1. objeto de auditoría
-
Upload
vuongduong -
Category
Documents
-
view
224 -
download
0
Transcript of 1. objeto de auditoría
Evaluación de la Tecnología Informática
de Lotería Nacional Sociedad de Estado
Auditoría General de la Nación
Gerencia de Planificación y Proyectos Especiales
Departamento de Auditoría Informática
Índice 1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1
2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 2 2.3. Procedimientos de Auditoría ................................................................................................................... 4 2.4. Limitaciones ............................................................................................................................................ 7
3. ACLARACIONES PREVIAS ........................................................................................... 7 3.1. Contexto general de los juegos de azar en la Argentina .......................................................................... 7 3.2. Lotería Nacional Sociedad del Estado ................................................................................................... 11 3.3. Los sistemas de información relacionados con LNSE .......................................................................... 18 3.4. Las “máquinas tragamonedas” y el sistema de interconexión ............................................................... 20
4. COMENTARIOS Y OBSERVACIONES ....................................................................... 25 4.1. GESTIÓN INFORMÁTICA ................................................................................................................. 25 4.1.1. PLANIFICAR Y ORGANIZAR ........................................................................................................ 25
4.1.1.1 Definir un plan estratégico para TI ............................................................................................... 26 4.1.1.2 Definir la arquitectura de información ......................................................................................... 27 4.1.1.3 Determinar la dirección tecnológica ............................................................................................. 28 4.1.1.4 Definir los procesos, organización y relaciones de TI .................................................................. 29 4.1.1.5 Administrar la inversión en TI ..................................................................................................... 31 4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia ............................................................ 33 4.1.1.7 Administrar los recursos humanos de TI ...................................................................................... 34 4.1.1.8 Administrar la Calidad ................................................................................................................. 35 4.1.1.9 Evaluar y administrar los riesgos de TI ........................................................................................ 37 4.1.1.10 Administrar proyectos ................................................................................................................ 38
4.1.2. ADQUIRIR E IMPLEMENTAR ....................................................................................................... 39 4.1.2.1 Identificar soluciones automatizadas ............................................................................................ 39 4.1.2.2 Adquirir o desarrollar y mantener software aplicativo ................................................................. 40 4.1.2.3 Adquirir y mantener infraestructura tecnológica .......................................................................... 41 4.1.2.4 Facilitar la operación y el uso ....................................................................................................... 42 4.1.2.5 Adquirir recursos de TI ................................................................................................................ 43 4.1.2.6 Administrar cambios .................................................................................................................... 44 4.1.2.7 Instalar y acreditar soluciones y cambios ..................................................................................... 44
4.1.3. ENTREGAR Y DAR SOPORTE ....................................................................................................... 45 4.1.3.1 Definir y administrar los niveles de servicio ................................................................................ 45 4.1.3.2 Administrar servicios de terceros ................................................................................................. 46 4.1.3.3 Administrar el desempeño y la capacidad .................................................................................... 47 4.1.3.4 Garantizar la continuidad del servicio .......................................................................................... 48 4.1.3.5 Garantizar la seguridad de los sistemas ........................................................................................ 49 4.1.3.6 Identificar y asignar costos ........................................................................................................... 52 4.1.3.7 Educación y capacitación de los usuarios..................................................................................... 53 4.1.3.8 Administrar la mesa de servicio y los incidentes.......................................................................... 54 4.1.3.9 Administrar la configuración ........................................................................................................ 55 4.1.3.10 Administración de problemas ..................................................................................................... 57 4.1.3.11 Administración de Datos ............................................................................................................ 57 4.1.3.12 Administración del Ambiente Físico .......................................................................................... 58 4.1.3.13 Administración de operaciones .................................................................................................. 60
4.1.4 MONITOREAR Y EVALUAR .......................................................................................................... 61 4.1.4.1 Monitorear y evaluar el desempeño de TI .................................................................................... 61 4.1.4.2 Monitorear y evaluar el control interno ........................................................................................ 62
4.1.4.3 Garantizar el cumplimiento con requerimientos externos ............................................................ 63 4.1.4.4 Proporcionar gobierno de TI ........................................................................................................ 65
4.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA .......................................................... 66 4.2.1 INFRAESTRUCTURA ....................................................................................................................... 66 4.2.2. FISCALIZACIÓN .............................................................................................................................. 68 4.2.3. OTRAS ............................................................................................................................................... 73
5. RECOMENDACIONES .................................................................................................. 77 5.1. GESTIÓN INFORMÁTICA ................................................................................................................. 77 5.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA ........................................................ 114
6. CONCLUSIONES ......................................................................................................... 116 7. COMUNICACIÓN AL ENTE ....................................................................................... 120 8. LUGAR Y FECHA ........................................................................................................ 121 9. FIRMA ........................................................................................................................... 121 10. ANEXOS ..................................................................................................................... 122
ANEXO I – Comentarios del auditado ....................................................................................................... 122 ANEXO II – Análisis de los comentarios del auditado .............................................................................. 143 ANEXO III. Niveles del Modelo Genérico de Madurez ............................................................................ 219 ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. . 220 ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los procesos informáticos considerados ........................................................................................................... 223 ANEXO VI – Imágenes de sala adjunta al Data Center (Casa Central) ..................................................... 231
INFORME DE AUDITORIA
1
Al Señor Presidente de Lotería Nacional Sociedad de Estado
Cdor. Tomás Félix ELIZALDE
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en Lotería Nacional Sociedad
del Estado, del ámbito del Ministerio de Desarrollo Social, con el objeto que se detalla en
el apartado 1.
1. OBJETO DE AUDITORÍA
1- Relevar y analizar la gestión informática en el ámbito de Lotería Nacional S.E.
2- Auditar el Control Informático que realiza Lotería Nacional S.E. sobre la
explotación de los juegos que se realizan mediante las “Máquinas Electrónicas y/o
Electromecánicas de juegos de Azar” (MEEJA).
2. ALCANCE
2.1. Ejecución del Trabajo de Auditoría
El examen fue realizado de conformidad con las Normas de Auditoría Externa (NAE)
aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N°
145/93, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la
Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.
Período auditado: 01/01/2014 al 31/12/2014.
Las tareas de campo se desarrollaron de febrero a julio de 2015.
INFORME DE AUDITORIA
2
2.2. Enfoque del Trabajo de Auditoría
La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en la Lotería
Nacional Sociedad de Estado, en base a la información obtenida, a la identificación de los
temas de mayor exposición al riesgo, y a las pruebas sustantivas y de cumplimiento
realizadas, en especial, con los juegos que producen más del 96% de los ingresos por
operaciones de la organización.1
La auditoría se basó, por una parte, en la verificación de los Objetivos de Control
establecidos por el marco de referencia de buenas prácticas de TI COBIT (Control
Objectives in Information Technologies) versión 4.1. Los Objetivos de Control describen
los resultados que debe alcanzar un Organismo implantando procedimientos, basados en
las mejores prácticas aplicables a los procesos de TI.
Para cada uno de los objetivos evaluados se expone el nivel de madurez alcanzado,
conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. Adicionalmente,
se indican los requerimientos de información -detallados en el Anexo III- afectados para
cada objetivo.
Se destaca que cada Objetivo de Control va acompañado del nivel de “riesgo genérico”
(alto, medio o bajo) que le es propio, tomando en cuenta el impacto que provocaría su
incumplimiento, con independencia de la situación en la que se encuentra el Organismo.
Este nivel genérico es modificado por el índice de madurez correspondiente (dependiente
de las observaciones realizadas) para así establecer el “riesgo específico” de ese objetivo
en particular. Puede consultarse en los gráficos de los Anexos IV y V como un Objetivo de
1 Juegos On-line (39,60%), Máquinas tragamonedas (30,80%), Casino – juegos de mesa (19,08), Bingos (5,50%) y apuestas hípicas (1,56%).
INFORME DE AUDITORIA
3
Control con riesgo genérico alto y calificado con un índice de madurez alto, genera un
riesgo específico menor que aquel con riesgo genérico medio o bajo, pero con índice de
madurez bajo.
Por otra parte, la auditoría se basó en la importancia y significatividad de los riesgos
inherentes y de control de los juegos basados en “Máquinas Electrónicas y/o
Electromecánicas de juegos de Azar”.
Para tal fin se desarrollaron tareas de relevamiento y análisis de:
• la planificación y organización,
• el organigrama del área de tecnología informática y su funcionamiento,
• el presupuesto operativo anual del área,
• la administración de recursos humanos de TI,
• la evaluación de riesgos,
• la administración de proyectos,
• la administración de calidad,
• las prácticas de instalación y acreditación de sistemas y de administración de
cambios,
• la definición de los niveles de servicio,
• la administración de los servicios prestados por terceros,
• la administración de la capacidad y el desempeño,
• los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,
• la imputación de costos,
• la capacitación de los usuarios,
• la gestión de los usuarios de la Tecnología de la Información,
INFORME DE AUDITORIA
4
• la administración de la configuración de hardware y software,
• la administración de problemas e incidentes,
• la administración de datos, de instalaciones y de operaciones,
• el monitoreo de los procesos, la idoneidad del control interno y la existencia de
auditoría interna,
• documentación normativa del área informática del organismo,
• la infraestructura informática del organismo,
• los sistemas existentes, en producción y desarrollo,
• la adopción de estándares y normativas de la ONTI2 y SIGEN,
• la integración de los sistemas
• la planificación, misión y metas del organismo,
• las leyes y decretos que regulan su actividad,
• la verificación del modelo de arquitectura de la información y su seguridad
informática.
• La administración usuarios de la red informática,
• las políticas y procedimientos,
• la documentación de los sistemas.
2.3. Procedimientos de Auditoría
En la etapa de análisis se realizaron los siguientes procedimientos:
2 ONTI: Oficina Nacional de Tecnologías de Información. Entre sus principales funciones están las de implementar las estrategias de innovación informática en la administración pública, desarrollar sistemas que son utilizados en procedimientos de gestión, fijar los estándares que deben utilizar los organismos públicos cuando incorporan nuevas tecnologías, colaborar con otras dependencias en la creación de portales informativos y de gestión, promover la interoperabilidad de las redes de información de las instituciones estatales y fijar los estándares de seguridad También interviene en la implementación y control de uso de la certificación digital en el Estado, que permite tramitar electrónicamente los expedientes de manera segura y rápida.
INFORME DE AUDITORIA
5
• Evaluación del ambiente de control en la gestión de la Tecnología de la Información y
Comunicaciones.
• Realización de entrevistas con los responsables de las diversas áreas relacionadas
directa o indirectamente con la TI.
• Verificaciones in situ en los diversos centros de procesamiento de datos, en materia de
seguridad física.
• Verificación de la seguridad lógica.
• Análisis de información recibida
• Evaluación contenido y funcionalidad del sitio web (http:// http://www.loteria-
nacional.gov.ar).
• Evaluación contenido y funcionalidad de la Intranet intranet.lotería-nacional.gov.ar
• Pruebas de cumplimiento y entrevistas realizadas en las siguientes dependencias del
organismo:
− Administración Central
− Hipódromo Argentino de Palermo
− Barcos-Casinos “Estrella de la Fortuna” y “Princess”
− Bingos “Congreso”, “Flores” y “Caballito”
− Departamento de Producción
− Subgerencia de Casinos
− Departamento Operativo de MEEJA
− Departamento Administración de Recursos
− Subgerencia de Hipódromo y MEEJA
− Área de Juego Responsable de Lotería Nacional
• Pruebas sustantivas realizadas en Hipódromo Argentino de Palermo y en Casino de
Buenos Aires, sobre los siguientes controles que la Gerencia de Fiscalización de
Lotería Nacional debe realizar según lo estipula el Manual de Tragamonedas:
INFORME DE AUDITORIA
6
− Fiscalización diaria “Audit Test”.
− Determinación del beneficio diario.
− Etiquetado.
− Pagos manuales de premios progresivos.
− Comprobación de Inventario.
− Fiscalización de máquinas con fallas de transmisión - comunicación.
− Control de pozos progresivos.
− Altas, bajas y movimientos de MEEJA.
− Determinación beneficio líquido mensual.
− Control de averías / fallas.
− Control de pagos no reflejados en el sistema.
− Progresivos que genere pago manual por estar debajo del límite establecido.
• Pruebas sustantivas de generación de apuestas sobre una muestra representativa de
máquinas tragamonedas de Hipódromo Argentino de Palermo y Casino de Buenos
Aires, aplicándose muestreo de descubrimiento, con nivel de confianza del 95% y
desvío tolerable del 1%.
• Prueba sustantiva sobre la obligación de dotar a cada máquina tragamonedas de un
sistema de energía ininterrumpida, a partir de una muestra representativa de una
población de 6300 máquinas, estratificada en Hipódromo Argentino de Palermo (4700)
y Casino de Buenos Aires (1600), con un nivel de confianza del 95%, error de
muestreo del 8% y error esperado del 60% y 2% respectivamente.
• Control de cumplimiento del siguiente marco normativo:
− Resolución 48 de SIGEN
− Disposición ONTI 3/2013 “Política de Seguridad de la Información Modelo”.
− Ley 25.326 “Protección integral de los datos personales”.
− Ley 25.506 -Ley de Firma Digital.
− Ley 26.653 “Accesibilidad de la Información de las Páginas Web"
INFORME DE AUDITORIA
7
2.4. Limitaciones
Mediante Nota Nº 58/15-A06, recibida por el ente el 15/05/15, se solicitó información
relativa a usuarios locales y externos –adjuntándose un cuadro modelo para completar los
datos–, con el objeto de evaluar los controles internos sobre perfiles de acceso, separación
de funciones, autorizaciones y permisos habilitados. La solicitud fue reiterada mediante
Notas Nº 75/15-A06 y 83/15-A06, recibidas el 17/06/15 y el 16/07/15, respectivamente.
Con posterioridad a esa fecha se recibe información parcial (Nota Nº 868/15 S.G.), que
resulta insuficiente para completar el objetivo de control.
Respecto de los expedientes que permitirían evaluar el control de los niveles de servicios,
LNSE manifestó que los originales de los contratos con las firmas IGT (soporte y
mantenimiento del Sistema Accounting), y TELMEX y TELEFONICA (servicios de
telecomunicaciones) se encontraban, al momento de ser efectuada la auditoría, a
disposición del Juzgado Federal Criminal y Correccional N°6, y no contaban con las
correspondientes copias.
3. ACLARACIONES PREVIAS
3.1. Contexto general de los juegos de azar en la Argentina
El primer antecedente nacional de juegos de azar se remonta a 1893, cuando se establece la
“Lotería de Beneficencia”, denominación tanto del organismo como del juego que
simultáneamente se creaban. La lotería consistía en la comercialización de billetes al
portador con números pre impresos, determinándose el ganador por sorteo público. Su
finalidad era la recaudación de recursos con destino a políticas públicas sociales.
INFORME DE AUDITORIA
8
Cincuenta y un años después, el Estado comienza a incursionar en la administración y
explotación de otros juegos de azar, tomando a su cargo los casinos (1944), los
Hipódromos de Palermo y San Isidro, por entonces administrados por el Jockey Club de la
Ciudad de Buenos Aires (1953), el Prode (1971) y la Quiniela (1973).
Con el transcurso de los años el organismo estatal cambia de nombre y condición, aborda
variantes de juegos como el Loto y las Raspaditas, y celebra convenios con diversas
provincias que permiten la comercialización de la Quiniela Conjunta, la Nacional, la
Bonaerense y el Quini 6, entre otros; hasta que en 1990 pasa a ser Lotería Nacional
Sociedad del Estado, en el ámbito del Ministerio de Desarrollo Social.
Actualmente existe una variedad de juegos de azar, que pueden clasificarse de acuerdo a
múltiples variables.
De considerar el financiamiento de los premios, los juegos pueden dividirse en:
• “poceados”, donde el monto que se ofrece en premios es variable y corresponde a
un porcentaje de lo recaudado, como en el Loto;
• “bancados”, en los cuales la estructura de premiación es fija y la banca podría sufrir
pérdidas temporales, como con la ruleta.
Complementariamente, se encuentran los juegos con pozos “progresivos”, en los cuales
surge la “posibilidad de obtener un premio especial para una determinada combinación
ganadora” (Res. LNSE N° 145/12, Cap. III, art. 1° y 2°).
De acuerdo a la modalidad del juego, pueden clasificarse como:
• online, que requiere la intervención de algún dispositivo conectado a un sistema o
red en el momento de la generación de la apuesta. Son ejemplos de juegos online la
Quiniela y las apuestas hípicas, entre otros;
INFORME DE AUDITORIA
9
• offline, como los juegos de lotería, las raspaditas, los bingos tradicionales o los
juegos de mesa de casinos (ruleta tradicional, juegos de naipes o con dados).
Debido a los avances tecnológicos de los últimos años, ha crecido la incidencia de los
juegos online y las máquinas tragamonedas, tema sobre el que se profundizará más
adelante.3 También en los últimos tiempos han surgido sitios web y casinos online para la
realización de apuestas, con jurisdicción en provincias u otros países.
Los juegos de azar configuran un mercado que en 2014 ocupaba a 240.000 personas
aproximadamente, entre puestos de trabajo directo e indirecto en puntos de venta, salas de
juegos, organismos reguladores y las más de doce mil agencias registradas. Se trata,
asimismo, de un mercado que genera importantes recursos para el Estado Nacional y los
Estados Provinciales, producto de la participación que a través de los organismos
competentes estos tienen en la utilidad bruta (o beneficio líquido) generada por cada
juego.4 Según surge del presupuesto 2014, los ingresos de operación de Lotería Nacional
ascendían a $877 millones.5
Si bien el volumen de los fondos generados y captados por los Estados se siguen
destinando a instituciones con fines sociales, se considera que “como hecho individual y
social el juego de azar merece críticas muy severas, no obstante la práctica indica la
imposibilidad de erradicarlo” (Dec. N° 598/90, considerandos). En ese sentido, uno de los
riesgos de los juegos de azar para los apostadores, es contraer algún tipo de ludopatía,
3 Los juegos realizados mediante máquinas tragamonedas son de premiación inmediata y control online. 4 La Asociación de Loterías Estatales Argentinas (ALEA), organización que nuclea a los organismos que regulan y controlan la actividad lúdica en el ámbito del territorio nacional, estima en $9.100 millones los recursos captados en 2014 por el Estado Nacional y los Estados Provinciales. Consulta realizada a http://www.alea.org.ar/estadistica. Fecha de ingreso: 30/06/15. 5 Res. MEyFP 47/2013. En el apartado correspondiente a Lotería Nacional, se brindan datos sobre la participación porcentual de esa Sociedad del Estado en los juegos más significativos.
INFORME DE AUDITORIA
10
trastorno reconocido por la Organización Mundial de la Salud en su clasificación
internacional de enfermedades de 1992 (ya había sido definida en 1980 por la Asociación
Americana de Psiquiatras). La ludopatía consiste en una alteración progresiva del
comportamiento, que conduce a un individuo a ser incapaz de resistir los impulsos de
jugar, desconociendo cualquier consecuencia negativa personal, social y/o económica.6 No
existen a la fecha estadísticas oficiales, pero según un estudio realizado por el Hospital
Álvarez, primera institución en brindar un servicio de asistencia al ludópata, esta
enfermedad afecta a más hombres que mujeres de clase media, mayormente de 40 a 65
años de edad. Mientras que los hombres prefieren los casinos e hipódromos, las mujeres se
inclinan más por el bingo y las máquinas tragamonedas.7
Otro de los riesgos contemporáneos vinculado a los juegos de azar es el del lavado de
dinero, proceso a través del cual es encubierto el origen de los fondos generados mediante
el ejercicio de actividades ilegales, con el propósito de que ingresen al sistema financiero
como fruto de actividades legítimas, aprovechando la ausencia de nominatividad que el
juego conlleva. Al respecto, la Argentina es miembro desde 2000 del Grupo de Acción
Financiera (GAFI), organismo intergubernamental que promueve políticas para la
prevención y represión del lavado de activos a nivel internacional. Conforme la definición
del GAFI, la operatoria diaria en casinos tiene relevancia porque involucra pagos y cobros
de importantes sumas de dinero en efectivo. Una de las falencias expuestas en 2009 por el
GAFI sobre las vulnerabilidades del sector, refiere a la regulación jurídica insuficiente para
imponer controles, regulaciones y supervisiones claras a los permisionarios.8 El GAFI
considera que los jugadores deben tener tratamiento similar a los clientes de un banco:
deben ser identificados, comparar su historial de juego con sus antecedentes patrimoniales
6 ALCMEON 47 Año XV - Vol.12 Nro. 3 - octubre de 2005, pág. 244 a 255. Consultado realizada en www.alcmeon.com.ar. Fecha de ingreso 18/06/15. 7 Ibid. 8 Revista de la UIF. Informe Anual 2011. Pág. 10 y 11.
INFORME DE AUDITORIA
11
y comerciales y reportarlos a la autoridad de aplicación en caso de sospecha de que se
estuvieran cometiendo los delitos de lavado de dinero o financiación del terrorismo.9
La Unidad de Información Financiera (UIF) dependiente del Ministerio de Justicia y
Derechos Humanos, es el organismo encargado del análisis, tratamiento y transmisión de
información a los efectos de prevenir e impedir el delito de lavado de activos y el delito de
financiación del terrorismo. De acuerdo a la UIF, “Cliente son todos aquellos apostadores
que efectúen cobranzas de premios o conversión de valores por montos superiores a los
PESOS CINCUENTA MIL ($ 50.000) o su equivalente en otras monedas o bienes” (Res.
199/11, Cap. I, Art. 2º, inc. b).10
En el apartado siguiente se aborda una introducción al organismo auditado, y se brindan
mayores precisiones sobre sus acciones en materia de prevención de ludopatías y lavado de
activos.
3.2. Lotería Nacional Sociedad del Estado
Por Dec. N° 598/90 se transforma a Lotería Nacional en Sociedad del Estado (LNSE),
aprobándose su estatuto y asignándole las atribuciones de organizar, dirigir, administrar y
explotar los juegos de azar, apuestas mutuas y actividades conexas. El decreto la faculta a
establecer casinos, hipódromos y actividades concurrentes, regular su funcionamiento y
explotarlos (Art. 5º inc. b); designar agentes y permisionarios para la comercialización de
9 De acuerdo a lo manifestado por el auditado mediante Nota Nº 158/S.G. (comentarios del auditado), “… LNSE ha adoptado una política de prevención que incluye un relevamiento periódico de sus Agentes Operadores/Concesionario, respecto de sus obligaciones impuestas por normas que regulan el sector (…). Anualmente se integra un expediente por Concesionario/Agente Operador, con toda la documentación que presentan con relación al Año Calendario que se trate y se elevan dos informes semestrales tal como lo prevé el Sistema de Prevención de Lavado de Activos y Financiación del Terrorismo …”. 10 Se desprende de aquí que la identificación del apostador se hace ex post. El cliente puede comprar fichas, quedarse en la sala y no jugar para, sólo entonces, cambiarlas por dinero.
INFORME DE AUDITORIA
12
los juegos (Art. 5º inc. f) y fiscalizar y controlar los juegos de azar, rifas y tómbolas, entre
otras (Art. 6º).
Sin embargo, resulta oportuno aclarar que la regulación de los juegos de azar en la
Argentina es competencia de cada provincia y de la Ciudad Autónoma de Buenos Aires. Es
en esta última jurisdicción donde LNSE explota buena parte de sus actividades. Lo hace
mediante las concesiones del Hipódromo Argentino de Palermo, el Casino de Buenos
Aires y las Salas de Bingo11, y comercializa a través de agencias oficiales tanto juegos
propios12 como de terceros.13 Del mismo modo, juegos propios de LNSE son
comercializados por agencias provinciales en virtud de la suscripción de convenios con las
respectivas jurisdicciones.14
Dado que la Constitución de la Ciudad Autónoma de Buenos Aires establece que es
atribución de la propia ciudad administrar, regular y explotar los juegos de azar en su
territorio (Art. 50), LNSE queda habilitada a ello en virtud de la suscripción de un
convenio con el Instituto de Juegos de Apuestas de la Ciudad Autónoma de Buenos Aires,
prorrogable cada cuatro años.15 En él acordaron: i) transferir parte del producido de las 11 Bingos de Flores, Caballito, Lavalle, Belgrano y Congreso, inaugurados entre 1993 y 1996. En 1995, un año después de la reforma de la Constitución Nacional, se transfieren a la Provincia de Buenos Aires los casinos que aún estaban bajo jurisdicción nacional. 12 Son juegos propios de LNSE los siguientes: Quiniela, Loto, Loto 5, Prode, Poceada y Turfito (online), y Cash, La Grande y La Solidaria (offline). Información provista por la Gerencia de Mercados y Juegos de LNSE. 13 Para lo cual se suscribieron los siguientes convenios: Quini 6 y Brinco, de Santa Fe (1991); Telekino, de Tucumán (1992); Súbito, de Jujuy (1993); Toto-Bingo, de Córdoba (1999); Borratina y Súper 8, de la Rioja (2006); y Las Vegas y Jugá con Maradona, de Misiones (2010). Información provista por la Gerencia de Mercados y Juegos de LNSE. 14 Lotería Nacional también realiza otras actividades vinculadas con el proceso de sorteos, como el Programa de Crédito Argentino del Bicentenario para vivienda única familiar (Pro.Cre.Ar), destinado al otorgamiento de créditos hipotecarios de bajo costo (Dec. N° 902/12), el sorteo de premios para usuarios del SUBE, el “Premio de los Niños Cantores” que se destina a escuelas carenciadas, entre otros. 15 Convenio Ley Nº 1.182 de la C.A.B.A., de 2003. La cláusula segunda estipula una vigencia de cuatro años y considera que el convenio se prorroga por períodos iguales en tanto las partes no manifiesten su voluntad en contrario.
INFORME DE AUDITORIA
13
explotaciones de juegos de azar a la Ciudad de Buenos Aires,16 ii) mantener la
exclusividad de LNSE en la explotación, comercialización y fiscalización de los juegos de
azar que ésta venía desarrollando; iii) no admitir la instalación y/o funcionamiento de
nuevas salas de bingo, casinos, o salas de máquinas tragamonedas en la Ciudad Autónoma
de Buenos Aires ni en lugares cuya ubicación territorial implique acceso directo desde la
misma,17 y iv) reservar a LNSE la ampliación de las concesiones o explotaciones
existentes, siempre que no se extiendan de las ubicaciones actuales ni cambien el objeto o
usos permitidos.
En el marco de la administración y regulación de las actividades vinculadas con el mercado
de los juegos de azar en el ámbito de la Ciudad Autónoma de Buenos Aires, y conforme lo
dispuesto por el art. 42° de la Constitución Nacional (que reza, “Los consumidores y
usuarios de bienes y servicios tienen derecho, en la relación de consumo, a la protección
de su salud, seguridad e intereses económicos, …”), LNSE mediante Res. N° 42/14
aprueba e implementa el “Nuevo Programa de Juego Responsable”, comprometiéndose a
brindar contención y asesoramiento a quienes precisen asistencia médica por problemas de
adicción asociados a los juegos de azar. La normativa dispone, como medida preventiva, la
confección por parte del jugador compulsivo de un “formulario de autoexclusión”.18 Cabe
aclarar que ésta puede ser levantada por medio de un trámite de similares características a
solicitud del propio jugador, aunque con la presencia de un testigo familiar directo o la
presentación de un alta médico que certifique la superación del problema. Sin embargo, el
ingreso a las salas de juegos no contempla la presentación del documento de identidad o
16 Un detalle de ello puede verse en la tabla Nº 2. 17 El denominado casino flotante de Puerto Madero se encuentra en aguas del Río de la Plata, sobre las cuales la Ciudad Autónoma de Buenos Aires no tiene jurisdicción. Al casino se accede, sin embargo, a través de territorio de la C.A.B.A. 18 El trámite es voluntario y se realiza personalmente con documento de identidad en la sede central de Lotería Nacional S.E. o en cualquier Sala de Juego. Una vez ingresados los datos a una base, se remite la información a todas las salas de juego sobre las que Lotería Nacional S.E, tiene jurisdicción.
INFORME DE AUDITORIA
14
proceso alguno de nominatividad. Tampoco en los juegos online se exige la presentación
del documento, acción que resulta optativa para el jugador.
En cuanto a la prevención del lavado de activos, Lotería Nacional aprueba la Res. N°
53/2013 sobre el “Sistema de Prevención de Lavado de Activos y Financiación del
Terrorismo”. En ésta entiende que los mayores riesgos de la actividad reposan sobre el
pago de premios y las actividades desarrolladas por los agentes operadores. La rutina de
pago de premios incluye un proceso mediante el cual se identifica –siempre dentro de los
límites determinados por la UIF para la definición de “Cliente”–, las operaciones que en
virtud del cumplimiento de la Res. UIF 199/11 deban ser informadas por el concesionario
y/o por LNSE debido a criterios de montos, fraccionamientos, repeticiones, cobros por
terceros o por involucrar a personas políticamente expuestas. En esa línea, la Res. LNSE
N° 145/12 que regula las máquinas tragamonedas, establece que se verificará el incremento
de los importes / montos que superen el límite que establece la Unidad de Información
Financiera para el pago de premios en salas de juegos de azar, que serán controlados a
través del Sistema de Monitoreo y Control (Cap. III, art. 10º).
Los dos ámbitos en los cuales se explota el negocio de máquinas tragamonedas bajo
jurisdicción de lotería Nacional son el Hipódromo Argentino de Palermo y el Casino de
Buenos Aires.
El Hipódromo Argentino de Palermo se adjudica en una primera instancia por veinticinco
años (hasta 2016) a una UTE que más tarde conformaría “Hipódromo Argentino de
Palermo S.A.” (HAPSA). En 2002 se resuelve autorizar al concesionario a instalar y
explotar máquinas tragamonedas (Res. LNSE N° 99/02), estipulándose que parte de lo
recaudado se destinaría a aumentar los premios de los eventos hípicos. En un principio se
autoriza la instalación de hasta seiscientas máquinas, pero dos años después se aprueba un
INFORME DE AUDITORIA
15
proyecto presentado por HAPSA mediante el cual se amplía la autorización a tres mil
máquinas tragamonedas, “número que comprende las existentes y constituye un tope de
equipamiento de esa naturaleza” (Res. LNSE Nº 30/04). La cantidad máxima autorizada
de máquinas tragamonedas es nuevamente incrementada en 2007, llevando su número
máximo a 4500, con la posibilidad de incorporar 600 adicionales bajo ciertas condiciones
edilicias (Res. LNSE 31/07, ratificada por Dto. 1851/07). La ampliación en la cantidad
máxima de máquinas fue acompañada de una prórroga de diez años en la concesión (hasta
2026), con la opción de extenderla cinco años más (hasta 2031). A la fecha de cierre de
este informe, la cantidad de máquinas de este tipo en el Hipódromo Argentino de Palermo
ascendía a 4500.
Tal como se expresó anteriormente, el otro ámbito en el que se operan máquinas
tragamonedas es en el Casino de Buenos Aires. En 1999 LNSE resolvió “crear una
Comisión destinada a estudiar y analizar las posibilidades de implementación de la
explotación de Casinos por esa S.E.” (Res. LNSE 97/99, art.1º). Como resultante, se
convocó a la selección de un agente operador de una sala de casinos que funcionaría en un
buque de bandera argentina en aguas del Río de la Plata (Res. LNSE 212/99). La empresa
de origen español CIRSA (Cirsa International Gaming Group) obtuvo en ese entonces la
concesión, llevándose a cabo la apertura de un primer barco casino denominado "Estrella
de la Fortuna", con plazo hasta 2019. En 2002 se autoriza la instalación de un segundo
buque, que se instala definitivamente en 2006 con el nombre de "Princess" (reemplazante
del buque en alquiler “Mississipi River”), con plazo hasta 2026. Se autoriza la instalación
de hasta 3.000 máquinas tragamonedas, comprendiendo este número las ya existentes. A la
fecha de cierre de este informe, el Casino de Buenos Aires –“coloquialmente también
conocido como casino flotante de Puerto Madero”– cuenta con cerca de 1600 máquinas
tragamonedas.
INFORME DE AUDITORIA
16
Los ingresos provenientes de la máquinas tragamonedas ocupan el segundo puesto, sólo
superados por el conjunto de juegos online (Quiniela, Loto, Loto 5, Prode, Poceada y
Turfito, incluyendo los juegos online de las provincias). La participación porcentual de los
diversos juegos en los ingresos operativos de LNSE, puede verse en la tabla a
continuación:
Tabla N°1: Participación en los ingresos de LNSE por tipo de juego Tipo de juego Participación
Juegos on-line 39,60% Máquinas tragamonedas 19 30,80% Casino – juegos de mesa 19,08% Bingos 5,50% Juegos tradicionales 3,46% Hipódromo 1,56%
Fuente: elaboración propia en base a información provista por LNSE
Los ingresos de Lotería Nacional se constituyen a partir de la participación que esta tiene
sobre el beneficio líquido (o net win) de los distintos juegos de azar. El beneficio líquido es
el resultante del monto apostado, menos el monto por premios pagados, y se distribuye
entre diversos actores de acuerdo a la normativa específica que regula cada uno de los
juegos.20 A continuación se presenta una tabla con la distribución porcentual del beneficio
líquido de juegos concesionados.
19 Las máquinas tragamonedas le aportan a LNSE más de $600.000 por día, aproximadamente. El cálculo surge de multiplicar los ingresos de operación, ventas brutas 2014 de LNSE, por la participación de las máquinas tragamonedas en sus ingresos (ver Tabla Nº1), convirtiendo el resultado obtenido a una base diaria. 20 Este concepto, asimilable al de “utilidad bruta”, puede definirse como un porcentaje concreto de las apuestas si el juego es “poceado”, pero no si es “bancado”.
INFORME DE AUDITORIA
17
Tabla Nº2: Distribución porcentual del beneficio líquido en concesiones y operaciones
Juego LNSE Org.
Nacionales21
Concesionario GCBA Total
1. Hipódromo Argentino de Palermo - apuestas hípicas 0,79% 10,25% 85,71% 3,24% 100,00%
2. Hipódromo Argentino de Palermo - entradas 24,05% 0,00% 75,95% 0,00% 100,00%
3. Hipódromo Argentino de Palermo - tragamonedas 10,00% 10,00% 70,00% 10,00% 100,00%
4. Casino de Buenos Aires - tragamonedas 10,00% 10,00% 70,00% 10,00% 100,00%
5. Casino de Buenos Aires – ruleta y paños 4,00% 12,00% 80,00% 4,00% 100,00%
6. Bingos – apuestas 16,67% 21,66% 45,00% 16,67% 100,00%
7. Bingos – entradas 10,00% 0,00% 90,00% 0,00% 100,00%
Fuente. Elaboración propia en base a: 1 y 2) Dec. Nº 274/98 y Pliego Concesionario HAPSA Ag .Of. Res. LNSE Nº 63/02 y convenio HAPSA; 3 y 4) Dec. Nº 1.155/03; 5) Dec. Nº 600/99; 6 y 7) Decreto Nro 1.080/90 y Decreto Nro 1.772/92.
A los efectos de controlar la correcta liquidación del beneficio, LNSE cuenta con diversos
mecanismos de fiscalización, en general físicos y basados en la inspección ocular de
documentación. Dependiendo de la naturaleza del juego, dispone de fiscales en las salas de
juego, escribanos en los salones en los que se realizan los sorteos y veedores.22
A partir de la evaluación del estado de situación de la TI realizada en 2006, el ente abordó
cambios orientados a mejorar el nivel de desarrollo tecnológico como para normalizar el
desenvolvimiento de la actividad administrativa, el control de los productos incorporados y
sus redes de comercialización, acompañar las decisiones de negocio del Directorio –en
21 Entre los Organismos Nacionales beneficiarios de la explotación de juegos de azar se encuentran, entre otros, el Ministerio de Desarrollo Social de la Nación, el Ministerio de Cultura y Educación, la Secretaría de Deportes, y la Secretaría de Agricultura, Ganadería, Pesca y Alimentación. 22 Por su utilidad para la comprensión de este informe, resulta oportuno aclarar que todos los juegos tienen un desarrollo en tres instancias: 1) captura de apuestas, 2) cierre de la jugada, y 3) sorteo y determinación de ganadores.
INFORME DE AUDITORIA
18
especial las relativas a nuevos productos–, y cumplir con regulaciones externas, estándares
y buenas prácticas recomendadas por auditorías previas.
En base a los antecedentes mencionados, Lotería Nacional procedió a definir los roles,
funciones y responsabilidades del área TI y a jerarquizarla en la estructura organizacional.
A efectos de fortalecer los recursos humanos de TI se llevaron a cabo incorporaciones,
regularizaciones, promociones, concursos y capacitaciones, como así también la
implementación del pago de un “plus informático”. Adicionalmente, se construyó un
nuevo centro de procesamiento de datos en la Administración Central que, si bien no
cuenta con las características constructivas de una sala cofre, sigue con las medidas de
seguridad vigentes.
3.3. Los sistemas de información relacionados con LNSE
Lotería Nacional Sociedad del Estado utiliza un conjunto de sistemas que son centrales
para la actividad que desarrolla: i) el Sistema Administrativo Contable -que incluye los
subsistemas llamados “SIGAD/Anexo D” y “Permisionarios”, ii) el Sistema de Apuestas
Online, y iii) el denominado “Accounting”, aplicativo de monitoreo online de máquinas
tragamonedas; entre otros menos relevantes. Los sistemas principales se detallan a
continuación:
1) Sistema administrativo contable:
Está compuesto por el conjunto de aplicativos “SIGAD / Anexo D”, el “Sistema de
Permisionarios” y el sistema contable de la firma Waldbott, cuya carga se realiza
manualmente al no estar integrado a otros sistemas. El SIGAD y el Anexo D son dos
conjuntos de módulos complementarios entre sí, que comparten la misma base de
datos y que atienden los mismos aspectos de la gestión administrativa –como haberes,
INFORME DE AUDITORIA
19
cuentas corrientes, impuestos, tesorería, etc. No obstante, cuentan con distintas
funcionalidades, y están desarrollados con distintas versiones del entorno constructivo
de software ORACLE. Mientras que el SIGAD se ha desarrollado en Oracle Form 6
(gráfico), el Anexo D lo está en Form 4 (carácter). Su mantenimiento se encuentra a
cargo de la UTE IVISA – Casino Buenos Aires S.A.23 Por su parte, el sistema
“Permisionarios” comprende el padrón de agencias oficiales y permisionarios.24 En
dicho registro quedan asentadas las altas, bajas y modificaciones de agencias oficiales.
Este sistema impacta en la misma base Oracle que el SIGAD / ANEXO D, e interactúa
con el “Sistema de apuestas on-line”, que se comenta a continuación. Su
mantenimiento también se encuentra a cargo de la UTE IVISA – Casino Buenos Aires
S.A.
2) Sistema de Apuestas Online
Sistema en línea implementado en 1994 para la captura de apuestas, dónde las
terminales propietarias se distribuyen en la Ciudad y se conectan a un sistema central
por medio de una red de comunicaciones que funciona en tiempo real. Los apostadores
realizan sus apuestas en cualquier lugar donde haya una terminal (que se valida contra
el Sistema de Permisionarios), dictando al agenciero los números elegidos, solicitando
a éste la generación de una combinación aleatoria de números (apuesta automática), o
completando un volante. Con cualquiera de las opciones, la terminal imprime un ticket
que lleva impresa la información de la apuesta (además de los números elegidos, el
horario de ejecución de la apuesta, la identificación de la agencia de origen, y un
número secuencial). De modo optativo, el apostador puede identificarse con DNI para
23 El personal de la UTE asignado al mantenimiento puede acceder al código de programación a los efectos de resolver o incorporar funcionalidades a los aplicativos, pero no a los datos de las bases. 24 Los permisionarios son comercios que vende productos de LNSE como actividad anexa.
INFORME DE AUDITORIA
20
que la apuesta sea nominativa. Realizados los sorteos, el sistema identifica las apuestas
ganadoras para el otorgamiento de premios.25 3) Aplicativo Machine Accounting (Accounting) de la suite IGT Advantage
El IGT Advantage es una suite propietaria de la firma International Gambling
Technologies (IGT), orientado a la gestión y control del negocio del juego, o “gestión
de sala”. La misma firma fabrica y distribuye la mayoría de las máquinas
tragamonedas presentes en el Hipódromo Argentino de Palermo y en el Casino de
Buenos Aires. Mediante el aplicativo Accounting de la suite IGT Advantage se
controla y monitorea las máquinas tragamonedas en tiempo real. Al tratarse de un
software propietario, LNSE cuenta con una licencia de uso de este módulo, cedida por
los concesionarios del Hipódromo Argentino de Palermo y el Casino de Buenos Aires.
Lotería Nacional lo utiliza en consecuencia para realizar tareas de fiscalización y
control, determinar beneficios, generar reportes o auditar las máquinas tragamonedas.
El protocolo de comunicación entre las máquinas y los servidores en los que se
encuentra instalado el Accounting es el SAS (Slot Accounting System, por sus siglas en
inglés; o “Sistema de Contabilidad de Máquinas Tragamonedas”), también propietario
de IGT. En virtud de la importancia de este sistema y del resto de los componentes que
lo constituyen, se desarrolla con mayor profundidad en el siguiente apartado,
incluyendo un panorama del marco regulatorio específico.
3.4. Las “máquinas tragamonedas” y el sistema de interconexión
25 Los procesos internos de LNSE cuentan con un Sistema de Gestión de Calidad (SGC) bajo normas IRAM, IACC e ISO, cuyo objeto es atender la confiabilidad de la operatoria organizacional. En ese marco, ha certificado procesos clave como la programación, cierre, control, consolidación, sorteo y procesamiento de apuestas y pago de premios. El primero en certificarse fue el Loto (2001), al que le siguieron el Loto 5, la Quiniela el Prode, el sistema de Gestión de Reclamos y el sorteo del Pro.Cre.Ar.
INFORME DE AUDITORIA
21
La Res. LNSE N° 145/12 define los requisitos, características y funcionamiento de las
MEEJA (Máquinas Electrónicas y/o Electromecánicas de Juegos de Azar), coloquialmente
conocidas como máquinas tragamonedas o slots. Se trata de computadoras específicas “que
resuelven por sí o conectadas a una computadora más potente mediante una red de
comunicaciones, en forma inmediata las partidas de juego en curso”.26
La normativa también estipula los procedimientos para su aprobación, los procedimientos
y características de los sistemas de juegos acumulados o progresivos, el sistema de
interconexión de las máquinas y el sistema de gestión de sala (en este caso, el IGT
Advantage).
Entre los artículos más destacables de la norma, vale mencionar que las MEEJA deben
contar con elementos que garanticen la información contenida frente a una interrupción de
la energía eléctrica o falla del equipo (Cap. I, inc. 1.8), debiendo poseer una UPS, sistema
que permita su funcionamiento ininterrumpido por quince minutos frente a un corte del
suministro eléctrico (Cap. IV. Inc. 2.8), y alarmas para aperturas o conexiones y
desconexiones eléctricas (Cap. I, inc. 2.1 y 2.2.). A su vez, el programa residente en la
MEEJA no deberá poder alterarse a través de la programación (Cap. I, inc. 4.2); ninguna
máquina podrá funcionar de no estar conectada al “Sistema de Monitoreo y Control en
Línea” de LNSE (Cap. II, art. 1°) y de no contar con “certificado extendido por un
laboratorio independiente de reconocido prestigio internacional” (Cap. II, inc. 2.2).
26 Una máquina tragamonedas es un dispositivo en el cual se puede apostar dinero y obtener un premio en forma inmediata. En las primeras máquinas mecánicas, el juego consistía en alinear figuras impresas en rodillos movidos por principios físicos. Más tarde fueron reemplazadas por dispositivos que simulan el funcionamiento de las antiguas, pero en las cuales las figuras que se muestran en pantalla responden a algoritmos matemáticos ejecutados internamente. Para apostar, el jugador puede ingresar dinero en efectivo, tickets obtenidos de otras tragamonedas o de máquinas cambiadoras, o tarjetas personalizadas. El monto ingresado se convierte en créditos que se debitan del saldo al ejecutar la apuesta. En el caso de ganar, el pago se acreditan automáticamente, salvo de superar los $5.000, en cuyo caso se requiere de la intervención de un representante del concesionario, o los $50.000, cuando interviene, además, un representante de LNSE. Al retirarse, el jugador solicita mediante un botón el cobro del saldo en créditos que, reconvertido a pesos, se imprime en un ticket que emite la propia máquina.
INFORME DE AUDITORIA
22
Son elementos constitutivos del sistema de MEEJA, los siguientes:
• MEEJA propiamente dicha.27
• Bank Controller: dispositivo que concentra la comunicación de entre 5 y 10
MEEJA y que transforma el protocolo de comunicación a fin de enviar datos a
través de una red Ethernet.
• Concentrator: servidor que combina las señales enviadas por cada una de las
MEEJA en un una única señal.
• Translator: servidor que codifica los datos de forma tal que estos puedan ser
comprendidos desde la terminal en la cual se ejecuta el Accounting.
• IGT Advantage: suite propietario de “gestión de sala” que, entre otros, incluye el
aplicativo Accounting, receptor y administrador de todos los eventos reportados por
las MEEJA.
• Terminales de consulta u operación.
27 Pueden clasificarse en cuatro grupos: i) Standalone (independiente), ii) Standalone con pozo progresivo (deriva un porcentaje de las apuestas a un pozo de la propia máquina), iii) Isla (conjunto de máquinas que derivan un porcentaje de las apuestas a un pozo común), y iv) Ruletas electrónicas.
INFORME DE AUDITORIA
23
Figura N°1. Arquitectura del Sistema de Interconexión
Fuente: Elaboración propia en base a información suministrada por LNSE.
Los siguientes eventos significativos son reportados por las MEEJA e impactan en el
Accounting:
• Inserción de billetes.
• Reconocedor de billetes trabado.
• Puerta abierta (hay varias puertas, la apertura de cualquiera dispara el evento).
• Puerta cerrada.
• Impresora sin papel.
• Caja de efectivo llena.
• Máquina offline.
• Máquina online.
• Voucher impreso (para insertar en otra MEEJA o canjear por efectivo).
• Voucher insertado.
(MEEJA
(MEEJA
Bank Controller
Concentrator
Translator
Terminales de fiscalización
Módulo Accounting
INFORME DE AUDITORIA
24
• Voucher aprobado (luego de ser insertado, otro servidor comprueba la validez del
ticket. Este evento indica que la verificación ha sido exitosa y el crédito ha sido
cargado en la MEEJA).
El reporte incluye el estado de los contadores de la MEEJA en ese instante, registros
numéricos que describen la situación de la máquina compuestos por los campos “Coin In”
(cuenta el ingreso de fondos a la MEEJA, en unidades de cuenta propias de la máquina) y
“CoinOut” (cuenta la salida de fondos de la MEEJA, en unidades de cuenta propias de la
máquina), entre otros como “Progresivo”, “Jackpot”, “Hopper” o “Matchbonus”.
En cuanto a la exigencia de contar con un certificado extendido por un laboratorio
independiente de reconocido prestigio internacional, las MEEJA, los dispositivos de
comunicaciones intermedios, el Accounting y los servidores en los cuales se encuentra
instalado, cuentan con una certificación de hardware y software de GLI (Gaming
Laboratories International), empresa privada extranjera dedicada a la verificación de
dispositivos MEEJA. El alcance de su certificación abarca que el dispositivo analizado esté
de acuerdo con las especificaciones del fabricante y con los parámetros de premios
definidos –en el caso de LNSE– mediante normas regulatorias.
GLI firmó con la Universidad Nacional de La Plata (UNLP) un convenio que habilita a
ésta –a través de su Laboratorio de Investigación en Nuevas Tecnologías– a certificar las
máquinas tragamonedas. Simultáneamente, la UNLP ha sido contratada por LNSE para
realizar tareas de auditoria y de consultaría sobre redes de comunicación, sistemas de
control de dispositivos de juegos, seguridad de la información y marco regulatorio
asociado (Convenio Específico N°1, cláusula 2ª).
Entre las cuestiones a certificar se encuentra el porcentaje de devolución en concepto de
premios. En tal sentido, la normativa exige que el programa de premios de las MEEJA esté
“calculado de modo que en una serie teórica de jugadas, que comprende la totalidad de
INFORME DE AUDITORIA
25
las combinaciones posibles previstas, devuelva a los jugadores un porcentaje de premios
no inferior al noventa por ciento (90%) de las apuestas efectuadas”. Y luego agrega: “Este
porcentaje mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina
para la máxima apuesta que permita” (Cap. 1, inc. 1.2).
Resulta oportuno aclarar que la ganancia de los casinos y juegos “bancados” en general se
asegura a través de lo que en matemática se denomina la “ley de los grandes números”. La
empresa IGT, especializada en el diseño, desarrollo, y fabricación de las máquinas
tragamonedas, diseña sus equipos para asegurar que un porcentaje de retorno determinado
se logre con un desvío menor al 0,5%, al cabo de 10.000.000 de jugadas.28
Dada la importancia del control que LNSE debe realizar sobre la operación y liquidación
de beneficios resultantes de la explotación de las máquinas tragamonedas, la normativa le
otorga amplias facultades de fiscalización, al estipular que podrá “realizar las
fiscalizaciones, auditorías y todo otro control que considere conveniente o necesario y
bajo la metodología que a su exclusiva satisfacción establezca o decida” (Res. LNSE N°
145/12, Cap. II, art. 7°).
4. COMENTARIOS Y OBSERVACIONES
4.1. GESTIÓN INFORMÁTICA
4.1.1. PLANIFICAR Y ORGANIZAR
28 Si un casino tuviesen un parque de 2000 máquinas y hubiere unas 2000 jugadas promedio por día por máquina, se obtiene 4.000.000 de jugadas por día, lo que implica que se alcanzarán los 10.000.000 de jugadas en un lapso de dos días y medio.
INFORME DE AUDITORIA
26
4.1.1.1 Definir un plan estratégico para TI Objetivo de control: Se requiere una planeación estratégica de Tecnología de la
Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los
objetivos estratégicos del Organismo y sus prioridades. La Gerencia de Sistemas y los
niveles decisorios de la organización, son responsables de garantizar que se materialice el
valor óptimo de los proyectos y servicios. El plan estratégico debe mejorar el
entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI,
evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las
prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los
planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas,
entendidas y aceptadas tanto por el Organismo como por TI.
Este objetivo de control afecta, primariamente a la efectividad, y en forma secundaria a la
eficiencia.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. La gerencia de Sistemas conoce la necesidad de una
planeación estratégica de TI. Esta se realiza según se necesite como respuesta a un
requerimiento de negocio específico. La alineación de los requerimientos de las
aplicaciones y tecnología del negocio se lleva a cabo de modo reactivo en lugar de hacerlo
por medio de una estrategia organizacional.
Observaciones:
Falta definir un Plan Estratégico de TI vigente para administrar y dirigir todos los recursos
de TI de acuerdo con los objetivos estratégicos del organismo y las prioridades apoyado en
diferentes planes tácticos que indiquen cómo alcanzarlos.
Existió un planeamiento estratégico del área durante el período 2006 al 2010 que abarcó la
problemática de ese momento con respecto a adecuar la infraestructura tecnológica y
INFORME DE AUDITORIA
27
edilicia, la estructura orgánica y funcional, la integración de los sistemas, la capacitación
del personal y la adecuación salarial. Desde entonces no se ha vuelto a formular.
En las solicitudes anuales de presupuesto para adquisiciones se invocan razones
estratégicas, pero no están debidamente justificadas. Para más detalles ver punto “4.1.5
Administrar la inversión de TI”.
4.1.1.2 Definir la arquitectura de información Objetivo de control: La Gerencia de Sistemas debe crear y actualizar de forma regular un
modelo de información y definir los sistemas apropiados para optimizar su uso. Esto
incluye el desarrollo de un diccionario de datos de la organización, el esquema de
clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma
de decisiones gerenciales proveyendo información confiable y segura, y permite
racionalizar los recursos de los sistemas de información. Este proceso de TI también es
necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y
para mejorar la efectividad y control de la información compartida a lo largo de las
aplicaciones.
Este objetivo de control afecta, primariamente a la eficiencia y la integridad y en forma
secundaria a la efectividad y la confidencialidad
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. Se tiende a la existencia de un proceso de arquitectura de
información, por lo que coexisten procedimientos similares, aunque intuitivos e informales
que no se encuentran centralizados. Las personas obtienen sus habilidades al construir la
arquitectura de información por medio de experiencia práctica y la aplicación repetida de
técnicas.
Observaciones:
Coexisten aplicaciones desarrolladas bajo pautas precisas desde el año 2006 en adelante,
con los sistemas administrativo-contables adquiridos con anterioridad.
INFORME DE AUDITORIA
28
En el entendimiento de esta problemática, la Gerencia de Sistemas obtuvo del Directorio la
aprobación de la compra de una aplicación que cubriese integralmente la gestión
administrativa-contable más algunos módulos específicos, como la administración de
permisos y concesiones para la explotación de juegos por parte de terceros. No obstante
encontrarse avanzadas las gestiones, al momento de realizarse los trabajos de campo de
esta auditoría, dos procesos licitatorios habían resultado infructuosos.
En virtud de ello, no existe a la fecha un único modelo de arquitectura de la información,
por lo que conviven distintas plataformas tecnológicas. Si bien las aplicaciones están
integradas en relación a las bases de datos, existen interfaces manuales entre los distintos
sistemas (que no están automatizadas). Por ejemplo, existen casos donde los asientos
imputados en la aplicación contable Waldbott se componen previamente en planillas de
Excel con información procedente de otras aplicaciones.
No se ha establecido un esquema de clasificación de datos del organismo, basado en la
criticidad y sensibilidad de la información. La falta de un diccionario de datos integrado de
toda la organización no facilita la administración de la integridad y consistencia. Esto
posibilita la existencia de redundancia de información.
4.1.1.3 Determinar la dirección tecnológica Objetivo de control: La Gerencia de Sistemas debe determinar la dirección tecnológica
para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la creación de
un plan de infraestructura tecnológica que establezca y administre expectativas realistas y
claras de lo que la tecnología puede ofrecer en términos de productos, servicios y
mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar
aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición,
estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de
reacción manteniendo entornos competitivos, mejorar la economía de escala en los
INFORME DE AUDITORIA
29
sistemas de información utilizados por el personal o para la toma de decisiones, como
también en interoperabilidad entre las plataformas y las aplicaciones.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. La planeación es táctica. La evaluación de los cambios
tecnológicos se delega a individuos que siguen procesos similares, aunque intuitivos. Las
personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje
práctico y de una aplicación repetida de las técnicas. Están surgiendo técnicas y estándares
comunes para el desarrollo de componentes de la infraestructura.
Observaciones:
El organismo no cuenta con un plan de infraestructura tecnológica. Debido a ello, los
requerimientos en los procesos de adquisición no se respaldan en planes previos
debidamente justificados y la estimación de las solicitudes de compras es intuitiva. Falta la
consideración de aspectos tales como el planeamiento de la capacidad para necesidades
futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente.
4.1.1.4 Definir los procesos, organización y relaciones de TI Objetivo de control: Una organización de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y
supervisión. El Organismo debe estar inserto en un marco de trabajo de procesos de TI que
asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de
nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios,
como TI, debe determinar las prioridades de los recursos de TI alineados con las
necesidades del Organismo. Deben existir procesos, políticas administrativas y
procedimientos para todas las funciones, con atención específica en el control, el
aseguramiento de la calidad, la administración de riesgos, la seguridad de la información,
la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte
INFORME DE AUDITORIA
30
oportuno de los requerimientos, el responsable de TI se debe involucrar en los procesos
importantes de decisión.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existen roles y responsabilidades definidos
para la organización de TI y para terceros. La organización de TI se desarrolla, documenta,
comunica y se alinea con la estrategia de TI aunque la formulación de ésta sea intuitiva. La
organización de TI está funcionalmente completa. Existen definiciones de las funciones a
ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los
requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. La
división de roles y responsabilidades está definida e implantada.
Observaciones:
Tanto el organigrama del organismo como la estructura de la Gerencia de Sistemas se
encuentran formalmente aprobados por resoluciones del Directorio.29
Las misiones y funciones se encuentran definidas hasta el nivel de sector.30
En relación a la Subgerencia de Seguridad, la ubicación jerárquica actual no es apropiada
ya que no garantiza su independencia funcional y operativa de la gerencia de sistemas de
información y del resto de las áreas usuarias. Esto limita su alcance, su capacidad operativa
y el control por oposición.
En el año 2006 a partir de la evaluación del estado de situación de la TI de ese momento,
se encararon cambios tendientes a:
• contar con desarrollos tecnológico que permitiese el normal desenvolvimiento de la
actividad administrativa, el control de los productos incorporados al mercado y las
respectivas redes de comercialización.
29 Resolución N° 116/11 aprueba la estructura organizacional del organismo. Posteriormente se modifica con las resoluciones 135/12, 40/13, 93/14 y 03/15. La Resolución Nº 93/14 aprobó una modificación de las misiones y funciones de la Gerencia de Sistemas. 30 Los niveles jerárquicos son Gerencia, Subgerencia, Departamento y Sector.
INFORME DE AUDITORIA
31
• tener una organización de TI que permitiese acompañar las decisiones de negocio
del Directorio, en especial en lo referente a la posibilidad de incursionar en nuevos
productos lúdicos31.
• cumplir con regulaciones externas, como el Plan Nacional de Gobierno
Electrónico,32 los estándares dictados por la ONTI,33las normas de seguridad y
distintas observaciones surgidas de auditorías recibidas.
En virtud de ello se procedió a jerarquizar la Subgerencia de Sistemas llevándola a
gerencia, con dependencia directa del Directorio; se definió la nueva organización interna,
con las funciones, los roles y responsabilidades hasta nivel de sector; se implementó un
Plus Informático para nivelar los sueldos del escalafón vigente con los que se pagan en el
mercado en relación al personal de TI; se regularizaron situaciones contractuales de ciertos
agentes incorporándolos a la planta permanente; se llevó a cabo un plan de capacitación
para nivelar los conocimientos del personal a las necesidades técnicas que se requerían y se
promovió a ciertos agentes para que ocupen las posiciones intermedias a través de
concursos internos.
4.1.1.5 Administrar la inversión en TI Objetivo de control: Establecer y mantener un marco de trabajo para administrar los
programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.
Trabajar con los interesados para identificar y controlar los costos y beneficios totales
dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas
según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave, 31 Se da en el mundo el surgimiento de otros canales para la actividad lúdica tales como juegos on-line por Internet, telefonía fija, telefonía móvil y televisión interactiva. 32 Decreto Nro. 378/05. Propone incentivar la interacción entre la población y los diferentes organismos públicos, facilitando la comunicación y la obtención de respuestas satisfactorias y eficientes al ciudadano. 33 ONTI Oficina Nacional de Tecnología de Información.
INFORME DE AUDITORIA
32
facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y
responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los
beneficios y el retorno sobre las inversiones en TI.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de
seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y
presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de
la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de
TI. Se toman decisiones presupuestales reactivas y tácticas.
Observaciones:
Falta en la Gerencia de Sistemas un proceso de administración presupuestaria de TI donde,
habiendo identificado los costos propios de la gerencia, se puedan comparar los costos
reales con los presupuestados, identificar en forma oportuna las desviaciones y evaluar el
impacto de éstas sobre lo planificado. El seguimiento de la ejecución presupuestaria lo
llevan a cabo las áreas contables.
El organismo considera al área de TI como centralizadora de los servicios informáticos por
lo tanto computa todos los costos de TI a dicha área, aun cuando ésta no es la única usuaria
de los servicios.
La Gerencia de Sistemas realiza todos los años la formulación presupuestaria del año
siguiente. La falta de un plan de infraestructura constituye una debilidad de la formulación
presupuestaria, ya que no se identifican ni justifican técnicamente que componentes deber
renovarse, cambiarse o ampliarse.
INFORME DE AUDITORIA
33
Entre 2013 y 2014, el presupuesto de TI del organismo tuvo un incremento nominal
interanual del 4,59%.34
4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia Objetivo de control: Las máximas autoridades del organismo debe elaborar un marco de
trabajo de control organizacional para TI, y definir y comunicar las políticas. Se debe
implantar un programa de comunicación continua para articular la misión, los objetivos de
servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La
comunicación apoya el logro de los objetivos de TI y asegura la concientización y el
entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y
reglamentos.
Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria al
cumplimiento.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. La gerencia se Sistemas ha elaborado,
documentado y comunicado un ambiente de control de la información que incluye un
marco para las políticas, procedimientos y estándares que cubren temas clave. En relación
a la seguridad de datos, se ha reconocido la importancia de su concientización y se han
implementado programas formalizados a tal fin.
Observaciones:
No hay un programa de comunicación sistemática de los objetivos estratégicos de TI.
Falta la elaboración de un digesto con todas las normas y procedimientos de la gerencia.
34 Para el ejercicio 2013 el crédito aprobado para la Gerencia de Sistemas fue de 47.000.000 sobre 747.498.608 presupuestados para el organismo. Para el ejercicio 2014 fueron 49.160.333 sobre 1.019.620.544.
INFORME DE AUDITORIA
34
El ambiente de control está dado por un conjunto formalizado de rutinas de trabajo y
metodologías de TI, sin la participación y comunicación del área de Métodos y Calidad, ni
Organización y Métodos. Esto hace que el monitoreo del cumplimiento del control interno
de estas políticas sea poco consistente.
La comunicación de algunos temas sensibles tales como el uso de Internet, accesos
remotos, instalación y uso de software, resguardo de elementos activos de la red de
comunicaciones no han sido abordados.
4.1.1.7 Administrar los recursos humanos de TI Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación
y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que
apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la
terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno
depende fuertemente de la motivación y competencia del personal.
Este objetivo de control afecta a la efectividad y a la eficiencia.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Definido. Existe un proceso definido y documentado para administrar
los recursos humanos de TI, un plan de administración de recursos humanos, un enfoque
estratégico para la contratación y la administración del personal de TI. El plan de
entrenamiento formal está diseñado para satisfacer las necesidades de los recursos
humanos de TI. Está establecido un programa de rotación, diseñado para expandir las
habilidades gerenciales y de negocio.
Observaciones:
INFORME DE AUDITORIA
35
La política y el procedimiento para el reclutamiento se encuentran formalizados.35
La Gerencia de Sistemas, al momento de las tareas de campo, cuenta con 71 empleados
encuadrados en cuanto a su remuneración al escalafón del convenio colectivo de trabajo
suscripto por el organismo. El mismo contempla el pago de un plus informático como
modo de equiparar las remuneraciones del personal de TI con el mercado laboral.
El personal de Lotería Nacional S.E. ingresa y progresa en los diferentes grados, tramos,
niveles y agrupamientos así como por su acceso a las funciones ejecutivas y de jefatura, de
conformidad con el régimen de carrera previsto en el convenio, como resultado del nivel
de idoneidad, formación académica, capacitación y rendimiento laboral que alcance,
aprobando el régimen de concursos establecidos.
La empresa conformó una Comisión Paritaria denominada “Comisión Permanente de
Carrera”, que evalúa el desarrollo de carrera de los empleados de cada una de las diferentes
áreas.
Los empleados tienen la posibilidad de participar en cursos cuya aprobación permite la
acreditación de puntos que derivan en el pago de un adicional, o la promoción a otra
posición.
Falta un proceso de evaluación periódico donde se comparen los objetivos individuales
derivados de las metas organizacionales, estándares establecidos y responsabilidades
específicas del puesto.
4.1.1.8 Administrar la Calidad Objetivo de control: Se debe elaborar y mantener un sistema de administración de
calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto 35 LNSE adhiere al Convenio Colectivo de Trabajo (54/92 "E") homologado mediante la Disposición N° 85/2009 de la Dirección Nacional de Relaciones de Trabajo (D.N.R.T). La modalidad de contratación de personal, en un nivel inicial, es a través de contratos anuales, pero con la posibilidad de pasar a la Planta Transitoria y, en caso de ya revestir dicha situación, pasar a Planta Permanente. Recientemente se implementó la modalidad de “Curso/Concurso”, el que consiste en la preparación de los concursantes de un determinado perfil para una categoría superior.
INFORME DE AUDITORIA
36
se facilita por medio de la planeación, implantación y mantenimiento del sistema de
administración de calidad, proporcionando requerimientos, procedimientos y políticas
claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con
indicadores cuantificables y alcanzables. La mejora continua se logra por medio del
constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los
interesados. La administración de calidad es esencial para garantizar que la TI está dando
valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los
interesados.
Este objetivo de control afecta, primariamente a la efectividad y a la eficiencia, y en forma
secundaria a la integridad y la confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de
un Sistema de Aseguramiento de la Calidad (SAC) en relación a TI. Se realizan juicios
informales sobre la calidad.
Observaciones:
No existen políticas ni un sistema de aseguramiento de calidad que establezca estándares
para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones
correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la
entrega de valor de TI a los objetivos estratégicos del organismo.
En relación a los desarrollos de aplicaciones que se realizan internamente,36 las acciones
tendientes al aseguramiento de la calidad se encuentran en una etapa incipiente, por lo que
sólo se llevan a cabo tareas de estandarización de pantalla y listados. No se realizan
análisis de caja blanca.37
36 Las aplicaciones Anexo D y Sigad son mantenidas por la unión transitoria de empresas Casino Buenos Aires e IVISA S.A. Waldbott & Asoc S.A. mantiene la aplicación homónima. 37 En programación, se denomina “cajas blancas” a un tipo de pruebas de software que se realiza sobre las funciones internas de un módulo. Entre las técnicas usadas se encuentran la cobertura de caminos (pruebas mediante las que se recorren todos los posibles caminos de ejecución), pruebas sobre las expresiones lógico-aritméticas, pruebas de camino de datos y comprobación de bucles.
INFORME DE AUDITORIA
37
4.1.1.9 Evaluar y administrar los riesgos de TI Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración
de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,
estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre
las metas estratégicas del Organismo causado por algún evento no planeado se debe
identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para
minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe
ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable
de tolerancia.
Este objetivo de control afecta, primariamente a la confidencialidad, la integridad y la
disponibilidad, y en forma secundaria a la efectividad, la eficiencia, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI
son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de
manera ad hoc. Se realizan evaluaciones informales.
Observaciones:
No existe un marco formal de administración de riesgos que permita identificarlos con el
objeto de tomar acciones para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en
caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente
los riesgos tecnológicos se conocen, pero falta la formalización del contexto de riesgo y su
evaluación formal de manera tal de contemplar las fortalezas, las oportunidades, las
debilidades y las amenazas.
El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden
generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso. Por
ejemplo, el enfoque de continuidad del negocio tiene contemplado el procesamiento
INFORME DE AUDITORIA
38
alternativo en aquellos procesos que implican el ingreso de fondos (captura de apuestas)
pero no los egresos. De producirse una discontinuidad de los servicios de TI en la
administración central, podría impedir el cumplimiento de las obligaciones de pago por
parte de la empresa.
4.1.1.10 Administrar proyectos Objetivo de control: Establecer un programa y un marco de control administrativo de
proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe
garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.
El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de
entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de
la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación
para garantizar la administración de la ejecución del proyecto y su contribución a los
objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y
de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles
decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los
proyectos, y maximiza su contribución a los programas de inversión en TI.
Este objetivo de control afecta a la efectividad y la eficiencia.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Repetible. La Gerencia de Sistemas ha concientizado sobre la
necesidad de administrar adecuadamente los proyectos de TI. Sin embargo, la aplicación
de las directrices a los proyectos de TI se deja a discreción de cada responsable de
proyecto. La organización está en proceso de desarrollar y utilizar algunas técnicas y
métodos, proyecto por proyecto. Para estos se han definido objetivos técnicos y de
negocio, pero hay participación limitada de los usuarios interesados.
Observaciones:
No hay una administración integrada de todos los proyectos informáticos.
INFORME DE AUDITORIA
39
Además del Departamento de Mantenimiento de Software que figura formalmente en el
organigrama, existe otra área identificada como “Asesoría de Sistemas”. Uno administra
los desarrollos propios desde el año 2006, cuyos módulos integran el SULON,38 y otro que
mantiene las aplicaciones prexistentes.39 Mientras que en la primera se han seguido
directrices comunes en la administración de proyectos, esto no sucede con el segundo
conjunto. Además, ninguna se encuentra integrada a la administración de proyectos de
infraestructura de TI.
4.1.2. ADQUIRIR E IMPLEMENTAR
Como comentario general aplicable a todos los procesos del dominio, se señala que las
áreas de desarrollo y mantenimiento de soluciones automatizadas se encuentran divididas
entre una propia y otra de servicios tercerizados.
4.1.2.1 Identificar soluciones automatizadas Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis
antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen
con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,
38 SULON: Sistema Único de Lotería Nacional. Comprende los siguientes módulos: Gestión de usuarios, roles y dependencias, Gestión de Agencias y Actas Provinciales, inspecciones realizadas y denuncias, Gestión de actas e inspecciones de Agencias Oficiales, Gestión de Documentación (administración de la documentación del organismo y su ubicación física en el archivo general y en dependencias de LNSE: Notas, Providencias, Memos e Informes), Gestión de Reclamos (consultas, sugerencias, pedido de asistencia técnica de clientes), Auditorías de los juegos Borratina, Brinco, La Grande, La Solidaria, Loto, Loto 5, Prode, Quini 6, Quiniela Conjunta (Tradicional, Poceada y Tombolina), Tragamonedas (extrae información del sistema Accounting sobre las actividades de Casino de Buenos Aires y HAPSA y genera reportes), G.R.S. (Gestión de Reclamos a Sistemas (administra la gestión de incidentes relacionados con temas de hardware y aplicaciones), Bingos (seguimiento on-line de las partidas de los distintos Bingos) y Pro.cre.ar. (búsqueda de ganadores y remisión de resultados del Programa PRO.CRE.AR BICENTENARIO, -Programa de Crédito Argentino del Bicentenario para la Vivienda Única Familiar). 39 SIGAD, ANEXO D, Permisionarios, Estadísticas y Poliper (Gestión de Seguros de Agentes Oficiales y Permisionarios
INFORME DE AUDITORIA
40
considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y
económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión
final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el
costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro
de los objetivos.
Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria a la
eficiencia.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Repetible. Los enfoques para definir los requerimientos e identificar
las soluciones tecnológicas no siempre son estructurados. Las soluciones se identifican de
manera informal con base en la experiencia interna y en el conocimiento de la función de
TI. El éxito de cada proyecto depende de la experiencia de individuos clave. La calidad de
la documentación y de la toma de decisiones es variable.
Observaciones:
El marco de trabajo del área de desarrollo propio es incompleto. Faltan consideraciones
relativas a la formalización de cómo se consideraron la factibilidad, el riesgo, la asignación
de costos, las prioridades, la asignación de recursos y el beneficio esperado de la solución
adoptada.
En el caso de los servicios tercerizados, el marco de trabajo es menos formal. La falta de
documentación hace que se dependa de individuos clave para llevar adelante las tareas.
4.1.2.2 Adquirir o desarrollar y mantener software aplicativo Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo
y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la
operatividad de forma apropiada con las aplicaciones correctamente automatizadas.
INFORME DE AUDITORIA
41
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad y confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existe un proceso claro, definido y de
comprensión general para la adquisición y mantenimiento de software aplicativo. Este
proceso va de acuerdo con la estrategia de TI y del negocio. Se intenta aplicar los procesos
de manera consistente a través de diferentes aplicaciones y proyectos. Las metodologías
son por lo general flexibles y no se aplican en todos los casos.
Observaciones:
La metodología de ciclo de vida de desarrollo de sistemas (CVDS) está definida aunque
incompleta. Faltan algunos aspectos tales como definir etapas de aceptación por parte de
los usuarios involucrados y la definición de estándares de codificación del software que
pueda ser analizado en un control de aseguramiento de la calidad posterior (análisis de caja
blanca).
4.1.2.3 Adquirir y mantener infraestructura tecnológica Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado de acuerdo
con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y
pruebas, lo que contribuye con la existencia de un soporte tecnológico continuo para las
aplicaciones.
Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la
efectividad, la integridad y la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura sin ningún plan
integral. Aunque se tiene la percepción de que la infraestructura de TI es importante, no
INFORME DE AUDITORIA
42
existe un enfoque general consistente. La actividad de mantenimiento se realiza en forma
reactiva a necesidades de corto plazo.
Observaciones:
El impacto que pueda producir sobre la infraestructura tecnológica un desarrollo nuevo o
un cambio importante en alguna de las aplicaciones existentes, no está formalmente
contemplado. El organismo no cuenta con un plan de infraestructura tecnológica (ver
observaciones punto 4.1.3, “Determinar la dirección tecnológica”).
4.1.2.4 Facilitar la operación y el uso Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generación de documentación y manuales para usuarios y TI, y
proporcionar entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad, la disponibilidad, el cumplimiento y la confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existe un esquema bien definido, aceptado y
comprendido para documentación del usuario. Se guardan y se mantienen los
procedimientos en un repositorio formal y cualquiera que necesite saber tiene acceso a él.
Las correcciones a la documentación y a los procedimientos se realizan por reacción. Los
procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en
caso de desastre. No existe un proceso que especifique las actualizaciones de
procedimientos y los materiales de entrenamiento ante un cambio. Los usuarios se
involucran en los procesos informalmente. Cada vez se utilizan más herramientas
automatizadas en la generación y distribución de procedimientos.
Observaciones:
INFORME DE AUDITORIA
43
Los desarrollos propios posteriores al año 2006 tienen documentación almacenada en un
repositorio donde los usuarios habilitados tienen acceso. No así los aplicativos
desarrollados o adquiridos previamente: SIGAD, ANEXO D, WALBOTT, Permisionarios,
Estadísticas y Poliper.
4.1.2.5 Adquirir recursos de TI Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware,
software y servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI
que se requieren de una manera oportuna y rentable.
Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la
efectividad y el cumplimiento.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe conciencia organizacional de la necesidad de tener
políticas y procedimientos básicos para la adquisición de TI. Las políticas y
procedimientos se integran parcialmente con el proceso general de adquisición de la
organización del negocio. Los procesos de adquisición se utilizan principalmente en
proyectos mayores y bastante visibles. Se reconoce la importancia de administrar
proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual.
Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles.
Observaciones:
Las adquisiciones responden a un proceso formalizado por un reglamento de compras del
organismo. No se obtuvo evidencia de los contratos con los proveedores, motivo por el
cual no se pueden controlar los acuerdos de niveles de servicio.
INFORME DE AUDITORIA
44
4.1.2.6 Administrar cambios Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y
actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formal y controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y
autorizar previo a la implantación y contrastar contra los resultados planeados después de
la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la
estabilidad o integridad del ambiente de producción.
Este objetivo de control afecta, primariamente a la efectividad, la eficiencia, la integridad y
la disponibilidad, y en forma secundaria a la confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. Existe un proceso formal definido para la
administración del cambio, pero no se aplica en todos los casos. Aún pueden ocurrir
errores y los cambios no autorizados ocurren ocasionalmente.
Observaciones:
El procedimiento de administración de cambios está contemplado en la metodología de
ciclo de vida de desarrollo de sistemas (CVDS), pero es incompleto. Faltan
consideraciones de análisis de impacto en aspectos funcionales y de infraestructura de TI
que puedan traer dichos cambios, criterios para asignar prioridades y etapas de aceptación
por parte del usuario clave involucrado.
No está establecido un proceso formal para actuar en situaciones de emergencia que
contemple tareas a ser cumplidas en forma diferida una vez solucionado el problema y la
registración de pistas de auditoría.
4.1.2.7 Instalar y acreditar soluciones y cambios Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su
desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
INFORME DE AUDITORIA
45
datos de prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.
Esto garantiza que los sistemas operacionales estén en línea con las expectativas
convenidas y con los resultados.
Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la
eficiencia, la integridad y la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Definido. Se cuenta con una metodología formal en relación con la
instalación, migración, conversión y aceptación. Los procesos de TI para instalación y
acreditación están integrados dentro del ciclo de vida del sistema y están automatizados
hasta cierto punto. El entrenamiento, pruebas y transición y acreditación a producción
tienen muy probablemente variaciones respecto al proceso definido, con base en las
decisiones individuales. La calidad de los sistemas que pasan a producción puede ser
inconsistente.
Observaciones:
En el procedimiento de pasaje del software del entorno de prueba al entorno de
producción, falta la aprobación formal del usuario relevante involucrado, que avale que las
pruebas llevadas a cabo en el entorno de prueba fueron satisfactorias.
4.1.3. ENTREGAR Y DAR SOPORTE
4.1.3.1 Definir y administrar los niveles de servicio Objetivo de control: La máxima autoridad debe definir un marco que promueva el
establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño
en virtud de los cuales se medirá su cantidad y calidad.
INFORME DE AUDITORIA
46
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de
servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de
cuentas para la definición y la administración de servicios no están definidas. Si existen las
medidas para medir el desempeño, son solamente cualitativas, con metas definidas de
forma imprecisa.
Observaciones:
Falta definir y acordar convenios de niveles de servicio para todos los procesos críticos de
TI con base en los requerimientos del usuario y las capacidades de TI. Correspondería
formalizar un marco de trabajo de administración de niveles de servicio entre el usuario y
el prestador de servicios que contemple el proceso de creación del requerimiento por parte
del usuario, el almacenado de manera centralizada de la definición base de los servicios de
TI (catálogo de servicios), los acuerdos de niveles de servicios alcanzados con la Gerencia
de Sistemas conforme a las capacidades disponibles, el proceso de monitoreo de los
acuerdos y los reportes a los interesados
4.1.3.2 Administrar servicios de terceros Objetivo de control: La máxima autoridad debe implementar medidas de control
orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para
garantizar la eficacia y el cumplimiento de la política del Organismo.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
INFORME DE AUDITORIA
47
Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad
de tener políticas y procedimientos documentados para la administración de los servicios
de terceros, incluyendo la firma de contratos. La medición de los servicios prestados es
informal y reactiva.
Observaciones:
El mantenimiento de las aplicaciones “Anexo D” y “SIGAD” figuran en el contrato de
licitación del sistema de captura de apuestas en línea (licitación 4/09) sin establecer cómo
se prestará el servicio. Esto da lugar a que no se pueda establecer un acuerdo de nivel de
servicio al que el proveedor se debe comprometer.
Con respecto a las prestadoras de servicios de telecomunicaciones, durante los trabajos de
campo los convenios no fueron suministrados a esta auditoría, no obstante se verificó que
el control de la prestación no se encuentra formalizado en un procedimiento específico.
4.1.3.3 Administrar el desempeño y la capacidad Objetivo de control: Se debe implementar un proceso de administración orientado a la
recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los
recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la
demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades
futuras, almacenamiento y contingencias, y garantizar que los recursos de información que
soportan los requerimientos del Organismo estén disponibles de manera continua.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Repetible. Se utilizan herramientas para diagnosticar problemas de
desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia
de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o
consideración sobre situaciones de carga pico y peor-escenario. Los problemas de
INFORME DE AUDITORIA
48
disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria, lo que dificulta
la toma oportuna de decisiones.
Observaciones:
Falta:
• Establecer un proceso de planeación para la revisión regular del desempeño y la
capacidad de los recursos de TI, que asegure la disponibilidad para procesar cargas
de trabajo acordadas, tal como se determina en los acuerdos de nivel de servicio, y
minimizar el riesgo de interrupciones del servicio originados por falta de capacidad
o degradación del desempeño.
• Monitorear y generar reportes del desempeño del sistema.
• Elaborar un plan de contingencia que considere de forma apropiada la
disponibilidad, capacidad y desempeño de los recursos individuales de TI.
4.1.3.4 Garantizar la continuidad del servicio Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la
continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones
y brindar entrenamiento periódico.
Este objetivo de control afecta, primariamente a la efectividad y la disponibilidad, y en
forma secundaria a la eficiencia.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Repetible. Se asigna la responsabilidad para mantener la continuidad
del servicio. Los enfoques para asegurar la continuidad son incompletos y no toman en
cuenta algunos aspectos del impacto en el negocio. No hay un plan de continuidad de TI
documentado, aunque hay compromiso para mantener disponible la continuidad del
servicio y sus principios más importantes se conocen.
Observaciones:
INFORME DE AUDITORIA
49
El enfoque de la continuidad del negocio es incompleto. Se pone énfasis en aquellos
procesos que implican el ingreso de fondos pero no en los egresos. De producirse una
discontinuidad de servicios en la administración central, podría no cumplirse con las
obligaciones de pago.
4.1.3.5 Garantizar la seguridad de los sistemas Objetivo de control: La necesidad de mantener la integridad de la información y de
proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este
proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas,
estándares y procedimientos de TI. La administración de la seguridad también incluye la
implementación de los controles de acceso lógico que garantizan que el ingreso a los
sistemas, datos y programas está limitado a los usuarios autorizados. También involucra
los monitoreos y pruebas periódicas así como acciones correctivas sobre las debilidades o
incidentes identificados.
Este objetivo de control afecta, primariamente la confidencialidad y la integridad, y en
forma secundaria la disponibilidad, el cumplimiento y la confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Repetible. Las responsabilidades y la rendición de cuentas sobre la
seguridad, están asignadas a un responsable, pero su autoridad es limitada. La conciencia
sobre la necesidad de la seguridad está fraccionada y no cubre todos los aspectos. Las
políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades
son insuficientes. La habilitación sobre seguridad está disponible pero depende
principalmente de la iniciativa de individuos claves.
Observaciones:
El Organismo cuenta con una Subgerencia de Seguridad de la Información, responsable del
cumplimiento de la Política respectiva. No obstante, depende de la Gerencia de Sistemas,
lo que no garantiza su independencia funcional y operativa tanto de dicha gerencia como
INFORME DE AUDITORIA
50
del resto de las áreas usuarias. Esto limita su alcance, capacidad operativa y el control por
oposición.
Concientización sobre la seguridad de la información.
Se ha aprobado una Política de Seguridad de la Información40 (PSI), se realizan cursos de
capacitación en seguridad de la información para todo el personal, pero los mismos no son
obligatorios, detectándose que personal técnico no recibió capacitación en la misma y
desconoce la existencia y contenido de la PSI. El seguimiento del cumplimiento de la PSI
se realiza evaluando las encuestas completadas al finalizar los cursos de capacitación. No
se releva departamento por departamento para verificar su cumplimiento y nivel de
conocimiento alcanzado.
Los propietarios de los datos no se encuentran definidos de manera formal. La PSI
establece la forma en que deben ser clasificados los activos de información, pero ésta
clasificación no se ha formalizado.
No se cuenta con un Plan de Seguridad de TI ni con un Plan de Contingencias, además de
no contar con un análisis de riesgos por cada sistema aplicativo y por departamento, a
excepción del Informe de evaluación del Data Center del Departamento de Producción.
Se detectó que hay sistemas cuyas políticas de cuentas de usuario no respetan la PSI y el
administrador del sistema tiene a la vista las contraseñas de los usuarios.
La Subgerencia de Seguridad de la Información no tuvo ni tiene injerencia en la seguridad
del sistema Accounting que registra los movimientos de las máquinas tragamonedas de
HAPSA y Casino de Buenos Aires.
Administración de Cuentas de Usuarios.
Las tareas de revisión periódica de las cuentas de usuario no están formalizadas bajo un
procedimiento específico.
No se suspenden las cuentas de los usuarios que se encuentren de licencia.
Se han hallado usuarios de la Gerencia de Sistemas de las bases de datos de producción. 40 Resolución LNSE 83/10. Se actualizó con la Resolución 96/12 del 25/09/2012.
INFORME DE AUDITORIA
51
Administración de Contraseñas.
No se cumplen las políticas de contraseñas fijadas en la PSI en los servidores Windows,
Linux y AIX,41 excepto en el servidor de base de datos del Casino de Buenos Aires.
El sistema de Permisionarios tiene su propia administración de usuarios, es administrada
por el jefe de departamento y no cumple con los requisitos detallados en la PSI. Tanto la
identificación de usuario como la contraseña pueden ser visualizadas por el administrador.
Todos los integrantes del Departamento de Producción conocen la clave de acceso de
super-usuario42 de los servidores, además de permitirse el cambio de un usuario común a
super-usuario. Esto posibilitaría que intencional o accidentalmente se realicen operaciones
que pongan en riesgo la seguridad de la información que se almacena en ellos.
Accesos físicos.
Hay racks de comunicaciones en lugares de libre acceso a personal ajeno al Departamento
de Telecomunicaciones, con cables a la vista y armarios sin cerramiento en su parte
posterior; algunos junto a ventanas de fácil acceso desde el exterior. En el cuarto piso, el
acceso al rack de comunicaciones se encuentra obstaculizado por armarios que se
encuentran por delante.43
En el Centro de Cómputos hay equipamiento de LNSE en el área de equipamiento de
terceros, sin ningún tipo de aislamiento para impedir su manipulación accidental o
indebida por personal externo.
Seguridad de la Red.
41 No exigen requisitos de complejidad de contraseñas, no fijan longitud mínima de la contraseña, las contraseñas nunca expiran, la vigencia máxima de las contraseñas en algunos casos es de 42 días (debiendo ser 90 días), no se guarda el historial, no tienen fijados umbrales de bloqueo de cuentas (bloqueo que cuenta tras un número de tres intentos fallidos). 42 Usuario de mayor privilegio en la administración de un sistema operativo. 43 Existe un expediente interno 370.969/10 sobre este tema, donde el Departamento de Comunicaciones solicita a la Subgerencia de Sistemas “… correr los armarios que obstaculizan el acceso al Rack de comunicaciones y colocar una puerta no sólo como aislante del ruido, sino también como aislamiento térmico…”.
INFORME DE AUDITORIA
52
No existe ningún dispositivo de defensa perimetral44 entre la red de LNSE y las redes de:
• la UTE IVISA-Casino Buenos Aires
• HAPSA
• Casino de Buenos Aires.
Si bien la red de la UTE IVISA – Casino de Buenos Aires interna a LNSE se encuentra
encapsulada dentro de su propia red de área local virtual (VLAN), el puerto de ingreso a
ésta no posee etiquetado, por lo que, con un mínimo conocimiento de la red, la UTE
tendría acceso a la totalidad de la red de LNSE.
No existe una lista de control de acceso (ACL) que regule el acceso interno a los servidores
del centro de cómputos. Esto significa que cualquier dispositivo conectado a la red interna
de LNSE tiene acceso a la pantalla de autenticación de los servidores albergados en el
centro de cómputos.
La infraestructura de red depende exclusivamente de un enrutador núcleo para el cual –no
obstante contar con hardware redundado mediante duplicidad de placas controladoras–, no
se cuenta con plan de contingencia alguno ante su eventual falla.
Los servicios críticos de comunicaciones se encuentran a la fecha sin garantía y bajo un
régimen de legítimo abono.
4.1.3.6 Identificar y asignar costos Objetivo de control: Se debe implementar un sistema de imputación de costos que
garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle
requerido y el ofrecimiento de servicio adecuado.
Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y
reportar costos de TI a los usuarios de los servicios.
44 Estos dispositivos son conocidos comúnmente como “Firewall”. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
INFORME DE AUDITORIA
53
Este objetivo de control afecta a la eficiencia y la confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los
servicios de información, pero no hay una distribución de costos por usuario, cliente,
departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. El marco
de monitoreo de los costos de TI es débil e incompleto.
Observaciones:
La asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de
los servicios de TI, sino a la Gerencia de Sistemas.
Falta la implementación a nivel de la organización de un enfoque orientado a la
administración por centros de costos de los recursos de TI. Dentro de este marco de
trabajo, la Gerencia de Sistemas no presenta un proceso presupuestario propio de los
programas de inversión de TI, incluyendo los costos de operar y mantener la
infraestructura actual. Este proceso debería permitir su monitoreo para determinar la
contribución esperada de TI a los objetivos estratégicos del organismo.
4.1.3.7 Educación y capacitación de los usuarios Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada
grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para
llevar a cabo un entrenamiento efectivo y para medir los resultados.
Este objetivo de control afecta, primariamente a la eficacia y en forma secundaria a la
eficiencia.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de madurez: Definido. El programa de entrenamiento y educación se
institucionaliza y comunica, y los empleados y gerentes identifican y documentan las
necesidades de entrenamiento. Los procesos de entrenamiento y educación se estandarizan
INFORME DE AUDITORIA
54
y documentan. Para soportar el programa de entrenamiento y educación, se establecen
presupuestos, recursos, instructores e instalaciones. La mayoría de los procesos de
entrenamiento y educación son monitoreados.
Observaciones:
En el acta de la Comisión Negociadora del Convenio Colectivo de Trabajo suscripto45 se
establece que “la capacitación está considerada como un derecho inalienable de los
trabajadores y es obligación del empleador brindar la misma, con incorporación de las
temáticas y prestaciones pedagógicas que respondan a la gestión laboral”. También se
contemplan licencias y franquicias horarias a los empleados que concurran a capacitarse.
Para temas relativos a la actividad lúdica, el organismo cuenta con la Escuela de
Formación y Capacitación de Lotería Nacional S.E.46, la cual propone el Plan Institucional
de Capacitación (PIC) y el Plan Operativo de Capacitación (POC). En tal sentido, la
Gerencia de Sistemas eleva las necesidades de capacitación propias que alimentan tanto al
PIC y al POC.
4.1.3.8 Administrar la mesa de servicio y los incidentes Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los
usuarios de TI requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso
de administración de incidentes. Este proceso incluye la creación de una función de mesa
de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-
raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la
resolución rápida de consultas. Además, permite identificar la causa raíz a través de un
proceso de reporte efectivo.
Este objetivo de control afecta a la efectividad y la eficacia.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
45 Artículo 45 del Convenio Colectivo de Trabajo de Empresa Nº 54/92 “E”, suscripto con UPCN. 46 Creada por Resolución Nº 47/08-LNSE y cuyas Misiones y Funciones estableció la Resolución Nº 59/08-LNSE.
INFORME DE AUDITORIA
55
Nivel de madurez: Parcialmente Definido. En todos los niveles de la organización hay un
total entendimiento de los beneficios de un proceso de administración de incidentes. La
función de Mesa de Ayuda se ha establecido en las unidades organizacionales apropiadas.
Las herramientas están automatizadas. Las responsabilidades son claras y se monitorea su
efectividad. Los procedimientos para comunicar, escalar y resolver incidentes han sido
establecidos y comunicados.
Observaciones:
El usuario que recurre a la Mesa de Ayuda se comunica a través de llamadas telefónicas o
mails. El operador que atiende el reclamo carga el incidente en un aplicativo denominado
“Gestión de Reclamos y Servicios” (GRS). Debido a que esta carga no la realiza el usuario
propiamente dicho, no es seguro que se carguen todos los incidentes, en especial aquellos
que son menores.
Una vez que el incidente está resuelto, lo cierra Mesa de Ayuda, sin que esto implique la
conformidad del usuario.
No existe una base de conocimientos con soluciones estandarizadas. Los conocimientos
están considerados a partir de la resolución de incidentes históricos que son consultados en
cada caso.
No se utiliza la intranet como reservorio de “preguntas frecuentes” de modo tal que el
usuario tenga una guía para resolver el problema sin tener que consultar a la Mesa de
Ayuda.
4.1.3.9 Administrar la configuración Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen
y registren todos los bienes tangibles e intangibles –lo que incluye licencias de software
adquirido o de propia producción– de Tecnología de la Información, con su ubicación
física. Estos procedimientos deben incluir la recolección y registro de información de la
configuración inicial, el establecimiento de normas que prohíban movimientos y
INFORME DE AUDITORIA
56
modificaciones no autorizadas, la verificación y auditoría de la información de la
configuración y la actualización del repositorio de configuración conforme se necesite.
Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la
eficiencia, la disponibilidad y la confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Parcialmente definido. Los procedimientos y las prácticas de trabajo
se han documentado, estandarizado y comunicado. Además se han implementado
herramientas similares de administración de configuración entre plataformas. Es poco
probable detectar las desviaciones de los procedimientos y las verificaciones físicas se
realizan de manera inconsistente. Se lleva a cabo algún tipo de automatización para ayudar
a rastrear cambios en el software o en el hardware.
Observaciones:
No existe un único repositorio de los bienes tangibles e intangibles de TI.
Los elementos de la configuración de TI se registran en dos sistemas distintos: el
departamento de Bienes de Uso lo hace en el módulo homónimo de la aplicación en el
Anexo D y la Gerencia de Sistemas utiliza su propio sistema: el SASHI.47 Estos dos
sistemas no están integrados y cada uno cuenta con su propia base de datos. Las
registraciones se hacen individualmente en cada uno.
Si bien el Departamento de Bienes de Uso sigue un Manual de Procedimientos
Administrativos para Bienes de Uso, aprobado formalmente por Organización y Métodos y
la Gerencia de Sistemas cuenta con Rutinas de Trabajo aprobadas por la Gerencia de
Sistemas, ambas no se vinculan entre sí. La información en algunos casos se encuentra
desactualizada y algunos bienes intangibles no se han registrado.
47 SASHI: Sistema de Administración de Software, Hardware e Insumos.
INFORME DE AUDITORIA
57
4.1.3.10 Administración de problemas Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y de respuesta a todos los incidentes. El proceso también incluye la identificación
de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus
de las acciones correctivas.
Este objetivo de control afecta, primariamente a la eficacia y la eficiencia, y en forma
secundaria a la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Parcialmente Definido. El proceso de administración de problemas se
entiende a todos los niveles de la organización. Las responsabilidades están claramente
establecidas. Los métodos y los procedimientos son documentados y comunicados. La
mayoría de los problemas están identificados, registrados y reportados.
Observaciones:
Tal como ocurre en el tratamiento de incidentes, el usuario que recurre a la Mesa de Ayuda
se comunica a través de llamadas telefónicas o mails. El operador que atiende el reclamo
carga el incidente en un aplicativo denominado “Gestión de Reclamos y Servicios” (GRS).
Debido a que esta carga no la realiza el usuario propiamente dicho, no es seguro que se
carguen todos los incidentes que puedan derivar en considerarse problemas.
Falta integración con los procesos de administración de cambios y de configuración ya que
para éstos se utilizan otras herramientas que no están vinculadas (“G.R.S.”, aplicación para
la gestión de reclamos y servicios, y el módulo “Bienes de Uso” del Anexo D).
4.1.3.11 Administración de Datos Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información para asegurar que los datos permanezcan durante su entrada, actualización y
almacenamiento completos, precisos y válidos. El proceso de administración de
INFORME DE AUDITORIA
58
información también incluye el establecimiento de procedimientos efectivos para
administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así
como su eliminación apropiada.
Este objetivo de control afecta a la integridad y la confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Parcialmente Definido. Se entiende y acepta la necesidad de una
adecuada administración de los datos, tanto dentro de TI como a lo largo de toda la
organización. Se establece la responsabilidad sobre la administración de los datos. Se
asigna la propiedad sobre los datos a la parte responsable que controla TI y se utilizan
algunas herramientas para respaldo, recuperación y desecho de equipos.
Observaciones:
Si bien están correctamente implementados los procedimientos para el archivo,
almacenamiento y retención de los datos, acorde a la política de seguridad de la
organización y los requerimientos regulatorios, producto de la no implantación de una
política de despapelización, hay más información impresa que lugar para almacenarla, lo
que hace imposible cumplir con una política de escritorios limpios, por lo tanto hay
información disponible que puede estar al alcance de usuarios no apropiados.
También se transporta mucha de esta información físicamente de un sitio a otro –por
ejemplo, desde donde se explotan los juegos, a la administración central, o entre distintas
sedes–, sin que se hayan implementado procedimientos de seguridad aplicables al envío,
traslado y recepción.
4.1.3.12 Administración del Ambiente Físico Objetivo de control: La protección del equipo de cómputos y del personal requiere de
instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y
físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto
funcionamiento.
INFORME DE AUDITORIA
59
Este objetivo de control afecta, a la integridad y a la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Definido. Se entiende y acepta a lo largo de toda la organización la
necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el
mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y
rastreado por la gerencia. Se aplican restricciones de acceso, permitiendo el ingreso a las
instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y
acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y
no son reconocibles de manera fácil. Se monitorea el cumplimiento de los reglamentos de
salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar costos.
Observaciones:
Centro de Procesamiento de Datos de la Administración Central.
No hay centro de procesamiento alternativo. Si bien está contemplado en el proceso de
captura de apuestas un centro alternativo, el mismo no se encuentra a una distancia
aconsejable. Además no cubre el procesamiento del resto de los procesos del organismo.
Se observó la presencia de material inflamable, como cajas de cartón, cajas de plástico y
armarios de madera.
Adicionalmente, falta enmallar cables. Algunos racks no tienen puerta, se observan
pequeñas roturas en el cielo raso. El Centro de Procesamiento de Datos no es una sala
cofre.
Instalación Eléctrica.
En la sala donde está el tablero de electricidad principal del edificio se encontraron los
siguientes objetos inflamables: puerta de acceso de madera, cajas de cartón, objetos varios
de madera, cables en el piso que dificultan el acceso al tablero.
Los proveedores acceden acompañados por personal del Departamento de Sistemas
Eléctricos sin registrarse en una planilla. No está señalizado el piso con pintura reflectiva
que conduzca al tablero principal en caso de corte de suministro eléctrico.
INFORME DE AUDITORIA
60
Data Center del Casino de Buenos Aires
LNSE posee un rack de servidores propio instalado en el centro de cómputos de esta
empresa. En este rack, donde se encuentra uno de los tres servidores donde se aloja el
sistema Accounting, no posee puerta trasera dado que la longitud del servidor es mayor que
el ancho del rack.
Por otra parte, el personal de Casino de Buenos Aires cuenta con la llave de la puerta
delantera, teniendo acceso físico total a los equipos ubicados en este rack.
Además, se observó la presencia de material inflamable (cajas de cartón, alfombras y
otros) próximo a las instalaciones.
Data Center de HAPSA
El rack de servidores de LNSE que se encuentra ubicado en el centro de cómputos de esta
empresa y que incluye el servidor con el Accounting, se encuentra alojado en el mismo
ambiente físico que los racks propiedad de HAPSA.
El rack de comunicaciones propiedad de LNSE se encuentra cerrado pero con la llave
puesta. El acceso irrestricto al rack expone al equipamiento de comunicaciones a ataques
físicos y lógicos, y propensa su riesgo de accidentes, lo que compromete la disponibilidad
del servicio y la seguridad de la comunicación48.
4.1.3.13 Administración de operaciones Objetivo de control: Un procesamiento completo y apropiado de la información requiere
su efectiva administración y el mantenimiento del hardware involucrado. Este proceso
incluye la definición de políticas y procedimientos de operación para una administración
efectiva del procesamiento programado, protección de datos de salida sensitivos,
monitoreo de infraestructura y mantenimiento preventivo de hardware.
48 Dentro del rack se encuentra un conmutador con su panel de conexiones, donde se encuentran conectados los puestos de trabajo de los agentes fiscalizadores y el equipamiento de telecomunicaciones que permite la conexión con la oficina central de LNSE.
INFORME DE AUDITORIA
61
Este objetivo de control afecta primariamente a la efectividad y la eficiencia, y en forma
secundaria a la integridad y la disponibilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de madurez: Definido. Se entiende y acepta dentro de la organización la necesidad
de administrar las operaciones de cómputo. Las funciones repetitivas están definidas,
estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las
tareas completadas y de los eventos se registran, con reportes a la gerencia. Se introduce el
uso de herramientas de programación automatizadas y de otras herramientas para limitar la
intervención del operador. Se introducen controles para colocar nuevos trabajos en
operación. Se desarrolla una política formal para reducir el número de eventos no
programados.
Observaciones:
Los acuerdos de nivel de servicio y mantenimiento con proveedores son de naturaleza
informal.
4.1.4 MONITOREAR Y EVALUAR
4.1.4.1 Monitorear y evaluar el desempeño de TI Objetivo de control: Una efectiva administración del desempeño de TI requiere un
proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores
de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditas
cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas
correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
Este objetivo de control afecta, primariamente la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
INFORME DE AUDITORIA
62
Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar
información sobre los procesos de monitoreo. No se han identificado procesos estándar de
recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de
acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI
específicos. El monitoreo por lo general se implanta de forma reactiva.
Observaciones:
Falta establecer un marco de trabajo de monitoreo general que defina los objetivos de
desempeño, el alcance, qué datos se van a recolectar, la metodología y el proceso a seguir
para medir la solución y la entrega de servicios de TI, de manera de poder comparar en
forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar
medidas correctivas para resolver las causas subyacentes cuando hay desvíos.
4.1.4.2 Monitorear y evaluar el control interno Objetivo de control: Establecer un programa de control interno efectivo para TI requiere
un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de
las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por
terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad
eficiencia y eficacia respecto a las operaciones así como en el cumplimiento de las leyes y
regulaciones aplicables.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo
Nivel de Madurez: Parcialmente Definido. Se han desarrollado, documentado y
comunicado políticas, procedimientos y procesos para garantizar el cumplimiento de los
reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo y
existen requisitos de cumplimiento que no han sido resueltos. Se brinda entrenamiento
INFORME DE AUDITORIA
63
sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye
respecto a los procesos de cumplimiento definidos.
Observaciones:
Existe un marco de trabajo de control interno con el cual se monitorea en forma continua el
ambiente de control de TI, pero dada la magnitud de la instalación y los recursos de la
auditoría interna, que son llevadas a cabo por un único funcionario, los controles son muy
focalizados y no puede abarcar un programa más completo.
4.1.4.3 Garantizar el cumplimiento con requerimientos externos Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del
establecimiento de un proceso independiente de revisión para garantizar el cumplimiento
de las leyes y regulaciones. Este proceso incluye la definición de una declaración de
auditoría, independencia de los auditores, ética y estándares profesionales, planeación,
desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.
El propósito de este proceso es proporcionar un aseguramiento positivo relativo al
cumplimiento de TI de las leyes y regulaciones.
Este objetivo de control afecta, primariamente al cumplimiento y en forma secundaria a la
confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe el entendimiento de la necesidad de cumplir con los
requerimientos externos y la necesidad se comunica. No existe, sin embargo, un enfoque
estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y
los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos
externos y a los temas de cumplimiento.
Observaciones:
Se observaron debilidades en el cumplimiento de los siguientes marcos normativos:
INFORME DE AUDITORIA
64
• Resolución 48 de SIGEN "Normas de Control Interno para Tecnología de la
Información para el Sector Público Nacional”.
Se detectaron los siguientes incumplimientos:
Organización Informática. La Subgerencia de Seguridad depende de la Gerencia de
Sistemas. Esto no permite garantizar una adecuada separación de funciones que
fomente el control por oposición.
Plan Estratégico de TI. La Gerencia de Sistemas no elaboró ni implementó un plan
informático estratégico, que esté alineado con el plan estratégico y el presupuesto
de la organización.
Arquitectura de la Información. No hay un modelo definido de arquitectura de la
información que abarque a la organización integra.
Cumplimiento de Regulaciones Externas. No se garantiza que la propiedad
intelectual del software sea de LNSE para los desarrollos internos.
Administración de Proyectos. No se dispone de una metodología de administración
de proyectos aplicable a todos los proyectos informáticos abordados que contemple
aspectos tales como: objetivos, alcance, asignación de responsabilidades y
facultades a los miembros del grupo de proyecto, estudios de factibilidad, análisis
de los riesgos, presupuesto de los recursos a utilizar, participación formal de las
áreas involucradas y de la unidad de auditoría interna.
Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No existe un
procedimiento para solicitudes de emergencia, incluyendo la autorización del
responsable de la unidad de TI, el registro y monitoreo de las tareas realizadas
La unidad de auditoría interna no participa en el proceso de desarrollo de software.
Monitoreo de los Procesos. Faltan algunos indicadores de desempeño para
monitorear la gestión de las actividades de TI, tales como temas presupuestarios y
de administración de proyectos.
INFORME DE AUDITORIA
65
• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". El diseño de la
página Web de la organización no permite a las personas con discapacidad visual
acceder a la información que allí se brinda. No se siguen las normas y requisitos
establecidos por la ley. No se garantiza a estas personas la igualdad de trato.-
4.1.4.4 Proporcionar gobierno de TI Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo,
incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con
las estrategias y objetivos del organismo.
Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma
secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la
confiabilidad.
Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo
Nivel de Madurez: Repetible. Existe una conciencia sobre los temas de gobierno de TI.
Las actividades y los indicadores de desempeño del gobierno de TI, los cuales incluyen
procesos planeación, entrega y supervisión de TI, están en desarrollo. Los procesos de TI
seleccionados se identifican para ser mejorados con base en decisiones individuales. La
gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de
evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la
organización. La comunicación respecto a los estándares y responsabilidades de gobierno
se deja a los individuos. Los individuos impulsan los procesos de gobierno en varios
proyectos y procesos de TI. Los procesos, herramientas y métricas para medir el gobierno
de TI están limitadas y pueden no usarse a toda su capacidad debido a la falta de
experiencia en su funcionalidad.
Observaciones:
INFORME DE AUDITORIA
66
Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo
definidos y formalizados para asegurar:
• El tratamiento uniforme en la administración de la totalidad de los proyectos de TI.
• El seguimiento de la gestión, mediante un programa de calidad que establezca
indicadores a partir de metas y objetivos definidos previamente, de modo de medir
la contribución de TI a los objetivos estratégicos del Organismo y posibilitar la
rendición de cuentas.
• La administración de costos, a partir de la cual sea posible identificar los cargos
asociados a cada servicio, con vistas a su monitoreo y a una correcta administración
de los programas de inversión.
• Un esquema de monitoreo que permita medir el desempeño y la correcta asignación
de los recursos, como así también si los objetivos perseguidos son alcanzados o no,
para permitir la toma de acciones correctivas.
• La administración de riesgos, que permita reportar aquellos relacionados con TI y
su impacto en la posición de riesgos de la organización.
Faltan definir posiciones funcionales claves como: administración de gestión de
aseguramiento de la calidad, administración de Riesgos y administración de Proyectos
La ubicación jerárquica actual de la Subgerencia de Seguridad no es apropiada ya que no
garantiza su independencia funcional y operativa de la Gerencia de Sistemas de
Información y del resto de las áreas usuarias. Esto limita el alcance, su capacidad operativa
y el control por oposición.
4.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA
4.2.1 INFRAESTRUCTURA
INFORME DE AUDITORIA
67
4.2.1.1. Casino de Buenos Aires posee acceso físico y lógico a los discos en los que LNSE
almacena información de fiscalización de MEEJA, por lo que potencialmente podría tener
acceso de escritura y borrado a las tablas de las bases de datos.
La infraestructura informática de fiscalización y control de MEEJA era en un principio
propiedad del concesionario, pero en los considerandos de la Res. LNSE 145/12 se previó
su cesión a LNSE para que esta pudiera ejercer los controles que crea convenientes sin la
necesidad de solicitar información a los concesionarios. En el caso de Casino de Buenos
Aires, la cesión se llevó a cabo en el año 2014 mediante un Convenio en el que se detalla el
equipamiento cedido a LNSE. Sin embargo, la lista omite una de las matrices de discos del
sistema, que es la que se utiliza para almacenar una copia de los servidores virtuales que
integran el Accounting. Al cierre de las tareas de campo, la matriz de discos no había sido
cedida y Casino de Buenos Aires almacenaba en ella información de uso exclusivo,
además de poder acceder físicamente a los discos. La infraestructura donde se almacena el
sistema debe ser propiedad y de uso exclusivo de LNSE para asegurar que los datos sean
administrados por la aplicación Accounting o por personal de LNSE, exclusivamente. Con
la actual configuración, se pone en riesgo la integridad de los datos y la disponibilidad del
sistema.
4.2.1.2. Los agentes de LNSE que llevan a cabo las tareas de fiscalización en las salas de
juego se conectan al Accounting mediante una conexión externa única, por lo que la
realización de sus tareas se encuentra vulnerable a caídas en el servicio de transmisión de
datos.
Para desarrollar las tareas de fiscalización de las MEEJA, el personal de LNSE ubicado en
Casino de Buenos Aires y HAPSA accede a los servicios necesarios (correo electrónico,
Telefonía VoIP, servidor de archivos, y el acceso al propio Accounting) por medio de una
INFORME DE AUDITORIA
68
conexión punto a punto que no se encuentra replicada. Dicha conexión debería contar con
redundancia a los efectos de poder garantizar la continuidad del servicio. Dada la
inexistencia de un plan de contingencias, una caída en el servicio de transmisión de datos
dificultaría las tareas de fiscalización.
4.2.2. FISCALIZACIÓN
4.2.2.1. Los Agentes Fiscalizadores de LNSE no cuentan con herramientas adecuadas
para el control de conectividad y transmisión de las MEEJA.
LNSE dispone de dos herramientas de control de conectividad y transmisión: i) un tablero
de monitoreo donde, por medio de un código de colores, se verifica el estado de la
MEEJA, y ii) un procedimiento automatizado que implica controlar una vez por hora que
las MEEJA hayan respondido a la solicitud de envío de contadores. No obstante, no existe
ningún alerta automática o alarma por parte del sistema que permita detectar en tiempo real
una falla de transmisión, por lo que la eficacia del monitoreo depende de la proactividad de
los Agentes Fiscalizadores. El único indicador “on-line” es el mapa de control de MEEJA
proyectado por sala de juego en una pantalla LCD en oficinas de LNSE (en HAPSA, en
Casino de Buenos Aires y en el Departamento Operativo de MEEJA / Casinos en Casa
Central), pero no cuenta con alarmas, ni brinda detalle de los eventos. En dicho sistema de
control varían los colores de las MEEJA según su estado de conectividad (verde, amarillo
y rojo). En la verificación de campo realizada se observó que personal de LNSE no toma
acciones ante el cambio de estado de una MEEJA en el mapa de control. Tampoco se
obtuvo evidencia sobre la existencia de un archivo histórico de cortes de conexión,
incidentes que quedan registrados sólo cuando el Concesionario los informa a LNSE
mediante Actas de Servicio Técnico. Los Agentes Fiscalizadores deberían contar con
herramientas de control temprana de MEEJA con problemas de conectividad. La falta de
INFORME DE AUDITORIA
69
detención temprana dificulta el control sobre el comportamiento de las MEEJA y su
productividad.
4.2.2.2. LNSE no ha controlado los contadores de 313 MEEJA de Casino de Buenos Aires
durante 2014, lo que incluye a la totalidad de las ruletas electrónicas.
El procedimiento de “Fiscalización Diario de Contadores” de MEEJA que figura en el
“Manual de Máquinas Tragamonedas” (compendio de procedimientos de fiscalización de
MEEJA de LNSE), contempla la inserción en éstas de una tarjeta denominada “Audit
Card”. Mediante dicho evento se registran en el servidor los contadores actuales de la
MEEJA, lo que permite que LNSE coteje los valores transferidos al Accounting con los
que se encuentran visibles en la máquina. Dicho procedimiento debe efectuarse de modo
tal que la totalidad del parque de MEEJA habilitadas sea verificado cuatrimestralmente. De
la información provista por LNSE se desprende que de 1733 MEEJA activas en Casino de
Buenos Aires, 313 no fueron auditadas durante todo 2014. Se destaca que estas incluyen a
la totalidad de las ruletas electrónicas, que ascienden a 157. No obstante, se aclara que del
procedimiento de control de contadores realizado sobre una muestra de MEEJA, no surge
que el porcentaje de devolución en concepto de premios en estas máquinas difiera de lo
establecido normativamente.
4.2.2.3. Más de la mitad de las MEEJA en HAPSA carecen de un sistema de energía
ininterrumpida. Un corte del suministro de energía eléctrica pondría en riesgo la
información de la jugada en curso.
La Res. LNSE 145/12 estipula que cada MEEJA debe poseer un sistema de energía
ininterrumpida –o UPS– con una duración mínima de 15 minutos (Cap. IV, Art. 2,
apartado 2.8). Para cumplir con esta exigencia, tanto HAPSA como Casino de Buenos
INFORME DE AUDITORIA
70
Aires procedieron a instalar fuentes de energía ininterrumpida. Del relevamiento realizado
sobre una muestra representativa de la población, surge con un 95% de confianza que entre
el 51% y el 73% de las MEEJA en HAPSA carecen de un sistema de energía
ininterrumpida disponible (en Casino de Buenos Aires, la proporción de MEEJA con esta
falencia asciende al 2% de la muestra). La carencia obedece a diversas razones que van
desde la inexistencia de la UPS hasta la presencia de la UPS desconectada o fuera de
servicio. La obligación de contar con UPS debería ser controlada por LNSE regularmente
mediante un protocolo que defina las acciones a seguir ante la ausencia o la verificación
del malfuncionamiento del sistema. Su carencia implica el riesgo de que se pierda la
información de la jugada que se esté cursando en ocasión de un eventual corte del
suministro de energía eléctrica.
4.2.2.4. Las etiquetas que LNSE coloca en las MEEJA pierden con el tiempo su adherencia
y se despegan, lo que limita su utilidad como dispositivo para controlar que no se hayan
producido accesos indebidos al software.
El software y los contadores de las MEEJA pueden ser modificados de diversas maneras,
una de ellas mediante los puertos situados en las MEEJA. Los agentes fiscalizadores de
LNSE colocan una etiqueta autoadhesiva pre-impresa, nominada y con rastro de remoción
en los puertos de acceso de un conjunto de componentes, con el fin de detectar cualquier
ingreso no autorizado que pueda dar lugar a la modificación del hardware o del software.
Sin embargo, se ha constatado que las etiquetas se despegan por el paso del tiempo.
Durante el procedimiento de auditoria se observaron etiquetas que no estaban adheridas y
que fueron reemplazadas por el agente fiscalizador, labrándose en el momento el acta de
cambio correspondiente, pero sin controles adicionales orientados a comprobar que los
componentes no fueron alterados.
INFORME DE AUDITORIA
71
4.2.2.5. Los controles que realiza LNSE no son suficientes para validar la correcta
registración en el Accounting de los eventos generados en las MEEJA.
El “Procedimiento de Fiscalización Diario de Contadores” de MEEJA que figura en el
“Manual de Máquinas Tragamonedas” (compendio de procedimientos de fiscalización de
LNSE), contempla la inserción en las MEEJA de una tarjeta denominada “Audit Card”, de
uso exclusivo para los agentes fiscalizadores de LNSE y los técnicos de los concesionarios.
La inserción de la tarjeta genera un evento de comunicación automática conforme al cual
los contadores que en ese momento figuran en la MEEJA, se replican en el Accounting.
Esto permite a LNSE cotejar que los valores transferidos al Accounting sean idénticos a los
que se encuentran visibles en la máquina en ese momento. LNSE se limita así a un control
de naturaleza administrativa que, si bien se ajusta al cumplimiento de lo establecido en la
Resolución LNSE 145/12, no satisface los requisitos de un control de naturaleza funcional.
En otras palabras, el procedimiento de fiscalización de contadores mediante el uso de la
Audit Card no resulta suficiente para corroborar la correcta transferencia e imputación en
el Accounting de la información generada por dichas máquinas, cuando el origen del
evento es distinto al mencionado (como ocurre frente a la inserción o extracción de billetes
o tickets por parte de un jugador). En consecuencia, el procedimiento descripto no resulta
suficiente para controlar que el dinero que ingresa y egresa a la MEEJA o su conversión a
créditos, se refleje sin alteraciones en el Accounting. La carencia de controles sustantivos
impide a LNSE constatar que las máquinas tragamonedas mantengan inalterada la
parametrización del software de acuerdo a la normativa.
4.2.2.6. No existe un procedimiento formal para verificar que cada una de las MEEJA
cumpla con la obligación de entregar el 90% de lo apostado en premios.
INFORME DE AUDITORIA
72
La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA
debe estar calculado de modo que devuelva a los jugadores un porcentaje no inferior al
noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la
configuración de la tabla de premios para las distintas combinaciones ganadoras, en el
software de las MEEJA. Si bien los datos que permiten calcular el porcentaje de
devolución de cada una de las MEEJA se encuentra disponible en el Accounting, LNSE no
tiene formalizado ningún tipo de control de rutina sobre estos datos, considerando las
MEEJA en forma individual. Un procedimiento de revisión adecuado de contadores
permitiría saber si cada máquina cumple con la normativa vigente en cuanto a devolución
en premios. Aun si se cumpliera con el porcentaje normado en forma global (considerando
el conjunto de MEEJA), la falta de este procedimiento para cada una de ellas implica la
posibilidad de que algunas MEEJA devuelvan menos que lo establecido, produciéndose así
un perjuicio para los apostadores que jugaron en ellas.
4.2.2.7. El procedimiento de alta de MEEJA no contempla una instancia de verificación
técnica interna de LNSE, previa a su instalación en sala de juegos.
El procedimiento de alta de MEEJA establecido por LNSE indica que cada vez que el
Concesionario requiera la incorporación de una MEEJA en la sala de juegos, debe entregar
a LNSE la solicitud de alta junto a la documentación que avale la certificación de la
máquina y sus componentes otorgada por GLI. Las MEEJA que son dadas de alta pasan
por un proceso de fiscalización administrativa por el cual se analiza la documentación y las
certificaciones entregadas a LNSE por el Concesionario, entre las que se encuentra el
protocolo de pruebas emitido por GLI. LNSE no cuenta con circuito de homologación
técnica o control de calidad propios tendiente a verificar que el funcionamiento de las
MEEJA no difiera de aquel que se ha certificado.
INFORME DE AUDITORIA
73
4.2.2.8. Los servicios relacionados con las MEEJA que la Universidad Nacional de la
Plata brinda a LNSE, no satisfacen el principio de control por oposición, por lo que se
pone en riesgo la rigurosidad de los controles o certificaciones realizadas.
Durante las tareas de campo se ha constatado que LNSE y la Universidad Nacional de La
Plata (UNLP) celebraron un convenio conforme al cual ambas partes favorecerán la
concertación de programas de cooperación para la ejecución conjunta de proyectos de
investigación, docencia y/o extensión en áreas de mutuo interés. Para ello prevé la firma de
convenios específicos desarrollados sobre la base de Planes Operativos definidos por
LNSE. En ese marco, el primer convenio específico establece que la UNLP realizará una
auditoría de la administración de sistemas de control y fiscalización de máquinas
tragamonedas y/o cualquier otra actividad lúdica que sea requerida por LNSE. Otra parte
del mismo convenio estipula que la UNLP proveerá un servicio de consultoría sobre los
procedimientos, documentación y acciones que involucre a las redes de comunicación,
sistemas de control, dispositivos de juegos, seguridad de la información y marco
regulatorio asociado. Estas actividades realizadas simultáneamente dentro de la misma
organización entran en colisión con el principio del control por oposición de intereses.
Cabe destacar que la UNLP también actúa como certificadora homologada por GLI:
cuando el concesionario solicita un alta de MEEJA, entrega a LNSE una certificación de
dicha compañía (véase al respecto la observación anterior). La UNLP brinda así un
servicio de auditoría de máquinas sobre las que también emite certificaciones,
constituyendo otra situación en la que se vulnera el principio de control por oposición de
intereses.
4.2.3. OTRAS
INFORME DE AUDITORIA
74
4.2.3.1. Resulta ambigua la determinación del porcentaje de devolución en concepto de
premios que establece la normativa.
La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA
debe estar calculado de modo que devuelva a los jugadores un porcentaje no inferior al
noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la
configuración de la tabla de premios para las distintas combinaciones ganadoras, en el
software de las MEEJA. Pero más adelante la normativa agrega: “Cuando esto no sea
posible por las características del juego, para el cálculo del porcentaje de retorno al
público será de aplicación la estrategia óptima de juego para el mismo. Este porcentaje
mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina para la
máxima apuesta que permita”. Dado que las MEEJA cuentan necesariamente con un
software que contiene una tabla de premios, la sola parametrización de dichas tablas
permitiría ajustar el porcentaje de devolución en concepto de premios a aquel que la
normativa estipule. Por lo tanto, la frase citada resulta innecesaria y contradictoria,
restándole precisión a un artículo relevante en materia de fiscalización.
4.2.3.2. LNSE cuenta con un registro de autoexcluidos, pero no realiza ni exige ningún
control informático orientado a que los concesionarios impidan el acceso a las salas de
juego de las personas autoexcluidas, lo que atenta contra la utilidad de dicho registro.
La ludopatía consiste en una alteración progresiva del comportamiento, que conduce a un
individuo a ser incapaz de resistir los impulsos de jugar, desconociendo cualquier
consecuencia negativa personal, social y/o económica. En el marco de la administración y
regulación de los juegos de azar en el ámbito de la Ciudad Autónoma de Buenos Aires y
conforme lo dispuesto por el art. 42° de la Constitución Nacional, LNSE aprueba e
implementa mediante la Res. N° 42/14 el “Nuevo Programa de Juego Responsable”, que
INFORME DE AUDITORIA
75
dispone la confección por parte del jugador compulsivo de un “formulario de
autoexclusión”. Sin embargo, LNSE se limita a informar a los concesionarios los datos de
las personas que han completado dicho formulario, y no realiza ninguna tarea de control
sobre su cumplimiento, ni le exige a los concesionarios la implementación de herramientas
informáticas que permitan detectar eficazmente a las personas que, por las razones
mencionadas precedentemente, deban ser vedadas de ingresar a las salas de juego. Así, los
concesionarios pueden explotar la actividad de los juegos de azar en general, o de las
MEEJA en particular, mediante la generación de apuestas por parte de jugadores a los
cuales debería vedar el acceso.
4.2.3.3. LNSE ejecuta sus procedimientos de fiscalización mediante la carga manual de
datos, método que, además de resultar ineficiente, aumenta su propio riesgo de control.
Para ejecutar el procedimiento de control de contadores, los agentes fiscalizadores de
LNSE anotan en una planilla impresa y a mano, los valores de los contadores situados en
las MEEJA. Luego imputan en el Accounting los datos anteriormente registrados en la
planilla, con el objeto de realizar el correspondiente control de igualdades. Este
procedimiento implica que la carga manual se efectúa en dos oportunidades, una durante la
captura de contadores en sala de juegos y otra durante la imputación en el aplicativo. La
doble imputación manual induce a una mayor probabilidad de errores de carga, además de
impactar sobre la eficiencia y agilidad del procedimiento. Procedimientos equivalentes
fueron observados en el control de etiquetas, inventario, pozos progresivos y movimiento
de MEEJA. La falta de procedimientos automatizados para la carga de datos puede
provocar errores que impacten en la confiabilidad del proceso y disminuyen la eficiencia y
agilidad de la fiscalización.
INFORME DE AUDITORIA
76
4.2.3.4. LNSE no cuenta con registros informatizados de la información contenida en las
actas de MEEJA, ni de las averías de las máquinas tragamonedas, lo que dificulta la
explotación de la información con fines de monitoreo y control.
Las ACTAS de MEEJA son formularios con numeración pre-impresa en los cuales se
registran las fallas técnicas de las máquinas, problemas de conectividad y cualquier otra
novedad vinculada a su funcionamiento. Los agentes fiscalizadores los completan
manualmente utilizando papel carbónico para las copias, firmando cada una de ellas y
distribuyéndolas entre la oficina de LNSE en el concesionario, casa central y
concesionario. Si bien los documentos son debidamente archivados, su acceso es manual y
no se encuentran indexados, lo que dificulta su localización en caso de búsqueda. Cuando
en HAPSA o en Casino de Buenos Aires se excede la capacidad de almacenamiento, los
formularios son enviados a la oficina central de LNSE, con el fin de cumplir con las
disposiciones relativas al resguardo de documentos. Esta metodología de trabajo dificulta
el acceso a la información y no permite una fácil explotación de los datos para, por
ejemplo, determinar problemas repetitivos, o realizar análisis estadísticos.
INFORME DE AUDITORIA
77
5. RECOMENDACIONES
5.1. GESTIÓN INFORMÁTICA
Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos
analizados, independientemente de que eventualmente hayan sido parcialmente puestas en
práctica desde la finalización de las tareas de campo.
5.1.1. PLANIFICAR Y ORGANIZAR
5.1.1.1. Definir un plan estratégico para TI
• Reelaborar el Plan de Tecnologías de la Información (Plan Estratégico de TI). El
mismo debe contener un conjunto de definiciones tecnológicas e iniciativas de TI
que deben soportar la visión, misión y estrategias que el organismo tiene para un
horizonte de tiempo definido. Debe incluir un diagnóstico previo, las necesidades y
los recursos necesarios, los plazos, el presupuesto de la inversión, las fuentes de
financiamiento, la estrategia de obtención, la estrategia de adquisición, y los
requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para
permitir la definición de planes tácticos de TI.
• Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI.
Estos deben establecer las iniciativas y los requerimientos de recursos requeridos
por TI, y cómo el uso de los recursos y el logro de los beneficios serán
monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente
para permitir la definición de las tareas operativas. Administrar de forma activa los
planes tácticos y las iniciativas de TI establecidas. Esto requiere encontrar el
equilibrio entre requerimientos y recursos, comparándolos con el logro de metas
INFORME DE AUDITORIA
78
estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en
caso de desviaciones.
• Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar
entre los imperativos de éstas y la tecnología, de tal modo que se puedan establecer
prioridades concertadas.
• Evaluar el desempeño actual, el de los planes existentes y de los sistemas de
información en términos de su contribución a los objetivos estratégicos del
organismo, su funcionalidad, su estabilidad, su complejidad, sus costos, sus
fortalezas y debilidades.
5.1.1.2. Definir la arquitectura de información
• Establecer y mantener un modelo de información que facilite el desarrollo de
aplicaciones y las actividades de soporte a la toma de decisiones, consistente con
los planes de TI como se describan en el Plan Estratégico. El modelo facilita la
creación, uso y compartición óptimas de la información por parte del organismo de
una manera que conserva la integridad y es flexible, funcional, rentable, oportuna,
segura y tolerante a fallas.
• Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis
de datos. El diccionario facilita la compartición de elementos de datos entre las
aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los
usuarios de TI y del organismo, y previene la creación de elementos de datos
incompatibles.
• Establecer un esquema de clasificación de datos que aplique a todo el organismo,
basado en la criticidad y sensibilidad de la información. Este esquema incluye
detalles acerca de la propiedad de datos, la definición de niveles apropiados de
seguridad y de controles de protección, como también una breve descripción de los
requerimientos de retención y destrucción de datos, además de qué tan críticos y
INFORME DE AUDITORIA
79
sensibles son. Se usa como base para aplicar controles como el control de acceso,
archivo o encriptación.
• Definir e implantar procedimientos para garantizar la integridad y consistencia de
todos los datos almacenados en formato electrónico, tales como bases de datos y
archivos.
5.1.1.3. Determinar la dirección tecnológica
• Elaborar un Plan de infraestructura tecnológica que esté de acuerdo con los planes
estratégicos y tácticos de TI basado en la dirección tecnológica y que incluya
acuerdos para contingencias. Analizar las tecnologías existentes y emergentes y
planear cuál dirección tecnológica es la apropiada para materializar la estrategia de
TI y la arquitectura de sistemas del organismo. También identificar en el plan, qué
tecnologías tienen el potencial de crear oportunidades de nuevas prestaciones. El
plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las
estrategias de migración y los aspectos de contingencia de los componentes de la
infraestructura.
• Monitorear tendencias y regulaciones futuras. Establecer un proceso para
monitorear las tendencias del sector/industria, tecnológicas, de infraestructura,
legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo
del plan de infraestructura tecnológica de TI.
• Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas
consistentes, efectivas y seguras para toda la organización, brindar directrices
tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la
selección de la tecnología, y medir el cumplimiento de estos estándares y
directrices.
INFORME DE AUDITORIA
80
5.1.1.4. Definir los procesos, organización y relaciones de TI
Reformular la estructura organizacional de la Gerencia de Sistemas en función de las
observaciones planteadas en el punto 4.1.4 y las recomendaciones siguientes:
• Estructura organizacional. Establecer una estructura organizacional de TI interna y
externa que refleje las necesidades de la organización. Además implementar un
proceso para revisarla de forma periódica para ajustar los requerimientos de
personal y las estrategias internas para satisfacer los objetivos esperados y las
circunstancias cambiantes.
• Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles
como las responsabilidades para el personal de TI y los usuarios que delimiten la
autoridad entre el personal de TI y los usuarios finales. Definir las
responsabilidades y la rendición de cuentas para alcanzar los objetivos estratégicos.
• Responsabilidad del aseguramiento de calidad (AC) de TI. Asignar la
responsabilidad para el desempeño de la función de AC. Asegurar que la ubicación
organizacional, las responsabilidades y el tamaño del grupo de AC satisfacen los
requerimientos del organismo.
• Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la
propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel
apropiado. Definir y asignar roles críticos para administrar los riesgos de TI,
incluyendo la responsabilidad específica de la seguridad de la información, la
seguridad física y el cumplimiento. Explicitar la posición del Directorio en
relación a los niveles aceptables de riesgo de TI que se quieren asumir y la
aprobación de cualquier riesgo residual.
• Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y
herramientas que le permitan asumir sus responsabilidades de propiedad sobre los
datos y los sistemas de información. Las áreas responsables, dueña de los datos y
INFORME DE AUDITORIA
81
sistemas, deberán tomar decisiones sobre la clasificación de la información y cómo
protegerlos.
• Implantar prácticas adecuadas de supervisión dentro de la función de TI para
garantizar que los roles y las responsabilidades se ejerzan de forma apropiada.
Evaluar si todo el personal cuenta con la suficiente autoridad para ejecutarlos.
• Implantar una división de roles y responsabilidades que reduzca la posibilidad de
que un solo individuo afecte un proceso crítico. La máxima autoridad de TI debe
asegurar de que el personal realice sólo las tareas autorizadas, relevantes a sus
puestos y posiciones respectivas.
• Evaluar los requerimientos de personal de forma regular o cuando existan cambios
importantes en las necesidades estratégicas del organismo, operativos o de TI para
garantizar que la función de TI cuente con un número suficiente de personal
competente, el entrenamiento cruzado-funcional, la rotación de puestos y las
oportunidades de personal externo.
• Políticas y procedimientos para personal contratado. Definir e implantar políticas y
procedimientos para controlar las actividades de los consultores u otro personal
contratado por la función de TI.
• Establecer y mantener una estructura óptima de enlace, comunicación y
coordinación entre la función de TI y otras funciones dentro y fuera de la misma,
tales como la Dirección General, las gerencias ejecutivas, usuarios y proveedores
de servicios de TI.
• Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico
de TI. Este marco incluye medición del desempeño, mejoras, cumplimiento, metas
de calidad y planes para alcanzarlas. Debe estar integrado en un sistema de
administración de calidad y en un marco de trabajo de control interno.
• Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI
para:
INFORME DE AUDITORIA
82
o Determinar las prioridades de los programas de inversión de TI alineadas
con la estrategia y prioridades de los objetivos estratégicos del organismo.
o Dar seguimiento de los proyectos y resolver los conflictos de recursos
o Monitorear los niveles y las mejoras del servicio.
5.1.1.5. Administrar la inversión en TI
• Establecer un marco de Administración Financiera para TI que impulse la
presupuestación, con base en los proyectos vigentes de inversión en bienes y
servicios. Comunicar los aspectos de costo y beneficio en los procesos de
priorización de presupuestos y administración de costos.
• Implantar un proceso de toma de decisiones para dar prioridades a la asignación de
recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal
de maximizar la contribución de TI y optimizar el retorno de inversión de los
proyectos de inversión y otros servicios y activos.
• Establecer un proceso para elaborar y administrar un presupuesto que refleje las
prioridades establecidas en los programas de inversión en TI, incluyendo los costos
de operar y mantener la infraestructura actual.
• Implantar un proceso de administración de costos que compare los costos reales
con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan
desviaciones, éstas se deben identificar de forma oportuna y evaluar el impacto.
• Desarrollar un presupuesto por centro de costos.
• Respecto de los recursos físicos, optimizar el empleo del módulo de Bienes de Uso
de Anexo D, articulando la información entre las áreas de Administración y TI; esto
con el fin de identificar el volumen y calidad de equipamiento por las distintas
áreas usuarias las que, en este sentido, funcionan como centros de apropiación de
costos.
INFORME DE AUDITORIA
83
• Con la información disponible del punto precedente, establecer los criterios de
distribución de los costos de mantenimiento, insumos y reparación en condiciones
de ser prorrateados por las áreas beneficiarias; con criterios similares, apropiar los
costos de tiempo de recursos humanos (los técnicos asociados a soporte) a las
diferentes áreas beneficiarias.
• Diferenciar, categorizar, clasificar las tareas de TI en recurrentes o permanentes
(mantenimiento, soporte, etc.) respecto de las específicas o “por proyectos / micro-
proyectos” (por ej., desarrollo y mantenimiento de aplicaciones). Este criterio
permitirá prorratear los costos por función y por áreas usuarias para los recursos
humanos dedicados a diseño y programación.
• Para posteriores ejercicios, emplear esta información como base de planeamiento
de inversiones físicas que impactarían en la formulación presupuestaria o
necesidades de personal que alertarían sobre requerimientos adicionales de personal
por función.
5.1.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI
• Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento
y el entendimiento de los objetivos estratégicos del organismo y de TI se
comunican a toda la organización. La información comunicada debe poseer una
visión claramente articulada entre los objetivos de servicio, la seguridad, los
controles internos, la calidad, el código de ética y conducta, políticas y
procedimientos. Estos deben incluirse dentro de un programa de comunicación
continua, apoyado por la alta dirección con acciones. Se debe dar especial atención
a comunicar la conciencia sobre que la seguridad de TI es responsabilidad de todos.
• Ambiente de políticas y de control. Definir los elementos de un ambiente de control
para TI que se base en una cultura que apoya la entrega de valor, mientras que al
mismo tiempo administra riesgos significativos, fomenta la colaboración entre
INFORME DE AUDITORIA
84
distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora
continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma
adecuada.
• Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar
mantenimiento a un marco de trabajo que establezca el enfoque del organismo
hacia los riesgos y hacia el control interno. Este debe estar integrado por el marco
de procesos de TI, el sistema de administración de calidad y debe cumplir los
objetivos generales del organismo. Debe tener como meta maximizar el éxito de la
entrega de valor mientras minimiza los riesgos para los activos de información por
medio de medidas preventivas, la identificación oportuna de irregularidades, la
limitación de pérdidas y la recuperación oportuna de activos.
• Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto
de políticas que apoyen la estrategia de TI. Estas políticas deben incluir el
propósito, los roles y responsabilidades, los procesos de excepción y referencias a
procedimientos, estándares y directrices. Las políticas deben incluir temas clave
como calidad, seguridad, confidencialidad, controles internos y propiedad
intelectual. Se deben revisar regularmente.
5.1.1.7. Administrar los recursos humanos de TI
• Reclutamiento y Retención del Personal de TI. Asegurarse que los procesos de
reclutamiento estén de acuerdo a las políticas y procedimientos generales del
personal.
• Competencias del personal. Verificar de forma periódica que el personal tenga las
habilidades para cumplir sus roles con base en su educación, entrenamiento y/o
experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar
que se les dé actualización.
INFORME DE AUDITORIA
85
• Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los
roles, responsabilidades y retribuciones del personal, incluyendo el requisito de
adherirse a las políticas y procedimientos administrativos, así como al código de
ética y prácticas profesionales. Los términos y condiciones de empleo deben
enfatizar la responsabilidad del empleado respecto a la seguridad de la información,
al control interno y al cumplimiento regulatorio. Los niveles de supervisión debe
estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades
asignadas.
• Entrenamiento del personal de TI. Proporcionar entrenamiento continuo para
conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia
sobre la seguridad, al nivel requerido para alcanzar las metas estratégicas del
organismo.
• Dependencia sobre los individuos. Minimizar la exposición de dependencias
críticas sobre individuos clave por medio de la documentación y divulgación del
conocimiento, como también la planeación de la sucesión y rotación de personal.
• Evaluación del desempeño del empleado. Es necesario que las evaluaciones de
desempeño se realicen periódicamente, comparando contra los objetivos
individuales derivados de las metas del organismo, estándares establecidos y
responsabilidades específicas del puesto.
• Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los
puestos, en especial las culminaciones sea por renuncia o despido. Se debe realizar
la transferencia del conocimiento, reasignar responsabilidades y eliminar los
privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la
continuidad de la función.
• Se recomienda regularizar la situación de aquellos agentes que ocupan posiciones
sensibles en el área de TI de modo que pueda desarrollar una carrera administrativa
acorde a sus funciones.
INFORME DE AUDITORIA
86
5.1.1.8. Administrar la calidad
Establecer un Sistema de Administración de la Calidad (SAC) que proporcione un enfoque
estándar, formal y continuo, con respecto a la administración de la calidad, que esté
alineado con los objetivos estratégicos del organismo, que contemple:
• Identificar los requerimientos y los criterios de calidad, los procesos claves de TI
así como las políticas, criterios y métodos para definir, detectar, corregir y prever
las no conformidades.
• Identificar y mantener estándares, procedimientos y prácticas para los procesos
clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del
SAC.
• Adoptar y mantener estándares para todo desarrollo y adquisición que sigue el ciclo
de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la
documentación de hitos clave con base en criterios de aprobación acordados. Los
temas a considerar incluyen estándares de:
o codificación de software (análisis de caja blanca)
o nomenclaturas
o formatos de archivos
o diccionario de datos
o interfaces de usuario
o pruebas (unitarias, de regresión y de integración).
Los datos del SAC deben ser monitoreados y medidos para medir la efectividad y
mejorarla cuando sea necesario.
5.1.1.9. Evaluar y administrar los riesgos de TI
Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al
marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación
INFORME DE AUDITORIA
87
con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del
organismo.
Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se
aplique para garantizar resultados apropiados.
Esto debe incluir:
• La determinación del contexto interno y externo de cada evaluación de riesgos, la
meta de la evaluación y los criterios contra los cuales éstos se evalúan.
• Identificación de todas aquellas amenazas y vulnerabilidades que tengan un
impacto potencial sobre las metas o las operaciones del organismo, aspectos de
estratégicos, regulatorios, legales, tecnológicos, de recursos humanos y operativos.
Determinar la naturaleza del impacto y dar mantenimiento a esta información.
• Evaluación en forma recurrente de la probabilidad e impacto de todos los riesgos
identificados, usando métodos cualitativos y cuantitativos. La probabilidad e
impacto asociados a los riesgos inherentes y residuales se debe determinar de forma
individual.
• Identificación de los responsables de procesos afectados, y elaborar y mantener
respuestas que garanticen que los controles y las medidas de seguridad mitigan la
exposición de forma continua. La respuesta a los riesgos debe identificar estrategias
tales como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar
los costos y beneficios y seleccionar aquellas que limiten los riesgos residuales
dentro de los niveles de tolerancia previamente definidos.
• Mantenimiento y monitoreo del plan de acción de riesgos. Asignar prioridades y
planear las actividades de control a todos los niveles para implantar las respuestas a
los riesgos, identificadas como necesarias, incluyendo la determinación de costos,
beneficios y la responsabilidad de la ejecución. Buscar la aprobación para las
acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de
que las acciones comprometidas son propiedad del dueño o dueños de los procesos
INFORME DE AUDITORIA
88
afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la
alta dirección.
5.1.1.10. Administrar proyectos
• Establecer un marco de Administración de Proyectos.
• Establecer un sistema de control de cambios de modo tal que todas las
modificaciones a la línea base o indicadores al inicio del proyecto, como por
ejemplo costos, cronograma, alcance y calidad, se revisen, aprueben e incorporen
de manera apropiada al plan integrado.
• Medir el desempeño del proyecto contra los criterios clave tales como el alcance,
los tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con
respecto al plan; evaluar su impacto y sobre el programa global; reportar los
resultados a los interesados clave; y recomendar, implantar y monitorear las
medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de
gobierno del programa y del proyecto.
• Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan
proporcionado los resultados y los beneficios esperados.
5.1.2. ADQUIRIR E IMPLEMENTAR
5.1.2.1 Identificar Soluciones Automatizadas
• Identificar a un usuario relevante como patrocinador del proyecto.
• Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales.
Identificar, dar prioridades, especificar y acordar los requerimientos funcionales y
técnicos.
INFORME DE AUDITORIA
89
• Análisis de Riesgos. Identificar, documentar y analizar los riesgos asociados con
los requerimientos y diseño de soluciones como parte de los procesos
organizacionales para el desarrollo de los requerimientos.
• Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. Se debe
evaluar la factibilidad y los cursos alternativos de acción y realizar
recomendaciones al patrocinador del proyecto.
• El proceso requiere al patrocinador del proyecto para aprobar y autorizar los
requisitos tanto funcionales como técnicos, y los reportes del estudio de factibilidad
en las etapas clave predeterminadas.
5.1.2.2. Adquirir o desarrollar y mantener software aplicativo
Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que
contemple:
• Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de
alto nivel para desarrollo de software, tomando en cuenta las directivas
tecnológicas y la arquitectura de información dentro del organismo, y aprobar las
especificaciones para garantizar que el diseño de alto nivel responde a los
requerimientos.
• Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del
software de aplicación. Los conceptos a considerar incluyen, definir y documentar
los requerimientos de entrada de datos, interfaces, la interface de usuario, la
especificación de programa, definir los requerimientos de salida, control y
auditabilidad (pistas de auditoría). Realizar una reevaluación para cuando se
presenten discrepancias técnicas o lógicas significativas durante el desarrollo o
mantenimiento.
• Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las
aplicaciones. Los aspectos a considerar incluyen derechos de acceso y
INFORME DE AUDITORIA
90
administración de privilegios, protección de información sensible en todas las
etapas, autenticación e integridad de las transacciones y recuperación automática.
En este sentido se recomienda la inmediata reingeniería del sistema de
“Permisionarios” que tiene serias vulnerabilidades de seguridad.
• Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo
similar al de desarrollo de sistemas nuevos en el caso que se presenten
modificaciones importantes en los sistemas existentes, que resulten en un cambio
significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar
incluyen análisis de impacto, relación costo/beneficio y administración de
requerimientos.
• Desarrollo de software aplicativo. Garantizar que la funcionalidad de
automatización se desarrolla de acuerdo con las especificaciones de diseño, los
estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar
y autorizar cada etapa clave del proceso, verificando la finalización de las
revisiones de funcionalidad, desempeño y calidad. Los aspectos a considerar
incluyen aprobar las especificaciones de diseño que satisfacen los requerimientos
funcionales y técnicos, y las solicitudes de cambio; verificar la compatibilidad con
los sistemas existentes.
Además, garantizar que se identifican y consideran todos los aspectos legales y
contractuales para el software aplicativo que desarrollan terceros.
• Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y
ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los
estándares especificados en la definición de los requerimientos y en las políticas y
procedimientos de calidad del organismo. Los aspectos a considerar incluyen
especificar el criterio de calidad y los procesos de validación y verificación,
revisión de algoritmos, código fuente y pruebas.
INFORME DE AUDITORIA
91
• Administración de los requerimientos de aplicaciones. Garantizar que durante el
diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos
particulares (incluyendo todos los requerimientos rechazados), y que las
modificaciones se aprueban a través de un proceso establecido de administración de
cambios.
• Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el
mantenimiento y pase a producción de software de aplicaciones. Los aspectos a
considerar incluyen implantación planeada y controlada, planeación de recursos,
reparación de defectos de programa y corrección de fallas, pequeñas mejoras,
mantenimiento de documentación, cambios de emergencia, interdependencia con
otras aplicaciones e infraestructura, estrategias de actualización, condiciones
contractuales tales como aspectos de soporte y actualizaciones, revisión periódica
de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad.
5.1.2.3. Adquirir y mantener infraestructura tecnológica
• Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir,
implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos
funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del
organismo. El plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para
actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del
producto al añadir nueva capacidad técnica.
• Protección y disponibilidad del recurso de infraestructura. Implantar medidas de
control interno, seguridad y auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la infraestructura para proteger los
recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender
claramente las responsabilidades al utilizar componentes de infraestructura
INFORME DE AUDITORIA
92
sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y
evaluar su uso.
• Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de
mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administración de cambios. Incluir una revisión
periódica contra las necesidades del organismo, administración de parches y
estrategias de actualización, riesgos, evaluación de vulnerabilidades y
requerimientos de seguridad.
• Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura totalmente independiente del ambiente
de producción, en las primeras fases del proceso de adquisición y desarrollo. Se
debe considerar la funcionalidad, la configuración de hardware y software, pruebas
de integración y desempeño, migración entre ambientes, control de la versiones,
datos y herramientas de prueba y seguridad.
5.1.2.4. Facilitar la operación y el uso
• Marco para la documentación de sistemas. Desarrollar un plan para identificar y
documentar todos los aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos, de manera que todos los interesados puedan elaborar
procedimientos de administración, de usuario y de operación. Este marco debe
aplicarse cada vez que se produzca una actualización de aplicaciones y/o
infraestructura.
• Transferencia de conocimiento a usuarios finales para permitir que los usuarios
finales utilicen con efectividad y eficiencia la aplicación como apoyo a los procesos
del organismo. La transferencia de conocimiento incluye el desarrollo de un plan de
INFORME DE AUDITORIA
93
capacitación que abarque al entrenamiento inicial y al continuo, así como el
desarrollo de manuales de usuario, manuales de procedimiento y ayuda en línea.
• Transferencia de conocimiento al personal de operaciones y soporte. Transferir el
conocimiento y las habilidades para permitir al personal de soporte técnico y de
operaciones que entregue, apoye y mantenga la aplicación y la infraestructura
asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio
requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial
y continuo, los manuales de operación, los manuales de procedimientos y
escenarios de atención al usuario.
5.1.2.5. Adquirir recursos de TI
• Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y
estándares consistente con el proceso general y la estrategia de adquisiciones del
organismo, para garantizar que la compra de infraestructura, instalaciones,
hardware, software y servicios relacionados con TI, satisfagan los requerimientos
del organismo.
• Administración de contratos con proveedores. Formular un procedimiento para
establecer, modificar y concluir contratos que apliquen a todos los proveedores.
Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras,
organizacionales, documentales, de desempeño, de seguridad de propiedad
intelectual y de conclusión, así como obligaciones y cláusulas de penalización por
incumplimiento cuando no cumplan los acuerdos de niveles de servicios
previamente establecidos. Todos los contratos y las modificaciones a contratos las
deben revisar asesores legales.
En este sentido, se recomienda revisar el aspecto legal de la licitación 04/09 en lo
relativo al mantenimiento de los sistemas Anexo D, Sigad, Permisionarios,
Estadísticas y Pólizas de Seguros por parte de la UTE IVISA-CASINO DE
INFORME DE AUDITORIA
94
BUENOS AIRES donde se establezcan en forma detallada los compromisos que
ésta asumirá detallando el marco de trabajo (normativo y metodológico) en el que
se desarrollará la prestación.
• Selección de proveedores. Seleccionar proveedores mediante una práctica justa y
formal para garantizar la elección del mejor basado en los requerimientos que se
han desarrollado.
• Adquisición de software. Garantizar que se protegen los intereses del organismo en
todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y
obligaciones de todas las partes en los términos contractuales para la adquisición de
software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de
propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje,
condiciones para la actualización y aspectos de conveniencia que incluyen
seguridad, custodia y derechos de acceso.
• Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del
organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer
cumplir los derechos y obligaciones de todas las partes en los términos
contractuales para la adquisición de recursos de desarrollo. Estos derechos y
obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual,
aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes,
pruebas, procesos de administración de calidad que comprenden los criterios de
desempeño requeridos, su correspondiente revisión, términos de pago, garantías,
procedimientos de arbitraje, administración de recursos humanos y cumplimiento
con las políticas de la organización.
• Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y
hacer cumplir los derechos y obligaciones de todas las partes en los términos
contractuales, que comprendan los criterios de aceptación para la adquisición de
infraestructura, instalaciones y servicios relacionados. Estos derechos y
INFORME DE AUDITORIA
95
obligaciones pueden abarcar los niveles de servicio, procedimientos de
mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de
pago y procedimientos de arbitraje.
5.1.2.6. Administrar cambios
• Establecer procedimientos de administración de cambios formales para manejar de
manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones,
para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y
servicio, y las plataformas fundamentales.
• Evaluación de impacto, priorización y autorización. Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos
en los sistemas y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización. Previo a la migración hacia producción, los interesados
correspondientes deberán establecer autorizaciones formales.
• Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y
autorizar los cambios de emergencia que no sigan el proceso de cambio
establecido. La documentación y pruebas podrán realizarse, después de la
implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría
para su posterior revisión.
5.1.2.7. Instalar y acreditar soluciones y cambios
• Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al
grupo de operaciones de la función de TI, como parte de cada proyecto de
desarrollo, implantación o modificación de sistemas de información.
• Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los
principales involucrados. Dicho plan se debe basar en los estándares de toda la
organización y definir roles, responsabilidades y criterios de éxito. Debe
INFORME DE AUDITORIA
96
considerar: requerimientos de entrenamiento, instalación o actualización de un
ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo
y corrección de errores y aprobación formal.
• Ambiente de prueba. Establecer un ambiente de prueba independiente. Este
ambiente debe asemejarse al ambiente de producción para permitir pruebas
acertadas. Se deben tener presentes los procedimientos para garantizar que los datos
utilizados en el ambiente de prueba sean representativos. Proporcionar medidas
adecuadas para prevenir la divulgación de datos sensibles. La documentación de los
resultados de las pruebas se debe archivar.
• Prueba final de aceptación. Garantizar que los procedimientos proporcionan una
evaluación formal y la aprobación de los resultados de prueba por parte de los
usuarios afectados.
• Transferencia a producción. Implantar procedimientos formales para controlar la
transferencia del sistema desde el ambiente de desarrollo al de pruebas. La
Gerencia de Sistemas debe requerir que se obtenga la autorización del propietario
del sistema antes del pasaje al entorno de producción.
• Liberación de software. Garantizar que la liberación del software se regula con
procedimientos formales que aseguren la autorización, acondicionamiento, pruebas
de regresión, distribución, transferencia de control, seguimiento, procedimientos de
respaldo y notificación de usuario.
• Distribución del sistema. Establecer procedimientos de control para asegurar la
distribución oportuna y correcta, y la actualización de los componentes aprobados
de la configuración. Esto implica controles de integridad; segregación de funciones
entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de
todas las actividades.
INFORME DE AUDITORIA
97
5.1.3. ENTREGAR Y DAR SOPORTE
5.1.3.1. Definir y administrar los niveles de servicio
• Definir un marco de trabajo que brinde un proceso formal de administración de
niveles de servicio entre el usuario y el prestador de servicio. Este marco debe
incluir procesos para la creación de requerimientos, y acuerdos de niveles de
servicio.
• Definir la estructura organizacional para la administración del nivel de servicio,
incluyendo los roles, tareas y responsabilidades de los proveedores externos e
internos y de los usuarios.
• Organizar y almacenar de manera centralizada la definición base de los servicios de
TI (catálogo de servicios).
• Definir y acordar convenios de niveles de servicio para todos los procesos críticos
de TI con base en los requerimientos del usuario y las capacidades de TI.
• Monitorear continuamente los criterios de desempeño especificados para el nivel de
servicio.
• Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un
formato que sea entendible para los interesados.
• Analizar las estadísticas de monitoreo para identificar tendencias positivas y
negativas tanto de servicios individuales como de los servicios en conjunto.
• Revisar regularmente con los proveedores internos y externos los acuerdos de
niveles de servicio y los contratos de apoyo, para asegurar que son efectivos.
INFORME DE AUDITORIA
98
5.1.3.2. Administrar servicios de terceros
• Debe existir un responsable que coordine la relación entre los proveedores y los
usuarios para asegurar la calidad y la transparencia, a través de acuerdos de niveles
de servicio.
• Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el
tipo de proveedor, la importancia y la criticidad.
• Formalizar el proceso de administración de relaciones con proveedores por cada
uno de ellos.
• Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores
para mantener una efectiva entrega de servicios de forma segura y eficiente.
Asegurar que los contratos están de acuerdo con los estándares del tema y de
conformidad con los requerimientos legales y regulatorios.
• Establecer un proceso para monitorear la prestación del servicio para asegurar que
el proveedor está cumpliendo con los requerimientos de acuerdo a los contratos y a
los convenios de niveles de servicio.
• Verificar que el desempeño es competitivo respecto a los proveedores alternativos
y a las condiciones del mercado.
5.1.3.3. Administrar el desempeño y la capacidad
• Establecer un proceso de planeación para la revisión del desempeño y la capacidad
de los recursos de TI, que asegure su disponibilidad, con costos justificables, para
procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de
nivel de servicio.
• Revisar la capacidad y desempeño actual de los recursos de TI en intervalos
regulares para determinar si existe suficiente capacidad y desempeño para prestar
los servicios con base en los niveles de servicio acordados.
INFORME DE AUDITORIA
99
• Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en
intervalos regulares para minimizar el riesgo de interrupciones del servicio
originadas por falta de capacidad o degradación del desempeño.
• Identificar el exceso de capacidad para una posible redistribución.
• Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que
serán parte de los planes de capacidad y de desempeño.
• Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como
cargas de trabajo normales, contingencias, requerimientos de almacenamiento y
ciclos de vida de los recursos de TI.
• La Gerencia de Sistemas debe garantizar que los planes de contingencia consideren
de forma apropiada la disponibilidad, capacidad y desempeño de los recursos
individuales de TI.
• Monitorear continuamente el desempeño y la capacidad de los recursos de TI.
5.1.3.4. Garantizar la continuidad del servicio
• Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios
para, en casos de contingencia, reducir el impacto de una interrupción de los
procesos claves. El objetivo de este marco es identificar las debilidades en la
infraestructura de TI, y guiar el desarrollo de los planes de recuperación de
desastres y de contingencias. Debe tomar en cuenta la estructura del organismo, la
cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios
internos y externos, su administración y sus usuarios; así como las reglas y
estructuras para documentar, probar y ejecutar la recuperación de desastres y los
planes de contingencia de TI. El plan debe también considerar puntos tales como la
identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de
recursos críticos, el procesamiento alternativo y los principios de respaldo y
recuperación.
INFORME DE AUDITORIA
100
• Centrar la atención en los puntos determinados como los más críticos en el plan de
continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de
recuperación.
• La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios
para asegurar que el plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del organismo. Es esencial
que los cambios en los procedimientos y las responsabilidades sean comunicados
de forma clara y oportuna.
• Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas
pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que
el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte
de los resultados de las pruebas y, de acuerdo con estos, la implementación de un
plan de acción.
• Considerar el alcance de las pruebas de recuperación en aplicaciones individuales,
en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas
integradas con el o los proveedores que pudieran estar implicados.
• Asegurar que todas las partes involucradas reciban capacitación de forma regular
respecto a los procesos, sus roles y responsabilidades en caso de incidente o
desastre.
• Determinar que existe una estrategia de distribución definida y administrada para
asegurar que los planes se distribuyan de manera apropiada y segura. Que estén
disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.
Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de
desastre.
• Planear las acciones a tomar durante el período en que TI se está recuperando y
reanudando los servicios. Esto puede representar la activación de sitios de respaldo,
INFORME DE AUDITORIA
101
el inicio de procesamiento alternativo, la comunicación a usuarios y a los
interesados y realizar procedimientos de reanudación.
• Almacenar fuera de las instalaciones todos los medios de respaldo, documentación
y otros recursos de TI críticos, necesarios para la recuperación de TI y para los
planes de continuidad.
• El contenido de los respaldos a almacenar debe determinarse en conjunto entre los
responsables de los procesos sustantivos y el personal de TI.
• La administración del sitio de almacenamiento externo a las instalaciones, debe
apegarse a la política de clasificación de datos y a las prácticas de almacenamiento
de datos del organismo.
• La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean
evaluados periódicamente, al menos una vez por año, respecto al contenido, a la
protección ambiental y a la seguridad.
• Asegurarse de la compatibilidad del hardware y del software para poder recuperar
los datos archivados.
• Periódicamente probar y renovar los datos archivados.
• Una vez lograda una exitosa reanudación de las funciones de TI después de un
desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar
lo adecuado del plan y actualizarlo en consecuencia.
• La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados.
5.1.3.5. Garantizar la Seguridad de los Sistemas
Incluir y asignar a un cargo compatible las funciones relacionadas con administrar
y dar cumplimiento a la Política de Seguridad de TI al nivel más apropiado e
independiente de la Gerencia de Sistemas, para llevar a cabo exitosamente las
tareas de:
INFORME DE AUDITORIA
102
• Comunicar las políticas y procedimientos de seguridad a los interesados y a los
usuarios.
• Identificar de manera única a todos los usuarios, internos, externos y temporales
y su actividad.
• Alinear, definir y documentar los derechos de acceso del usuario a sistemas y
datos con las necesidades de los procesos del organismo.
• Definir formalmente un marco de trabajo para que los derechos de acceso del
usuario sean solicitados por su gerencia, aprobados por el responsable del
sistema e implementado por el área de la seguridad.
• Mantener en un repositorio central las identidades del usuario y los derechos de
acceso.
• Implementar, mantener y actualizadas medidas técnicas y procedimientos, para
establecer la identificación, realizar la autenticación y habilitar los derechos de
acceso de los usuarios.
• Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación
y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en
cuenta por el sector responsable de las cuentas de los usuarios.
• Incluir un procedimiento que describa al responsable de los datos o del sistema
para que otorgue los privilegios de acceso. Estos procedimientos se deben
aplicar para todos los usuarios, incluyendo administradores (usuarios
privilegiados), usuarios externos e internos, para casos normales y de
emergencia.
• Acordar los derechos y obligaciones relacionados al acceso a los sistemas e
información del organismo para todos los tipos de usuarios. Llevar a cabo una
revisión regular de todas las cuentas y los privilegios asociados.
• Garantizar que la implementación de la seguridad en TI sea probada y
monitoreada de forma proactiva.
INFORME DE AUDITORIA
103
• Acreditar la seguridad de TI periódicamente para garantizar que se mantiene el
nivel de seguridad aprobado. Definir una función de ingreso al sistema y de
monitoreo que permita la detección oportuna de actividades inusuales o
anormales que pueden requerir atención.
• Garantizar que las características de los posibles incidentes de seguridad sean
definidas y comunicadas de forma clara, de manera que los problemas de
seguridad sean atendidos de forma apropiada por medio del proceso de
administración de problemas o incidentes.
• Incluir una descripción de lo que se considera un incidente de seguridad y su
nivel de impacto. Definir un número limitado de niveles de impacto para cada
incidente, e identificar las acciones específicas requeridas y las personas que
necesitan ser notificadas.
• Garantizar que la tecnología importante relacionada con la seguridad no sea
susceptible de sabotaje y que la documentación de seguridad no se divulgue de
forma innecesaria.
• Determinar que las políticas y procedimientos para organizar la generación,
cambio, revocación, destrucción, distribución, certificación, almacenamiento,
captura, uso y archivo de llaves criptográficas estén implantadas, para
garantizar su protección contra modificaciones y divulgación no autorizadas.
• Garantizar que se cuente con medidas de prevención, detección y corrección a
lo largo de toda la organización para proteger a los sistemas de información y a
la tecnología contra software malicioso.
• Garantizar que se utilizan técnicas de seguridad y procedimientos de
administración asociados, por ejemplo, firewalls, dispositivos de seguridad,
segmentación de redes, y detección de intrusos, para autorizar acceso y
controlar los flujos de información desde y hacia las redes.
INFORME DE AUDITORIA
104
• Garantizar que las transacciones de datos sensibles sean intercambiadas
solamente a través de una ruta o medio confiable con controles para brindar
autenticidad de contenido, prueba de envío y recepción, y no repudio del origen.
• Procurar la protección de los datos sensibles, incluso frente a los
administradores de las bases de datos.
5.1.3.6. Identificar y asignar costos
• Desarrollar un modelo orientado a los centros de costos.
• Definir, con base en la característica del servicio, un modelo de costos que incluya
costos directos, indirectos y fijos de los servicios.
• Alinear el modelo de costos con los procedimientos de contabilización del
organismo.
• El modelo de costos de TI debe garantizar que los cargos por servicios sean
identificables, medibles y predecibles por parte de los usuarios para propiciar el
adecuado uso de recursos.
• Vincular los servicios de TI a los procesos del organismo de forma que cada
temática pueda identificar los niveles de costo de los servicios asociados.
• Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido.
• Analizar y reportar las variaciones entre los presupuestos y los costos actuales de
acuerdo con los sistemas de medición financiera del organismo.
• Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los
servicios.
• Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos
para mantener su relevancia para el tema en evolución y para las actividades de TI.
INFORME DE AUDITORIA
105
5.1.3.7. Educación y capacitación de los usuarios
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya:
• Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a
sus miembros, a los mecanismos de capacitación más eficientes.
• Designar instructores y organizar el entrenamiento con tiempo suficiente.
• Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la
relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y
valor. Los resultados de esta evaluación deben contribuir a la definición futura de
los planes de estudio y de las sesiones de entrenamiento.
• Implantar valores corporativos (valores éticos, cultura de control y seguridad)
5.1.3.8. Administrar la mesa de servicio y los incidentes
• Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,
para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información.
• Establecer procedimientos de monitoreo y escalamiento basados en los niveles de
servicio acordados, que permitan clasificar y priorizar cualquier problema
reportado como incidente, solicitud de servicio o solicitud de información.
• Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios
y de los servicios de TI.
• Establecer una función y sistema que permita el registro y rastreo de llamadas,
incidentes, solicitudes de servicio y necesidades de información. Debe trabajar
estrechamente con los procesos de administración de incidentes, administración de
problemas, administración de cambios, administración de capacidad y
administración de disponibilidad.
INFORME DE AUDITORIA
106
• Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo
al equipo de administración de problemas apropiado y mantener informados a los
usuarios sobre el estado de sus consultas.
• Establecer procedimientos de mesa de servicios de manera que los incidentes que
no puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es
adecuado, brindar soluciones alternas.
• Establecer procedimientos para el monitoreo puntual de la resolución de consultas
de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar
la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el
usuario.
• Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia
medir el desempeño del servicio y los tiempos de respuesta, así como para
identificar tendencias de problemas recurrentes de manera que el servicio pueda
mejorarse de forma continua.
5.1.3.9. Administrar la configuración
• Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus
repuestos) o intangibles (licencias de software y aplicaciones de producción propia)
• Diseñar y mantener una aplicación de gestión que permita monitorear las
modificaciones introducidas al equipamiento y sus movimientos a otras oficinas o
ámbitos de trabajo. Asimismo, esta herramienta debe mantener un repositorio
central con toda la información relevante sobre los elementos de configuración
tangibles (hardware) e intangibles (por ejemplo, licencias de software).
• Para las bibliotecas de aplicaciones de producción propia, mantener una línea-base
de los elementos de la configuración para todos los sistemas y servicios como
INFORME DE AUDITORIA
107
punto de comprobación al cual volver tras un cambio y establecer rutinas
documentadas y periódicas de revisión.
• Establecer un procedimiento estandarizado que permita seguir los cambios al
repositorio de configuración.
5.1.3.10. Administración de problemas
• Implementar procesos para reportar y clasificar problemas que han sido
identificados como parte de la administración de incidentes.
• Categorizar los problemas de manera apropiada en grupos o dominios relacionados
(por ejemplo, hardware, software, software de soporte). Estos grupos pueden
coincidir con las responsabilidades organizacionales o con los grupos de usuarios y
son la base para asignar los problemas al personal de soporte.
• El sistema de administración de problemas debe mantener pistas de auditoría
adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los
problemas reportados considerando:
o Todos los elementos de configuración asociados.
o Problemas e incidentes sobresalientes.
o Errores conocidos y probables.
o Seguimiento de las tendencias de los problemas.
• Disponer de un procedimiento para cerrar registros de problemas con el usuario
final ya sea después de confirmar la eliminación exitosa del error conocido o
después de acordar con el responsable del tema cómo administrar el problema de
manera alternativa.
5.1.3.11. Administración de datos
• Establecer mecanismos para garantizar que el proceso reciba los documentos
originales correctos, que se procese toda la información recibida, que se preparen y
INFORME DE AUDITORIA
108
entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y
reproceso estén soportadas.
• Definir e implementar procedimientos para el archivo y almacenamiento de los
datos, de manera tal que estos permanezcan accesibles y utilizables.
• Definir e implementar procedimientos para mantener un inventario de medios de
almacenamiento en sitio y garantizar su integridad y su uso.
• Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y
al software desde equipos o medios una vez que son eliminados o transferidos para
otro uso.
• Definir e implementar procedimientos de respaldo y restauración de los sistemas,
datos y configuraciones que estén alineados con los requerimientos de la misión y
con el plan de continuidad.
• Verificar el cumplimiento de los procedimientos de respaldo y verificar la
capacidad y el tiempo requerido para tener una restauración completa y exitosa.
• Probar los medios de respaldo y el proceso de restauración.
• Establecer mecanismos para identificar y aplicar requerimientos de seguridad
aplicables a la recepción, procesamiento, almacenamiento físico y entrega de
información y de mensajes sensitivos que incluyen registros físicos, transmisiones
de datos y cualquier información almacenada fuera del sitio.
5.1.3.12. Administración de instalaciones
• Definir y seleccionar los centros de datos físicos para los equipos de TI. Debe
tomar en cuenta el riesgo asociado con desastres naturales y causados por el
hombre, considerando las leyes y regulaciones correspondientes.
• Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte
y de resolución de incidentes de seguridad física.
INFORME DE AUDITORIA
109
• Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y
revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del
organismo, incluyendo las emergencias.
• Diseñar e implementar medidas de protección contra factores ambientales. Deben
instalarse dispositivos y equipo especializado para monitorear y controlar el
ambiente.
• Administrar las instalaciones, incluyendo el equipo de comunicaciones y de
suministro de energía, de acuerdo con las leyes y los reglamentos, los
requerimientos técnicos, las especificaciones del proveedor y los lineamientos de
seguridad y salud.
• Disponer un sitio alternativo de procesamiento.
• Llevar control de las visitas en los centros de procesamiento.
• Incorporar a un plan de contingencia los procedimientos que mitiguen los daños
que puedan presentarse en situaciones de exposición al riesgo.
5.1.3.13. Administración de operaciones
• Definir, implementar y mantener procedimientos estándar para operaciones de TI y
garantizar que el personal de operaciones está familiarizado con todas las tareas de
operación relativas a ellos.
• Organizar la programación de trabajos, procesos y tareas en la secuencia más
eficiente, maximizando el desempeño y la utilización para cumplir con los
requerimientos del tema.
• Definir e implementar procedimientos para monitorear la infraestructura de TI y los
eventos relacionados.
• Garantizar que en los registros de operación se almacene suficiente información
cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de
INFORME DE AUDITORIA
110
tiempo de las operaciones y de las otras actividades que soportan o que están
vinculadas a estas.
• Establecer resguardos físicos, prácticas de registro y administración de inventarios
adecuados sobre los activos de TI.
• Definir e implementar procedimientos para garantizar el mantenimiento oportuno
de la infraestructura para reducir la frecuencia y el impacto de las fallas o
disminución del desempeño.
5.1.4. MONITOREAR Y EVALUAR
5.1.4.1. Monitorear y evaluar el desempeño de TI
• Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que
abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el
proceso a seguir para medir la solución y la entrega de servicios de TI.
• Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias
para definir un conjunto de objetivos de desempeño.
• Evaluación del desempeño. Comparar en forma periódica el desempeño contra las
metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver
las causas subyacentes cuando hay desvíos.
• Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos
para ser revisados por la alta dirección sobre el avance del organismo hacia metas
identificadas, específicamente en términos del desempeño. Éstos deben incluir el
grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos,
las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se
debe identificar cualquier desviación respecto al desempeño esperado e iniciar y
reportar las medidas de administración adecuadas.
INFORME DE AUDITORIA
111
• Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el
monitoreo del desempeño, evaluación y reportes.
5.1.4.2. Monitorear y evaluar el control interno
• Aumentar la asignación de recursos humanos a la tarea control interno de las
actividades de TI para hacer seguimientos más abarcativos.
• Monitoreo del marco de trabajo de control interno. Monitorear de forma continua,
comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de
TI para satisfacer los objetivos del organismo.
• Monitorear y evaluar la eficiencia y efectividad de los controles internos de
revisión de la gerencia de TI.
• Identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.
• Control interno para terceros. Evaluar el estado de los controles internos de los
proveedores de servicios externos. Confirmar que los proveedores de servicios
externos cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales.
• Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones
correctivas derivadas de los controles de evaluación y los informes.
5.1.4.3. Garantizar el cumplimiento con requerimientos externos
• Identificar los requerimientos de las leyes, regulaciones y cumplimientos
contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros
requerimientos externos que se deben de cumplir para incorporar en las políticas,
estándares, procedimientos y metodologías de TI del organismo.
INFORME DE AUDITORIA
112
• Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas,
estándares, procedimientos y metodologías de TI para garantizar que los requisitos
legales, regulatorios y contractuales son direccionados y comunicados.
En este sentido se recomienda levantar los incumplimientos de la Resolución 48 de
SIGEN "Normas de Control Interno para Tecnología de la Información para el
Sector Público Nacional” detallados en el punto 4.4.3 “Garantizar el cumplimiento
con requerimientos externos”.
• Evaluación del cumplimiento con requerimientos externos. Confirmar el
cumplimiento de políticas, estándares, procedimientos y metodologías de TI con
requerimientos legales y regulatorios.
• Rediseñar la página web del organismo para cumplir con las Ley 26.653
“Accesibilidad de la Información de las Páginas Web".
5.1.4.4. Proporcionar gobierno de TI
• Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el
marco de gobierno de TI con la visión completa del entorno de control. Basar el
marco de trabajo en un adecuado proceso de TI y modelo de control. Proporcionar
la rendición de cuentas y prácticas inequívocas para evitar la pérdida del control
interno. Confirmar que el marco de gobierno de TI asegura el cumplimiento de las
leyes y regulaciones y que está alineado a la estrategia y objetivos del organismo.
Informar del estado y cuestiones de gobierno de TI.
• Alineamiento estratégico. Facilitar el entendimiento de los niveles decisorios sobre
temas estratégicos de TI, de manera que exista un entendimiento compartido entre
las altas gerencias y la función de TI sobre la contribución potencial de TI a los
objetivos estratégicos del organismo.
INFORME DE AUDITORIA
113
• Entrega de valor. Administrar los programas de inversión con TI, así como otros
activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para
apoyar la estrategia y los objetivos del organismo.
• Administración de recursos. Revisar inversión, uso y asignación de los activos de
TI por medio de evaluaciones periódicas de las iniciativas y operaciones para
asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los
imperativos actuales y futuros.
• Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de
riesgo de TI aceptable por el organismo y obtener garantía razonable que las
prácticas de administración de riesgos de TI son apropiadas para asegurar que el
riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las
responsabilidades de administración de riesgos en el organismo, asegurando que el
desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados
con TI y su impacto y que la posición de los riesgos de TI del organismo es
entendida por los interesados.
• Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o
excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde
los objetivos confirmados no se han alcanzado o el progreso no es el esperado,
revisar las acciones correctivas.
• Aseguramiento independiente. Garantizar de forma independiente (interna o
externa) la conformidad de TI con la legislación y regulación relevante; las
políticas del organismo, estándares y procedimientos; prácticas generalmente
aceptadas; y la efectividad y eficiencia del desempeño de TI.
INFORME DE AUDITORIA
114
5.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA
5.2.1 INFRAESTRUCTURA
5.2.1.1. LNSE debe procurar que se complete la cesión de equipamiento de forma tal de
independizar los recursos de almacenamiento de LNSE de los de Casino de Buenos Aires,
con el fin de impedir cualquier acceso indebido a los datos almacenados por LNSE. Por
otra parte, se recomienda que LNSE implemente un procedimiento de auditoría de las
tablas del sistema Accounting con el fin de garantizar la integridad de las mismas. Esta
recomendación subsiste aún si la cesión fuera completada.
5.2.1.2. Implementar una alternativa de comunicaciones que permita la continuidad de las
tareas de fiscalización, ante una caída del servicio de telecomunicaciones.
5.2.2. FISCALIZACIÓN
5.2.2.1. Optimizar el modelo de monitoreo con alarmas y registros para que los agentes
fiscalizadores de LNSE puedan realizar un control y seguimiento más eficiente y en tiempo
real sobre las novedades de MEEJA con fallas de transmisión.
5.2.2.2. Implementar los métodos necesarios para auditar el total del parque de MEEJA
habilitadas en un período cuatrimestral.
5.2.2.3. La Gerencia de Fiscalización de LNSE debe incluir la verificación de UPS entre
los procedimientos de control de MEEJA.
INFORME DE AUDITORIA
115
5.2.2.4. LNSE debe velar por la calidad de las etiquetas o bien reemplazarlas
periódicamente con el fin de controlar adecuadamente que no hubo accesos indebidos al
hardware o software de las MEEJA a través de los puertos de acceso. En caso de
encontrarse un punto de acceso sin su etiqueta en condiciones, LNSE deberá proceder a
verificar que el software instalado y sus parámetros coincidan con los que el concesionario
registró oportunamente.
5.2.2.5. Dado que LNSE no realiza un control de los datos transmitidos en la red del
sistema de juegos, debería realizar pruebas funcionales que simulen la generación de
apuestas y el cobro de premios con el fin de controlar que estos eventos impacten sin
alteraciones en el aplicativo de fiscalización Accounting.
5.2.2.6. Diseñar, formalizar e implementar un procedimiento de fiscalización periódico que
se ocupe de verificar que cada MEEJA cumple con el porcentaje de devolución estipulado,
que contemple el análisis de las eventuales causas de incumplimiento. Esta prueba
permitiría, junto a otras pruebas funcionales, controlar el correcto funcionamiento de todos
los componentes.
5.2.2.7. Establecer dentro de LNSE un procedimiento de homologación y verificación
técnica de las MEEJA a dar de alta en salas de juego, con el fin de asegurar que su
funcionamiento refleje lo expresado en la documentación técnica entregada por el
Concesionario.
5.2.2.8. Arbitrar los medios necesarios para asegurar la objetividad de las actividades de
auditoría y fiscalización, velando por el debido cumplimiento del principio de control por
oposición de intereses.
5.2.3. OTRAS
INFORME DE AUDITORIA
116
5.2.3.1. LNSE debe eliminar la ambigüedad expuesta en la normativa respecto del
porcentaje de devolución de premios.
5.2.3.2. LNSE debe solicitar y verificar la implementación y uso de un sistema
informatizado que permita la identificación de las personas que ingresan a las salas de
juego, con el fin de impedir el acceso de quienes hayan solicitado su autoexclusión.
5.2.3.3. Revisar y modernizar los procedimientos de fiscalización con el objetivo de
incrementar su confiabilidad, agilidad, y eficiencia.
5.2.3.4. Registrar la información de manera digital, de forma que la información contenida
en los formularios pueda ser accedida en cualquier momento, con el objeto de facilitar la
utilización de la información almacenada para su análisis en forma ágil y dinámica.
6. CONCLUSIONES La regulación de los juegos de azar en la Argentina es competencia de cada provincia y de
la Ciudad Autónoma de Buenos Aires. Es en esta última donde Lotería Nacional Sociedad
del Estado (LNSE) –por mandato legal y en virtud del convenio suscripto con el Instituto
de Juegos de Apuestas de la Ciudad de Buenos Aires– explota buena parte de sus
actividades. Debido a ello comercializa juegos propios y de terceros a través de las
agencias oficiales, y mantiene concesionadas las cinco salas de bingo, el Hipódromo
Argentino de Palermo y el Casino de Buenos Aires. Según se desprende del presupuesto
2014, estas actividades le han reportado ingresos por operación superiores a los $870
millones.
INFORME DE AUDITORIA
117
La mayor parte de los ingresos de Lotería Nacional depende de su participación en el
“beneficio líquido” de los distintos juegos.49 En tal sentido, ha cobrado relevancia el
desarrollo del mercado del juego de azar con las concesiones al Hipódromo Argentino de
Palermo y al Casino de Buenos Aires que, con un volumen de alrededor de 6.000 máquinas
tragamonedas en funcionamiento de modo prácticamente ininterrumpido, han generado
importantes sumas que explican más del 30% de la participación de los ingresos operativos
de Lotería Nacional. Debido a que “como hecho individual y social el juego de azar
merece críticas muy severas”,50 el Estado re-encauza parte de los beneficios obtenidos a la
comunidad, con un fin social.51
En este marco, resulta importante el control que LNSE lleva a cabo sobre las liquidaciones
realizadas. A ello ha contribuido la mejora evidenciada en la administración de la
Tecnología de la Información (TI) desde 2006, fundamentalmente en lo que refiere a
infraestructura informática, aspectos organizativos y gestión de recursos humanos –para
los cuales se verifica un significativo nivel de permanencia–.52 También se han observado
progresos en términos de seguridad física y lógica de la infraestructura de TI. Sin embargo,
respecto a esto último, aún persisten debilidades que colocan a la organización en una
situación vulnerable frente a eventuales intrusiones que puedan ocurrir desde las redes de
HAPSA o Casino de Buenos Aires, o bien desde los centros de cómputos. Ello representa
un riesgo para la integridad, confidencialidad y disponibilidad de su información. Cabe
señalar que la Subgerencia de Seguridad de Información no se encuentra adecuada
jerárquicamente en la estructura organizacional, lo que deriva en limitaciones para que el
área pueda ejercer adecuadamente sus funciones, o para imponer criterios y políticas de
seguridad tanto al interior de la organización, como a los concesionarios.
49 Diferencia entre los ingresos por apuestas y los egresos por premios. 50 Dec. N° 598/90, considerandos. 51 Véase al respecto la nota al pie Nº 21. 52 En 2006 la AGN efectuó la última auditoría de tecnologías de la información en dicha organización.
INFORME DE AUDITORIA
118
Otra de las debilidades detectadas se origina en el escaso nivel de integración existente
entre los distintos sistemas informáticos. La transferencia de información entre unos y
otros requiere de gran cantidad de procesos manuales, como así también de gran número
de controles internos orientados a asegurar la integridad y confiabilidad de la información
transferida. Éstos, además de aumentar el riesgo de control, reducen la eficiencia de la
organización e impactan sobre su disponibilidad de tiempo para realizar otras tareas o
controles. La frecuencia de procedimientos manuales y la falta de una política de
despapelización, ha derivado en una situación en la que la información impresa supera la
capacidad de almacenamiento, lo que redunda en documentación expuesta al alcance de
usuarios no autorizados.
En relación a las medidas para garantizar la continuidad del servicio informático, la
organización ha enfatizado aquellos procesos relacionados con los ingresos de fondos, no
así con los egresos. Consecuentemente, una interrupción del servicio de TI enfrentaría a
Lotería Nacional al riesgo de no poder cumplir con sus obligaciones de pago en tiempo y
forma. En este sentido, el mantenimiento de ciertos aplicativos claves se encuentra
delegado a empresas mediante débiles vínculos contractuales, en los que no se especifican
las condiciones de la prestación ni la calidad del servicio de TI a brindar.
En cuanto al control informático de LNSE sobre la explotación de las máquinas
tragamonedas, aun cuando cumple con los procedimientos definidos en su manual de
fiscalización, no resultan suficientes para corroborar que no han sido modificadas, o que la
información generada por dichas máquinas sea la misma que impacta en el aplicativo que
la propia organización utiliza para controlarlas. Tampoco realiza LNSE controles propios
sobre la correcta parametrización de las máquinas. Confía para ello en la certificación
entregada por una organización internacional, sin realizar una verificación propia o a través
de terceros independientes contratados a tal fin.
INFORME DE AUDITORIA
119
Por último, hay dos aspectos del control informático de LNSE que, de atenderse
oportunamente, podrían prevenir perjuicios para los jugadores. Uno refiere a la necesidad
de controlar que ante una eventual caída del suministro eléctrico, las máquinas
tragamonedas no pierdan los datos de la apuesta en curso. El otro implicaría exigir a los
concesionarios un adecuado control informático de acceso a las salas de juego, a efectos de
cumplir con el propósito del formulario de autoexclusión, que algunos jugadores
completan por considerarse jugadores compulsivos.
El “Gobierno de TI” es una parte integral del gobierno corporativo, que indefectiblemente
debe contribuir con el cumplimiento de los objetivos organizacionales. El Gobierno de TI
se torna más importante aún, cuando la organización depende críticamente de ella. Tal es el
caso de LNSE, cuyos procesos principales dependen de los datos e información que
administra. En consecuencia, esta función no solo debe ser una responsabilidad compartida
por el Directorio y la administración ejecutiva de LNSE, sino también jerarquizada de
acuerdo a su importancia relativa para el conjunto organizacional. La necesidad de
asegurar el valor de TI, la administración de los riesgos asociados y el control de la
información, deben priorizarse y considerarse elementos clave del gobierno corporativo de
LNSE.
INFORME DE AUDITORIA
120
7. COMUNICACIÓN AL ENTE
Por nota N° 137/15-A06 la AGN remite el proyecto de informe a Lotería Nacional
Sociedad del Estado (LNSE), quien lo recibe con fecha 15 de diciembre de 2015.
El 4 de febrero de 2016 LNSE, mediante la nota N° 67/16 S.G.-LNSE, solicita una
prórroga por el término de quince (15) días hábiles que AGN otorga el 18 de febrero de
2016 por nota N° 04/16-A06.
El 2 de marzo de 2016 LNSE, a través de la nota N° 158/16 S.G., envía el descargo que
AGN recepciona el 3 de marzo del corriente.
En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la
respuesta del organismo auditado como los comentarios de la AGN.
Como resultado del análisis realizado:
- con el objeto de otorgarle mayor precisión a las observaciones 4.1.1.10, 4.1.2.4 y
4.2.2.3, se modifica parcialmente su texto sin que ello implique modificación del
nivel de madurez asignado.
- con el objeto de otorgarle mayor precisión al texto de las Aclaraciones Previas (pág.
9), se aclara que los juegos de máquinas tragamonedas son de premiación inmediata
y control online, y se agrega (pág. 16) información complementaria brindada por el
auditado relativa a actividades de LNSE en materia de prevención de lavado de
dinero.
INFORME DE AUDITORIA
121
8. LUGAR Y FECHA
BUENOS AIRES, abril de 2016
9. FIRMA
INFORME DE AUDITORIA
122
10. ANEXOS
ANEXO I – Comentarios del auditado
A continuación se exponen los comentarios del auditado sobre cada una de las
observaciones señaladas.
INFORME DE AUDITORIA
123
INFORME DE AUDITORIA
124
INFORME DE AUDITORIA
125
4.1. GESTIÓN INFORMÁTICA
4.1.1 PLANIFICAR Y ORGANIZAR
4.1.1.1 Definir Plan Estratégico para TI
“Atento a los cambios de autoridades de público conocimiento en esta Sociedad del
Estado, se precederá a revisar, y de ser necesario redefinir, las metas y objetivos
estratégicos, a partir de los cuales desarrollar una planificación estratégica para su
concreción”.
4.1.1.2 Definir la Arquitectura de la Información
“Mediante Resolución N° 79 de fecha 22 de junio de 2015, se adjudicó la Contratación
Directa N° 9/15 por la adquisición de licencias, análisis, diseño, implementación,
capacitación, puesta en producción, soporte y mantenimiento en la modalidad “llave en
mano” de un Sistema Administrativo Integrado – habitualmente denominado ERP – para
esta Sociedad del Estado, de tal forma que quedaría todo integrado en una única
plataforma”.
4.1.1.3 Determinar la dirección tecnológica
“Anualmente se planifican las adquisiciones necesarias considerando la arquitectura de
los sistemas, estándares tecnológicos para la administración pública (E.T.A.P.) estrategias
de migración y la dirección tecnológica a fin de mantener un normal funcionamiento de
los sistemas en una plataforma confiable y, en la medida de lo posible, actualizada.
Al respecto, y en el mismo sentido, es oportuno señalar que se consideren los
requerimientos de adquisición de las distintas áreas de esta Sociedad y en función de los
mismos y las necesidades detectadas se planifican los procesos de adquisición”.
INFORME DE AUDITORIA
126
4.1.1.4 Definir los procesos, organización y relaciones de TI
“Por Disposición N° 93/15 de fecha 4 de agosto de 2015, se formalizó la desvinculación
de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a depender
jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de
Gestión de Seguridad de la Información”.
4.1.1.5 Administrar la inversión en TI
“A partir de la puesta en funcionamiento del ERP adquirido (ver punto 4.1.1.2), se podrá
contar con una herramienta que permita, como área centralizadora, administrar la
formulación presupuestaria de TI incluyendo la contabilidad de costos”.
4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia
“Se toma debida nota y por Organización de Sistemas Administrativos se procederá a
formalizar a las rutinas de trabajo y metodologías utilizados en la Gerencia.
En otro orden de ideas, la toma de conciencia y sensibilización de los empleados de esta
Sociedad en temas tales como uso de Internet, se ha canalizado por medio de la Unidad de
Gestión de Seguridad de la Información”.
4.1.1.7 Administrar los recursos humanos de TI
“Se toma debida nota y conjuntamente con la Gerencia de Recursos Humanos se
procederá a analizar la propuesta efectuada en el último párrafo. De ser considerado
necesario y oportuno se procederá a la elaboración de algún proceso de evaluación
periódico donde se comparen los objetivos individuales derivados de las metas
organizacionales, estándares establecidos y responsabilidades específicas del puesto”.
INFORME DE AUDITORIA
127
4.1.1.8 Administrar la calidad
“El enfoque de calidad en esta Sociedad está basado en procesos, por ejemplo “proceso
de Captura de Apuestas”.
En el “Manual de Calidad” se especifica la gestión de adquisiciones.
Finalmente, se deja constancia que para el caso de los desarrollos, actualización y
modificaciones efectuados por el Departamento de Análisis y Desarrollo, previamente a
ser pasados a producción, son testeados por el Departamento Calidad y Testeo bajo
análisis de “caja blanca””.
4.1.1.9 Evaluar y administrar los riesgos de TI
“Conjuntamente con la Unidad de Gestión de Seguridad de la Información se elaborará
un “Plan de Administración de Riesgos de TI”.
4.1.1.10 Administrar proyectos
“Con relación a la observación es oportuno aclarar que en realidad existe un único
departamento de Desarrollo y Mantenimiento de software que es el existente en el
Organigrama de esta Sociedad.
Con respecto al que se menciona en segundo término es derivado del contrato de
sistematización vigente, adjudicado por Licitación Pública 4/09 el 9 de diciembre de 2010
a través de Resolución 112/10, y es el encargado de efectuar las tareas de mantenimiento
que figuran en el citado Pliego de Bases y Condiciones”.
Por otra parte, en la nueva estructura orgánica funcional vigente, se encuentra
incorporado el Departamento Coordinación de Proyecto a fin de integrar la
administración de proyectos”.
4.1.2 ADQUIRIR E IMPLEMENTAR
“Se reitera lo manifestado en el primer y segundo párrafo del punto anterior”.
INFORME DE AUDITORIA
128
4.1.2.1 Identificar Soluciones Automatizadas
“Como se menciona en el punto 4.1.1.10 se ha incorporado el Departamento
Coordinación de Proyectos cuyas funciones abarcan las observadas en el primer párrafo.
Con respecto al segundo párrafo, se reitera lo manifestado en el punto 4.1.2”.
4.1.2.2 Adquirir o desarrollar y mantener software aplicativo
“Se reitera que para el caso de los desarrollos, actualización y modificaciones efectuados
por el Departamento de Análisis y Desarrollo, previamente a ser pasados a producción,
son testeados por el Departamento Calidad y Testeo bajo análisis de “caja blanca”.
4.1.2.3 Adquirir y mantener infraestructura tecnológica
“Con relación al mantenimiento es oportuno señalar que al momento de efectuar
adquisiciones de infraestructura tecnológica se incorpora como parte integrante de las
obligaciones que tiene que asumir el oferente en el Pliego de Bases y Condiciones el
soporte y mantenimiento correspondiente. Vencido el plazo establecido, solo se realiza
mantenimiento correctivo dado que no resulta económicamente conveniente.
Asimismo no se realizan cambios ni nuevos desarrollos sobre la infraestructura
tecnológica sin previamente verificar que todo funcione como es esperable”.
4.1.2.4 Facilitar la operación y el uso
“Se solicita adjuntar evidencia al respecto, dado que no se alcanza a comprender
concretamente cual sería la documentación administrativa y contable faltante”.
4.1.2.5 Adquirir recursos de TI
“Respecto a los Expedientes relacionados con las firmas IGT; TELMEX y TELEFONICA
se encontraban al momento de ser efectuada la auditoría por parta de la AGN, a
INFORME DE AUDITORIA
129
disposición del Juzgado Federal Criminal y Correccional N°6 a cargo del Dr. Rodolfo
Canicoba Corral, sito en Comodoro Py”.
4.1.2.6 Administrar cambios
“Si bien no existe un proceso formal, se efectúa un análisis de mitigación de riesgo en
circunstancias como las observadas. Se tomará en cuenta su formalización”.
4.1.2.7 Instalar y acreditar soluciones y cambios
“Se analizará la incorporación de la aceptación formal por parte del usuario.
Al respecto, es dable destacar, que el nuevo sistema de gestión al que se hace referencia
en el punto 4.1.1.2, incluye la aprobación formal por parte del usuario como requisito
previo antes del pasaje a producción”.
4.1.3 ENTREGAR Y DAR SOPORTE
4.1.3.1 Definir y administrar los niveles de servicio
“Actualmente se han acordado acuerdos de nivel de servicio con la Gerencia de Mercado
y Juegos. Se continuará trabajando con la Unidad de Gestión de Seguridad de la
Información a fin de extender los mismos a otras áreas de esta Sociedad”.
4.1.3.2 Administrar servicios de terceros
“Los Aplicativos como SIGAD y “Anexo D” no son parte del objeto de la Licitación 4/09,
sino que dicho contrato solicita que el adjudicatario deberá hacerse cargo del
mantenimiento de los mismos. Sin perjuicio de lo mencionado, es de hacer notar, que
dichos aplicativos tienden a caer en desuso en la medida que se implemente el sistema
mencionado en el punto 4.1.1.2.
INFORME DE AUDITORIA
130
Con respecto a las prestadoras de servicios de telecomunicaciones, se solicita adjuntar
evidencia al respecto, dado que no se alcanza a comprender como se verificó que el
control de la prestación ni se encuentra formalizado”.
4.1.3.3 Administrar el desempeño y la capacidad
“Existen rutinas de trabajo, debidamente documentadas y aprobadas por la Gerencia, de
uso y aplicación por el Departamento Producción.
Asimismo, conjuntamente con la Unidad de Gestión de Seguridad de la Información se
procederá a desarrollar la planificación de un Plan de Contingencia, que considere de
forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de
TI”.
4.1.3.4 Garantizar la continuidad del servicio
“Si bien el escenario planteado en la observación es posible, es dable destacar que
contamos con respaldos de información almacenados fuera de estas instalaciones,
puntualmente en el Hipódromo Argentino de Palermo, y con la tecnología existente hoy en
día, se podría recuperar la información y procesar en contingencia dentro de una ventana
de tiempo razonable”.
4.1.3.5 Garantizar la seguridad de los sistemas
“Se reitera que por Disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la
desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a
depender jerárquicamente del Directorio de esta Sociedad, con la denominación de
Unidad de Gestión de Seguridad de la Información.
La concientización sobre la seguridad de la información la realiza la Unidad Gestión de
Seguridad aplicando la Política de Seguridad de la Información por medio de cursos
orientados a tal fin.
INFORME DE AUDITORIA
131
Con relación a la Administración de Cuentas de Usuario si bien no hay un procedimiento,
existe una rutina de trabajo debidamente documentada donde se establecen las tareas de
revisión periódica de las cuentas de usuario. Con respecto a los usuarios de la Gerencia
de Sistemas de la base datos de producción se solicita tenga a bien remitir evidencia al
respecto, dado que no alcanza a comprender la observación.
Acceso Físico. Se comparte la observación.
Seguridad de la red. Para el caso de los accesos a HAPSA y Casino Buenos Aires, a la
fecha se han implementado control de listas de acceso (ACL) que permiten definir el
perímetro entre las redes externas y la de esta Sociedad, siendo estos habilitados solo a
demanda por personal propio.
Con respecto a UTE IVISA – Casino Buenos Aires se está desarrollando un proyecto para
adquirir un enrutador de núcleo que permitir definir ACL en modo análogo al anterior. De
tal forma, la tecnología a adquirir permitirá además un plan de contingencia ante fallas
de cualquiera de sus partes”.
4.1.3.6 Identificar y asignar costos
“Se toma nota y se procederá en consecuencia.
Al respecto en nuevo sistema de gestión al que se hace referencia en el punto 4.1.1.2,
incluye la asignación presupuestaria de los recursos de TI en un enfoque orientado en la
administración por centro de costos”.
4.1.3.7 Educación y capacitación de los usuarios
“Se comparte la observación”.
4.1.3.8 Administrar la mesa de servicio y los incidentes
“Se tomará en cuenta la observación para su análisis, y en su caso, efectuar las
modificaciones a que diera lugar en el sistema actual”.
INFORME DE AUDITORIA
132
4.1.3.9 Administrar la configuración
“Lo observado responde a la necesidad de perseguir objetivos distintos. En el sistema de
bienes de uso están registrados todos los bienes de esta Sociedad, mientras que en el Sashi
sólo los bienes informáticos, conteniendo además información más detallada que la
existente en el sistema de bienes de uso, necesaria para efectuar la atención y
mantenimientos de los mismos. Por ejemplo: especificaciones técnicas, características,
etc”.
4.1.3.10 Administración de problemas
“Se tomará en cuenta la observación para su análisis”.
4.1.3.11 Administración de Datos
“Se remitirá la observación a la Unidad de Gestión de Seguridad de la Información”.
4.1.3.12 Administración de Instalaciones
“Centro de Procesamiento de Datos de la Administración Central.
Se solicita aclaración con respecto a la locación donde se observó la presencia de
material inflamable, como cajas de cartón, cajas de plástico y armarios de madera para
proceder a su eliminación.
Instalación Eléctrica.
Se trasladará la observación a la Gerencia Técnica (Departamento Electricidad).
Data Center del Casino de Buenos Aires.
Se toma en cuenta la observación y se procederá en consecuencia”.
4.1.3.13 Administración de operaciones
“Organización Informática. Por Disposición 93/15de fecha 4 de agosto, se formalizó la
desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a
INFORME DE AUDITORIA
133
depender jerárquicamente del Directorio de esta Sociedad, con la denominación de
Unidad de Gestión de Seguridad de la Información.
Plan Estratégico de TI. Atento los cambios de autoridades de público conocimiento en esta
Sociedad del Estado, se procederá a revisar, y de ser necesario redefinir, las metas y
objetivos estratégicos, a partir de los cuales desarrollar una planificación estratégica para
su concreción.
Arquitectura de la Información. El modelo de arquitectura de la información será el
definido por la adquisición el sistema mencionado en el punto 4.1.1.2.
Cumplimiento de Regulaciones Externas. Se Solicita Aclaración al Respecto.
Administración de proyectos. Se agregó un nuevo Departamento en la estructura funcional
vigente de la de la Gerencia de Sistemas que contempla el alcance de la presente
observación.
Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No se comparte la
observación. Existe un plan de trabajo donde se planifica la carga de trabajo del sector
desarrollo debidamente documentado y aprobado. Con relación a la adquisición de
software se realizan de acuerdo a lo establecido en el Manual de Compras de esta
Sociedad, respetando además los Estándares Tecnológicos para la Administración
Pública. La Unidad de Auditoría Interna no participa en los desarrollos do software por
decisión propia.
Ley 26.653 “Accesibilidad de la Información de las Páginas Web”. Se tomará en cuenta la
presente observación”.
4.1.4 MONITOREAR Y EVALUAR
4.1.4.1 Monitorear y evaluar el desempeño de TI
Sin comentarios a la observación.
4.1.4.2 Monitorear y evaluar el control interno
INFORME DE AUDITORIA
134
Sin comentarios a la observación.
4.1.4.3 Garantizar el cumplimiento con requerimientos externos
Sin comentarios a la observación.
4.1.4.4 Proporcionar gobierno de TI
“Si bien la Gerencia de Sistemas viene implementando mediciones, métodos de evaluación
y técnicas, se entiende que en la medida que se cuente con las herramientas y recursos
necesarios se podrá avanzar para establecer un entorno de control que incluya marcos de
trabajo definidos y organizados. Se toma en cuenta la observación, y en la medida de lo
posible, se procederá en consecuencia.
Se reitera que por Disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la
desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a
depender jerárquicamente del Directorio de esta Sociedad, con la denominación de
Unidad de Gestión de Seguridad de la Información”.
4.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA
4.2.1 INFRAESTRUCTURA
4.2.1.1. “Actualmente se está encarando un proceso de migración a una nueva versión de
la aplicación mencionada, que en principio permitirá subsanar la situación observada”.
4.2.1.2. “A la fecha se encuentra adjudicada la licitación por la contratación de un enlace
punto a punto con Casino Buenos Aires, para actuar como redundancia del mencionado
en la observación.
Hasta este punto y con relación a las recomendaciones referentes a TI, se toma debida
nota y oportunamente serán evaluadas y de corresponder, se tomarán las medidas
necesarias para su aplicación”.
INFORME DE AUDITORIA
135
4.2.2. FISCALIZACIÓN
4.2.2.1. “Se desprende de la observación que el mapa interactivo que muestra el estado de
las máquinas posee indicadores clasificados por colores de estado, cabe señalar que los
colores utilizados son similares a los de in semáforo (rojo, amarillo y verde, estos reflejan
diversos eventos tales como puerta abierta, falla de comunicación (rojo), pago de premios,
créditos cancelados, tarjeta de auditoría insertada (amarillo), puerta cerrada, máquina on
line, etc (verde). Cabe aclarar que existen más herramientas que las detalladas en la
Observación 4.2.2.1, ya que el sistema permite hacer consultas a demanda de los eventos
que se producen en la máquina (Consola Maintenance Workbook) también cuenta con un
soporte (Zero Meter) que permite individualizar terminales que posean idéntico contador
durante una jornada (6 a 6).
Es dable destacar que diariamente se efectúa, durante los tres turnos, el proceso de
fiscalización fallas de transmisión/comunicación a fin de determinar el estado de la
transmisión de datos de los contadores horarios. Esto permite detectar, en caso de existir,
las fallas que pudieran producirse a fin de notificar al área técnica del
Concesionario/Agente Operador de la novedad y su puesta fuera de servicio para la
reparación. Respecto de las evidencias sobre las fallas de comunicación se hace saber
diariamente se confecciona un acta donde quedan reflejadas las novedades.
Independientemente de ello, cuando la MEEJA se reconecta informa su estado de
contadores y los eventos quedan almacenados en la misma, dependiendo la cantidad de
eventos según el modelo de MEEJA, conservando cada terminal la información
almacenada”.
Recomendación 5.2.2.1: “Ahora bien, respecto de la recomendación efectuada se
encuentra en trámite a través del expediente 375.670/15 del registro de esta Sociedad, la
elaboración de una plataforma digital que complemente al Sistema de monitoreo y control
on line. Dentro de ese proyecto podrá incluirse el desarrollo de una herramienta de
alarmas tempranas”.
INFORME DE AUDITORIA
136
4.2.2.2. Sin comentarios a la observación.
Recomendación 5.2.2.2: “Se efectuará un seguimiento, análisis y revisión del plazo
establecido para el procedimiento fiscalización diaria audit test a fin que se complete la
totalidad del parque de máquinas”.
4.2.2.3. “En relación a lo mencionado por la Auditoría General de la Nación se transcribe
para de ña observación en cuestión… “cada MEEJA debe poseer un sistema de energía
ininterrumpida – o UPS – con una duración mínima de 15 minutos (Cap. IV, Art. 1). Al
respecto cabe señalar que el artículo que aplica al comentario efectuado es el Art. 2
apartado 2.8 del Capítulo IV.
Respecto al relevamiento efectuado sobre la muestra representativa del parque de
máquinas de las dos explotaciones, se entiende conveniente que a fin de analizar el
resultado de los porcentajes expresados en los mismos, debería cuantificarse el total de
máquinas consideradas para la muestra.
Analizando el fondo de la cuestión, se entiende que podría propiciarse la adecuación de la
normativa y establecer como un requisito, dentro de los procedimientos para la
aprobación de las MEEJA, la instalación de una fuente ininterrumpida de energía por un
lapso mínimo de 15 minutos, e incorporar dentro del procedimiento de ABM la
verificación del correcto funcionamiento del sistema de energía ininterrumpida.
En un mismo orden de ideas se aclara que en el caso que las MEEJAS se queden sin
energía guardan el estado dela última partida en juego a fin de restaurarla al arrancarse
o bien cancelarla y devolver al jugador los créditos que este poseía. Adicionalmente la
máquina debe preservar todos los últimos eventos por sí misma. Estas validaciones son
parte de los procesos de testeo de los dispositivos que efectúan los laboratorios de juego.
Independientemente se informa que el Hipódromo y los buques casino cuentan
(usina/generadores), que permiten la continuidad de la actividad de las salas”.
INFORME DE AUDITORIA
137
Recomendación 5.2.2.3: “Se propiciará la modificación del procedimiento de Alta, Baja y
Movimiento de las M.E.E.J.A. a fin de incluir en el mismo la verificación de la presencia y
funcionamiento del dispositivo de energía de emergencia”.
4.2.2.4. “Con relación a la observación mencionada se hace saber que el procedimiento
de “etiquetado”, consiste en identificar con una etiqueta holográfica con rastro de
remoción los dispositivos de almacenamiento que contengan programas de juego/tablas de
premios. Dicho procedimiento se lleva a cabo de acuerdo a lo establecido. Asimismo por
analogía se aplica el mismo procedimiento cuando por el desgaste de material adherente
se deteriora, por el paso del tiempo, o por el calor emanado por la MEEJA la etiqueta
identificatoria original. Dicho proceso incluye el reemplazo del elemento deteriorado,
efectuando una fiscalización que consiste en verificar entre otras cosas, juego,
denominación, denominación, código identificatorio de las memorias, etc a fin de
corroborar que el estado de la máquina ni haya sido modificado.
Cabe hacer mención mensualmente el Centro Superior para el Procesamiento de la
Información efectúa una inspección funcional de la MEEJA en la que verifica, número de
máquina, marca, serie, modelo, juego, devolución teórica, denominación, etc. También
efectúa otra auditoría que consiste en el firmado digital de ñas memorias de juego.
Es importante destacar que para el caso que se produjera una falla en el dispositivo de
almacenamiento y deba ser reemplazado, es necesario efectuar un borrado general de la
máquina (master reset). Dicha situación conlleva el labrado de un acta de falla/avería.
Este suceso queda registrado en el sistema de monitoreo y control on line debido a que el
borrado general de los contadores de la terminal en cuestión vuelven a cero, con motivo
del borrado general mencionado”.
Recomendación 5.2.2.4: “Al respecto, se hace saber que dentro del procedimiento de
“Comprobación de Inventario” se encuentra establecido dentro de los ítems a verificar la
comprobación de la etiqueta identificatoria. No obstante ello, se propiciará la
INFORME DE AUDITORIA
138
readecuación del procedimiento a fin de dejar explicita referencia al proceso de “re
etiquetado en caso de deterioro””.
4.2.2.5. “En primer lugar cabe hacer mención que el procedimiento de fiscalización diaria
de contadores “Audi Test” se complementa con el procedimiento que se lleva a cabo a
través de Alta, Baja y Movimientos. En el último procedimiento mencionado, se fiscaliza a
través de pruebas de juegos, el correcto incremento de los contadores de las MEEJAS,
como así también el reflejo de los mismos en el sistema. Esto queda asentado en Actas.
Asimismo, CeSPI efectúa mensualmente, y sobre una porción del parque de máquinas, un
control que incluye la verificación de la denominación de apuesta, denominación contable
y pruebas de juego donde queda asentado el inicio de la prueba, el medio de apuesta
utilizado (billete, ticket) monto ingresado, cantidad de crédito ingresado, contadores
previos y posteriores a la apuesta. El ente contrasta dichos datos con los reflejados en el
sistema”.
Recomendación 5.2.2.5: “Se desprende de la recomendación efectuada por el Auditor que no ha considerado en la evaluación los aspectos mencionados precedentemente. Independientemente, al momento de efectuarse el análisis y actualización de los
procedimientos de fiscalización, se evaluará la conveniencia de aumentar la frecuencia de
pruebas funcionales a lo largo de la vida útil de la MEEJA, por parte de los Agentes
destacados en Sala”.
4.2.2.6. “Con relación a la devolución teórica de las MEEJA, cabe hacer algunas
aclaraciones al respecto. En primer lugar la normativa vigente establece que la
devolución teórica estará calculada de modo que en una serie teórica de jugadas, que
comprenda la totalidad de las combinacio0nes posibles previstas devuelva un porcentaje
no inferior al 90% de las apuestas efectuadas. Cuando esto no sea posible por las
características del juego, para el cálculo del porcentaje de retorno al público será de
aplicación la estrategia óptima de juego para el mismo. Este porcentaje mínimo de
INFORME DE AUDITORIA
139
premios se refiere al porcentaje mínimo que devolverá la máquina para la máxima
apuesta. La Tabla de Pagos (PAR Sheet) de un juego de azar detalla todas las
combinaciones ganadoras y los pagos posibles del mismo. Estas combinaciones y pagos
permiten calcular el Porcentaje de Retorno al Jugador (RTP%), un cálculo teórico que
indica cuánto dinero será devuelto al jugador en forma de premios, durante la vida
operativa del juego.
A su vez, esto permite calcular el Porcentaje de Retención Teórico, que representa el
dinero que quedará retenido en la máquina, en forma de ganancia para la sala.
Porcentaje de Retención = 100% - RTP%.
Ahora bien, respecto de los procedimientos de fiscalización se hace hacer que toda vez que
se produce un ABM en la sala, se efectúa por personal destacado in situ la verificación de
este porcentaje de devolución teórico, se encuentre por encima del mínimo establecido.
En concordancia, y dentro de las tareas que efectúa el CESPI en sus auditorías externas,
el ente verifica los porcentajes de devolución mediante la inspección de las firmas
digitales. También, a través de inspecciones funcionales, verifica sus tablas de pago
correspondientes.
Corresponde aclararse que para cada tipo de juego instalado corresponde una tabla de
premios con características/matemáticas particulares propias de cada software, que al
cumplir los ciclos de jugadas tiende a unificar los porcentajes teóricos de las maquinas
con los reales, siempre teniendo en cuenta también el factor del azar.
Por ultimo cabe destacar que desde el inicio de la actividad de las MEEJA, se ha
verificado diariamente que el porcentaje de devolución real promedio de las salas
(beneficio / apuestas) supera holgadamente el porcentaje teórico establecido para las
mismas”.
Recomendación 5.2.2.6: “Se incluirá en el procedimiento de cálculo de beneficio diario
la fiscalización de la devolución real promedio de la Sala que como ya se ha mencionado
se encuentra por encima de lo establecido por la normativa vigente. Se analizara el diseño
INFORME DE AUDITORIA
140
de un procedimiento de fiscalización periódico de las MEEJA referido al porcentaje de
devolución real, el que será utilizado para analizar, para los casos que correspondan, una
fiscalización específica de las variables que hacen a este porcentaje de devolución
(tiempo, jugadas, porcentaje de devolución teórica, etc.), Se entendería que dicho
procedimiento tendría un resultado que a prima facie solo podría ser utilizado como un
elemento más de análisis. Pues de la misma manera que el porcentaje podría llegar a ser
menor en algún momento puntual, también podría ser mayor al 100 %, sin que ello
implique que esto asegure un mal funcionamiento de la terminal, dado que también
siempre está presente en el resultado del juego el azar. Para finalizar, es importante
señalar que la auditoría externa verifica los porcentajes de devolución teórica mediante la
inspección de las firmas digitales y sus tablas de pago correspondientes y en las
inspecciones funcionales”.
4.2.2.7. “Con relación a los certificados de laboratorios, la normativa vigente no establece
que estos sean provistos únicamente por el laboratorio GLI, dado que estos pueden
corresponder a distintos laboratorios de prestigio. El Concesionario ha presentado ante
LNSE cuenta con copias de los certificados de por lo menos tres distintas empresas de
testeo de dispositivos de juegos de azar como BMM, Pontificia Universidad Católica del
Perú, GLI y otros.
Lotería a través del Convenio Suscripto con la UNLP, y llevado a cabo por el Centro
Superior para el Procesamiento de la Información efectúa una auditoria para verificar
que los dispositivos instalados en las MEEJA, se encuentren con certificaciones vigentes
(comprobación de firma digital del software”..
Recomendación 5.2.2.7: “Para implementar un proceso de Homologación propio de esta
LNSE se entiende que debería efectuarse una readecuación de la normativa, atento que la
reglamentación actual no lo exige. Respecto de la implementación de un procedimiento de
comprobación del software a través de las firmas digitales (SHA-1, MD5 etc) previo a la
INFORME DE AUDITORIA
141
autorización de puesta de funcionamiento de las MEEJA, debería evaluarse, en conjunto,
la oportunidad, el mérito y la conveniencia de la adquisición de los dispositivos y/o
elementos técnicos necesarios y la capacitación del personal para el desarrollo propio de
la tarea”.
4.2.2.8. “Respecto a la observación efectuada por la AGN en este punto y a la
recomendación, se informa que se seguirán arbitrando los medios necesarios para que los
controles de Auditoría y Fiscalización que se vienen realizando y se continuarán
prestando de manera objetiva sin vulnerar el principio de control que lleva adelante
Lotería Nacional S.E”.
4.2.3. OTRAS
4.2.3.1. Sin comentarios a la observación. Recomendación 5.2.3.1: “Se entiende que debería proponerse una
modificación/aclaración a la normativa a fin de otorgar mayor precisión al concepto de
devolución respecto de las máquinas de juegos que puedan ser afectadas por la destreza
del jugador”.
4.2.3.2. Sin comentarios a la observación. Recomendación 5.2.3.2: “Se entiende que en el marco de la Política de Juego
Responsable de LNSE, debería analizarse la metodología del control a fin de
establecer/determinar un procedimiento eficaz respecto a la detección del Jugador
Autoexcluido. Para ello se considera conveniente darle intervención a las áreas
competentes en esta materia”.
4.2.3.3. Sin comentarios a la observación. Recomendación 5.2.3.3: “Se hace saber que a través del Expediente 375.670/15 del
registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo
de una plataforma tecnológica propia que amplíe las herramientas de fiscalización y que
INFORME DE AUDITORIA
142
la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios
a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a
cabo”.
4.2.3.4. Sin comentarios a la observación. Recomendación 5.2.3.4: “Se hace saber que a través del Expediente 375.670/15 del
registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo
de una plataforma tecnológica propia que amplíe las herramientas de fiscalización y que
la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios
a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a
cabo”.
INFORME DE AUDITORIA
143
ANEXO II – Análisis de los comentarios del auditado
A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado.
N° de Observación Observación Respuesta LNSE Comentario AGN 4.1. GESTIÓN INFORMÁTICA 4.1.1. PLANIFICAR Y ORGANIZAR 4.1.1.1 Definir un plan estratégico para TI
Falta definir un Plan Estratégico de TI vigente para administrar y dirigir todos los recursos de TI de acuerdo con los objetivos estratégicos del organismo y las prioridades apoyado en diferentes planes tácticos que indiquen cómo alcanzarlos. Existió un planeamiento estratégico del área durante el período 2006 al 2010 que abarcó la problemática de ese momento con respecto a adecuar la infraestructura tecnológica y edilicia, la estructura orgánica y funcional, la integración de los sistemas, la capacitación del personal y la adecuación salarial. Desde entonces no se ha vuelto a formular. En las solicitudes anuales de presupuesto para adquisiciones se invocan razones estratégicas, pero no están debidamente justificadas. Para más detalles ver punto “4.1.5 Administrar la inversión de TI”.
Atento los cambios de autoridades de público conocimiento en esta Sociedad del Estado, se procederá a revisar, y de ser necesario redefinir, las metas y objetivos estratégicos, a partir de los cuales desarrollar una planificación estratégica para su concreción.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
144
N° de Observación Observación Respuesta LNSE Comentario AGN
4.1.1.2 Definir la arquitectura de información
Coexisten aplicaciones desarrolladas bajo pautas precisas desde el año 2006 en adelante, con los sistemas administrativo-contables adquiridos con anterioridad. En el entendimiento de esta problemática, la Gerencia de Sistemas obtuvo del Directorio la aprobación de la compra de una aplicación que cubriese integralmente la gestión administrativa-contable más algunos módulos específicos, como la administración de permisos y concesiones para la explotación de juegos por parte de terceros. No obstante encontrarse avanzadas las gestiones, al momento de realizarse los trabajos de campo de esta auditoría, dos procesos licitatorios habían resultado infructuosos. En virtud de ello, no existe a la fecha un único modelo de arquitectura de la información, por lo que conviven distintas plataformas tecnológicas. Si bien las aplicaciones están integradas en relación a las bases de datos, existen interfaces
Mediante Resolución N° 79 de fecha 22 de junio de 2015, se adjudicó la Contratación Directa N° 9/15 por la adquisición de licencias, análisis, diseño, implementación, capacitación, puesta en producción, soporte y mantenimiento en la modalidad “llave en mano” de un Sistema Administrativo Integrado – habitualmente denominado ERP – para esta Sociedad del Estado, de tal forma que quedaría todo integrado en una única plataforma.
La observación de esta auditoría está enfocada en la adopción de un único modelo de arquitectura de la información, cuya definición sea formalmente establecida, así como también los criterios que justifiquen la decisión por esta solución. Con respecto al Sistema Administrativo Integrado recientemente adquirido, por tratarse de un hecho posterior al período auditado, será objeto de revisión en una próxima auditoría. Se mantienen las observaciones.
INFORME DE AUDITORIA
145
N° de Observación Observación Respuesta LNSE Comentario AGN manuales entre los distintos sistemas (que no están automatizadas). Por ejemplo, existen casos donde los asientos imputados en la aplicación contable Waldbott se componen previamente en planillas de Excel con información procedente de otras aplicaciones. No se ha establecido un esquema de clasificación de datos del organismo, basado en la criticidad y sensibilidad de la información. La falta de un diccionario de datos integrado de toda la organización no facilita la administración de la integridad y consistencia. Esto posibilita la existencia de redundancia de información.
4.1.1.3 Determinar la dirección tecnológica
El organismo no cuenta con un plan de infraestructura tecnológica. Debido a ello, los requerimientos en los procesos de adquisición no se respaldan en planes previos debidamente justificados y la estimación de las solicitudes de compras es intuitiva. Falta la consideración de aspectos tales como el
Anualmente se planifican las adquisiciones necesarias considerando la arquitectura de los sistemas, estándares tecnológicos para la administración pública (E.T.A.P.) estrategias de
De la documentación presentada en su oportunidad por el organismo se desprende que el proceso decisorio de adquisiciones, si bien cumple con la normativa,
INFORME DE AUDITORIA
146
N° de Observación Observación Respuesta LNSE Comentario AGN planeamiento de la capacidad para necesidades futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente.
migración y la dirección tecnológica a fin de mantener un normal funcionamiento de los sistemas en una plataforma confiable y, en la medida de lo posible, actualizada. Al respecto, y en el mismo sentido, es oportuno señalar que se consideran los requerimientos de adquisición de las distintas áreas de esta Sociedad y en función de los mismos y las necesidades detectadas se planifican los procesos de adquisición.
responde a bases intuitivas fundadas en el conocimiento de individuos clave y no en la planificación de necesidades debidamente justificadas. Se mantienen las observaciones.
4.1.1.4 Definir los procesos, organización y relaciones de TI
Tanto el organigrama del organismo como la estructura de la Gerencia de Sistemas se encuentran formalmente aprobados por resoluciones del Directorio.53
Por disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la desvinculación de la Subgerencia de Seguridad de
La respuesta del organismo no contradice las observaciones realizadas por esta
53 Resolución N° 116/11 aprueba la estructura organizacional del organismo. Posteriormente se modifica con las resoluciones 135/12, 40/13, 93/14 y 03/15. La Resolución Nº 93/14 aprobó una modificación de las misiones y funciones de la Gerencia de Sistemas.
INFORME DE AUDITORIA
147
N° de Observación Observación Respuesta LNSE Comentario AGN
Las misiones y funciones se encuentran definidas hasta el nivel de sector.54 En relación a la Subgerencia de Seguridad, la ubicación jerárquica actual no es apropiada ya que no garantiza su independencia funcional y operativa de la gerencia de sistemas de información y del resto de las áreas usuarias. Esto limita su alcance, su capacidad operativa y el control por oposición. En el año 2006 a partir de la evaluación del estado de situación de la TI de ese momento, se encararon cambios tendientes a:
• contar con desarrollos tecnológicos que permitiesen el normal desenvolvimiento de la actividad administrativa, el control de los productos incorporados al mercado y las respectivas redes de comercialización.
• tener una organización de TI que
la Gerencia de Sistemas, pasando a depender jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de Gestión de Seguridad de la Información.
auditoría, por lo tanto se mantienen las mismas. En relación a la re jerarquización de la Subgerencia de Seguridad, por tratarse de un hecho posterior al período auditado, será evaluado en una próxima auditoría.
54 Los niveles jerárquicos son Gerencia, Subgerencia, Departamento y Sector.
INFORME DE AUDITORIA
148
N° de Observación Observación Respuesta LNSE Comentario AGN permitiese acompañar las decisiones de negocio del Directorio, en especial en lo referente a la posibilidad de incursionar en nuevos productos lúdicos55.
• cumplir con regulaciones externas, como el Plan Nacional de Gobierno Electrónico,56 los estándares dictados por la ONTI,57 las normas de seguridad y distintas observaciones surgidas de auditorías recibidas.
En virtud de ello se procedió a jerarquizar la Subgerencia de Sistemas llevándola a gerencia, con dependencia directa del Directorio; se definió la nueva organización interna, con las funciones, los roles y responsabilidades hasta nivel de sector; se
55 Se da en el mundo el surgimiento de otros canales para la actividad lúdica tales como juegos on-line por Internet, telefonía fija, telefonía móvil y televisión interactiva. 56 Decreto Nro. 378/05. Propone incentivar la interacción entre la población y los diferentes organismos públicos, facilitando la comunicación y la obtención de respuestas satisfactorias y eficientes al ciudadano. 57 ONTI Oficina Nacional de Tecnología de Información.
INFORME DE AUDITORIA
149
N° de Observación Observación Respuesta LNSE Comentario AGN implementó un Plus Informático para nivelar los sueldos del escalafón vigente con los que se pagan en el mercado en relación al personal de TI; se regularizaron situaciones contractuales de ciertos agentes incorporándolos a la planta permanente; se llevó a cabo un plan de capacitación para nivelar los conocimientos del personal a las necesidades técnicas que se requerían y se promovió a ciertos agentes para que ocupen las posiciones intermedias a través de concursos internos.
4.1.1.5 Administrar la inversión en TI
Falta en la Gerencia de Sistemas un proceso de administración presupuestaria de TI donde, habiendo identificado los costos propios de la gerencia, se puedan comparar los costos reales con los presupuestados, identificar en forma oportuna las desviaciones y evaluar el impacto de éstas sobre lo planificado. El seguimiento de la ejecución presupuestaria lo llevan a cabo las áreas contables.
A partir de la puesta en funcionamiento del ERP adquirido (ver punto 4.1.1.2), se podrá contar con una herramienta que permita, como área centralizadora, administrar la formulación presupuestaria de TI incluyendo la contabilidad de costos.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
150
N° de Observación Observación Respuesta LNSE Comentario AGN El organismo considera al área de TI como centralizadora de los servicios informáticos por lo tanto computa todos los costos de TI a dicha área, aun cuando ésta no es la única usuaria de los servicios. La Gerencia de Sistemas realiza todos los años la formulación presupuestaria del año siguiente. La falta de un plan de infraestructura constituye una debilidad de la formulación presupuestaria, ya que no se identifican ni justifican técnicamente qué componentes deben renovarse, cambiarse o ampliarse. Entre 2013 y 2014, el presupuesto de TI del organismo tuvo un incremento nominal interanual del 4,59%.58
4.1.1.6 Comunicar las aspiraciones y la
No hay un programa de comunicación sistemática de los objetivos estratégicos de
Se toma debida nota y por Organización de Sistemas
La respuesta del organismo no contradice
58 Para el ejercicio 2013 el crédito aprobado para la Gerencia de Sistemas fue de 47.000.000 sobre 747.498.608 presupuestados para el organismo. Para el ejercicio 2014 fueron 49.160.333 sobre 1.019.620.544.
INFORME DE AUDITORIA
151
N° de Observación Observación Respuesta LNSE Comentario AGN dirección de la gerencia
TI. Falta la elaboración de un digesto con todas las normas y procedimientos de la gerencia. El ambiente de control está dado por un conjunto formalizado de rutinas de trabajo y metodologías de TI, sin la participación y comunicación del área de Métodos y Calidad, ni Organización y Métodos. Esto hace que el monitoreo del cumplimiento del control interno de estas políticas sea poco consistente. La comunicación de algunos temas sensibles tales como el uso de Internet, accesos remotos, instalación y uso de software, resguardo de elementos activos de la red de comunicaciones no han sido abordados.
Administrativos se procederá a formalizar a las rutinas de trabajo y metodologías utilizados en la Gerencia. En otro orden de ideas, la toma de conciencia y sensibilización de los empleados de esta Sociedad en temas tales como uso de Internet, se ha canalizado por medio de la Unidad de Gestión de Seguridad de la Información.
las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.1.7 Administrar los La política y el procedimiento para el reclutamiento se encuentran formalizados.59
Se toma debida nota y conjuntamente con la Gerencia
La respuesta del organismo no contradice
59 LNSE adhiere al Convenio Colectivo de Trabajo (54/92 "E") homologado mediante la Disposición N° 85/2009 de la Dirección Nacional de Relaciones de Trabajo (D.N.R.T). La modalidad de contratación de personal, en un nivel inicial, es a través de contratos anuales, pero con la posibilidad de pasar a la Planta Transitoria y, en caso de ya revestir dicha situación, pasar a Planta Permanente. Recientemente se implementó la modalidad de “Curso/Concurso”, el que consiste en la preparación de los concursantes de un determinado perfil para una categoría superior.
INFORME DE AUDITORIA
152
N° de Observación Observación Respuesta LNSE Comentario AGN recursos humanos de TI
La Gerencia de Sistemas, al momento de las tareas de campo, cuenta con 71 empleados encuadrados en cuanto a su remuneración al escalafón del convenio colectivo de trabajo suscripto por el organismo. El mismo contempla el pago de un plus informático como modo de equiparar las remuneraciones del personal de TI con el mercado laboral. El personal de Lotería Nacional S.E. ingresa y progresa en los diferentes grados, tramos, niveles y agrupamientos así como por su acceso a las funciones ejecutivas y de jefatura, de conformidad con el régimen de carrera previsto en el convenio, como resultado del nivel de idoneidad, formación académica, capacitación y rendimiento laboral que alcance, aprobando el régimen de concursos establecidos. La empresa conformó una Comisión Paritaria denominada “Comisión Permanente de Carrera”, que evalúa el desarrollo de carrera de los empleados de cada una de las diferentes áreas. Los empleados tienen la posibilidad de
de Recursos Humanos se procederá a analizar la propuesta efectuada en el último párrafo. De ser considerado necesario y oportuno se procederá a la elaboración de algún proceso de evaluación periódico donde se comparen los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto.
las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
153
N° de Observación Observación Respuesta LNSE Comentario AGN participar en cursos cuya aprobación permite la acreditación de puntos que derivan en el pago de un adicional, o la promoción a otra posición. Falta un proceso de evaluación periódico donde se comparen los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto.
4.1.1.8 Administrar la Calidad
No existen políticas ni un sistema de aseguramiento de calidad que establezca estándares para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la entrega de valor de TI a los
El enfoque de calidad en esta Sociedad está basado en procesos, por ejemplo “Proceso de Captura de Apuestas”. En el “Manual de la Calidad” se especifica la gestión de adquisiciones.
El enfoque de la observación de este objetivo de control está referido a los procesos informáticos exclusivamente. Estos deben estar subsumidos en
INFORME DE AUDITORIA
154
N° de Observación Observación Respuesta LNSE Comentario AGN objetivos estratégicos del organismo. En relación a los desarrollos de aplicaciones que se realizan internamente,60 las acciones tendientes al aseguramiento de la calidad se encuentran en una etapa incipiente, por lo que sólo se llevan a cabo tareas de estandarización de pantalla y listados. No se realizan análisis de caja blanca.61
Finalmente, se deja constancia que para el caso de los desarrollos, actualización y modificaciones efectuados por el Departamento de Análisis y Desarrollo, previamente a ser pasados a producción, son testeados por el Departamento Calidad y Testeo bajo análisis de “caja blanca”.
un programa de calidad que abarque a toda la sociedad. En relación a los desarrollos de software que se llevan a cabo por el Departamento de Análisis y Desarrollo (esto no incluye el mantenimiento de los aplicativos Anexo D – SIGAD, Permisionarios, Poliper y Estadísticas) tienen una instancia de prueba por parte del Departamento de Calidad y Testeo, siguiendo un
60 Las aplicaciones Anexo D y Sigad son mantenidas por la unión transitoria de empresas Casino Buenos Aires e IVISA S.A. Waldbott & Asoc S.A. mantiene la aplicación homónima. 61 En programación, se denomina “cajas blancas” a un tipo de pruebas de software que se realiza sobre las funciones internas de un módulo. Entre las técnicas usadas se encuentran la cobertura de caminos (pruebas mediante las que se recorren todos los posibles caminos de ejecución), pruebas sobre las expresiones lógico-aritméticas, pruebas de camino de datos y comprobación de bucles.
INFORME DE AUDITORIA
155
N° de Observación Observación Respuesta LNSE Comentario AGN procedimiento formalizado62 cuyo enfoque, como el propio documento lo establece, es sobre técnicas de caja negra.63 Las pruebas de caja blanca están relacionadas con el código fuente con el que se programan las aplicaciones. Esto persigue un doble propósito: por un lado que el desarrollo siga las pautas de calidad establecidas y por otro, las de seguridad (por ejemplo detectando código malicioso embebido). La respuesta del
62 Rutina de Trabajo para Pruebas de Software de fecha 4/4/2014 63 “…Las pruebas que se realizan son en su mayor parte de tipo funcional debido a que se enfocan en los requerimientos y pueden ser trazadas directamente sobre casos de uso, funciones o reglas de negocio. Este tipo de testeo es básicamente sobre técnicas de caja negra…” Fuente: Rutina de Trabajo para Pruebas de Software.
INFORME DE AUDITORIA
156
N° de Observación Observación Respuesta LNSE Comentario AGN organismo no modifica las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.1.9 Evaluar y administrar los riesgos de TI
No existe un marco formal de administración de riesgos que permita identificarlos con el objeto de tomar acciones para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente los riesgos tecnológicos se conocen, pero falta la formalización del contexto de riesgo y su evaluación formal de manera tal de contemplar las fortalezas, las oportunidades, las debilidades y las amenazas. El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso. Por ejemplo, el enfoque de continuidad del negocio tiene contemplado el procesamiento
Conjuntamente con la Unidad de Gestión de Seguridad de la Información se elaborará un “Plan de Administración de Riegos de TI”.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
157
N° de Observación Observación Respuesta LNSE Comentario AGN alternativo en aquellos procesos que implican el ingreso de fondos (captura de apuestas) pero no los egresos. De producirse una discontinuidad de los servicios de TI en la administración central, podría impedir el cumplimiento de las obligaciones de pago por parte de la empresa.
4.1.1.10 Administrar proyectos
No hay una administración integrada de todos los proyectos informáticos. Hay dos departamentos de desarrollo y mantenimiento de software: el que administra los desarrollos propios desde el año 2006, cuyos módulos integran el SULON,64 y otro que mantiene las
Con relación a la observación es oportuno aclarar que en realidad existe un único departamento de Desarrollo y Mantenimiento de software que es el existente en el Organigrama de esta Sociedad.
Con el objeto de darle más precisión a la observación se reemplaza: “Hay dos departamentos de desarrollo y mantenimiento de software: el que”, por
64 SULON: Sistema Único de Lotería Nacional. Comprende los siguientes módulos: Gestión de usuarios, roles y dependencias, Gestión de Agencias y Actas Provinciales, inspecciones realizadas y denuncias, Gestión de actas e inspecciones de Agencias Oficiales, Gestión de Documentación (administración de la documentación del organismo y su ubicación física en el archivo general y en dependencias de LNSE: Notas, Providencias, Memos e Informes), Gestión de Reclamos (consultas, sugerencias, pedido de asistencia técnica de clientes), Auditorías de los juegos Borratina, Brinco, La Grande, La Solidaria, Loto, Loto 5, Prode, Quini 6, Quiniela Conjunta (Tradicional, Poceada y Tombolina), Tragamonedas (extrae información del sistema Accounting sobre las actividades de Casino de Buenos Aires y HAPSA y genera reportes), G.R.S. (Gestión de Reclamos a Sistemas (administra la gestión de incidentes relacionados con temas de hardware y aplicaciones), Bingos (seguimiento on-line de las partidas de los distintos Bingos) y
INFORME DE AUDITORIA
158
N° de Observación Observación Respuesta LNSE Comentario AGN aplicaciones prexistentes.65 Mientras que en la primera se han seguido directrices comunes en la administración de proyectos, esto no sucede con el segundo conjunto. Además, ninguna se encuentra integrada a la administración de proyectos de infraestructura de TI.
Con respecto al que se menciona en segundo término es derivado del contrato de sistematización vigente, adjudicado por Licitación Pública 4/09 el 9 de diciembre de 2010 a través de Resolución 112/10, y es el encargado de efectuar las tareas de mantenimiento que figuran en el citado Pliego de Bases y Condiciones. Por otra parte, en la nueva estructura orgánica funcional vigente, se encuentra incorporado el Departamento Coordinación de Proyecto a fin de integrar la administración de proyectos.
“Además del Departamento de Mantenimiento de Software que figura formalmente en el organigrama, existe otra área identificada como ‘Asesoría de Sistemas’. Uno…”. La modificación no implica cambiar el espíritu de la observación ni el nivel de madurez.
Pro.cre.ar. (búsqueda de ganadores y remisión de resultados del Programa PRO.CRE.AR BICENTENARIO, -Programa de Crédito Argentino del Bicentenario para la Vivienda Única Familiar). 65 SIGAD, ANEXO D, Permisionarios, Estadísticas y Poliper (Gestión de Seguros de Agentes Oficiales y Permisionarios
INFORME DE AUDITORIA
159
N° de Observación Observación Respuesta LNSE Comentario AGN 4.1.2. ADQUIRIR E IMPLEMENTAR
4.1.2.1 Identificar soluciones automatizadas
El marco de trabajo del área de desarrollo propio es incompleto. Faltan consideraciones relativas a la formalización de cómo se consideraron la factibilidad, el riesgo, la asignación de costos, las prioridades, la asignación de recursos y el beneficio esperado de la solución adoptada. En el caso de los servicios tercerizados, el marco de trabajo es menos formal. La falta de documentación hace que se dependa de individuos clave para llevar adelante las tareas.
Se reitera lo manifestado en el primer y segundo párrafo del punto anterior. Como se menciona en el punto 4.1.1.10 se ha incorporado el Departamento Coordinación de Proyectos cuyas funciones abarcan las observadas en el primer párrafo. Con respecto al segundo párrafo, se reitera lo manifestado en el punto 4.1.2.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.2.2 Adquirir o desarrollar y mantener software aplicativo
La metodología de ciclo de vida de desarrollo de sistemas (CVDS) está definida aunque incompleta. Faltan algunos aspectos tales como definir etapas de aceptación por parte de los usuarios involucrados y la definición de estándares de codificación del software que pueda ser analizado en un control de aseguramiento de la calidad posterior (análisis de caja blanca).
Se reitera que para el caso de los desarrollos, actualización y modificaciones efectuados por el Departamento de Análisis y Desarrollo, previamente a ser pasados a producción, son testeados por el Departamento Calidad y Testeo bajo análisis de “caja blanca”.
En relación a los desarrollos de software que se llevan a cabo por el Departamento de Análisis y Desarrollo (esto no incluye el mantenimiento de los aplicativos Anexo D – SIGAD, Permisionarios, Poliper y Estadísticas) tienen una instancia de
INFORME DE AUDITORIA
160
N° de Observación Observación Respuesta LNSE Comentario AGN prueba por parte del Departamento de Calidad y Testeo, siguiendo un procedimiento formalizado, cuyo enfoque se basa en técnicas de caja negra (al respecto, véase nota al pie del comentario AGN a observación Nº 4.1.1.8). Falta un procedimiento especifico de pruebas de caja blanca relacionada con el desarrollo del código fuente con el que se programan las aplicaciones. Esto persigue un doble propósito: por un lado que el desarrollo siga las pautas de calidad establecidas y por otro, la de seguridad (por ejemplo detectando código malicioso embebido).
INFORME DE AUDITORIA
161
N° de Observación Observación Respuesta LNSE Comentario AGN Se mantienen las observaciones realizadas.
4.1.2.3 Adquirir y mantener infraestructura tecnológica
El impacto que pueda producir sobre la infraestructura tecnológica un desarrollo nuevo o un cambio importante en alguna de las aplicaciones existentes, no está formalmente contemplado. El organismo no cuenta con un plan de infraestructura tecnológica (ver observaciones punto 4.1.3, “Determinar la dirección tecnológica”).
Con relación al mantenimiento es oportuno señalar que al momento de efectuar adquisiciones de infraestructura tecnológica se incorpora como parte integrante de las obligaciones que tiene que asumir el oferente en el Pliego de Bases y Condiciones el soporte y mantenimiento correspondiente. Vencido el plazo establecido, sólo se realiza mantenimiento correctivo dado que no resulta económicamente conveniente. Asimismo no se realizan cambios ni nuevos desarrollos sobre la infraestructura tecnológica sin previamente verificar que todo funcione como es esperable.
La observación de este objetivo de control está focalizada en la falta de documentación formal sobre el impacto potencial que un cambio significativo en alguna aplicación, o la incorporación de un nuevo desarrollo, puede tener sobre el Plan de Infraestructura previamente establecido. En ese sentido considerando las observaciones del punto 4.1.1.3 se mantienen las mismas.
INFORME DE AUDITORIA
162
N° de Observación Observación Respuesta LNSE Comentario AGN
4.1.2.4 Facilitar la operación y el uso
Hay un repositorio formal donde se guarda y mantiene actualizada documentación para que el usuario habilitado tenga acceso a ella, aunque es incompleta. Falta documentación referida al sistema administrativo y contable.
Se solicita adjuntar evidencia al respecto, dado que no se alcanza a comprender concretamente cual sería la documentación administrativa y contable faltante.
Con el objeto de darle más precisión a la observación se adecua su redacción de: “Hay un repositorio formal donde se guarda y mantiene actualizada documentación para que el usuario habilitado tenga acceso a ella, aunque es incompleta. Falta documentación referida al sistema administrativo y contable”, por “Los desarrollos propios posteriores al año 2006 tienen documentación almacenada en un repositorio donde los usuarios habilitados tienen acceso. No así los aplicativos desarrollados o adquiridos previamente: SIGAD, ANEXO D, WALBOTT,
INFORME DE AUDITORIA
163
N° de Observación Observación Respuesta LNSE Comentario AGN Permisionarios, Estadísticas y Poliper”. La modificación no implica cambiar el espíritu de la observación ni el nivel de madurez.
4.1.2.5 Adquirir recursos de TI
Las adquisiciones responden a un proceso formalizado por un reglamento de compras del organismo. No se obtuvo evidencia de los contratos con los proveedores, motivo por el cual no se pueden controlar los acuerdos de niveles de servicio.
Respecto a los Expedientes relacionados con las firmas IGT; TELMEX y TELEFONICA se encontraban al momento de ser efectuada la auditoría por parte de la AGN, a disposición del Juzgado Federal Criminal y Correccional N°6 a cargo del Dr. Rodolfo Canicoba Corral, sito en Comodoro Py.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.2.6 Administrar cambios
El procedimiento de administración de cambios está contemplado en la metodología de ciclo de vida de desarrollo de sistemas (CVDS), pero es incompleto. Faltan consideraciones de análisis de impacto en aspectos funcionales y de infraestructura de
Si bien no existe un proceso formal, se efectúa un análisis de mitigación de riesgo en circunstancias como las observadas. Se tomará en cuenta su formalización.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
164
N° de Observación Observación Respuesta LNSE Comentario AGN TI que puedan traer dichos cambios, criterios para asignar prioridades y etapas de aceptación por parte del usuario clave involucrado. No está establecido un proceso formal para actuar en situaciones de emergencia que contemple tareas a ser cumplidas en forma diferida una vez solucionado el problema y la registración de pistas de auditoría.
4.1.2.7 Instalar y acreditar soluciones y cambios
En el procedimiento de pasaje del software del entorno de prueba al entorno de producción, falta la aprobación formal del usuario relevante involucrado, que avale que las pruebas llevadas a cabo en el entorno de prueba fueron satisfactorias.
Se analizará la incorporación de la aceptación formal por parte del usuario. Al respecto, es dable destacar, que el nuevo sistema de gestión al que se hace referencia en el punto 4.1.1.2, incluye la aprobación formal por parte del usuario como requisito previo antes del pasaje a producción.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.3. ENTREGAR Y DAR SOPORTE
Falta definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del
Actualmente se han acordado acuerdos de nivel de servicio con la Gerencia de Mercado y
La respuesta del organismo no contradice las observaciones
INFORME DE AUDITORIA
165
N° de Observación Observación Respuesta LNSE Comentario AGN 4.1.3.1 Definir y administrar los niveles de servicio
usuario y las capacidades de TI. Correspondería formalizar un marco de trabajo de administración de niveles de servicio entre el usuario y el prestador de servicios que contemple el proceso de creación del requerimiento por parte del usuario, el almacenado de manera centralizada de la definición base de los servicios de TI (catálogo de servicios), los acuerdos de niveles de servicios alcanzados con la Gerencia de Sistemas conforme a las capacidades disponibles, el proceso de monitoreo de los acuerdos y los reportes a los interesados.
Juegos. Se continuará trabajando con la Unidad de Gestión de Seguridad de la Información a fin de extender los mismos a otras áreas de esta Sociedad.
realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.3.2 Administrar servicios de terceros
El mantenimiento de las aplicaciones “Anexo D” y “SIGAD” figuran en el contrato de licitación del sistema de captura de apuestas en línea (licitación 4/09) sin establecer cómo se prestará el servicio. Esto da lugar a que no se pueda establecer un acuerdo de nivel de servicio al que el proveedor se debe comprometer. Con respecto a las prestadoras de servicios de telecomunicaciones, durante los trabajos
Los aplicativos denominados como Sigad y “Anexo D” no son parte del objeto de la licitación 4/09, sino que dicho contrato solicita que el adjudicatario deberá hacerse cargo del mantenimiento de los mismos. Sin perjuicio de lo mencionado, es de hacer notar, que dicho aplicativos tienden a
La observación de este objetivo de control está focalizada en la inexistencia de un procedimiento aprobado y estándar para el control de todos los servicios prestados por terceros orientados a la revisión y el monitoreo, con el fin de
INFORME DE AUDITORIA
166
N° de Observación Observación Respuesta LNSE Comentario AGN de campo los convenios no fueron suministrados a esta auditoría, no obstante se verificó que el control de la prestación no se encuentra formalizado en un procedimiento específico.
caer en desuso en la medida que se implemente el sistema mencionado en el punto 4.1.1.2. Con respecto a las prestadoras de servicios de telecomunicaciones, se solicita adjuntar evidencia al respecto, dado que no se alcanza a comprender como se verificó que el control de la prestación no se encuentra formalizado.
garantizar la eficacia, eficiencia y economía de los prestadores de servicios. En el caso del mantenimiento de las aplicaciones “Anexo D” y “SIGAD” solicitado en la licitación 4/09, ésta carece de detalles sobre el alcance y forma en que el proveedor de sistematización mantendrá dicho servicio. En el caso de las empresas de telecomunicaciones, el control del servicio prestado se realiza intuitivamente, sin respaldo documental, por carecer el auditado de copia del contrato y desconocer los términos fijados en éste en relación
INFORME DE AUDITORIA
167
N° de Observación Observación Respuesta LNSE Comentario AGN a los niveles de servicios acordados. Se mantiene la observación.
4.1.3.3 Administrar el desempeño y la capacidad
Falta: • Establecer un proceso de planeación
para la revisión regular del desempeño y la capacidad de los recursos de TI, que asegure la disponibilidad para procesar cargas de trabajo acordadas, tal como se determina en los acuerdos de nivel de servicio, y minimizar el riesgo de interrupciones del servicio originados por falta de capacidad o degradación del desempeño.
• Monitorear y generar reportes del desempeño del sistema.
• Elaborar un plan de contingencia que considere de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI.
Existen rutinas de trabajo, debidamente documentadas y aprobadas por la Gerencia, de uso y aplicación por el Departamento Producción. Asimismo, conjuntamente con la con la Unidad de Gestión de Seguridad de la Información se procederá a desarrollar la planificación de un Plan de Contingencia, que considere de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
168
N° de Observación Observación Respuesta LNSE Comentario AGN
4.1.3.4 Garantizar la continuidad del servicio
El enfoque de la continuidad del negocio es incompleto. Se pone énfasis en aquellos procesos que implican el ingreso de fondos pero no en los egresos. De producirse una discontinuidad de servicios en la administración central, podría no cumplirse con las obligaciones de pago.
Si bien el escenario planteado en la observación es posible, es dable destacar que contamos con respaldos de información almacenados fuera de estas instalaciones, puntualmente en el Hipódromo Argentino e Palermo, y con la tecnología existente hoy en dia, se podría recuperar la información y procesar en contingencia dentro de una ventana de tiempo razonable.
Los riesgos sin control podrían impactar los servicios de TI con las consecuencias mencionadas. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantiene la observación.
4.1.3.5 Garantizar la seguridad de los sistemas
El Organismo cuenta con una Subgerencia de Seguridad de la Información, responsable del cumplimiento de la Política respectiva. No obstante, depende de la Gerencia de Sistemas, lo que no garantiza su independencia funcional y operativa tanto de dicha gerencia como del resto de las áreas usuarias. Esto limita su alcance, capacidad operativa y el control por oposición. Concientización sobre la seguridad de la
Se reitera que por disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a depender jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de Gestión de
Respecto de los usuarios de la Gerencia de Sistemas, deben tener vedado el acceso a las bases de datos de producción. En relación a las respuestas brindadas por el auditado referentes a: i) la Unidad de Gestión de
INFORME DE AUDITORIA
169
N° de Observación Observación Respuesta LNSE Comentario AGN información. Se ha aprobado una Política de Seguridad de la Información66 (PSI), se realizan cursos de capacitación en seguridad de la información para todo el personal, pero los mismos no son obligatorios, detectándose que personal técnico no recibió capacitación en la misma y desconoce la existencia y contenido de la PSI. El seguimiento del cumplimiento de la PSI se realiza evaluando las encuestas completadas al finalizar los cursos de capacitación. No se releva departamento por departamento para verificar su cumplimiento y nivel de conocimiento alcanzado. Los propietarios de los datos no se encuentran definidos de manera formal. La PSI establece la forma en que deben ser clasificados los activos de información, pero ésta clasificación no se ha formalizado. No se cuenta con un Plan de Seguridad de TI ni con un Plan de Contingencias, además de
Seguridad de la Información. La concientización sobre la seguridad de la información la realiza la Unidad de Gestión de Seguridad de la Información aplicando la Política de Seguridad de la Información por medio de cursos orientados a tal fin. Con relación a la Administración de Cuentas de Usuario si bien no hay un procedimiento, existe una rutina de trabajo debidamente documentada donde se establecen las tareas de revisión periódica de las cuentas de usuario. Con respecto a los usuarios de la Gerencia de Sistemas de la base de datos de producción se
Seguridad de la Información, y ii) a la seguridad de la red; por tratarse de hechos posteriores, serán evaluados en futuras tareas de auditoría. Hechas estas aclaraciones, dado que la respuesta del organismo no contradice las observaciones realizadas por esta auditoría, se mantienen las mismas.
66 Resolución LNSE 83/10. Se actualizó con la Resolución 96/12 del 25/09/2012.
INFORME DE AUDITORIA
170
N° de Observación Observación Respuesta LNSE Comentario AGN no contar con un análisis de riesgos por cada sistema aplicativo y por departamento, a excepción del Informe de evaluación del Data Center del Departamento de Producción. Se detectó que hay sistemas cuyas políticas de cuentas de usuario no respetan la PSI y el administrador del sistema tiene a la vista las contraseñas de los usuarios. La Subgerencia de Seguridad de la Información no tuvo ni tiene injerencia en la seguridad del sistema Accounting que registra los movimientos de las máquinas tragamonedas de HAPSA y Casino de Buenos Aires. Administración de Cuentas de Usuarios. Las tareas de revisión periódica de las cuentas de usuario no están formalizadas bajo un procedimiento específico. No se suspenden las cuentas de los usuarios que se encuentren de licencia. Se han hallado usuarios de la Gerencia de Sistemas de las bases de datos de producción. Administración de Contraseñas.
solicita tenga a bien remitir evidencia al respecto, dado que no se alcanza a comprender la observación. Acceso Físico. Se comparte la observación. Seguridad de la red. Para el caso de los accesos a HAPSA y Casino Buenos Aires, a la fecha se han implementado control de listas de acceso (ACL) que permiten definir el perímetro entre las redes externas y la de esta Sociedad, siendo estos habilitados solo a demanda y por personal propio. Con respecto a UTE IVISA - Casino Buenos Aires se está desarrollando un proyecto para adquirir un enrutador de núcleo que permitir definir ACL en modo análogo al anterior. De tal forma, la tecnología a adquirir permitirá además
INFORME DE AUDITORIA
171
N° de Observación Observación Respuesta LNSE Comentario AGN No se cumplen las políticas de contraseñas fijadas en la PSI en los servidores Windows, Linux y AIX,67 excepto en el servidor de base de datos del Casino de Buenos Aires. El sistema de Permisionarios tiene su propia administración de usuarios, es administrada por el jefe de departamento y no cumple con los requisitos detallados en la PSI. Tanto la identificación de usuario como la contraseña pueden ser visualizadas por el administrador. Todos los integrantes del Departamento de Producción conocen la clave de acceso de super-usuario68 de los servidores, además de permitirse el cambio de un usuario común a super-usuario. Esto posibilitaría que intencional o accidentalmente se realicen operaciones que pongan en riesgo la seguridad de la información que se almacena en ellos.
definir un plan de contingencia ante fallas de cualquiera de sus partes.
67 No exigen requisitos de complejidad de contraseñas, no fijan longitud mínima de la contraseña, las contraseñas nunca expiran, la vigencia máxima de las contraseñas en algunos casos es de 42 días (debiendo ser 90 días), no se guarda el historial, no tienen fijados umbrales de bloqueo de cuentas (bloqueo que cuenta tras un número de tres intentos fallidos). 68 Usuario de mayor privilegio en la administración de un sistema operativo.
INFORME DE AUDITORIA
172
N° de Observación Observación Respuesta LNSE Comentario AGN Accesos físicos. Hay racks de comunicaciones en lugares de libre acceso a personal ajeno al Departamento de Telecomunicaciones, con cables a la vista y armarios sin cerramiento en su parte posterior; algunos junto a ventanas de fácil acceso desde el exterior. En el cuarto piso, el acceso al rack de comunicaciones se encuentra obstaculizado por armarios que se encuentran por delante.69 En el Centro de Cómputos hay equipamiento de LNSE en el área de equipamiento de terceros, sin ningún tipo de aislamiento para impedir su manipulación accidental o indebida por personal externo.
69 Existe un expediente interno 370.969/10 sobre este tema, donde el Departamento de Comunicaciones solicita a la Subgerencia de Sistemas “… correr los armarios que obstaculizan el acceso al Rack de comunicaciones y colocar una puerta no sólo como aislante del ruido, sino también como aislamiento térmico…”.
INFORME DE AUDITORIA
173
N° de Observación Observación Respuesta LNSE Comentario AGN Seguridad de la Red. No existe ningún dispositivo de defensa perimetral70 entre la red de LNSE y las redes de:
• la UTE IVISA-Casino Buenos Aires • HAPSA • Casino de Buenos Aires.
Si bien la red de la UTE IVISA – Casino de Buenos Aires interna a LNSE se encuentra encapsulada dentro de su propia red de área local virtual (VLAN), el puerto de ingreso a ésta no posee etiquetado, por lo que, con un mínimo conocimiento de la red, la UTE tendría acceso a la totalidad de la red de LNSE. No existe una lista de control de acceso (ACL) que regule el acceso interno a los servidores del centro de cómputos. Esto significa que cualquier dispositivo conectado a la red interna de LNSE tiene acceso a la
70 Estos dispositivos son conocidos comúnmente como “Firewall”. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
INFORME DE AUDITORIA
174
N° de Observación Observación Respuesta LNSE Comentario AGN pantalla de autenticación de los servidores albergados en el centro de cómputos. La infraestructura de red depende exclusivamente de un enrutador núcleo para el cual –no obstante contar con hardware redundado mediante duplicidad de placas controladoras–, no se cuenta con plan de contingencia alguno ante su eventual falla. Los servicios críticos de comunicaciones se encuentran a la fecha sin garantía y bajo un régimen de legítimo abono.
4.1.3.6 Identificar y asignar costos
La asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la Gerencia de Sistemas. Falta la implementación a nivel de la organización de un enfoque orientado a la administración por centros de costos de los recursos de TI. Dentro de este marco de trabajo, la Gerencia de Sistemas no presenta un proceso presupuestario propio de los programas de inversión de TI, incluyendo los costos de operar y mantener la infraestructura
Se toma nota y se procederá en consecuencia. Al respecto, el nuevo sistema de gestión al que se hace referencia en el punto 4.1.1.2, incluye la asignación presupuestaria de los recursos de TI en un enfoque orientado en la administración por centros de costos.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
175
N° de Observación Observación Respuesta LNSE Comentario AGN actual. Este proceso debería permitir su monitoreo para determinar la contribución esperada de TI a los objetivos estratégicos del organismo.
4.1.3.7 Educación y capacitación de los usuarios
En el acta de la Comisión Negociadora del Convenio Colectivo de Trabajo suscripto71 se establece que “la capacitación está considerada como un derecho inalienable de los trabajadores y es obligación del empleador brindar la misma, con incorporación de las temáticas y prestaciones pedagógicas que respondan a la gestión laboral”. También se contemplan licencias y franquicias horarias a los empleados que concurran a capacitarse. Para temas relativos a la actividad lúdica, el organismo cuenta con la Escuela de Formación y Capacitación de Lotería Nacional S.E.72, la cual propone el Plan
Se comparte la observación.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
71 Artículo 45 del Convenio Colectivo de Trabajo de Empresa Nº 54/92 “E”, suscripto con UPCN. 72 Creada por Resolución Nº 47/08-LNSE y cuyas Misiones y Funciones estableció la Resolución Nº 59/08-LNSE.
INFORME DE AUDITORIA
176
N° de Observación Observación Respuesta LNSE Comentario AGN Institucional de Capacitación (PIC) y el Plan Operativo de Capacitación (POC). En tal sentido, la Gerencia de Sistemas eleva las necesidades de capacitación propias que alimentan tanto al PIC y al POC.
4.1.3.8 Administrar la mesa de servicio y los incidentes
El usuario que recurre a la Mesa de Ayuda se comunica a través de llamadas telefónicas o mails. El operador que atiende el reclamo carga el incidente en un aplicativo denominado “Gestión de Reclamos y Servicios” (GRS). Debido a que esta carga no la realiza el usuario propiamente dicho, no es seguro que se carguen todos los incidentes, en especial aquellos que son menores. Una vez que el incidente está resuelto, lo cierra Mesa de Ayuda, sin que esto implique la conformidad del usuario. No existe una base de conocimientos con soluciones estandarizadas. Los conocimientos están considerados a partir de la resolución de incidentes históricos que son consultados en cada caso.
Se tomará en cuenta la observación para su análisis, y en su caso, efectuar las modificaciones a que diera lugar en el sistema actual.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
177
N° de Observación Observación Respuesta LNSE Comentario AGN No se utiliza la intranet como reservorio de “preguntas frecuentes” de modo tal que el usuario tenga una guía para resolver el problema sin tener que consultar a la Mesa de Ayuda.
4.1.3.9 Administrar la configuración
No existe un único repositorio de los bienes tangibles e intangibles de TI. Los elementos de la configuración de TI se registran en dos sistemas distintos: el departamento de Bienes de Uso lo hace en el módulo homónimo de la aplicación en el Anexo D y la Gerencia de Sistemas utiliza su propio sistema: el SASHI.73 Estos dos sistemas no están integrados y cada uno cuenta con su propia base de datos. Las registraciones se hacen individualmente en cada uno. Si bien el Departamento de Bienes de Uso sigue un Manual de Procedimientos Administrativos para Bienes de Uso,
Lo observado responde a la necesidad de perseguir objetivos distintos. En el sistema de bienes de uso están registrados todos los bienes de esta Sociedad, mientras que en el Sashi sólo los bienes informáticos, conteniendo además información más detallada que la existente en el sistema de bienes de uso, necesaria para efectuar la atención y mantenimientos de los mismos. Por ejemplo: especificaciones técnicas,
La observación de este objetivo de control está focalizada en evitar la doble registración de los mismos bienes tangibles e intangibles. Esto evita inconsistencias y permite un mejor control. Se mantienen las observaciones.
73 SASHI: Sistema de Administración de Software, Hardware e Insumos.
INFORME DE AUDITORIA
178
N° de Observación Observación Respuesta LNSE Comentario AGN aprobado formalmente por Organización y Métodos y la Gerencia de Sistemas cuenta con Rutinas de Trabajo aprobadas por la Gerencia de Sistemas, ambas no se vinculan entre sí. La información en algunos casos se encuentra desactualizada y algunos bienes intangibles no se han registrado.
características, etc.
4.1.3.10 Administración de problemas
Tal como ocurre en el tratamiento de incidentes, el usuario que recurre a la Mesa de Ayuda se comunica a través de llamadas telefónicas o mails. El operador que atiende el reclamo carga el incidente en un aplicativo denominado “Gestión de Reclamos y Servicios” (GRS). Debido a que esta carga no la realiza el usuario propiamente dicho, no es seguro que se carguen todos los incidentes que puedan derivar en considerarse problemas. Falta integración con los procesos de administración de cambios y de configuración ya que para éstos se utilizan otras herramientas que no están vinculadas (“G.R.S.”, aplicación para la gestión de
Se tomará en cuenta la observación para su análisis.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
179
N° de Observación Observación Respuesta LNSE Comentario AGN reclamos y servicios, y el módulo “Bienes de Uso” del Anexo D).
4.1.3.11 Administración de Datos
Si bien están correctamente implementados los procedimientos para el archivo, almacenamiento y retención de los datos, acorde a la política de seguridad de la organización y los requerimientos regulatorios, producto de la no implantación de una política de despapelización, hay más información impresa que lugar para almacenarla, lo que hace imposible cumplir con una política de escritorios limpios, por lo tanto hay información disponible que puede estar al alcance de usuarios no apropiados. También se transporta mucha de esta información físicamente de un sitio a otro –por ejemplo, desde donde se explotan los juegos, a la administración central, o entre distintas sedes–, sin que se hayan implementado procedimientos de seguridad aplicables al envío, traslado y recepción.
Se remitirá la observación a la Unidad de Gestión de Seguridad de la Información.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
180
N° de Observación Observación Respuesta LNSE Comentario AGN
4.1.3.12 Administración del Ambiente Físico
Centro de Procesamiento de Datos de la Administración Central. No hay centro de procesamiento alternativo. Si bien está contemplado en el proceso de captura de apuestas un centro alternativo, el mismo no se encuentra a una distancia aconsejable. Además no cubre el procesamiento del resto de los procesos del organismo. Se observó la presencia de material inflamable, como cajas de cartón, cajas de plástico y armarios de madera. Adicionalmente, falta enmallar cables. Algunos racks no tienen puerta, se observan pequeñas roturas en el cielo raso. El Centro de Procesamiento de Datos no es una sala cofre. Instalación Eléctrica. En la sala donde está el tablero de electricidad principal del edificio se encontraron los siguientes objetos inflamables: puerta de acceso de madera, cajas de cartón, objetos varios de madera, cables en el piso que dificultan el acceso al tablero.
Centro de Procesamiento de Datos de la Administración Central Se solicita aclaración con respecto a la locación donde se observó la presencia de material inflamable, como cajas de cartón, cajas de plástico y armarios de madera para proceder a su eliminación. Instalación Eléctrica Se trasladará la observación a la Gerencia Técnica (Departamento Electricidad). Data Center del Casino de Buenos Aires Se toma en cuenta la observación y se procederá en consecuencia.
Se mantienen las observaciones (Ver ANEXO VI del presente informe).
INFORME DE AUDITORIA
181
N° de Observación Observación Respuesta LNSE Comentario AGN Los proveedores acceden acompañados por personal del Departamento de Sistemas Eléctricos sin registrarse en una planilla. No está señalizado el piso con pintura reflectiva que conduzca al tablero principal en caso de corte de suministro eléctrico. Data Center del Casino de Buenos Aires LNSE posee un rack de servidores propio instalado en el centro de cómputos de esta empresa. En este rack, donde se encuentra uno de los tres servidores donde se aloja el sistema Accounting, no posee puerta trasera dado que la longitud del servidor es mayor que el ancho del rack. Por otra parte, el personal de Casino de Buenos Aires cuenta con la llave de la puerta delantera, teniendo acceso físico total a los equipos ubicados en este rack. Además, se observó la presencia de material inflamable (cajas de cartón, alfombras y otros) próximo a las instalaciones. Data Center de HAPSA El rack de servidores de LNSE que se encuentra ubicado en el centro de cómputos
INFORME DE AUDITORIA
182
N° de Observación Observación Respuesta LNSE Comentario AGN de esta empresa y que incluye el servidor con el Accounting, se encuentra alojado en el mismo ambiente físico que los racks propiedad de HAPSA. El rack de comunicaciones propiedad de LNSE se encuentra cerrado pero con la llave puesta. El acceso irrestricto al rack expone al equipamiento de comunicaciones a ataques físicos y lógicos, y propensa su riesgo de accidentes, lo que compromete la disponibilidad del servicio y la seguridad de la comunicación74.
4.1.3.13 Administración de operaciones
Los acuerdos de nivel de servicio y mantenimiento con proveedores son de naturaleza informal.
No se comparte la observación.
En los puntos 4.1.3.1 “Definir y administrar los niveles de servicio” y 4.1.3.2 “Administrar servicios de terceros” el organismo admite la falta de formalización de los
74 Dentro del rack se encuentra un conmutador con su panel de conexiones, donde se encuentran conectados los puestos de trabajo de los agentes fiscalizadores y el equipamiento de telecomunicaciones que permite la conexión con la oficina central de LNSE.
INFORME DE AUDITORIA
183
N° de Observación Observación Respuesta LNSE Comentario AGN acuerdo de niveles de servicio, tanto con usuarios internos como con externos (proveedores). La inexistencia de políticas y procedimientos formalizados para poder controlarlos hace que esta tarea se realice en forma intuitiva. Se mantienen las observaciones.
4.1.4.2 Monitorear y evaluar el control interno
Existe un marco de trabajo de control interno con el cual se monitorea en forma continua el ambiente de control de TI, pero dada la magnitud de la instalación y los recursos de la auditoría interna, que son llevadas a cabo por un único funcionario, los controles son muy focalizados y no puede abarcar un programa más completo.
Se trasladará la observación a la Unidad de Auditoría Interna.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
4.1.4.3 Garantizar el Se observaron debilidades en el cumplimiento de los siguientes marcos
Organización Informática. Por disposición 93/15 de fecha 4 de
En relación al apartado de cumplimiento de
INFORME DE AUDITORIA
184
N° de Observación Observación Respuesta LNSE Comentario AGN cumplimiento con requerimientos externos
normativos: • Resolución 48 de SIGEN "Normas
de Control Interno para Tecnología de la Información para el Sector Público Nacional”. Se detectaron los siguientes incumplimientos: Organización Informática. La Subgerencia de Seguridad depende de la Gerencia de Sistemas. Esto no permite garantizar una adecuada separación de funciones que fomente el control por oposición. Plan Estratégico de TI. La Gerencia de Sistemas no elaboró ni implementó un plan informático estratégico, que esté alineado con el plan estratégico y el presupuesto de la organización. Arquitectura de la Información. No hay un modelo definido de arquitectura de la información que abarque a la organización integra. Cumplimiento de Regulaciones
agosto de 2015, se formalizó la desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a depender jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de Gestión de Seguridad de la Información. Plan Estratégico de TI. Atento los cambios de autoridades de público conocimiento en esta Sociedad del Estado, se procederá a revisar, y de ser necesario redefinir, las metas y objetivos estratégicos, a partir de los cuales desarrollar una planificación estratégica para su concreción. Arquitectura de la Información El modelo de arquitectura de la información será el definido por la adquisición el sistema mencionado en el punto
regulaciones externas que exige la Resolución 48/05 de SIGEN, la observación hace referencia a tomar los recaudos necesarios por parte de LNSE de los derechos de propiedad intelectual de los desarrollos de software que se lleven a cabo en la organización. Se mantienen las observaciones. La creación del “Departamento Coordinación de Proyecto” dentro de la Gerencia de Sistemas y la desvinculación de la Subgerencia de Seguridad de esta última y su actual dependencia del Directorio, con la denominación de Unidad
INFORME DE AUDITORIA
185
N° de Observación Observación Respuesta LNSE Comentario AGN Externas. No se garantiza que la propiedad intelectual del software sea de LNSE para los desarrollos internos. Administración de Proyectos. No se dispone de una metodología de administración de proyectos aplicable a todos los proyectos informáticos abordados que contemple aspectos tales como: objetivos, alcance, asignación de responsabilidades y facultades a los miembros del grupo de proyecto, estudios de factibilidad, análisis de los riesgos, presupuesto de los recursos a utilizar, participación formal de las áreas involucradas y de la unidad de auditoría interna. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No existe un procedimiento para solicitudes de emergencia, incluyendo la autorización del responsable de la
4.1.1.2. Cumplimiento e Regulaciones Externas. Se solicita aclaración al respecto. Administración de Proyectos. Se agregó un nuevo Departamento en la estructura funcional vigente de la Gerencia de Sistemas que contempla el alcance de la presente observación. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No se comparte la observación. Existe un plan de trabajo donde se planifica la carga de trabajo del sector desarrollo debidamente documentado y aprobado. Con relación a la adquisición de software se realizan de acuerdo a lo establecido en el Manual de Compras de esta Sociedad, respetando además los
de “Gestión de Seguridad de la Información”, por tratarse de hechos posteriores al período auditado serán evaluados en una próxima auditoría.
INFORME DE AUDITORIA
186
N° de Observación Observación Respuesta LNSE Comentario AGN unidad de TI, el registro y monitoreo de las tareas realizadas La unidad de auditoría interna no participa en el proceso de desarrollo de software. Monitoreo de los Procesos. Faltan algunos indicadores de desempeño para monitorear la gestión de las actividades de TI, tales como temas presupuestarios y de administración de proyectos.
• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". El diseño de la página Web de la organización no permite a las personas con discapacidad visual acceder a la información que allí se brinda. No se siguen las normas y requisitos establecidos por la ley. No se garantiza a estas personas la igualdad de trato.-
Estándares Tecnológicos para la Administración Pública. La Unidad de Auditoría Interna no participa en los desarrollos de software por decisión propia. Ley 26.653 “Accesibilidad de la Información de las Páginas Web” Se tomará en cuenta la presente observación.
INFORME DE AUDITORIA
187
N° de Observación Observación Respuesta LNSE Comentario AGN
4.1.4.4 Proporcionar gobierno de TI
Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo definidos y formalizados para asegurar:
• El tratamiento uniforme en la administración de la totalidad de los proyectos de TI.
• El seguimiento de la gestión, mediante un programa de calidad que establezca indicadores a partir de metas y objetivos definidos previamente, de modo de medir la contribución de TI a los objetivos estratégicos del Organismo y posibilitar la rendición de cuentas.
• La administración de costos, a partir de la cual sea posible identificar los cargos asociados a cada servicio, con vistas a su monitoreo y a una correcta administración de los programas de inversión.
• Un esquema de monitoreo que permita medir el desempeño y la correcta asignación de los recursos,
Si bien la Gerencia de Sistemas viene implementado mediciones, métodos de evaluación y técnicas, se entiende que en la medida que se cuente con las herramientas y recursos necesarios se podrá avanzar para establecer un entorno de control que incluya marcos de trabajo definidos y organizados. Se toma en cuenta la observación y, en la medida de lo posible, se procederá en consecuencia. Se reitera que por disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a depender jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de Gestión de
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. En relación a la desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas y su actual dependencia del Directorio, con la denominación de Unidad de “Gestión de Seguridad de la Información”, por tratarse de hechos posteriores al período auditado serán evaluados en una próxima auditoría.
INFORME DE AUDITORIA
188
N° de Observación Observación Respuesta LNSE Comentario AGN como así también si los objetivos perseguidos son alcanzados o no, para permitir la toma de acciones correctivas.
• La administración de riesgos, que permita reportar aquellos relacionados con TI y su impacto en la posición de riesgos de la organización.
Faltan definir posiciones funcionales claves como: administración de gestión de aseguramiento de la calidad, administración de Riesgos y administración de Proyectos La ubicación jerárquica actual de la Subgerencia de Seguridad no es apropiada ya que no garantiza su independencia funcional y operativa de la Gerencia de Sistemas de Información y del resto de las áreas usuarias. Esto limita el alcance, su capacidad operativa y el control por oposición.
Seguridad de la Información.
INFORME DE AUDITORIA
189
N° de Observación Observación Respuesta LNSE Comentario AGN 4.2. CONTROL
INFORMÁTICO DE
LNSE SOBRE LAS
MEEJA
4.2.1. INFRAESTRUCTURA
4.2.1.1.
Casino de Buenos Aires posee acceso físico y lógico a los discos en los que LNSE almacena información de fiscalización de MEEJA, por lo que potencialmente podría tener acceso de escritura y borrado a las tablas de las bases de datos. La infraestructura informática de fiscalización y control de MEEJA era en un principio propiedad del concesionario, pero en los considerandos de la Res. LNSE 145/12 se previó su cesión a LNSE para que esta pudiera ejercer los controles que crea convenientes sin la necesidad de solicitar información a los concesionarios. En el caso de Casino de Buenos Aires, la cesión se llevó a cabo en el año 2014 mediante un Convenio en el que se detalla el equipamiento cedido a LNSE. Sin embargo, la lista omite una de las matrices de discos del sistema, que es la que se utiliza para almacenar una copia de los servidores virtuales que integran el Accounting. Al cierre de las tareas de campo, la matriz de discos no había sido cedida y Casino de Buenos Aires almacenaba en ella
Actualmente se está encarando un proceso de migración a una nueva versión de la aplicación mencionada, que en principio permitiría subsanar la situación observada.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
190
N° de Observación Observación Respuesta LNSE Comentario AGN información de uso exclusivo, además de poder acceder físicamente a los discos. La infraestructura donde se almacena el sistema debe ser propiedad y de uso exclusivo de LNSE para asegurar que los datos sean administrados por la aplicación Accounting o por personal de LNSE, exclusivamente. Con la actual configuración, se pone en riesgo la integridad de los datos y la disponibilidad del sistema.
4.2.1.2. Los agentes de LNSE que llevan a cabo las tareas de fiscalización en las salas de juego se conectan al Accounting mediante una conexión externa única, por lo que la realización de sus tareas se encuentra vulnerable a caídas en el servicio de transmisión de datos. Para desarrollar las tareas de fiscalización de las MEEJA, el personal de LNSE ubicado en Casino de Buenos Aires y HAPSA accede a los servicios necesarios (correo electrónico, Telefonía VoIP, servidor de archivos, y el acceso al propio Accounting) por medio de una conexión punto a punto que no se
A la fecha se encuentra adjudicada la licitación por la contratación de un enlace punto a punto con Casino Buenos Aires, para actuar como redundancia del mencionado en la observación, pendiente de instalación. Hasta este punto y con relación a las recomendaciones referentes a TI, se toma debida nota y oportunamente serán evaluadas y de corresponder, se tomarán las medidas tendientes
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
191
N° de Observación Observación Respuesta LNSE Comentario AGN encuentra replicada. Dicha conexión debería contar con redundancia a los efectos de poder garantizar la continuidad del servicio. Dada la inexistencia de un plan de contingencias, una caída en el servicio de transmisión de datos dificultaría las tareas de fiscalización.
y necesarias para su aplicación.
4.2.2. FISCALIZACIÓN
4.2.2.1.
Los Agentes Fiscalizadores de LNSE no cuentan con herramientas adecuadas para el control de conectividad y transmisión de las MEEJA. LNSE dispone de dos herramientas de control de conectividad y transmisión: i) un tablero de monitoreo donde, por medio de un código de colores, se verifica el estado de la MEEJA, y ii) un procedimiento automatizado que implica controlar una vez por hora que las MEEJA hayan respondido a la solicitud de envío de contadores. No obstante, no existe ningún alerta automática o alarma por parte del sistema que permita detectar en tiempo real una falla de transmisión, por lo que la eficacia del monitoreo depende de la proactividad de los
Se desprende de la observación que el mapa interactivo que muestra el estado de las maquinas posee indicadores clasificados por colores de estado, cabe señalar que los colores utilizados son similares a los de un semáforo (rojo, amarillo y verde) estos reflejan diversos eventos tales como puerta abierta, falla de comunicación (rojo), pago de premios, créditos cancelados, tarjeta de auditoria insertada (amarillo), puerta cerrada, maquina on line, etc (verde). Cabe aclarar que existen más
La respuesta presentada por LNSE no brinda una explicación que se corresponda con la observación indicada por AGN. El auditado describe un método de monitoreo que no resulta suficiente para mitigar la falta de control continuo sobre el tablero que indica el estado de las MEEJA. La observación apunta a la falta de alarmas que indiquen de forma clara el inicio de un incidente, y a la falta de registro sobre
INFORME DE AUDITORIA
192
N° de Observación Observación Respuesta LNSE Comentario AGN Agentes Fiscalizadores. El único indicador “on-line” es el mapa de control de MEEJA proyectado por sala de juego en una pantalla LCD en oficinas de LNSE (en HAPSA, en Casino de Buenos Aires y en el Departamento Operativo de MEEJA / Casinos en Casa Central), pero no cuenta con alarmas, ni brinda detalle de los eventos. En dicho sistema de control varían los colores de las MEEJA según su estado de conectividad (verde, amarillo y rojo). En la verificación de campo realizada se observó que personal de LNSE no toma acciones ante el cambio de estado de una MEEJA en el mapa de control. Tampoco se obtuvo evidencia sobre la existencia de un archivo histórico de cortes de conexión, incidentes que quedan registrados sólo cuando el Concesionario los informa a LNSE mediante Actas de Servicio Técnico. Los Agentes Fiscalizadores deberían contar con herramientas de control temprana de MEEJA con problemas de conectividad. La falta de detención temprana dificulta el control sobre el comportamiento
herramientas que las detalladas en la Observación 4.2.2.1, ya que el sistema permite hacer consultas a demanda de los eventos que se producen en la máquina (consola Maintenance Workbook) también cuenta con un reporte (Zero Meter) que permite individualizar terminales que posean idéntico contador durante una jornada (6 a 6). Es dable destacar que diariamente se efectúa, durante los tres turnos, el proceso de fiscalización fallas de transmisión / comunicación a fin de determinar el estado de la transmisión de datos de los contadores horarios. Esto permite detectar, en caso de existir, las fallas que pudieran producirse a fin de notificar al área técnica del
qué agente de LNSE debió encargarse de su resolución. Se mantiene la observación.
INFORME DE AUDITORIA
193
N° de Observación Observación Respuesta LNSE Comentario AGN de las MEEJA y su productividad.
Concesionario/Agente Operador de la novedad y su puesta fuera de servicio para la reparación. Respecto de las evidencias sobre las fallas de comunicación se hace saber que diariamente se confecciona un acta donde quedan reflejadas las novedades. Independientemente de ello, cuando la MEEJA se reconecta informa su estado de contadores y los eventos quedan almacenados en la misma, dependiendo al cantidad de eventos según el modelo de MEEJA, conservando cada terminal la información almacenada. Recomendación 5.2.2.1: Ahora bien, respecto de la recomendación efectuada se encuentra en trámite a través del expediente 375.670/15 del
INFORME DE AUDITORIA
194
N° de Observación Observación Respuesta LNSE Comentario AGN registro de esta Sociedad, la elaboración de una plataforma digital que complemente al Sistema de monitoreo y control on line. Dentro de ese proyecto podrá incluirse el desarrollo de una herramienta de alarmas tempranas.
4.2.2.2. LNSE no ha controlado los contadores de 313 MEEJA de Casino de Buenos Aires durante 2014, lo que incluye a la totalidad de las ruletas electrónicas. El procedimiento de “Fiscalización Diario de Contadores” de MEEJA que figura en el “Manual de Máquinas Tragamonedas” (compendio de procedimientos de fiscalización de MEEJA de LNSE), contempla la inserción en éstas de una tarjeta denominada “Audit Card”. Mediante dicho evento se registran en el servidor los contadores actuales de la MEEJA, lo que permite que LNSE coteje los valores
Sin comentarios a las observaciones. Recomendación 5.2.2.2: Se efectuará un seguimiento, análisis y revisión del plazo establecido para el procedimiento fiscalización diaria audit test a fin que se complete la totalidad del parque de máquinas.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
195
N° de Observación Observación Respuesta LNSE Comentario AGN transferidos al Accounting con los que se encuentran visibles en la máquina. Dicho procedimiento debe efectuarse de modo tal que la totalidad del parque de MEEJA habilitadas sea verificado cuatrimestralmente. De la información provista por LNSE se desprende que de 1733 MEEJA activas en Casino de Buenos Aires, 313 no fueron auditadas durante todo 2014. Se destaca que estas incluyen a la totalidad de las ruletas electrónicas, que ascienden a 157. No obstante, se aclara que del procedimiento de control de contadores realizado sobre una muestra de MEEJA, no surge que el porcentaje de devolución en concepto de premios en estas máquinas difiera de lo establecido normativamente.
4.2.2.3. Más de la mitad de las MEEJA en HAPSA carecen de un sistema de energía ininterrumpida. Un corte del suministro de energía eléctrica pondría en riesgo la información de la jugada en curso. La Res. LNSE 145/12 estipula que cada MEEJA debe poseer un sistema de energía
En relación a lo mencionado por la Auditoria General de la Nación se transcribe parte de la observación en cuestión…“cada MEEJA debe poseer un sistema de energía ininterrumpida – o UPS - con
Se acepta lo informado por el auditado con respecto al artículo de la Resolución N° 145/2012, corrigiéndose la referencia en el texto de la observación.
INFORME DE AUDITORIA
196
N° de Observación Observación Respuesta LNSE Comentario AGN ininterrumpida –o UPS– con una duración mínima de 15 minutos (Cap. IV, Art. 1). Para cumplir con esta exigencia, tanto HAPSA como Casino de Buenos Aires procedieron a instalar fuentes de energía ininterrumpida. Del relevamiento realizado sobre una muestra representativa de la población, surge con un 95% de confianza que entre el 51% y el 73% de las MEEJA en HAPSA carecen de un sistema de energía ininterrumpida disponible (en Casino de Buenos Aires, la proporción de MEEJA con esta falencia asciende al 2% de la muestra). La carencia obedece a diversas razones que van desde la inexistencia de la UPS hasta la presencia de la UPS desconectada o fuera de servicio. La obligación de contar con UPS debería ser controlada por LNSE regularmente mediante un protocolo que defina las acciones a seguir ante la ausencia o la verificación del malfuncionamiento del sistema. Su carencia implica el riesgo de que se pierda la información de la jugada que se esté cursando en ocasión de un eventual corte del
una duración mínima de 15 minutos (Cap IV, Art.1). Al respecto cabe señalar que el artículo que aplica al comentario efectuado es el Art.2 apartado 2.8 del Capítulo IV. Respecto del relevamiento efectuado sobre la muestra representativa del parque de máquinas de las dos explotaciones, se entiende conveniente que a fin de analizar el resultado de los porcentajes expresados en los mismos, debería cuantificarse el total de máquinas consideradas para la muestra. Analizado el fondo de la cuestión, se entiende que podría propiciarse la adecuación de la normativa y establecer como un requisito, dentro de los procedimientos
Se mantiene la observación en lo referido a la falta de UPS o fallas de las mismas en un alto porcentaje de un estrato de la población. En cuanto a la aclaración solicitada por el auditado, el programa de muestreo se detalla en el apartado 2.3 “Procedimientos de auditoría”, que redunda en un tamaño de muestra de 119 MEEJAs.
INFORME DE AUDITORIA
197
N° de Observación Observación Respuesta LNSE Comentario AGN suministro de energía eléctrica. para la aprobación de las
MEEJA, la instalación de una fuente ininterrumpida de energía por un lapso mínimo de 15 minutos, e incorporar dentro del procedimiento de ABM la verificación del correcto funcionamiento del sistema de energía ininterrumpida. En un mismo orden de ideas se aclara que en el caso que las MEEJAS se queden sin energía guardan el estado de la última partida en juego a fin de restaurarla al arrancarse o bien cancelarla y devolver al jugador los créditos que este poseía. Adicionalmente la maquina debe preservar todos los últimos eventos por sí misma. Estas validaciones son parte de los procesos de testeo de los dispositivos que efectúan los laboratorios de juego.
INFORME DE AUDITORIA
198
N° de Observación Observación Respuesta LNSE Comentario AGN Independientemente se informa que el Hipódromo y los buques casino cuentan (usina/generadores), que permiten la continuidad de la actividad de las salas. Recomendación 5.2.2.3 Se propiciará la modificación del procedimiento de Alta, Baja y Movimiento de las M.E.E.J.A. a fin de incluir en el mismo la verificación de la presencia y funcionamiento del dispositivo de energía de emergencia.
4.2.2.4. Las etiquetas que LNSE coloca en las MEEJA pierden con el tiempo su adherencia y se despegan, lo que limita su utilidad como dispositivo para controlar que no se hayan producido accesos indebidos al software. El software y los contadores de las MEEJA pueden ser modificados de diversas maneras, una de ellas mediante los puertos situados en las MEEJA. Los agentes fiscalizadores de
Con relación a la observación mencionada se hace saber que el procedimiento de “etiquetado”, consiste en identificar con una etiqueta holográfica con rastro de remoción los dispositivos de almacenamiento que contengan programas de juego / tablas de
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas. Se recomienda mejorar la calidad de las etiquetas.
INFORME DE AUDITORIA
199
N° de Observación Observación Respuesta LNSE Comentario AGN LNSE colocan una etiqueta autoadhesiva pre-impresa, nominada y con rastro de remoción en los puertos de acceso de un conjunto de componentes, con el fin de detectar cualquier ingreso no autorizado que pueda dar lugar a la modificación del hardware o del software. Sin embargo, se ha constatado que las etiquetas se despegan por el paso del tiempo. Durante el procedimiento de auditoria se observaron etiquetas que no estaban adheridas y que fueron reemplazadas por el agente fiscalizador, labrándose en el momento el acta de cambio correspondiente, pero sin controles adicionales orientados a comprobar que los componentes no fueron alterados.
premios. Dicho procedimiento se lleva a cabo de acuerdo a lo establecido. Asimismo por analogía se aplica el mismo procedimiento cuando por el desgaste del material adherente se deteriora, por el paso del tiempo, o por el calor emanado por la MEEJA la etiqueta identificatoria original. Dicho proceso incluye el reemplazo del elemento deteriorado, efectuando una fiscalización que consiste en verificar entre otras cosas, juego, denominación, código identificatorio de las memorias, etc. a fin de corroborar que el estado de la maquina no haya sido modificado. Cabe hacer mención que mensualmente el Centro Superior para el Procesamiento de la Información efectúa una
INFORME DE AUDITORIA
200
N° de Observación Observación Respuesta LNSE Comentario AGN inspección funcional de las MEEJA en la que verifica, numero de máquina, marca, serie, modelo, juego, devolución teórica, denominación etc. También efectúa otra auditoria que consiste en el firmado digital de las memorias de juego. Es importante destacar que para el caso que se produjera una falla en el dispositivo de almacenamiento y deba ser reemplazado, es necesario efectuar un borrado general de la maquina (master reset). Dicha situación conlleva el labrado de un acta de falla/avería. Este suceso queda registrado en el sistema de monitoreo y control on line debido a que el borrado general de los contadores de la terminal en cuestión vuelven a cero, con
INFORME DE AUDITORIA
201
N° de Observación Observación Respuesta LNSE Comentario AGN motivo del borrado general mencionado. Recomendación 5.2.2.4: Al respecto, se hace saber que dentro del procedimiento de “Comprobación de Inventario” se encuentra establecido dentro de los ítems a verificar la comprobación de la etiqueta identificatoria. No obstante ello, se propiciará la readecuación del procedimiento a fin de dejar explicita referencia al proceso de “re etiquetado en caso de deterioro”.
4.2.2.5. Los controles que realiza LNSE no son suficientes para validar la correcta registración en el Accounting de los eventos generados en las MEEJA. El “Procedimiento de Fiscalización Diario de Contadores” de MEEJA que figura en el “Manual de Máquinas Tragamonedas” (compendio de procedimientos de
En primer lugar cabe hacer mención que el procedimiento de fiscalización diaria de contadores “Audit Test” se complementa con el procedimiento que se lleva a cabo a través de Alta Baja y Movimientos. En el último
El procedimiento de fiscalización en cuestión sólo se realiza cuando se presenta un evento de Alta, Baja y Movimiento solicitado por el concesionario o agente operador. En cuanto a las
INFORME DE AUDITORIA
202
N° de Observación Observación Respuesta LNSE Comentario AGN fiscalización de de LNSE), contempla la inserción en las MEEJA de una tarjeta denominada “Audit Card”, de uso exclusivo para los agentes fiscalizadores de LNSE y los técnicos de los concesionarios. La inserción de la tarjeta genera un evento de comunicación automática conforme al cual los contadores que en ese momento figuran en la MEEJA, se replican en el Accounting. Esto permite a LNSE cotejar que los valores transferidos al Accounting sean idénticos a los que se encuentran visibles en la máquina en ese momento. LNSE se limita así a un control de naturaleza administrativa que, si bien se ajusta al cumplimiento de lo establecido en la Resolución LNSE 145/12, no satisface los requisitos de un control de naturaleza funcional. En otras palabras, el procedimiento de fiscalización de contadores mediante el uso de la Audit Card no resulta suficiente para corroborar la correcta transferencia e imputación en el Accounting de la información generada por dichas máquinas, cuando el origen del evento es
procedimiento mencionado, se fiscaliza, a través de pruebas de juegos, el correcto incremento de los contadores de las MEEJAS, como así también el reflejo de los mismos en el sistema. Esto queda asentado en Actas. Asimismo, CeSPI efectúa mensualmente, y sobre una porción del parque de máquinas, un control que incluye la verificación de la denominación de apuesta, denominación contable y pruebas de juego donde queda asentado el inicio de la prueba, el medio de apuesta utilizado (billete, ticket) monto ingresado, cantidad de crédito ingresado, contadores previos y posteriores a la apuesta. El ente contrasta dichos datos con los reflejados en el sistema. Recomendación 5.2.2.5
pruebas realizadas por el CeSPI, véase observación Nº 4.2.2.8. En consecuencia, se mantiene la observación.
INFORME DE AUDITORIA
203
N° de Observación Observación Respuesta LNSE Comentario AGN distinto al mencionado (como ocurre frente a la inserción o extracción de billetes o tickets por parte de un jugador). En consecuencia, el procedimiento descripto no resulta suficiente para controlar que el dinero que ingresa y egresa a la MEEJA o su conversión a créditos, se refleje sin alteraciones en el Accounting. La carencia de controles sustantivos impide a LNSE constatar que las máquinas tragamonedas mantengan inalterada la parametrización del software de acuerdo a la normativa.
Se desprende de la recomendación efectuada por el Auditor que no ha considerado en la evaluación los aspectos mencionados precedentemente. Independientemente, al momento de efectuarse el análisis y actualización de los procedimientos de fiscalización, se evaluará la conveniencia de aumentar la frecuencia de pruebas funcionales a lo largo de la vida útil de la MEEJA, por parte de los Agentes destacados en Sala.
4.2.2.6. No existe un procedimiento formal para verificar que cada una de las MEEJA cumpla con la obligación de entregar el 90% de lo apostado en premios. La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA debe estar calculado de modo que devuelva a los jugadores un porcentaje no
Con relación a la devolución teórica de las MEEJA, cabe hacer algunas aclaraciones al respecto. En primer lugar la normativa vigente establece que la devolución teórica estará calculada de modo que en una serie teórica de jugadas, que
La observación apunta a la necesidad de contar con un procedimiento que permita verificar el cumplimiento real (no teórico), para cada MEEJA de modo individual (no del conjunto), del porcentaje
INFORME DE AUDITORIA
204
N° de Observación Observación Respuesta LNSE Comentario AGN inferior al noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la configuración de la tabla de premios para las distintas combinaciones ganadoras, en el software de las MEEJA. Si bien los datos que permiten calcular el porcentaje de devolución de cada una de las MEEJA se encuentra disponible en el Accounting, LNSE no tiene formalizado ningún tipo de control de rutina sobre estos datos, considerando las MEEJA en forma individual. Un procedimiento de revisión adecuado de contadores permitiría saber si cada máquina cumple con la normativa vigente en cuanto a devolución en premios. Aun si se cumpliera con el porcentaje normado en forma global (considerando el conjunto de MEEJA), la falta de este procedimiento para cada una de ellas implica la posibilidad de que algunas MEEJA devuelvan menos que lo establecido, produciéndose así un perjuicio para los apostadores que jugaron en ellas.
comprenda la totalidad de las combinaciones posibles previstas devuelva un porcentaje no inferior al 90% de las apuestas efectuadas. Cuando esto no sea posible por las características del juego, para el cálculo del porcentaje de retorno al público será de aplicación la estrategia óptima de juego para el mismo. Este porcentaje mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina para la máxima apuesta. La Tabla de Pagos (PAR Sheet) de un juego de azar detalla todas las combinaciones ganadoras y los pagos posibles del mismo. Estas combinaciones y pagos permiten calcular el Porcentaje de Retorno al Jugador (RTP%), un cálculo teórico que indica cuánto dinero será devuelto al
de devolución estipulado. La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
205
N° de Observación Observación Respuesta LNSE Comentario AGN jugador en forma de premios, durante la vida operativa del juego. A su vez, esto permite calcular el Porcentaje de Retención Teórico, que representa el dinero que quedará retenido en la máquina, en forma de ganancia para la sala. Porcentaje de Retención = 100% - RTP% Ahora bien, respecto de los procedimientos de fiscalización se hace hacer que toda vez que se produce un ABM en la sala, se efectúa por personal destacado in situ la verificación de este porcentaje de devolución teórico, se encuentre por encima del mínimo establecido. En concordancia, y dentro de las tareas que efectúa el CESPI en sus auditorías externas, el
INFORME DE AUDITORIA
206
N° de Observación Observación Respuesta LNSE Comentario AGN ente verifica los porcentajes de devolución mediante la inspección de las firmas digitales. También, a través de inspecciones funcionales, verifica sus tablas de pago correspondientes. Corresponde aclararse que para cada tipo de juego instalado corresponde una tabla de premios con características/matemáticas particulares propias de cada software, que al cumplir los ciclos de jugadas tiende a unificar los porcentajes teóricos de las maquinas con los reales, siempre teniendo en cuenta también el factor del azar. Por ultimo cabe destacar que desde el inicio de la actividad de las MEEJA, se ha verificado diariamente que el porcentaje de devolución real promedio de
INFORME DE AUDITORIA
207
N° de Observación Observación Respuesta LNSE Comentario AGN las salas (beneficio / apuestas) supera holgadamente el porcentaje teórico establecido para las mismas. Recomendación 5.2.2.6: Se incluirá en el procedimiento de cálculo de beneficio diario la fiscalización de la devolución real promedio de la Sala que como ya se ha mencionado se encuentra por encima de lo establecido por la normativa vigente. Se analizara el diseño de un procedimiento de fiscalización periódico de las MEEJA referido al porcentaje de devolución real, el que será utilizado para analizar, para los casos que correspondan, una fiscalización específica de las variables que hacen a este porcentaje de devolución (tiempo, jugadas, porcentaje de devolución
INFORME DE AUDITORIA
208
N° de Observación Observación Respuesta LNSE Comentario AGN teórica, etc.), Se entendería que dicho procedimiento tendría un resultado que a prima facie solo podría ser utilizado como un elemento más de análisis. Pues de la misma manera que el porcentaje podría llegar a ser menor en algún momento puntual, también podría ser mayor al 100 %, sin que ello implique que esto asegure un mal funcionamiento de la terminal, dado que también siempre está presente en el resultado del juego el azar. Para finalizar, es importante señalar que la auditoría externa verifica los porcentajes de devolución teórica mediante la inspección de las firmas digitales y sus tablas de pago correspondientes y en las inspecciones funcionales.
INFORME DE AUDITORIA
209
N° de Observación Observación Respuesta LNSE Comentario AGN 4.2.2.7. El procedimiento de alta de MEEJA no
contempla una instancia de verificación técnica interna de LNSE, previa a su instalación en sala de juegos. El procedimiento de alta de MEEJA establecido por LNSE indica que cada vez que el Concesionario requiera la incorporación de una MEEJA en la sala de juegos, debe entregar a LNSE la solicitud de alta junto a la documentación que avale la certificación de la máquina y sus componentes otorgada por GLI. Las MEEJA que son dadas de alta pasan por un proceso de fiscalización administrativa por el cual se analiza la documentación y las certificaciones entregadas a LNSE por el Concesionario, entre las que se encuentra el protocolo de pruebas emitido por GLI. LNSE no cuenta con circuito de homologación técnica o control de calidad propios tendiente a verificar que el funcionamiento de las MEEJA no difiera de aquel que se ha certificado.
Con relación a los certificados de laboratorios, la normativa vigente no establece que estos sean provistos únicamente por el laboratorio GLI, dado que estos pueden corresponder a distintos laboratorios de prestigio. El Concesionario ha presentado ante LNSE cuenta con copias de los certificados de por lo menos tres distintas empresas de testeo de dispositivos de juegos de azar como BMM, Pontificia Universidad Católica del Perú, GLI y otros. Lotería a través del Convenio Suscripto con la UNLP, y llevado a cabo por el Centro Superior para el Procesamiento de la Información efectúa una auditoria para verificar que los dispositivos instalados en las MEEJA, se encuentren con
La observación se orienta a señalar que LNSE debe contrastar las certificaciones presentadas, a partir de servicios propios o de terceros. Se mantiene la observación.
INFORME DE AUDITORIA
210
N° de Observación Observación Respuesta LNSE Comentario AGN certificaciones vigentes (comprobación de firma digital del software). Recomendación 5.2.2.7: Para implementar un proceso de Homologación propio de esta LNSE se entiende que debería efectuarse una readecuación de la normativa, atento que la reglamentación actual no lo exige. Respecto de la implementación de un procedimiento de comprobación del software a través de las firmas digitales (SHA-1, MD5 etc) previo a la autorización de puesta de funcionamiento de las MEEJA, debería evaluarse, en conjunto, la oportunidad, el mérito y la conveniencia de la adquisición de los dispositivos y/o elementos técnicos necesarios y la capacitación del personal
INFORME DE AUDITORIA
211
N° de Observación Observación Respuesta LNSE Comentario AGN para el desarrollo propio de la tarea.
4.2.2.8. Los servicios relacionados con las MEEJA que la Universidad Nacional de la Plata brinda a LNSE, no satisfacen el principio de control por oposición, por lo que se pone en riesgo la rigurosidad de los controles o certificaciones realizadas. Durante las tareas de campo se ha constatado que LNSE y la Universidad Nacional de La Plata (UNLP) celebraron un convenio conforme al cual ambas partes favorecerán la concertación de programas de cooperación para la ejecución conjunta de proyectos de investigación, docencia y/o extensión en áreas de mutuo interés. Para ello prevé la firma de convenios específicos desarrollados sobre la base de Planes Operativos definidos por LNSE. En ese marco, el primer convenio específico establece que la UNLP realizará una auditoría de la administración de sistemas de control y fiscalización de máquinas tragamonedas y/o cualquier otra actividad lúdica que sea requerida por LNSE.
Respecto a la observación efectuada por la AGN en este punto y a la recomendación, se informa que se seguirán arbitrando los medios necesarios para que los controles de Auditoría y Fiscalización que se vienen realizando y se continuarán prestando de manera objetiva sin vulnerar el principio de control que lleva adelante Lotería Nacional S.E.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
212
N° de Observación Observación Respuesta LNSE Comentario AGN Otra parte del mismo convenio estipula que la UNLP proveerá un servicio de consultoría sobre los procedimientos, documentación y acciones que involucre a las redes de comunicación, sistemas de control, dispositivos de juegos, seguridad de la información y marco regulatorio asociado. Estas actividades realizadas simultáneamente dentro de la misma organización entran en colisión con el principio del control por oposición de intereses. Cabe destacar que la UNLP también actúa como certificadora homologada por GLI: cuando el concesionario solicita un alta de MEEJA, entrega a LNSE una certificación de dicha compañía (véase al respecto la observación anterior). La UNLP brinda así un servicio de auditoría de máquinas sobre las que también emite certificaciones, constituyendo otra situación en la que se vulnera el principio de control por oposición de intereses.
4.2.3. OTRAS
4.2.3.1.
Resulta ambigua la determinación del porcentaje de devolución en concepto de premios que establece la normativa.
Sin comentarios a la observación. Recomendación 5.2.3.1:
La respuesta del organismo no contradice las observaciones
INFORME DE AUDITORIA
213
N° de Observación Observación Respuesta LNSE Comentario AGN La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA debe estar calculado de modo que devuelva a los jugadores un porcentaje no inferior al noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la configuración de la tabla de premios para las distintas combinaciones ganadoras, en el software de las MEEJA. Pero más adelante la normativa agrega: “Cuando esto no sea posible por las características del juego, para el cálculo del porcentaje de retorno al público será de aplicación la estrategia óptima de juego para el mismo. Este porcentaje mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina para la máxima apuesta que permita”. Dado que las MEEJA cuentan necesariamente con un software que contiene una tabla de premios, la sola parametrización de dichas tablas permitiría ajustar el porcentaje de devolución en concepto de premios a aquel que la normativa estipule. Por lo tanto, la frase citada resulta innecesaria y
Se entiende que debería proponerse una modificación/aclaración a la normativa a fin de otorgar mayor precisión al concepto de devolución respecto de las máquinas de juegos que puedan ser afectadas por la destreza del jugador.
realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
214
N° de Observación Observación Respuesta LNSE Comentario AGN contradictoria, restándole precisión a un artículo relevante en materia de fiscalización.
4.2.3.2. LNSE cuenta con un registro de autoexcluidos, pero no realiza ni exige ningún control informático orientado a que los concesionarios impidan el acceso a las salas de juego de las personas autoexcluidas, lo que atenta contra la utilidad de dicho registro. La ludopatía consiste en una alteración progresiva del comportamiento, que conduce a un individuo a ser incapaz de resistir los impulsos de jugar, desconociendo cualquier consecuencia negativa personal, social y/o económica. En el marco de la administración y regulación de los juegos de azar en el ámbito de la Ciudad Autónoma de Buenos Aires y conforme lo dispuesto por el art. 42° de la Constitución Nacional, LNSE aprueba e implementa mediante la Res. N° 42/14 el “Nuevo Programa de Juego Responsable”, que dispone la confección por parte del jugador compulsivo de un “formulario de autoexclusión”. Sin embargo, LNSE se limita
Sin comentarios a la observación. Recomendación 5.2.3.2: Se entiende que en el marco de la Política de Juego Responsable de LNSE, debería analizarse la metodología del control a fin de establecer/determinar un procedimiento eficaz respecto a la detección del Jugador Autoexcluido. Para ello se considera conveniente darle intervención a las áreas competentes en esta materia.
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
215
N° de Observación Observación Respuesta LNSE Comentario AGN a informar a los concesionarios los datos de las personas que han completado dicho formulario, y no realiza ninguna tarea de control sobre su cumplimiento, ni le exige a los concesionarios la implementación de herramientas informáticas que permitan detectar eficazmente a las personas que, por las razones mencionadas precedentemente, deban ser vedadas de ingresar a las salas de juego. Así, los concesionarios pueden explotar la actividad de los juegos de azar en general, o de las MEEJA en particular, mediante la generación de apuestas por parte de jugadores a los cuales debería vedar el acceso.
4.2.3.3. LNSE ejecuta sus procedimientos de fiscalización mediante la carga manual de datos, método que, además de resultar ineficiente, aumenta su propio riesgo de control. Para ejecutar el procedimiento de control de contadores, los agentes fiscalizadores de LNSE anotan en una planilla impresa y a mano, los valores de los contadores situados
Sin comentarios a la observación. Recomendación 5.2.3.3: Se hace saber que a través del Expediente 375.670/15 del registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo de una plataforma
La respuesta del organismo no contradice las observaciones realizadas por esta auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
216
N° de Observación Observación Respuesta LNSE Comentario AGN en las MEEJA. Luego imputan en el Accounting los datos anteriormente registrados en la planilla, con el objeto de realizar el correspondiente control de igualdades. Este procedimiento implica que la carga manual se efectúa en dos oportunidades, una durante la captura de contadores en sala de juegos y otra durante la imputación en el aplicativo. La doble imputación manual induce a una mayor probabilidad de errores de carga, además de impactar sobre la eficiencia y agilidad del procedimiento. Procedimientos equivalentes fueron observados en el control de etiquetas, inventario, pozos progresivos y movimiento de MEEJA. La falta de procedimientos automatizados para la carga de datos puede provocar errores que impacten en la confiabilidad del proceso y disminuyen la eficiencia y agilidad de la fiscalización.
tecnológica propia que amplíe las herramientas de fiscalización y que la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a cabo.
4.2.3.4. LNSE no cuenta con registros informatizados de la información contenida en las actas de MEEJA, ni de las averías de las máquinas tragamonedas, lo que dificulta la explotación
Sin comentarios a la observación. Recomendación 5.2.3.4: Se hace saber que a través del
La respuesta del organismo no contradice las observaciones realizadas por esta
INFORME DE AUDITORIA
217
N° de Observación Observación Respuesta LNSE Comentario AGN de la información con fines de monitoreo y control. Las ACTAS de MEEJA son formularios con numeración pre-impresa en los cuales se registran las fallas técnicas de las máquinas, problemas de conectividad y cualquier otra novedad vinculada a su funcionamiento. Los agentes fiscalizadores los completan manualmente utilizando papel carbónico para las copias, firmando cada una de ellas y distribuyéndolas entre la oficina de LNSE en el concesionario, casa central y concesionario. Si bien los documentos son debidamente archivados, su acceso es manual y no se encuentran indexados, lo que dificulta su localización en caso de búsqueda. Cuando en HAPSA o en Casino de Buenos Aires se excede la capacidad de almacenamiento, los formularios son enviados a la oficina central de LNSE, con el fin de cumplir con las disposiciones relativas al resguardo de documentos. Esta metodología de trabajo dificulta el acceso a la información y no permite una fácil
Expediente 375.670/15 del registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo de una plataforma tecnológica propia que amplíe las herramientas de fiscalización y que la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a cabo.
auditoría, por lo tanto se mantienen las mismas.
INFORME DE AUDITORIA
218
N° de Observación Observación Respuesta LNSE Comentario AGN explotación de los datos para, por ejemplo, determinar problemas repetitivos, o realizar análisis estadísticos.
INFORME DE AUDITORIA
219
ANEXO III. Niveles del Modelo Genérico de Madurez
0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que
existe un tema a ser tenido en cuenta.
1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin
embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser
aplicadas sobre una base individual o caso por caso. La administración aparece como
desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos
similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay
entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es
asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los
individuos y los errores son probables.
3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir
con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos
en sí mismos no son sofisticados, pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos
están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de
automatización es limitado o fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a
los resultados de la mejora continua y de la movilización con otros organismos. La TI es
usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para
mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los
cambios.
INFORME DE AUDITORIA
220
ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados.
4.1.1 Definir un PlanEstratégico de TI
4.1.2 Definir la Arquitecturade la Información
4.1.3 Determinar la DirecciónTecnológica
4.1.4 Definir los Procesos,Organización y Relaciones de
TI
4.1.5 Administrar la Inversiónen TI
4.1.6 Comunicar lasAspiraciones y la Dirección
de la Gerencia
4.1.7 Administrar RecursosHumanos de TI
4.1.8 Administrar la Calidad
4.1.9 Evaluar y Administrarlos Riesgos de TI
4.1.10 Administrar Proyectos
Diagrama de BrechaPlanear y Organizar
1 Inicial 2 Repetible 3 Estandar Aceptable Nivel de Madurez año 2014
INFORME DE AUDITORIA
221
4.2.1 Identificar SolucionesAutomatizadas
4.2.2 Adquirir y MantenerSoftware Aplicativo
4.2.3 Adquirir y MantenerInfraestructura Tecnológica
4.2.4 Facilitar la Operación yel Uso4.2.5 Adquirir Recursos de TI
4.2.6 Administrar Cambios
4.2.7 Instalar y Acreditarsoluciones y Cambios
Diagrama de BrechaAdquirir e Implementar
1 Inicial 2 Repetible 3 Estandar Aceptable "Nivel de Madurez año 2014"
4.3.1 Definir y Administrarlos Niveles de Servicio
4.3.2 Administrar losServicios de Terceros
4.3.3 Administrar elDesempeño y la Capacidad
4.3.4 Garantizar laContinuidad del Servicio
4.3.5 Garantizar la Seguridadde los Sistemas
4.3.6 Identificar y AsignarCostos
4.3.7 Educar y Entrenarn alos Usuarios
4.3.8 Administrar la Mesa deServicio y los Incidentes
4.3.9 Administrar laConfiguración
4.3.10 Administrar losProblemas
4.3.11 Administrar los Datos
4.3.12 Administrar elAmbiente Físico
4.3.13 Administrar lasOperaciones
Diagrama de Brecha Entregar y Dar Soporte
1 Inicial 2 Repetible 3 Estandar Aceptable Nivel de Madurez año 2014
INFORME DE AUDITORIA
222
4.4.1 Monitorear y Evaluar elDesempeño de TI
4.4.2 Monitorear y Evaluar elControl Interno
4.4.3 Garantizar elCumplimiento Regulatorio
4.4.4 Proporcionar Gobiernode TI
Diagrama de BrechaMonitorear y Evaluar
1 Inicial 2 Repetible 3 Estandar Aceptable Nivel de Madurez año 2014
INFORME DE AUDITORIA
223
ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los procesos informáticos considerados
Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la
gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos
dependen en forma creciente de los sistemas de tecnología de la información, un ambiente
donde también aumentan las noticias sobre fraudes y desastres informáticos. En la
actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento
esencial de la administración del Estado Nacional.
En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se
corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de
los siguientes requerimientos que debe satisfacer la información dentro de un organismo
para permitirle cumplir con sus misiones y funciones:
• Eficacia: Que la información sea relevante y pertinente para la misión del ente, así
como a que su entrega sea oportuna, correcta, consistente y utilizable.
• Eficiencia: La provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
• Confidencialidad: La protección de información sensible contra divulgación no
autorizada.
• Integridad: La precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del organismo.
• Disponibilidad: La disponibilidad de la información cuando ésta es requerida para
cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
INFORME DE AUDITORIA
224
• Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el organismo está sujeto.
• Confiabilidad: La provisión de información apropiada a la administración para
operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en
forma primaria y secundaria por el objetivo de control (ver tabla).
El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un
Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo
controlar las mejoras futuras en forma explícita.
Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de
que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0
representa la situación más segura y 1 la más insegura).
El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al
impacto (definido como el peligro de incumplimiento de las misiones y funciones del
organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de
ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto
(99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente
vinculada a la calidad del control que se realiza, y este es evaluado en el informe a través
del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente
según el siguiente detalle:
INFORME DE AUDITORIA
225
INFORME DE AUDITORIA
226
Tabla
INFORME DE AUDITORIA
227
Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información
para los 34 objetivos de control considerados y su promedio general.
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivo de Control
Niveles de Riesgo para la Efectividad
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivo de Control
Niveles de Riesgo para la Eficiencia
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
INFORME DE AUDITORIA
228
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivo de Control
Niveles de Riesgo para la Confidencialidad
Riesgo Primario Riesgo Secundario Riesgo Aceptable
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivos de Control
Niveles de Riesgo para la Integridad
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
INFORME DE AUDITORIA
229
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Obejetivo de control
Nivles de Riesgo para la Disponibilidad
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivos de Control
Niveles de Riesgo para el cumplimiento
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
INFORME DE AUDITORIA
230
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Objetivo de Control
Niveles de Riesgo para la Confiabilidad
Riesgos Primarios Riesgos Secundarios Riesgo Aceptable
0,00
0,10
0,20
0,30
0,40
0,50
0,60
0,70
0,80
0,90
1,00
Efectividad Eficiencia Confidencialidad Integridad DisponibilidadCumplimiento ConfiabilidadRequerimiento de la información
Niveles promedio de riesgo para cada atributo de la información
Riesgos Promedio
INFORME DE AUDITORIA
231
ANEXO VI – Imágenes de sala adjunta al Data Center (Casa Central)