INFORME DE AUDITORIA

Transcripción

1 INFORME DE AUDITORIA Al Señor Secretario Dr. Marcio Barbosa Moreira Secretaría de Interior Ministerio del Interior Balcarce 24 (C1064AAB) Ciudad Autónoma de Buenos Aires. En uso de las facultades conferidas por el artículo 118 de la Ley Nº , la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio del Interior y sus dependencias (Registro Nacional de las Personas ReNaPer-, Dirección Nacional de Migraciones DNM- y el Archivo General de la Nación AGN-) con el objeto que se detalla en el apartado OBJETO DE AUDITORÍA Evaluación general de los controles de la tecnología de la información (TI) en el Ministerio y los proyectos de sistemas de información gestionados para el ReNaPer, Dirección Nacional de Migraciones y el Archivo General de la Nación. 2.- ALCANCE El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría General de la Nación, aprobadas por la Resolución N 145/93, dictada en función del artículo 119, inciso d, de la Ley N La evaluación general de los controles de la tecnología de la información en el Ministerio y los proyectos de sistemas de información gestionados para el ReNaPer, Dirección Nacional de Migraciones y el Archivo General de la Nación ha comprendido: el ambiente de control TI en el Ministerio 1

2 los proyectos TI en el ámbito del Ministerio: Nuevo DNI para ReNaPer y Modernización Tecnológica del Archivo General de la Nación los sitios web del Ministerio, ReNaPer y Nuevo DNI y Archivo General de la Nación. Se hace constar que los proyectos de la Dirección Nacional de Migraciones se desarrollaron sin intervención de la Dirección General de Gestión Informática DGGI-, por lo que se encuentran fuera del alcance de la presente auditoría. Sin embargo, el relevamiento permitió evaluar los vínculos de los principales sistemas de la DNM con el sistema del Nuevo DNI. La presente auditoría tuvo limitaciones a su alcance por falta de información solicitada y no entregada por el organismo y por la limitada disponibilidad de los funcionarios de la TI, que se hallaban abocados a los preparativos previos al lanzamiento del pasaporte por ReNaPer. Ver detalle en las Aclaraciones Previas. Se practicaron los siguientes procedimientos: Análisis de la normativa vigente del organismo. Análisis de las normas generales en materia de tecnología, de competencia de la Secretaría de la Gestión Pública y de SIGEN (Sindicatura General de la Nación). Entrevistas con los siguientes funcionarios del Ministerio del Interior: Secretario de Interior Auditora Interna Titular Subsecretaria de Coordinación Director General de Gestión Informática Subdirector General de Gestión Informática Director de Tecnología y Seguridad Director de Sistemas Director General del Archivo General de la Nación. Auditor Informático 2

3 Entrevistas con los siguientes funcionarios del ReNaPer: Directora Nacional Auditora Interna Directora de Identificación Director Nacional de Programación y Producción Documental Director Nacional de Atención al Ciudadano y Relaciones Institucionales Director General de Tecnología de la Información Director de Tecnología de la Información Director de Planeamiento y Estadística Coordinador Operativo de Informática Coordinador de Seguridad Informática Jefa de División Ingreso de Trámites Supervisoras de Turno del Call Center 0800 para el Nuevo DNI Entrevistas con los siguientes funcionarios de la DNM: Director de Sistemas Auditor Interno Director General de Movimiento Migratorio Director General de Inmigración Director de Control de Permanencia Director de Radicaciones Análisis de la siguiente documentación: Misiones, Funciones y Organigrama del Ministerio del Interior. Personal asignado a la Dirección General de Gestión Informática (DGGI). Plan Estratégico de Sistemas 2008/2009. Acciones desarrolladas en el marco del Plan de Gobierno Electrónico, Política de Seguridad y Resolución SIGEN 48/2005. Plan Informático y de Políticas Web Detalle del presupuesto del Ministerio del Interior (2007/2009). 3

4 Gastos devengados por la DGGI (2007/2009). Detalle de gastos imputados al proyecto Nuevo DNI del ReNaPer. Políticas y normas relativas a la administración de usuarios, mantenimiento de base de datos y de los sistemas operativos. Acta de reunión del comité de seguridad (2009). Diagrama de red del "Nuevo DNI". Copia de los contratos con PNUD para la provisión de Software y Hardware y servicios para el nuevo proyecto de catalogación y escaneo en el Archivo General de la Nación. Diagrama de Servidores. Inventario de Software (Sistemas Operativos, herramientas y base de datos) y Hardware. Alertas y Monitoreos ( Nagios ). En versión web Documentación publicada en la plataforma Wiki de la DGGI. Plan de Infraestructura de TI (Tecnología de la Información) del Ministerio del Interior. Documentación solicitada y no entregada por el organismo auditado: Detalle de las aplicaciones informáticas implementadas en el Ministerio, incluyendo las aplicaciones desarrolladas para ReNaPer, Dirección Nacional de Migraciones y Archivo General de la Nación, indicando el modo de financiación y los actos administrativos emitidos por el organismo para su desarrollo y/o implementación. Informes de gestión producidos por la DGGI. Informes de calidad sobre los proyectos informáticos en curso. Listado de aplicaciones desarrolladas por la Dirección de Sistemas del Ministerio del Interior y en mantenimiento con todos los detalles de su inventario. Listado de aplicaciones en desarrollo con los detalles técnicos y de planificación. Lista del personal designado a tareas técnicas en materia de seguridad informática del "Nuevo DNI". Plan de contingencia del "Nuevo DNI". 4

5 La evaluación abarca el período comprendido entre Noviembre 2009 y primer semestre de Tareas de campo Se desarrollaron entre Octubre de 2010 y Marzo de Aclaraciones Previas 3. 1 Ministerio del Interior y la Gestión Informática Por Dto. Nº 258/03 se aprobó la estructura organizativa de 1er y 2do. Nivel operativo, asignando entre otras funciones a la Dirección General de Gestión Informática (DGGI) del Ministerio del Interior con competencia para dirigir y optimizar la utilización de Tecnologías de la información y las Comunicaciones del organismo y de aquellos a los que brinda su apoyo basándose en la implementación y seguimiento de las políticas relativas a las Tecnologías de la información y las Comunicaciones. Por su parte, el Dto. 441/06 aprueba la estructura organizativa de la DGGI que comprende la Subdirección General de Gestión Informática y dependiendo de esta última la Dirección de Tecnología y Seguridad y la Dirección de Sistemas. 3.2 Registro Nacional de las Personas (ReNaPer) El Registro Nacional de las Personas, se creó por Ley , con la finalidad de facilitar a las autoridades del Estado el conocimiento de todos los datos que conforman la individualización de las personas y estará a su cargo y con carácter exclusivo la emisión de los DNI. no obstante ello, en lo que respecta al proceso de identificación, toma de trámites, expedición, cambio y o reposición del DNI interviene tanto el Estado a través del ReNaPer como los Estados provinciales a través de las oficinas seccionales dispuestas en las oficinas de registro civil del país. Fuera del territorio nacional, esas funciones se realizan a través de oficinas Consulares La gestión de la tecnología de la información en ReNaPer Por Dto. 773/07, y su modificatoria Res. Nº 612/09 se aprobó la estructura organizativa hasta el primer nivel operativo de la Dirección General de Tecnología de la Información, debiendo 5

6 ésta planificar, coordinar y administrar las actividades de tecnología de la información del organismo, incluyendo la totalidad de la infraestructura de equipamiento y software computacional y de comunicaciones, tanto de datos como de voz, los sistemas de información y las tecnologías asociadas, existentes y a incorporarse. Por Res. nº 2135/09MI se crearon en el ámbito de la Dirección antes citada a) la Coordinación Operativa de Informática cuya función es: coordinar la administración de las bases de datos de los sistemas informáticos tendientes a realizar las tareas de identificación y producción documentaria del Registro; y b) la Coordinación de Seguridad Informática, dependiente de la Dirección de Prevención y Control interviniendo en la definición de políticas de seguridad informática del organismo Proyecto Nuevo DNI Situación Previa El estado de la gestión en la producción parcialmente manual de los DNI a enero de 2008 mostraba 1,5 millones de documentos pendientes, un tiempo de entrega promedio superior a un año y demoras de hasta dos años. El fichero general, se ubicaba en depósitos con problemas de humedad, ventilación, electricidad y seguridad Acciones Con la situación descripta se adoptó un nuevo modelo de producción digital de DNI y se ejecutaron las siguientes acciones: Digitalización integral de las 50 millones de fichas. Diseño propio del software de gestión y producción documentaria con la colaboración de la Universidad Tecnológica Nacional, desarrollo Open Source, Adquisición de servidores y equipos de almacenamiento de acuerdo al tráfico y volúmenes previstos. Plan Deuda Cero: A fin de reducir la deuda documentaria se incorporo un sistema informático de gestión. El contraste dactiloscópico se hace con el sistema. Construcción de 30 Centros de Documentación Rápida (CDR) en todo el país con dispositivos biométricos para la captura y procesamiento de datos, la puesta en marcha de 6

7 un centro propio en la Ciudad de Buenos Aires y tres móviles para la toma de trámites, producción y entrega de DNI. Incorporación y capacitación de personal del Organismo destinados al nuevo proceso productivo tomaron pasantías universitarias con el objeto de actualizar los datos no cargados al fichero general. Construcción de un nuevo fichero general y traslado de las fichas de identificación. Remodelación del inmueble destinado a la fabricación de DNI, dotándolo de seguridad en los procesos de producción incluyendo el Centro de Cómputos-, cableado estructurado y nuevas tecnologías en materia de comunicaciones. En este orden, es de señalar que, para el desarrollo del Nuevo DNI el ReNaPer crea el Centro de Producción Documental, asignándole una organización y equipamiento informático con nuevas centrales telefónicas. Se acondicionó el Centro de Documentación Rápida al Centro de Atención al Público CAP Nº 3 en la Ciudad Autónoma de Buenos Aires (Av. Paseo Colón 1093). Se encuentra en ejecución la adecuación del centro de cómputos del Ministerio del Interior con nuevas antenas de comunicaciones, tendido de cables y fibras para la conectividad entre los edificios del ReNaPer y del Ministerio. Asimismo, se suma la instalación de herramientas de monitoreo para el tráfico de la red del Registro y de la DNM. Paralelamente el organismo estaba desarrollando el aplicativo del Nuevo DNI con recursos propios y sobre plataformas basadas en arquitectura de código abierto y un nuevo centro de procesamiento de datos. Finalizando las tareas de campo se encontraba el Ministerio acondicionando un nuevo Centro de Cómputos y evaluando la posibilidad de utilizarlo como un sitio alternativo en el procesamiento del nuevo DNI Dirección TI del Proyecto Si bien no hubo una designación formal de la Dirección del Proyecto, las decisiones asumidas corresponden al nivel ministerial y a un equipo integrado por el Secretario del Interior, la Directora Nacional del ReNaPer y la Subsecretaria de Coordinación del Ministerio del Interior. Por su parte la Dirección TI del proyecto estuvo a cargo del Director General de 7

8 la DGGI y el equipo integrado por el Subdirector, Director de Tecnología y Seguridad, Director de Sistemas de la DGGI así como el Director General de Tecnología de la Información del ReNaPer., mientras que el desarrollo principal del aplicativo ha estado a cargo de la Subdirección, la responsabilidad de la infraestructura TI recayó en la Dirección de Tecnología y Seguridad, mientras que la implementación de las oficinas digitales, en la Dirección de Sistemas Características del Nuevo Proceso Captura de datos digitalizada Una Resolución de ReNaPer respalda la creación de cada oficina de registro digitalizada. Cada oficina recibe kits o equipamiento informático para la toma digital de los pedidos de DNI y capacitación del personal. La conectividad requerida para la trasmisión de la información hacia el Centro de Cómputos de ReNaPer, en la mayoría de los casos corresponde a la Oficina de Registro Provincial. La captura de datos comprende: Datos Personales, Ficha de Identificación Capacidad Educacional Captura de datos biométricos (Foto, Firma y Huellas Digitales) y Partida de Nacimiento. Procesamiento en la Fábrica de Documentación Con la información trasmitida vía web desde las oficinas digitales se realizan operaciones de Cotejo dactiloscópico, verificación de datos, impresión de libreta y tarjeta, ensobrado y despacho a correo. Atención al Público En el Centro de Atención al Público remodelado (C.A.P. Nº 3) en la Ciudad de Buenos Aires se lleva a cabo la captura digital de datos y desde el call center, ubicado en su Sede Central, se registran los pedidos y se asignan horarios de atención. 8

9 Puestos Móviles El ReNaPer dispone de camionetas equipadas con antenas satelitales para conectividad con el sistema informático, para la captura de datos existiendo en algunas de ellas equipos para la impresión de la tarjeta y libreta del DNI. La seguridad está basada en Redes Privadas Virtuales (VPN). Captura de datos manual En las oficinas de registro provinciales que no disponen del equipamiento para captura en línea 25% del total a Enero de 2011-, ésta se lleva a cabo mediante un formulario que se remite al ReNaPer donde se controlan y se graban los datos ingresándolos al sistema para continuar con el cotejo dactiloscópico y restantes etapas hasta el despacho del DNI. Fabricación de soportes Las libretas para el DNI se producen en el ReNaPer con equipamiento gráfico de seguridad Archivo General de la Nación (AGN) Por ley se asigna, entre otras la función de reunir, ordenar y conservar la documentación que la ley le confía a efectos de difundir las fuentes de la historia Argentina Proyecto Modernización Tecnológica del AGN Antecedentes El Archivo General dispone de dos archivos: uno histórico y otro intermedio, con documentación de los siglos XVI a XIX y XX respectivamente. En el capítulo Situación Actual del proyecto, se describen las limitaciones que existían a Junio de 2009, con el propósito de justificar la ejecución del proyecto Modernización Tecnológica de AGN A continuación se transcribe una síntesis de las mismas: No existe un espacio adecuado en correspondencia con el volumen documental. No cuentan con sistemas y equipamiento informático para llevar a cabo la clasificación de los documentos. 9

10 Los espacios para hospedar y operar normalmente los equipos tecnológicos que deben ser incorporados para sustentar la gestión resultan inadecuados. Escaso nivel de visibilidad institucional y de su archivo documental. Consultas poco ágiles (existen documentos que por su estado de deterioro deben ser retirados de la consulta física) Área de Digitalización Se crea en el año 2004 con el objeto de preservar la documentación. En ese sentido se ejecutó una labor de digitalización de la informatización y su indización, así como inventarios y catálogos. El proyecto se desarrolla con la asistencia del Programa de las Naciones Unidas (PNUD) - ARG/09/006 -.y la Subsecretaría de Coordinación como organismo ejecutor, El objetivo es diseñar, desarrollar e implementar un nuevo modelo de gestión de archivos basado en la utilización de las nuevas tecnologías de la información y de las comunicaciones. Estrategia La estrategia del proyecto se visualizara por: Digitalización orientada a producir con alta calidad originales únicos y de alto valor histórico, proponiendo normalizar los instrumentos descriptivos de las unidades documentales a digitalizar conforme a las normas archivológicas internacionales ISAD/G. Acceso de la información al ciudadano Permitirá acercar a un importante número de ciudadanos de cualquier punto geográfico la información histórica. Historiadores, investigadores, docentes o especialistas, harán uso del acervo sin tener contacto directo con originales, preservando su estado. Finalmente se contara con herramientas que permitan sistematizar las consultas diarias determinando sus perfiles a fin de contar con mecanismos para mejorar los procesos y servicios. 3.4 Recursos Asignados a TI La Dirección General de Gestión Informática (DGGI), cuenta con un total de 22 10

11 personas, con un Director General de Gestión Informática, un Subdirector General de Gestión Informática, Director de Tecnología y Seguridad y un Director de Sistemas Presupuesto Créditos y Gastos TI ( ) Ejercicio Programa Actividad Fuente de Financiamiento Crédito Devengado , , ,41 Aclaraciones: Programa 1: "Actividades Centrales". Actividad 4: "Administración de las Tecnologías de la Información y las Comunicaciones". Fuente de Financiamiento 11: Tesoro Nacional Proyectos Nuevo DNI Las compras fueron realizadas con partidas presupuestarias del Ministerio del Interior, transfiriéndose los bienes con posterioridad al inventario de ReNaPer. Las compras se hicieron bajo los proyectos UNOPS ARG/08/R38, UNOPS ARG/08/R53, OIM UGAP-CE /001, PNUD ARG/08/030 y la Dirección de Compras y Suministros del Ministerio del Interior. 11

12 Gastos Inicialmente Previstos Detalle Monto en Pesos Adecuación edilicia Chutro Equipamiento Digitalización CDR's Móviles TOTAL PROYECTO Nota: Chutro corresponde a la Fábrica de producción documental Gastos devengados por las Licitaciones Descripción Dólares Pesos Reacondicionamiento CPD Chutro Equipos para la fabricación del Nuevo DNI Insumos Nuevo DNI Equipamiento CDR's Equipamiento de Redes Servicio de actualización y digitalización de expedientes Equipamiento de Base (Servidores, PC's, Impresoras, etc) Equipamiento CDR's Móviles TOTAL INFORMADO Modernización del Archivo General de la Nación Plan previsto a ejecutar Período Monto en U$S TOTAL A EJECUTAR

13 Gastos devengados por las licitaciones PNUD ARG 09/2009 Sector Descripción En pesos Incidencia Centro de Digitalización Scanners Planetarios y de Microfilmación ,49 PC's, Impresoras y Scanners ,26 Oficinas del AGN PC's y Accesorios ,17 Sistemas de Gestión Diseño y Desarrollo (Catalogación, Consultas y Páginas Web) ,08 TOTAL

14 4. COMENTARIOS Y OBSERVACIONES Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes. Los comentarios se agruparon según se refieran al Ambiente de Control (I) o a los proyectos de Sistemas Relevados (II). I) Ambiente de Control 4.1 Objetivo de Control: Plan de Tecnología de Información Establecer un proceso de planeamiento estratégico en TI de largo plazo para administrar y dirigir todos los recursos articulados con la estrategia del Ministerio y sus prioridades. La DGGI y las Direcciones del Ministerio son responsables de garantizar que se materialice el valor óptimo del grupo de proyectos y servicios. El plan de TI deberá referenciar y articularse con otros planes tales como el plan de calidad y el plan de manejo de riesgos de la información Proceso de Planeación Se recepcionó el documento Plan Estratégico de la Tecnología de la Información correspondiente al año 2008 redefinido y acotado a tres proyectos en ReNaPer, Archivo General de la Nación y Agencia de Seguridad Vial. El documento no reúne los requisitos básicos para ser considerarlo un Plan Estratégico de TI. No cuenta con, la aprobación formal, la descripción de la situación actual, la estrategia organizacional, el modelo de la TI ni con el modelo de planeación. No existe un proceso regular para su producción anual o plurianual, requisito exigido tanto por las Normas de Control Interno para Tecnología de la Información para el Sector Público Nacional (Res. 48/05 SIGEN) como por las misiones y funciones de la DGGI establecidas por decreto 441//06 (acción 1). No resulta posible garantizar el alcance óptimo para el grupo de proyectos y servicios como así tampoco lograr la mejor comprensión respecto de las oportunidades y limitaciones de la TI, ni la evaluación del desempeño actual y claridad en el nivel de inversión requerido. 14

15 4.1.2 Plan Nacional de Gobierno Electrónico (PNGE) El documento Plan Informático y de Políticas Web -períodos 2010/2011- relata los programas e instrumentos existentes dentro del Plan Nacional de Gobierno Electrónico y no puede considerárselo como tal (carece de aprobación formal, un cronograma de actividades para el cumplimiento de cada programa y un detalle de los recursos asignados). Se detectó el incumplimiento del Dto. 378/05 -por el cual se aprueban los lineamientos estratégicos que deberán regir en el Plan Nacional de Gobierno Electrónico-, en lo que respecta a la elaboración del Informe de Diagnóstico de Situación del Ministerio y el Plan Sectorial de Gobierno Electrónico. 4.2 Objetivo de Control: Definición de la Arquitectura de la Información La Dirección General de Gestión Informática debe crear y actualizar regularmente el modelo de arquitectura de la información que utiliza el Organismo y definir los sistemas apropiados para optimizar su uso. Esto incluye el desarrollo de un diccionario corporativo de datos que contenga reglas de sintaxis, esquema de clasificación y niveles de seguridad Arquitectura lógica y física Se obtuvo evidencia sobre la existencia de un diagrama de relaciones para el sistema Nuevo DNI. No se detectaron actividades destinadas a crear y actualizar el modelo de arquitectura de la información del Ministerio ni de los organismos dependientes tales como ReNaPer y Archivo General de la Nación. La falta de este proceso impide que la información proporcionada resulte confiable y oportuna a fin de mejorar la calidad en la toma de decisiones gerenciales. Se estima que de no asignarse responsabilidades sobre integridad y seguridad de datos resultaría imposible perfeccionar la efectividad del control de la información compartida por las aplicaciones y organismos de incumbencia del Ministerio. 4.3 Objetivo de Control: Participación Pro-activa de Auditoria El área de TI deberá obtener una opinión independiente, buscando que una auditoría evalúe 15

16 cada solución de tecnología de información desarrollada, antes de su instalación Opinión Independiente Los proyectos de gestión documental de ReNaPer y de Modernización Tecnológica del Archivo General no han contado con una opinión independiente antes de su lanzamiento. Para el ReNaPer, implicó contrataciones, de servidores, enlaces de comunicaciones así como de equipamiento de digitalización sofisticado y para el AGN el desarrollo de un sistema de catalogación. Ésta circunstancia, reduce la capacidad del control interno sobre las actividades de TI como ser el cumplimiento de políticas y estándares, seguridad de la información y controles establecidos en los acuerdos de provisión de servicios. 4.4 Objetivo de Control: Comité de Dirección Se deberá designar un Comité de planeamiento o dirección a cargo del control de los proyectos de TI, integrado con autoridades del Ministerio, con áreas usuarias y de la DGGI, con competencia para: a.) determinar prioridades en los programas de inversión de TI alineadas con la estrategia y prioridades del organismo b.) realizar el seguimiento de los proyectos y resolver los conflictos de recursos c.) monitorear los niveles y mejorar la calidad de servicio. Deberá reunirse periódicamente y reportar a las autoridades del organismo Observación: Decisiones de Estrategia No se tiene formalmente prevista la conformación de este Comité. La prioridad en la asignación de los recursos para los desarrollos de TI no dispone de un mecanismo que facilite el consenso en el interés de la organización y que comprometa formalmente a las áreas usuarias, de sistemas y a la dirección del organismo. 16

17 Dada la envergadura de los proyectos en curso, esta práctica resultaría fundamental a fin de obtener mayor objetividad, transparencia y comunicación de la gestión. 4.5 Objetivos de Control: Estructura organizacional Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del Organismo. Se deberá implementar un proceso de revisión periódico que ajuste los requerimientos del personal y de las estrategias que permitan alcanzar los objetivos esperados Supervisión La DGGI diseñó y elaboró el sistema Nuevo DNI, y luego de su puesta en marcha, mantiene el control administración- sobre su núcleo central, excediéndose en las funciones asignadas por Dto. 441/06 sobre supervisión de proyectos. En el caso de Modernización Tecnológica del Archivo General la DGGI ha intervenido técnicamente en la etapa previa a las licitaciones y durante el desarrollo no se tuvo evidencia de la existencia de actividades de seguimiento del proyecto. No se detectaron actividades de supervisión de la DGGI a la Dirección Nacional de Migraciones en particular, en el reciente sistema de ventanilla única (radicación por primera vez + DNI). En otro orden, se destaca el vacío normativo para asegurar la interoperabilidad de los sistemas del Ministerio particularmente aquellos relacionados con personas. La falta de un plan de contingencia formalmente aprobado impide cumplir con la función de control periódico del funcionamiento de planes de recuperación para los sistemas críticos. 4.6 Objetivo de Control: Metodología del Ciclo de Vida de Desarrollo de los Sistemas La Autoridades del Ministerio deberán definir e implementar estándares de sistemas de información y adoptar una metodología del ciclo de vida que rija el proceso de desarrollo, adquisición, implementación y mantenimiento. La metodología del ciclo de vida elegido deberá ser la apropiada para los sistemas a ser desarrollados, adquiridos, implementados y mantenidos. 17

18 4.6.1 Metodología Se tuvo acceso al documento Pautas para el desarrollo de sistemas realizado por la Dirección de Sistemas de la DGGI, el que: 1) No se encontraba aprobado formalmente. 2) Cada pauta se limita a una definición general y no incluye procedimientos para su desarrollo. 3) Las ocho pautas no completan el ciclo de vida del desarrollo de un sistema. No prevé las etapas de estudio de factibilidad, de requerimientos, programación, pruebas, instalación y revisión post-implantación. 4) El documento describe un procedimiento desde el pedido hasta la finalización del proyecto, no estableciendo los detalles para llevarlo a cabo (formularios, niveles de responsables y sistema que gestione el proceso). 5) En el caso específico de ReNaPer, a excepción del diagrama entidad relación, no se tuvo evidencia de la existencia de documentación del sistema acorde con las pautas. Al no disponer de estándares y de buenas prácticas para su desarrollo, la producción de los sistemas y sus modificaciones se hace fuertemente dependiente de las personas, por lo que no se asegura trato equitativo y transparente para los usuarios, así como una adecuada separación de funciones que impida, por ejemplo, que personal de TI acceda a datos de producción. 4.7 Objetivo de Control: Manejo de la Inversión en TI La Autoridades del Ministerio deberán implementar un procedimiento para asegurar que el presupuesto operativo anual para los servicios de TI sea establecido y aprobado en línea con los planes a largo y corto plazo de la organización. Debe existir un control gerencial que garantice a) la fijación de prioridades a la asignación de recursos de TI para operaciones, proyectos y mantenimiento y b) que la prestación de servicios de TI se justifique en cuanto a sus costos, beneficios obtenidos y retorno de la inversión. 18

19 4.7.1 Observación: Presupuesto operativo anual El presupuesto del Ministerio contempla una actividad para la Administración de las Tecnologías de la Información y las Comunicaciones la que incluye gastos TIC de la DGGI (personal más adquisición de hardware), metodología que también imputa a las adquisiciones de hardware del proyecto Nuevo DNI. Las adquisiciones para el proyecto Modernización Tecnológica del AGN fueron cargadas a otra partida (72805). En materia de previsión, no se disponía de presupuestos de TI para el mediano y largo plazo (3 y 5 años). No se obtuvo evidencia de la existencia de una metodología que permita obtener periódicamente los gastos de TI por tipo de variable (proyecto, sistema) para su control oportuno Observación: Justificación de costos y beneficios No se tuvo conocimiento sobre análisis económicos y de soluciones alternativas en los proyectos evaluados en esta auditoría en la etapa previa a las licitaciones así como el estudio de los costos y beneficios esperado, por cuanto no resulta medible la eficiencia en la asignación de recursos de la TI. 4.8 Objetivo de Control: Responsabilidad en cuanto a las Políticas de TI La DGTI deberá asumir la responsabilidad directa de las Políticas de TI en cuanto a la formulación del ambiente de control, elaboración, mantenimiento, implementación, comunicación y verificación de cumplimiento Observación: Políticas sin definir En el documento Política de Seguridad Informática de la DGGI (3/2010) que da cumplimiento de la Res. 45/05ONTI, se advierte que: no se encontraba formalmente aprobado por la máxima autoridad del organismo conforme lo establece la norma. 19

20 No se abordan temas como la seguridad física y ambiental, desarrollo y mantenimiento de sistemas y la administración de la continuidad de las actividades del organismo (no se tuvo conocimiento de la existencia de un Plan de Contingencia). se designa al responsable de Tecnología y Seguridad de la DGGI como Responsable de Seguridad Informática del Ministerio, no cumpliendo los principios de división de funciones entre quienes administran la tecnología de la información y los que controlan y monitorean la seguridad. No hubo una justificación formal para concentrar esas tareas críticas. Las buenas prácticas sugieren crear un área de seguridad fuera del área de TI. En otro orden, no se encontraron políticas de calidad, controles internos, propiedad intelectual y documentación de los sistemas. 4.9 Objetivo de Control: Administrar la Calidad Establecer y mantener un sistema de administración de la calidad de los servicios de TI prestados por la DGGI que, alineado con los objetivos del Organismo, asegure la mejora continua en términos medibles Observación: Mejora continua No se dispone de un proceso para la mejora continua de los servicios TI brindados. No se tuvo conocimiento de proyectos que en ese sentido se guíen por algún estándar de calidad Objetivo de Control: Marco de Referencia para la Administración de Proyectos La Dirección General de Gestión Informática debe establecer un marco para administrar los proyectos, de manera tal que se garantice la correcta coordinación y asignación de prioridades así como la coordinación de todos los proyectos. Cada proyecto deberá contar con un método maestro que defina alcance y límites, asignación de recursos, programación de entregables, asignación de responsabilidades, puntos de revisión y la aprobación de los usuarios. 20

21 Observación: Marco de Referencia No se obtuvo evidencia de la existencia de un marco debidamente formalizado para la administración de proyectos de TI en el ámbito del Ministerio, que defina el alcance y los límites de la administración de proyectos, así como la metodología a ser adoptada y aplicada en cada caso. No se encontraron evidencias de estudios factibilidad, que justifiquen las prioridades asignadas a los proyectos de la TI bajo análisis. En los casos analizados se presume un alto impacto en la sociedad pero la falta de una evaluación, previa a su lanzamiento no permite contrastar objetivos propuestos con los resultados o asegurar una eficiente asignación de los recursos utilizados Proyecto Nuevo DNI Observación: Plan Maestro El Nuevo DNI totalmente digitalizado, se implementó a partir de Noviembre de No se tuvo conocimiento de un plan detallado para llevar adelante acciones con puntos de control. Gran parte de la experiencia en la gestión no resulta capitalizable para el desarrollo de futuros proyectos en el ámbito del Ministerio Se detectaron procesos sin digitalizar cuyas fechas de inicio y finalización se desconocen, atento la inexistencia de una definición del alcance y límites del sistema Observación: Equipo de Proyecto Se relevó que la Dirección TI del Proyecto, estuvo a cargo del Director General de la DGGI e integrado por el Subdirector de la DGGI quien lideró el desarrollo del aplicativo. Por otra parte, el Director de Tecnología y Seguridad se ocupó de la administración de los recursos de hardware y comunicaciones de la fábrica documental y el Director de Sistemas de la DGGI de la instalación de puestos de trabajo en delegaciones del interior (o kits de captura de datos ), ajustes y optimización del sistema. La DGTI de ReNaPer ha realizado actividades de apoyo al proyecto como desarrollo de programas en lenguaje PHP para, la atención de turnos utilizando Internet, el corte operativo 21

22 (separación de imágenes) en dactiloscopía, el manejo del stock de materias primas y el soporte a nivel PC en las oficinas digitales de captura de datos. La administración de usuarios que operan el sistema (oficinas digitales y fábrica de producción documental) se encontraba a cargo de la Coordinación de Seguridad Informática. Es decir que, la integración del equipo del proyecto, se tradujo en una sobrecarga de tareas a los funcionarios, con respecto a las funciones originalmente asignadas, debilitando el rol director de TI en los restantes órganos del Ministerio. Por otra parte, los roles no se definieron formalmente, situación irregular en el desempeño de las funciones Observación: Aprobación usuario La Directora Nacional de Identificación y el Director Nacional de Programación y Producción Documental participaron como usuarios en las distintas etapas del desarrollo del sistema. No se obtuvo evidencia de la existencia de documentos formales de los acuerdos y/o recepciones del sistema. Su puesta en marcha y mejoras no han requerido de una autorización formal por parte de los usuarios para su entrada en vigencia. No existe un acuerdo de niveles de servicio TI (que asegure un nivel aceptable de disponibilidad, entre otros) entre la DGGI y el ReNaPer Observación: Finalización del proyecto En el período de los trabajos de campo y después de un año de operatividad no se había concretado la transferencia de la administración y mantenimiento del sistema Nuevo DNI al ReNaPer y no se tuvo conocimiento de un cronograma para concretarlo. Ello imposibilita la autonomía del ReNaPer y resta recursos a la DGGI para nuevos proyectos. 22

23 Proyecto Modernización Tecnológica del Archivo General de la Nación Observación: Valores de Referencia El proyecto, esta siendo ejecutado en el marco de Proyecto ARG/09/006 del PNUD, disponiendo de pautas para su gestión desde la modalidad de contratación hasta la entrega de los ejecutables. Las 5 (cinco) compras que componen el proyecto incluyeron un presupuesto oficial (monto estimado) dentro de las especificaciones técnicas para a su lanzamiento a concurso, valor de referencia para que los oferentes cotizaran. No se tuvo evidencia de estudios de mercado que justificaran esos valores de referencia, en particular del desarrollo del software de catalogación. Dicha observación se considera relevante habida cuenta que en la compra de equipos informáticos no intervino la Oficina Nacional de Tecnología de la Información dependiente de la Secretaria de Gestión Pública con competencia en la materia Observación: Autorización La DGGI habría brindado asistencia en la definición de criterios técnicos y estimación de costos del proyecto. En el caso de la provisión de servicios de Diseño e Implementación de un software de gestión específica para el Archivo General de la Nación, con tecnología RFID mediante la Solicitud de Propuesta 02/10 no se tuvo evidencia formal de la autorización de la compra por el responsable de la DGGI como lo establece la Resolución 48/05SIGEN por tratarse de una contratación de servicios externos de desarrollo de sistemas Objetivo de Control: Administración de Datos El área de TI deberá establecer procedimientos de control para la carga, el procesamiento, la salida y el almacenamiento de datos de las transacciones, que incluyan, entre otras: a) la preparación de datos de entrada a ser verificados por departamentos usuarios que minimicen los posibles errores 23

24 b) el manejo de errores (detección, reporte, corrección y reenvío de datos) c) la validación de datos sobre transacciones para verificar exactitud, suficiencia consistencia y validez d) la validación y edición de datos preferentemente donde se originan e) la integridad del procesamiento, asegurando una adecuada separación de funciones durante el mismo f) el manejo de errores en el procesamiento de datos (identificación de transacciones erróneas) g) el balanceo y conciliación de los datos de salida con los totales de control relevantes h) las pistas de auditoría a fin de facilitar el seguimiento del procesamiento y la conciliación de datos erróneos i) el almacenamiento de los datos que considere los requerimientos de recuperación, la economía y las políticas de seguridad. II) Proyectos de Sistemas Relevados Sistema Nuevo DNI Ciclo del Proceso Se relevaron las distintas instancias para la obtención del documento nacional de identificación -DNI-. Las observaciones hacen referencias a aquellos procesos y/o trámites automatizados o no por el sistema Nuevo DNI Observación: Medios de Atención al Público 1) Otorgamiento de turnos: Se dispone de un call center que otorga turnos para la tramitación en el CDR ubicado en la Avda. Paseo Colón., estableciendo su propio sistema de atención las restantes oficinas del país. 2) Consultas sobre el trámite iniciado: a través del call center mencionado. o vía web a través del sitio del Ministerio del Interior Consulta de Trámite de DNI. Cada Centro Rápido dispone de acceso al sistema, para responder las consultas que se realizan. 24

25 3) Consultas Generales:. Se responden telefónicamente a través del call center y por correo electrónico mediante la opción Contacto del sitio web Nuevo DNI. Sobre los puntos que anteceden y durante la auditoría se detectó que: a) El call center, durante el trabajo de campo, satisfacía el 50% de la demanda de llamadas entrantes básicamente por la insuficiente cantidad de puestos instalados. b) El registro de las respuestas para las consultas vía se realizaba a través de una planilla de cálculo, siendo ésta la fuente de consulta de los operadores, para responder a las inquietudes del público. La vulnerabilidad de este modo de registración, no permite realizar adecuadamente la tareas, ni efectuar los controles correspondientes. c) No se tuvo conocimiento de iniciativas de ReNaPer como órgano rector a fin de mejorar la atención al público en las oficinas locales con gran demanda. Se encontraron recursos que no estaban debidamente explotados, ejemplo de ello, es el sistema de turnos por call center, utilizado por el ReNaPer solo para un único Centro de Atención Asimismo, se dispone de un sistema de turnos web no implementado para el DNI., siendo ambas aplicaciones compatibles para las Oficinas locales como en los sitios web de los Registros. d) El sitio dedicado al Nuevo DNI no publicaba durante el período auditado número del Call Center con horario de atención y servicios que brinda. en la sección Donde lo tramito, no figuran los lugares y horarios de atención de las oficinas digitalizadas existentes en las delegaciones (Colegio de Abogados, Tribunales y otros), centros de compras y los puestos móviles. En otro orden, el sitio no concentra operaciones propias como Consulta de Trámite de DNI que aparece en otra página web del Ministerio. 25

26 Observación: Pagos de los trámites Cada trámite tiene asociada una boleta pre-numerada que previo al inició de la toma de los datos personales, fotografía y huella, el tramitante debe pagar en la oficina del Banco Provincia (BaPro) instalada en la dependencia. El control sobre el pago es manual y asignado a la operadora y en el supuesto que no se hubiera oblado y lo advirtiera la operadora el sistema no puede detener el trámite. En este sentido, cabe señalar que, el sistema del BAPRO (Banco Provincia) no informa en línea los pagos sino al finalizar la jornada modo diferido-. En esta modalidad el control no es preventivo por lo que detectadas las irregularidades deben establecerse procedimientos para regularizarlas Observación: Controles automáticos de verificación de huellas. En el caso de extranjeros y Actua 16 (actualización de datos que se realiza al cumplir el ciudadano 16 años) y a efectos de dar el alta en la base de datos de las personas (verificación primera identificación), el sistema Nuevo DNI incorpora un control automático a través del sistema licenciado AFIS (Automated Fingerprint Identificacion System) entre la huella ingresada y las existentes en la base de datos del nuevo DNI. La restricción de este control a los casos citados, cubriría un 30% del total, atento la limitada performance de la versión disponible del sistema. En síntesis, no hay control que asegure que existan casos en la base de datos donde la misma persona disponga de más de una filiación diferente. Cuando AFIS detecta más de una coincidencia de huellas, la sección ensobrado se encarga de retirar el DNI y se procede a su destrucción, por lo que el control no resulta preventivo. En otras situaciones las huellas ya aceptadas se almacenan en la base del AFIS quedando preparada a la eventualidad de una nueva versión que permita con adecuada performance realizar el cotejo automático Observación: Administración de stocks de materias primas Durante el relevamiento se constató en las bóvedas de almacenamiento que, la gestión de ingreso y egreso de las materias primas -destinadas a la confección de DNI-, se llevaba a cabo por medio de una planilla de cálculo electrónica, con el consiguiente riesgo de 26

27 vulnerabilidad del procedimiento. No se disponía de control por unidad de insumo. Puede apreciarse en el caso de uno de los insumos formulario de seguridad - donde se detectó una duplicación de su numeración al momento de la finalización del armado de la libreta virgen. Dicha duplicación del número se produjo en la empresa proveedora Observación: Trazabilidad de los componentes Las libretas confeccionadas quedan identificadas por el número que lo relaciona a un insumo principal. En el momento de su impresión ese número no es asociado con el número de DNI por el nuevo sistema por lo que no será posible el rastreo con el control de los insumos particularmente ligados a la seguridad Observación: Gestión de los documentos con fallas Durante la fabricación de libretas vírgenes y en el proceso de impresión pueden producirse documentos con fallas que se retiran de la línea de producción para su destrucción. Se encontraron lotes en esas condiciones sin control de cantidades y numeración. El arqueo de libretas que ingresan a impresión contra las emitidas y las desechadas se efectúa globalmente, no hay un detalle individualizado. Cuando las fallas se producen en la sección impresión, la reimpresión se obtiene anulándolos en la tabla de remitos y reingresándolo de la cola de impresión. Los documentos son eliminados por personal de la mencionada sección. No se encontró un sistema que registre el detalle de las libretas anuladas, causa que lo produjo, acta de destrucción y otros datos para la administración, control de las fallas y su circulación. Se produce una falla en el control de las libretas y tarjetas producidas y su relación con los DNI exitosos y los que no lo fueron Observación: Entrega de DNI por el Correo Al cabo de dos visitas al domicilio del interesado, por parte del Correo contratado los DNI son derivados al Centro de Atención correspondiente y pueden ser retirados a partir de los 5 27

28 días -hábiles- posteriores a la última visita. 1) Este procedimiento resulta verbal, es decir, no hay registro o notificación formal. Las páginas web de ReNaPer y de Nuevo DNI no la publican. 2) Se detectó que la oficina encargada de la entrega en el CAP Nº 3, no disponía de un sistema para gestionar el proceso de entrega y devolución que permita una respuesta rápida y el conocimiento de si el DNI se encuentra en la oficina. Como consecuencia, la entrega final está afectando seriamente las reducciones de tiempo conseguidas con la automatización en las fases anteriores del proceso Observación: Trámites de DNI para Extranjeros La Oficina Central de la DNM en la Ciudad de Buenos Aires dispone una serie de servicios para extranjeros que desean obtener el DNI con la información digitalizada en el origen, que se describen a continuación: 1) Radicación por primera vez. El sistema SADEX, administrado por la DNM, incorporo la opción de ventanilla única que integra en un solo trámite el pedido de radicación y del documento nacional de identidad. Para ello SADEX genera un registro específico para extranjeros, lo aloja en un servidor de ReNaPer y de aquí es llevado a la cola de trámites ingresados del sistema Nuevo DNI. 2) Radicación otorgada con anterioridad y residencia en la Ciudad de Buenos Aires. Se solicita DNI en la sede central de DNM donde se encuentra instalada una oficina de atención con terminales de DNI del ReNaPer. Una aplicación desarrollada para este caso, permite la consulta a SADEX a través de una pagina Web, pero los datos extraídos deben introducirse manualmente en el sistema DNI. El control de posibles homónimos (o sea que exista un DNI otorgado con anterioridad) se realiza en ReNaPer. Por lo tanto, el control es posterior al ingreso del trámite. 28

29 Es decir, los sistemas de DNI y SADEX no están integrados informáticamente ni se tuvo conocimiento de un plan que evite la duplicación de la información en de extranjeros las bases de datos de dos organismos pertenecientes al mismo Ministerio Observación: Trámites 061, 062, 072 y 073 para Extranjeros Se encontraron trámites originados en los registros provinciales cuya resolución lo realiza el Área Extranjeros, sin intervención del sistema Nuevo DNI, como el 072 Pedido de Fotocopia (de la partida de Nacimiento) y 073- Pedido de Certificación de Datos. En este sentido, el sistema no valida con su base de datos y tampoco dispone del registro de esas operaciones. Se encontraron dos trámites 061-Prórrogas (de permanencia) y 062-Cambio de categoría (de transitorio a permanente), originados en los registros provinciales, que en la actualidad los realiza la DNM, por lo que las actuaciones que se generan se almacenan en cajas sin darles tratamiento alguno. Esto sucede sin informarle al ciudadano extranjero sobre la inutilidad de las acciones que realiza. Además, el sistema Nuevo DNI no emplea esta vía para actualizar su base Observación: Trámites no automatizados Los Registros Provinciales Concentradores remiten por correo convencional a la sede central de ReNaPer (División Ingreso de Trámites), los trámites de documentación originados en sus oficinas locales. Ello ocurre sea porque las oficinas no se encuentran digitalizadas aún, como por la existencia de tipos de trámites que el nuevo sistema no ha automatizado. Es decir, son casos donde el procesamiento no se realiza en el lugar donde se originan y que generan una serie de operaciones manuales para su tratamiento. Se pueden clasificar en: A) Generan DNI: Duplicado Mayores. Duplicado Menores (Actua 16 con copia de partida de nacimiento). Trámites Observados (R.O.A.R.): R= Reposiciones. 29

30 O= Observaciones (Campos del formulario). A= Adopciones (Formulario 1729 con sentencia del juzgado). R= Rectificaciones. Extranjeros con residencia en el país y fuera de la Capital (Por primera vez o duplicados). B) No generan: Nacimientos. Matrimonios. Actua 8 años. Cambio de domicilio. Cambio de categoría de Extranjeros (de residente temporario a permanente). Prórrogas de permanencia en el país. Fallecidos (Nacionales y Extranjeros). En el caso A), a excepción de los R.O.A.R, la División Ingreso de Trámites, mediante un sistema (ex - UNICAP) que captura los códigos de las boletas pre-numeradas y emite una etiqueta que identifica al grupo de trámites que luego, se envía al Área Registros, también ubicada en la Sede Central quienes, a) registran en el sistema Nuevo DNI los datos de cada trámite, nº de boleta pre-numerada, datos de la persona y tipo de ejemplar (Actua 16, Canje y Nuevo). b) Remiten las cajas por provincia a la fábrica de Chutro donde se agregarán los datos biométricos. Por lo que la carga de estos trámites al sistema Nuevo DNI requiere dentro de ReNaPer, a) la intervención de tres áreas demandando mayor tiempo y recursos b) triple lectura de las boletas pre-numeradas. En el caso de los R.O.A.R. los trámites ordenados se remiten directamente a un área específica de la fábrica de la calle Chutro, lo que demanda mayor tiempo y costo para el inicio de la digitalización. 30