Hallazgos de Auditoria de Sistemas – Sector Público Nacional

De la evaluación/relevamiento realizada por el SIGEN (Sindicatura General de la Nación – Argentina) al sector Público Nacional el año 2005 previo a emitir las “Normas de Control Interno para Tecnología de Información” (Res. 48/2005 SIGEN), surgieron riesgos detectados que expresan la situación del Sector Público Nacional hasta el año 2005. A continuación se presentan la Condición y el Efecto de dichos Hallazgos de Auditoria de Sistemas:

1. La institución posee más de un sector responsable de los servicios de procesamiento de la información. (37%)
Riesgos:
Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI
Posible duplicación de esfuerzos y tareas

2. Las áreas informáticas identificadas dependen de una de las áreas usuarias. (63%)
Riesgos:
Falta de independencia
Incorrecta gestión de prioridades en la prestación de servicios

3. Las áreas informáticas identificadas carecen de estructura interna formalmente definida. (61%)
Riesgos:
Falta de separación de funciones
Desconocimiento, por parte del personal, de sus responsabilidades
Dificultades ante eventuales necesidades de rendición de cuentas

4. Las áreas informáticas identificadas no disponen de planificación documentada (37%) y no dispone de planificación aprobada (51%)
Riesgos:
Falta de dirección y control de las actividades y proyectos informáticos encarados
Ineficiencia de los proyectos informáticos
“Malas” inversiones en TI
Disparidad entre los objetivos de la organización y de la TI

5. Las áreas informáticas identificadas carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas (69%)
Riesgos:
Modificaciones no autorizadas sobre los Sistemas
Incorrecta administración de prioridades
Falta de aplicación de estándares de programación y documentación
Implementación de Sistemas no probados

6. Las áreas informáticas identificadas carecen de procedimientos aprobados para la administración de la seguridad (69%)
Riesgos:
Accesos no autorizados a la información o los recursos del Organismo
Inexactitud o falta de confiabilidad de los datos o Sistemas
Falta de disponibilidad de la información o recursos necesarios

7. Las áreas informáticas identificadas carecen de plan de contingencias (74%)
Riesgos:
Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada

8. Las áreas informáticas identificadas carecen de procedimientos documentados de back up (59%)
Riesgos:
Pérdidas de información
Interrupciones a la continuidad operativa del Organismo
Dependencia del personal que se encarga de la tarea

9. Las áreas informáticas identificadas carecen de procedimientos documentados para las actividades de soporte técnico (77%). Asimismo carecen de procedimientos documentados para la gestión de licencias de software (80 %)
Riesgos:
Administración deficiente de prioridades, disconformidad de los usuarios, etc.
Incumplimiento de la normativa aplicable.

10. La institución no realiza auditorías internas de sistemas de información
Riesgos:
Desequilibrio entre la informatización del organismo y la realización de auditorías.

Del producto de la evaluación que detectó los Hallazgos de Auditoria de Sistemas, el SIGEN redactó y aprobó un Modelo de Política de Seguridad basado en la ISO 17799, los puntos abarcados en el modelo son:

1. Organización Informática.
2. Plan Estratégico de TI
3. Arquitectura de la Información
4. Políticas y Procedimientos
5. Cumplimiento de Regulaciones Externas
6. Administración de Proyectos
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación
8. Adquisición y Mantenimiento de la Infraestructura Tecnológica
9 Seguridad
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros
11. Servicios de Internet / Extranet / Intranet
12. Monitoreo de los Procesos
13. Auditoría Interna de Sistemas

Fuente: www.arcert.org.ar


Comentario:

En el caso boliviano para el sector público se cuenta con un marco para la Gestión del sector público como es la Ley 1178 y sus decretos reglamentarios para los diferentes subsistemas (Sistema Organización Administrativa, Sistema de Presupuesto, Sistema de Control, etc.), al realizar una auditoría el marco Legal mínimo es el señalado anteriormente y para realizar una auditoría se deben seguir las Normas de Auditoría Gubernamental. Al redactar la normativa boliviana respecto a Gestión de Tecnologías de Información se procedió al revés, primero se aprobó la norma de auditoría (NAG 270 Normas de Auditoría de Tecnologías de la Información y la Comunicación), pero no se cuenta con una normativa de control interno para TI, más aún la NAG 270 indica que ante vacíos técnicos se debe considerar COBIT. Si un auditor aplica COBIT como marco normativo para realizar una auditoria de sistemas en el Sector Público Nacional, seguramente nos encontraremos no solamente con los 10 hallazgos mencionados anteriormente para el caso Argentino, más bien nos sorprenderían los resultados.

Los hallazgos mencionados en el caso Argentino son del 2005, esto demuestra que en otros países se preocuparon varios años atrás en temas de Tecnologías de la Información y Seguridad de la Información, lo que no sucedió en Bolivia, quizá los eventos recientes (amenaza de Anonymos al Presidente Morales, hackeo a la página de YPFB) sirvan para movilizar al gobierno y específicamente a los legisladores a considerar estos aspectos en la legislación y en las políticas de Estado.

¿Mínimamente qué necesitamos del Gobierno Nacional?

- Un Decreto Supremo que establezca el Sistema o Subsistema de Control Interno para Tecnologías de Información para el Sector Público, a partir de este, cada organismo del sector público elaboraría su Reglamento Específico. Se podría adoptar (o adaptar) la ISO 27002, tal como lo hizo el gobierno peruano recientemente.

- Una Ley Específica de Delitos Informáticos o una Ley que modifique el Código Penal y que incluya delitos informáticos.
Este punto no es tan difícil de cumplirlo, se podía haber avanzado algo con la Ley 164 (Ley de Telecomunicaciones y TICs) que en su anteproyecto aprobado por los Diputados incluía delitos como: Manipulación Informática; Alteración, Acceso y uso Indebido; Propiedad Intelectual; Falsedad Material; Falsedad Ideológica; Falsificación de documentos; Violación de Correspondencia; Secretos de correspondencia; Suplantación de Identidad; Sabotaje Informático; Delitos Telecom. Estos delitos fueron excluídos de forma inexplicable de la Ley Promulgada.
Ahora me pregunto ¿Cómo y bajo que marco legal se perseguirá a los autores de la amenaza de Anonymos al Presidente Morales y del hackeo a la página web de YPFB?:
Respuesta 1: Nuestro actual Código Penal Establece por ejemplo para el delito de “Alteración, acceso y uso indebido de datos informáticos” la sanción de “prestación de trabajo hasta un año o multa hasta doscientos días”, ya me imagino a los culpables (hackers) dictando clases de Word, Excel, Internet durante un año, ¡Qué castigo más ejemplar NO????!
Respuesta 2: Bajo que marco legal se perseguirá a los hackers?, bueno pues, bajo el marco legal actual, no hay de otra. Cuando se imputa penalmente a una persona por ejemplo por el delito de “Manipulación Informática (3 a 5 años)”, se le imputa también por otros delitos como abuso de confianza, falsedad material, falsedad ideológica, uso de instrumento falsificado.

- Un organismo gubernamental como el ArCERT (Coordinación de Emergencias en Redes Teleinformáticas - Argentina) que sería una unidad de respuesta ante incidentes en redes, que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten a los recursos informáticos de la Administración Pública Nacional (APN), es decir, cualquier ataque o intento de penetración a través de sus redes de información.