AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE

AUDITORÍA GENERAL DE LA NACIÓN

GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES

C.P.N. Gerardo Prataviera

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

Ing. Ernesto T. Casin

Objeto de Auditoría: Análisis de la gestión informática en Servicio Meteorológico

Nacional (SMN)

Índice1. OBJETO DE AUDITORÍA ........................................................................................................................... 1 2. ALCANCE ..................................................................................................................................................... 1 3. ACLARACIONES PREVIAS ....................................................................................................................... 5

3.1 Cronología Institucional ........................................................................................................................ 5 3.2 Misiones y funciones del SMN ............................................................................................................... 6 3.2.1 Estructura organizacional .................................................................................................................. 6 3.2.2 Gerencia de Teleprocesamiento de Datos .......................................................................................... 7 3.3 Relevamiento .......................................................................................................................................... 7 3.4 Nómina de estaciones automáticas ........................................................................................................ 8 3.5 Personal de la TI ..................................................................................................................................... 8 3.6 Inversiones y Gastos en TI ..................................................................................................................... 8 3.7 Los sistemas evaluados ........................................................................................................................... 9

3.7.1 Los procesos Informáticos y Comunicaciones del SMN ................................................................... 9 3.7.2 Equipamiento en hardware y software ............................................................................................ 11 3.7.3 Equipamiento y Comunicaciones de las Estaciones Meteorológicas Automáticas ......................... 12

4. COMENTARIOS Y OBSERVACIONES ................................................................................................... 12 A. ANÁLISIS BAJO NORMAS COBIT ...................................................................................................... 12

4.1. PLANIFICAR Y ORGANIZAR ........................................................................................................ 13 4.1.1 Definir un plan estratégico para TI .................................................................................................. 13 4.1.2 Definir la arquitectura de información ............................................................................................ 14 4.1.3 Determinar la dirección tecnológica ................................................................................................ 15 4.1.4 Definir los procesos, organización y relaciones de TI ..................................................................... 16 4.1.5 Administrar la inversión en TI ........................................................................................................ 17 4.1.6 Comunicar las aspiraciones y la dirección de la gerencia ............................................................... 18 4.1.7 Administrar los recursos humanos de TI ......................................................................................... 19 4.1.8 Administrar la calidad ..................................................................................................................... 20 4.1.9 Evaluar y administrar los riesgos de TI ........................................................................................... 21 4.1.10 Administrar proyectos ................................................................................................................... 22

4.2. ADQUIRIR E IMPLEMENTAR ....................................................................................................... 23 4.2.1 Identificar soluciones automatizadas ............................................................................................... 23 4.2.2 Adquirir o desarrollar y mantener software aplicativo .................................................................... 24 4.2.3 Adquirir y mantener infraestructura tecnológica ............................................................................. 25 4.2.4 Facilitar la operación y el uso .......................................................................................................... 26 4.2.5 Adquirir recursos de TI ................................................................................................................... 27 4.2.6 Administrar cambios ....................................................................................................................... 28 4.2.7 Instalar y acreditar soluciones y cambios ........................................................................................ 29

4.3. ENTREGAR Y DAR SOPORTE ....................................................................................................... 30 4.3.1 Definir y administrar los niveles de servicio ................................................................................... 30 4.3.2 Administrar servicios de terceros .................................................................................................... 31 4.3.3 Administrar el desempeño y la capacidad ....................................................................................... 32 4.3.4 Garantizar la continuidad del servicio ............................................................................................. 33 4.3.5 Garantizar la seguridad de los sistemas ........................................................................................... 34 4.3.6 Identificar y asignar costos .............................................................................................................. 36 4.3.7 Educación y capacitación de los usuarios ........................................................................................ 36 4.3.8 Administrar la mesa de servicio y los incidentes............................................................................. 37 4.3.9 Administrar la configuración ........................................................................................................... 38 4.3.10 Administración de problemas ........................................................................................................ 39 4.3.11 Administración de Datos ............................................................................................................... 40 4.3.12 Administración de instalaciones .................................................................................................... 41

4.3.13 Administración de operaciones ..................................................................................................... 43 4.4 MONITOREAR Y EVALUAR ........................................................................................................... 44

4.4.1 Monitorear y evaluar el desempeño de TI ....................................................................................... 44 4.4.2 Monitorear y evaluar el control interno ........................................................................................... 45 4.4.3 Garantizar el cumplimiento con requerimientos externos ............................................................... 46 4.4.4 Proporcionar gobierno de TI ........................................................................................................... 48

B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS .................................................................................................................................................. 49 5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS DESCARGOS FORMULADOS POR EL SERVICIO METEOROLÓGICO NACIONAL ................................................... 55 6. RECOMENDACIONES .............................................................................................................................. 56 7. CONCLUSIONES ....................................................................................................................................... 96 8. LUGAR Y FECHA ...................................................................................................................................... 97 9. FIRMA ......................................................................................................................................................... 97 ANEXO I ......................................................................................................................................................... 98 ANEXO II ........................................................................................................................................................ 99 ANEXO III ..................................................................................................................................................... 103 ANEXO IV .................................................................................................................................................... 107 ANEXO V – EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS ............................................................................................................................................ 114

INFORME DE AUDITORIA

1

Al Señor Director

Dr. Héctor Horacio CIAPPESONI

Servicio Meteorológico Nacional

En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA

GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio

de Defensa, con el objeto que se detalla en el apartado 1.

1. OBJETO DE AUDITORÍA Evaluación del ambiente de control de la tecnología de la información y de los sistemas a

seleccionar en el Servicio Meteorológico Nacional.

2. ALCANCE 2.1. El equipo de auditoría en la etapa de planificación identificó los temas de mayor

exposición al riesgo y comprendió los siguientes ítems:

Relevamiento de la documentación normativa del área de tecnología informática del

Organismo.

Relevamiento de la infraestructura informática del Organismo.

Relevamiento de los sistemas existentes en producción y desarrollo.

Verificación de la existencia de la documentación recomendada por la Secretaría de la

Gestión Pública (SGP) y los estándares internacionales.

Verificación de la adecuación de los sistemas, la infraestructura existente y la

planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su

actividad.

Verificación del modelo de arquitectura de la información y su seguridad.

Relevamiento y Análisis de:

el organigrama del área de tecnología informática y su funcionamiento,

el presupuesto operativo anual del área,

la administración de recursos humanos de TI,


2

la evaluación de riesgos,

la administración de proyectos,

la administración de calidad

las prácticas de instalación y acreditación de sistemas y de administración de

cambios,

la definición de los niveles de servicio,

la administración de los servicios prestados por terceros,

la administración de la capacidad y el desempeño,

los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,

la imputación de costos,

la capacitación de los usuarios,

la asistencia a los usuarios de la Tecnología de la Información,

la administración de la configuración de hardware y software,

la administración de problemas e incidentes,

la administración de datos, de instalaciones y de operaciones,

el monitoreo de los procesos, la idoneidad del control interno y la existencia de

auditoría interna.

Las tareas de campo abarcaron entre los meses de marzo y junio del año 2013.

2.2. La tarea abarcó la auditoría del estado de utilización de la Tecnología Informática en

el Servicio Meteorológico Nacional, en base a la información obtenida de las siguientes

fuentes:

Entrevistas realizadas con las principales autoridades de la Administración y diversos

niveles operativos.

Cuestionario para la determinación de las necesidades de análisis detallado.

Cuestionarios para el análisis detallado de los temas que lo requerían.

Manuales de Documentación de los Sistemas.

Visitas efectuadas en materia de TI en diversas áreas de Sistemas del Servicio


3

Meteorológico Nacional

2.3. Limitaciones:

Durante las tareas de campo no se contó con la siguiente documentación:

Disposiciones emitidas en relación a la TI por el SMN (Políticas, normas y

procedimientos).

Inventario de activos de TI:

o Software de aplicativos.

o Base de datos.

o Sistemas operativos.

o Servidores.

o Lenguajes de desarrollo.

o Cantidad de usuarios y puestos de trabajo.

Plan estratégico anterior al año 2013.

Plan de Infraestructura Tecnológica.

Modelo de arquitectura de la información.

Diccionario de Datos.

Normativa Informática. Acciones realizadas en el marco del Decreto Nº 378/2005

Gobierno Electrónico, Res SIGEN Nº 48/2005 “Pautas de Control Interno de TI” y

Res ONTI Nº 69/2011 “Pautas de Accesibilidad para sitios Web del Sector Público

Nacional”.

Calidad de TI: Política aprobada, manual, planes e informes existentes.

Plan de Seguridad Informática.

Plan de Contingencia de TI.

Informes o evaluaciones de monitoreo de infraestructura tecnológica.

Documentación técnica de los sistemas aplicativos meteorológicos existentes.

2.4. Metodología

Tareas de campo:

La etapa de planificación incluyó el análisis de las siguientes actividades:

Marco legal e institucional del funcionamiento del Organismo.


4

Informe de SIGEN “Estado de situación sobre el relevamiento de la estructura y

funcionamiento durante el periodo 2010-2012”.

Entrevistas con los responsables a nivel de Dirección, Gerencias, Jefaturas de

Departamentos y áreas inferiores, en cuanto a la participación y experiencia propia y de

su personal en el uso de la Tecnología de la Información.

En la etapa de análisis detallado se evaluó:

Ambiente de control en la gestión de la TIC (Tecnología de la Información y

Comunicaciones).

Respuestas durante las entrevistas.

Relevamiento de los procesos meteorológicos informáticos y del ambiente de control

interno.

Sitio web del Organismo (http://www.smn.gov.ar/).

Pruebas sustantivas:

Entrevistas y verificaciones, con el objeto de obtener evidencias, en las siguientes

dependencias del SMN en la Ciudad Autónoma de Buenos Aires:

Edificio Central. 25 de Mayo 658.

Oficina de Vigilancia Meteorológica (OVM) del Aeroparque Jorge Newbery.

Estación Meteorológica del Aeroparque Jorge Newbery.

Centro Regional de Contraste Instrumental y Calibración Meteorológico. Av.

Coronel Manuel Dorrego 4019.

Observatorio Central de Buenos Aires (OCBA). Av. de los Constituyentes

3454.

2.5. Se excluye el estudio de los sistemas administrativos-contables que no tenga relación

exclusiva con los sistemas de información meteorológicos.

En función de la información obtenida y los niveles de riesgo estimados se definieron los

trabajos de campo convenientes para realizar las verificaciones necesarias.

En el Anexo III se describe el detalle de las aplicaciones relevadas.

Este informe es producto de la evaluación de la información recabada en las entrevistas


5

mantenidas y de las observaciones realizadas en el trabajo de campo.

Por otra parte se realizó un análisis de los riesgos asociados a los Objetivos de Control

definidos para cada uno de los procedimientos relevados.

3. ACLARACIONES PREVIAS La meteorología es una ciencia interdisciplinaria, fundamentalmente una rama de la física

de la atmósfera, que estudia el estado del tiempo, el medio atmosférico, los fenómenos allí

producidos y las leyes que lo rigen.

Los datos atmosféricos obtenidos en múltiples estaciones meteorológicas se usan para

definir el clima, predecir el tiempo y comprender la interacción de la atmósfera con otros

subsistemas.

Varias veces por día, los datos procedentes de cada estación meteorológica se centralizan,

se analizan y se explotan para establecer previsiones sobre el tiempo que hará los días

venideros.

Como las observaciones se repiten, la sucesión de los mapas y diagramas permiten apreciar

la evolución y realizar previsiones que se destinan a la ciudadanía en general y a

determinadas ramas de la actividad humana: la navegación aérea y marítima, la agricultura,

construcción, turismo, deportes, regulación de cursos de agua y prevención de desastres

naturales.

3.1 Cronología Institucional

El 4 de octubre de 1872, el Honorable Congreso de la Nación votó la Ley N° 559, por la

cual se creó la Oficina Meteorológica Argentina (OMA), dependiente del Ministerio de

Agricultura de la Nación. En 1924 la OMA pasa a llamarse Dirección Meteorológica, hasta

1927 que toma el nombre de Dirección de Meteorología. En 1935, y manteniendo su

dependencia del Ministerio de Agricultura pasa a ser la Dirección de Meteorología,

Geofísica e Hidrología (DMGH).


6

A través de la Ley N° 10.131 del año 1945, sobre la base de la DMGH y pasando a

depender de la Secretaría de Aeronáutica, se crea el Servicio Meteorológico Nacional

(SMN).

En el año 1957, el SMN pasa al ámbito del Ministerio de Aeronáutica de la Nación.

El 18 de octubre de 1966, el SMN es transferido a la órbita del Comando de Regiones

Aéreas de la Fuerza Aérea Argentina.

Finalmente por el Decreto 1689/2006 (a partir del 1° de enero de 2007) se dispone la

transferencia del SMN al ámbito de la Secretaría de Planeamiento del Ministerio de

Defensa como organismo Descentralizado.

3.2 Misiones y funciones del SMN

El Decreto N° 1432/2007 establece las misiones y funciones del SMN, por las cuales debe

observar y comprender la predicción del tiempo y el clima, tanto en el territorio nacional

como en zonas oceánicas adyacentes con el objeto de contribuir a la protección de la vida y

la propiedad de sus habitantes y al desarrollo sustentable de la economía, y representando

al país ante los organismos meteorológicos internacionales y dar cumplimiento de las

obligaciones asumidas por el país ante los mismos; y a su vez proveyendo y manteniendo

los sistemas de recopilación y control de calidad de los datos de observación en un Banco

Nacional de Datos Meteorológicos y Ambientales, siendo dichos datos procesados para la

provisión de servicios meteorológicos y climatológicos, en tiempo real, con el fin de

organizar el registro climatológico nacional.

3.2.1 Estructura organizacional

En el año 2008 se aprueba la estructura organizativa del SMN a nivel Gerencial, quedando

conformado institucionalmente de la siguiente manera:

Dirección:

o Gerencia de Obtención de Datos.

o Gerencia de Investigación, Desarrollo y Capacitación.

o Gerencia de Administración.

o Gerencia de Teleprocesamiento de Datos.

o Gerencia de Servicios a la Comunidad.


7

3.2.2 Gerencia de Teleprocesamiento de Datos

La Gerencia de Teleprocesamiento de Datos tiene la responsabilidad de administrar las

telecomunicaciones del SMN y proveer la adecuada recepción, consistencia,

almacenamiento y procesamiento de los datos meteorológicos, suministrándolos a los

usuarios en los casos indicados y brindar asistencia técnica a las demás áreas del

organismo en materia de informática.

3.3 Relevamiento

No existían estudios previos sobre la actividad de TI en el SMN que señalaran el nivel de

sistematización con el que cuenta este Organismo Se realizaron entrevistas con los

responsables a nivel Dirección, Gerencia y Jefaturas de Departamento, por medio de las

cuales se obtuvieron datos sobre las principales áreas, centros y estaciones meteorológicas

que cuentan con cierto grado de informatización. A continuación, en el siguiente cuadro se

muestra la cantidad de estaciones meteorológicas que funcionan actualmente en todo el

territorio nacional y sus responsables:

Propietario Estaciones

Meteorológicas

Servicio Meteorológico Nacional (SMN) 110

Cooperativas de Trabajo 7

Instituto Nacional de Tecnología Agropecuaria (INTA) 9

Fuerza Aérea Argentina (FAA) 2

Armada Argentina (ARA) 3

En total se relevaron 131 estaciones meteorológicas, las cuales pueden diferenciarse según

el tipo de funcionalidad con las siguientes denominaciones:

Sinópticas (Aeronáuticas y Observatorios).

Climáticas.

Pluviométricas (Precipitaciones de lluvias).


8

Automáticas (Gobiernos provinciales, Cooperativas de Trabajo e INTA).

3.4 Nómina de estaciones automáticas

Durante el relevamiento llevado a cabo se encontraron 12 estaciones meteorológicas

automáticas, distribuidas a lo largo de las Provincias Argentinas y la Ciudad Autónoma de

Buenos Aires

3.5 Personal de la TI

El Departamento Informática y Comunicaciones, dependiente de la Gerencia de

Teleprocesamiento de Datos, cuenta con los profesionales en sistemas y técnicos que se

detallan según su función en el siguiente cuadro:

DEPARTAMENTO INFORMÁTICA Y COMUNICACIONES Función Cantidad

Jefe de Departamento 1 Jefe de Operaciones 1 Jefe Técnico de Comunicaciones 1 Secretaria 1 Telefonista 2 Seguridad Informática 1 Desarrollador 6 Soporte 8 Operador de Comunicaciones y Desarrollo

12

Fuente: SMN

3.6 Inversiones y Gastos en TI

El siguiente cuadro muestra los gastos con financiamiento del Tesoro Nacional (Fuente 11)

que devengó la TI durante el período 2011-2012. Valores expresados en pesos.


9

Fuente: SMN

3.7 Los sistemas evaluados

Comprendió el proceso e infraestructura tecnológica desde la captura de información

proveniente de las estaciones meteorológicas hasta la publicación final en el sitio web.

3.7.1 Los procesos Informáticos y Comunicaciones del SMN

Las estaciones meteorológicas se encuentran distribuidas a lo largo de todo el territorio del

país. Cada estación toma mediciones que se asientan en una planilla estandarizada

denominada “libreta meteorológica”.

El destino final de estos datos es una aplicación denominada MSS o Base de Mensajes y a

INTRAMET (aplicación de INTRANET del organismo) desde donde otras aplicaciones,

como el SAVIMA1 o la consulta de la página web, extraen información.

1) Proceso de ingreso de datos

Independientemente de la registración manual, según la tecnología disponible en cada

estación, los datos pueden ingresarse a través de una aplicación web o por el Sistema de

Observación Meteorológico (SOM). De no contar con estas dos posibilidades, la estación

transmite la información por correo electrónico, radio o mensaje de texto a otra que sí

disponga de estas herramientas.

2) Procesamiento

La información ingresada es convertida a formatos estándares internacionales del manejo

de la información meteorológica, tales como:

SYNOP2

1 SAVIMA Sistema Automático de Visualización de Información Meteorológica utilizado en cada oficina de vigilancia meteorológica de los distintos aeropuertos del país.


10

METAR3

AMHS4

Los datos ingresados al MSS pasan previamente por un analizador sintáctico o Parser5, que

convierte el dato de entrada en otras estructuras, que son más útiles para el posterior

análisis.

En el gráfico siguiente, se detalla lo expresado:

2 SYNOP en Inglés Surface Synoptic Observations o observaciones sinópticas de superficie. Es un código numérico usado para reportar observaciones meteorológicas donde se describe el estado del tiempo de la estación, incluídos datos de temperatura, presión atmosférica y visibilidad. 3 METAR en francés MÉTeorogique Aviation Réguliere, es un estándar internacional del formato del código utilizado para emitir informes de las observaciones meteorológicas. Contempla entre otros datos: viento, visibilidad, nubosidad y temperatura. Es muy utilizado por los pilotos de las aeronaves para conocer la meteorología de los aeropuertos de destino. 4 AMHS es el nuevo estándar de la mensajería dentro del ámbito de tránsito aéreo, definido por la Organización de Aviación Civil Internacional (ICAO). Tiene beneficios adicionales a los sistemas anteriores; entre otras, la capacidad de operar en una red de propósitos generales y compartida con otros sistemas (las anteriores requieren una red dedicada), la firma digital de los mensajes (que asegura la integridad de datos y la autenticación de origen) y el soporte de mensajes de texto largos y con adjuntos. 5 Parser o analizador sintáctico es el nombre dado al proceso por el cual se analiza una secuencia de símbolos, tanto de una lengua natural o de un lenguaje de programación, de acuerdo a las reglas de una gramática formal. El análisis tradicional de las oraciones tiene como fin entender el significado exacto de una oración a partir de sus componentes


11

Estación de superficie (automática / manual)

Húmedo

Seco

Mínima

Máxima

Pluviómetro Veleta Heliófanografo

Aplicación SOM

Libreta Meteorológica (manual)

Msg ‐ SYNOP Msg ‐METAR

AMHS

Server PARSER

WEB SMN

SAVIMA

OVM (5)

OMA

Imágenes de Satélite

Imágenes de Radar

Termómetro

Dato aeronáutico

Papel de trabajo: N°329/04/2013Autores: Antonio Vazquez Y Esteban De Martino

MSS (My Sql)

Base de mensajes

3.7.2 Equipamiento en hardware y software

El Organismo cuenta con cuatro centros de procesamiento de datos propios, dos dentro del

Departamento de Informática y Comunicaciones, uno en el Departamento Procesamiento

Automatizado y uno en el Departamento de Pronósticos.

La infraestructura tecnología se basa en plataformas de servidores con una variada cantidad

de sistemas operativos y bases de datos.

Está prevista una sala nueva del Centro de Procesamiento de Datos en el nuevo edificio del

SMN y la instalación de un sitio alternativo.

En los dos últimos años hubo una actualización del equipamiento de PCs.

Actualmente la red del SMN cuenta con aproximadamente 1100 usuarios, siendo 200

exclusivos del edificio central.


12

3.7.3 Equipamiento y Comunicaciones de las Estaciones Meteorológicas Automáticas

Datalogger, equipo/dispositivo electrónico usado para la captura y registro de

información meteorológica. Este dispositivo no mide la visibilidad.

PCs e impresoras.

Enlaces satelitales por microondas para servicios de Internet y transmisión de mensajes.

Cableado estructurado y elementos activos de red.

4. COMENTARIOS Y OBSERVACIONES

A. ANÁLISIS BAJO NORMAS COBIT

Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por el

marco de referencia de buenas prácticas de TI COBIT (Control Objectives in Information

Technologies) versión 4. Los Objetivos de Control describen los resultados que debe

alcanzar un Organismo implantando procedimientos de control, basados en las mejores

prácticas aplicables, a los procesos de TI.

Para cada uno de los Objetivos se menciona el nivel de madurez que le corresponde,

conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. En el punto 6, se

encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos.

Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la

información (detallados en el Anexo III) son afectados.

Se destaca que cada Objetivo de Control va acompañado de su nivel de riesgo genérico

(alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su

incumplimiento y sin estar vinculado con la situación del Organismo. Ese nivel genérico es

modificado por el índice de madurez correspondiente (dependiente de las observaciones

realizadas) para establecer el riesgo específico para ese objetivo, en el caso particular.

Puede observarse en los gráficos de los Anexos II y IV que un Objetivo de Control que

tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto,

genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y

un índice de madurez bajo.


13

4.1. PLANIFICAR Y ORGANIZAR

4.1.1 Definir un plan estratégico para TI

Objetivo de control: Se requiere una planeación estratégica de Tecnología de la

Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los

objetivos estratégicos del Organismo y las prioridades. La función de TI y los niveles

decisorios de la organización, son responsables de garantizar que se materialice el valor

óptimo de los proyectos y servicios. El plan estratégico debe mejorar el entendimiento de

los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el

desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades

se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes

tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y

aceptadas tanto por el Organismo como por TI.

Este objetivo de control afecta, primariamente:

la efectividad

y en forma secundaria:

la eficiencia

Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo

Nivel de Madurez: Inicial. La gerencia de TI conoce la necesidad de una planeación

estratégica de TI. La planeación de TI se realiza en base a requerimientos específicos. La

alineación de los requerimientos de las aplicaciones y tecnología se lleva a cabo de modo

reactivo. La posición de riesgo estratégico se identifica de manera informal proyecto por

proyecto.

Observaciones: Para el período auditado, no se cuenta con un Plan Estratégico ni del

Organismo ni uno específico de TI, con sus correspondientes planes tácticos, por lo que no

es posible evaluar, ni realizar un seguimiento del desempeño y de la contribución de la TI a

los objetivos estratégicos del Organismo, así como a los costos y a los riesgos

relacionados.

El hecho de no contar con un plan operativo formal, que respalde a las acciones de TI, no

permite administrarla en forma efectiva.


14

En el presente año, el Organismo formalizó un Plan Estratégico con su correspondiente

apéndice de TI que abarca el período 2013-2016.

4.1.2 Definir la arquitectura de información

Objetivo de control: La función de los sistemas de información debe crear y actualizar de

forma regular un modelo de información y definir los sistemas apropiados para optimizar

su uso de esta información. Esto incluye el desarrollo de un diccionario de datos de la

organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso

mejora la calidad de la toma de decisiones gerenciales proveyendo que se proporciona

información confiable y segura, y permite racionalizar los recursos de los sistemas de

información para igualarse con las estrategias del Organismo. Este proceso de TI también

es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los

datos y para mejorar la efectividad y control de la información compartida a lo largo de las

aplicaciones y de las entidades.


la eficiencia

la integridad


la efectividad

la confidencialidad


Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de una arquitectura de

información. El desarrollo de algunos componentes de una arquitectura de información

ocurre de manera ad hoc. Las definiciones abarcan datos en lugar de información, y son

impulsadas por ofertas de proveedores de software aplicativo. Existe una comunicación

esporádica e inconsistente de la necesidad de una arquitectura de información.

Observaciones: El Organismo no estableció un modelo de información que incluya un

diccionario y un esquema de clasificación, de acuerdo a la criticidad y la sensibilidad, de


15

datos. Tampoco están formalizados procedimientos para definir datos nuevos que aseguren

la integridad y la consistencia de toda la información almacenada.

Esta situación puede generar redundancia de datos e inconsistencias.

4.1.3 Determinar la dirección tecnológica

Objetivo de control: La función de servicios de información debe determinar la dirección

tecnológica para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la

creación de un plan de infraestructura tecnológica y de un consejo de arquitectura que

establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer

en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar

de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección

tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.

Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar

la economía de escala en los sistemas de información utilizados por el personal o para la

toma de decisiones, como también en interoperabilidad entre las plataformas y las

aplicaciones.


la efectividad

la eficiencia


Nivel de Madurez: Inicial. La gerencia reconoce la necesidad de planear la infraestructura

tecnológica. El desarrollo de componentes tecnológicos y la implementación de

tecnologías emergentes son específicos para un fin determinado. La dirección tecnológica

está impulsada por los planes evolutivos, del hardware, del software de sistemas y de los

proveedores de software aplicativo. La comunicación del impacto potencial de los cambios

en la tecnología es poco clara.

Observaciones: No se desarrolló un Plan de Infraestructura que esté de acuerdo con los

planes estratégicos y tácticos de TI, con establecimiento de estándares, dirección


16

tecnológica, un planeamiento de la capacidad instalada y las posibles necesidades futuras

que engloben a todo el Organismo.

4.1.4 Definir los procesos, organización y relaciones de TI

Objetivo de control: Una organización de TI se debe definir tomando en cuenta los

requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y

supervisión. El Organismo estará inserto en un marco de trabajo de procesos de TI que

asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos de

nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios,

como TI, debe determinar las prioridades de los recursos de TI alineados con las

necesidades del Organismo. Deben existir procesos, políticas administrativas y

procedimientos para todas las funciones, con atención específica en el control, el

aseguramiento de la calidad, la administración de riesgos, la seguridad de la información,

la propiedad de datos y de sistemas y la segregación de tareas.

Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los

procesos importantes de decisión.


la efectividad

la eficiencia


Nivel de Madurez: Inicial. Las actividades y funciones de TI son reactivas. TI se

involucra en los proyectos solamente en las etapas finales. La función de TI se considera

como una función de soporte, sin una perspectiva organizacional general. Existe un

entendimiento explícito de la necesidad de una organización de TI; sin embargo, los roles y

las responsabilidades no están formalizadas.

Observaciones: La ubicación de la función de TI dentro de la estructura organizacional

general no está acorde a la importancia de TI dentro del Organismo, dada su criticidad para

la operatividad de la organización.


17

El área de seguridad informática depende del Departamento de Informática y

Comunicaciones.

No existen descripciones formales de políticas, normas y procedimientos de TI, se

observan además desarrollos e instalaciones de software que no cuentan con el control del

área de TI del Organismo sin misiones y funciones explicitas aprobadas en todos los

niveles. Esta situación provoca una disminución de los controles internos y

consecuentemente un sistema de información orgánico sin control.

En otros aspectos no están definidas las funciones relacionadas con la administración de

proyectos, administración de riesgos, documentación, aseguramiento de la calidad y el

encargado o responsable del centro de cómputo.

No se estableció un comité estratégico de TI formado por representantes de los niveles

decisorios y de TI que determine las prioridades de los programas de inversión alineados

con la estrategia y prioridades del Organismo.

La propiedad de los datos y de los sistemas no se encuentra formal y claramente definidas.

El nuevo Proyecto de Organigrama del SMN que aún no ha sido aprobado, será evaluado

en una próxima auditoría.

4.1.5 Administrar la inversión en TI

Objetivo de control: Establecer y mantener un marco de trabajo para administrar los

programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del

presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.

Trabajar con los interesados para identificar y controlar los costos y beneficios totales

dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas

según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave,

facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y

responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los

beneficios y el retorno sobre las inversiones en TI.


la efectividad


18

la eficiencia


la confiabilidad


Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de

seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y

presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de

la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de

TI. Se toman decisiones presupuestales reactivas y tácticas.

Observaciones: No hay una administración presupuestaria detallada de la TI que se

encuentre alineada al Plan Estratégico de TI. Falta la implementación de un enfoque

orientado a la administración por centros de costos y del Plan Estratégico de TI, así como

un proceso de monitoreo para determinar la contribución esperada de TI a los objetivos

estratégicos del Organismo.

En el período auditado, la ausencia de un Plan Estratégico de TI y sus correspondientes

planes tácticos que lo respalden, donde indique las inversiones de TI, impide evaluar o

tener un diagnostico de aspectos tales como: necesidades de nuevo equipamiento,

infraestructura tecnológica, prioridades, costos presupuestados y grado de avance, de

manera de poder identificar en forma oportuna desviaciones, evaluar el impacto y tomar las

medidas correctivas de ser necesarias.

Cabe señalar que, para el período 2012, el presupuesto otorgado para la TI fue de

$14.490.959, del cual sólo se ejecutó el 15%.

4.1.6 Comunicar las aspiraciones y la dirección de la gerencia

Objetivo de control: La dirección debe elaborar un marco de trabajo de control

organizacional para TI, y definir y comunicar las políticas. Se debe implantar un programa

de comunicación continua para articular la misión, los objetivos de servicio, las políticas y

procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de


19

los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El

proceso debe garantizar el cumplimiento de las leyes y reglamentos.


la efectividad


el cumplimiento

Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo

Nivel de Madurez: Inicial. La gerencia es reactiva al resolver los requerimientos del

ambiente de control de información. Las políticas, procedimientos y estándares se elaboran

y comunican de forma ad hoc de acuerdo a los temas. Algunos procesos de elaboración,

comunicación y cumplimiento son informales.

Observaciones: El Organismo se desarrolla sin una política clara y definida de TI. Las

autoridades no promueven y ni definen formalmente políticas, procedimientos y estándares

en relación a la TI.

Esto provoca que el área de la TI del Organismo no disponga de elementos normativos que

se puedan utilizar para regular sus actividades. Esta situación va en desmedro de los

controles internos y las mejores prácticas.

4.1.7 Administrar los recursos humanos de TI

Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación

y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que

apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la

terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno

depende fuertemente de la motivación y competencia del personal.


la efectividad

la eficiencia



20

Nivel de Madurez: Repetible. Existe un enfoque táctico para contratar y administrar al

personal de TI, dirigido por necesidades específicas de proyectos. Se imparte

entrenamiento informal al personal nuevo, quienes después reciben entrenamiento según

sea necesario.

Observaciones: El personal de TI es clave para el funcionamiento del Organismo. Se

observa falta de separación de funciones y en otros casos ausencia de puestos o posiciones

claves.

El nivel de las remuneraciones y el modo de contratación por 12 meses, generan riesgos

ante posibles renuncias del personal técnico informático altamente especializado y que

actualmente mantienen aplicaciones que dan soporte indispensable al funcionamiento del

Organismo.

El Organismo carece de un Plan de Capacitación que se nutra de las necesidades de las

distintas áreas, entre ellas las de TI.

4.1.8 Administrar la calidad

Objetivo de control: Se debe elaborar y mantener un sistema de administración de

calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto

se facilita por medio de la planeación, implantación y mantenimiento del sistema de

administración de calidad, proporcionando requerimientos, procedimientos y políticas

claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con

indicadores cuantificables y alcanzables. La mejora continua se logra por medio del

constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los

interesados. La administración de calidad es esencial para garantizar que la TI está dando

valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los

interesados.


la efectividad

la eficiencia



21

la integridad

la confiabilidad


Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de

un Sistema de Administración de la Calidad (SAC). Se realizan juicios informales sobre la

calidad.

Observaciones: No existen políticas ni un sistema de administración de calidad que

establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones,

aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y

conocer la entrega de valor de TI a los objetivos estratégicos del Organismo.

4.1.9 Evaluar y administrar los riesgos de TI

Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración

de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,

estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre

las metas estratégicas del Organismo, causado por algún evento no planeado se debe

identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para

minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe

ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable

de tolerancia.


la confidencialidad

la integridad

la disponibilidad


la efectividad

la eficiencia

el cumplimiento

la confiabilidad


22


Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI

son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de

manera ad hoc. Se realizan evaluaciones informales según lo determine cada proyecto. Los

riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad

se toman en cuenta ocasionalmente proyecto por proyecto.

Observaciones: No existe un marco de administración de riesgos que permita

identificarlos para tomar una acción para prevenirlos, asumirlos, mitigarlos, evitarlos o

resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia.

Informalmente los riesgos tecnológicos se conocen, pero la falta de un inventario completo

y detallado de la TI no permite una evaluación formal de éstos que contemple las

fortalezas, las oportunidades, las debilidades y las amenazas.

El Organismo se encuentra expuesto a la ocurrencia de hechos imprevistos que pueden

generar perjuicios, sin que estén contempladas las medidas a tomar en cada caso.

4.1.10 Administrar proyectos

Objetivo de control: Establecer un programa y un marco de control administrativo de

proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe

garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.

El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de

entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de

la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación

para garantizar la administración de los riesgos del proyecto y su contribución a los

objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y

de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles

decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los

proyectos, y maximiza su contribución a los programas de inversión en TI.


la efectividad


23

la eficiencia


Nivel de Madurez: Inicial. El uso de técnicas y enfoques de administración de proyectos

dentro de TI no está formalizada. Hay poca participación de los usuarios para definir los

proyectos de TI. No hay una organización clara dentro de TI para la administración de

proyectos. Los roles y responsabilidades para la administración de proyectos no están

definidas. Los proyectos, cronogramas y puntos clave están vagamente definidos. No se

hace seguimiento al tiempo, a los gastos del equipo del proyecto y no se comparan con lo

previamente estimado.

Observaciones: No existe un marco de administración de proyectos que incluya:

Costos, plazos, hitos a cumplir, alcance, recursos afectados

Parámetros de calidad definidos en el sistema de administración de la calidad.

Un proceso de administración de control de cambios de modo tal que todas las

modificaciones a la línea base se revisen, aprueben e incorporen al plan integrado

de acuerdo al marco de trabajo.

Un proceso de monitoreo del desempeño contra los criterios clave previamente

definidos en el sistema de calidad.

4.2. ADQUIRIR E IMPLEMENTAR

4.2.1 Identificar soluciones automatizadas

Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis

antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen

con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,

considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y

económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión

final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el

costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro

de los objetivos.



24

• la efectividad


• la eficiencia


Nivel de Madurez: Inicial. Existe conciencia de la necesidad de definir requerimientos y

de identificar soluciones tecnológicas. Las soluciones automatizadas se analizan de manera

informal y los requerimientos se documentan algunas veces. Existe una investigación o

análisis estructurado mínimo de la tecnología disponible.

Observaciones: No existen políticas ni procedimientos formalizados para administrar los

requerimientos de soluciones automatizadas, que permitan evaluar factibilidades, cursos de

acción alternativos, administrar prioridades, acordar alcances, asignar recursos y

determinar un usuario clave que patrocine el proyecto.

Se ha observado la existencia de una ficha manual para llevar la información del

inventario de material instrumental y por otro lado el uso de planillas de cálculo para llevar

el control de stocks de los instrumentos de las estaciones meteorológicas con la falta de

seguridad que este procedimiento conlleva.

4.2.2 Adquirir o desarrollar y mantener software aplicativo

Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los

requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la

inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo

y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la

operatividad de forma apropiada con las aplicaciones correctamente automatizadas.


la efectividad

la eficiencia


la integridad

la confiabilidad


25


Nivel de Madurez: Inicial. Existe conciencia de la necesidad de contar con un proceso de

adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y

mantenimientos de software aplicativo varían de un proyecto a otro.

Observaciones: No hay formalizada una metodología de Ciclo de Vida de Desarrollo de

Sistemas (CVDS) que contemple documentaciones tales como: alcance, requerimientos,

diseño de alto nivel, diseño detallado, detalle del software a modificar o a crear,

procedimientos escritos para las verificaciones funcionales y de código en los entornos de

desarrollo y pruebas, tareas de implementación y post-implementación, con sus

correspondientes aprobaciones por parte de los usuarios clave involucrados y que se

apliquen a todo el Organismo que forme parte de una política de desarrollo de la TI.

No se realiza gestión de aseguramiento de la calidad en los desarrollos ni en la seguridad,

tanto propio como de terceros.

Existen áreas del Organismo, independientes de TI, que llevan a cabo sus propios

desarrollos de aplicaciones, sin utilizar un CVDS y ni estándares de Seguridad Informática.

Para el caso del desarrollo y mantenimiento de las aplicaciones realizadas por terceros, se

aplica el mismo criterio.

4.2.3 Adquirir y mantener infraestructura tecnológica

Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y

actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para

adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas

convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista

un soporte tecnológico continuo para las aplicaciones.


la eficiencia


la efectividad

la integridad


26

la disponibilidad


Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura para cada nueva

aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la

infraestructura de TI es importante, no existe un enfoque general consistente. La actividad

de mantenimiento actúa en forma reactiva a necesidades de corto plazo.

Observaciones: No hay un plan de infraestructura tecnológica que considere aspectos tales

como adquisiciones, implementaciones, planeamiento de la capacidad para necesidades

futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente como

contribución de TI para alcanzar los objetivos estratégicos del Organismo. No existe un

ambiente de desarrollo y pruebas. Las pruebas se realizan en ambiente de producción.

4.2.4 Facilitar la operación y el uso

Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible.

Este proceso requiere la generación de documentación y manuales para usuarios y TI, y

proporciona entrenamiento para garantizar el uso y la operación correctos de las

aplicaciones y la infraestructura.


la efectividad

la eficiencia


la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de Madurez: Inicial. Existe la percepción de que la documentación de proceso es

necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a

grupos limitados. Los materiales de entrenamiento tienen calidad variable. No existen


27

procedimientos de integración a través de los diferentes sistemas. No hay aportes de las

áreas involucradas en el diseño de programas de entrenamiento.

Observaciones: Falta un marco para la documentación de los sistemas. No se confecciona

una documentación estándar para cada etapa del proceso de ciclo de vida que permita la

transferencia de conocimiento. No existe documentación o descripción de los

procedimientos de los sistemas de información en producción. Esta auditoría tuvo que

realizar un relevamiento de todo el ciclo ya que no existe documentación. (Ver diagramas

en Anexo V)

4.2.5 Adquirir recursos de TI

Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware,

software y servicios. Esto requiere de la definición y ejecución de los procedimientos de

adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la

adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI

que se requieren de una manera oportuna y rentable.


la eficiencia


la efectividad

el cumplimiento


Nivel de Madurez: Repetible. Existe conciencia organizacional de la necesidad de tener

políticas y procedimientos básicos para la adquisición de TI. Las políticas y

procedimientos se integran parcialmente con el proceso general de adquisición de la

organización. Los procesos de adquisición se utilizan principalmente en proyectos mayores

y bastante visibles. Se reconoce la importancia de administrar proveedores y las relaciones

con ellos, pero se manejan con base en la iniciativa individual. Los procesos de contrato se

utilizan principalmente en proyectos mayores o muy visibles.


28

Observaciones: Existen dos proveedores de servicios de TI, uno de comunicaciones

satelitales y otro de desarrollo y mantenimiento de base de datos, contratados bajo la figura

de legítimo abono desde 1993 y enero del 2012, respectivamente.

El área de TI desconoce las obligaciones contractuales del servicio y en caso de una

contingencia o interrupción no se cuenta con elementos de control y reclamo atento que no

existe otra solución alternativa dispuesta por el Organismo. Esta situación pone en riesgo la

continuidad del servicio en el caso de existir una decisión unilateral por parte del

proveedor.

4.2.6 Administrar cambios

Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y

actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente

de producción, deben administrarse formal y controladamente. Los cambios (incluyendo

procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y

autorizar previo a la implantación y contrastar contra los resultados planeados después de

la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la

estabilidad o integridad del ambiente de producción.


la efectividad

la eficiencia

la integridad

la disponibilidad


la confiabilidad


Nivel de Madurez: Inicial. Se reconoce que los cambios se deben administrar y controlar.

Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay

documentación de cambio insuficiente. Es posible que ocurran errores junto con

interrupciones al ambiente de producción, provocados por la administración de cambios.


29

Observaciones: No hay procedimientos formales para la administración de cambios que

establezcan un tratamiento estandarizado de todas las solicitudes de mantenimiento y

actualizaciones, en aplicaciones, procesos, servicios y parámetros de sistema.

Tampoco existe un procedimiento alternativo y formal para atender situaciones de

emergencia.

Cuando se realizan cambios o actualizaciones no se genera la documentación pertinente.

Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no probados a los

sistemas de información.

4.2.7 Instalar y acreditar soluciones y cambios

Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su

desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con

datos de prueba relevantes, definir la transición e instrucciones de migración, planear la

liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.

Esto garantiza que los sistemas operacionales estén en línea con las expectativas

convenidas y con los resultados.


la efectividad


la eficiencia

la integridad

la disponibilidad


Nivel de Madurez: Inicial. Existe la percepción de la necesidad de verificar y confirmar

que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan

para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos

particulares y los enfoques que se toman varían.


30

Observaciones: No hay ambiente independiente dedicado a probar las aplicaciones que se

desarrollan o se mantienen. Para el test previo al pasaje a producción, no se usan datos de

prueba sino los de la base real.

Hay sectores que desarrollan sus propias aplicaciones sin intervención alguna del área de

TI, por lo cual el pasaje a producción no está en un entorno controlado.

4.3. ENTREGAR Y DAR SOPORTE

4.3.1 Definir y administrar los niveles de servicio

Objetivo de control: La máxima autoridad debe definir un marco que promueva el

establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño

en virtud de los cuales se medirá su cantidad y calidad.


la efectividad

la eficiencia


la confidencialidad

la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de

servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de

cuentas para la definición y la administración de servicios no está definida. Si existen las

medidas para medir el desempeño son solamente cualitativas con metas definidas de forma

imprecisa.

Observaciones: No existe un marco formal de administración de niveles de servicio entre

el área de TI y el resto de la organización ni definiciones base sobre servicios de TI, y el

acuerdo del nivel de servicios (ANS) esperado (aprobado por los usuarios claves),


31

incluyendo: roles, tareas, responsabilidades y la descripción de cómo serán entregados

técnicamente estos servicios, para todos los procesos críticos, en base a los requerimientos

de los usuarios y las capacidades de TI.

En relación a los proveedores externos, la definición de los ANS es poco precisa.

4.3.2 Administrar servicios de terceros

Objetivo de control: La máxima autoridad debe implementar medidas de control

orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para

garantizar la eficacia y el cumplimiento de la política del Organismo.


la efectividad

la eficiencia


la confidencialidad

la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad

de tener políticas y procedimientos documentados para la administración de los servicios

de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los

convenios con los prestadores de servicios. La medición de los servicios prestados es

informal y reactiva.

Observaciones: No está formalizado un proceso de gestión de las relaciones con los

proveedores que, sobre la base de lo definido en el sistema de aseguramiento de la calidad

(SAC), detalle: roles, responsabilidades y el acuerdo de nivel de servicios; de forma tal de

mitigar los riesgos relacionados con la entrega de la prestación en forma eficiente y con

continuidad.


32

4.3.3 Administrar el desempeño y la capacidad

Objetivo de control: Se debe implementar un proceso de administración orientado a la

recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los

recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la

demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades

futuras, almacenamiento y contingencias, y garantizar que los recursos de información que

soportan los requerimientos del Organismo estén disponibles de manera continua.


la efectividad

la eficiencia


la disponibilidad


Nivel de madurez: Inicial. Los usuarios, con frecuencia, tienen que llevar acabo

soluciones alternas para resolver las limitaciones de desempeño y capacidad. Las acciones

para administrar el desempeño y la capacidad son típicamente reactivas. El proceso de

planeación de la capacidad y el desempeño es informal. El entendimiento sobre la

capacidad y el desempeño de TI, actual y futuro, es limitado.

Observaciones: Los enlaces de comunicaciones se monitorean con una herramienta de

software con licencia GNU6, se ha observado que para cumplir eficazmente esta función no

se ha hallado un equipo o PC dedicado a este rol ni haber definido una responsabilidad al

personal.

No se ha formalizado un proceso de monitoreo del desempeño y la capacidad de recursos

de TI, de modo tal de satisfacer los acuerdos de nivel de servicios (ANS), minimizar el

riesgo de interrupciones, balancear la carga de trabajo, analizar ciclos de vida de los

6 Licencia que garantiza a los usuarios finales (personas, organizaciones, compañías) la libertad de usar, estudiar, compartir (copiar) y modificar el software. Su propósito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiación que restrinjan esas libertades


33

recursos de TI y el planeamiento de las necesidades futuras, ante los posibles incrementos

en la demanda.

4.3.4 Garantizar la continuidad del servicio

Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la

continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones

y brindar entrenamiento periódico.


la efectividad

la disponibilidad


la eficiencia


Nivel de madurez: Inicial. Las responsabilidades sobre la continuidad de los servicios son

informales y la autoridad para ejecutar responsabilidades es limitada. La máxima autoridad

de TI es consciente de los riesgos relacionados y de la necesidad de mantener continuidad

en los servicios. El enfoque de la gerencia sobre la continuidad del servicio radica en los

recursos de infraestructura, en vez de radicar en los servicios de TI. Los usuarios utilizan

soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a

las interrupciones mayores es reactiva y sin preparación.

Observaciones: No hay un plan de continuidad de servicios de TI diseñado para reducir el

impacto de la interrupción de procesos críticos.

Informalmente, existen procedimientos que permiten la recuperación de datos en los

distintos servidores. No obstante, hay sectores del Organismo, como el Departamento de

Procesos Automáticos y Sensores Remotos, que llevan a cabo la administración de sus

propios resguardos sin intervención y control del área de TI.

No hay una copia de los backups fuera del edificio como tampoco un procedimiento

general tal como entrenamiento o un sitio alternativo que pueda atender la contingencia

ante el caso de desastre en la administración central.


34

El Organismo no se encuentra preparado ante el riesgo de acontecimientos no previstos

que pudieran ocasionar la interrupción de los servicios.

4.3.5 Garantizar la seguridad de los sistemas

Objetivo de control: La necesidad de mantener la integridad de la información y de

proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este

proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas,

estándares y procedimientos de TI. La administración de la seguridad también incluye la

implementación de los controles de acceso lógico que garantizan que el ingreso a los

sistemas, datos y programas está limitado a los usuarios autorizados, los monitoreos y

pruebas periódicas así como acciones correctivas sobre las debilidades o incidentes

identificados.


la confidencialidad

la integridad


la disponibilidad

el cumplimiento

la confiabilidad


Nivel de madurez: Inicial. La organización reconoce la necesidad de seguridad para TI.

La conciencia de la necesidad de seguridad depende principalmente de las personas. La

seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Los

incidentes de seguridad de TI ocasionan respuestas individuales, debido a que las

responsabilidades no son claras. Las respuestas a los incidentes de seguridad de TI son

impredecibles.

Observaciones: No se lleva una gestión centralizada del manejo de la TI, desde donde

poder definir e implementar políticas y procedimientos No se han establecido los roles,

responsabilidades y estándares de TI. No existen normas formalmente aprobadas y


35

definidas que alcancen a todo el Organismo en materia de seguridad informática como

tampoco se han realizado evaluaciones a las normas específicas de la materia.

No se ha definido el rol de administrador de los servidores, como tampoco un

procedimiento específico de administración de cuentas de usuario que establezca la

solicitud, establecimiento, suspensión, modificación y cierre de cuentas. Tampoco existen

procedimientos que permitan auditar las acciones de los administradores, usuarios externos

e internos y para casos de emergencia.

No hay una política específica que establezca revisiones regulares de todas las cuentas de

usuarios y los privilegios asociados.

La ausencia de una administración centralizada de todos los servidores y las cuentas de

usuarios, con sus privilegios, permite que la infraestructura de TI y los datos, se encuentren

expuestos a ataques internos y externos, con lo que pone en riesgo su disponibilidad e

integridad.

Las limitaciones tecnológicas del sistema de comunicaciones por su baja velocidad, no

permite dar un servicio remoto eficiente para la administración de usuarios, datos e

Internet.

Se detectaron:

Usuarios comunes con altos privilegios, lo que habilita la posibilidad de instalar

aplicaciones no autorizadas.

Ausencia de herramientas que permitan la detección de intrusos (usuarios no

habilitados que puedan acceder a los datos).

Usuarios genéricos, que no permiten identificar a las personas que acceden y

utilizan servicios de TI

Transmisión de datos sin encriptación. Esto permite la posibilidad de que un

tercero, con conocimiento de la información, pueda alterarla.


36

4.3.6 Identificar y asignar costos

Objetivo de control: Se debe implementar un sistema de imputación de costos que

garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle

requerido y el ofrecimiento de servicio adecuado.

Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y

reportar costos de TI a los usuarios de los servicios.


la eficiencia

la confiabilidad


Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los

servicios de información, pero no hay una distribución de costos por centro de costos. Es

casi nulo el monitoreo de los costos, sólo se reportan a la gerencia los costos agregados. La

distribución de costos de TI se hace como un costo fijo de operación. Al Organismo no se

le brinda información sobre el costo o los beneficios de la prestación del servicio.

Observaciones: No hay un marco de trabajo de administración por centro de costos, en

función de la TI por cada una de las gerencias, que esté alineado con los procedimientos de

contabilización y medición financiera del Organismo; que incluya costos directos,

indirectos, fijos y variables, y que garantice que los cargos para los distintos servicios sean

identificables para su monitoreo.

4.3.7 Educación y capacitación de los usuarios

Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y

desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada

grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para

llevar a cabo un entrenamiento efectivo y para medir los resultados.


la eficacia



37

la eficiencia


Nivel de madurez: Inicial. Hay evidencia de que la organización ha reconocido la

necesidad de contar con un programa de entrenamiento y educación, pero no hay

procedimientos estandarizados. El enfoque global de la gerencia carece de cohesión y sólo

hay comunicación esporádica e inconsistente respecto a los problemas y enfoques para

hacerse cargo del entrenamiento y la educación.

Observaciones: No hay un plan de capacitación, que incluya la concientización de los

usuarios en seguridad informática, que abarque la identificación de las necesidades las

áreas de TI y los mecanismos de impartición, con el correspondiente esquema de

evaluación del entrenamiento recibido.

4.3.8 Administrar la mesa de servicio y los incidentes

Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los

usuarios de TI, requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso

de administración de incidentes. Este proceso incluye la creación de una función de mesa

de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-

raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la

resolución rápida de consultas. Además, permite identificar la causa raíz a través de un

proceso de reporte efectivo.


la efectividad

la eficacia


Nivel de madurez: Inicial. La gerencia reconoce que requiere un proceso soportado por

herramientas y personal para responder a las consultas de los usuarios y administrar la

resolución de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se

brinda soporte reactivo. La gerencia no monitorea las consultas de los usuarios, los


38

incidentes o las tendencias. No existe un proceso de escalamiento para garantizar que los

problemas se resuelvan.

Observaciones: La mesa de servicios es llevada por el área de Soporte Técnico y el Dpto.

de Comunicaciones sin normas ni procedimientos específicos. Se debe considerar que debe

registrar los cortes de servicios de los enlaces de comunicaciones y los problemas de

soporte técnico de todo el SMN incluyendo Oficinas Meteorológicas de Aeródromos,

Oficinas de Información Meteorológicas, Oficinas de Vigilancia Meteorológicas;

Observatorios; Estaciones Meteorológicas de Aeródromos; Vigilancia Atmosférica Global,

todas ellas distribuidas a lo largo y ancho del país incluyendo el continente Antártico.

No existe un procedimiento ni un único sistema de registración de incidentes que se

aplique de manera uniforme en todo el organismo, que contemple:

Registración unívoca del incidente.

Un procedimiento de escalamiento de problemas.

El seguimiento y evaluación de las distintas resoluciones en base a los distintos

acuerdos de niveles de servicios definidos en el Sistema de Aseguramiento de la

Calidad (SAC).

Que el usuario preste su conformidad formal de la tarea realizada.

Alimentación de una Base de Conocimientos, donde se registren soluciones tipo para

problemas tipo en base a la experiencia adquirida.

Elaboración de estadísticas.

Encuestas de satisfacción de los usuarios.

4.3.9 Administrar la configuración

Objetivo de control: Se deben implementar controles que identifiquen y registren todos

los bienes de Tecnología de la Información y su ubicación física, y un programa de

verificación regular que confirme su existencia. Este programa debe incluir la recolección

de información de la configuración inicial, el establecimiento de normas, la verificación y

auditoría de la información de la configuración y la actualización del repositorio de

configuración conforme se necesite.


39


la efectividad


la eficiencia

la disponibilidad

la confiabilidad


Nivel de madurez: Inicial. Se reconoce la necesidad de contar con una administración de

configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales

como mantener inventarios de hardware y software pero de manera individual. No están

definidas prácticas estandarizadas.

Observaciones: No hay un repositorio centralizado de inventarios de activos de TI para el

organismo que contenga todos los elementos de configuración incluyendo hardware,

software de base y aplicativos. Sólo existen inventarios parciales que no cubren todas las

características para el control de los recursos informáticos.

No hay un procedimiento de control de cambios aplicable al mantenimiento de los

inventarios.

4.3.10 Administración de problemas

Objetivo de control: Se debe implementar un sistema de administración de problemas que

registre y de respuesta a todos los incidentes. El proceso también incluye la identificación

de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus

de las acciones correctivas.


la eficacia

la eficiencia


la disponibilidad



40

Nivel de madurez: Inicial. Los individuos reconocen la necesidad de administrar los

problemas y de revolver las causas de fondo. Algunos individuos clave brindan asesoría

sobre problemas relacionados a su área de experiencia, pero no está asignada la

responsabilidad para la administración de problemas. La información no se comparte,

resultando en la creación de nuevos problemas y la pérdida de tiempo productivo mientras

se buscan respuestas.

Observaciones: No existe un procedimiento único para todo el Organismo que permita

reportar y clasificar problemas que han sido identificados como parte de la administración

de incidentes. Tampoco existe una clasificación sobre el impacto, prioridad y categoría del

problema. Los usuarios no dan conformidad formal a la solución del problema. No se

realizan estadísticas que permitan identificar la causa raíz de los problemas.

Se utilizan registros manuales y comunicaciones vía telefónica o mensajes de correo

electrónico y dada la imposibilidad de resolver problemas de soporte técnico en forma

remota y ante la falta de un plan preventivo de mantenimiento, las resoluciones se basan en

comisiones de envío de personal al grupo de estaciones meteorológicas distribuidas

geográficamente por todo el país.

4.3.11 Administración de Datos

Objetivo de control: La máxima autoridad debe establecer y mantener una combinación

eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la

Información para asegurar que los datos permanezcan durante su entrada, actualización y

almacenamiento completos, precisos y válidos. El proceso de administración de

información también incluye el establecimiento de procedimientos efectivos para

administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así

como su eliminación apropiada.


la integridad

la confiabilidad



41

Nivel de madurez: Inicial. El Organismo reconoce la necesidad de una correcta

administración de los datos. Existe un método para especificar requerimientos de seguridad

en la administración de datos, pero no hay procedimientos implementados de

comunicación formal. No se lleva a cabo capacitación específica sobre administración de

los datos. La responsabilidad sobre la administración de los datos no es clara. Existen

procedimientos de respaldo y recuperación de datos.

Observaciones: No existe un procedimiento formal que establezca un criterio único para

la realización de las copias de resguardo. En cada una de las áreas de TI del organismo se

realizan con diferentes métodos y plataformas tecnológicas.

Los datos no se encuentran clasificados por criticidad, impacto o requerimientos de

seguridad.

No existe un plan de pruebas periódicas que verifique la calidad de las copias de respaldo y

la eficacia del proceso de restauración.

El Organismo no tiene resguardo centralizado de toda la información almacenada en las

bases de datos críticas, y los servidores se encuentran ubicados en diferentes espacios

físicos y departamentos sin un procedimiento formal que establezca un criterio único para

llevarlo a cabo.

Se observó la falta de un repositorio ignífugo para el resguardo de la información relevante

como forma de protección alternativa para casos de desastre en la Administración Central.

4.3.12 Administración de instalaciones

Objetivo de control: La protección del equipo de cómputos y del personal, requiere de

instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y

físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto

funcionamiento.


la integridad

la disponibilidad



42

Nivel de madurez: Inicial. La organización reconoce la necesidad de contar con un

ambiente físico que proteja los recursos y el personal contra peligros naturales y causados

por el hombre. La administración de instalaciones y de equipo depende de las habilidades

de individuos clave. El personal se puede mover dentro de las instalaciones sin restricción.

La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento

del personal.

Observaciones: En los centros de cómputos visitados se observó que:

• Ausencia de políticas y normas relativas al registro de ingreso y egreso de personas al

CPD.

• En el Departamento de Procesos Automáticos, que tiene su propio Centro de

Procesamiento de Datos, se encontraron las 2 UPS7 existentes, fuera de servicio.

• Paredes con tabiques de madera.

• Los matafuegos eran de tipo ABC y se encontraron vencidos, posteriormente fueron

reemplazados por los de tipo Halon Clean.8, que también están fuera de las normas

vigentes.

• La seguridad de acceso depende solamente de cerraduras estándar.

• No se controlan ni se llevan registros de los factores ambientales como la temperatura y

humedad.

• Se han hallado deficiencias en el sistema de suministro eléctrico del edificio central, y

se presentan los siguientes riesgos:

o Falta de generadores eléctricos para interrupciones prolongadas de suministro.

o Ausencia un sitio alternativo de procesamiento.

o Falta de luces de emergencia en cada uno de los tableros (planta baja y

subsuelo).

7 UPS (Uninterruptible Power Supply) dispositivo que provee energía eléctrica cuando la fuente principal de energía se interrumpe. 8 Desarrollados a fines de 1940, estos gases se constituyeron en los compuestos más efectivos para combatir el fuego. Actualmente no se utilizan ya que en la atmósfera superior, los halones destruyen más ozono que los cloroflurcarbonados y sus concentraciones en ese medio, si bien son pequeñas, se duplican cada cinco años.


43

o Los accesos a los tableros de la planta baja se encuentran obstruidos por objetos

inflamables (cajas de cartón, estantes de madera, mesada con vidrio, armario de

madera, etc.).

o En el primer subsuelo se encuentran 2 bombas de agua en cercanías de las

llaves de corte de las 2 cámaras, cuyo acceso está obstruido por objetos que

interrumpen una rápida acción en caso de emergencia.

4.3.13 Administración de operaciones

Objetivo de control: Un procesamiento completo y apropiado de la información requiere

su efectiva administración y el mantenimiento del hardware involucrado. Este proceso

incluye la definición de políticas y procedimientos de operación para una administración

efectiva del procesamiento programado, protección de datos de salida sensitivos,

monitoreo de infraestructura y mantenimiento preventivo de hardware.

Este objetivo de control afecta primariamente:

la efectividad

la eficiencia


la integridad

la disponibilidad


Nivel de madurez: Inicial. El Organismo reconoce la necesidad de estructurar las

funciones de soporte de TI. Se establecen algunos procedimientos estándar y las

actividades de operaciones son de naturaleza reactiva. La mayoría de los procesos de

operación son programados de manera informal y el procesamiento de peticiones se acepta

sin validación previa. Puede ocurrir que las computadoras, sistemas y aplicaciones que

soportan los procesos del negocio no están disponibles, se interrumpen o retrasan.

Observaciones: No hay políticas ni procedimientos formales de operación, necesarios

para una efectiva administración del procesamiento.


44

4.4 MONITOREAR Y EVALUAR

4.4.1 Monitorear y evaluar el desempeño de TI

Objetivo de control: Una efectiva administración del desempeño de TI requiere un

proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores

de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditivas

cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas

correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.


la efectividad

la eficiencia


la confidencialidad

la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar

información sobre los procesos de monitoreo. No se han identificado procesos estándar de

recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de

acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI

específicos. La función de contabilidad monitorea mediciones financieras básicas para TI.

Observaciones: Falta establecer un marco de trabajo de monitoreo general que abarque a

todas las áreas de TI y un enfoque que definan el alcance, la metodología y el proceso a

seguir para medir la calidad en la entrega de servicios. Este marco debe estar integrado con

un sistema de administración de gestión (tablero de control con indicadores) que permita

comparar en forma periódica el desempeño contra métricas establecidas en un sistema de

calidad (SAC), realizar análisis de la causa origen e iniciar medidas correctivas para

resolver los desvíos que puedan presentarse.


45

4.4.2 Monitorear y evaluar el control interno

Objetivo de control: Establecer un programa de control interno efectivo para TI requiere

un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de

las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por

terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad

respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y

regulaciones aplicables.


la efectividad

la eficiencia


la confidencialidad

la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de Madurez: No conforma. El Organismo carece de procedimientos para monitorear

la efectividad de los controles internos. Los métodos de reporte de control interno

gerenciales no existen. Falta concientización sobre la seguridad operativa y el

aseguramiento del control interno de TI.

Observaciones: No se ha implantado un marco de trabajo formal de control interno de TI

que pueda evaluarse posteriormente, por lo tanto se carece de métricas que permitan

verificar el logro de los objetivos de control interno para los procesos de TI, identificar las

acciones de mejoramiento y reportar sus excepciones.

En relación al control interno para terceros, en algunos contratos las cláusulas de

cumplimiento son poco precisas y se verificaron situaciones de legítimo abono.

No se han suministrado informes previos de auditoría referido a TI.


46

4.4.3 Garantizar el cumplimiento con requerimientos externos

Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del

establecimiento de un proceso independiente de revisión para garantizar el cumplimiento

de las leyes y regulaciones. Este proceso incluye la definición de una declaración de

auditoría, independencia de los auditores, ética y estándares profesionales, planeación,

desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.

El propósito de este proceso es proporcionar un aseguramiento positivo relativo al

cumplimiento de TI de las leyes y regulaciones.


el cumplimiento


la confiabilidad


Nivel de Madurez: Inicial. Existe el entendimiento de la necesidad de cumplir con los

requerimientos externos y la necesidad se comunica. En los casos en que el cumplimiento

se ha convertido en un requerimiento recurrente, como en los reglamentos regulatorios o en

la legislación de privacidad, se han desarrollado procedimientos individuales de

cumplimiento y se siguen año a año. No existe, sin embargo, un enfoque estándar. Hay

mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son

posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los

temas de cumplimiento.

Observaciones: Se ha hallado debilidades en el cumplimiento a la siguiente normativas:

Resolución SIGEN N° 48/2005 “Pautas de Control Interno de TI” en cuanto a la

o Organización Informática

o Plan Estratégico de TI

o Arquitectura de la Información

o Políticas y Procedimientos

o Administración de Proyectos

o Desarrollo, Mantenimiento o Adquisición de Software de Aplicación


47

o Adquisición y Mantenimiento de la Infraestructura Tecnológica

o Seguridad, Servicios de Procesamiento y/o Soporte Prestados por Terceros

o Servicios de Internet/Extranet/Intranet

o Monitoreo de los Procesos

o Auditoría Interna de Sistemas

Ley 24156. Está creada la Unidad de Auditoría Interna pero no se han cubierto los

cargos.

Disposición ONTI – SGP 6/2005 Modelo de política de seguridad de la

información para organismos de la Administración Pública Nacional de la

Secretaría de la Gestión Pública.

o Organización de la Seguridad

o Clasificación y Control de Activos

o Seguridad del Personal

o Seguridad Física y Ambiental

o Gestión de Comunicaciones y Operaciones

o Control de Accesos

o Desarrollo y Mantenimiento de Sistemas

o Administración de la Continuidad de las Actividades del Oragnismo

o Cumplimiento

Decreto 375/2005 Plan Nacional de Gobierno Electrónico. Los Organismos deben

presentar ante la Secretaria de Gestión Pública un informe de “Diagnóstico de la

situación del Organismo con respecto al Plan Nacional de Gobierno Electrónico” y

designación de un enlace ante la misma.

ONTI Nº 69/2011 “Pautas de accesibilidad para sitios web”. Ver análisis del sitio

web, en “B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y

LOS SERVICIOS DE TI ASOCIADOS”.


48

4.4.4 Proporcionar gobierno de TI

Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo,

incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades

organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con

las estrategias y objetivos del Organismo.


la efectividad

la eficiencia


la confidencialidad

la integridad

la disponibilidad

el cumplimiento

la confiabilidad


Nivel de Madurez: Inicial. Se reconoce que el tema del gobierno de TI existe y que debe

ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El

enfoque de la gerencia es reactivo y solamente existe una comunicación no formal sobre

los temas y los enfoques para resolverlos.

Observaciones: Falta establecer un marco de gobierno de TI con un entorno de control

con prácticas inequívocas que aseguren:

El alineamiento de TI en el cumplimiento de las metas estratégicas del Organismo.

Tratamiento uniforme para la administración de todos los proyectos de TI.

El cumplimiento de leyes y regulaciones.

Medir la contribución de TI a los objetivos estratégicos del Organismo.

Rendición de cuentas.

Correcta administración de los programas de inversión.


49

Esquema de monitoreo que permita medir el desempeño y la correcta asignación de

los recursos y si los objetivos perseguidos son alcanzados o no, y permitan acciones

correctivas.

Evaluación periódica de riesgos, que permitan reportar aquellos relacionados con

TI y su impacto en la posición de riesgos de la organización.

B. EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y LOS

SERVICIOS DE TI ASOCIADOS

1. El Proceso Informático Meteorológico propio del SMN

El relevamiento realizado desde la captura de la información en las estaciones hasta su

publicación en la página web contiene debilidades de control a causa de los diversos

procesos que intervienen.

Hay ingresos manuales, mediante formularios web y correos electrónicos. Los ingresos de

información automatizados se realizan utilizando:

Sistemas Propios

Una aplicación denominada “Sistema de Observación Meteorológica (SOM)”,

desarrollada sobre un sistema operativo muy antiguo.

Un “Sistema de Visualización de Información Meteorológica Aeronáutica

(SAVIMA)”, que recibe información pero no la transmite y que presenta problemas

similares a la aplicación anterior.

Sistema “Parser (clasificador de SYNOP9 u otros mensajes)”,

Sistema de Pronósticos (modelos), 9 SYNOP (Surface Synoptic Observations traducido como observaciones sinópticas en superficie) es un

código numérico (llamado FM-12 por la Organización Meteorológica Mundial), usado para reportar

observaciones meteorológicas hechas por estaciones meteorológicas en superficie tanto así como por

estaciones meteorológicas automáticas.

Los reportes SYNOP, a menudo, son enviados cada seis, tres o una hora, a través de onda corta. Estos

reportes consisten en grupos de números y barras, donde se describe el estado del tiempo en la estación,

incluidos los datos de temperatura, presión atmosférica y visibilidad.


50

Sistema de recepción y transmisión de mensajes MSS

Estos sistemas están sin mantenimiento, ya que el área de TI no tiene posee los

antecedentes de su desarrollo y no existen los programas fuentes ni documentación. Por

otro lado, los sistemas, que se comunican por interfaces automáticas y manuales en

algunos casos, pueden provocar errores a causa de cortes del sistema de comunicaciones

contratado y la actualización tardía de los datos luego de su reconexión.

Vinculo a un Sistema externo:

Vuelco de datos al sistema para mensajería segura llamado Sistema de Manejo de

Mensajes Aeronáuticos (AMHS, por sus siglas en inglés, también conocido como

ATS Message Handling System Servicio de Manejo de Mansajes para Servicios de

Tráfico Aéreo), de uso oficial para la aeronavegación comercial, cuyo

mantenimiento está a cargo de la Fuerza Aérea o de la Administración Nacional de

Aviación Civil (ANAC).

Hay ciertos procesos automáticos que vuelcan información en forma directa a la página

web, sin un proceso de validación previa.

Los enlaces de comunicaciones de baja velocidad presentan continuas interrupciones lo

que afecta la actualización de la página web y genera riesgos de inconsistencias en el

encolamiento de la información y la posterior retransmisión de datos, con el riesgo de no

tener información oportuna para la aviación comercial.

Estos procedimientos carecen de pistas de auditoría que permitan verificar el estado de la

transferencia de información entre los diversos sistemas o aplicaciones

Se captura también información desde un satélite ubicado a 36.000 km de la Tierra, del

cual el SMN recibe las imágenes digitales que luego son publicadas en la página web. Para

el tratamiento de estas imágenes se utiliza un software llamado TeraScan, no integrado al

resto del sistema meteorológico e instalado en la oficina de Sensores Remotos, pudiendo la

página web tener duplicación de datos.

Hallazgos en los lugares de captura de información del SMN:


51

Estación Meteorológica Aeroparque Metropolitano:

Se halló operativa una aplicación desarrollada en un sistema operativo antiguo y sin

mantenimiento.

No tiene servicio de Internet.

El personal no posee cuentas de correo electrónico institucional.

OVM (Oficina de Vigilancia Meteorológica), Aeroparque Metropolitano:

Repetidos cortes del servicio de Internet, ésta situación, se subsana utilizando la

conexión de aeroparque, de menor ancho de banda al contratado.

El gabinete donde están instalados los equipos de la red informática provista por el

proveedor de comunicaciones, no posee seguridad física y se encontraba abierto,

con falta de mantenimiento y limpieza. Se halló un solo matafuego, con su carga

vencida, no apto para combatir el fuego en este tipo de instalaciones dado que su

uso afectaría los componentes electrónicos.

La red informática no está conectada al servicio de emergencia del aeroparque.

El sistema SAVIMA tiene una tecnología constructiva y funcional desactualizada

(Windows 95 y Visual Basic), no hay disponibilidad de los programas fuentes y

está sin mantenimiento.

Observatorio Central de Buenos Aires (OCBA - Villa Ortuzar):

Se halló:

Personal propio realiza captura de información y resguardo de información.

Inestabilidad de los enlaces de comunicaciones satelitales y un servicio de Internet

deficiente, así como enlaces de muy baja velocidad (64 Kbytes).

Existencia de equipamiento con software operativo obsoleto, (PC con Windows

98), que recibe y transmite la información en forma automática al conjunto de los

procesos informáticos meteorológicos.


52

2. Sitio Web

Desde el año 1995 el SMN cuenta con sitio institucional.

El siguiente gráfico muestra una estadística de visitas cuyo promedio es de

aproximadamente 10 (diez) millones de visitas mensuales.

Fuente: SMN

El siguiente cuadro muestra por cada ítem el grado de cumplimiento del sitio web del SMN

de los parámetros establecidos por los Estándares Tecnológicos para la Administración

Pública (ETAPs), la Res. ONTI Nº 69/2011 “Pautas de Accesibilidad para sitios Web” y la

Resolución SIGEN N° 48/2005.


53

Sitio Web Servicio Meteorológico Nacional (http://www.smn.gov.ar/) 1) Contenidos Básicos Si/No Observaciones Portada Si Autoridades Si Nombre Si Foto No Cargo Si Teléfono No Dirección No Correo electrónico Si El link de contacto inicia outlook Organigrama Si Marco Normativo Si Misiones y Funciones (Objetivos) Si Descripción de Proyectos en curso Si Presupuesto Nacional No Novedades Si Publicaciones Si Versiones en otros idiomas No Dirección (Postal y Teléfonos) No Dirección Electrónica Webmaster Si Con un asistente de correo Enlaces a Redes Sociales Si Exploradores básicos Si 2) Facilidades Básicas Mapa del Sitio No Enlaces Rotos No Enlace al inicio Si Foro No Buscador Si Boletín Informativo Si Consulta para el ciudadano Si Documentación Si Orientación Si Tamaño de las descargas Si 3) Accesibilidad Encabezamientos (filas y columnas) Si Llenado de formularios en línea No


54

Marcos con títulos Si Claridad de Jerarquía Si Cancelación de operaciones en línea No Consistencia de elementos visuales Si Claridad de contenidos Si

Del cuadro precedente y el relevamiento realizado surge que:

No existe una intranet única en el Organismo, sino que coexisten dos en

funcionamiento

1. En los departamentos de DPA y Sistemas,

2. La denominada “IntraMet” (una red interna del SMN).

Esta circunstancia puede ocasionar

a) falta de integración

b) duplicación de datos

No existe un administrador o responsable de contenidos. Cada gerencia o sector

(climatología, sensores remotos, etc.) actualiza el sitio web oficial sin un control y

visión integradora.

No existe una aplicación para celulares (App de meteorología).

El texto no puede ser interpretado por sintetizadores de voz o dispositivos Braille.

El diseño correspondiente a los enlaces “Alertas en el país” e “Informe especial en

el país” no es el adecuado.

Tanto la página web como la intranet en todos sus modos no tienen interacción con

el público o con usuarios propios del SMN.


55

5. COMUNICACIÓN DEL PROYECTO DE INFORME Y ANÁLISIS DE LOS

DESCARGOS FORMULADOS POR EL SERVICIO METEOROLÓGICO

NACIONAL

Con fecha 8 de enero de 2014 el Servicio Meteorológico Nacional envía su descargo,

manifestando coincidir con las observaciones realizadas en el informe. Así mismo, el

organismo destaca que ha comenzado a elaborar un plan de acción tendiente a implementar

las medidas para subsanar los hallazgos indicados, estimándose que la elaboración,

adecuación e implementación general de los sistemas informáticos de la institución

insumirá un tiempo aproximado de 2 años con etapas parciales semestrales. Las mejoras

que de dicho trabajo resulten, se evaluarán en una próxima auditoría.


56

6. RECOMENDACIONES

Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos,

independientemente del hecho de que ya hayan sido parcialmente puestas en práctica.

A. ANÁLISIS BAJO NORMAS COBIT

6.1. PLANIFICAR Y ORGANIZAR

6.1.1. Definir un plan estratégico para TI

El plan estratégico de TI debe incluir: el presupuesto de la inversión/operativo, las fuentes

de financiamiento, la estrategia de procuración, la estrategia de adquisición, y los

requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para permitir

la definición de planes tácticos de TI.

Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI. Estos

deben establecer las iniciativas y los requerimientos de recursos requeridos por TI, y cómo

el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los

planes tácticos deben tener el detalle suficiente para permitir la definición de planes

operativos. Administrar de forma activa los planes tácticos y las iniciativas de TI

establecidas por medio del análisis de la cartera de proyectos y servicios. Esto requiere

encontrar el equilibrio entre requerimientos y recursos, comparándolos con el logro de

metas estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en

caso de desviaciones.

Administrar el grupo de proyectos de TI de forma proactiva y el conjunto de programas de

inversión de TI requerido para lograr objetivos estratégicos y específicos del organismo

por medio de la identificación, definición, evaluación, asignación de prioridades, selección,

inicio, administración y control de los programas. Esto incluye: clarificar los resultados

deseados, garantizar que los objetivos de los programas den soporte para alcanzar las metas

establecidas, entender el alcance completo del esfuerzo requerido, definir una rendición de

cuentas clara, asignar recursos y financiamiento y delegar autoridad.


57

Administrar el valor de TI para garantizar que las inversiones en TI contengan programas

con metas posibles de alcanzar. Reconocer que existen inversiones obligatorias, de

sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la

asignación de fondos. Los servicios de TI se deben ejecutar contra acuerdos de niveles de

servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios y del

control de los costos debe ser claramente asignada y monitoreada.

Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar entre

los imperativos de éstas y la tecnología, de tal modo que se puedan establecer prioridades

concertadas.

Evaluar el desempeño actual, el de los planes existentes y de los sistemas de información

en términos de su contribución a los objetivos estratégicos del organismo, su

funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades.

6.1.2. Definir la arquitectura de información

Establecer y mantener un modelo de información que facilite el desarrollo de aplicaciones

y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como

se describen en el Plan Estratégico. El modelo facilita la creación, uso y compartición

óptimas de la información por parte del organismo de una manera que conserva la

integridad y es flexible, funcional, rentable, oportuna, segura y tolerante a fallas.

Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis de datos.

El diccionario facilita la compartición de elementos de datos entre las aplicaciones y los

sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del

organismo, y previene la creación de elementos de datos incompatibles.

Establecer un esquema de clasificación de datos que aplique a todo el organismo, basado

en la criticidad y sensibilidad de la información. Este esquema incluye detalles acerca de la

propiedad de datos, la definición de niveles apropiados de seguridad y de controles de

protección, como también una breve descripción de los requerimientos de retención y

destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para

aplicar controles como el control de acceso, archivo o encripción.


58

Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los

datos almacenados en formato electrónico, tales como bases de datos y archivos.

6.1.3. Determinar la dirección tecnológica

Planear la dirección tecnológica. Analizar las tecnologías existentes y emergentes y

planear cuál dirección tecnológica es la apropiada para materializar la estrategia de TI y la

arquitectura de sistemas del organismo. También identificar en el plan, qué tecnologías

tienen el potencial de crear oportunidades de nuevas prestaciones. El plan debe abarcar la

arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los

aspectos de contingencia de los componentes de la infraestructura.

Elaborar un Plan de infraestructura tecnológica. Crear y mantener un plan de

infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI.

El plan se basa en la dirección tecnológica e incluye acuerdos para contingencias y

orientación para la adquisición de recursos tecnológicos. También debe tomar en cuenta

los cambios en el ambiente competitivo, las economías de escala en la obtención de equipo

de sistemas de información, y la mejora en la interoperabilidad de las plataformas y las

aplicaciones.

Monitorear tendencias y regulaciones futuras. Establecer un proceso para monitorear las

tendencias del sector/industria, tecnológicas, de infraestructura, legales y regulatorias.

Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura

tecnológica de TI.

Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas consistentes,

efectivas y seguras para toda la organización, brindar directrices tecnológicas, asesoría

sobre los productos de la infraestructura y guías sobre la selección de la tecnología, y

medir el cumplimiento de estos estándares y directrices.

Establecer un consejo de arquitectura de TI que proporcione directrices sobre la

arquitectura y asesoría sobre su aplicación y que verifique el cumplimiento. Esta entidad

orienta el diseño de la arquitectura de TI garantizando que facilite la estrategia adoptada y

tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos

aspectos se relacionan con la arquitectura de la información.


59

6.1.4. Definir los procesos, organización y relaciones de TI

Ubicación organizacional de la función de TI. Ubicar a la función de TI dentro de la

estructura organizacional general, en especial en función de la criticidad que representa

para los objetivos estratégicos del organismo y el nivel de dependencia operativa.

Estructura organizacional. Establecer una estructura organizacional de TI interna y

externa que refleje las necesidades de la organización. Además implementar un proceso

para revisar la estructura organizacional de TI de forma periódica para ajustar los

requerimientos de personal y las estrategias internas para satisfacer los objetivos esperados

y las circunstancias cambiantes.

Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles como las

responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el

personal de TI y los usuarios finales. Definir las responsabilidades y la rendición de

cuentas para alcanzar los objetivos estratégicos del organismo.

Responsabilidad del aseguramiento de calidad (QA) de TI. Asignar la responsabilidad para

el desempeño de la función de QA. Asegurar que la ubicación organizacional, las

responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos del

organismo.

Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la propiedad

y la responsabilidad de los riesgos relacionados con TI a un nivel apropiado. Definir y

asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad

específica de la seguridad de la información, la seguridad física y el cumplimiento. Puede

ser necesario asignar responsabilidades adicionales de administración de la seguridad a

nivel de sistemas específicos. Obtener la posición de la alta dirección en relación a los

niveles aceptables de riesgo de TI que se quieren asumir y la aprobación de cualquier

riesgo residual.

Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y

herramientas que le permitan asumir sus responsabilidades de propiedad sobre los datos y

los sistemas de información. Las áreas responsables, dueña de los datos y sistemas,

deberán tomar decisiones sobre la clasificación de la información y cómo protegerlos.


60

Implantar prácticas adecuadas de supervisión dentro de la función de TI para garantizar

que los roles y las responsabilidades se ejerzan de forma apropiada. Evaluar si todo el

personal cuenta con la suficiente autoridad para ejecutarlos y para revisar en general los

indicadores clave de desempeño.

Implantar una división de roles y responsabilidades que reduzca la posibilidad de que un

solo individuo afecte un proceso crítico. La máxima autoridad de TI debe asegurar de que

el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones

respectivas.

Evaluar los requerimientos de personal de forma regular o cuando existan cambios

importantes en las necesidades estratégicas del organismo, operativos o de TI para

garantizar que la función de TI cuente con un número suficiente de personal competente, el

entrenamiento cruzado-funcional, la rotación de puestos y las oportunidades de personal

externo.

Definir e identificar al personal clave de TI y minimizar la dependencia en ellos. Debe

existir un plan para contactar al personal clave en caso de emergencia.

Políticas y procedimientos para personal contratado. Definir e implantar políticas y

procedimientos para controlar las actividades de los consultores u otro personal contratado

por la función de TI.

Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre

la función de TI y otras funciones dentro y fuera de la misma, tales como la Dirección

General, las gerencias ejecutivas, usuarios y proveedores de servicios de TI.

Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI.

Este marco incluye estructura y relaciones de procesos de TI, propiedad, medición del

desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Esto

proporciona integración entre los procesos que son específicos para TI, administración de

la cartera de proyectos del organismo. El marco de trabajo de procesos de TI debe estar

integrado en un sistema de administración de calidad y en un marco de trabajo de control

interno.


61

Establecer un comité estratégico de TI que deberá asegurar que el gobierno de TI, como

parte del gobierno del organismo, que asesore sobre la dirección estratégica y revise las

inversiones principales.

Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI para:

Determinar las prioridades de los programas de inversión de TI alineadas con la

estrategia y prioridades de los objetivos estratégicos del organismo.

Dar seguimiento de los proyectos y resolver los conflictos de recursos

Monitorear los niveles y las mejoras del servicio.

6.1.5. Administrar la inversión en TI

Establecer un marco de Administración Financiera para TI que impulse la presupuestación,

con base en el grupo de proyectos de inversión en bienes y servicios. Comunicar los

aspectos de costo y beneficio en los procesos de priorización de presupuestos y

administración de costos.

Implantar un proceso de toma de decisiones para dar prioridades a la asignación de

recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal de

maximizar la contribución de TI y optimizar el retorno de inversión de los proyectos de

inversión y otros servicios y activos de TI.

Establecer un proceso para elaborar y administrar un presupuesto que refleje las

prioridades establecidas en los programas de inversión en TI, incluyendo los costos

recurrentes de operar y mantener la infraestructura actual. Este debe dar soporte al

desarrollo de un presupuesto general de TI y de presupuestos para programas individuales,

con énfasis especial en los componentes de TI de esos programas. El proceso debe permitir

la revisión, el refinamiento y la aprobación constantes del presupuesto general y de los

presupuestos de programas individuales.

Implantar un proceso de administración de costos que compare los costos reales con los

presupuestados. Los costos se deben monitorear y reportar. Cuando existan desviaciones,

éstas se deben identificar de forma oportuna y evaluar el impacto. Junto con el

patrocinador del proyecto, se deberán tomar las medidas correctivas apropiadas y, en caso

de ser necesario, el programa de inversión se deberá actualizar.


62

Implantar un proceso de monitoreo de beneficios que permita medir la contribución

esperada de TI a los objetivos estratégicos, ya sea como un componente de programas de

inversión en TI o como parte de un soporte operativo regular, que debe identificar, acordar,

monitorear y reportar. Los reportes se deben revisar y, en donde existan oportunidades para

mejorar la contribución de TI, se deben definir y tomar las medidas apropiadas. Siempre

que los cambios en la contribución de TI tengan impacto directo en el programa o a otros

proyectos relacionados, el programa de inversión deberá ser actualizado.

Desarrollar un presupuesto por centro de costos y asociado al presupuesto

6.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI

Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento y el

entendimiento de los objetivos estratégicos del organismo y de TI se comunican a toda la

organización. La información comunicada debe poseer una visión claramente articulada

entre los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de

ética y conducta, políticas y procedimientos. Estos deben incluirse dentro de un programa

de comunicación continua, apoyado por la alta dirección con acciones. La dirección debe

dar especial atención a comunicar la conciencia sobre que la seguridad de TI es

responsabilidad de todos.

Implantación de políticas de TI. Asegurarse de que las políticas de TI se implantan y

comunican a todo el personal relevante de tal forma que estén incluidas y sean parte

integral de las operaciones organizacionales.

Ambiente de políticas y de control. Definir los elementos de un ambiente de control para TI

incluyendo las expectativas/requerimientos respecto a la entrega de valor proveniente de

las inversiones en TI, el nivel de tolerancia aceptado al riesgo, la integridad, los valores

éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El

ambiente de control se debe basar en una cultura que apoya la entrega de valor, mientras

que al mismo tiempo administra riesgos significativos, fomenta la colaboración entre

distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora continua de

procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.


63

Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar

mantenimiento a un marco de trabajo que establezca el enfoque del organismo hacia los

riesgos y hacia el control interno. Este debe estar integrado por el marco de procesos de TI,

el sistema de administración de calidad y debe cumplir los objetivos generales del

organismo. Debe tener como meta maximizar el éxito de la entrega de valor mientras

minimiza los riesgos para los activos de información por medio de medidas preventivas, la

identificación oportuna de irregularidades, la limitación de pérdidas y la recuperación

oportuna de activos.

Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto de

políticas que apoyen la estrategia de TI. Estas políticas deben incluir el propósito, los roles

y responsabilidades, los procesos de excepción y referencias a procedimientos, estándares

y directrices. Las políticas deben incluir temas clave como calidad, seguridad,

confidencialidad, controles internos y propiedad intelectual. Se deben revisar regularmente.

6.1.7. Administrar los recursos humanos de TI

Reclutamiento y Retención del Personal. Asegurarse que los procesos de reclutamiento del

personal de TI estén de acuerdo a las políticas y procedimientos generales del personal. La

gerencia debe implementar procesos para garantizar que el organismo cuente con una

fuerza de trabajo posicionada de forma apropiada y que tenga las habilidades necesarias

para alcanzar las metas del organismo.

Competencias del personal. Verificar de forma periódica que el personal tenga las

habilidades para cumplir sus roles con base en su educación, entrenamiento y/o

experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar que se

les dé mantenimiento, usando programas de calificación y certificación según sea el caso.

Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los roles,

responsabilidades y retribuciones del personal, incluyendo el requisito de adherirse a las

políticas y procedimientos administrativos, así como al código de ética y prácticas

profesionales. Los términos y condiciones de empleo deben enfatizar la responsabilidad del

empleado respecto a la seguridad de la información, al control interno y al cumplimiento


64

regulatorio. El nivel de supervisión debe estar de acuerdo con la sensibilidad del puesto y

el grado de responsabilidades asignadas.

Entrenamiento del personal de TI. Proporcionar a los empleados de TI la orientación

necesaria al momento de la contratación y entrenamiento continuo para conservar su

conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al

nivel requerido para alcanzar las metas del organismo.

Dependencia sobre los individuos. Minimizar la exposición de dependencias críticas sobre

individuos clave por medio de la documentación y divulgación del conocimiento, como

también la planeación de la sucesión y rotación de personal.

Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI para el personal

que cubra funciones críticas. Este criterio también debe aplicarse a los contratistas y

proveedores.

Evaluación del desempeño del empleado. Es necesario que las evaluaciones de desempeño

se realicen periódicamente, comparando contra los objetivos individuales derivados de las

metas del organismo, estándares establecidos y responsabilidades específicas del puesto.

Los empleados deben recibir adiestramiento sobre cómo desempeñarse y conducirse, según

sea necesario.

Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los puestos,

en especial las culminaciones sea por renuncia o despido. Se debe realizar la transferencia

del conocimiento, reasignar responsabilidades y eliminar los privilegios de acceso, de tal

modo que los riesgos se minimicen y se garantice la continuidad de la función.

6.1.8. Administrar la calidad

Se debe establecer un Sistema de Administración de la Calidad (SAC) que proporcione un

enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que

esté alineado con los objetivos estratégicos del organismo. El SAC debe identificar los

requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e

interacción, así como las políticas, criterios y métodos para definir, detectar, corregir y

prever las no conformidades. El SAC debe definir la estructura del organismo para la

administración de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas


65

las áreas clave deben desarrollar sus planes de calidad de acuerdo a los criterios y políticas,

y registran los datos. Los datos del SAC deben ser monitoreados y medidos para medir la

efectividad y mejorarla cuando sea necesario.

Se deben identificar y mantener estándares, procedimientos y prácticas para los procesos

clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del SAC. Se

deben usar las mejores prácticas como referencia al mejorar y adaptar las prácticas de

calidad del organismo.

Se deben adoptar y mantener estándares para todo desarrollo y adquisición que sigue el

ciclo de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la

documentación de hitos clave con base en criterios de aprobación acordados. Los temas a

considerar incluyen estándares de codificación de software, normas de nomenclatura;

formatos de archivos, estándares de diseño para esquemas y diccionario de datos;

estándares para la interfaz de usuario; interoperabilidad (como impacta la implantación de

una nueva funcionalidad en el funcionamiento total); eficiencia de desempeño de sistemas;

escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos;

planes de pruebas; y pruebas unitarias, de regresión y de integración.

La administración de la calidad debe enfocarse en los usuarios, al determinar sus

requerimientos y alinearlos con los estándares y prácticas de TI. Se deben definir los roles

y responsabilidades respecto a la resolución de conflictos entre las áreas usuarias y la

organización de TI.

Se debe elaborar y comunicar un plan global de calidad que promueva la mejora continua,

de forma periódica a través de mediciones para monitorear el cumplimiento continuo del

SAC, así como el valor que el SAC proporciona. La medición, el monitoreo y el registro de

la información deben ser usados por el dueño del proceso para tomar las medidas

correctivas y preventivas apropiadas.

6.1.9. Evaluar y administrar los riesgos de TI

Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al

marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación


66

con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del

organismo.

Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se

aplique para garantizar resultados apropiados. Esto debe incluir la determinación del

contexto interno y externo de cada evaluación de riesgos, la meta de la evaluación y los

criterios contra los cuales éstos se evalúan.

Se deben identificar todos aquellas amenazas y vulnerabilidades que tengan un impacto

potencial sobre las metas o las operaciones del organismo, aspectos de estratégicos,

regulatorios, legales, tecnológicos, de recursos humanos y operativos. Determinar la

naturaleza del impacto y dar mantenimiento a esta información.

Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados,

usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los

riesgos inherentes y residuales se debe determinar de forma individual.

Identificar los propietarios de los riesgos y a los dueños de procesos afectados, y elaborar y

mantener respuestas que garanticen que los controles y las medidas de seguridad mitigan la

exposición de forma continua. La respuesta a los riesgos debe identificar estrategias tales

como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar los costos y

beneficios y seleccionar aquellas que limiten los riesgos residuales dentro de los niveles de

tolerancia previamente definidos.

Mantenimiento y monitoreo de un plan de acción de riesgos. Asignar prioridades y planear

las actividades de control a todos los niveles para implantar las respuestas a los riesgos,

identificadas como necesarias, incluyendo la determinación de costos, beneficios y la

responsabilidad de la ejecución. Buscar la aprobación para las acciones recomendadas y la

aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas

son propiedad del dueño o dueños de los procesos afectados. Monitorear la ejecución de

los planes y reportar cualquier desviación a la alta dirección.


67

6.1.10. Administrar proyectos

Preparar un plan de administración de la calidad que describa el sistema de calidad del

proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal

por todas las partes interesadas para luego ser incorporado en el plan integrado.

Establecer un sistema de control de cambios de modo tal que todas las modificaciones a la

línea base o indicadores al inicio del proyecto, como por ejemplo costos, cronograma,

alcance y calidad, se revisen, aprueben e incorporen de manera apropiada al plan integrado,

de acuerdo al marco de trabajo de gobierno del programa y del proyecto.

Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas

nuevos o modificados durante la planeación del proyecto e incluirlos en el plan integrado.

Las tareas deben proporcionar la seguridad de que los controles internos y las

características de seguridad satisfagan los requerimientos definidos.

Medir el desempeño del proyecto contra los criterios clave tales como el alcance, los

tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con respecto al

plan; evaluar su impacto y sobre el programa global; reportar los resultados a los

interesados clave; y recomendar, implantar y monitorear las medidas correctivas, según sea

requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto.

Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan

proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier

actividad sobresaliente requerida para alcanzar los resultados planeados del proyecto y los

beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas

en futuros proyectos y programas.

6.2. ADQUIRIR E IMPLEMENTAR

6.2.1. Adquirir o desarrollar y mantener software aplicativo

Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que

contemple:

Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de

alto nivel para desarrollo de software, tomando en cuenta las directivas


68

tecnológicas y la arquitectura de información dentro del organismo, y aprobar las

especificaciones para garantizar que el diseño de alto nivel responde a los

requerimientos.

Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del

software de aplicación. Definir el criterio de aceptación de los requerimientos para

garantizar que corresponden al diseño de alto nivel. Los conceptos a considerar

incluyen, pero no se limitan a, definir y documentar los requerimientos de entrada

de datos, interfaces, la interface de usuario, el diseño para la recopilación de datos

fuente, la especificación de programa, definir y documentar los requerimientos de

archivo, requerimientos de procesamiento, definir los requerimientos de salida,

control y auditabilidad, seguridad y disponibilidad, y pruebas. Realizar una

reevaluación para cuando se presenten discrepancias técnicas o lógicas

significativas durante el desarrollo o mantenimiento.

Control y auditabilidad de las aplicaciones. Asegurar que los controles se

traduzcan correctamente de manera que el procesamiento sea exacto, completo,

oportuno, aprobado y auditable. Los aspectos que se consideran especialmente son:

mecanismos de autorización, integridad de la información, control de acceso,

respaldo y diseño de pistas de auditoría.

Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las

aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos

identificados, de acuerdo con la clasificación de datos, la arquitectura de seguridad

en la información del organismo y el perfil de riesgo. Los aspectos a considerar

incluyen derechos de acceso y administración de privilegios, protección de

información sensible en todas las etapas, autenticación e integridad de las

transacciones y recuperación automática.

Configuración e implantación de software aplicativo adquirido. Personalizar e

implantar la funcionalidad automatizada adquirida con el uso de procedimientos de

configuración, aceptación y prueba. Los aspectos a considerar incluyen el

cumplimiento de los términos contractuales, la arquitectura de información del


69

organismo, las aplicaciones existentes y su interoperabilidad con estas, los sistemas

de bases de datos, la eficiencia en el desempeño del sistema, la documentación y

los manuales de usuario, integración y planes de prueba.

Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo

similar al de desarrollo de sistemas nuevos en el caso que se presenten

modificaciones importantes en los sistemas existentes, que resulten en un cambio

significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar

incluyen análisis de impacto, relación costo/beneficio y administración de

requerimientos.

Desarrollo de software aplicativo. Garantizar que la funcionalidad de

automatización se desarrolla de acuerdo con las especificaciones de diseño, los

estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar

y autorizar cada etapa clave del proceso de desarrollo de software aplicativo,

verificando la finalización de las revisiones de funcionalidad, desempeño y calidad.

Los aspectos a considerar incluyen aprobar las especificaciones de diseño que

satisfacen los requerimientos funcionales y técnicos, y las solicitudes de cambio;

verificar la compatibilidad con los sistemas existentes.

Además, garantizar que se identifican y consideran todos los aspectos legales y

contractuales para el software aplicativo que desarrollan terceros.

Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y

ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los

estándares especificados en la definición de los requerimientos y en las políticas y

procedimientos de calidad del organismo. Los aspectos a considerar incluyen

especificar el criterio de calidad y los procesos de validación y verificación,

revisión de algoritmos, código fuente y pruebas.

Administración de los requerimientos de aplicaciones. Garantizar que durante el

diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos

particulares (incluyendo todos los requerimientos rechazados), y que las


70

modificaciones se aprueban a través de un proceso establecido de administración de

cambios.

Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el

mantenimiento y pase a producción de software de aplicaciones. Los aspectos a

considerar incluyen implantación planeada y controlada, planeación de recursos,

reparación de defectos de programa y corrección de fallas, pequeñas mejoras,

mantenimiento de documentación, cambios de emergencia, interdependencia con

otras aplicaciones e infraestructura, estrategias de actualización, condiciones

contractuales tales como aspectos de soporte y actualizaciones, revisión periódica

de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad.

6.2.3. Adquirir y mantener infraestructura tecnológica

Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir,

implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos

funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del

organismo. El plan debe considerar extensiones futuras para adiciones de

capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para

actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del

producto al añadir nueva capacidad técnica.

Protección y disponibilidad del recurso de infraestructura. Implantar medidas de

control interno, seguridad y auditabilidad durante la configuración, integración y

mantenimiento del hardware y del software de la infraestructura para proteger los

recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender

claramente las responsabilidades al utilizar componentes de infraestructura

sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y

evaluar su uso.

Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de

mantenimiento de la infraestructura y garantizar que se controlan los cambios, de

acuerdo con el procedimiento de administración de cambios. Incluir una revisión

periódica contra las necesidades del organismo, administración de parches y


71

estrategias de actualización, riesgos, evaluación de vulnerabilidades y

requerimientos de seguridad.

Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de

pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e

integración de aplicaciones e infraestructura totalmente independiente del ambiente

de producción, en las primeras fases del proceso de adquisición y desarrollo. Se

debe considerar la funcionalidad, la configuración de hardware y software, pruebas

de integración y desempeño, migración entre ambientes, control de la versiones,

datos y herramientas de prueba y seguridad.

6.2.4. Facilitar la operación y el uso

Marco para la documentación de sistemas. Desarrollar un plan para identificar y

documentar todos los aspectos técnicos, la capacidad de operación y los niveles de

servicio requeridos, de manera que todos los interesados puedan elaborar

procedimientos de administración, de usuario y de operación. Este marco debe

aplicarse cada vez que se produzca una actualización de aplicaciones y/o

infraestructura.

Transferencia de conocimiento. Transferir el conocimiento a niveles gerenciales

para permitirles tomar posesión del sistema y los datos, ejercer la responsabilidad

por la entrega y calidad del servicio, del control interno y de los procesos

administrativos de la aplicación. La transferencia de conocimiento incluye la

aprobación de acceso, administración de privilegios, segregación de tareas,

controles automatizados, seguridad física y archivo de la documentación fuente.

Transferencia de conocimiento a usuarios finales. Transferencia de conocimientos

para permitir que los usuarios finales utilicen con efectividad y eficiencia la

aplicación como apoyo a los procesos del Organismo. La transferencia de

conocimiento incluye el desarrollo de un plan de capacitación que abarque al

entrenamiento inicial y al continuo, así como el desarrollo de habilidades, manuales

de usuario, manuales de procedimiento, ayuda en línea, asistencia a usuarios,

identificación del usuario clave y evaluación.


72

Transferencia de conocimiento al personal de operaciones y soporte. Transferir el

conocimiento y las habilidades para permitir al personal de soporte técnico y de

operaciones que entregue, apoye y mantenga la aplicación y la infraestructura

asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio

requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial

y continuo, al desarrollo de las habilidades, los manuales de operación, los

manuales de procedimientos y escenarios de atención al usuario.

6.2.5. Adquirir recursos de TI

Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y

estándares consistente con el proceso general y la estrategia de adquisiciones del

organismo, para garantizar que la compra de infraestructura, instalaciones,

hardware, software y servicios relacionados con TI, satisfagan los requerimientos

del organismo.

Administración de contratos con proveedores. Formular un procedimiento para

establecer, modificar y concluir contratos que apliquen a todos los proveedores.

Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras,

organizacionales, documentales, de desempeño, de seguridad de propiedad

intelectual y de conclusión, así como obligaciones y cláusulas de penalización por

incumplimiento cuando no cumplan los acuerdos de niveles de servicios

previamente establecidos. Todos los contratos y las modificaciones a contratos las

deben revisar asesores legales.

Selección de proveedores. Seleccionar proveedores mediante una práctica justa y

formal para garantizar la elección del mejor basado en los requerimientos que se

han desarrollado.

Adquisición de software. Garantizar que se protegen los intereses del organismo en

todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y

obligaciones de todas las partes en los términos contractuales para la adquisición de

software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de

propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje,


73

condiciones para la actualización y aspectos de conveniencia que incluyen

seguridad, custodia y derechos de acceso.

Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del

organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer

cumplir los derechos y obligaciones de todas las partes en los términos

contractuales para la adquisición de recursos de desarrollo. Estos derechos y

obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual,

aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes,

pruebas, procesos de administración de calidad que comprenden los criterios de

desempeño requeridos, su correspondiente revisión, términos de pago, garantías,

procedimientos de arbitraje, administración de recursos humanos y cumplimiento

con las políticas de la organización.

Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y

hacer cumplir los derechos y obligaciones de todas las partes en los términos

contractuales, que comprendan los criterios de aceptación para la adquisición de

infraestructura, instalaciones y servicios relacionados. Estos derechos y

obligaciones pueden abarcar los niveles de servicio, procedimientos de

mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de

pago y procedimientos de arbitraje.

6.2.6. Administrar cambios

Establecer procedimientos de administración de cambios formales para manejar de

manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones,

para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y

servicio, y las plataformas fundamentales.

Evaluación de impacto, priorización y autorización. Garantizar que todas las

solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos

en los sistemas y su funcionalidad. Esta evaluación deberá incluir

categorización y priorización. Previo a la migración hacia producción, los

interesados correspondientes deberán establecer autorizaciones formales.


74

Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y

autorizar los cambios de emergencia que no sigan el proceso de cambio

establecido. La documentación y pruebas podrán realizarse, después de la

implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría

para su posterior revisión.

Seguimiento y reporte del estado del cambio. Establecer un sistema de seguimiento

y reporte para mantener actualizados a los solicitantes y a los interesados relevantes

del cambio, acerca del estado del mismo.

Cierre y documentación del cambio. Siempre que se implantan cambios al sistema,

actualizar el o los sistemas asociados, la documentación de usuario y

procedimientos correspondientes. Establecer un proceso de revisión para garantizar

su implantación completa.

6.2.7. Instalar y acreditar soluciones y cambios

Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al

grupo de operaciones de la función de TI de acuerdo con el plan definido de

entrenamiento e implantación y a los materiales asociados, como parte de cada

proyecto de desarrollo, implantación o modificación de sistemas de información.

Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los

principales involucrados. Dicho plan se debe basar en los estándares de toda la

organización y definir roles, responsabilidades y criterios de éxito. Debe

considerar: requerimientos de entrenamiento, instalación o actualización de un

ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo

y corrección de errores y aprobación formal.

Plan de implantación. Establecer un plan de implantación y obtener la aprobación

de los principales involucrados. Debe definir el diseño de versiones,

procedimientos de instalación, manejo de incidentes, controles de distribución,

almacenamiento de software, revisión de la versión y documentación de cambios.

Deberá también incluir medidas de respaldo y posibilidad de vuelta atrás.


75

Ambiente de prueba. Establecer un ambiente de prueba independiente. Este

ambiente debe asemejarse al ambiente de producción para permitir pruebas

acertadas. Se deben tener presentes los procedimientos para garantizar que los datos

utilizados en el ambiente de prueba sean representativos. Proporcionar medidas

adecuadas para prevenir la divulgación de datos sensibles. La documentación de los

resultados de las pruebas se debe archivar.

Conversión de sistema y datos. Garantizar que los métodos de desarrollo del

organismo contemplen para todos los proyectos de desarrollo, implantación o

modificación, todos los elementos necesarios, tales como hardware, software, datos

de transacciones, archivos maestros, interfaces con otros sistemas, procedimientos,

documentación de sistemas, etc., y sean convertidos del viejo al nuevo sistema de

acuerdo con un plan preestablecido. Se debe desarrollar y mantener pistas de

auditoría de los resultados previos y posteriores a la conversión. Los propietarios

del sistema deben verificar detalladamente la transición exitosa.

Prueba de cambios. Garantizar que se prueban los cambios de acuerdo con un plan

de aceptación definido y en base en una evaluación de impacto y de recursos que

incluya el dimensionamiento del desempeño en un ambiente separado de prueba,

por parte de un grupo de prueba independiente de los desarrolladores antes de

comenzar su uso en el ambiente de operación regular. Las pruebas paralelas o

piloto se consideran parte del plan. Los controles de seguridad se prueban y evalúan

antes de la liberación, de manera que se pueda certificar la efectividad de la

seguridad. Los planes de respaldo/vuelta atrás se deben desarrollar y probar antes

de transferir el cambio a producción.

Prueba final de aceptación. Garantizar que los procedimientos proporcionan una

evaluación formal y la aprobación de los resultados de prueba por parte de la

gerencia de los departamentos afectados del usuario y la función de TI. Las pruebas

deberán cubrir todos los componentes del sistema de información y garantizar que

los requerimientos de seguridad de la información se satisfacen para todos los


76

componentes. Los datos de prueba se deben salvar para propósitos de pistas de

auditoría y para pruebas futuras.

Transferencia a producción. Implantar procedimientos formales para controlar la

transferencia del sistema desde el ambiente de desarrollo al de pruebas, de acuerdo

con el plan de implantación. La gerencia debe requerir que se obtenga la

autorización del propietario del sistema antes del pasaje al entorno de producción.

Liberación de software. Garantizar que la liberación del software se regula con

procedimientos formales que aseguren la autorización, acondicionamiento, pruebas

de regresión, distribución, transferencia de control, seguimiento, procedimientos de

respaldo y notificación de usuario.

Distribución del sistema. Establecer procedimientos de control para asegurar la

distribución oportuna y correcta, y la actualización de los componentes aprobados

de la configuración. Esto implica controles de integridad; segregación de funciones

entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de

todas las actividades.

Registro y rastreo de cambios. Monitorear los cambios a sistemas aplicativos,

procedimientos, procesos, sistemas y a las plataformas.

Revisión posterior a la implantación. Establecer procedimientos una revisión

posterior a la implantación del sistema para evaluar y reportar si el cambio satisfizo

los requerimientos del usuario y entregó los beneficios esperados.

6.3. ENTREGAR Y DAR SOPORTE

6.3.1. Definir y administrar los niveles de servicio

Definir un marco de trabajo que brinde un proceso formal de administración de

niveles de servicio entre el usuario y el prestador de servicio. Este marco debe

incluir procesos para la creación de requerimientos, definiciones, acuerdos de

niveles de servicio, de niveles de operación y sus correspondientes fuentes de

financiamiento.


77

Definir la estructura organizacional para la administración del nivel de servicio,

incluyendo los roles, tareas y responsabilidades de los proveedores externos e

internos y de los usuarios.

Organizar y almacenar de manera centralizada la definición base de los servicios de

TI dependiendo de sus características y de los requerimientos del caso, por medio

de la implantación de un enfoque de catálogo de servicios.

Definir y acordar convenios de niveles de servicio para todos los procesos críticos

de TI con base en los requerimientos del usuario y las capacidades de TI. Deben

incluir los compromisos del usuario, los requerimientos de soporte, métricas

cualitativas y cuantitativas para la medición del servicio firmado por los

interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los

roles y responsabilidades, incluyendo la revisión del acuerdo. Los puntos a

considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento,

niveles de soporte, planeación de continuidad, seguridad y restricciones de

demanda.

Asegurar que los acuerdos de niveles de operación expliquen cómo serán

entregados técnicamente los servicios para soportar los acuerdos de los niveles

pactados de manera óptima.

Monitorear continuamente los criterios de desempeño especificados para el nivel de

servicio.

Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un

formato que sea entendible para los interesados.

Analizar las estadísticas de monitoreo para identificar tendencias positivas y

negativas tanto de servicios individuales como de los servicios en conjunto.

Revisar regularmente con los proveedores internos y externos los acuerdos de

niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que

están actualizados y que se han tomado en cuenta los cambios en los

requerimientos.


78

6.3.2. Administrar servicios de terceros

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el

tipo de proveedor, la importancia y la criticidad.

Mantener documentación formal de las relaciones técnicas y organizacionales

incluyendo los roles y responsabilidades, metas, expectativas, entregables

esperados y credenciales de los representantes de estos proveedores.

Formalizar el proceso de administración de relaciones con proveedores por cada

uno de ellos.

Debe existir un responsable que coordine la relación entre los proveedores y los

usuarios para asegurar la calidad y la transparencia, por ejemplo, a través de

acuerdos de niveles de servicio.

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores

para mantener una efectiva entrega de servicios de forma segura y eficiente sobre

una base de continuidad.

Asegurar que los contratos están de acuerdo con los estándares del tema y de

conformidad con los requerimientos legales y regulatorios.

Establecer un proceso para monitorear la prestación del servicio para asegurar que

el proveedor está cumpliendo con los requerimientos actuales del organismo

apegándose de manera continua a los acuerdos del contrato y a los convenios de

niveles de servicio.

Verificar que el desempeño es competitivo respecto a los proveedores alternativos y

a las condiciones del mercado.

6.3.3. Administrar el desempeño y la capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad

de los recursos de TI, que asegure su disponibilidad, con costos justificables, para

procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de

nivel de servicio.


79

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos

regulares para determinar si existe suficiente capacidad y desempeño para prestar

los servicios con base en los niveles de servicio acordados.

Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en

intervalos regulares para minimizar el riesgo de interrupciones del servicio

originadas por falta de capacidad o degradación del desempeño.

Identificar el exceso de capacidad para una posible redistribución.

Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que

serán parte de los planes de capacidad y de desempeño.

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como

cargas de trabajo normales, contingencias, requerimientos de almacenamiento y

ciclos de vida de los recursos de TI.

La gerencia de TI debe garantizar que los planes de contingencia consideren de

forma apropiada la disponibilidad, capacidad y desempeño de los recursos

individuales de TI.

Monitorear continuamente el desempeño y la capacidad de los recursos de TI.

Mantener y poner a punto el desempeño actual dentro de TI y atender temas como

elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de

almacenamiento y adquisición de recursos.

Reportar al organismo la disponibilidad del servicio prestado como se requiere en

los acuerdos de nivel de servicio.

Acompañar todos los reportes de excepción con recomendaciones para llevar a

cabo acciones correctivas.

6.3.4. Garantizar la continuidad del servicio

Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios a

lo largo de todo el organismo. El objetivo de este marco es identificar las

debilidades en la infraestructura de TI, y guiar el desarrollo de los planes de

recuperación de desastres y de contingencias. Debe tomar en cuenta la estructura


80

del organismo, la cobertura de roles, las tareas y las responsabilidades de los

proveedores de servicios internos y externos, su administración y sus usuarios; así

como las reglas y estructuras para documentar, probar y ejecutar la recuperación de

desastres y los planes de contingencia de TI. El plan debe también considerar

puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la

disponibilidad de recursos críticos, el procesamiento alternativo y los principios de

respaldo y recuperación.

Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñados

para reducir el impacto de una interrupción mayor de las funciones y los procesos

clave del organismo. Estos deben considerar requerimientos de resistencia a los

incidentes, procesamiento alternativo, y capacidad de recuperación de todos los

servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles y

responsabilidades, los procedimientos, los procesos de comunicación y el enfoque

de pruebas.

Centrar la atención en los puntos determinados como los más críticos en el plan de

continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de

recuperación.

Evitar las demoras para recuperar los puntos menos críticos y asegurar que la

respuesta y la recuperación están alineadas con las necesidades prioritarias del

organismo, verificando también que los costos se mantienen a un nivel aceptable y

se cumple con los requerimientos regulatorios y contractuales.

Considerar los requerimientos de resistencia, respuesta y recuperación para

diferentes niveles de prioridad.

La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios

para asegurar que el plan de continuidad de TI se mantenga actualizado y que

refleje de manera continua los requerimientos actuales del organismo. Es esencial

que los cambios en los procedimientos y las responsabilidades sean comunicados

de forma clara y oportuna.


81

Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas

pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que

el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte

de los resultados de las pruebas y, de acuerdo con estos, la implementación de un

plan de acción.

Considerar el alcance de las pruebas de recuperación en aplicaciones individuales,

en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas

integradas con el o los proveedores que pudieran estar implicados.

Asegurar que todas las partes involucradas reciban capacitación de forma regular

respecto a los procesos, sus roles y responsabilidades en caso de incidente o

desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de

las pruebas de contingencia.

Determinar que existe una estrategia de distribución definida y administrada para

asegurar que los planes se distribuyan de manera apropiada y segura. Que estén

disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.

Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de

desastre.

Planear las acciones a tomar durante el período en que TI se está recuperando y

reanudando los servicios. Esto puede representar la activación de sitios de respaldo,

el inicio de procesamiento alternativo, la comunicación a usuarios y a los

interesados y realizar procedimientos de reanudación.

Asegurar que los responsables entienden los tiempos de recuperación de TI y las

inversiones necesarias en tecnología para soportar las necesidades de recuperación

y reanudación del servicio.

Almacenar fuera de las instalaciones todos los medios de respaldo, documentación

y otros recursos de TI críticos, necesarios para la recuperación de TI y para los

planes de continuidad.


82

El contenido de los respaldos a almacenar debe determinarse en conjunto entre los

responsables de los procesos sustantivos y el personal de TI.

La administración del sitio de almacenamiento externo a las instalaciones, debe

apegarse a la política de clasificación de datos y a las prácticas de almacenamiento

de datos del organismo.

La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean

evaluados periódicamente, al menos una vez por año, respecto al contenido, a la

protección ambiental y a la seguridad.

Asegurarse de la compatibilidad del hardware y del software para poder recuperar

los datos archivados.

Periódicamente probar y renovar los datos archivados.

Una vez lograda una exitosa reanudación de las funciones de TI después de un

desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar

lo adecuado del plan y actualizarlo en consecuencia.

La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados.

6.3.5. Garantizar la Seguridad de los Sistemas

Administrar la seguridad de TI al nivel más apropiado dentro del organismo, de

manera que las acciones de administración de la seguridad estén en línea con los

requerimientos del organismo.

Trasladar los requerimientos de información del organismo, la configuración de TI,

los planes de acción del riesgo de la información y la cultura sobre la seguridad en

la información a un plan global de seguridad de TI.

Implementar el plan global de seguridad de TI mediante políticas y procedimientos

de seguridad en conjunto con inversiones apropiadas en servicios, personal,

software y hardware.

Comunicar las políticas y procedimientos de seguridad a los interesados y a los

usuarios.


83

Todos los usuarios, internos, externos y temporales y su actividad en sistemas de TI

deben ser identificables de manera única. No utilizar usuarios genéricos.

Los derechos de acceso del usuario a sistemas y datos deben estar alineados con

necesidades de los procesos del organismo, definidos, documentados y con

requerimientos de trabajo.

Los derechos de acceso del usuario deben ser solicitados por su gerencia, aprobados

por el responsable del sistema e implementado por la persona responsable de la

seguridad.

Las identidades del usuario y los derechos de acceso deben mantenerse en un

repositorio central.

Se debe implementar, mantener y actualizadas medidas técnicas y procedimientos,

para establecer la identificación, realizar la autenticación y habilitar los derechos de

acceso de los usuarios.

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y

cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en

cuenta por el sector responsable de las cuentas de los usuarios.

Debe incluirse un procedimiento que describa al responsable de los datos o del

sistema para que otorgue los privilegios de acceso. Estos procedimientos deben

aplicar para todos los usuarios, incluyendo administradores (usuarios

privilegiados), usuarios externos e internos, para casos normales y de emergencia.

Los derechos y obligaciones relacionados al acceso a los sistemas e información del

organismo deben acordarse contractualmente y en forma fehaciente para todos los

tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las

cuentas y los privilegios asociados.

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada

de forma proactiva.

La seguridad en TI debe ser acreditada periódicamente para garantizar que se

mantiene el nivel de seguridad aprobado. Debe existir una función de ingreso al


84

sistema y de monitoreo que permita la detección oportuna de actividades inusuales

o anormales que pueden requerir atención.

Garantizar que las características de los posibles incidentes de seguridad sean

definidas y comunicadas de forma clara, de manera que los problemas de seguridad

sean atendidos de forma apropiada por medio del proceso de administración de

problemas o incidentes.

Incluir una descripción de lo que se considera un incidente de seguridad y su nivel

de impacto. Definir un número limitado de niveles de impacto para cada incidente,

e identificar las acciones específicas requeridas y las personas que necesitan ser

notificadas.

Garantizar que la tecnología importante relacionada con la seguridad no sea

susceptible de sabotaje y que la documentación de seguridad no se divulgue de

forma innecesaria.

Determinar que las políticas y procedimientos para organizar la generación,

cambio, revocación, destrucción, distribución, certificación, almacenamiento,

captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar su

protección contra modificaciones y divulgación no autorizadas.

Garantizar que se cuente con medidas de prevención, detección y corrección a lo

largo de toda la organización para proteger a los sistemas de información y a la

tecnología contra software malicioso.

Garantizar que se utilizan técnicas de seguridad y procedimientos de administración

asociados, por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes,

y detección de intrusos, para autorizar acceso y controlar los flujos de información

desde y hacia las redes.

Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a

través de una ruta o medio confiable con controles para brindar autenticidad de

contenido, prueba de envío y recepción, y no repudio del origen.


85

Deberá procurarse la protección de los datos sensibles, incluso frente a los

administradores de las bases de datos.

6.3.6. Identificar y asignar costos

Desarrollar un modelo orientado a los centros de costos.

Identificar todos los costos de TI para soportar un modelo de costos transparente.

Vincular los servicios de TI a los procesos del organismo de forma que cada

temática pueda identificar los niveles de costo de los servicios asociados.

Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido.

Analizar y reportar las variaciones entre los presupuestos y los costos actuales de

acuerdo con los sistemas de medición financiera del organismo.

Definir, con base en la característica del servicio, un modelo de costos que incluya

costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de montos

de reintegros por servicio.

Alinear el modelo de costos con los procedimientos de contabilización del

organismo.

El modelo de costos de TI debe garantizar que los cargos por servicios sean

identificables, medibles y predecibles por parte de los usuarios para propiciar el

adecuado uso de recursos.

Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los

servicios.

Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos

para mantener su relevancia para el tema en evolución y para las actividades de TI.

6.3.7. Educación y capacitación de los usuarios

Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo

objetivo de empleados, que incluya:

Estrategias y requerimientos actuales y futuros del ente.

Valores corporativos (valores éticos, cultura de control y seguridad, etc.)

Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)


86

Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales

necesarias.

Formas de capacitación (por ejemplo, aula, web), tamaño del grupo objetivo,

accesibilidad y tiempo.

Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a

sus miembros, a los mecanismos de capacitación más eficientes.

Designar instructores y organizar el entrenamiento con tiempo suficiente.

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la

relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y

valor. Los resultados de esta evaluación deben contribuir a la definición futura de

los planes de estudio y de las sesiones de entrenamiento.

6.3.8. Administrar la mesa de servicio y los incidentes

Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,

para registrar, comunicar, atender y analizar todas las llamadas, incidentes

reportados, requerimientos de servicio y solicitudes de información.

Establecer procedimientos de monitoreo y escalamiento basados en los niveles de

servicio acordados, que permitan clasificar y priorizar cualquier problema

reportado como incidente, solicitud de servicio o solicitud de información.

Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios

y de los servicios de TI.

Establecer una función y sistema que permita el registro y rastreo de llamadas,

incidentes, solicitudes de servicio y necesidades de información. Debe trabajar

estrechamente con los procesos de administración de incidentes, administración de

problemas, administración de cambios, administración de capacidad y

administración de disponibilidad.

Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo

al equipo de administración de problemas apropiado y mantener informados a los

usuarios sobre el estado de sus consultas.


87

Establecer procedimientos de mesa de servicios de manera que los incidentes que

no puedan resolverse de forma inmediata sean escalados apropiadamente de

acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es

adecuado, brindar soluciones alternas.

Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida

permanecen en la mesa de servicios, independientemente de qué grupo de TI esté

trabajando en las actividades de resolución.

Establecer procedimientos para el monitoreo puntual de la resolución de consultas

de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar

la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el

usuario.

Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia

medir el desempeño del servicio y los tiempos de respuesta, así como para

identificar tendencias de problemas recurrentes de manera que el servicio pueda

mejorarse de forma continua.

6.3.9. Administrar la configuración

Establecer una herramienta de soporte y un repositorio central que contenga toda la

información relevante sobre los elementos de configuración.

Monitorear y registrar todos los activos y sus cambios.

Mantener una línea base de los elementos de la configuración para todos los

sistemas y servicios como punto de comprobación al cual volver tras un cambio.

Establecer procedimientos para soportar la gestión que permitan seguir el rastro de

todos los cambios al repositorio de configuración.

Revisar periódicamente los datos de configuración para verificar y confirmar su

integridad actual e histórica.

Revisar periódicamente si el software instalado está de acuerdo con la política de

uso de software para identificar software personal o no licenciado o cualquier otra

instancia de software en exceso del contrato de licenciamiento actual.


88

Reportar, actuar y corregir errores y desviaciones.

6.3.10. Administración de problemas

Garantizar una adecuada administración de problemas e incidentes.

Implementar procesos para reportar y clasificar problemas que han sido

identificados como parte de la administración de incidentes.

Categorizar los problemas de manera apropiada en grupos o dominios relacionados

(por ejemplo, hardware, software, software de soporte). Estos grupos pueden

coincidir con las responsabilidades organizacionales o con los grupos de usuarios y

son la base para asignar los problemas al personal de soporte.

El sistema de administración de problemas debe mantener pistas de auditoría

adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los

problemas reportados considerando:

o Todos los elementos de configuración asociados.

o Problemas e incidentes sobresalientes.

o Errores conocidos y probables.

o Seguimiento de las tendencias de los problemas.

Identificar e iniciar soluciones sostenibles indicando la causa raíz.

Disponer de un procedimiento para cerrar registros de problemas ya sea después de

confirmar la eliminación exitosa del error conocido o después de acordar con el

responsable del tema cómo manejar el problema de manera alternativa.

6.3.11. Administración de datos

Establecer mecanismos para garantizar que el proceso reciba los documentos

originales correctos, que se procese toda la información recibida, que se preparen y

entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y

reproceso estén soportadas.

Definir e implementar procedimientos para el archivo y almacenamiento de los

datos, de manera tal que estos permanezcan accesibles y utilizables.


89

Definir e implementar procedimientos para mantener un inventario de medios de

almacenamiento en sitio y garantizar su integridad y su uso.

Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y

al software desde equipos o medios una vez que son eliminados o transferidos para

otro uso.

Definir e implementar procedimientos de respaldo y restauración de los sistemas,

datos y configuraciones que estén alineados con los requerimientos de la misión y

con el plan de continuidad.

Verificar el cumplimiento de los procedimientos de respaldo y verificar la

capacidad y el tiempo requerido para tener una restauración completa y exitosa.

Probar los medios de respaldo y el proceso de restauración.

Establecer mecanismos para identificar y aplicar requerimientos de seguridad

aplicables a la recepción, procesamiento, almacenamiento físico y entrega de

información y de mensajes sensitivos que incluyen registros físicos, transmisiones

de datos y cualquier información almacenada fuera del sitio.

6.3.12. Administración de instalaciones

Definir y seleccionar los centros de datos físicos para los equipos de TI que

soportan la estrategia de tecnología ligada a la estrategia del organismo. Debe

tomar en cuenta el riesgo asociado con desastres naturales y causados por el

hombre, considerando las leyes y regulaciones correspondientes.

Definir e implementar medidas de seguridad físicas alineadas con los

requerimientos del ente.

Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte

y de resolución de incidentes de seguridad física.

Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y

revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del

organismo, incluyendo las emergencias.


90

Diseñar e implementar medidas de protección contra factores ambientales. Deben

instalarse dispositivos y equipo especializado para monitorear y controlar el

ambiente.

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de

suministro de energía, de acuerdo con las leyes y los reglamentos, los

requerimientos técnicos, las especificaciones del proveedor y los lineamientos de

seguridad y salud.

Disponer un sitio alternativo de procesamiento.

Llevar control de las visitas en los centros de procesamiento.

Incorporar a un plan de contingencia los procedimientos que mitiguen los daños

que puedan presentarse en situaciones de exposición al riesgo.

6.3.13. Administración de operaciones

Definir, implementar y mantener procedimientos estándar para operaciones de TI y

garantizar que el personal de operaciones está familiarizado con todas las tareas de

operación relativas a ellos.

Organizar la programación de trabajos, procesos y tareas en la secuencia más

eficiente, maximizando el desempeño y la utilización para cumplir con los

requerimientos del tema.

Implementar procedimientos para identificar, investigar y aprobar las salidas de los

programas estándar establecidos.

Definir e implementar procedimientos para monitorear la infraestructura de TI y los

eventos relacionados.

Garantizar que en los registros de operación se almacena suficiente información

cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de

tiempo de las operaciones y de las otras actividades que soportan o que están

vinculadas a estas.


91

Establecer resguardos físicos, prácticas de registro y administración de inventarios

adecuados sobre los activos de TI más sensitivos tales como formularios,

impresoras de uso especial o dispositivos de seguridad.

Definir e implementar procedimientos para garantizar el mantenimiento oportuno

de la infraestructura para reducir la frecuencia y el impacto de las fallas o

disminución del desempeño.

6.4. MONITOREAR Y EVALUAR

6.4.1. Monitorear y evaluar el desempeño de TI

Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que

abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el

proceso a seguir para medir la solución y la entrega de servicios de TI. Monitorear

la contribución de TI a los objetivos estratégicos del organismo. Integrar el marco

de trabajo con el sistema de administración del desempeño del organismo.

Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias

para definir un conjunto de objetivos de desempeño. Definir referencias con las que

comparar los objetivos, e identificar datos disponibles a recolectar para medirlos.

Se deben establecer procesos para recolectar información oportuna y precisa para

reportar el avance contra las metas.

Método de monitoreo. Implantar un método de monitoreo que brinde una visión

sucinta y completa del desempeño de TI, acorde al sistema de monitoreo del

organismo.

Evaluación del desempeño. Comparar en forma periódica el desempeño contra las

metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver

las causas subyacentes cuando hay desvíos.

Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos

para ser revisados por la alta dirección sobre el avance del organismo hacia metas

identificadas, específicamente en términos del desempeño. Éstos deben incluir el


92

grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos,

las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se

debe identificar cualquier desviación respecto al desempeño esperado e iniciar y

reportar las medidas de administración adecuadas.

Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el

monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de

todo el monitoreo, de los reportes y de las evaluaciones con:

o Revisión, negociación y establecimiento de respuestas de administración.

o Asignación de responsabilidades por la corrección.

o Rastreo de los resultados de las acciones comprometidas.

6.4.2. Monitorear y evaluar el control interno

Monitoreo del marco de trabajo de control interno. Monitorear de forma continua,

comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de

TI para satisfacer los objetivos del organismo.

Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión

de la gerencia de TI.

Identificar las excepciones de control, y analizar e identificar sus causas raíz

subyacentes. Escalar las excepciones de control y reportar a los interesados

apropiadamente. Establecer acciones correctivas necesarias.

Control de auto-evaluación. Evaluar la completitud y efectividad de los controles

de gerencia sobre los procesos, políticas y contratos de TI por medio de un

programa continuo de auto-evaluación.

Aseguramiento del control interno. Obtener, según sea necesario, aseguramiento

adicional de la completitud y efectividad de los controles internos por medio de

revisiones de terceros.

Control interno para terceros. Evaluar el estado de los controles internos de los

proveedores de servicios externos. Confirmar que los proveedores de servicios


93

externos cumplen con los requerimientos legales y regulatorios y obligaciones

contractuales.

Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones

correctivas derivadas de los controles de evaluación y los informes.

6.4.3. Garantizar el cumplimiento con requerimientos externos

Identificar los requerimientos de las leyes, regulaciones y cumplimientos

contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros

requerimientos externos que se deben de cumplir para incorporar en las políticas,

estándares, procedimientos y metodologías de TI del organismo.

Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas,

estándares, procedimientos y metodologías de TI para garantizar que los requisitos

legales, regulatorios y contractuales son direccionados y comunicados.

Evaluación del cumplimiento con requerimientos externos. Confirmar el

cumplimiento de políticas, estándares, procedimientos y metodologías de TI con

requerimientos legales y regulatorios.

Aseguramiento positivo del cumplimiento. Obtener y reportar garantía de

cumplimiento y adhesión a todas las políticas internas derivadas de directivas

internas o requerimientos legales externos, regulatorios o contractuales,

confirmando que se ha tomado cualquier acción correctiva para resolver cualquier

brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.

Reportes integrados. Integrar los reportes de TI sobre requerimientos legales,

regulatorios y contractuales con documentos similares provenientes de otras

funciones del organismo.

6.4.4. Proporcionar gobierno de TI

Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el

marco de gobierno de TI con la visión completa del entorno de control y Gobierno

Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo de

control. Proporcionar la rendición de cuentas y prácticas inequívocas para evitar la


94

pérdida del control interno. Confirmar que el marco de gobierno de TI asegura el

cumplimiento de las leyes y regulaciones y que está alineado a la estrategia y

objetivos del organismo. Informar del estado y cuestiones de gobierno de TI.

Alineamiento estratégico. Facilitar el entendimiento de la alta gerencia sobre temas

estratégicos de TI tales como el rol de TI, características propias y capacidades de

la tecnología. Garantizar que existe un entendimiento compartido entre las altas

gerencias y la función de TI sobre la contribución potencial de TI a los objetivos

estratégicos del organismo. Trabajar con el consejo directivo para definir e

implementar organismos de gobierno, tales como un comité estratégico de TI, para

brindar una orientación a la gerencia respecto a TI, garantizando así que tanto la

estrategia como los objetivos se distribuyan hacia las unidades operativas y hacia

las unidades de TI.

Entrega de valor. Administrar los programas de inversión con TI, así como otros

activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para

apoyar la estrategia y los objetivos del organismo. Asegurarse de que los resultados

esperados de las inversiones habilitadas por TI y el alcance completo del esfuerzo

requerido para lograr esos resultados esté bien entendido, que se generen

situaciones en base a casos reales, integrales y consistentes, y que los aprueben los

interesados, que los activos y las inversiones se administren a lo largo del ciclo de

vida económico, y que se lleve a cabo una administración activa del logro de los

beneficios, tales como la contribución a nuevos servicios, ganancias de eficiencia y

un mejor grado de reacción a los requerimientos. Implementar un enfoque

disciplinado de la administración de los programas de inversión.

Administración de recursos. Revisar inversión, uso y asignación de los activos de

TI por medio de evaluaciones periódicas de las iniciativas y operaciones para

asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los

imperativos actuales y futuros.

Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de

riesgo de TI aceptable por el organismo y obtener garantía razonable que las


95

prácticas de administración de riesgos de TI son apropiadas para asegurar que el

riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las

responsabilidades de administración de riesgos en el organismo, asegurando que el

desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados

con TI y su impacto y que la posición de los riesgos de TI del organismo es

entendida por los interesados.

Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o

excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde

los objetivos confirmados no se han alcanzado o el progreso no es el esperado,

revisar las acciones correctivas. Informar a dirección los grupos de proyectos

relevantes, programas y desempeños de TI, soportados por informes para permitir a

la alta dirección revisar el progreso de la empresa hacia las metas identificadas.

Aseguramiento independiente. Garantizar de forma independiente (interna o

externa) la conformidad de TI con la legislación y regulación relevante; las

políticas del organismo, estándares y procedimientos; prácticas generalmente

aceptadas; y la efectividad y eficiencia del desempeño de TI.

B. RECOMENDACIONES SOBRE LA EVALUACIÓN DE LAS APLICACIONES

METEOROLÓGICAS Y LOS SERVICIOS DE TI ASOCIADOS

Proceso Informático Meteorológico

Evaluar una reingeniería tecnológica y funcional de todos los procesos, hacer un

relevamiento de los activos de la TI de cada estación y mejorar los señalamientos, a fin de

reducir riesgos y proveer un mejor servicio.

1. Sitio Web

Mejorar las debilidades señaladas así como evaluar, seleccionar, implementar e

incorporar procedimientos de verificación periódica del portal respecto a mejores

prácticas de sitios meteorológicos internacionales y mejores prácticas en el diseño de

sitios web (como la W3C).


96

7. CONCLUSIONES

El principal activo de esta organización es la información que por la falta de controles está

expuesta a riesgos que exceden los valores normales. Se deben implementar medidas para

solucionar estos inconvenientes.

Una vez realizada la captura de los datos meteorológicos, y su posterior procesamiento, se

elaboran informes que son de vital importancia en el desarrollo de la vida humana.

El organismo adolece de planes, políticas y procedimientos formales de TI.

El área de TI se encuentra organizacionalmente, en un lugar inadecuado de la estructura, ya

que depende de un área usuaria. Asimismo, debe estar reposicionada jerárquicamente para

permitirle llevar a cabo una gestión centralizada desde donde pueda definir e implementar

políticas y procedimientos de manera transversal, referidos al tratamiento de la

información.

Como consecuencia de esto, existe personal e infraestructura de TI, en áreas usuarias, que

no dependen del área de informática, y que llevan a cabo tanto sus propios desarrollos

como el mantenimiento de aplicaciones, y manejo resguardo de datos, sin seguir políticas

y procedimientos definidos por el área de TI de la organización.

Lo expresado anteriormente, provoca incumplimientos en las normas referidas al TI que

rigen al Estado Público Nacional y debilidades en seguridad informática.

Cuestiones tales como la existencia de contratos con proveedores de servicios en situación

de legítimo abono, aplicaciones de los que no disponen de los programas fuente, ausencia

de controles internos, un plan de contingencia formalizado, procedimientos de respaldo de

información, un sitio alternativo de procesamiento, políticas y procedimientos de

seguridad, entre otros, ponen en riesgo el suministro oportuno de la información que el

organismo debe proveer.

Los responsables del organismo deben fijar normativas para disminuir los riesgos para la

consecución de un entorno de control adecuado.

Los índices de madurez correspondientes a la TI del organismo se encuentran mayormente

en inicial. (Ver anexo I).


97

Respecto al proceso informático meteorológico que finaliza con la exposición de sus

resultados en el sitio web institucional, se debe planificar un rediseño funcional y

tecnológico que incluya una revisión de todas las aplicaciones intervinientes dado que las

existentes generan riesgos altos en los procesos críticos del organismo.

8. LUGAR Y FECHA

BUENOS AIRES, Septiembre de 2013.

9. FIRMA


98

ANEXO I

Niveles del Modelo Genérico de Madurez

0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que

existe un tema a ser tenido en cuenta.

1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin

embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser

aplicadas sobre una base individual o caso por caso. La administración aparece como

desorganizada.

2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos

similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay

entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es

asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los

individuos y los errores son probables.

3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y

comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir

con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos

en sí mismos no son sofisticados, pero son la formalización de prácticas existentes.

4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y

accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos

están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de

automatización es limitado o fragmentario.

5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a

los resultados de la mejora continua y de la movilización con otros organismos. La TI es

usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para

mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los

cambios.


99

ANEXO II

Gráficos de brecha para los niveles de madurez de los objetivos de control

considerados.


100


101


102


103

ANEXO III

Estimación de los Niveles de Riesgo para los requerimientos de la información según

los procesos informáticos considerados

Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la

gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos

dependen en forma creciente de los sistemas de tecnología de la información, un ambiente

donde también aumentan las noticias sobre fraudes y desastres informáticos. En la

actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento

esencial de la administración del Estado Nacional.

En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se

corresponde con un proceso de tecnología informática.

Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la

información dentro de un organismo para permitirle cumplir con sus misiones y funciones:

Eficacia: Que la información sea relevante y pertinente para la misión del ente, así

como a que su entrega sea oportuna, correcta, consistente y utilizable.

Eficiencia: La provisión de información a través de la utilización óptima (más

productiva y económica) de recursos.

Confidencialidad: La protección de información sensible contra divulgación no

autorizada.

Integridad: La precisión y suficiencia de la información, así como a su validez de

acuerdo con los valores y expectativas del organismo.


104

Disponibilidad: La disponibilidad de la información cuando ésta es requerida para

cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a

la salvaguarda de los recursos necesarios y capacidades asociadas.

Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos

contractuales a los que el organismo está sujeto.

Confiabilidad: La provisión de información apropiada a la administración para

operar la entidad y para ejercer sus responsabilidades de reportes financieros y de

cumplimiento.

En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en

forma primaria y secundaria por el objetivo de control (ver tabla).

El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un

Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo

controlar las mejoras futuras en forma explícita.

Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de

que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0

representa la situación más segura y 1 la más insegura).

El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al

impacto (definido como el peligro de incumplimiento de las misiones y funciones del

organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de

ocurrencia del evento.

Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo

(33%).

La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se

realiza, y este es evaluado en el informe a través del nivel alcanzado según el modelo de

madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle:


105


106

Tabla


107

ANEXO IV

Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información

para los 34 objetivos de control considerados y su promedio general.


108


109


110


111


112


113


114

ANEXO V – EVALUACIÓN DE LAS APLICACIONES METEOROLÓGICAS Y

LOS SERVICIOS DE TI ASOCIADOS


115

Diagrama de flujo mediante modelo numérico, generando pronósticos

Flujo de mensajes aeronáuticos


116

ANEXO VI – RESPUESTA DEL ORGANISMO


117

Documents

AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE