observaciones: El organismo se encuentra en un proceso de conexión de todas las unidades distribuidas en todo el país (aproximadamente 420 puntos). Al momento de esta auditoría, se encuentran conectados aproximadamente el 78 % de este objetivo. Hay procedimientos escritos que han sido elaborados, controlados y aprobados por la misma Gerencia de Informática. En éstos, está contemplado el escalamiento de los problemas al personal a cargo de solucionarlos. En las unidades que se encuentran conectadas, se dispone de las siguientes formas de comunicar el problema informático o de telecomunicaciones a la Mesa de Ayuda: La aplicación de intranet “Gestión de incidentes” El link “asistencia.inta.gob.ar”. 35 Algunas Agencias de Extensión Rural que todavía no disponen de esta aplicación, se comunican enviando un correo electrónico o telefónicamente a la Mesa de Ayuda y los operadores cargan el incidente en el aplicativo. Se observan las siguientes falencias: En relación a los incidentes de TI que se generan en el interior del país, no estando definidas claramente las misiones y funciones de los Referentes Informáticos y dada la estructura informal de éstos, existen algunos inconvenientes para asignar la derivación de los problemas para su solución. No realizan encuestas de satisfacción de usuarios. No se realizan acuerdos de niveles de servicios30 con los usuarios 4.3.11 Administración de Datos Objetivo de control: La máxima autoridad debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la Información para asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento completos, precisos y válidos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así como su eliminación apropiada. Este objetivo de control afecta, primariamente: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. El Organismo reconoce la necesidad de una correcta administración de los datos. Existe un método para especificar requerimientos de seguridad en la administración de datos, pero no hay procedimientos implementados de comunicación formal. No se lleva a cabo capacitación específica sobre administración de los datos. La responsabilidad sobre la administración de los datos no es clara. Existen procedimientos de respaldo y recuperación. 36 Observaciones: Existen aplicaciones corporativas administradas desde la administración central y otras que se administra localmente en las distintas dependencias del organismo. Esto es producto de que las distintas unidades de la organización, distribuidas geográficamente en todo el país, han desarrollado sistemas. De muchos de ellos no se tiene conocimiento en la administración central. Se ha encarado un proyecto de centralización de estos últimos que consiste en almacenarlos en el centro de cómputos del organismo, pero este proceso se encuentra en su etapa inicial en el momento de los trabajos de campo de esta auditoría. En relación a las aplicaciones centralizadas, se observó que: Si bien están bajo procedimientos centralizados de resguardo, éste no está formalizado, ni indica que detalle de las aplicaciones y bases de datos deben estar incluidos, tampoco contiene instructivos para su ejecución tanto sea para almacenar la información como para su eventual recuperación en caso de incidentes. No existe un procedimiento que determine una clasificación por criticidad, impacto o requerimientos de seguridad alineados al plan de continuidad. Se observó la falta de un repositorio ignífugo para el resguardo como forma de protección alternativa para casos de desastre. Con respecto a las aplicaciones desarrolladas en las distintas unidades del organismo, se llevan a cabo con procedimientos propios que no están ni regidos ni controlados por la Gerencia de Informática. 4.3.12 Administración de instalaciones Objetivo de control: La protección del equipo de cómputos y del personal, requiere de instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Este objetivo de control afecta, primariamente: la integridad la disponibilidad 37 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por el hombre. La administración de instalaciones y de equipo depende de las habilidades de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción. La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento del personal. Observaciones: Existen tres centros de procesamiento que denominaremos: Chile Rivadavia 1 Rivadavia 2 Alsina Además hay una sede con usuarios de aplicaciones en Alsina 1407. Ninguno de ellos satisface los requerimientos de seguridad física adecuados para almacenar la información. No se cuenta con un plan de contingencia formal. Además, la dispersión en estas tres instalaciones genera que tengan que replicarse las medidas de control y seguridad en cada centro. Paralelamente, no cuentan con un sitio alternativo de procesamiento para situación de desastre, cuando bien podrían las instalaciones de un edificio ser el resguardo del otro. Se efectuaron las siguientes observaciones: Chile: Falta un procedimiento formal de acceso al centro de cómputos donde se detallen las personas autorizadas y sus responsabilidades y el tratamiento de visitas externas. Los matafuegos se encontraban depositados en el piso. Presencia de material inflamable (como cajas de cartón, amoblamiento de madera, puerta de acceso de madera, sillas de plástico o con tapizado sintético, y piso de goma). 38 Se encontraron faltantes de paneles en techo y pared. El detector de humo carece de mantenimiento mensual. Al grupo electrógeno tiene un mantenimiento informal y no llevan registro de los días y horarios que lo efectúan. La potencia del grupo es insuficiente, por ese motivo, en casos de corte, sólo se puede acoplar un aire acondicionado. Ante un corte de suministro, actúan de oficio sin tener documentado formalmente que procedimiento utilizar. El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada. Rivadavia 1: Falta un procedimiento formal de acceso al centro de cómputos donde se detallen las personas autorizadas y sus responsabilidades y el tratamiento de visitas externas. El matafuego se encuentra amurado a una estantería móvil con estantes de aglomerado. No posee Grupo Electrógeno Presencia de material inflamable y objetos que obstaculizan el paso (cajas de cartón, amoblamientos de madera, cables canal sueltos, telgopor, carpetas, biblioratos, resmas de papel y puerta de acceso de madera). En la parte superior de la pared, existe un agujero por donde cae polvo sobre los servidores, pudiendo dañarlos. El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada y los cables se encuentran colgados por encima de los racks. Ante un corte de energía eléctrica, las UPS31 tienen un tiempo máximo de uso de 90 minutos, superado ese tiempo, comienza el apagado de los servidores. Al no tener un grupo electrógeno, se discontinúa el servicio. Rivadavia 2: 39 Falta un procedimiento formal de acceso al centro de cómputos donde se detallen las personas autorizadas y sus responsabilidades y el tratamiento de visitas externas. Tiene dos aires acondicionados de los cuales funciona uno sólo. Presencia de material inflamable (piso de parqué, panel de conexión y distribución con gabinete de madera, cable canal, cajas de cartón y puerta de acceso de madera). El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada y los cables se encuentran colgados por encima de los racks. No posee Grupo Electrógeno Ante un corte de energía eléctrica, las UPS32 tienen un tiempo máximo de uso de 120 minutos, superado ese tiempo, comienza el apagado de los servidores. Al no tener un grupo electrógeno, se discontinúa el servicio. Detalle de la situación encontrada en los tableros de Energía Eléctrica Se han hallado deficiencias en el sistema de suministro eléctrico, y se presentan los siguientes riesgos: Chile: No existe un plan de contingencia ante el corte de energía. El mantenimiento del grupo electrógeno está a cargo de la Gerencia de Sistemas en lugar de depender de las áreas de mantenimiento del edificio. Los tableros carecen de luces que identifiquen la presencia de energía eléctrica. Falta de luces de emergencia en todos los tableros de energía eléctrica. El acceso al tablero principal de la planta baja se encuentra obstruido por dos muebles de madera y un exhibidor con folletos del organismo. En el primer subsuelo se encuentran las bombas de agua, cuyo acceso está obstruido por objetos que interrumpen una rápida acción en caso de emergencia (sillas, cajas, escaleras de madera, papeles, revistas, etc.). Uno de los tableros secundarios de energía eléctrica se encuentra dentro de un baño, otro en la cocina y otro dentro de un depósito con llave, dificultando su 40 manipulación ante una emergencia y aumentando el riesgo por la presencia de caños y llaves de agua. El edificio no cuenta con detectores de humo y alarmas contra incendio. El caño de escape del grupo electrógeno da a un patio interno pero no ventila a los cuatro vientos. El acceso al grupo electrógeno (instalado en el patio del edificio) se encuentra obstruido por objetos que dificultan su acceso. El patio no posee cerradura con llave. Rivadavia 1: Falta grupo electrógeno Faltan de luces de emergencia, detectores de humo y alarmas contra incendio. Faltan calcomanías en las tapas de los tableros que identifiquen el riesgo de choque eléctrico. El frente de los tableros no tienen luces que identifiquen la presencia de energía eléctrica. Alsina: Falta grupo electrógeno. Faltan calcomanías en las tapas de los tableros que identifiquen el riesgo de choque eléctrico. El acceso a las bombas de agua se encuentra obstruido por objetos (sillas, cajas y plásticos) que dificultan su acceso. 4.3.13 Administración de operaciones Objetivo de control: Un procesamiento completo y apropiado de la información requiere su efectiva administración y el mantenimiento del hardware involucrado. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Este objetivo de control afecta primariamente: la efectividad 41 la eficiencia y en forma secundaria: la integridad la disponibilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de madurez: Inicial. El Organismo reconoce la necesidad de estructurar las funciones de soporte de TI. Se establecen algunos procedimientos estándar y las actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de operación son programados de manera informal y el procesamiento de peticiones se acepta sin validación previa. Puede ocurrir que las computadoras, sistemas y aplicaciones que soportan los procesos del negocio no están disponibles, se interrumpan o retrasen. Observaciones: No hay políticas ni procedimientos formales de operación, necesarios para una efectiva administración del procesamiento. Faltan: Procedimientos estándar para operaciones de TI que garanticen que el personal de operaciones esté familiarizado con todas las tareas de su responsabilidad. Procedimientos para monitorear la infraestructura de TI y los eventos relacionados. Procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño. En relación a la infraestructura en el interior del país, a cuyo cargo se encuentran los referentes informáticos33, no se cuenta con procedimientos formales para atender las fallas más frecuentes, y darle un tratamiento estandarizado. Tampoco cuentan con un stock de los repuestos de los componentes más sensibles que permitan subsanar un probable incidente. Esto puede provocar la discontinuidad del servicio hasta tanto llegue el repuesto de la Administración Central. 42 4.4 MONITOREAR Y EVALUAR 4.4.1 Monitorear y evaluar el desempeño de TI Objetivo de control: Una efectiva administración del desempeño de TI requiere un proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo. No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos. Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la calidad en la entrega de servicios. Este marco debe estar integrado con un sistema de administración de gestión (tablero de control con indicadores) que permita comparar en forma periódica el desempeño contra métricas establecidas en un sistema de aseguramiento calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para resolver los desvíos que puedan presentarse. 43 4.4.2 Monitorear y evaluar el control interno Objetivo de control: Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad eficiencia y efectividad respecto a las operaciones así como en el cumplimiento de las leyes y regulaciones aplicables. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La organización utiliza reportes de control para comenzar iniciativas de acción correctiva. La evaluación del control interno depende de las habilidades de individuos clave. La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en un plan. Los factores de riesgo específicos del ambiente de TI se identifican con base en las habilidades de individuos. Observaciones: No se ha implantado un marco de trabajo formal de control interno de TI que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan verificar el logro de los objetivos de control interno para los procesos de TI (básicamente eficacia/eficiencia), identificar las acciones de mejoramiento y reportar sus excepciones. 44 Las auditorías internas son llevadas a cabo por un único funcionario, que realiza controles a algunos objetivos de auditoría puntuales pero que no puede abarcar un programa más completo. 4.4.3 Garantizar el cumplimiento con requerimientos externos Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un proceso independiente de revisión para garantizar el cumplimiento de las leyes y regulaciones. Este proceso incluye la definición de una declaración de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. Este objetivo de control afecta, primariamente: el cumplimiento y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. En los casos en que el cumplimiento se ha convertido en un requerimiento recurrente, como en los reglamentos regulatorios o en la legislación de privacidad, se han desarrollado procedimientos individuales de cumplimiento y se siguen año con año. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento. Observaciones: Resolución SIGEN N° 48/2005 “Pautas de Control Interno de TI”: Se han hallado debilidades en el cumplimiento de aspectos tales como: o Organización Informática: 45 Si bien la responsabilidad por las actividades de Tecnología de la Información (TI) de la organización recaen en una única área, existen numerosos desarrollos y administraciones de datos en las distintas unidades administrativas del organismo que están fuera del control de la DNA Sistemas de Información, Comunicaciones y Calidad. No está definida una descripción documentada y aprobada de los puestos de trabajo inferiores a gerentes que conforman la unidad de TI. o Plan Estratégico de TI Existe un Plan Estratégico pero no está apoyado en planes tácticos donde detallen como se lograrán los objetivos planteados. No hay detalles de tiempos, recursos afectados, costos, hitos intermedios a alcanzar, riesgos relacionados. Por consiguiente, no se hace posible un correcto control y seguimiento. o Arquitectura de la Información No hay definido un modelo de arquitectura de la información que abarque a la organización integra. o Administración de Proyectos La unidad de TI no dispone de una metodología de administración de proyectos que se aplique en todos los proyectos informáticos. o Desarrollo, Mantenimiento o Adquisición de Software de Aplicación La unidad de TI dispone de un procedimiento o metodología para las actividades de desarrollo, mantenimiento o adquisición de sistemas, pero no se aplica en todos los casos. o Seguridad Existe una política de seguridad pero no se puede instrumentar completamente por falta de recursos humanos. 46 Disposición ONTI – SGP 6/2005 “Modelo de política de seguridad de la información para organismos de la Administración Pública Nacional de la Secretaría de la Gestión Pública”. Ha sido adoptada por el organismo en su totalidad, aunque se destaca que la función de la administración de la seguridad se encuentra a cargo de un único funcionario. Decreto 375/2005 Plan Nacional de Gobierno Electrónico. o No se presentó ante la Secretaria de Gestión Pública un informe de “Diagnóstico de la situación del Organismo con respecto al Plan Nacional de Gobierno Electrónico” o No está formalizado un plan táctico de implementación de la Firma Digital. El grado de avance de su implantación, se encuentra en estado inicial. Al momento de los trabajos de campo de esta auditoría, sólo se encontraba en funcionamiento el circuito de viáticos. Disposición ONTI Nº 69/2011 “Pautas de accesibilidad para sitios web”. Ha sido adoptada por el organismo en forma aceptable salvo algunas observaciones menores que se detallan en el ANEXO VI de este informe. 4.4.4 Proporcionar gobierno de TI Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con las estrategias y objetivos del Organismo. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confidencialidad la integridad la disponibilidad el cumplimiento 47 la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Se reconoce que el tema del gobierno de TI existe y que debe ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El enfoque de la gerencia es reactivo y solamente existe una comunicación no formal sobre los temas para proceder a su resolución. Observaciones: Falta establecer un marco de gobierno de TI con un entorno de control con prácticas inequívocas que aseguren: El alineamiento de TI en el cumplimiento de las metas estratégicas del Organismo. Tratamiento uniforme para la administración de todos los proyectos de TI. El cumplimiento de leyes y regulaciones. Medir la contribución de TI a los objetivos estratégicos del Organismo. Rendición de cuentas. Correcta administración de los programas de inversión. Esquema de monitoreo que permita medir el desempeño y la correcta asignación de los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones correctivas. Evaluación periódica de riesgos, que permitan reportar aquellos relacionados con TI y su impacto en la posición de riesgos de la organización. 48 5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS DESCARGOS FORMULADOS POR EL INSTITUTO DE TECNOLOGIA AGROPECUARIA (INTA) Por nota AGN N° 24/14-AG4 la AGN remite el proyecto de informe al INTA que lo recibe con fecha 12 de mayo de 2014. Vencido el plazo para el descargo, el INTA a través de la nota Nº 110, con fecha 9 de junio de 2014, solicita al Colegio de Auditores una prórroga de quince (15) días hábiles, la cual es autorizada por la Comisión de Supervisión de Planificación y Proyectos Especiales y la Cuenta de Inversión. El 19 de junio de 2014 INTA envía el descargo que AGN recepciona el 16 de julio de 2014. En el ANEXO VII al presente informe “DESCARGO DEL INSTITUTO NACIONAL DE TECNOLOGIA AGROPECUARIA (INTA) Y COMENTARIOS RELATIVOS DE AGN”, se presentan tanto la respuesta del organismo auditado como los comentarios de la AGN. Del análisis realizado, se modifican los puntos 4.3.3, elevando el nivel de madurez de “Inicial” a “Parcialmente Repetible”; 4.3.8 (Administrar la mesa de servicio y los incidentes) en donde se levanta la observación referida a “No se alimenta una base de conocimientos, donde se registren soluciones estándar para determinados problemas en particular que puedan reiterarse a futuro”; y 4.3.10 (Administración de problemas) suprimiendo el párrafo “No hay un repositorio centralizado de inventarios de activos de TI”. Como resultado se mantienen todas las observaciones formuladas. 49 6. RECOMENDACIONES Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos, independientemente del hecho de que ya hayan sido parcialmente puestas en práctica. 6.1. PLANIFICAR Y ORGANIZAR 6.1.1. Definir un plan estratégico para TI El plan estratégico de TI debe incluir: el presupuesto de la inversión/operativo, las fuentes de financiamiento, la estrategia de procuración, la estrategia de adquisición, y los requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para permitir la definición de planes tácticos de TI. Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI. Estos deben establecer las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente para permitir la definición de planes operativos. Administrar de forma activa los planes tácticos y las iniciativas de TI establecidas por medio del análisis de la cartera de proyectos y servicios. Esto requiere encontrar el equilibrio entre requerimientos y recursos, comparándolos con el logro de metas estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en caso de desviaciones. Administrar el grupo de proyectos de TI de forma proactiva y el conjunto de programas de inversión de TI requerido para lograr objetivos estratégicos y específicos del organismo por medio de la identificación, definición, evaluación, asignación de prioridades, selección, inicio, administración y control de los programas. Esto incluye: clarificar los resultados deseados, garantizar que los objetivos de los programas den soporte para alcanzar las metas establecidas, entender el alcance completo del esfuerzo requerido, definir una rendición de cuentas clara, asignar recursos y financiamiento y delegar autoridad. Administrar el valor de TI para garantizar que las inversiones en TI contengan programas con metas posibles de alcanzar. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la 50 asignación de fondos. Los servicios de TI se deben ejecutar contra acuerdos de niveles de servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios y del control de los costos debe ser claramente asignada y monitoreada. Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar entre los imperativos de éstas y la tecnología, de tal modo que se puedan establecer prioridades concertadas. Evaluar el desempeño actual, el de los planes existentes y de los sistemas de información en términos de su contribución a los objetivos estratégicos del organismo, su funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades. 6.1.2. Definir la arquitectura de información Establecer y mantener un modelo de información que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en el Plan Estratégico. El modelo facilita la creación, uso y compartición óptimas de la información por parte del organismo de una manera que conserva la integridad y es flexible, funcional, rentable, oportuna, segura y tolerante a fallas. Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis de datos. El diccionario facilita la compartición de elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del organismo, y previene la creación de elementos de datos incompatibles. Establecer un esquema de clasificación de datos que aplique a todo el organismo, basado en la criticidad y sensibilidad de la información. Este esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y de controles de protección, como también una breve descripción de los requerimientos de retención y destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o encripción. Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos y archivos. 51 6.1.3. Determinar la dirección tecnológica Planear la dirección tecnológica. Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es la apropiada para materializar la estrategia de TI y la arquitectura de sistemas del organismo. También identificar en el plan, qué tecnologías tienen el potencial de crear oportunidades de nuevas prestaciones. El plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura. Elaborar un Plan de infraestructura tecnológica. Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI. El plan se basa en la dirección tecnológica e incluye acuerdos para contingencias y orientación para la adquisición de recursos tecnológicos. También debe tomar en cuenta los cambios en el ambiente competitivo, las economías de escala en la obtención de equipo de sistemas de información, y la mejora en la interoperabilidad de las plataformas y las aplicaciones. Monitorear tendencias y regulaciones futuras. Establecer un proceso para monitorear las tendencias del sector/industria, tecnológicas, de infraestructura, legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnológica de TI. Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas consistentes, efectivas y seguras para toda la organización, brindar directrices tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la selección de la tecnología, y medir el cumplimiento de estos estándares y directrices. Establecer un consejo de arquitectura de TI que proporcione directrices sobre la arquitectura y asesoría sobre su aplicación y que verifique el cumplimiento. Esta entidad orienta el diseño de la arquitectura de TI garantizando que facilite la estrategia adoptada y tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos aspectos se relacionan con la arquitectura de la información. 52 6.1.4. Definir los procesos, organización y relaciones de TI Ubicación organizacional de la función de TI. Ubicar a la función de TI dentro de la estructura organizacional general, en especial en función de la criticidad que representa para los objetivos estratégicos del organismo y el nivel de dependencia operativa. Estructura organizacional. Establecer una estructura organizacional de TI interna y externa que refleje las necesidades de la organización. Además implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos esperados y las circunstancias cambiantes. Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles como las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y los usuarios finales. Definir las responsabilidades y la rendición de cuentas para alcanzar los objetivos estratégicos del organismo. Responsabilidad del aseguramiento de calidad (QA) de TI. Asignar la responsabilidad para el desempeño de la función de QA. Asegurar que la ubicación organizacional, las responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos del organismo. Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la información, la seguridad física y el cumplimiento. Puede ser necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistemas específicos. Obtener la posición de la alta dirección en relación a los niveles aceptables de riesgo de TI que se quieren asumir y la aprobación de cualquier riesgo residual. Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y herramientas que le permitan asumir sus responsabilidades de propiedad sobre los datos y los sistemas de información. Las áreas responsables, dueña de los datos y sistemas, deberán tomar decisiones sobre la clasificación de la información y cómo protegerlos. 53 Implantar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada. Evaluar si todo el personal cuenta con la suficiente autoridad para ejecutarlos y para revisar en general los indicadores clave de desempeño. Implantar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte un proceso crítico. La máxima autoridad de TI debe asegurar de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas. Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en las necesidades estratégicas del organismo, operativos o de TI para garantizar que la función de TI cuente con un número suficiente de personal competente, el entrenamiento cruzado-funcional, la rotación de puestos y las oportunidades de personal externo. Definir e identificar al personal clave de TI y minimizar la dependencia en ellos. Debe existir un plan para contactar al personal clave en caso de emergencia. Políticas y procedimientos para personal contratado. Definir e implantar políticas y procedimientos para controlar las actividades de los consultores u otro personal contratado por la función de TI. Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la función de TI y otras funciones dentro y fuera de la misma, tales como la Dirección General, las gerencias ejecutivas, usuarios y proveedores de servicios de TI. Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco incluye estructura y relaciones de procesos de TI, propiedad, medición del desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Esto proporciona integración entre los procesos que son específicos para TI, administración de la cartera de proyectos del organismo. El marco de trabajo de procesos de TI debe estar integrado en un sistema de administración de calidad y en un marco de trabajo de control interno. 54 Establecer un comité estratégico de TI que deberá asegurar que el gobierno de TI, como parte del gobierno del organismo, que asesore sobre la dirección estratégica y revise las inversiones principales. Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI para: Determinar las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de los objetivos estratégicos del organismo. Dar seguimiento de los proyectos y resolver los conflictos de recursos Monitorear los niveles y las mejoras del servicio. 6.1.5. Administrar la inversión en TI Establecer un marco de Administración Financiera para TI que impulse la presupuestación, con base en el grupo de proyectos de inversión en bienes y servicios. Comunicar los aspectos de costo y beneficio en los procesos de priorización de presupuestos y administración de costos. Implantar un proceso de toma de decisiones para dar prioridades a la asignación de recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal de maximizar la contribución de TI y optimizar el retorno de inversión de los proyectos de inversión y otros servicios y activos de TI. Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en los programas de inversión en TI, incluyendo los costos recurrentes de operar y mantener la infraestructura actual. Este debe dar soporte al desarrollo de un presupuesto general de TI y de presupuestos para programas individuales, con énfasis especial en los componentes de TI de esos programas. El proceso debe permitir la revisión, el refinamiento y la aprobación constantes del presupuesto general y de los presupuestos de programas individuales. Implantar un proceso de administración de costos que compare los costos reales con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones, éstas se deben identificar de forma oportuna y evaluar el impacto. Junto con el patrocinador del proyecto, se deberán tomar las medidas correctivas apropiadas y, en caso de ser necesario, el programa de inversión se deberá actualizar. 55 Implantar un proceso de monitoreo de beneficios que permita medir la contribución esperada de TI a los objetivos estratégicos, ya sea como un componente de programas de inversión en TI o como parte de un soporte operativo regular, que debe identificar, acordar, monitorear y reportar. Los reportes se deben revisar y, en donde existan oportunidades para mejorar la contribución de TI, se deben definir y tomar las medidas apropiadas. Siempre que los cambios en la contribución de TI tengan impacto directo en el programa o a otros proyectos relacionados, el programa de inversión deberá ser actualizado. Desarrollar un presupuesto por centro de costos y asociado al presupuesto 6.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento y el entendimiento de los objetivos estratégicos del organismo y de TI se comunican a toda la organización. La información comunicada debe poseer una visión claramente articulada entre los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de ética y conducta, políticas y procedimientos. Estos deben incluirse dentro de un programa de comunicación continua, apoyado por la alta dirección con acciones. La dirección debe dar especial atención a comunicar la conciencia sobre que la seguridad de TI es responsabilidad de todos. Implantación de políticas de TI. Asegurarse de que las políticas de TI se implantan y comunican a todo el personal relevante de tal forma que estén incluidas y sean parte integral de las operaciones organizacionales. Ambiente de políticas y de control. Definir los elementos de un ambiente de control para TI incluyendo las expectativas/requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el nivel de tolerancia aceptado al riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se debe basar en una cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos, fomenta la colaboración entre distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada. 56 Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque del organismo hacia los riesgos y hacia el control interno. Este debe estar integrado por el marco de procesos de TI, el sistema de administración de calidad y debe cumplir los objetivos generales del organismo. Debe tener como meta maximizar el éxito de la entrega de valor mientras minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la recuperación oportuna de activos. Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto de políticas que apoyen la estrategia de TI. Estas políticas deben incluir el propósito, los roles y responsabilidades, los procesos de excepción y referencias a procedimientos, estándares y directrices. Las políticas deben incluir temas clave como calidad, seguridad, confidencialidad, controles internos y propiedad intelectual. Se deben revisar regularmente. 6.1.7. Administrar los recursos humanos de TI Reclutamiento y Retención del Personal. Asegurarse que los procesos de reclutamiento del personal de TI estén de acuerdo a las políticas y procedimientos generales del personal. La gerencia debe implementar procesos para garantizar que el organismo cuente con una fuerza de trabajo posicionada de forma apropiada y que tenga las habilidades necesarias para alcanzar las metas del organismo. Competencias del personal. Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles con base en su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se les dé mantenimiento, usando programas de calificación y certificación según sea el caso. Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y retribuciones del personal, incluyendo el requisito de adherirse a las políticas y procedimientos administrativos, así como al código de ética y prácticas profesionales. Los términos y condiciones de empleo deben enfatizar la responsabilidad del empleado respecto a la seguridad de la información, al control interno y al cumplimiento 57 regulatorio. El nivel de supervisión debe estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas. Entrenamiento del personal de TI. Proporcionar a los empleados de TI la orientación necesaria al momento de la contratación y entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas del organismo. Dependencia sobre los individuos. Minimizar la exposición de dependencias críticas sobre individuos clave por medio de la documentación y divulgación del conocimiento, como también la planeación de la sucesión y rotación de personal. Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI para el personal que cubra funciones críticas. Este criterio también debe aplicarse a los contratistas y proveedores. Evaluación del desempeño del empleado. Es necesario que las evaluaciones de desempeño se realicen periódicamente, comparando contra los objetivos individuales derivados de las metas del organismo, estándares establecidos y responsabilidades específicas del puesto. Los empleados deben recibir adiestramiento sobre cómo desempeñarse y conducirse, según sea necesario. Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los puestos, en especial las culminaciones sea por renuncia o despido. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función. 6.1.8. Administrar la calidad Se debe establecer un Sistema de Administración de la Calidad (SAC) que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los objetivos estratégicos del organismo. El SAC debe identificar los requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e interacción, así como las políticas, criterios y métodos para definir, detectar, corregir y prever las no conformidades. El SAC debe definir la estructura del organismo para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas 58 las áreas clave deben desarrollar sus planes de calidad de acuerdo a los criterios y políticas, y registran los datos. Los datos del SAC deben ser monitoreados y medidos para medir la efectividad y mejorarla cuando sea necesario. Se deben identificar y mantener estándares, procedimientos y prácticas para los procesos clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del SAC. Se deben usar las mejores prácticas como referencia al mejorar y adaptar las prácticas de calidad del organismo. Se deben adoptar y mantener estándares para todo desarrollo y adquisición que sigue el ciclo de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la documentación de hitos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de datos; estándares para la interfaz de usuario; interoperabilidad (como impacta la implantación de una nueva funcionalidad en el funcionamiento total); eficiencia de desempeño de sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración. La administración de la calidad debe enfocarse en los usuarios, al determinar sus requerimientos y alinearlos con los estándares y prácticas de TI. Se deben definir los roles y responsabilidades respecto a la resolución de conflictos entre las áreas usuarias y la organización de TI. Se debe elaborar y comunicar un plan global de calidad que promueva la mejora continua, de forma periódica a través de mediciones para monitorear el cumplimiento continuo del SAC, así como el valor que el SAC proporciona. La medición, el monitoreo y el registro de la información deben ser usados por el dueño del proceso para tomar las medidas correctivas y preventivas apropiadas. 6.1.9. Evaluar y administrar los riesgos de TI Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación 59 con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del organismo. Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se aplique para garantizar resultados apropiados. Esto debe incluir la determinación del contexto interno y externo de cada evaluación de riesgos, la meta de la evaluación y los criterios contra los cuales éstos se evalúan. Se deben identificar todos aquellas amenazas y vulnerabilidades que tengan un impacto potencial sobre las metas o las operaciones del organismo, aspectos de estratégicos, regulatorios, legales, tecnológicos, de recursos humanos y operativos. Determinar la naturaleza del impacto y dar mantenimiento a esta información. Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual. Identificar los propietarios de los riesgos y a los dueños de procesos afectados, y elaborar y mantener respuestas que garanticen que los controles y las medidas de seguridad mitigan la exposición de forma continua. La respuesta a los riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar los costos y beneficios y seleccionar aquellas que limiten los riesgos residuales dentro de los niveles de tolerancia previamente definidos. Mantenimiento y monitoreo de un plan de acción de riesgos. Asignar prioridades y planear las actividades de control a todos los niveles para implantar las respuestas a los riesgos, identificadas como necesarias, incluyendo la determinación de costos, beneficios y la responsabilidad de la ejecución. Buscar la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas son propiedad del dueño o dueños de los procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección. 60 6.1.10. Administrar proyectos Preparar un plan de administración de la calidad que describa el sistema de calidad del proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal por todas las partes interesadas para luego ser incorporado en el plan integrado. Establecer un sistema de control de cambios de modo tal que todas las modificaciones a la línea base o indicadores al inicio del proyecto, como por ejemplo costos, cronograma, alcance y calidad, se revisen, aprueben e incorporen de manera apropiada al plan integrado, de acuerdo al marco de trabajo de gobierno del programa y del proyecto. Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la planeación del proyecto e incluirlos en el plan integrado. Las tareas deben proporcionar la seguridad de que los controles internos y las características de seguridad satisfagan los requerimientos definidos. Medir el desempeño del proyecto contra los criterios clave tales como el alcance, los tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con respecto al plan; evaluar su impacto y sobre el programa global; reportar los resultados a los interesados clave; y recomendar, implantar y monitorear las medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto. Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier actividad sobresaliente requerida para alcanzar los resultados planeados del proyecto y los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en futuros proyectos y programas. 6.2. ADQUIRIR E IMPLEMENTAR 6.2.1. Adquirir o desarrollar y mantener software aplicativo Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que contemple: Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de alto nivel para desarrollo de software, tomando en cuenta las directivas 61 tecnológicas y la arquitectura de información dentro del organismo, y aprobar las especificaciones para garantizar que el diseño de alto nivel responde a los requerimientos. Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Definir el criterio de aceptación de los requerimientos para garantizar que corresponden al diseño de alto nivel. Los conceptos a considerar incluyen, pero no se limitan a, definir y documentar los requerimientos de entrada de datos, interfaces, la interface de usuario, el diseño para la recopilación de datos fuente, la especificación de programa, definir y documentar los requerimientos de archivo, requerimientos de procesamiento, definir los requerimientos de salida, control y auditabilidad, seguridad y disponibilidad, y pruebas. Realizar una reevaluación para cuando se presenten discrepancias técnicas o lógicas significativas durante el desarrollo o mantenimiento. Control y auditabilidad de las aplicaciones. Asegurar que los controles se traduzcan correctamente de manera que el procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que se consideran especialmente son: mecanismos de autorización, integridad de la información, control de acceso, respaldo y diseño de pistas de auditoría. Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados, de acuerdo con la clasificación de datos, la arquitectura de seguridad en la información del organismo y el perfil de riesgo. Los aspectos a considerar incluyen derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. Configuración e implantación de software aplicativo adquirido. Personalizar e implantar la funcionalidad automatizada adquirida con el uso de procedimientos de configuración, aceptación y prueba. Los aspectos a considerar incluyen el cumplimiento de los términos contractuales, la arquitectura de información del 62 organismo, las aplicaciones existentes y su interoperabilidad con estas, los sistemas de bases de datos, la eficiencia en el desempeño del sistema, la documentación y los manuales de usuario, integración y planes de prueba. Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten modificaciones importantes en los sistemas existentes, que resulten en un cambio significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar incluyen análisis de impacto, relación costo/beneficio y administración de requerimientos. Desarrollo de software aplicativo. Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar y autorizar cada etapa clave del proceso de desarrollo de software aplicativo, verificando la finalización de las revisiones de funcionalidad, desempeño y calidad. Los aspectos a considerar incluyen aprobar las especificaciones de diseño que satisfacen los requerimientos funcionales y técnicos, y las solicitudes de cambio; verificar la compatibilidad con los sistemas existentes. Además, garantizar que se identifican y consideran todos los aspectos legales y contractuales para el software aplicativo que desarrollan terceros. Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los estándares especificados en la definición de los requerimientos y en las políticas y procedimientos de calidad del organismo. Los aspectos a considerar incluyen especificar el criterio de calidad y los procesos de validación y verificación, revisión de algoritmos, código fuente y pruebas. Administración de los requerimientos de aplicaciones. Garantizar que durante el diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las 63 modificaciones se aprueban a través de un proceso establecido de administración de cambios. Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el mantenimiento y pase a producción de software de aplicaciones. Los aspectos a considerar incluyen implantación planeada y controlada, planeación de recursos, reparación de defectos de programa y corrección de fallas, pequeñas mejoras, mantenimiento de documentación, cambios de emergencia, interdependencia con otras aplicaciones e infraestructura, estrategias de actualización, condiciones contractuales tales como aspectos de soporte y actualizaciones, revisión periódica de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad. 6.2.3. Adquirir y mantener infraestructura tecnológica Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del organismo. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del producto al añadir nueva capacidad técnica. Protección y disponibilidad del recurso de infraestructura. Implantar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y evaluar su uso. Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios. Incluir una revisión periódica contra las necesidades del organismo, administración de parches y 64 estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura totalmente independiente del ambiente de producción, en las primeras fases del proceso de adquisición y desarrollo. Se debe considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad. 6.2.4. Facilitar la operación y el uso Marco para la documentación de sistemas. Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan elaborar procedimientos de administración, de usuario y de operación. Este marco debe aplicarse cada vez que se produzca una actualización de aplicaciones y/o infraestructura. Transferencia de conocimiento. Transferir el conocimiento a niveles gerenciales para permitirles tomar posesión del sistema y los datos, ejercer la responsabilidad por la entrega y calidad del servicio, del control interno y de los procesos administrativos de la aplicación. La transferencia de conocimiento incluye la aprobación de acceso, administración de privilegios, segregación de tareas, controles automatizados, seguridad física y archivo de la documentación fuente. Transferencia de conocimiento a usuarios finales. Transferencia de conocimientos para permitir que los usuarios finales utilicen con efectividad y eficiencia la aplicación como apoyo a los procesos del Organismo. La transferencia de conocimiento incluye el desarrollo de un plan de capacitación que abarque al entrenamiento inicial y al continuo, así como el desarrollo de habilidades, manuales de usuario, manuales de procedimiento, ayuda en línea, asistencia a usuarios, identificación del usuario clave y evaluación. 65 Transferencia de conocimiento al personal de operaciones y soporte. Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoye y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, al desarrollo de las habilidades, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario. 6.2.5. Adquirir recursos de TI Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general y la estrategia de adquisiciones del organismo, para garantizar que la compra de infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los requerimientos del organismo. Administración de contratos con proveedores. Formular un procedimiento para establecer, modificar y concluir contratos que apliquen a todos los proveedores. Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad de propiedad intelectual y de conclusión, así como obligaciones y cláusulas de penalización por incumplimiento cuando no cumplan los acuerdos de niveles de servicios previamente establecidos. Todos los contratos y las modificaciones a contratos las deben revisar asesores legales. Selección de proveedores. Seleccionar proveedores mediante una práctica justa y formal para garantizar la elección del mejor basado en los requerimientos que se han desarrollado. Adquisición de software. Garantizar que se protegen los intereses del organismo en todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje, 66 condiciones para la actualización y aspectos de conveniencia que incluyen seguridad, custodia y derechos de acceso. Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de recursos de desarrollo. Estos derechos y obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual, aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes, pruebas, procesos de administración de calidad que comprenden los criterios de desempeño requeridos, su correspondiente revisión, términos de pago, garantías, procedimientos de arbitraje, administración de recursos humanos y cumplimiento con las políticas de la organización. Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y hacer cumplir los derechos y obligaciones de todas las partes en los términos contractuales, que comprendan los criterios de aceptación para la adquisición de infraestructura, instalaciones y servicios relacionados. Estos derechos y obligaciones pueden abarcar los niveles de servicio, procedimientos de mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de pago y procedimientos de arbitraje. 6.2.6. Administrar cambios Establecer procedimientos de administración de cambios formales para manejar de manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones, para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales. Evaluación de impacto, priorización y autorización. Garantizar que todas las solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en los sistemas y su funcionalidad. Esta evaluación deberá incluir categorización y priorización. Previo a la migración hacia producción, los interesados correspondientes deberán establecer autorizaciones formales. 67 Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas podrán realizarse, después de la implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría para su posterior revisión. Seguimiento y reporte del estado del cambio. Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes y a los interesados relevantes del cambio, acerca del estado del mismo. Cierre y documentación del cambio. Siempre que se implantan cambios al sistema, actualizar el o los sistemas asociados, la documentación de usuario y procedimientos correspondientes. Establecer un proceso de revisión para garantizar su implantación completa. 6.2.7. Instalar y acreditar soluciones y cambios Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de desarrollo, implantación o modificación de sistemas de información. Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los principales involucrados. Dicho plan se debe basar en los estándares de toda la organización y definir roles, responsabilidades y criterios de éxito. Debe considerar: requerimientos de entrenamiento, instalación o actualización de un ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo y corrección de errores y aprobación formal. Plan de implantación. Establecer un plan de implantación y obtener la aprobación de los principales involucrados. Debe definir el diseño de versiones, procedimientos de instalación, manejo de incidentes, controles de distribución, almacenamiento de software, revisión de la versión y documentación de cambios. Deberá también incluir medidas de respaldo y posibilidad de vuelta atrás. 68 Ambiente de prueba. Establecer un ambiente de prueba independiente. Este ambiente debe asemejarse al ambiente de producción para permitir pruebas acertadas. Se deben tener presentes los procedimientos para garantizar que los datos utilizados en el ambiente de prueba sean representativos. Proporcionar medidas adecuadas para prevenir la divulgación de datos sensibles. La documentación de los resultados de las pruebas se debe archivar. Conversión de sistema y datos. Garantizar que los métodos de desarrollo del organismo contemplen para todos los proyectos de desarrollo, implantación o modificación, todos los elementos necesarios, tales como hardware, software, datos de transacciones, archivos maestros, interfaces con otros sistemas, procedimientos, documentación de sistemas, etc., y sean convertidos del viejo al nuevo sistema de acuerdo con un plan preestablecido. Se debe desarrollar y mantener pistas de auditoría de los resultados previos y posteriores a la conversión. Los propietarios del sistema deben verificar detalladamente la transición exitosa. Prueba de cambios. Garantizar que se prueban los cambios de acuerdo con un plan de aceptación definido y en base en una evaluación de impacto y de recursos que incluya el dimensionamiento del desempeño en un ambiente separado de prueba, por parte de un grupo de prueba independiente de los desarrolladores antes de comenzar su uso en el ambiente de operación regular. Las pruebas paralelas o piloto se consideran parte del plan. Los controles de seguridad se prueban y evalúan antes de la liberación, de manera que se pueda certificar la efectividad de la seguridad. Los planes de respaldo/vuelta atrás se deben desarrollar y probar antes de transferir el cambio a producción. Prueba final de aceptación. Garantizar que los procedimientos proporcionan una evaluación formal y la aprobación de los resultados de prueba por parte de la gerencia de los departamentos afectados del usuario y la función de TI. Las pruebas deberán cubrir todos los componentes del sistema de información y garantizar que los requerimientos de seguridad de la información se satisfacen para todos los 69 componentes. Los datos de prueba se deben salvar para propósitos de pistas de auditoría y para pruebas futuras. Transferencia a producción. Implantar procedimientos formales para controlar la transferencia del sistema desde el ambiente de desarrollo al de pruebas, de acuerdo con el plan de implantación. La gerencia debe requerir que se obtenga la autorización del propietario del sistema antes del pasaje al entorno de producción. Liberación de software. Garantizar que la liberación del software se regula con procedimientos formales que aseguren la autorización, acondicionamiento, pruebas de regresión, distribución, transferencia de control, seguimiento, procedimientos de respaldo y notificación de usuario. Distribución del sistema. Establecer procedimientos de control para asegurar la distribución oportuna y correcta, y la actualización de los componentes aprobados de la configuración. Esto implica controles de integridad; segregación de funciones entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de todas las actividades. Registro y rastreo de cambios. Monitorear los cambios a sistemas aplicativos, procedimientos, procesos, sistemas y a las plataformas. Revisión posterior a la implantación. Establecer procedimientos una revisión posterior a la implantación del sistema para evaluar y reportar si el cambio satisfizo los requerimientos del usuario y entregó los beneficios esperados. 6.3. ENTREGAR Y DAR SOPORTE 6.3.1. Definir y administrar los niveles de servicio Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el usuario y el prestador de servicio. Este marco debe incluir procesos para la creación de requerimientos, definiciones, acuerdos de niveles de servicio, de niveles de operación y sus correspondientes fuentes de financiamiento. 70 Definir la estructura organizacional para la administración del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los usuarios. Organizar y almacenar de manera centralizada la definición base de los servicios de TI dependiendo de sus características y de los requerimientos del caso, por medio de la implantación de un enfoque de catálogo de servicios. Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del usuario y las capacidades de TI. Deben incluir los compromisos del usuario, los requerimientos de soporte, métricas cualitativas y cuantitativas para la medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y responsabilidades, incluyendo la revisión del acuerdo. Los puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda. Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar los acuerdos de los niveles pactados de manera óptima. Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un formato que sea entendible para los interesados. Analizar las estadísticas de monitoreo para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en los requerimientos. 71 6.3.2. Administrar servicios de terceros Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas, entregables esperados y credenciales de los representantes de estos proveedores. Formalizar el proceso de administración de relaciones con proveedores por cada uno de ellos. Debe existir un responsable que coordine la relación entre los proveedores y los usuarios para asegurar la calidad y la transparencia, por ejemplo, a través de acuerdos de niveles de servicio. Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los estándares del tema y de conformidad con los requerimientos legales y regulatorios. Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos actuales del organismo apegándose de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio. Verificar que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. 6.3.3. Administrar el desempeño y la capacidad Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI, que asegure su disponibilidad, con costos justificables, para procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de nivel de servicio. 72 Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados. Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar el exceso de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los planes de capacidad y de desempeño. Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI. La gerencia de TI debe garantizar que los planes de contingencia consideren de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI. Monitorear continuamente el desempeño y la capacidad de los recursos de TI. Mantener y poner a punto el desempeño actual dentro de TI y atender temas como elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos. Reportar al organismo la disponibilidad del servicio prestado como se requiere en los acuerdos de nivel de servicio. Acompañar todos los reportes de excepción con recomendaciones para llevar a cabo acciones correctivas. 6.3.4. Garantizar la continuidad del servicio Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios a lo largo de todo el organismo. El objetivo de este marco es identificar las debilidades en la infraestructura de TI, y guiar el desarrollo de los planes de recuperación de desastres y de contingencias. Debe tomar en cuenta la estructura del organismo, la cobertura de roles, las tareas y las responsabilidades de los 73 proveedores de servicios internos y externos, su administración y sus usuarios; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación. Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñados para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del organismo. Estos deben considerar requerimientos de resistencia a los incidentes, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas. Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de recuperación. Evitar las demoras para recuperar los puntos menos críticos y asegurar que la respuesta y la recuperación están alineadas con las necesidades prioritarias del organismo, verificando también que los costos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y contractuales. Considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad. La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del organismo. Es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que 74 el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte de los resultados de las pruebas y, de acuerdo con estos, la implementación de un plan de acción. Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el o los proveedores que pudieran estar implicados. Asegurar que todas las partes involucradas reciban capacitación de forma regular respecto a los procesos, sus roles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia. Determinar que existe una estrategia de distribución definida y administrada para asegurar que los planes se distribuyan de manera apropiada y segura. Que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre. Planear las acciones a tomar durante el período en que TI se está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a usuarios y a los interesados y realizar procedimientos de reanudación. Asegurar que los responsables entienden los tiempos de recuperación de TI y las inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del servicio. Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos sustantivos y el personal de TI. 75 La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos del organismo. La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados. Periódicamente probar y renovar los datos archivados. Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizarlo en consecuencia. La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados. 6.3.5. Garantizar la Seguridad de los Sistemas Administrar la seguridad de TI al nivel más apropiado dentro del organismo, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del organismo. Trasladar los requerimientos de información del organismo, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un plan global de seguridad de TI. Implementar el plan global de seguridad de TI mediante políticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios. Todos los usuarios, internos, externos y temporales y su actividad en sistemas de TI deben ser identificables de manera única. No utilizar usuarios genéricos. 76 Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de los procesos del organismo, definidos, documentados y con requerimientos de trabajo. Los derechos de acceso del usuario deben ser solicitados por su gerencia, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso deben mantenerse en un repositorio central. Se debe implementar, mantener y actualizadas medidas técnicas y procedimientos, para establecer la identificación, realizar la autenticación y habilitar los derechos de acceso de los usuarios. Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por el sector responsable de las cuentas de los usuarios. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema para que otorgue los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e información del organismo deben acordarse contractualmente y en forma fehaciente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las cuentas y los privilegios asociados. Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser acreditada periódicamente para garantizar que se mantiene el nivel de seguridad aprobado. Debe existir una función de ingreso al sistema y de monitoreo que permita la detección oportuna de actividades inusuales o anormales que pueden requerir atención. 77 Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administración de problemas o incidentes. Incluir una descripción de lo que se considera un incidente de seguridad y su nivel de impacto. Definir un número limitado de niveles de impacto para cada incidente, e identificar las acciones específicas requeridas y las personas que necesitan ser notificadas. Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria. Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar su protección contra modificaciones y divulgación no autorizadas. Garantizar que se cuente con medidas de prevención, detección y corrección a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso. Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos, para autorizar acceso y controlar los flujos de información desde y hacia las redes. Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envío y recepción, y no repudio del origen. Deberá procurarse la protección de los datos sensibles, incluso frente a los administradores de las bases de datos. 6.3.6. Identificar y asignar costos Desarrollar un modelo orientado a los centros de costos. 78 Identificar todos los costos de TI para soportar un modelo de costos transparente. Vincular los servicios de TI a los procesos del organismo de forma que cada temática pueda identificar los niveles de costo de los servicios asociados. Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Analizar y reportar las variaciones entre los presupuestos y los costos actuales de acuerdo con los sistemas de medición financiera del organismo. Definir, con base en la característica del servicio, un modelo de costos que incluya costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de montos de reintegros por servicio. Alinear el modelo de costos con los procedimientos de contabilización del organismo. El modelo de costos de TI debe garantizar que los cargos por servicios sean identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los servicios. Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el tema en evolución y para las actividades de TI. 6.3.7. Educación y capacitación de los usuarios Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: Estrategias y requerimientos actuales y futuros del ente. Valores corporativos (valores éticos, cultura de control y seguridad, etc.) Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones) Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales necesarias. Formas de capacitación (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo. 79 Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a sus miembros, a los mecanismos de capacitación más eficientes. Designar instructores y organizar el entrenamiento con tiempo suficiente. Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir a la definición futura de los planes de estudio y de las sesiones de entrenamiento. 6.3.8. Administrar la mesa de servicio y los incidentes Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Establecer procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI. Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad. Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo al equipo de administración de problemas apropiado y mantener informados a los usuarios sobre el estado de sus consultas. Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es adecuado, brindar soluciones alternas. 80 Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución. Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario. Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de manera que el servicio pueda mejorarse de forma continua. 6.3.9. Administrar la configuración Establecer una herramienta de soporte y un repositorio central que contenga toda la información relevante sobre los elementos de configuración. Monitorear y registrar todos los activos y sus cambios. Mantener una línea base de los elementos de la configuración para todos los sistemas y servicios como punto de comprobación al cual volver tras un cambio. Establecer procedimientos para soportar la gestión que permitan seguir el rastro de todos los cambios al repositorio de configuración. Revisar periódicamente los datos de configuración para verificar y confirmar su integridad actual e histórica. Revisar periódicamente si el software instalado está de acuerdo con la política de uso de software para identificar software personal o no licenciado o cualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores y desviaciones. 6.3.10. Administración de problemas Garantizar una adecuada administración de problemas e incidentes. Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes. 81 Categorizar los problemas de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades organizacionales o con los grupos de usuarios y son la base para asignar los problemas al personal de soporte. El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: o Todos los elementos de configuración asociados. o Problemas e incidentes sobresalientes. o Errores conocidos y probables. o Seguimiento de las tendencias de los problemas. Identificar e iniciar soluciones sostenibles indicando la causa raíz. Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el responsable del tema cómo manejar el problema de manera alternativa. 6.3.11. Administración de datos Establecer mecanismos para garantizar que el proceso reciba los documentos originales correctos, que se procese toda la información recibida, que se preparen y entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y reproceso estén soportadas. Definir e implementar procedimientos para el archivo y almacenamiento de los datos, de manera tal que estos permanezcan accesibles y utilizables. Definir e implementar procedimientos para mantener un inventario de medios de almacenamiento en sitio y garantizar su integridad y su uso. Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso. 82 Definir e implementar procedimientos de respaldo y restauración de los sistemas, datos y configuraciones que estén alineados con los requerimientos de la misión y con el plan de continuidad. Verificar el cumplimiento de los procedimientos de respaldo y verificar la capacidad y el tiempo requerido para tener una restauración completa y exitosa. Probar los medios de respaldo y el proceso de restauración. Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a la recepción, procesamiento, almacenamiento físico y entrega de información y de mensajes sensitivos que incluyen registros físicos, transmisiones de datos y cualquier información almacenada fuera del sitio. 6.3.12. Administración de instalaciones Definir y seleccionar los centros de datos físicos para los equipos de TI que soportan la estrategia de tecnología ligada a la estrategia del organismo. Debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre, considerando las leyes y regulaciones correspondientes. Definir e implementar medidas de seguridad físicas alineadas con los requerimientos del ente. Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del organismo, incluyendo las emergencias. Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente. Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos, las especificaciones del proveedor y los lineamientos de seguridad y salud. 83 Disponer un sitio alternativo de procesamiento. Llevar control de las visitas en los centros de procesamiento. Incorporar a un plan de contingencia los procedimientos que mitiguen los daños que puedan presentarse en situaciones de exposición al riesgo. 6.3.13. Administración de operaciones Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos. Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con los requerimientos del tema. Implementar procedimientos para identificar, investigar y aprobar las salidas de los programas estándar establecidos. Definir e implementar procedimientos para monitorear la infraestructura de TI y los eventos relacionados. Garantizar que en los registros de operación se almacena suficiente información cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las operaciones y de las otras actividades que soportan o que están vinculadas a estas. Establecer resguardos físicos, prácticas de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos tales como formularios, impresoras de uso especial o dispositivos de seguridad. Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o disminución del desempeño. 84 6.4. MONITOREAR Y EVALUAR 6.4.1. Monitorear y evaluar el desempeño de TI Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI. Monitorear la contribución de TI a los objetivos estratégicos del organismo. Integrar el marco de trabajo con el sistema de administración del desempeño del organismo. Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias para definir un conjunto de objetivos de desempeño. Definir referencias con las que comparar los objetivos, e identificar datos disponibles a recolectar para medirlos. Se deben establecer procesos para recolectar información oportuna y precisa para reportar el avance contra las metas. Método de monitoreo. Implantar un método de monitoreo que brinde una visión sucinta y completa del desempeño de TI, acorde al sistema de monitoreo del organismo. Evaluación del desempeño. Comparar en forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes cuando hay desvíos. Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance del organismo hacia metas identificadas, específicamente en términos del desempeño. Éstos deben incluir el grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos, las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al desempeño esperado e iniciar y reportar las medidas de administración adecuadas. Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con: o Revisión, negociación y establecimiento de respuestas de administración. 85 o Asignación de responsabilidades por la corrección. o Rastreo de los resultados de las acciones comprometidas. 6.4.2. Monitorear y evaluar el control interno Monitoreo del marco de trabajo de control interno. Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos del organismo. Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI. Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias. Control de auto-evaluación. Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación. Aseguramiento del control interno. Obtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de los controles internos por medio de revisiones de terceros. Control interno para terceros. Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes. 6.4.3. Garantizar el cumplimiento con requerimientos externos Identificar los requerimientos de las leyes, regulaciones y cumplimientos contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI del organismo. 86 Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatorios y contractuales son direccionados y comunicados. Evaluación del cumplimiento con requerimientos externos. Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios. Aseguramiento positivo del cumplimiento. Obtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna. Reportes integrados. Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con documentos similares provenientes de otras funciones del organismo. 6.4.4. Proporcionar gobierno de TI Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo de control. Proporcionar la rendición de cuentas y prácticas inequívocas para evitar la pérdida del control interno. Confirmar que el marco de gobierno de TI asegura el cumplimiento de las leyes y regulaciones y que está alineado a la estrategia y objetivos del organismo. Informar del estado y cuestiones de gobierno de TI. Alineamiento estratégico. Facilitar el entendimiento de la alta gerencia sobre temas estratégicos de TI tales como el rol de TI, características propias y capacidades de la tecnología. Garantizar que existe un entendimiento compartido entre las altas gerencias y la función de TI sobre la contribución potencial de TI a los objetivos estratégicos del organismo. Trabajar con el consejo directivo para definir e implementar organismos de gobierno, tales como un comité estratégico de TI, para brindar una orientación a la gerencia respecto a TI, garantizando así que tanto la 87 estrategia como los objetivos se distribuyan hacia las unidades operativas y hacia las unidades de TI. Entrega de valor. Administrar los programas de inversión con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos del organismo. Asegurarse de que los resultados esperados de las inversiones habilitadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados esté bien entendido, que se generen situaciones en base a casos reales, integrales y consistentes, y que los aprueben los interesados, que los activos y las inversiones se administren a lo largo del ciclo de vida económico, y que se lleve a cabo una administración activa del logro de los beneficios, tales como la contribución a nuevos servicios, ganancias de eficiencia y un mejor grado de reacción a los requerimientos. Implementar un enfoque disciplinado de la administración de los programas de inversión. Administración de recursos. Revisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y operaciones para asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los imperativos actuales y futuros. Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de riesgo de TI aceptable por el organismo y obtener garantía razonable que las prácticas de administración de riesgos de TI son apropiadas para asegurar que el riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las responsabilidades de administración de riesgos en el organismo, asegurando que el desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados con TI y su impacto y que la posición de los riesgos de TI del organismo es entendida por los interesados. Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas. Informar a dirección los grupos de proyectos 88 relevantes, programas y desempeños de TI, soportados por informes para permitir a la alta dirección revisar el progreso de la empresa hacia las metas identificadas. Aseguramiento independiente. Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y regulación relevante; las políticas del organismo, estándares y procedimientos; prácticas generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI. 89 7. CONCLUSIONES En el futuro el mundo enfrentará el gran desafío de alimentar a cada vez más población. También es ampliamente conocido quiénes serán los países que podrán ofrecer los alimentos y quiénes traccionarán el consumo. El INTA, entre otros, será el responsable de acuerdo con sus misiones y funciones de proveer la ciencia, el conocimiento y la gestión para poder desarrollar y aplicar las soluciones sustentables, generando una mayor productividad, cuidando el medioambiente, optimizando los recursos disponibles y los factores sociales en forma equilibrada. Una adecuada administración de la TI será indispensable para cumplir con esos objetivos. La tecnología de comunicaciones ha avanzado desde un nivel, en el que los paradigmas organizacionales, en los años 80 imponían procesos distribuídos34 (momento en que el Instituto inició el proceso de descentralización administrativa), a un esquema centralizado, de Tablero de Comando. Actualmente el Organismo, en materia tecnológica, se encuentra en un período de transición. Entre los años 2006 y 2007, se elaboró un proyecto denominado “Plan Estructurante” (PE) donde se detalló el estado de situación en materia tecnológica y las acciones que se iban a adoptar. Desde entonces, hasta el año 2011, donde hubo una renovación en las estructuras orgánicas de TI, no se tomaron acciones relevantes. A partir de ese año, se encaró un proyecto financiado por Banco interamericano de Desarrollo (BID) y el Banco Internacional de Recuperación y Fomento (BIRF-Banco Mundial-) en el marco del programa PROSAP 35 por el cual se pretende unir en una red corporativa, aproximadamente 420 puntos hacia fines del 2013. Al momento de los trabajos de campo de esta auditoría, se estaban cumpliendo con aproximadamente el 78% de los objetivos planteados. Cabe señalar que, la tarea se viene desarrollando con muchas limitaciones, principalmente por la falta de: Recursos humanos. En la administración central, la Dirección Nacional Asistente de Información, Comunicaciones y Calidad, cuenta con una dotación inferior a las 90 necesidades para cubrir puestos básicos en la gestión de TI. Además, la estructura de referentes informáticos en el interior del país, es insuficiente para mantener la infraestructura informática. Planificación. Por ejemplo, el tráfico de red, se ha dimensionado sin tomar en cuenta los aplicativos existentes, desarrollados en las distintas unidades del organismo y que de comprobarse su utilidad, deberían adoptarse como corporativos. Además, algunas situaciones que se diagnosticaron en el PE persisten: Las aplicaciones existentes (a excepción del e-SIGA) no están preparadas para obtener indicadores de gestión y no satisfacen todos los requisitos de las áreas involucradas, ya que éstos no se consideraron y, además, los procesos no están completamente sistematizados o, en algunos casos, la tecnología utilizada no lo permite. Las distintas unidades de la organización han desarrollado aplicaciones locales, muchas de las cuales no se tiene conocimiento en la administración central. Estas aplicaciones se desarrollaron con distintas metodologías de hardware y software, con lo cual existe la posibilidad de que frente a una misma problemática, distintas unidades hayan implementado soluciones similares, que haya redundancia de datos y que la información no esté integrada. Producto de lo expresado en el punto anterior, existen falencias en consideraciones que hacen a la seguridad, la integridad y la confiabilidad de la información, lo que posibilita la posible pérdida o fuga. Ausencia de documentación de las aplicaciones, lo que genera dependencia crítica sobre individuos. El Modelo Genérico de Madurez aplicado en esta auditoría y los niveles de madurez detectados, representados gráficamente en el Anexo II, indican que los distintos procesos de la gestión de la tecnología informática en el Instituto se encuentran principalmente entre el nivel Inicial y el nivel Repetible (ver definición de niveles en el Anexo I). 91 La adecuada implementación de esta autopista de información, permitirá al organismo, bajo rigurosas normas que tiendan a la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad contar con buena información en tiempo real como base para poder llegar a buenos diagnósticos y a partir de éstas, tomar decisiones oportunas. A través de aplicaciones corporativas, se podrán compartir datos, experiencias, conocimientos y llegar con nuevas tecnologías, al productor. La Alta Dirección, debe reconocer los beneficios de la tecnología de información y utilizarla para impulsar el beneficio esperado de los objetivos estratégicos, entendiendo los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos en TI. La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados, así como el incremento de requerimientos para controlar la información, deben considerarse como elementos clave del gobierno corporativo. Para el organismo, la información y la tecnología que las soportan representan, junto con los recursos humanos altamente especializados, son sus más valiosos activos. 8. LUGAR Y FECHA BUENOS AIRES, Febrero de 2014. 9. FIRMA 92 ANEXO I Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados, pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los cambios. 93 ANEXO II Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. 94 95 96 97 98 ANEXO III Estimación de los Niveles de Riesgo para los requerimientos de la información según los procesos informáticos considerados Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos dependen en forma creciente de los sistemas de tecnología de la información, un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento esencial de la administración del Estado Nacional. En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la información dentro de un organismo para permitirle cumplir con sus misiones y funciones: Eficacia: Que la información sea relevante y pertinente para la misión del ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable. Eficiencia: La provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Confidencialidad: La protección de información sensible contra divulgación no autorizada. Integridad: La precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del organismo. Disponibilidad: La disponibilidad de la información cuando ésta es requerida para cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. 99 Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el organismo está sujeto. Confiabilidad: La provisión de información apropiada a la administración para operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en forma primaria y secundaria por el objetivo de control (ver tabla). El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo controlar las mejoras futuras en forma explícita. Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0 representa la situación más segura y 1 la más insegura). El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al impacto (definido como el peligro de incumplimiento de las misiones y funciones del organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se realiza, y este es evaluado en el informe a través del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle: 100 101 Tabla 102 ANEXO IV Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información para los 34 objetivos de control considerados y su promedio general. 103 104 105 106 107 108 109 110 111 ANEXO V ESTUDIO DE SITUACION DE LOS REFERENTES INFORMÁTICOS EN EL INTERIOR DEL PAÍS Denominaciones: Referente Informático (RI): a agentes del organismo, que llevan a cabo tareas técnicas solicitadas desde la administración central Base: el lugar desde donde operan los RI. (Esta puede coincidir o no con un Centro Regional.) Radio de Cobertura Inmediato (RCI): al radio de acción que tiene un RI para asistir a un incidente en un tiempo aproximado de hasta una hora o 90 kilómetros desde el momento que se hace cargo de la resolución. Radio de Cobertura Máximo (RCM): al radio de acción que tiene un RI que puede desplazarse en media jornada laboral, o sea hasta 4 horas36 o 350 kms, para tener la restante mitad de la jornada para solucionar el problema. Considerandos: 1. Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 2537 a la que denominaremos “Carga Normal de Trabajo” (CNT). Debe haber como mínimo 2 (dos) RI por Base para cubrir situaciones de ausencias. 2. La división de los radios de operación, están divididos por los Centros Regionales (CR) y sus unidades dependientes, aunque como se aclarara previamente, la Base no deba estar necesariamente en el CR. Esquema de colores: Sobre el color de la Base, se determinan los colores de sus unidades dependientes, considerando las siguientes escalas, partiendo desde la situación óptima a la menos adecuada: Verde, Amarillo, Naranja y Rojo. Se considera que califica para el color verde, cuando en la Base se cuenta con la dotación descripta en el considerando 1. De no darse esta situación, figurará en color amarillo, con la valorización numérica producto de comparar la cantidad de RI considerada óptima y la situación real. La presencia del punto rojo, indica que el traslado físico del RI debe hacerse empleando una distancia (RCM) de más de media jornada laboral, lo que insume en concepto de servicio (sumándole el tiempo que demande la solución del incidente) 3 (tres) días o más de ausencia en la Base. A partir de estas consideraciones, se procede a asignar el color a las unidades dependientes, tomando en cuenta los siguientes parámetros: Si el RI debe desplazarse dentro del RCI, no cambia de color 112 Si el RI debe desplazarse entre el RCI y el RCM, cambia un tono en la escala (verde-amarillo-naranja-rojo, siendo verde la situación considerada adecuada y el rojo la de mayor gravedad) respecto de la Base Si el RI debe desplazarse más del RCM, cambia dos tonalidades respecto de la Base. A modo de ejemplo, podemos graficar la siguiente situación: Una Base que tenga la dotación apropiada, tendrá el color verde. Si los RI se desplazan dentro del RCI, los puntos abarcados, conservarán el color verde. Si deben cubrir una distancia mayor al RCI pero menor al RCM, serán naranjas. Una Base que tenga una dotación deficitaria, tendrá color amarillo y una valoración correspondiente a la cantidad faltante de personal. A partir de esto, los puntos abarcados dentro del RCI serán también amarillos, los que estén entre el RCI y el RCM naranjas y los que superen el RCM, rojos. Esquema Gráfico RCI RCM BASE 90 Kms 350 Kms +350Kms BASE 90 Kms 350 Kms +350Kms 113 CENTRO REGIONAL BUENOS AIRES NORTE BASES: E.E.A. PERGAMINO (Pergamino) o Déficit Dotación de R.I.38: 4 personas 39 222% o Sobrecarga de trabajo : o Puntos de atención fuera del RCM: Ninguno C.R. BUENOS AIRES NORTE (Pergamino) o Déficit Dotación de R.I.: 3 personas (** Referente único **) o Sobrecarga de trabajo: 302% o Puntos de atención fuera del RCM: 1 114 CENTRO REGIONAL BUENOS AIRES SUR BASES: CR BUENOS AIRES SUR (Balcarce) o Déficit Dotación de R.I.40: o Sobrecarga de trabajo41: o Puntos de atención fuera del RCM: E.E.A. BORDENAVE o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. HILARIO ASCASUBI o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 7 personas 134% Ninguno 3 personas (** Referente único **) 220% 2 1 persona (** Referente único **) 44% Ninguno La E.E.A. CESAREO NAREDO no posee representación informática 115 CENTRO REGIONAL CATAMARCA-LA RIOJA BASES: E.E.A. CATAMARCA o Déficit Dotación de R.I. 42 : o Sobrecarga de trabajo 43 : o Puntos de atención fuera del RCM: E.E.A. LA RIOJA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona 33% 1 1 persona (** Referente único **) 78% Ninguno 116 CENTRO REGIONAL CHACO – FORMOSA BASES: E.E.A. EL COLORADO o Déficit Dotación de R.I.44: o Sobrecarga de trabajo45: o Puntos de atención fuera del RCM: E.E.A. SAENZ PEÑA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. LAS BREÑAS o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. COLONIA BENITEZ o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. INGENIERO JUAREZ o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 144% Ninguno NO 0% Ninguno 1 persona (** Referente único **) 30% Ninguno 1 persona (** Referente único **) 22% Ninguno 1 persona (** Referente único **) 0% 2 117 CENTRO REGIONAL CÓRDOBA BASES E.E.MARCOS JUAREZ o Déficit Dotación de R.I.46 : o Sobrecarga de trabajo47 : o Puntos de atención fuera del RCM: E.E.A. MANFREDI o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona 106% 2 3 personas (** Referente único **) 314% Ninguno 118 CENTRO REGIONAL CORRIENTES BASES: E.E.A. CORRIENTES (Corrientes) o Déficit Dotación de R.I.48: o Sobrecarga de trabajo49: o Puntos de atención fuera del RCM: E.E.A. MERCEDES (Mercedes) o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. BELLA VISTA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 2 personas (** Referente único **) 252% Ninguno 1 persona (** Referente único **) 60% 1 1 persona (** Referente único **) 144% Ninguno 119 CENTRO REGIONAL ENTRE RIOS BASES: E.E.A PARANA o Déficit Dotación de R.I.50: o Sobrecarga de trabajo51: o Puntos de atención fuera del RCM: E.E.A. CONCEPCION DEL URUGUAY o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. CONCORDIA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona 79% Ninguno 2 personas (** Referente único **) 150% Ninguno 1 persona (** Referente único **) 90% Ninguno 120 CENTRO REGIONAL LA PAMPA – SAN LUIS BASES: E.E.A.SAN LUIS o Déficit Dotación de R.I.52: o Sobrecarga de trabajo53: o Puntos de atención fuera del RCM: E.E.A. ANGUIL o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 76% Ninguno 1 persona 82% 1 121 CENTRO REGIONAL MENDOZA – SAN JUAN BASES: E.E.A. MENDOZA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. SAN JUAN o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. RAMA CAIDA o Déficit Dotación de R.I.54: o Sobrecarga de trabajo55: o Puntos de atención fuera del RCM: E.E.A. JUNIN o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. LA CONSULTA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 166% Ninguno 1 persona (** Referente único **) 86% Ninguno 1 persona (** Referente único **) 0% Ninguno 1 persona (** Referente único **) 0% Ninguno 1 personas (** Referente único **) 72% Ninguno El C.R. MENDOZA SAN JUAN no posee representación informática 122 CENTRO REGIONAL MISIONES BASES: E.E.A. CERRO AZUL o Déficit Dotación de R.I.56: o Sobrecarga de trabajo57: o Puntos de atención fuera del RCM: E.E.A. MONTECARLO o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 162% Ninguno 1 persona (** Referente único **) 92% Ninguno 123 CENTRO REGIONAL PATAGONIA NORTE BASES: E.E.A. ALTO VALLE o Déficit Dotación de R.I58.: o Sobrecarga de trabajo59: o Puntos de atención fuera del RCM: E.E.A. SAN CARLOS DE BARILOCHE o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 4 personas (** Referente único **) 436% 3 3 personas (** Referente único **) 280% 2 124 CENTRO REGIONAL PATAGONIA SUR BASES: E.E.A. CHUBUT o Déficit Dotación de R.I.60: o Sobrecarga de trabajo61: o Puntos de atención fuera del RCM: E.E.A. ESQUEL o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: E.E.A. SANTA CRUZ o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 132% 3 1 persona (** Referente único **) 48% Ninguno 1 persona (** Referente único **) 138% 7 125 CENTRO REGIONAL SALTA - JUJUY BASES: E.E.A. SALTA o Déficit Dotación de R.I.62: o Sobrecarga de trabajo63: o Puntos de atención fuera del RCM: E.E.A. YUTO o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona (** Referente único **) 158% Ninguno 1 persona (** Referente único **) 136% 3 126 CENTRO REGIONAL SANTA FE BASES: E.E.A. RAFAELA o Déficit Dotación de R.I.64: o Sobrecarga de trabajo65: o Puntos de atención fuera del RCM: E.E.A. RECONQUISTA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: A.E.R. ROLDAN o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 1 persona 135% Ninguno 1 persona (** Referente único **) 80% Ninguno 1 persona (** Referente único **) 14% Ninguno 127 CENTRO REGIONAL TUCUMAN - SANTIAGO BASES: E.E.A. SANTIAGO DEL ESTERO o Déficit Dotación de R.I.66: o Sobrecarga de trabajo67: o Puntos de atención fuera del RCM: E.E.A. FAMAILLA o Déficit Dotación de R.I.: o Sobrecarga de trabajo: o Puntos de atención fuera del RCM: 3 personas (** Referente único **) 304% Ninguno 1 persona 118% Ninguno 128 CENTRO DE INVESTIGACIONES AGROPECUARIAS (CIAP) BASES: Ciudad de Córdoba o Déficit Dotación de R.I. 68 : 1 persona (** Referente único **) 69 140% o Sobrecarga de trabajo : o Puntos de atención fuera del RCM: Ninguno 129 CENTRO REGIONAL CNIA CASTELAR BASES: CENTRO NACIONAL DE INVESTIGACIONES AGROPECUARIAS 4 personas o Déficit Dotación de R.I.70: o Sobrecarga de trabajo71: 121% o Puntos de atención fuera del RCM: Ninguno CENTRO DE INVESTIGACIÓN DE RECURSOS NATURALES o Déficit Dotación de R.I.: 5 personas (** Referente único **) o Sobrecarga de trabajo: 476% o Puntos de atención fuera del RCM: Ninguno INSTITUTO DE SUELOS o Déficit Dotación de R.I.: 2 personas o Sobrecarga de trabajo: 65% o Puntos de atención fuera del RCM: Ninguno CENTRO DE INVESTIGACIÓN EN CIENCIAS VETERINARIAS Y AGRONÓMICAS o Déficit Dotación de R.I.: 4 personas o Sobrecarga de trabajo: 496% o Puntos de atención fuera del RCM: Ninguno INSTITUTO DE GENÉTICA o Déficit Dotación de R.I.: 3 personas o Sobrecarga de trabajo: 150% o Puntos de atención fuera del RCM: Ninguno 130 E.E.A. DELTA DEL PARANA E.E.A. GENERAL VILLEGAS E.E.A. SAN PEDRO C.R. BUENOS AIRES NORTE E.E.A. AMBA Cabecera E.E.A. PERGAMINO Unidad E.E.A. PERGAMINO A.E.R. ARRECIFES A.E.R. BOLÍVAR A.E.R. BRAGADO A.E.R. CORONEL BRANDSEN A.E.R. LOBOS A.E.R. 9 DE JULIO A.E.R. SAN ANTONIO DE ARECO A.E.R. 25 DE MAYO OFICINA DE PROYECTO ROJAS AGENCIA DE PROYECTO CHIVILCOY ESTACION FORESTAL 25 DE MAYO U.E.E.A. JUNIN OIT CHACABUCO A.E.R. MERCEDES C.R. BUENOS AIRES NORTE E.E.A. AMBA A.E.R. ESCOBAR A.E.R. TIGRE URBANA NORTE A.E.R. LUJAN A.E.R. MORENO A.E.R. LA PLATA ‐ Tasa lo tiene como A.E.R. GRAN BUENOS AIRES A.E.R. MARCOS PAZ A.E.R. SAN VICENTE E.E.A. SAN PEDRO A.E.R. SAN PEDRO A.E.R. SAN NICOLAS O.D. OESTE DE ZARATE E.E.A. GENERAL VILLEGAS CAMPO E.E.A. GENERAL VILLEGAS SEDE A.E.R. LINCONLN A.E.R. PEHUAJO A.E.R. TRENQUE LAUQUEN E.E.A. DELTA DEL PARANA O.D. BARADERO A.E.R. TIGRE BAJO DELTA Provincia Referente Informático INTA / Terc En sitio? Buenos Aires Alicia Chavero / Mariano Ferrero INTA Si Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires Di Nanno Pablo Guillermo INTA Si Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Buenos Aires No Distancia Tiempo viaje PCs Tot PC KMS T.Viaj 0 0,00 250 322 2239 28,35 ‐4 46 0,50 3 292 3,75 4 168 2,50 4 292 3,50 6 226 2,40 4 196 2,50 10 109 1,50 6 196 2,50 6 36 0,50 4 145 1,80 3 196 2,50 6 89 1,20 7 92 1,20 5 156 2,00 4 0 0,00 10 201 4216 52,00 ‐3 210 3,00 15 190 2,00 4 200 2,50 2 170 2,00 3 190 2,00 2 300 3,00 7 210 2,50 2 230 2,50 2 150 2,00 40 151 3,00 10 65 1,00 4 150 2,00 3 300 4,00 12 310 4,00 35 150 2,00 6 300 4,00 6 380 4,00 6 190 2,00 27 170 2,00 2 200 2,50 3 CENTRO REGIONAL BUENOS AIRES NORTE BASE DE CÁLCULO 131 Cabecera E.E.A. HILARIO ASCASUBI E.E.A. BARROW E.E.A. CESAREO NAREDO E.E.A. BORDENAVE E.E.A. CUENCA DEL SALADO C.R. BUENOS AIRES SUR E.E.A. BALCARCE Unidad C.R. BUENOS AIRES SUR (CERBAS) E.E.A. BALCARCE O.I.T. TANDIL O.I.T. NECOCHEA O.I.T. LOBERIA O.I.T. GRAL. PUEYRREDON O.I.T. GRAL. LAMADRID O.I.T. OLAVARRIA O.I.T. LAPRIDA O.I.T. BENITO JUAREZ O.I.T. BALCARCE O.I.T. COMANDANTE NICANOR OTAMENDI E.E.A. CUENCA DEL SALADO O.I.T. LAS FLORES O.I.T. AYACUCHO O.I.T. AZUL O.I.T. CHASCOMUS CHACRA MANANTIALES O.I.T MAIPU O.I.T. MADARIAGA C.E.C.A.I.N. COLONIA ORTIZ BASUALDO‐FERRARI O.I.T. SALADILLO E.E.A. CESAREO NAREDO E.E.A. BORDENAVE A.E.R. TORNQUIST A.E.R. CORONEL SUAREZ A.E.R. PIGUE A.E.R. CORONEL PRINGLES A.E.R. CORONEL ROSALES A.E.R. BAHIA BLANCA A.E.R. CARHUE E.E.A. BARROW O.I.T. SAN CAYETANO O.I.T. GONZALEZ CHAVES O.I.T. CORONEL DORREGO E.E.A. HILARIO ASCASUBI A.E.R. MAYOR BURATOVICH A.E.R. PATAGONES O.I.T. VILLALONGA A.E.R. MEDANOS (1) Adm. de Redes: Arcuri, Edgardo y Clemente, Marcos ‐ Soporte Técnico: Ragusa, Juan José y Mamondi, Sebastián. (2) Francisco Ridao, contratado Crocioni, Santiago Sin Representación Informática Di Croce, Andrés Provincia Arcuri, Edgardo Clemente, Referente Informático Marcos Ragusa, Juan José Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires Buenos Aires INTA / Terc 3 INTA 1 En sitio? Distancia Tiempo viaje PCs Tot PC 1.8.7 ‐ 1 Si 15 0,25 21 585 Si 500 No 105 1,25 10 No 100 1,10 6 No 100 1,10 2 14 No 65 1,00 No 305 3,75 5 6 No 250 3,00 No 260 3,00 3 5 No 180 2,00 Si 15 0,25 8 5 No 100 1,10 No 155 1,75 17 No 300 3,75 5 2 No 100 1,10 13 No 195 2,40 No 315 3,75 18 1 No 340 4,00 No 160 1,75 6 3 No 200 2,30 No 105 1,25 3 3 No 340 4,00 0 0 0,00 59 160 INTA Si 4 No 142 1,60 9 No 127 1,30 5 No 82 1,00 No 209 2,00 4 1 No 208 2,00 17 No 180 2,00 No 133 1,50 4 No 324 3,25 54 1 No 385 4,00 1 No 367 3,50 No 272 2,50 1 0 0,00 60 72 INTA Si No 15 0,25 4 4 No 170 2,00 No 65 0,75 1 3 No 88 1,00 338 4,00 ‐1 2429 24,65 ‐3 3705 43,85 ‐7 KMS T.Viaj CENTRO REGIONAL BUENOS AIRES SUR BASE DE CÁLCULO 132 E.E.A. CHILECITO E.E.A. LA RIOJA C.A. SANTA CRUZ A.E.R. POMAN E.E.A. LA RIOJA A.E.R. CHILECITO A.E.R. VALLE DEL BERMEJO A.E.R. CHAMICAL A.E.R. AIMOGASTA A.E.R. CHEPES A.E.R. EL PORTEZUELO C.A. CERRILLOS A.E.R. LA RIOJA A.E.R. MILAGRO E.E.A. CHILECITO Cabecera Unidad E.E.A. CATAMARCA E.E.A. CATAMARCA C.R. CATAMARCA ‐ LA RIOJA C.R. CATAMARCA ‐ LA RIOJA A.E.R. CAPAYAN A.E.R. SANTA MARIA A.E.R. PACLAN A.E.R. LA PAZ A.E.R. ANDALGALA A.E.R. BELEN A.E.R. SANTA ROSA A.E.R. TINOGASTA Catamarca Catamarca La Rioja Juan Nicolas G. Agüero La Rioja La Rioja La Rioja La Rioja La Rioja La Rioja La Rioja La Rioja La Rioja La Rioja INTA No No Si No No No No No No No No No No 8 150 0 270 300 30 250 150 80 100 140 85 270 Provincia Referente Informático INTA / Terc En sitio? Distancia Catamarca Ruben Polti Sonia Alvarez Ocampo INTA Si 0 Catamarca No 4 Catamarca No 50 Catamarca No 380 Catamarca No 40 Catamarca No 220 Catamarca No 250 Catamarca No 300 Catamarca No 90 Catamarca No 300 0,25 2,00 0,00 2,50 3,00 0,30 2,50 1,50 1,00 1,00 1,50 1,00 3,00 Tiempo viaje 0,00 0,15 0,50 5,00 0,50 2,50 3,00 3,80 1,40 3,50 10 2 32 89 1675 17,30 ‐1 15 4 3 7 5 2 1 10 3 7 PCs Tot PC KMS T.Viaj 70 133 1792 22,60 ‐1 12 5 4 5 2 6 6 3 8 CENTRO REGIONAL CATAMARCA-LA RIOJA BASE DE CÁLCULO 133 E.E.A. ING JUAREZ E.E.A. COLONIA BENITEZ C.R. CHACO FORMOSA E.E.A. LAS BREÑAS E.E.A. SAENZ PEÑA Cabecera E.E.A. EL COLORADO Unidad E.E.A. EL COLORADO U.O. SAN MARTIN A.E.R. EL COLORADO A.E.R. FORMOSA A.E.R. LAGUNA BLANCA A.E.R. IBARRETA O.D.R PAMPA DEL INDIO O.D.R. PIRANE A.E.R. GÜEMES C.A. BARTOLOME DE LAS CASAS A.E.R. SAN MARTIN E.E.A. SAENZ PEÑA O.D.R. CAPITAN SOLARI O.D.R. QUITILIPI O.D.R. LAS GARCITAS ESTACION FORESTAL PLAZA O.D.R. CAMPO LARGO A.E.R. SAENZ PEÑA A.E.R. VILLA ANGELA A.E.R. MACHAGAY A.E.R. TRES ISLETAS A.E.R. CASTELLI U.O. PRO HUERTA BERMEJITO O.D.R. PAMPA DEL INFIERNO O.D.R. PRESIDENTE DE LA PLAZA O.D.R. SANTA SILVINA O.D.R. VILLA BERTHET O.D.R. FUERTE ESPERANZA C.R. CHACO FORMOSA E.E.A. LAS BREÑAS O.D.R. HERMOSO CAMPO O.D.R. GANCEDO A.E.R. GENERAL PINEDO E.E.A. COLONIA BENITEZ A.E.R LAS PALMAS A.E.R. BASAIL ODR MAKALLE O.G. METROPOLITANA CAMPO ANEXO OBLIGADO E.E.A. ING JUAREZ A.E.R. LAS LOMITAS A.E.R. GRAL MOSCONI A.E.R. ING JUAREZ Provincia Formosa Chaco Formosa Formosa Formosa Formosa Formosa Formosa Formosa Formosa Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Chaco Formosa Formosa Formosa Formosa INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj INTA Si 0 0,00 65 122 1615 18,05 ‐1 No 310 3,40 3 No 5 0,25 8 No 200 2,00 8 No 300 3,40 8 No 200 2,00 8 No 90 1,00 4 No 80 1,00 3 No 250 3,00 5 No 150 1,50 2 No 30 0,50 8 Nestor Sampor / Claudio Vallejos INTA Si 0 0,00 90 90 0 0,00 Nestor Sampor INTA No 80 1,00 2 58 1470 18,45 No 30 0,50 2 No 80 1,00 1 No 120 1,50 3 No 40 0,50 2 Si 5 No 90 1,00 5 No 45 0,50 5 No 70 1,00 4 No 90 1,00 5 No 140 2,00 1 No 100 1,40 4 No 65 0,55 4 No 120 1,50 1 No 80 1,00 1 No 150 2,00 1 No 170 2,00 12 German Herrera INTA Si 0 0,00 55 65 185 2,50 ‐1 No 68 1,00 1 No 80 1,00 2 No 37 0,50 7 GONZALEZ LEANDRO ARIEL INTA Si 0 0,00 48 61 326 3,15 ‐1 No 80 0,75 4 No 100 0,80 3 No 51 0,50 1 No 25 0,35 4 No 70 0,75 1 Fabian Bassi (**VER**) INTA No 500 5,00 25 36 1930 20,50 ‐1 No 310 3,25 4 No 610 7,00 2 No 510 5,25 5 Referente Informático Fabian Bassi CENTRO REGIONAL CHACO – FORMOSA BASE DE CÁLCULO 134 E.E.A. MANFREDI C.R. CORDOBA E.E.A. MARCOS JUAREZ Cabecera E.E.A. MARCOS JUAREZ A.E.R. LA CARLOTA A.E.R. RIO CUARTO A.E.R. BELL VILLE O.T. ADELIA MARIA O.T. CORRAL DE BUSTOS O.T. JUSTINIANO POSSE O.T. NOETINGER O.T. ARIAS U.E.E. LABOULAYE U.E.A. HUINCA RENANCO A.E.R. CANALS O.T. CORONEL MOLDES E.E.A. MANFREDI C.R. CORDOBA A.E.R. CORDOBA E.F. VILLA DOLORES O.T. VILLA DOLORES U.E.E. JESUS MARIA U.E.E. CRUZ DEL EJE O.T. RIO PRIMERO O.I.T UCACHA O.I.T. GENERAL CABRERA O.I.T. RIO TERCERO O.I.T. BRINKMANN U.E.E. SAN FRANCISCO O.I.T. DEAN FUNES U.E.E. ONCATIVO U.E.E. VILLA MARIA O.I.T. VILLA MARIA DEL RIO SECO Unidad Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Cordoba Provincia Marcelo Villarreal Referente Informático Daniel Di Benedetto Carlos Navarro INTA INTA SI NO NO NO NO NO SI NO NO NO NO NO NO SI NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO 0 205 265 60 291 80 90 80 110 312 520 185 360 0 70 70 260 250 120 215 90 180 140 80 280 225 190 10 80 250 2,50 2,50 0,75 3,20 1,00 1,00 1,00 1,40 3,50 5,10 2,00 3,75 0,00 0,85 0,85 3,10 3,00 1,50 2,75 1,10 2,10 1,70 1,00 3,50 2,75 2,30 0,40 1,00 3,00 159 206 2558 27,70 ‐1 3 10 3 3 5 5 2 2 5 3 2 4 130 207 2510 30,90 ‐1 8 3 3 5 4 6 5 3 5 3 5 6 5 4 9 3 INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj CENTRO REGIONAL CÓRDOBA BASE DE CÁLCULO 135 E.E.A. BELLA VISTA E.E.A. MERCEDES Cabecera E.E.A. CORRIENTES C.R. CORRIENTES E.E.A. CORRIENTES C.R. CORRIENTES A.E.R. ZONA CAA CATI A.E.R. ZONA NORTE ITUZAINGO A.E.R. CORRIENTES E.E.A. MERCEDES A.E.R. SAUCE A.E.R. CURUZU CATIA A.E.R. MONTE CASEROS A.E.R. SANTO TOME A.E.R. MERCEDES A.E.R. VIRASORO O.I.T. PASO DE LOS LIBRES E.E.A. BELLA VISTA A.E.R. ESQUINA A.E.R. GOYA A.E.R. BELLA VISTA A.E.R. SALADAS A.E.R. SANTA ROSA Unidad Provincia Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Corrientes Eduardo A. Benítez Almonacid Antonio R. Referente Informático ROSSO, Franco INTA / Terc En sitio? Distancia Tiempo viaje INTA Si 0 0,00 No 30 0,40 No 180 2,25 No 300 3,30 No 30 0,35 INTA Si 0 0,00 No 160 2,50 No 80 1,40 No 180 2,30 No 290 3,75 Si 0 0,00 No 360 4,50 No 120 1,50 INTA Si 0 0,00 No 192 2,75 No 80 1,10 No 19 0,25 No 46 0,50 No 100 1,50 PCs Tot PC KMS T.Viaj 123 176 540 6,30 ‐2 21 7 9 16 45 80 1190 15,95 ‐1 3 6 7 6 8 3 2 90 122 437 6,10 ‐1 6 10 8 4 4 CENTRO REGIONAL CORRIENTES BASE DE CÁLCULO 136 Unidad C.R. ENTRE RIOS E.E.A PARANA O.T. MARIA GRANDE A.E.R. FELICIANO A.E.R. LA PAZ A.E.R. CRESPO A.E.R. DIAMANTE A.E.R. VICTORIA A.E.R. GUALEGUAY A.E.R. NOGOYA O.T. HERNANDARIAS E.E.A. CONCEPCION DEL URUGUAYE.E.A. CONCEPCION DEL URUGUAY O.I.T. MACIA O.I.T. URDINARRAIN A.E.R. COLON A.E.R. VILLAGUAY A.E.R. CONCEPCION DEL URUGUAY A.E.R. ISLAS DEL IBICUY A.E.R. ROSARIO DEL TALA A.E.R. SAN SALVADOR A.E.R. GUALEGUAYCHU E.E.A. CONCORDIA E.E.A. CONCORDIA A.E.R. CHAJARÍ A.E.R. FEDERAL CAMPO EL ALAMBRADO A.E.R. CONCORDIA Cabecera C.R. ENTRE RIOS E.E.A. PARANA Provincia Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Entre Rios Referente Informático INTA / Terc En sitio? Distancia Tiempo viaje Nani, Luciano INTA Si 0 0,00 Nani, Luciano / Lopez, Gustavo INTA Si 0 0,00 No 80 1,00 No 250 3,00 No 160 2,00 No 45 0,50 No 45 0,50 No 120 1,50 No 240 3,00 No 110 1,50 No 95 1,20 Jumilla Miriam INTA Si 0 0,00 No 112 1,50 No 93 1,00 No 40 0,75 No 138 2,50 No 11 0,40 No 130 2,50 No 82 1,50 No 148 2,50 No 64 1,00 Ayala, Amalia INTA Si 0 0,00 No 100 2,00 No 100 2,00 No 20 1,00 No 15 0,50 PCs Tot PC KMS T.Viaj 25 25 0 150 179 1145 14,20 ‐1 1 3 4 5 5 3 3 3 2 106 135 818 13,65 ‐2 1 2 4 3 6 2 4 3 4 75 95 235 5,50 ‐1 4 3 2 11 CENTRO REGIONAL ENTRE RIOS BASE DE CÁLCULO 137 E.E.A. ANGUIL C.R. LA PAMPA SAN LUIS Cabecera E.E.A. SAN LUIS E.E.A.SAN LUIS A.E.R. CONCARÁN A.E.R. SAN LUIS A.E.R. QUINES A.E.R. UNION E.E.A. ANGUIL C.R. LA PAMPA‐SAN LUIS UNIDAD DE EXTENSIÓN GENERAL PICO UNIDAD DE EXTENSIÓN GUATRACHÉ UNIDAD DE EXTENSIÓN VICTORICA A.E.R. RANCUL A.E.R. 25 DE MAYO U.E.E.A. GENERAL ACHA C.A. CHACHARRAMENDI Unidad Provincia Referente Informático INTA / Terc San Luis Sergio Godoy INTA San Luis San Luis San Luis San Luis La Pampa Pablo Lucchetti / Carlos Ferreyra INTA San Luis La Pampa La Pampa La Pampa La Pampa La Pampa La Pampa La Pampa En sitio? Distancia Tiempo viaje Si 0 0,00 No 130 1,30 No 100 1,00 No 250 3,00 No 250 3,00 Si 0 0,00 No 30 0,40 No 120 1,30 No 170 1,75 No 180 2,00 No 240 2,50 No 440 4,50 No 140 1,50 No 240 2,50 PCs Tot PC KMS T.Viaj 70 88 730 8,30 ‐1 5 7 3 3 130 182 1560 16,45 ‐1 16 9 8 6 1 6 5 1 CENTRO REGIONAL LA PAMPA – SAN LUIS BASE DE CÁLCULO 138 E.E.A. SAN JUAN E.E.A. MENDOZA E.E.A. LA CONSULTA E.E.A. JUNIN Cabecera C.R. MENDOZA SAN JUAN E.E.A. RAMA CAÍDA Unidad C.R. MENDOZA SAN JUAN E.E.A. RAMA CAIDA A.E.R. MALARGÜE A.E.R GENERAL ALVEAR A.E.R SAN RAFAEL E.E.A. JUNIN A.E.R. SANTA ROSA OFICINA DE EXTENSION RIVADAVIA A.E.R. SAN MARTIN A.E.R. JUNIN E.E.A. LA CONSULTA A.E.R. TUPUNGATO A.E.R. TUNUYAN E.E.A. MENDOZA A.E.R. LAVALLE A.E.R. GUAYMALLEN ‐ TASA lo tiene como A.E.R CORRALITO E.E.A. SAN JUAN A.E.R. IGLESIA A.E.R. MEDIA AGUA A.E.R. CALINGASTA A.E.R. CAUCETE A.E.R. JACHAL A.E.R. SAN MARTIN Provincia MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA MENDOZA Mendoza Mendoza Mendoza Mendoza Mendoza Mendoza San Juan San Juan San Juan San Juan San Juan San Juan San Juan Sarasua Anibal Fontagol, Daniel Cáceres, David SONIA ROSANA DIAZ Referente Informático Sin Representación Informática IVAN F GALDEANO INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj No 0 INTA Si 0 32 50 240 3,40 No 150 2,00 4 No 80 1,00 6 No 10 0,40 8 INTA Si 0 34 47 82 1,70 No 62 1,00 3 No 15 0,50 3 No 5 0,20 1 Si 6 Tercerizado Si 100 1,50 76 86 255 3,60 Si 70 1,00 7 Si 85 1,10 3 INTA Si 0 124 133 80 1,30 No 52 0,80 6 No 28 0,50 3 INTA Si 0 70 93 700 10,75 No 200 3,00 2 No 40 0,75 3 No 200 3,00 4 No 35 0,50 6 No 200 3,00 4 No 25 0,50 4 ‐1 ‐1 ‐1 ‐1 ‐1 CENTRO REGIONAL MENDOZA – SAN JUAN BASE DE CÁLCULO 139 E.E.A. MONTECARLO Cabecera C.R. MISIONES E.E.A. CERRO AZUL Unidad C.R. MISIONES E.E.A. CERRO AZUL A.E.R. APOSTOLES A.E.R. SAN VICENTE A.E.R. OBERA O.I.T. SAN PEDRO O.I.T. SANTA RITA A.E.R. ARISTOBULO DEL VALLE A.E.R. SAN JAVIER C.A. CUARTEL RIO VICTORIA E.E.A. MONTECARLO A.E.R. SANTO PIPO O.I.T. ANDRESITO A.E.R. EL DORADO A.E.R. PUERTO RICO A.E.R. BERNARDO DE IRIGOYEN C.A. MANUEL BELGRANO O.I.T. WANDA C.A. LAHARRAGUE Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Misiones Provincia Tomás Haberle (1) Añais José Carlos Referente Informático INTA / Terc En sitio? Tercerizado No INTA Si No No No No No No No No INTA Si No No No No No No No No Distancia Tiempo viaje PCs Tot PC KMS T.Viaj 4 30 min 0 0,00 96 131 944 13,00 ‐1 60 1,00 5 66 3,00 5 48 2,00 11 150 0,50 4 160 0,50 4 180 1,50 1 80 3,00 3 200 1,50 2 0 0,00 60 96 767 9,95 ‐1 130 1,50 5 130 1,50 2 30 0,50 7 55 0,70 7 150 2,00 6 170 2,25 3 90 1,25 3 12 0,25 3 CENTRO REGIONAL MISIONES BASE DE CÁLCULO 140 Unidad E.E.A. ALTO VALLE C.R. PATAGONIA NORTE ProHuerta Neuquen IPAF Plottier A.E.R. ALTO VALLE ESTE A.E.R. ALTO VALLE OESTE A.E.R. VALLE MEDIO A.E.R. RÍO COLORADO A.E.R. CONFLUENCIA A.E.R. ALTO VALLE CENTRO E.E.A. VALLE INFERIOR E.E.A. VALLE INFERIOR A.E.R. GENERAL CONESA U.T.L. VALCHETA E.E.A. SAN CARLOS DE BARILOCHEE.E.A. SAN CARLOS DE BARILOCHE O.T. LOS MENUCOS A.E.R. ZAPALA A.E.R. SAN MARTÍN DE LOS ANDES A.E.R. EL BOLSON A.E.R. INGENIERO JACOBACCI C.F. GRAL. SAN MARTÍN C.A. PILCANIYEU A.E.R. CHOS MALAL Cabecera E.E.A. ALTO VALLE C.R. PATAGONIA NORTE Provincia Referente Informático Rio Negro Damian Pardal Neuquén Neuquén Neuquén Rio Negro Rio Negro Rio Negro Rio Negro Neuquén Rio Negro Rio Negro Rio Negro Rio Negro Rio Negro Juan Pablo Duprez Rio Negro Neuquén Neuquén Rio Negro Rio Negro Rio Negro Rio Negro Neuquén INTA / Terc En sitio? Distancia Tiempo viaje INTA Si 0 0,00 INTA No 40 1,00 INTA No 40 1,00 INTA No 60 1,50 INTA No 60 1,00 INTA No 30 0,50 INTA No 200 2,00 INTA No 330 3,50 INTA No 50 1,00 INTA No 8 0,20 Tercerizado No 530 6,00 INTA(1) No 370 4,00 INTA(1) No 480 6,00 INTA Si 0 0,00 No 350 5,00 No 400 4,00 No 270 3,00 No 130 2,00 No 200 3,00 No 135 2,00 No 90 2,00 No 600 7,00 PCs Tot PC KMS T.Viaj 140 268 2198 27,70 ‐4 10 3 8 8 12 9 3 8 8 50 4 5 150 190 2175 28,00 ‐3 1 6 8 7 4 7 2 5 CENTRO REGIONAL PATAGONIA NORTE BASE DE CÁLCULO 141 E.E.A. SANTA CRUZ E.E.A. ESQUEL Cabecera E.E.A. CHUBUT C.R. PATAGONIA SUR Unidad E.E.A. CHUBUT C.R. PATAGONIA SUR A.E.R. COMODORO RIVADAVIA A.E.R. RIO MAYO A.E.R. SARMIENTO LABORATORIO DE LANAS RAWSON O. PASO DE INDIOS E.E.A. ESQUEL A.E.R ESQUEL A.E.R. EL MAITÉN (** OJO **) A.E.R. GOBERNADOR COSTA A.E.R. TREVELIN C.E. TREVELIN A.E.R.EL HOYO E.E.A. SANTA CRUZ A.E.R. RIO GALLEGOS A.E.R. RIO GRANDE(dos Fronteras + Balsa) Cada tramo OIT. CALETA OLIVIA OIT RIO TURBIO AER PERITO MORENO A.E.R. USHUAIA A.E.R. EL CALAFATE A.E.R. SAN JULIAN AER GDOR.GREGORES AER LOS ANTIGUOS C.A. POTROK AIKE Tierra Fuego Santa Cruz Santa Cruz Santa Cruz Tierra Fuego Santa Cruz Santa Cruz Santa Cruz Santa Cruz Santa Cruz Provincia Referente Informático Chubut Rodrigo Cariaga Chubut Chubut Chubut Chubut Chubut Chubut Chubut Miguel Matias Ventura Chubut Chubut Chubut Chubut Chubut Chubut Santa Cruz Lopez Castaño Jose Antonio Santa Cruz No No No No No No No No No No INTA / Terc En sitio? Tercerizado Si No No No No No No Tercerizado Si Si No No No No No INTA Si Si 357 694 293 993 577 301 352 465 1056 125 7,00 9,00 4,00 12,00 9,00 4,00 4,50 6,00 13,00 1,50 11 4 2 2 6 7 4 6 11 3 Distancia Tiempo viaje PCs Tot PC KMS T.Viaj 0 0,00 85 116 1810 21,70 ‐1 12 5 0,20 4,00 6 380 8,00 2 650 5,00 4 400 6 25 0,50 350 4,00 1 0 0,00 40 74 616 7,70 ‐1 0 0,00 7 7 136 1,20 3 25 0,50 2,00 5 150 5 145 2,00 160 2,00 7 0 0,00 61 119 5213 70,00 ‐1 0 0,00 2 CENTRO REGIONAL PATAGONIA SUR BASE DE CÁLCULO 142 E.E.A. ABRA PAMPA E.E.A. YUTO Cabecera C.R. SALTA JUJUY E.E.A. SALTA Unidad C.R. SALTA JUJUY E.E.A. SALTA O.I.T. APOLINARIO SARAVIA O.I.T. CORONEL MOLDES A.E.R.CAFAYATE A.E.R. J.V.GONZALEZ A.E.R. SECLANTAS A.E.R. PERICO A.E.R. METAN U.E.E. VALLE DE LERMA A.E.R. GÜEMES O.I.T. EL GALPON O.I.T. ROSARIO DE LA FRONTERA E.E.A. YUTO A.E.R. TARTAGAL A.E.R. ORAN O.I.T. MORILLO A.E.R. SAN PEDO DE JUJUY O.I.T. PALMA SOLA E.E.A. ABRA PAMPA A.E.R.‐C. LA QUIACA A.E.R.‐C. SANTA VICTORIA OESTE A.E.R.C. SAN ANTONIO DE LOS COBRES A.E.R.‐C. ABRA PAMPA A.E.R.‐C. HORNILLOS O.I.T. HUMAHUACA Provincia Salta Salta Salta Salta Salta Salta Salta Jujuy Salta Salta Salta Salta Salta Jujuy Salta Salta Salta Jujuy Jujuy Jujuy Jujuy Jujuy Jujuy Jujuy Jujuy Jujuy Luis Armando Carrizo José Humberto Guitián Referente Informático INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC Tercerizado No 16 0,50 14 14 INTA Si 0 110 129 No 268 3,00 2 No 50 1,00 2 No 180 2,50 4 No 266 3,00 4 No 160 3,00 7 Tercerizado No 90 1,10 10 Tercerizado No 154 2,00 4 Sin Conexión No 15 0,50 6 9 Sin Conexión No 64 1,00 1 Sin Conexión No 163 2,00 1 Sin Conexión No 189 2,15 1 INTA Si 0 0,00 47 118 No 157 2,00 8 No 75 1,10 9 No 210 2,10 1 No 90 1,00 7 No 65 1,50 1 No 360 4,50 22 No 410 5,00 3 No 580 7,50 3 No 180 3,00 2 No 340 4,00 5 No 180 3,00 4 No 260 3,50 6 2907 38,20 ‐1 431 5,65 KMS T.Viaj 16 924 12,50 ‐2 CENTRO REGIONAL SALTA - JUJUY BASE DE CÁLCULO 143 E.E.A. OLIVEROS A.E.R. ROLDAN A.E.R. LAS ROSAS A.E.R. ARROYO SECO A.E.R. VENADO TUERTO A.E.R. CAÑADA DE GOMEZ A.E.R. CASILDA A.E.R. TOTORAS E.E.A. OLIVEROS E.E.A. RECONQUISTA Unidad E.E.A. RAFAELA C.R. SANTA FE A.E.R. ESPERANZA A.E.R. CARLOS PELLEGRINI A.E.R. SAN CRISTOBAL A.E.R. GALVEZ A.E.R. SAN JUSTO A.E.R. SANTA FE A.E.R. CERES E.E.A. RECONQUISTA A.E.R. GARABATO A.E.R. LAS TOSCAS A.E.R. CALCHAQUÍ A.E.R. TOSTADO A.E.R. SAN JAVIER A.E.R. RECONQUISTA Cabecera E.E.A. RAFAELA C.R. SANTA FE Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Provincia Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe Santa Fe No NO NO NO NO NO NO NO 47 48 149 84 206 96 97 77 0,75 0,75 2,00 1,25 3,00 1,25 1,25 0,80 70 9 8 10 12 4 9 5 70 47 0,75 57 757 10,30 ‐1 INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj 0 0,00 170 ‐1 INTA SI NO 10 0,40 18 NO 61 0,75 10 NO 110 1,50 6 NO 106 1,50 5 NO 110 1,50 6 NO 164 2,50 7 NO 109 1,50 8 NO 164 2,50 5 0 0,00 55 90 695 9,50 ‐1 INTA SI NO 100 1,40 4 NO 125 1,50 6 NO 100 1,40 4 NO 200 2,70 6 NO 150 2,00 4 NO 20 0,50 11 Hernán Walter TOMADIN Hector Garcia (2) Monica Massaccesi (1) Tercerizado Monica Massaccesi (1) INTA (1) Administrativa INTA colabora con la gestión (2) 2 veces por semana Referente Informático Liliana Franco / Federico Pérez CENTRO REGIONAL SANTA FE BASE DE CÁLCULO 144 Referente Informático Cabecera Unidad Provincia E.E.A. SANTIAGO DEL ESTERO E.E.A. SANTIAGO DEL ESTERO Sgo del EsteroRufail Juan Tucumán C.R. TUCUMAN SANTIAGO DEL ESTC.R. TUCUMAN SANTIAGO DEL ESTERO C.E. LA MARIA Sgo del Estero O.I.T. TERMAS DE RIO HONDO Sgo del Estero A.E.R. FERNANDEZ Sgo del Estero A.E.R. FRIAS Sgo del Estero A.E.R. FIGUEROA Sgo del Estero SISTEMA INTEGRADO DE EXTENSION RURAL NUEVASgo del Estero SISTEMA INTEGRADO DE EXTENSION RURAL OJO DSgo del Estero SISTEMA INTEGRADO DE EXTENSION RURAL LORETSgo del Estero Sgo del Estero E.E.A. ESTE SANTIAGO DEL ESTEROE.E.A. ESTE SANTIAGO DEL ESTERO Mariano Matías Raul Moreno E.E.A. FAMAILLA E.E.A. FAMAILLA Tucumán Francisco Farías A.E.R. BANDA DEL RIO SALI Tucumán A.E.R. AGUILARES Tucumán A.E.R. TRANCAS Tucumán D.E.R. GRANEROS Tucumán D.E.R. LA COCHA Tucumán D.E.R. LULES Tucumán A.E.R. MONTEROS Tucumán A.E.R. SIMOCA Tucumán U.E.E.A. VALLES CALCHAQUIES Tucumán A.E.R. TAFI VIEJO Tucumán Tucumán O.I.T. TAFI DEL VALLE AUPU SAN MIGUEL DE TUCUMAN Tucumán INTA Si No No No No No No No No No No No No INTA / Terc En sitio? INTA Si No No No No No No No No No No 0 40 55 80 80 90 10 18 22 135 40 65 36 0,00 0,50 0,75 1,00 1,00 1,20 0,25 0,30 0,40 2,50 0,70 1,30 0,50 150 218 671 10,40 ‐1 5 10 10 3 3 4 5 5 4 5 4 10 Distancia Tiempo viaje PCs Tot PC KMS T.Viaj 0 0,00 120 202 1236 18,35 ‐3 170 2,30 18 50 1,00 20 76 1,00 5 50 1,00 8 150 2,00 10 130 2,30 3 210 3,00 3 210 2,75 3 70 1,00 2 120 2,00 10 CENTRO REGIONAL TUCUMAN - SANTIAGO BASE DE CÁLCULO 145 CENTRO DE INVESTIGACIONES AGROPECUARIAS (CIAP) BASE DE CÁLCULO Cabecera CIAP Unidad CIAP Provincia Referente Informático Cordoba Rubiolo, Carolina INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj INTA si 0 120 120 0 ‐1 146 Provincia INSTITUTO DE PATOBIOLOGÍA INSTITUTO DE GENÉTICA Buenos Aires Guillermo Sutz Kaelin/Jorge Cayo Guillermo Sutz Kaelin / Claudia Buenos Aires Sosa Buenos Aires Juan Pablo Rossi Horacio Miraglia Buenos Aires Juan Pablo Rossi / Ramiro Oviedo Guillermo Sutz Kaelin/Juan CENTRO DE INVESTIGACIÓN EN CI CENTRO DE INVESTIGACIÓN EN CIENCIAS VETERINBuenos Aires Manuel Laine INSTITUTO DE BIOTECNOLOGÍA Buenos Aires INSTITUTO DE VIROLOGÍA Buenos Aires INST.DE MICROBIOL.Y ZOOLOGÍA AGR. Buenos Aires INSTITUTO DE SUELOS INSTITUTO DE FLORICULTURA Unidad Referente Informático Cristian Juan Dario Molfino GCIA.SERVICIOS COMPLEMENTAR CENTRO NACIONAL DE INVESTIGACIONES AGROPEBuenos Aires Arturo Ramos COMPLEJO CASTELAR Buenos Aires GCIA.SERVICIOS COMPLEMENTARIOS Buenos Aires DEPTO.INFRAESTRUCTURA, OPERACIONES Y SERVIBuenos Aires DIVIS. COMUNICACIONES E INFORMÁTICA Buenos Aires GCIA.SERVICIOS COMPLEMENTARIOS Buenos Aires DEPTO.DE ADMINISTRACIÓN CNIA Buenos Aires DEPTO.DE OPERACIONES Y SERVICIOS Buenos Aires CENTRO DE INVESTIGACIÓN DE AGCENTRO DE INVESTIGACIÓN DE AGROINDUSTRIA Buenos Aires INSTITUTO DE TECNOLOGÍA DE ALIM. Buenos Aires Cristian Juan Dario Molfino INSTITUTO DE INGENIERÍA RURAL Buenos Aires Arturo Ramos + Andrés Moltoni CENTRO DE INVESTIGACIÓN DE RECENTRO DE INVESTIGACIÓN DE RECURSOS NATURABuenos Aires Juan Pablo Rossi INSTITUTO DE RECURSOS BIOLÓGICOS Buenos Aires INSTITUTO DE CLIMA Y AGUA Buenos Aires Cabecera INTA Si Si Si Si Si Si INTA INTA Si Si Si Si Si Si INTA INTA INTA INTA Si Si Si Si Si Si Si Si Si Si INTA 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 81 81 250 250 70 596 184 149 193 165 165 39 39 94 107 288 123 58 66 20 151 331 0 0 0 0 0 0 0 INTA / Terc En sitio? Distancia Tiempo viaje PCs Tot PC KMS T.Viaj ‐3 ‐4 ‐2 ‐5 ‐4 CENTRO REGIONAL CNIA CASTELAR BASE DE CÁLCULO 147 ANEXO VI ANÁLISIS DE LOS SITIOS WEB E INTRANET DEL ORGANISMO Los contenidos de la página web del organismo se originan en los distintos Centros Regionales. Estos son enviados electrónicamente a la administración central, donde la Administradora del sitio hace una revisión de pautas de calidad relacionadas con los formatos establecidos, no así con los contenidos. En ese sentido, se verificaron muchos contenidos desactualizados o sin fechas de publicación72. Por todo lo expuesto, se observa la ausencia de la figura de un administrador de contenidos y de una política de administración de contenidos. Además, se han detectado la existencia de páginas no institucionales que se autoinvocan como propias del organismo, pero que no pertenecen a él. En relación al análisis de las pautas fijadas por la Disposición 69/2011 de la ONTI se detallan lo siguiente: Análisis de Intranet: 1) Contenidos Básicos Portada Autoridades Nombre Foto Cargo Teléfono Dirección Correo electrónico Organigrama Marco Normativo Misiones y Funciones (Objetivos) Descripción de Proyectos en curso Presupuesto Nacional Novedades Publicaciones Versiones en otros idiomas Dirección (Postal y Teléfonos) Dirección Electrónica Webmaster Enlaces a Redes Sociales Exploradores básicos Si/No Si Observaciones No aplica No aplica No aplica No aplica No aplica No aplica No aplica No aplica No aplica No aplica No aplica No aplica Si Si No Si No Si No aplica Existe una opción de contacto 148 2) Facilidades Básicas Mapa del Sitio Enlaces Rotos Enlace al inicio Foro Buscador Boletín Informativo Consulta para el ciudadano Documentación Orientación Tamaño de las descargas 3) Accesibilidad Encabezamientos (filas y columnas) Llenado de formularios en línea Marcos con títulos Claridad de Jerarquía Cancelación de operaciones en línea Consistencia de elementos visuales Claridad de contenidos No No Si No No No No aplica Si Si Si Si Si Si Si Si Si Si De este análisis se desprenden como observaciones relevantes, la ausencia de un buscador, especialmente de normativas internas que puedan accederse con facilidad por los agentes del organismo y el boletín informativo con las novedades institucionales. Análisis del sitio web institucional (http://inta.gob.ar/): 1) Contenidos Básicos Portada Autoridades Nombre Foto Cargo Teléfono Dirección Correo electrónico Organigrama Si/No Si Si Si Si Si Si Si No Si Observaciones 149 Marco Normativo Misiones y Funciones (Objetivos) Descripción de Proyectos en curso Presupuesto Nacional Novedades Publicaciones Versiones en otros idiomas Dirección (Postal y Teléfonos) Dirección Electrónica Webmaster Enlaces a Redes Sociales Exploradores básicos Si Si Si Si Si Si No Si Si Si Si 2) Facilidades Básicas Mapa del Sitio Enlaces Rotos Enlace al inicio Foro Buscador Boletín Informativo Consulta para el ciudadano Documentación Orientación Tamaño de las descargas No No Si No Si No Si Si Si Si 3) Accesibilidad Encabezamientos (filas y columnas) Llenado de formularios en línea Marcos con títulos Claridad de Jerarquía Cancelación de operaciones en línea Consistencia de elementos visuales Claridad de contenidos Si No Si Si No Si Si De este análisis no se desprenden observaciones relevantes. Deberán cumplimentarse aquellos contenidos básico que o están disponibles. 150 ANEXO VII DESCARGO DEL INSTITUTO NACIONAL DE TECNOLOGIA AGROPECUARIA (INTA) 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 CUADRO CON DESCARGO DEL INSTITUTO NACIONAL DE TECNOLOGIA AGROPECUARIA (INTA) Y COMENTARIOS RELATIVOS DE AGN RESPECTO A CADA UNA DE LAS OBSERVACIONES SEÑALADAS 189 4.1. PLANIFICAR Y ORGANIZAR 4.1.1 Definir un plan estratégico para TI plan estratégico institucional como su correspondiente de TI, pero sus no se respaldadas encuentran por sus correspondientes planes tácticos que detallen como se lograrán los objetivos detalles planteados. de tiempos, No hay recursos afectados, costos, hitos intermedios a alcanzar o riesgos relacionados. Por consiguiente, no hace posible un correcto control y seguimiento. De hecho, del Plan Estructurante, concebido entre los años 2006 y 2007, gran parte de los objetivos (salvo aquellos relacionados con la infraestructura informática), no se han cumplido al momento de los trabajos transformación iniciado en 2011 y que, hasta la fecha, Observaciones: Existen tanto el metas Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las proceso de transición y observaciones. de campo de esta viene consolidando un rumbo estratégico que falta formalizar. En relación con la infraestructura de Red: El plan Estructurante 20062007 contemplaba la integración de la red del INTA, en la primer etapa se atendió las necesidades más urgentes y recientemente 2013- se incluyó a toda la red con parámetros de anchos de banda acordes a los requerimientos detectados y con capacidad de ampliación 100% y se aseguró la disponibilidad conectividad, de los principales servidores en un DataCenter. auditoría. 4.1.2 Definir la Arquitectura de la Información. Observaciones: El Organismo no La Respuesta INTA falta de RRHH capacidades adelante para proyectos Comentario AGN y Se mantiene la llevar observación. de 190 estableció un arquitectura integrada modelo de que de desarrollo de aplicaciones información ha incluya posibilitado esta un situación observada. Por diccionario y un esquema de otro lado se trabaja con la clasificación, de acuerdo a la DNA de RRHH para la criticidad y la sensibilidad, de adecuación de la datos. Tampoco están formalizados dependencia funcional de procedimientos para definir datos los puestos informáticos de nuevos que aseguren la integridad las unidades del interior y y la consistencia de toda la dentro de las áreas de TI de información almacenada. Se llevan Sede Central, posibilitando a cabo desarrollos en distintas una mejor coordinación. Se unidades del INTA sin seguir trabaja en la definición y ningún lineamiento organizacional adopción de estrategias de dependiente de la administración desarrollo de aplicaciones central. Conviven plataformas de distintas para todo el organismo con hardware y responsabilidad primaria en software, los datos en muchos las áreas de TI de Sede casos se almacenan localmente, sin Central. Gerencia de seguir una política de seguridad de Informática – Gerencia de datos. Esta situación puede generar Gestión de la Información). redundancia inconsistencias de y/o datos, fuga de información fuera el organismo. 4.1.3 Determinar la dirección tecnológica Observaciones: No se desarrolló un Plan de Infraestructura que esté Respuesta INTA Comentario AGN Existen planes operativos Se mantienen las parciales y análisis de observaciones. infraestructura formalizar. La sin falta de 191 de acuerdo estratégicos alineados con los y tácticos con los planes RRHH y capacidades para de de TI llevar adelante proyectos ha la posibilitado esta situación organización, con establecimiento observada. de estándares, Está en dirección implementación un modelo tecnológica, un planeamiento de la de infraestructura de red capacidad instalada y las posibles pensada para que todos los necesidades futuras que engloben a usuarios de INTA puedan todo el Organismo. acceder a todos los sistemas de información, Internet 1 y 2, telefonía fija y móvil, videoconferencia, independientemente lugar en del donde se encuentren, y con capacidad de crecimiento. 4.1.4 Definir los procesos, organización y relaciones de TI Observaciones: aprobación de Falta una la estructura formal de TI para las posiciones inferiores a gerentes, que en la actualidad se ejercen ad hoc. Respuesta INTA Comentario AGN trabaja en forma Se mantienen las conjunta con las áreas de observaciones. Se RRHH para avanzar sobre la formalización de la estructura orgánica y de los puestos de TI en todo el país. Implica, entre otras definiciones: La determinación de la dependencia funcional recursos de los para 192 asegurar la estrategia de TI en todas las unidades. El análisis de incorporación de un plus por actividad informática para nivelar sueldos con el sector privado y público. El refuerzo de las dotaciones de TI en todas las regiones y en sede central de acuerdo a perfiles técnicos determinados en los planes Estratégicos y Maestro. En relación con los desarrollos normativos, en el ANEXO II se detallan – sintéticamente– los temas normativos sobre los que la Gerencia de Informática y Gerencia de Gestión de la Información están trabajando. 193 4.1.5 Administrar la inversión en TI Observaciones: marco de No existe un administración de proyectos centralizado que incluya: Costos, plazos, hitos a cumplir, alcance, recursos afectados. Comentario AGN Respuesta INTA EL INTA se encuentra en un Se mantienen las proceso de transición y observaciones. transformación iniciado en 2011 y que, hasta la fecha, viene consolidando un rumbo estratégico que falta formalizar. En el ANEXO III se adjunta el proyecto de calidad implementación de una definidos en el sistema de PMO, a desarrollar en los administración de calidad. próximos meses. Parámetros Un de proceso de administración de control de cambios de modo tal que todas las modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado de acuerdo al marco de trabajo. Un proceso de monitoreo del desempeño contra los criterios claves previamente definidos en el sistema de calidad. 194 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia Observaciones: La Dirección Nacional Asistente de Sistemas de Información, Comunicación y Calidad está en un proceso inicial de elaboración de un marco de trabajo de políticas procedimientos de TI. y Faltan algunas políticas y procedimientos relevantes tales como las relacionadas a la formulación y ejecución del Plan Estratégico de TI, formulación y administración de proyectos de TI, Ciclo de Vida de Desarrollo de Sistemas (existe una metodología, incompleta), pero es Pruebas e Plan de Implementación, Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las proceso de transición y observaciones. transformación iniciado en 2011 y que, hasta la fecha, viene consolidando un rumbo estratégico que falta formalizar. En relación con los desarrollos normativos, en el ANEXO II se detallan –sintéticamente– los temas normativos sobre los que la Gerencia de Informática y Gerencia de Gestión de la Información están trabajando. En el ANEXO III se adjunta el proyecto de implementación de ITIL y una PMO, a desarrollar en los próximos meses. Contingencia, Administración de Riesgos y Administración de Calidad, entre otros. 4.1.7 Administrar los recursos humanos de TI El personal de TI suele tener a su cargo procesos críticos relacionados con la operatoria de la organización. El Instituto tiene un Respuesta INTA Comentario AGN Se trabaja en forma Se mantienen las conjunta con las áreas de observaciones. RRHH para avanzar sobre la formalización de la estructura orgánica y de los puestos de TI en todo el 195 Convenio Colectivo que promueve país. Implica, entre otras la profesionalización de sus definiciones: empleados. En el mercado laboral, La determinación de las áreas de TI suelen proveerse la mayormente de personal idóneo, en funcional muchos casos no profesional, pero recursos para especializado en tecnología, con asegurar la altos niveles salariales. La rigidez estrategia de TI en del todas las unidades. convenio adecuación,73 o su falta de provoca que los salarios ofrecidos por el organismo, estén por debajo del nivel del mercado, con lo cual dificulta el ingreso y la retención del personal. El organismo cuenta con un esquema limitado para generar nuevas vacantes, por lo que se El dependencia de análisis los de incorporación de un plus por actividad informática para nivelar sueldos con el sector privado y público. procede a la contratación bajo la El refuerzo de las modalidad 1.8.7, becarios y otras, dotaciones de TI en que no generan situaciones de todas las regiones y estabilidad en los involucrados. en sede central de Asimismo carece de una política de acuerdo a perfiles retención. técnicos determinados en los planes Estratégicos y Maestro. 4.1.8 Administrar la calidad Observaciones: No Respuesta INTA Comentario AGN Se existen El INTA se encuentra en un mantienen las 196 políticas ni un administración sistema de de proceso de transición y observaciones. calidad transformación iniciado en relacionado con TI que establezca 2011 y que, hasta la fecha estándares para monitorearla. identificar medirla Esto y viene consolidando un impide rumbo estratégico que falta desviaciones, aplicar formalizar. Parcialmente, se acciones correctivas (en caso de están implementando detectarlas), informar a los usuarios sistemas aplicativos (caso involucrados y conocer la entrega Sistema de valor de TI a los objetivos permiten estratégicos del Organismo. de Ticket) medir que algunos indicadores definidos (Ej. velocidad de respuesta en un punto). De igual modo, se realiza el control de la disponibilidad de los enlaces de la WAN, en cumplimiento contratos vigentes de de con los servicio las prestadoras. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.1.9 Evaluar y administrar los riesgos de TI Observaciones: No existe un marco de administración de riesgos Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantiene la proceso de transición y observación. transformación iniciado en 2011 y que, hasta la fecha 197 que permita identificarlos para viene consolidando un tomar una acción para prevenirlos, rumbo estratégico que falta asumirlos, mitigarlos, evitarlos o formalizar. En el ANEXO resolverlos en caso de un incidente, III se adjunta el proyecto de cuantificando costos probabilidades Informalmente de los y implementación ITIL y de ocurrencia. una PMO, a desarrollar en riesgos los próximos meses. tecnológicos se conocen, pero la falta de un inventario completo y detallado de la TI no permite una evaluación formal de éstos que contemple las fortalezas, las oportunidades, las debilidades y las amenazas. El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden generar perjuicios, sin que estén contempladas las medidas a tomar en cada caso. Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las Observaciones: No existe un proceso de transición y observaciones. marco de administración de transformación iniciado en proyectos centralizado que incluya: 2011 y que, hasta la fecha Costos, plazos, hitos a viene consolidando un cumplir, alcance, recursos rumbo estratégico que falta afectados formalizar. Se prevé la Parámetros de calidad conformación de un área definidos en el sistema de específica dentro de la 4.1.10 Administrar proyectos 198 administración de la Gerencia calidad. Un de Informática para la administración de proceso de los proyectos propios administración de control (PMO). En el ANEXO III se de cambios de modo tal que adjunta el proyecto de todas las modificaciones a implementación ITIL y de la línea base se revisen, una PMO, a desarrollar en aprueben e incorporen al los próximos meses. plan integrado de acuerdo al marco de trabajo. Un proceso de monitoreo del desempeño contra los criterios clave previamente definidos en el sistema de calidad. 199 4.2. ADQUIRIR E IMPLEMENTAR 4.2.1 Identificar soluciones automatizadas gestión centralizada del desarrollo de software. Existen políticas y procedimientos formalizados74 para administrar los requerimientos de permitan cursos de administrar alcances, automatizadas, evaluar acción que factibilidades, alternativos, prioridades, asignar RRHH para avanzar sobre la Observaciones: No existe una soluciones Respuesta INTA Comentario AGN Se trabaja en forma Se mantienen las conjunta con las áreas de observaciones. acordar recursos formalización de la estructura orgánica y de los puestos de TI en todo el país. Implica, entre otras definiciones: La adecuación en el número de recursos calificados para cada unidad y sede central. y determinar un usuario clave que La capacitación patrocine el proyecto, pero no se específica aplican en todos los casos. En adecuar los gap de muchas unidades administrativas se capacidades, a las llevan a cabo desarrollos sin necesidades control de la Gerencia de Gestión INTA. de la Información. Existe una metodología de Ciclo de Vida de Desarrollo de Sistemas, pero no se aplica en todos los casos. para del La determinación de la dependencia funcional de los recursos para asegurar la estrategia de TI en todas las unidades. El análisis de 200 incorporación de un plus por actividad informática para nivelar sueldos con el sector privado y público. El refuerzo de las dotaciones de TI en todas las regiones y en sede central de acuerdo a perfiles técnicos determinados en los planes Estratégicos y Maestro. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de la Información, están trabajando en estos temas, como se detalla en el ANEXO II. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 201 4.2.2 Adquirir o desarrollar y mantener software aplicativo Observaciones: Hay formalizada una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que contempla documentaciones tales como: alcance, requerimientos, diseño, pruebas, e implementación pero no se aplica en todos los casos y la misma es incompleta ya que no se definieron estándares de documentación a aplicar en cada etapa. No se realiza Respuesta INTA Comentario AGN Se trabaja en forma Se mantienen las conjunta con las áreas de observaciones. RRHH para avanzar sobre la formalización de la estructura orgánica y de los puestos de TI en todo el país. Implica, entre otras definiciones: La adecuación en el número de recursos calificados para cada unidad y sede central. gestión de aseguramiento de la calidad en los desarrollos ni en la La capacitación seguridad, tanto propia como para específica terceros. del adecuar los gap de Organismo, independientes de TI, capacidades, a las que llevan a cabo sus propios necesidades desarrollos de aplicaciones, sin INTA. utilizar Existen la estándares áreas metodología de y ni Seguridad Informática. La misma situación se encuentra en el caso del desarrollo y mantenimiento aplicaciones terceros. de realizadas las por para del La determinación de la dependencia funcional de los recursos para asegurar la estrategia de TI en todas las unidades. El análisis de 202 incorporación de un plus por actividad informática para nivelar sueldos con el sector privado y público. El refuerzo de las dotaciones de TI en todas las regiones y en sede central de acuerdo a perfiles técnicos determinados en los planes Estratégicos y Maestro. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de la Información, están trabajando en estos temas, como se detalla en el ANEXO II. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 203 4.2.3 Adquirir y mantener infraestructura tecnológica Observaciones: No hay un plan de Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las proceso de transición y observaciones. La transformación iniciado en respuesta del 2011 y que, hasta la fecha, organismo no resulta considere aspectos tales como viene consolidando un suficiente para revocar adquisiciones, implementaciones, rumbo estratégico que falta las consideraciones planeamiento de la capacidad para formalizar. Sobre la expuestas necesidades futuras, costos de estimación de los anchos de oportunamente, atento transición, riesgo tecnológico y banda estos han sido que no existe vida útil de la capacidad existente determinados en función de documentación que como contribución de TI para las necesidades actuales respalde cómo se alcanzar los objetivos estratégicos sobre uso de aplicaciones y cuantificó inicialmente del Organismo. servicios corporativos el tráfico de la red Existe la intención de unir 420 instalados en el DC central para decidir su puntos en todo el país, pero no se y los consumos de configuración. llevó a cabo un análisis de las navegación de Internet aplicaciones que se desarrollaron promedio registrados. La en el interior y que pueden contratación de servicios de transformarse en corporativas. El conectividad actual impacto del aumento del tránsito de contempla la posibilidad de datos futuro no se ha contemplado. actualizar hasta un 100% el infraestructura tecnológica que ancho de banda disponible en cada uno de los vínculos sin cambiar nada en la infraestructura proveedor o del del INTA actualmente instalada. El INTA dispone (desde la Gerencia de Informática) de 204 un plan para implementar por etapas la infraestructura de red que soporte los servicios de datos, Internet, telefonía, videoconferencia, aunque este no está contemplado en un sistema de planeamiento centralizado. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 205 4.2.4 Facilitar la operación y el uso Observaciones: Falta un marco para la documentación de los sistemas. No se confecciona una documentación estándar para cada etapa del proceso de ciclo de vida que permita la transferencia de conocimiento. No existe documentación o descripción de los procedimientos de los sistemas de información en producción. Además, se desarrolla software en las distintas unidades administrativas del organismo, que no se encuentran controladas bajo la administración central, por lo que cada una adopta su propio criterio de administración de las aplicaciones. Respuesta INTA Comentario AGN La falta de RRHH y de Se mantienen las capacidades para llevar observaciones. adelante proyectos de desarrollo de aplicaciones sobre lo que se trabaja, desde las Gerencias de TI, con las áreas de RRHH. Se necesita, también, avanzar en la definición sobre la dependencia funcional de los puestos informáticos de la áreas de TI de Sede Central y en la definición y adopción de estrategias de desarrollo de aplicaciones para todo el organismo con responsabilidad primaria en las áreas de TI de Sede Central. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. Respuesta INTA Comentario AGN La falta de RRHH y de Se mantienen las Falta formular un procedimiento capacidades para llevar observaciones. Las para establecer, modificar y adelante proyectos de mejoras a concluir contratos que apliquen a desarrollo de aplicaciones implementarse, se todos los proveedores, que 4.2.5 Adquirir recursos de TI 206 abarque: responsabilidades y sobre lo que se trabaja, evaluará en una futura obligaciones legales, financieras, desde las Gerencias de TI, auditoria de organizacionales, documentales, de con las áreas de RRHH. Se seguimiento. desempeño, propiedad de seguridad intelectual y de necesita, también, avanzar de en la definición sobre la conclusión, así como obligaciones dependencia funcional de y cláusulas de penalización por los puestos informáticos de incumplimiento cuando no la áreas de TI de Sede cumplan los acuerdos de niveles de Central y en la definición y servicios previamente establecidos. adopción de estrategias de En el caso de intelectual la propiedad desarrollo de aplicaciones de Software para todo el organismo con desarrollado por la organización no responsabilidad primaria en se encuentra preservado, ya sea por las áreas de TI de Sede debilidades de seguridad (existen Central. En relación con los desarrollos llevados a cabo en las desarrollos normativos, la distintas áreas del organismo y que Gerencia de Informática y no están bajo el control de la DNA la Gerencia de Gestión de Sistemas de Comunicaciones Información, la y Calidad) Información, están y trabajando en estos temas, porque no se ha formalizado un como se detalla en el documento con los desarrolladores, ANEXO II. En el ANEXO III de respetar esta propiedad. se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.2.6 Administrar cambios Observaciones: No Respuesta INTA Comentario AGN La falta de RRHH y de Se mantienen las hay capacidades para llevar observaciones. 207 procedimientos formales para la adelante proyectos de administración de cambios que desarrollo de aplicaciones establezcan un estandarizado de tratamiento sobre lo que se trabaja, todas las desde las Gerencias de TI, solicitudes de mantenimiento y con las áreas de RRHH. Se actualizaciones, en aplicaciones, necesita, también, avanzar procesos, servicios y parámetros de en la definición sobre la sistema. Tampoco existe un dependencia funcional de procedimiento alternativo y formal los puestos informáticos de para atender situaciones emergencia. de la áreas de TI de Sede Central y en la definición y Cuando se realizan cambios o adopción de estrategias de actualizaciones no se genera la desarrollo de aplicaciones documentación pertinente. Pueden para todo el organismo con surgir errores inadvertidos a partir responsabilidad primaria en de cambios no autorizados y/o no las áreas de TI de Sede probados a información. los sistemas de Central. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de la Información, están trabajando en estos temas, como se detalla en el ANEXO II. En el caso concreto de los procedimientos de ABM en conectividad, el sistema de conectividad ticket/proyectos y el de es 208 ciertamente documental y formal. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.2.7 Instalar y acreditar soluciones y cambios Observaciones: Existe una metodología de Ciclo de Vida de Desarrollo de Sistemas, pero no se aplica en todos los casos. Además existen desarrollos de aplicaciones en varias unidades administrativas del organismo, donde se siguen criterios propios. Todas las tareas referidas a la implementación de un sistema o su modificación, no siguen criterios estándares preestablecidos. En relación a las pruebas, no se confecciona un ambiente independiente a tal efecto, en el que el usuario pueda llevarlas a cabo. Tampoco se aplica documentación estandarizada para esta etapa. Respuesta INTA Comentario AGN La falta de RRHH y de Se mantienen las capacidades para llevar observaciones. adelante proyectos de desarrollo de aplicaciones sobre lo que se trabaja, desde las Gerencias de TI, con las áreas de RRHH. Se necesita, también, avanzar en la definición sobre la dependencia funcional de los puestos informáticos de la áreas de TI de Sede Central y en la definición y adopción de estrategias de desarrollo de aplicaciones para todo el organismo con responsabilidad primaria en las áreas de TI de Sede Central. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de 209 la Información, están trabajando en estos temas, como se detalla en el ANEXO II. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.3. ENTREGAR Y DAR SOPORTE 4.3.1 Definir y administrar los niveles de servicio marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el usuario y el prestador del servicio, que incluya procesos para la de requerimientos, definiciones, acuerdos de niveles de servicio (ANS) para todos los procesos críticos de TI y sus correspondientes fuentes de financiamiento, y que, a partir de reportes monitorear periódico permita continuamente los criterios de desempeño y revisar periódicamente transformación iniciado en 2011 que, hasta la fecha, Observaciones: Falta definir un creación Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las proceso de transición y observaciones. los ANS para viene consolidando un rumbo estratégico que falta formalizar. La falta de RRHH para dar respuesta a los requerimientos de servicios actuales es un aspecto que se trabaja con las áreas de RRHH. La implementación de ITIL para la gestión de servicios de TI nos permitirá dar respuesta a estos defectos. A nivel red hay acuerdos de servicios con operadores, los los mismos repercuten directamente en 210 asegurar que son efectivos. los usuarios, los ANS se monitorean y están establecidos contractualmente. También se evalúa la demanda y establecen acciones para hacer más recursos eficiente los disponibles. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de Información, la están trabajando en estos temas, como se detalla en el ANEXO II. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.3.2 Administrar servicios de terceros Observaciones: No existe un Respuesta INTA Comentario AGN Existen algunos marcos Se mantienen las definidos para administrar y observaciones. La monitorear los servicios de respuesta del terceros. Los contratos organismo no resulta los servicios de terceros que establecidos, por ejemplo suficiente para revocar incluya formalizar el proceso de para los enlaces de las consideraciones administración de relaciones con conectividad y de la expuestas proveedores; tenerlos catalogados, telefonía móvil, establecen oportunamente atento marco de trabajo para administrar 211 asegurarse que los contratos están claramente esos criterios, que de conformidad requerimientos regulatorios y con legales no los multas y punitorios por marco existe de y incumplimiento. Es verdad formal, un trabajo basado en monitorear de la que hace falta profundizar disposiciones internas prestación del servicio en base a el control hacia todos los que los acuerdos de niveles de servicio servicios (ANS). terceros prestados basándonos rijan cómo por administrar y controlar en las relaciones con SLA’s de acuerdo a las terceros. características de cada servicio y su criticidad. 4.3.3 Administrar el desempeño y la capacidad Observaciones: No se ha Respuesta AGN Comentario AGN bien no se han Teniendo en formalizado los procesos, consideración los Si existen en la actualidad argumentos formalizado un proceso de sistemas de monitoreo de la manifestados por el monitoreo del desempeño y la infraestructura de TI. Estos organismo y una capacidad de recursos de TI, de sistemas no solo general revisión de los papeles modo tal de satisfacer los acuerdos alertas ante los umbrales de trabajo, se eleva el de nivel de servicios (ANS), definidos de acuerdo a las nivel de madurez de minimizar el riesgo de estimaciones de necesidad Inicial a Parcialmente interrupciones, balancear la carga sino que además permiten Repetible atento que de trabajo, analizar ciclos de vida llevar el registro de LOG’s se llevan actividades de los recursos de TI y el para el análisis posterior. de control del planeamiento de las necesidades Seguramente es necesario desempeño y la futuras, ante los posibles profundizar en los procesos capacidad dentro de incrementos en la demanda. En el de gestión de operaciones, un marco de trabajo planeamiento de la capacidad, no de riesgos y de eventos para no formalizado. Este se ha tomado en cuenta el proceso los cuales además es esquema resulta de incorporar como corporativos necesaria la incorporación incompleto debido a 212 los desarrollos de software de realizados en el interior. profesionales con que no se han tenido capacidades específicas. En en cuenta el proceso el caso puntual de los de incorporar como contratos de los enlaces, se corporativos los contemplan posibilidades de desarrollos de crecimiento de anchos de software realizados en banda. En el ANEXO III se el interior. adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. 4.3.4 Garantizar la continuidad del servicio Observaciones: No hay un plan de Respuesta INTA Comentario AGN No se cuenta con el plantel Se mantienen las necesario para llevarlo a la observaciones. La práctica en la actualidad. respuesta del En relación con los enlaces, organismo no resulta diseñado para reducir el impacto de si bien hay un plan de suficiente para revocar la interrupción de procesos críticos. contingencia en las consideraciones Hay sectores del Organismo que implementación para los expuestas llevan a cabo la administración de más importantes en lo que oportunamente atento sus propios resguardos sin hace a conectividad, hay que no hay un Plan de intervención y control del área de inversiones en equipamiento contingencia completo TI. El Organismo no se encuentra para la provisión de energía y aprobado, siendo preparado ante el riesgo de que deben mejorarse están además su carencia acontecimientos no previstos que contemplados para el 2014. mencionada en el pudieran ocasionar la interrupción En relación con los informe de la UAI Nº de los servicios o perdida de datos. desarrollos normativos, la 112/2012. continuidad de servicios de TI Gerencia de Informática y la Gerencia de Gestión de Se evaluará el “Plan 213 la están de Recuperación ante Información, trabajando en estos temas, interrupciones como se detalla en o el contingencias ANEXO II. En el ANEXO III informáticas”, se adjunta el proyecto de actualmente implementación ITIL y de desarrollo, una PMO, a desarrollar en futura los sistemas Observaciones: Las funciones de en auditoria una de seguimiento. los próximos meses. 4.3.5 Garantizar la seguridad de en Respuesta INTA Comentario AGN Se trabaja en forma Se mantienen las conjunta con RRHH en la observaciones. La definición de más recursos respuesta del humanos para la gestión de organismo no resulta funcionario que debe atender una infraestructura y seguridad. suficiente para revocar red proyectada de Cabe contemplar que el las consideraciones aproximadamente 420 puntos y INTA está en un proceso de expuestas más de 7.000 usuarios. En julio de transición y transformación oportunamente atento 2013 se formalizaron políticas para iniciado en 2011 hasta la que están en proceso la administración de usuarios en fecha. En relación con los de regularizar las forma centralizada mediante la controles hoy vigentes, mismas y que serán utilización de un controlador de faltan ajustes de evaluadas en una dominio único para todas en las refinamiento para su futura auditoria de plataformas Windows y Linux completa operación, seguimiento. para los servicios de internet, teniendo en cuenta la aplicaciones y mails. convivencia temporal de seguridad están a cargo de un único sistemas viejos. implementación de prácticas para ITIL La las la gestión de servicios de TI, 214 posibilitará también, ajustar estos aspectos. Algunos de los procedimientos citados deben ser conforme actualizados a las nuevas posibilidades que brindan las herramientas de TI implementadas. En relación con los desarrollos normativos, la Gerencia de Informática y la Gerencia de Gestión de Información, la están trabajando en estos temas, como se detalla en el ANEXO II. En el ANEXO III se adjunta el proyecto de implementación ITIL y de una PMO, a desarrollar en los próximos meses. Respuesta INTA Comentario AGN Resolución del consejo Se mantienen las Observaciones: No hay un marco directivo de diciembre de observaciones. de trabajo de administración por 2013 establece la centro de costos, en función de la intervención de la GI para TI por cada una de las Direcciones validar estándares en las Nacionales, que esté alineado con inversiones de TI de forma los procedimientos de obligatoria. Establece contabilización y medición además el componente 5.8 4.3.6 Identificar y asignar costos 215 financiera del Organismo; que para la identificación de incluya costos directos, indirectos, todas las inversiones de TI y fijos y variables, y que garantice su los cargos para los descomposición por distintos centro de costos. Resuelta. servicios sean identificables para su monitoreo. En el aplicativo contable, denominado e-Siga, no existe una clasificación de cuentas especifica de las inversiones de TI. En consecuencia, se deben recurrir a procesos manuales para obtener la información que refleje en forma consolidada la concentración de todas las inversiones en TI. 4.3.7 Educación y capacitación de los usuarios Observaciones: No hay un Plan de capacitación de TI, que abarque la identificación de las necesidades de capacitación en tecnología en cada una de las diferentes áreas del organismo y en especial la de TI y los mecanismos de impartición, con el correspondiente esquema de evaluación recibido. del entrenamiento Respuesta INTA Comentario AGN Con el plantel actual se Se mantienen las logra contener las observaciones. demandas de soporte y de administración de infraestructura. la Es necesaria la conformación de un equipo que permita desarrollar este plan de capacitación y llevarlo a cabo. Si bien en TI – redes, no hay un plan de mediano plazo de capacitación, durante el período 20112013 se realizaron 216 capacitaciones con los regionales administradores informáticos y contratos con en los los operadores se estableció un programa de capacitación que fue ejecutado. 4.3.8 Administrar la mesa de servicio y los incidentes proceso de transición y observaciones Observaciones: Hay procedimientos escritos que han sido elaborados, controlados y aprobados por la misma Gerencia de Informática. servicios es La llevada mesa de por el Departamento de Mesa y Ayuda y Soporte Técnico en Buenos Aires. Se atiende en forma centralizada a alrededor de 420 puntos del país. Se registran todos los incidentes, no sólo los referidos a informática sino también los de telefonía fija y móvil. Transitoriamente, los puntos que todavía no están conectados a la red corporativa se manejan reportando los Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las incidentes telefónicamente, los cuales son cargados en el aplicativo por los y de transformación iniciado en acuerdo con lo 2001 y que, hasta la fecha, expuesto por el viene consolidando un Organismo, y rumbo estratégico que falta realizada una revisión formalizar. Las soluciones de los papeles de brindadas por los técnicos trabajo, se excluye del de las áreas de TI (dentro informe la frase: “No de la Gerencia Informática) desde de se alimenta una base el de sistema, se registran en la donde propia base se registren de soluciones estándar conocimientos de éste. Estas para soluciones conocimientos, determinados ser problemas pueden en incluso visibles para los particular que puedan usuarios, si así se lo reiterarse a futuro”. determina, desde el portal Se mantiene el nivel de cliente. La falta de de madurez. RRHH para dar respuesta a los requerimientos de 217 operadores de la Mesa de Ayuda. servicios actuales es un Se observan las siguientes aspecto que se trabaja con falencias: las áreas de RRHH. La No se alimenta una base de implementación de ITIL se para la gestión de servicios conocimientos donde registren soluciones de TI nos permitirá dar estándar para determinados respuesta a estos aspectos, problemas en particular que así como el establecimiento de los acuerdos de nivel de puedan reiterarse a futuro. No realizan encuestas de servicio interno. En el ANEXO III se adjunta el satisfacción de usuarios. No se realizan acuerdos de proyecto de implementación niveles de servicios con los ITIL y de una PMO, a desarrollar en los próximos usuarios. meses. 4.3.9 Administrar la configuración Observaciones: No hay un Respuesta INTA Comentario AGN Existe el repositorio dentro Se mantienen las del mismo sistema de observaciones y de gestión de solicitudes y acuerdo con lo repositorio centralizado de activos de TI que utiliza la expuesto por el inventarios de activos de TI para el GI. En la actualidad se tiene Organismo, y organismo que contenga todos los registros de casi 5900 realizada una revisión elementos de configuración computadoras, 3000 de los papeles de incluyendo hardware, software de dispositivos móviles y una trabajo, se excluye del base y aplicativos. Sólo existen cantidad importante de informe la frase: “No inventarios parciales que no cubren activos de red, monitores, hay un repositorio todas las características para el etc. Falta formalizar los centralizado de control de los recursos procedimientos de gestión inventarios de activos informáticos. No hay un de Activos y su alcance de TI”. Al momento 218 procedimiento de cambios control de nacional. En relación con de los trabajos de al los desarrollos normativos, campo el repositorio aplicable la Gerencia de Informática centralizado mantenimiento de los inventarios. y la Gerencia de Gestión de pero la se existía, encontraba están desactualizado Información, en trabajando en estos temas, relación a los activos como se detalla en el informáticos interior del país. ANEXO II. 4.3.10 Administración de problemas en un proceso de conexión de todas las unidades distribuidas en todo el país (aproximadamente 420 puntos). Al momento de esta auditoría, se encuentran conectados aproximadamente el 78 % de este objetivo. Hay procedimientos escritos que han sido elaborados, controlados y aprobados por la misma Gerencia de Informática. En éstos, está contemplado el escalamiento de los problemas al personal a cargo de solucionarlos. En las unidades que se encuentran conectadas, Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las proceso de transición y observaciones Observaciones: El organismo se encuentra del se dispone de las siguientes formas de comunicar el y de transformación iniciado en acuerdo con lo 2011 y que, hasta la fecha, expuesto por el viene consolidando un Organismo, y rumbo estratégico que falta realizada una revisión formalizar. Las soluciones de los papeles de brindadas por los técnicos trabajo, se excluye del de las áreas de TI (dentro informe la frase: “No de la Informática) Gerencia desde de se alimenta una base el de sistema, se registran en la donde propia base se registren de soluciones estándar conocimientos de éste. Estas para soluciones pueden conocimientos, determinados ser problemas en incluso visibles para los particular que puedan usuarios, si asía se lo reiterarse a futuro”. determina, desde el portal Se mantiene el nivel del cliente. La falta de de madurez. RRHH para dar respuesta a 219 problema informático o de los requerimientos de telecomunicaciones a la Mesa de servicios actuales es un Ayuda: aspecto que se trabaja con La aplicación de intranet las áreas de RRHH. La implementación “Gestión de incidentes” El de ITIL link para la gestión de servicios de TI nos permitirá dar “asistencia.inta.gob.ar”. Algunas Agencias de respuesta a estos aspectos, Rural que así como el establecimiento Extensión todavía no disponen de de los acuerdos de nivel de esta aplicación, se servicio interno. En el comunican enviando un ANEXO III se adjunta el correo electrónico o proyecto de implementación telefónicamente a la Mesa ITIL y de una PMO, a de Ayuda y los operadores desarrollar en los próximos cargan el incidente en el meses. aplicativo. Se observan las siguientes falencias: En relación a los incidentes de TI que se generan en el interior del estando país, no definidas claramente las misiones y funciones de los Referentes Informáticos y dada la estructura éstos, informal existen inconvenientes de algunos para 220 asignar la derivación de los problemas para su solución. No se alimenta una base de conocimientos, donde se registren soluciones estándar para determinados problemas en particular que puedan reiterarse a futuro. No realizan encuestas de satisfacción de usuarios. No se realizan acuerdos de niveles de servicios con los usuarios. 4.3.11 Administración de Datos Respuesta INTA Comentario AGN El INTA se encuentra en un Se mantienen las Observaciones: Existen proceso de transición y observaciones. aplicaciones corporativas transformación iniciado en administradas desde la 2011 y que, hasta la fecha, administración central y otras que viene consolidando un se administra localmente en las rumbo estratégico que falta distintas dependencias del formalizar. En el período organismo. Esto es producto de indicado, se acondicionarán que las distintas unidades de la los sitios de contingencia y organización, distribuidas los repositorios de geográficamente en todo el país, resguardo de cintas y han desarrollado sistemas. De dispositivos magnéticos. En muchos de ellos no se tiene 221 conocimiento en la administración relación con los desarrollos central. Se ha encarado un proyecto normativos, la Gerencia de de centralización de estos últimos Informática y la Gerencia que consiste en almacenarlos en el de Gestión de centro de cómputos del organismo, Información, la están pero este proceso se encuentra en trabajando en estos temas, su etapa inicial en el momento de como se detalla en el los trabajos de campo de esta ANEXO II. En el ANEXO III auditoría. En aplicaciones relación a las se adjunta el proyecto de centralizadas, se implementación ITIL y de observó que: Si una PMO, a desarrollar en bien bajo los próximos meses. están procedimientos centralizados de resguardo, éste no está formalizado, ni indica que detalle de las aplicaciones y bases de datos deben estar incluidos, tampoco contiene instructivos para su ejecución tanto sea para almacenar la información como para su eventual recuperación en caso de incidentes. No existe un procedimiento que determine una clasificación por criticidad, impacto o requerimientos 222 de seguridad alineados al plan de continuidad. Se observó la falta de un repositorio ignífugo para el resguardo como forma de protección alternativa para casos de desastre. Con respecto a las aplicaciones desarrolladas en las distintas unidades del organismo, se llevan a cabo con procedimientos propios que no están ni regidos ni controlados por la Gerencia de Informática. 4.3.12 Administración instalaciones Observaciones: centros de Existen procesamiento de Respuesta INTA Comentario AGN El acondicionamiento de los Se mantienen las centros de procesamiento observaciones. tres viene desarrollándose desde que hace dos años. En la denominaremos: actualidad varias de las Chile observaciones ya han sido Rivadavia 1 resueltas y se encuentra en Rivadavia 2 proceso de licitación la Alsina adquisición y puesta en Además hay una sede con usuarios marcha de aplicaciones en Alsina 1407. de 3 grupos electrógenos y el sistema de Ninguno de ellos satisface los refrigeración para los tres requerimientos de seguridad física NOC’s. Se establecerá de adecuados para almacenar la forma conjunta con la 223 información. Gerencia de Infraestructura No se cuenta con un plan de y Servicios Generales del contingencia formal. INTA el plan de adecuación Además, la dispersión en estas tres completo que dé respuesta a instalaciones genera que tengan cada una de que replicarse las medidas de observaciones control y seguridad en cada centro. las planteadas. En el caso específico del Paralelamente, no cuentan con un NOC de Chile, se han sitio alternativo de procesamiento adecuado las siguientes para situación de desastre, cuando observaciones: bien podrían las instalaciones de un Está en desarrollo el edificio ser el resguardo del otro. plan de contingencia Se ante efectuaron las siguientes el observaciones: energía. Chile: obstante, Falta un de No se ha procedimiento implementado un formal de acceso al centro procedimiento de de control periódico de cómputos detallen donde las se personas autorizadas y sus responsabilidades y tratamiento visitas de el externas. corte Los y detención del grupo electrógeno para validar su correcta instalación. matafuegos se encontraban depositados en el piso. Presencia arranque “Los tableros carecen de luces que identifiquen de material inflamable (como cajas de cartón, amoblamiento de la presencia de energía eléctrica”, tablero del en el NOC 224 madera, puerta de acceso de está madera, sillas de plástico o tablero cuenta con con tapizado sintético, luces que identifican y piso de goma). resuelto. El el suministro de red Se encontraron faltantes de y el del grupo electrógeno. paneles en techo y pared. El detector de humo carece de mantenimiento mensual. Al grupo electrógeno tiene un mantenimiento informal y no llevan registro de los días y horarios que lo “Falta de luces de emergencia en todos los tableros energía de eléctrica”. En el caso del NOC está adecuado. efectúan. La potencia del grupo es insuficiente, por “El edificio no ese motivo, en casos de cuenta corte, sólo se puede acoplar detectores de humo y un aire acondicionado. alarmas Ante un corte de suministro, incendio”. actúan de oficio sin tener adecuado. documentado formalmente que procedimiento utilizar. El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada. Rivadavia 1: Falta procedimiento formal de acceso al centro de cómputos donde contra Está Se ha incorporado un segundo grupo electrógeno (alquilado hasta la resolución de la licitación en curso) que un con contempla solución de la la observación. se 225 detallen las personas En el caso específico del autorizadas y sus NOC de Rivadavia 1, se ha responsabilidades y tratamiento visitas electrógeno alquilado, hasta de el instalado externas. un grupo la resolución de la licitación El matafuego se encuentra en curso. En relación con amurado a una estantería los desarrollos normativos, móvil con estantes de la Gerencia de Informática y la Gerencia de Gestión de aglomerado. No Grupo la posee están trabajando en estos temas, Electrógeno Presencia Información, de material como se detalla en el inflamable y objetos que ANEXO II. obstaculizan el paso (cajas de cartón, amoblamientos de madera, cables canal sueltos, telgopor, carpetas, biblioratos, resmas de papel y puerta de acceso de madera). En la parte superior de la pared, existe un agujero por donde cae polvo sobre los servidores, pudiendo dañarlos. El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada 226 y los cables se encuentran colgados por encima de los racks. Ante un corte de energía eléctrica, las UPS75 tienen un tiempo máximo de uso de 90 minutos, superado ese tiempo, comienza el apagado de los servidores. Al no tener un grupo electrógeno, se discontinúa el servicio. Rivadavia 2: Falta un procedimiento formal de acceso al centro de cómputos detallen donde las se personas autorizadas y sus responsabilidades y tratamiento visitas de el externas. Tiene dos acondicionados aires de los cuales funciona uno sólo. Presencia de material inflamable (piso de parqué, panel de distribución conexión y con gabinete de madera, cable canal, 227 cajas de cartón y puerta de acceso de madera). El cableado de los servidores no se encuentran identificados bajo una nomenclatura estructurada y los cables se encuentran colgados por encima de los racks. No posee Grupo Electrógeno Ante un corte de energía eléctrica, las UPS76 tienen un tiempo máximo de uso de 120 minutos, superado ese tiempo, comienza el apagado de los servidores. Al no tener un grupo electrógeno, se discontinúa el servicio. Detalle de la situación encontrada en los tableros de Energía Eléctrica Se han hallado deficiencias en el sistema de suministro eléctrico, y se presentan los siguientes riesgos: Chile: No existe un plan de contingencia ante el corte de energía. El 228 mantenimiento del grupo electrógeno está a cargo de la Gerencia de Sistemas en lugar de depender de las áreas de mantenimiento del edificio. Los tableros carecen de luces que identifiquen la presencia de energía eléctrica. Falta de luces de emergencia en todos los tableros de energía eléctrica. El acceso al tablero principal de la planta baja se encuentra obstruido por dos muebles de madera y un exhibidor con folletos del organismo. En el primer subsuelo se encuentran las bombas de agua, cuyo acceso está obstruido por objetos que interrumpen acción una en rápida caso de emergencia (sillas, cajas, escaleras de madera, papeles, revistas, etc.). 229 Uno de los secundarios eléctrica tableros de energía se encuentra dentro de un baño, otro en la cocina y otro dentro de un depósito con llave, dificultando su manipulación ante una emergencia y aumentando el riesgo por la presencia de caños y llaves de agua. El edificio no cuenta con detectores de humo y alarmas contra incendio. El caño de escape del grupo electrógeno da a un patio interno pero no ventila a los cuatro vientos. El acceso al grupo electrógeno (instalado en el patio del encuentra edificio) obstruido se por objetos que dificultan su acceso. El patio no posee cerradura con llave. Rivadavia 1: Falta grupo electrógeno Faltan de luces de emergencia, detectores de 230 humo y alarmas contra incendio. Faltan calcomanías en las tapas de los tableros que identifiquen el riesgo de choque eléctrico. El frente de los tableros no tienen luces que identifiquen la presencia de energía eléctrica. Alsina: Falta grupo electrógeno. Faltan calcomanías en las tapas de los tableros que identifiquen el riesgo de choque eléctrico. El acceso a las bombas de agua se encuentra obstruido por objetos (sillas, cajas y plásticos) que dificultan su acceso. 4.3.13 Administración de operaciones Observaciones: No hay políticas ni procedimientos formales de operación, necesarios efectiva Respuesta INTA Comentario AGN bien no se han Se mantienen las formalizado los procesos, observaciones. Si para una administración procesamiento. Faltan: del existen en la actualidad sistemas de monitoreo de la infraestructura de TI. Estos sistemas no solo generan alertas ante los umbrales 231 estándar definidos de acuerdo a las Procedimientos para operaciones de TI que estimaciones de necesidad garanticen que el personal sino que además permiten de esté llevar el registro de LOG’s operaciones familiarizado con todas las para el análisis posterior. tareas su Seguramente es necesario de profundizar en los procesos responsabilidad. para de Gestión de operaciones, Procedimientos la de riesgos y de eventos para monitorear infraestructura de TI y los los eventos relacionados. además es necesaria la incorporación para de Procedimientos cuales profesionales con garantizar el mantenimiento capacidades específicas. En oportuno la cuanto a la Infraestructura de infraestructura para reducir de Red, hay un centro de la frecuencia y el impacto atención de fallos que de las fallas o disminución analiza las alarmas, un procedimiento reclamos de del desempeño. En relación a la infraestructura en los administradores y un el interior del país, a cuyo cargo se procedimiento encuentran los referentes escalamiento de de reclamo informáticos77, no se cuenta con hacia los operadores. Los procedimientos formales para elementos críticos atender las fallas más frecuentes, y segurizados darle un tratamiento estandarizado. firewalls de están (switches Core). y En Tampoco cuentan con un stock de relación con los desarrollos los repuestos de los componentes normativos, la Gerencia de más sensibles que permitan Informática y la Gerencia subsanar un probable incidente. de Gestión de la 232 Esto puede provocar la Información, están discontinuidad del servicio hasta trabajando en estos temas, tanto llegue el repuesto de la como Administración Central. 4.4 MONITOREAR se detalla en el ANEXO II. Y EVALUAR Respuesta INTA trabajará en Se estructuración 4.4.1 Monitorear y evaluar el desempeño de TI Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la calidad en la entrega de servicios. Este marco debe estar integrado con un sistema de administración de gestión (tablero de control con indicadores) que permita comparar en forma periódica el desempeño contra métricas establecidas en un sistema de aseguramiento calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para resolver los desvíos que actividad todo de Comentario AGN la Se mantienen las la observaciones. informática en país con el dependencia funcional de las áreas responsables de TI. Para lograr este cometido es necesario ampliar los planteles técnicos, tarea en la que se trabaja con RRHH. Otro aspecto ya señalado, es el establecimiento de un plan de capacitación sobre mejores prácticas (CMMI, ITIL), estándares de gestión y aseguramiento de la calidad, que permita el mejoramiento de las capacidades de los recursos. puedan presentarse. 4.4.2 Monitorear y evaluar el Se Respuesta INTA trabajará en Comentario AGN la Se mantienen las 233 estructuración control interno Observaciones: No se ha actividad implantado un marco de trabajo todo la observaciones. de informática en país con el formal de control interno de TI que dependencia funcional de pueda evaluarse posteriormente, las áreas responsables de por lo tanto se carece de métricas TI. Para lograr este que permitan verificar el logro de cometido es necesario los objetivos de control interno ampliar los planteles para los (básicamente identificar procesos de TI técnicos, tarea en la que se eficacia/eficiencia), trabaja con RRHH. Otro las acciones de aspecto ya señalado, es el reportar sus establecimiento de un plan mejoramiento y excepciones. Las auditorías de capacitación sobre internas son llevadas a cabo por un mejores prácticas (CMMI, único funcionario, que realiza ITIL), estándares de gestión controles a algunos objetivos de y aseguramiento de la auditoría puntuales pero que no calidad, que permita el puede abarcar un programa más mejoramiento de las completo. de los capacidades recursos. 4.4.3 Garantizar el cumplimiento con requerimientos externos estructuración Observaciones: Resolución Se Respuesta INTA trabajará en actividad SIGEN N° 48/2005 “Pautas de Control Interno de TI”: Se han hallado debilidades en el cumplimiento de aspectos todo de Comentario AGN la Se mantienen la observaciones. informática en país con el las dependencia funcional de las áreas responsables de TI. Para cometido lograr es este necesario 234 tales como: ampliar o Organización planteles técnicos, tarea en la que se Informática: Si los trabaja con RRHH. Otro bien la aspecto ya señalado, es el responsabili establecimiento de un plan dad por las de capacitación sobre actividades mejores prácticas (CMMI, de ITIL), estándares de gestión Tecnología y de de mejoramiento la capacidades organización recaen una de la la calidad, que permita el Información (TI) aseguramiento de las de los recursos. en única área, existen numerosos desarrollos y administraci ones de datos en las distintas unidades administrativ as del organismo que fuera están del control de la 235 DNA Sistemas de Información, Comunicaci ones y Calidad. No está definida una descripción documentad a y aprobada de los puestos de trabajo inferiores a gerentes que conforman la unidad de TI. o Plan Estratégico de TI Existe un Plan Estratégico pero no está apoyado en planes tácticos donde 236 detallen como se lograrán los objetivos planteados. No hay detalles de tiempos, recursos afectados, costos, hitos intermedios a alcanzar, riesgos relacionados. Por consiguiente, no se hace posible un correcto control y seguimiento. o Arquitectura de la Información No hay definido un modelo de arquitectura de la 237 información que abarque a la organización integra. o Administración de Proyectos La unidad de TI no dispone de una metodología de administraci ón de proyectos que se aplique en todos los proyectos informáticos. o Desarrollo, Mantenimiento o Adquisición de Software de Aplicación La unidad de TI dispone de un 238 procedimient o o metodología para las actividades de desarrollo, mantenimien to o adquisición de sistemas, pero no se aplica en todos los casos. o Seguridad Existe una política de seguridad pero no se puede instrumentar completame nte por falta de recursos humanos. Disposición ONTI – SGP 6/2005 “Modelo de política de seguridad de la 239 información para organismos de Administración la Pública Nacional de la Secretaría de la Gestión Pública”. Ha sido adoptada por el organismo en su totalidad, aunque se destaca que la función de administración la de la seguridad se encuentra a cargo de un único funcionario. Decreto 375/2005 Nacional de Plan Gobierno Electrónico. o No se presentó ante la Secretaria de Gestión Pública un informe de “Diagnóstico de la situación del Organismo con respecto al Nacional Plan de Gobierno Electrónico” o No está formalizado un plan táctico de 240 implementación de la Firma Digital. El grado de avance de su implantación, se encuentra estado en inicial. momento de Al los trabajos de campo de esta auditoría, sólo se encontraba en funcionamiento el circuito de viáticos. Disposición ONTI 69/2011 Nº “Pautas de para sitios accesibilidad web”. Ha sido adoptada por el organismo aceptable en salvo forma algunas observaciones menores que se detallan en el ANEXO VI de este informe. 4.4.4 Proporcionar gobierno de TI Observaciones: Falta establecer un marco de gobierno de TI con un entorno de control con prácticas inequívocas que aseguren: Se Respuesta INTA trabajará en estructuración actividad todo el de Comentario AGN la Se mantienen las la observaciones. informática en país con dependencia funcional de las áreas responsables de 241 El alineamiento de TI en el TI. Para cumplimiento de las metas cometido estratégicas del Organismo. ampliar lograr este es necesario los planteles Tratamiento uniforme para técnicos, tarea en la que se la administración de todos trabaja con RRHH. Otro aspecto ya señalado, es el los proyectos de TI. El cumplimiento de leyes y establecimiento de un plan de regulaciones. capacitación sobre Medir la contribución de TI mejores prácticas (CMMI, a los objetivos estratégicos ITIL), estándares de gestión y del Organismo. aseguramiento de la calidad, que permita el Rendición de cuentas. Correcta administración de mejoramiento los programas de inversión. capacidades de las de los Esquema de monitoreo que recursos. permita medir el desempeño y la correcta asignación de los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones correctivas. Evaluación riesgos, reportar periódica que de permitan aquellos relacionados con TI y su impacto en la posición de riesgos de la organización. 242 NOTAS Y ACLARACIONES 1 Fuentes: - Entrevistas realizadas: Director Nacional Asistente de Sistemas de Información, Comunicación y Calidad y Gerentes de Informática y Gestión de la Información, Diversos Referentes Informáticos, Directores de Centro Regionales, Estaciones Experimentales y Responsable de Agencia de Extensión Rural. 2 - Consultas telefónicas y por mails. - Visitas en diversas dependencias - Documentación provista por el organismo ONTI Oficina Nacional de Tecnologías de la Información dependiente de la Secretaria de Gabinete y Coordinación Administrativa de la Jefatura e de Gabinete de Ministros Presidencia de la Nación. 3 4 Ley 21.680/56 y sus modificatorias Ministerio de Agricultura, Ganadería y Pesca, Facultad de Agronomía, Facultad de Ciencias Veterinarias, Asociación Argentina de Consorcios Regionales de Experimentación Agrícola -AACREA-, Confederación Intercooperativa Agropecuaria CONINAGRO-, Confederaciones Rurales Argentinas -CRA-, Federación Agraria Argentina -FAA- y Sociedad Rural Argentina -SRA5 Dto. 287/86 6 Fuente “Plan Estratégico INTA (2005-2015) Programas Nacionales: consustanciados con la gestión de la innovación deben dar respuesta a la competitividad de las cadenas de valor del SA, destacadas por su importancia económica, social y territorial, resguardar la sostenibilidad de los agroecosistemas/sistemas productivos y aportar en forma sustantiva al desarrollo de los territorios. 243 Cadenas de Valor (Oleaginosas, Cereales, Frutales, Hortalizas, Flores y Aromáticas, Forestales, Carnes, Leche, Cultivos Industriales), Agroecosistemas y Sistemas Productivos Desarrollo de los Territorios. Areas Estratégicas: asociadas más directamente a la generación de conocimientos, deben articular las capacidades/competencias institucionales y extra-institucionales en redes lideradas por equipos de excelencia, localizados en Institutos y/o Unidades Experimentales: Gestión Ambiental, Protección Vegetal, Salud Animal, l Ecofisiología Vegetal, Tecnología de Alimentos, Agroindustria, Recursos Naturales (Agua, Clima, Suelo y Biodiversidad), Forrajes y Pasturas, Recursos Genéticos, Mejoramiento y Biotecnología, Biología Molecular, Bioinformática y Genética de Avanzada, Economía y Sociología. 7 Cadenas Alimentarias: 1-Soja, 2-Carne bovina, 3-Leche, 4-Trigo, 5-Uva para mesa y vinificación, 6-Cebada , 7-Pollo (carne y huevo), 8-Forestal , 9-Maíz, 10-Porcinos, 11Girasol, 12-Peras y manzanas, 13-Limón, 14-Arroz, 15-Ovinos, 16-Tabaco, 17-Cítricos, 18-Caña de azúcar, 19-Berries, 20-Maní, 21-Yerba mate, 22-Tomate, 23-Oliva, 24Algodón, 25-Sorgo, 26-Papa, 27-Miel, 28-Ajos, 29-Caprinos, 30-Te, 31-Colza y 32-Flores 8 Fuente INTA “Evolución del sistema productivo agropecuario argentino” Producción Agropecuaria con Valor Agregado en Origen. Actualización técnica 73 noviembre de 2012 pag. 3 9 Fuente INTA “INTA: Un organismo de vanguardia” 10 Fuente INTA según el año que se analice, los porcentajes varían entre el 48% al 51%. 11 Fuente INTA “Evolución del sistema productivo agropecuario argentino” Producción Agropecuaria con Valor Agregado en Origen. Actualización técnica 73 noviembre de 2012 pag. 3 según estimaciones de la FAO (Food and Agriculture Organization of the United Nations) 12 Puerto “General San Martín” y sus localidades aledañas San Lorenzo o General Baigorria. 244 13 En el Plenario Nacional de Economías Regionales realizado en la sede de la Confederación Argentina de la Mediana Empresa (CAME), 19/04/2012 cerca de un centenar de dirigentes del sector productivo nacional, representantes de 22 provincias y 57 entidades del agro mostraron su preocupación ante autoridades nacionales por el incremento del costo de los fletes y por los sobreprecios de los combustibles, en particular del gasoil, problemas que repercuten negativamente en la rentabilidad y en la competitividad del sector primario. Por otra parte, la Asociación Argentina de Logística Empresaria (Arlog) en voz de su presidente sostiene que “…en el negocio agrícola la logística es clave porque muchas áreas con potencial para ser explotadas quedan afuera del esquema comercial por el costo que requieren para movilizar la materia prima…”. Fuente INFOCAMPO semana 22 al 28 de noviembre de 2013. 14 Fuente INTA Boletín de actualización técnica Nro 70 Producción Agropecuaria con Valor Agregado en Origen-Valor agregado al grano de trigo. 15 Fuente INTA “Evolución del sistema productivo agropecuario argentino” Producción Agropecuaria con Valor Agregado en Origen. Actualización técnica 73 noviembre de 2012 pag. 5 16 Fuente INTA “Presente y futuro de la ganadería argentina. Un gigante dormido. Año 2011. 17 Fuente CEPREB Cámara de Empresas Pymes Regionales Elaboradoras de Biocombustibles. 18 Fuente CAFMA Cámara Argentina de Fabricantes de Máquinas Agrícolas, documento “Estructura, evolución 2002-2012 y perspectivas” 19 Programa PRO-HUERTA 20 Cabe señalar que en la actualidad existe una tendencia por la cual los empleados tienen dispositivos móviles propios (teléfonos inteligentes y tabletas) que permiten acceder a la red corporativa de la organización para la que trabajan. Este modelo obliga a los responsables de los sistemas informáticos a mejorar la capacidad de procesamiento y todo lo relacionado con la seguridad de datos y accesos. 21 PEI 2005/2015 245 22 Proyecto Estructurante (2006) y Plan Estratégico TICs 2008/2015 (2007) 23 Resolución 285 del 28/04/2008 24 Casos como los R.I. del C.R. Patagonia Norte 2.653 kms, del E.E.A. San Carlos de Bariloche 2.175 kms, E.E.A. Santa Cruz 5.213 kms, E.E.A. Bordenave 2.429 kms, del C.R. C.R. Buenos Aires Norte 4.216 kms 25 El personal está bajo el “Convenio Colectivo Sectorial para el personal del INTA que establece “grupo escalafonario” (“Profesional clase A” –título de grado en carrera universitarias no menores a 4 años-, “Técnico” -estudios terciarios o universitarios menores a 4 años- y “Personal de Apoyo” –título secundario completo-) y 14 “Grado Escalafonarios” en relación a su complejidad funcional, nivel de responsabilidad y autonomía. La promoción dentro del grupo escalafonario se da cuando el agente adquiere la educación formal requerida y en el grado escalafonario, por evaluaciones de desempeño trianuales. Los agentes pueden cambiar de La designación de puestos de conducción, se realiza por régimen de selección abierta. Para el resto de los puestos, se realiza mediante la selección entre los postulantes del organismo, salvo que, esta resultare desierta, en cuyo caso se recurre a una a una selección abierta. 26 El artículo 76 del “Convenio Colectivo de Trabajo Sectorial del INTA”, trata sobre el suplemento por criticidad del puesto de trabajo para ser percibidos por agentes que ocupen puestos de trabajo clasificados como “críticos” por el Consejo Directivo conforme a lo establecido en el Reglamento de Administración de Estructuras Organizativas del INTA, aprobado por resolución Nro 425/99, sus modificatorias o las que se reemplacen en el futuro. 27 Disposición 1362 del 20/11/2008 y 764 del 29/06/2009. 28 Disposición 1362 del 20/11/2008 “Procedimientos para desarrollar, documentar y controlar sistemas para ser utilizados en el Área de Desarrollo de Sistemas” 29 Un acuerdo de nivel de servicio es un convenio escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad para el mismo (Es una 246 herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, etc. También constituye un punto de referencia para el proceso de mejora continua, ya que el poder medir adecuadamente los niveles de servicio es el primer paso para mejorarlos y de esa forma aumentar los índices de calidad. 30 Un acuerdo de nivel de servicio es un convenio escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad del mismo. 31 UPS (Uninterruptible Power Supply) dispositivo que provee energía eléctrica cuando la fuente principal de energía se interrumpe. 32 UPS (Uninterruptible Power Supply) dispositivo que provee energía eléctrica cuando la fuente principal de energía se interrumpe. 33 Referentes informáticos: agentes del organismo, que llevan a cabo tareas técnicas solicitadas desde la administración central 34 Procesar localmente los datos 35 El PROSAP (Programa PROSAP Servicios Agrícolas Provinciales - BID Nº 899/ BIRF Nº 4150 – AR) es un programa federal de inversiones de la Secretaría de Agricultura, Ganadería, Pesca y Alimentos (SAGPyA), destinado al mejoramiento de los servicios agropecuarios de las provincias. Canaliza la financiación en inversión pública de acuerdo con las políticas fijadas por la SAGPyA. Los fondos del PROSAP se destinan tradicionalmente a proyectos relacionados con la producción y el desarrollo rural, aportando recursos para la ejecución de proyectos de infraestructura y servicios para la producción agropecuaria. 36 Desplazandose a una velocidad promedio de 87,5 kms/hora. 37 Por ejemplo: una Base que tiene a su cargo 129 máquinas debe tener 3 RI, ya que 129 lo descompondríamos en 50 + 50 + 29. Si por el contrario, fuesen 124 máquinas, los RI serían 2. 247 38 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 39 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 40 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 41 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 42 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 43 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 44 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 45 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 46 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 248 47 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 48 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 49 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 50 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 51 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 52 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 53 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 54 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 55 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 249 56 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 57 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 58 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 59 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 60 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 61 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 62 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 63 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 64 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 65 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 250 donde CNT es la Carga Normal de Trabajo. 66 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 67 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 68 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 69 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 70 Cada Base debe tener por lo menos un RI cada 50 máquinas o fracción mayor a 25. Debe haber como mínimo 2 R.I. por base para situaciones de ausencias. 71 Se calcula en base a la siguiente fórmula: (((Nro de Maquinas de la Base x100)/CNT)/Cantidad de RI)-100 donde CNT es la Carga Normal de Trabajo. 72 Es de destacar, la importancia de incluir este dato dentro de los documentos que se encuentran disponibles para bajar para el público en general, ya que su información, al haber sido elaborada en un momento preciso, puede no ser útil o simplemente errónea al momento del acceso. 251 252
