1 INFORME DE AUDITORÍA Al Señor Presidente Dr. Mariano ...
62
1 INFORME DE AUDITORÍA Al Señor Presidente Dr. Mariano RECALDE Aerolíneas Argentinas S.A. y Austral Líneas Aéreas Bouchard 547 9º Piso (C1106ABG) Ciudad Autónoma de Buenos Aires. En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito Aerolíneas Argentinas S.A. (ARSA) con el objeto que se detalla en el apartado 1. 1.- OBJETO DE AUDITORÍA “Evaluación del ambiente de control TI y de aplicaciones TI a seleccionar en Aerolineas Argentinas S.A.”. 2.- ALCANCE El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría General de la Nación, aprobadas por la Resolución N° 145/93, dictada en función del artículo 119, inciso d, de la Ley N° 24.156. La evaluación del control de TI se basó en el estándar COBIT versión 4.1 para lo que corresponde al ambiente de TI, además se selecciono un grupo de aplicaciones que utiliza la empresa (ver 3.4). La evaluación abarca el período comprendido entre los años 2009 y 2010. Se practicaron los siguientes procedimientos:
Transcript of 1 INFORME DE AUDITORÍA Al Señor Presidente Dr. Mariano ...
1
INFORME DE AUDITORÍA
Al Señor Presidente
Dr. Mariano RECALDE
Aerolíneas Argentinas S.A. y Austral Líneas Aéreas
Bouchard 547 9º Piso
(C1106ABG) Ciudad Autónoma de Buenos Aires.
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito Aerolíneas
Argentinas S.A. (ARSA) con el objeto que se detalla en el apartado 1.
1.- OBJETO DE AUDITORÍA
“Evaluación del ambiente de control TI y de aplicaciones TI a seleccionar en Aerolineas
Argentinas S.A.”.
2.- ALCANCE
El examen fue realizado de conformidad con las normas de auditoría externa de la
Auditoría General de la Nación, aprobadas por la Resolución N° 145/93, dictada en
función del artículo 119, inciso d, de la Ley N° 24.156.
La evaluación del control de TI se basó en el estándar COBIT versión 4.1 para lo que
corresponde al ambiente de TI, además se selecciono un grupo de aplicaciones que utiliza
la empresa (ver 3.4). La evaluación abarca el período comprendido entre los años 2009 y
2010.
Se practicaron los siguientes procedimientos:
2
Entrevistas con los siguientes funcionarios:
Gerente de Sistemas.
Gerente de Auditoría Interna.
Gerente de Carga (Aeroparque Jorge Newbery).
Jefe de la Unidad Enlace Organismos de Fiscalización Externos.
Jefe del Centro Integral de Procesamiento (CIP – Ezeiza).
Jefe del Centro de Control Operativo (CCO – Ezeiza).
Jefe de la Unidad de Planificación, Seguridad y Control de Sistemas.
Jefe de la Unidad de Servicios de Sistemas.
Jefe de la Unidad de Sistemas Comerciales.
Jefa de la Unidad de Sistemas de Administración y Recursos Humanos.
Jefe de Tecnología y Administrador de Software de Base.
Jefe de Seguridad Informática.
Jefe de Infraestructura y Servicios (Torre Bouchard).
Jefe de Sistemas Logística y Cargas.
Jefa de Administración (Aeroparque Jorge Newbery).
Jefa de Administración de Cabotaje (Aeroparque Jorge Newbery).
Jefa de Alianzas Corporativas de Marketing.
Jefa de Calidad de Sistemas.
Jefa de Desarrollo de Aplicaciones IT - Sistemas Comerciales –
Jefe de Desarrollo de Aplicaciones IT - Sistemas de Logística y Cargas -
Analista Comercial de Marketing
Analistas de Proyecto –Sistemas Comerciales WEB y ARPLUS-
Analistas Programadores –ARPLUS y Club de Secretarias-.
Jefe Unidad Ventas Directas y Proyectos Especiales - Call Center -
Análisis de la siguiente documentación:
Informes de Auditoría Interna y SIGEN (Período 2009-2010).
Plan de Sistemas 2011-2013.
Organigrama de la Sociedad (Estructura Orgánica Corporativa).
Organigrama de la Gerencia de Sistemas.
3
Misiones y funciones de cada integrante de la función servicios de información.
Plan de desarrollo y mantenimiento de sistemas de información.
Manuales de Procedimientos (Mesa de Ayuda).
Manual de Calidad Corporativo y de Operaciones.
Plan de Administración de la Configuración.
Diccionario de Datos del Organismo (Solo entregado Plataforma AS400).
Presupuesto de Gastos TI (2009-2010).
Plan de Adquisición de Software y Hardware.
Contratos vigentes con terceros.
Actas de las reuniones en que se discute la revisión de contratos (referentes a
tecnología informática), la evaluación del cumplimiento y la gestión de relaciones.
Modelo de la arquitectura de la información.
Inventario de las Aplicaciones.
Esquema de la Red de Comunicaciones.
Plan de continuidad de la función servicios de información.
Plan de capacitación del personal de TI.
Políticas de Seguridad de la Información.
Políticas, Procedimientos y Metodología de Ciclo de Vida.
Informes de Monitoreo de la Infraestructura Tecnológica.
Perfiles y Roles del Personal de TI.
Informe de Gestión de la Gerencia de Sistemas (4º Trimestre 2010).
Análisis del sitio web de Aerolíneas Argentinas S.A. (http://www.aerolineas.com.ar/) y
de su Intranet.
Lugares visitados:
Gerencia de Sistemas (Edificio Suipacha).
Gerencia de Auditoría Interna (Edificio L.N. Alem).
Centro Integral de Procesamiento (Aeropuerto Ezeiza).
Cargas (Aeroparque Jorge Newbery).
Infraestructura y Servicios (Torre Bouchard).
Marketing (Edificio Perú).
4
2.1. Tareas de campo
Se desarrollaron entre Mayo y Noviembre de 2011.
3.- ACLARACIONES PREVIAS
Los sistemas vigentes fueron relevados en sus aspectos funcionales a través de entrevistas
con los responsables de los sectores involucrados y cuando resultó necesario con el
personal operador de los sistemas, así como con la ejecución de pruebas sustantivas y de
cumplimiento.
3.1 Antecedentes
Aerolíneas Argentinas fue creada en el año 1950 mediante el decreto 10459, y constituido
por la unión de cuatro aerolíneas “Aeroposta Argentina. A.L.F.A., FAMA y Z.O.N.D.A”.
Por Dto. 808/79 Aerolíneas Argentinas se transformó en Sociedad del Estado.
3.2 La Gerencia de Sistemas
Con el objetivo de liderar y coordinar la incorporación, actualización y utilización de
tecnologías de información, computación y telecomunicaciones; la Gerencia de Sistemas
de Aerolíneas Argentinas S.A. (ARSA) tiene como tarea la función de planificar, organizar,
dirigir y controlar todas las actividades de informática de la Empresa.
3.3 Recursos Asignados a TI
3.3.1 Personal
La Gerencia de Sistemas de ARSA cuenta con una dotación de 133 personas de los cuales
el 48% con título terciario o universitario.
5
3.3.2 Presupuesto
Gastos – TI (2009-2010)
CONCEPTO 2009 Incidencia % 2009 2010 Incidencia
% 2010
SISTEMA DE RESERVAS 20.434.781 61 23.498.336 60
CONTRATOS, DESARROLLOS Y OTROS 10.121.883 30 11.960.880 31
COMUNICACIONES 2.965.899 9 3.221.229 8OTROS GASTOS 91.144 0 258.337 1
TOTAL GASTOS EN U$S 33.613.707 100 38.938.782 100
Inversiones – TI (2009-2010)
CONCEPTO 2009 2010 OBRAS Y REMODELACIONES 128.570 4.550 MATERIAL NO AERONAUTICO 40 EQUIPOS DE TALLER 5.597 4.341 EQUIPOS DE INFORMATICA 34.020 1.134.260 EQS. RADIO Y COMUNICACIONES 20.002 125.466 MAQS. Y MUEBLES OFICINA 1.188 TOTAL INVERSIONES EN U$S 188.189 1.269.845
3.4 Sistemas Seleccionados
3.4.1 Criterio de Selección
Las aplicaciones seleccionadas debieron satisfacer que:
tuvieran significancia económica
preferentemente no se hubieran revisado anteriormente de manera de incrementar el
ámbito de control sobre los sistemas de la compañía.
hubieran sido desarrollado por la compañía a los fines de disponer del conocimiento
completo de la aplicación.
Con ese marco y sobre un total de 71 sistemas catalogados por la Gerencia de Sistemas se
consideraron apropiadas para su evaluación los siguientes:
6
1) SABRE. Aplicación que gestiona el proceso de venta y control de los pasajes.
Representa el 60% de los gastos de TI en la empresa.
2) ARPLUS y su asociada Club de Secretarias que sostienen al programa de Pasajeros
Frecuentes Aerolíneas Plus y que la Sociedad estimó en el año 2008 un valor de
$270.467.526 como el costo que demandaría la prestación de los servicios de los premios.
3) Cargas sistema asociado a la gestión de las cargas manejó más de $60.000.000 durante
el año 2010.
4) El sitio web de Aerolíneas, portal transaccional de las reservas y ventas de pasajes las
24 horas a usuarios finales integrado con SABRE, el sistema de reservas y ventas de
pasajes desde sucursales.
5) La Intranet de ARSA como medio de comunicación interna de la organización
3.5 SABRE
Es el principal Sistema de Distribución Global (o GDS de SABRE Airline Solutions)
contratado por ARSA que le permite desde sus terminales habilitadas nacionales e
internacionales reservar, emitir pasajes –ticketing–, abordar pasajeros –check in– y
registrar el cierre de sus vuelos así como otras facilidades de gestión.
SABRE es proveedor de software como servicio por lo que las compañías aéreas que lo
contratan solo requieren equipamiento mínimo ya que el procesamiento, almacenamiento y
mantenimiento del software está incluido.
3.6 Programas de Fidelización de Clientes
Aerolíneas Plus y Club de Secretarias.
Es un programa creado para premiar a sus viajeros con la posibilidad de volar a destinos
nacionales e internacionales con los puntos acumulados en cada viaje.
La inscripción puede realizarse a través del sitio web de Aerolíneas donde asimismo se
provee información de interés, bases y condiciones, beneficiarios de dicho programa y
tabla de millas para premios.
El aplicativo ARPLUS desarrollado por ARSA y mantenido por la Gerencia de Sistemas
permite a la Coordinación del programa Aerolíneas Plus gestionar la administración de los
7
socios y el manejo de premios. El sitio web interactúa con este aplicativo así como el
sistema de reservas SABRE que permiten acreditar los puntos una vez que se ha producido
el vuelo.
A través del call center de Aerolíneas los socios pueden también realizar sus trámites y
consultas.
El programa club de secretarias, de recompensas es complementario al Programa
Aerolíneas Plus (PAP). Fue creado en exclusividad para los asistentes que realicen tareas
asimiladas al secretariado en relación de dependencia, residentes en Argentina,
Durante el relevamiento en Agosto de 2011 los participantes ascendían a 4000.
La inscripción se realiza “en línea” a través del sitio web de Aerolíneas Argentinas donde
se puede consultar las condiciones de uso y las promociones especiales, los datos de la
cuenta, revisar el saldo y caducidad, imprimir la tarjeta de socio, actualizar los datos o
cambiar su clave de acceso, como así también visualizar a los ganadores del trimestre y
otros beneficios más.
Estas funcionalidades web se realizan mediante el aplicativo Club de Secretarias, el cual es
una extensión de ARPLUS y operan sobre la misma base de datos y con el mismo lenguaje
de programación.
3.7 Sitio Web de Aerolíneas Argentinas S.A. (ARSA)
A través de este sitio web (http://www.aerolineas.com.ar/), los clientes y usuarios pueden
gestionar reservas de vuelos, alojamientos y también alquileres de vehículos particulares
(automóviles); también por intermedio de esta página se podrá acceder a las siguientes
opciones y servicios tales como:
Horarios de los vuelos.
Estados de los vuelos.
Consulta de Reservas.
Reservas y ventas de pasajes.
Equipaje (Web Check-In).
Obtención de Tarjeta de Migraciones.
Seguimiento del envío de cargas (JetPaq).
8
Programa “Aerolineas Plus” (ARPLUS).
Programa Club de Secretarias.
Comunicados de prensa.
3.8 Sistema SIC CARGAS
Es utilizado en la administración del transporte de cargas. Funciona las 24 horas del día en
los aeropuertos del país y empresas asociadas, procesando mensualmente unas 35.000
guías de cargas.
El sistema permite la recepción, el envío y la entrega de las cargas en 31 aeropuertos por la
Gerencia de Administración y la Gerencia de Cargas de ARSA así como los agentes de
cargas externos contratados –total de 360 usuarios–.
Básicamente genera: 1) la guía de cargas, documento tipo remito, donde se detalla la carga
a ingresar a la bodega del avión que luego se envía al destino 2) el manifiesto de carga el
reporte con todas las guías que van al vuelo 3) la liquidación y emisión de la factura de las
guías emitidas y entregadas, por cada el cliente 4) reportes de cobranzas.
El sistema cuenta con registro de una cuenta corriente en el caso que no se facture
directamente.
Su mantenimiento y desarrollo es realizado por la Gerencia de Sistemas.
9
4. COMENTARIOS Y OBSERVACIONES
Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes.
Los comentarios se agruparon según se refieran al Ambiente de Control (A) o a los
Sistemas Relevados (B).
A) AMBIENTE DE CONTROL
4.1 DOMINIO PLANEAR Y ORGANIZAR
4.1.1 Plan de Sistemas
El Plan de sistemas 2011-2013 (PS), actualizado a abril de 2011, planifica realizar acciones
en materia de hardware, software y organización para ese período que se agregan a las
acciones realizadas durante el año 2010. Esas reflejan coherencia con las acciones de TI
señaladas en el Plan de Negocios (PN) que se aboca exclusivamente al desarrollo o mejora
de las aplicaciones. Sin embargo el PS no incluye proyectos para crear tableros de control
ni para medir el comportamiento de los índices de performance al que el PN aspira
alcanzar en el período.
El proceso de planeamiento TI no se encuentra consolidado ya que el PS carece:
1) de aprobación formal.
2) un modelo de planeación: los proyectos del PS no disponen de estudios de
factibilidad económica con una relación costo/beneficio y el correspondiente
análisis de riesgo que justifique la selección y la priorización realizada.
Consecuentemente también se desconoce el monto de la inversión que implica su
ejecución.
3) una descripción de la situación actual y el modelo de la TI (o lineamientos
informáticos que deberán cumplir hardware, software y comunicaciones).
4) un conjunto de planes tácticos de TI formalmente aprobados que se deriven del PS
con el detalle suficiente para permitir la definición de planes de proyectos.
No resulta posible garantizar que se alcance el valor óptimo para el grupo de proyectos y
servicios previstos ni claridad en el nivel de inversión requerido.
10
4.1.2 Modelo de la Arquitectura de la Información
Se accedió a la documentación de los sistemas ARSA con mantenimiento propio que
describen los archivos y campos y reglas de validación que componen a los sistemas. En
pocos casos –contabilidad, costos y presupuesto–, se encontraron descripciones de los
diagramas entidad relación, flujo de datos e interfaces.
La responsabilidad sobre los datos se define a través de una aplicación asociada que asigna
perfiles o derechos a los usuarios. El esquema descripto es similar para cada sistema de la
compañía.
Es de señalar que los sistemas de ARSA se han diseñado o adquirido, según el caso, para
resolver funcionalidades específicas y por lo tanto han carecido de una visión integral de
los requerimientos de información de la compañía. Otra consecuencia es la variedad de
plataformas de bases de datos.
No se detectaron actividades destinadas a crear y actualizar el modelo de arquitectura de la
información de la compañía, al no encontrar evidencia de que:
a) se emplee un diccionario de datos empresarial con las reglas de sintaxis incorporadas,
b) exista un esquema de clasificación de datos para toda la compañía en cuanto a su
criticidad y sensibilidad con definiciones formales sobre: política de propiedad, niveles
apropiados de seguridad y controles de protección así como para la retención y destrucción
de datos,
c) hubiera procedimientos que garanticen la integridad y consistencia de todos los datos en
formato digital existentes en las diferentes bases de datos o archivos de la compañía.
La falta de este proceso de TI reduce la capacidad de control sobre: i) la información
compartida por las aplicaciones de incumbencia de la compañía, ii) la integridad y
seguridad de los datos. El riesgo es la acumulación de datos que no tengan consistencia o
integridad.
4.1.3 Dirección Tecnológica
Se tuvo acceso al Plan de Infraestructura para el periodo 2011-2013, realizado en mayo de
11
2011. Presenta un programa de proyectos consistentes con la actualización tecnológica de
la Infraestructura del Centro de Procesamiento de Datos, la estructura de red de voz y datos
nacional e internacional.
El proceso no se encuentra consolidado ya que:
El plan no contaba con aprobación formal para su implementación.
Los proyectos no se encontraban respaldados en estudios técnico-económicos que
evaluaran alternativas y seleccionen las mejores opciones.
En materia de mejora en la interoperabilidad (intercambio operativo de datos), se
encontró un proyecto de integración de plataformas de diferentes sistemas operativos
que no afronta la solución a la variedad de tecnologías y plataformas existentes con la
adopción de estándares y protocolos que entre otros permitan:
a) facilitar el despliegue rápido de nuevas aplicaciones,
b) incorporar aplicaciones y tecnologías, sean desarrollos propios o de
terceros, que bajo determinadas características permitan compartir datos
desde distintas plataformas o extender a nuevas versiones desarrollos
realizados de manera de proteger las inversiones hechas.
No hace referencia a la arquitectura de sistemas, estrategias de migración y
contingencias. El plan no prevé acciones concordantes con la creación de un centro de
procesamiento alternativo previsto en el Plan de Sistemas.
El proceso queda debilitado para optimizar la infraestructura, los recursos y las
capacidades de TI así como para adquirir y mantener integrados y estandarizados los
sistemas de aplicación.
4.1.4 Definir los procesos, organización y relaciones de TI
En relación a este proceso se encontraron las siguientes debilidades:
Carencia de un marco de trabajo del proceso de TI para ejecutar el Plan de Sistemas.
12
Carencia de un Comité de Dirección de TI que determine prioridades de la inversión y
el seguimiento de los proyectos aunque su concreción está prevista en el Plan de
Sistemas 2011-2013.
El manual de puestos y perfiles de la Gerencia de Sistemas no se encontraba aprobado
formalmente y refleja coincidencia parcial con los cargos existentes en la estructura
orgánica (versión 3.3). Se encontraron jefaturas operativas no descriptas. El manual y la
estructura orgánica no definen roles en arquitectura de sistemas, aspecto relevante dada
la variedad y complejidad de plataformas de hardware, software y sistemas existentes.
No se contaba con las misiones y funciones de las áreas definidas en el organigrama de
la Gerencia de Sistemas.
La dependencia del área Seguridad Informática dentro de la Gerencia de Sistemas
predispone a una concentración de tareas críticas que las buenas prácticas desaconsejan.
Se encontraron tareas solapadas en las áreas Administración de Software de Base y la de
Tecnología definidas en el organigrama, con el mismo personal asignado pero
reportando a dos Jefaturas. Este tipo de estructura no separa adecuadamente las
funciones de análisis de largo plazo con las de carácter operativo y de respuesta
instantánea.
Segregación de funciones. No se encontraron procedimientos formalmente aprobados
para regular el acceso a los sistemas, las plataformas de Sistemas Operativos y de base
de datos así como a utilitarios.
En igual modo, para la separación entre los ambientes de desarrollo, de puesta en
servicio y de producción de los sistemas. En dos sistemas que se relevaron se detectó
que las modificaciones son instaladas en el ambiente de producción por los
desarrolladores.
Ello no permite asegurar que el personal realice sólo las tareas autorizadas y reduzca la
posibilidad que un solo individuo concentre diferentes etapas de un proceso crítico.
No se encontraron herramientas implementadas –como un sitio web y/o intranet– que
ayuden a lograr una estructura óptima de enlace, comunicación y coordinación entre la
función de TI y todos los involucrados (usuarios, desarrolladores, auditores, propietarios
de datos, etc.).
13
Formalmente no está definida la propiedad y la responsabilidad de los riesgos
relacionados a la TI para asegurar la continuidad de las tareas. No obstante se encontró
un trabajo que evalúa riesgos TI realizado por terceros durante 2009 –“Assessment de
Gestión de Servicios”–.
4.1.5 Administración de la Inversión de TI
Los gastos en sistemas alcanzaron los 39 millones de U$S en el año 2010. Los gastos de
personal crecieron 40% en relación al año anterior con una incidencia del 13% en el total
de los gastos mientras que los sistemas de reservas alcanzaron el 60% en la participación.
Las inversiones en 2010 por 1,3 millones de U$S –esencialmente en hardware (equipos de
informática y comunicaciones)– se incrementaron 6,7 veces en relación al año anterior.
La integración de los sistemas de compras SICOM y de Presupuesto permitió ejecutar
durante el año 2010 contra lo presupuestado.
La Gerencia de Sistemas dispone de una organización para la administración del
presupuesto y los gastos de TI. No obstante se carece de normativa que defina los niveles
de intervención cuando se producen desvíos en más o en menos sobre lo planificado.
Se tuvo conocimiento de que seleccionado un proyecto la prioridad en la incorporación de
los módulos está relacionado a los beneficios que producirá. En cambio, no se tuvo
conocimiento de un proceso de toma de decisiones que asegure prioridad de los recursos de
TI a aquellos proyectos –del conjunto seleccionado (o portfolio) de programas de inversión
en TI de la Sociedad– en orden a sus beneficios.
No se tuvo conocimiento de la existencia de un proceso regular que monitoree los
beneficios que se obtienen de las inversiones en TI.
4.1.6 Administrar los Recursos Humanos de TI
Durante 2010 se incorporaron a la planta de la compañía personal contratado afectado casi
exclusivamente al mantenimiento de sistemas.
14
Estratégicamente no se han definido las especializaciones o tipos de servicios donde la TI,
en particular el personal de la gerencia, podrían proveer mayor competitividad a la
compañía. Ello limita la implementación de procesos para garantizar que la organización
cuente con la fuerza de trabajo adecuada para alcanzar sus metas.
Asignación de Roles: Se encontró este proceso en su etapa inicial, con la confección del
documento Manual de puestos y perfiles pero sin plan para implementarlo formalmente.
Entrenamiento del personal de TI: No se obtuvo evidencia que durante el año 2010 se
hubieran realizado cursos de entrenamiento al personal para mantener sus habilidades y
aptitudes en TI. Si se obtuvo un plan de capacitación para el año 2011 en el marco del Plan
de Sistemas.
ARSA dispone de una herramienta e-learning pero su empleo no se había extendido a las
necesidades de TI.
Dependencia: Se encontró el caso del sistema de Cargas que no dispone de documentación
técnica apropiada y cuyo mantenimiento operativo depende de un solo profesional.
La falta de una documentación técnica completa de los sistemas con administración propia
contribuye en algunos casos a aumentar el riesgo de dependencia y en otros, como cuando
el propio personal no dispone del conocimiento cabal, queda limitada la mejora de la
aplicación.
Ante cambios en la situación de revista del personal de TI se carecía de un proceso
automático o por sistema que asegure que la reasignación de responsabilidades se lleve
conjuntamente con la eliminación de los privilegios de acceso que no correspondan al
nuevo puesto. El riesgo era aun mayor en los usuarios de sistemas, como se observó en los
sistemas relevados, ya que no se informa.
El sistema de Personal Meta4 dispara un aviso a los responsables cuando se produce el
cambio pero no registra que la acción se hubiese llevado a cabo.
4.1.7 Administrar la Calidad
El proceso se encuentra en su etapa inicial con la creación del sector Calidad de los
Sistemas (prevé PMO –administración de proyectos–) dentro de la Gerencia de Sistemas y
15
la evaluación de la calidad de los servicios de TI bajo el estándar ITIL por parte de una
consultoría externa y encomendada por la propia Gerencia.
Falta definir el sistema de administración de la calidad (QMS) a adoptar que establezca a)
los estándares y prácticas de calidad, b) el monitoreo y revisión interna y externa del
desempeño y c) la mejora continua del QMS en términos medibles.
No se tuvo conocimiento de un plan detallado para su implementación.
4.1.8 Evaluación y administración de los riesgos de TI
No se encontró un marco de trabajo de administración de riesgos de TI así como un
cronograma para su realización No existe un plan para implementar y poner en marcha un
proceso de evaluación y administración de riesgos.
La evaluación de la probabilidad e impacto de los riesgos de TI no ha sido una actividad
recurrente ya que de la evidencia relevada solo se tuvo conocimiento de esta acción
durante el año 2009 (documento Gestión de Servicios).
4.1.9 Administrar Proyectos
Se recepcionaron formularios que describen distintos proyectos e indican su estado de
avance que carecían de responsable y fecha de la información.
Con la creación de un área de PMO (Project Management Office) dentro de la Gerencia de
Sistemas durante el año 2010 se hicieron los preparativos para la intervención en el año
2011 en el seguimiento de proyectos específicos como SABRE y ERP, cuya contratación
de servicios, incluyen la administración del proyecto.
No hay una planificación debidamente aprobada para la administración de proyectos que
establezca su alcance y sus límites, así como las metodologías a ser adoptadas y aplicadas
en cada proyecto emprendido.
4.2 DOMINIO ADQUIRIR E IMPLEMENTAR
4.2.1 Estudio de Factibilidad
El requerimiento por una nueva función en los sistemas cuyo mantenimiento es realizado
por personal de la Gerencia de Sistemas, habitualmente es realizada por el sector usuario y
16
la aprobación para su desarrollo es realizada por el Jefe de Proyecto y Jefe de Unidad de
Desarrollo de Sistemas cuando se disponen de las horas/hombre que requieren los cambios
y de no ser así, de disponer recursos presupuestarios, se procede a la compra de los
servicios al sistema de compras (SICOM) donde se registran las condiciones técnicas del
servicio que se necesita. Si el mantenimiento es externo, el proceso también se gestiona
con el sistema SICOM.
En el caso de nuevas aplicaciones la evaluación recae en el nivel gerencial. Para la
contratación del sistema ERP de clase mundial (aplicación externa para llevar a cabo tareas
administrativas y contables) –de próxima implementación– la Gerencia de Sistemas
elaboró –con la asistencia de una consultora externa– el pliego licitatorio el cual incluye la
matriz de requerimientos.
No se obtuvo evidencia que se realizaran estudios de factibilidad antes de incorporar un
nuevo sistema, aplicación o función.
4.2.2 Desarrollo de Sistemas
No se encontró una definición formal de una metodología de ciclo de vida para el
desarrollo de los sistemas que permita controlar su inserción desde el análisis previo a su
desarrollo o adquisición, la administración de requerimientos, el diseño, el desarrollo, las
pruebas, la puesta en producción, la puesta en servicio hasta su revisión y que considere los
aspectos de auditabilidad, seguridad, capacitación, separación de ambientes, configuración
y el control de cambios.
No es práctica de la compañía aprobar formalmente las especificaciones del diseño para
garantizar que se ajusta a los requerimientos o que los responsables usuarios aprueben
formalmente tanto los requerimientos como el producto.
El diseño y el desarrollo de las aplicaciones no se rigen por estándares previamente
definidos.
No es práctica crear un plan de aseguramiento de calidad de software y un plan de
mantenimiento para las aplicaciones.
No se observó intervención de PMO durante el proceso de mejoras de las aplicaciones con
mantenimiento con personal de la gerencia.
17
Los ambientes para el desarrollo, la realización de pruebas y la producción de las
aplicaciones no se encontraban separados dado que un mismo desarrollador podía acceder
a todas esas instancias.
El documento Nro-002 –Política de Seguridad– define las responsabilidades sobre los
datos por cada rol. El rol Propietario o Delegado de los datos es asignado a los Gerentes
usuarios de ARSA. No se tuvo conocimiento de la aprobación formal de la norma y de su
vigencia. El proceso requiere un procedimiento formal que asigne a la gerencia del negocio
la responsabilidad por la entrega y calidad el servicio, el control interno y de los procesos
administrativos de la aplicación. El acceso a la aplicación y la administración de
privilegios adolece de una adecuada separación de tareas en varios sistemas ya que los
cambios lo realizan los analistas desarrolladores.
Se detectaron controles de transacciones importantes que quedan afuera de la aplicación –
por ejemplo la integración de la facturación de ARPLUS con el sistema de Facturación–.
La transferencia del conocimiento a los usuarios finales se dificulta por la inexistencia de
manuales y ayudas en línea aunque su eficacia se sostiene en la antigüedad de los sistemas,
los escasos cambios realizados y la permanencia de sus usuarios.
En el caso de la transferencia del conocimiento al personal de soporte técnico la falta de
documentación completa en la mayoría de los sistemas torna crítica la dependencia del
personal de desarrollo. No se tuvo conocimiento de documentación específica para el
personal de operaciones.
Ello provoca riesgos en la entrega, apoyo y mantenimiento de la aplicación y la
infraestructura asociada.
La administración de cambios de las aplicaciones y la infraestructura dentro del ambiente
de producción disponía de un registro manual con el riesgo que todos los cambios no sean
registrados cabalmente al no disponer de un software que lo realice automáticamente.
El proceso de acreditación e instalación de soluciones y cambios carecía de un ambiente
exclusivo dedicado a pruebas –testing– y de una metodología formal y operativa para su
desarrollo.
18
4.2.3 Desarrollo de la Infraestructura Tecnológica
Para el proceso de optimización de la infraestructura ARSA cuenta con un Plan de
Infraestructura para el período 2011-2013 el cual contiene un Plan de Adquisiciones.
La consolidación del proceso requiere disponer de estándares de arquitectura y tecnología,
un ambiente para realizar pruebas antes de la incorporación de aplicaciones e
infraestructura y medidas de control en la utilización de componentes de infraestructura
sensitivos.
El riesgo principal observado es la falta de una infraestructura integrada y estandarizada
necesaria ante la gran variedad de plataformas y tecnologías y con componentes de
infraestructura que no se disponen o no tendrán soporte en el futuro.
4.3 DOMINIO ENTREGAR Y DAR SOPORTE
4.3.1 Definir y administrar los niveles de servicio
El proceso se encontraba sin definiciones de:
los servicios entregados de TI que se brinda a las Gerencias Usuarias,
acuerdos de servicio (SLA) para todos los procesos críticos de TI y
acuerdos de niveles de operación (OLAs) que soportaran los SLA, en particular,
con los proveedores.
No se puede medir la eficacia y/o eficiencia de los servicios de TI provistos así como su
alineamiento con las metas de la empresa.
4.3.2 Administrar los Servicios de Terceros
Se recepcionó la lista de proveedores con OC (Ordenes de Compra) vigentes durante 2010.
No se observaron actividades periódicas para evaluar los servicios de los proveedores de
TI, su categorización y establecer la criticidad.
No se encontraron evidencias para:
Asegurar la calidad de las relaciones con los proveedores mediante acuerdos de
niveles de servicio (SLA).
Evaluar los riesgos relativos a la habilidad de los proveedores para mantener un
efectivo servicio de entrega que afecte la continuidad.
Se encontraron algunos servicios –mesa de ayuda y soporte técnico– bajo monitoreo de su
19
desempeño.
Al no medirse el cumplimiento de los requerimientos y los niveles de servicio –
particularmente de los críticos– no se disponen de escenarios que permitan minimizar los
riesgos asociados a los proveedores que no se desempeñan adecuadamente.
4.3.3 Administrar el desempeño y la capacidad
Durante el año 2009 se realizaron mediciones de la capacidad y desempeño de los recursos
de hardware instalados a los fines de su actualización, tarea culminada durante el año 2010.
No se tuvo evidencia que esta actividad sea parte de un proceso regular planificado para
determinar si existe suficiente capacidad y desempeño de los recursos de TI para prestar
los servicios de TI en relación a niveles previamente acordados.
4.3.4 Garantizar la continuidad del servicio
Se tuvo acceso al documento “plan de contingencia versión 2 a Mayo 2011” producido por
el área de seguridad informática, el cual carece de:
Aprobación formal y evidencias que se encuentre operativo.
La designación de responsables para actuar ante cada contingencia.
Evaluación de situaciones como: a) el corte total o parcial del suministro eléctrico
al CIP –con los grupos electrógenos existentes, b) salida de servicio de plataforma
de servidores o por la red de datos afectando sistemas o aplicaciones críticas o c)
ausencia de personal de desarrollo u operativo crítico.
No se disponía de un sitio alternativo CIP aunque el Plan de Sistemas 2011 – 2013 lo
prevé.
Surge del análisis que no se dispone de un marco de trabajo formal y consistente que
defina los procesos para la continuidad de los servicios de TI, como ser:
el desarrollo del plan de continuidad con centro en los recursos de TI críticos
la realización de pruebas del plan
el entrenamiento y la distribución a los involucrados
la recuperación y reanudación de servicios
20
el almacenamiento con la copia de los respaldos fuera de las instalaciones CIP y
la revisión posterior a la reanudación del servicio.
Por ello existe el riesgo de interrupciones en los servicios de TI sobre funciones y procesos
claves de la empresa.
4.3.5 Garantizar la seguridad de los sistemas
La primera versión de la Política General de Seguridad de la Información se aprobó
formalmente el 30/08/2007 y se tuvo acceso a la segunda versión aprobada por la máxima
autoridad el 25/04/2011.
Se tuvo acceso a 25 normas organizadas según los dominios de acuerdo a la ISO
17.799/2005, 18 documentos cada uno conteniendo un estándar de seguridad de la TI para
las distintas plataformas que dispone la compañía (sistemas operativos, base de datos y de
direccionamiento IP), 10 instructivos, 43 procedimientos y un Manual de Utilización del
correo electrónico.
Las normas y estándares de seguridad carecían de:
la fecha de emisión y de vigencia,
la asignación de los niveles de responsabilidad así como su notificación a todos los
involucrados,
datos de la versión, autor y autorizante en la sección control de versiones –a
excepción de dos estándares de direccionamiento IP–,
la designación de un nivel de responsabilidad encargado del cumplimiento de la
misma.
En los casos que se definen roles y/o perfiles no se tuvo conocimiento de la respectiva
designación para el desarrollo de la función (auditor de seguridad, entre otros).
El proceso de administración de la seguridad de la TI presenta debilidades en cuanto a su
formalidad –no hay asignación de responsabilidades– y la falta de monitoreo que
compruebe que la normativa se cumple aceptablemente por lo que contraviene el principio
3 de la Política de Seguridad.
En cuanto a la Administración de Cuentas de Usuario y Autenticación:
21
Existen procedimientos, aunque no formales, de alta, baja y modificación de
usuarios para acceder a los recursos de la red.
Las comunicaciones entre los propietarios de los datos, Mesa de Ayuda y
Seguridad se realiza mayormente por correo electrónico. Al no disponerse de un
sistema para la administración de los usuarios en línea no se tiene un cuadro
completo de los derechos asignados a cada uno aunque estaba prevista en el
período 2011-2013 vía LDAP2 (protocolo de acceso unificado a un conjunto de
información sobre una red).
Para los cambios (altas, bajas y modificaciones) en los usuarios de las
aplicaciones, aunque no hay un procedimiento explícito, se sigue el mismo
procedimiento para acceder a los recursos de la red. Se relevaron casos de
usuarios que cambiaron de funciones dentro de la compañía que no se han
comunicado formalmente a la Mesa de Ayuda manteniendo los derechos de
acceso a funciones de sistemas con autorizaciones que no se corresponden con
las tareas que desempeñan en la actualidad.
No se encontraron procedimientos para la administración de las cuentas de los
administradores (usuarios privilegiados), usuarios externos y personal sensible.
No se dispone de una administración unificada
No se detectaron procedimientos para revisar y validar periódicamente los
privilegios y derechos de acceso de los usuarios.
No se han realizado evaluaciones de seguridad informática (redes, sistemas operativos y/o
aplicaciones) de ARSA, aunque se tiene previsto la implementación de la ISO 27002/2005
(organización internacional de estandarización sobre la seguridad de la información).
4.3.6 Identificar y Asignar Costos
Este proceso carece de una definición de los servicios de TI así como un modelo de costos
asociados que contemple, entre otros, el análisis por centro de costos.
La carencia de un proceso que relacione costos, beneficios, estrategia, políticas y niveles
de TI no permite asegurar que se pueda mejorar la relación costo-eficiencia.
22
4.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes
El servicio de asistencia al usuario dispone de una Mesa de Ayuda y personal de soporte
técnico para los problemas de microinformática en el área metropolitana, otra mesa de
ayuda es provista por el CIP incluye una atención a primer nivel de resolución de
problemas a varias empresas que proveen servicios para atender las oficinas de ARSA en el
interior y el exterior del país.
Las diferentes Mesas de Ayuda cuentan con infraestructura –sistemas de gestión– y
criterios propios para su funcionamiento. La Mesa de Ayuda del CIP provee servicio las 24
horas y también atiende los reclamos –vía telefónica– generados en las otras Mesas fuera
de sus horarios de atención. No se producía con regularidad, estadísticas de problemas.
La actividad de las mesas no se encontraba vinculada a niveles de servicio preestablecidos
(SLA) y no se medía la satisfacción del usuario final en relación al servicio.
No se tuvo conocimiento de análisis de desempeño del conjunto de las Mesas. La falta de
estándares, sistemas y criterios comunes impedían obtener mejores resultados de gestión al
no utilizar recursos que pueden ser comunes –cada mesa dispone de sistema propio–.
4.3.8 Administrar la configuración
Durante nuestro relevamiento este proceso no disponía de un repositorio central o CMDB
–base de datos para la gestión de la configuración- para registrar los activos de TI y su
configuración no existiendo controles adecuados sobre:
i) la gestión del inventario de los activos de TI y la detección de software no
autorizado
ii) el mantenimiento de los elementos de configuración de cada activo TI
iii) la revisión de la integridad de los datos de configuración y la detección de
activos no autorizados.
iv) la creación de una línea de base con los elementos de la configuración para
todos los sistemas y servicios como punto de comprobación al que volver tras la
realización de un cambio.
23
4.3.9 Administrar los datos
ARSA gestiona en el CIP, el almacenamiento de datos corporativo con un producto que
provee el respaldo y la restauración automática. Se detectó una situación de alto riesgo
pues no disponía de almacenamiento en un sitio externo de una copia de los respaldos.
No existían procedimientos formales para el desecho seguro de datos –radicados en cintas
u otros medios de almacenamiento– y equipos sensibles.
4.3.10 Administrar el ambiente físico
Localización:
El CIP esta contiguo a la cabecera de la pista de maniobras de aviones que deben ser
revisados por la aduana o ingresar al taller de reparaciones. Este riesgo se ve agravado por
la falta de un sitio alternativo.
No se obtuvo evidencia de la existencia de procedimientos formalmente aprobados para la
registración, resolución y reporte de los incidentes de seguridad física.
Para proveer energía eléctrica alternativa en caso de interrupción del suministro de la red,
se dispone de dos generadores en uso. Uno de ellos no disponía de conexión automática y
carecía de un procedimiento formalmente documentado para operarlo en caso de
necesidad.
4.3.11 Administrar las operaciones
Se recepcionaron documentos que describen normas y procedimientos para operaciones de
TI, principalmente de seguridad informática, que no se encontraban vigentes además de no
contar con aprobación formal a la sola excepción de la norma sobre respaldos. Algunas
normas y procedimientos requerían actualización como el caso de los respaldos dado que
ciertas tareas habían sido automatizadas.
Para ciertos procesos no automatizados –información que se recibe en formatos no
estructurados como mails, planillas electrónicas, fax o módem– deben introducirse datos o
ejecutarse procesos manualmente a los diversos sistemas de ARSA que son realizados por
el sector “Procedimientos Informáticos” de la Unidad de Servicios de sistemas. El
conocimiento de estas tareas son conocidas exclusivamente por el personal de este sector, y
24
no se encontraron evidencias de la existencia de un registro formal de control de cada
proceso que realizan.
4.4 DOMINIO MONITOREAR Y EVALUAR
4.4.1 Monitorear y evaluar el desempeño de TI
Este proceso contaba con el empleo de herramientas para el monitoreo de la red y dos
documentos informales y sin vigencia que describen un procedimiento para el monitoreo
de eventos de seguridad y otra norma para el monitoreo de los sistemas.
No se detectó la existencia de un marco de trabajo de monitoreo general para medir
periódicamente la contribución de TI al negocio con definiciones de indicadores de
desempeño, reportes sistemáticos y medidas cuando existan desviaciones que aseguren la
mejora del desempeño.
4.4.2 Monitorear y Evaluar el Control Interno
La Gerencia de Auditoría Interna produjo informes sobre el control de TI desde el año
2009 y hasta el año 2010 y la Gerencia de Sistemas requirió a terceros el informe
“Assessment de Gestión de Servicios de TI” para evaluar en términos del estándar ITIL el
estado de su gestión.
Esos informes inician una actividad de control de la TI que la Sociedad anteriormente no
había desarrollado pero el espectro por auditar es muy importante –proyectos de
envergadura en curso y cerca de 70 aplicaciones en producción–.
El proceso requiere de un marco de trabajo de control sobre la TI para satisfacer los
objetivos de la organización así como la elaboración de reportes sobre la efectividad de los
controles.
25
B) SISTEMAS
4.5 SABRE
Con la revisión de los sistemas administrativos para la auditoría de estados contables de los
año 2008/2009 se evaluó, en particular, la calidad de su integración donde se destaca que:
1) se relacionan entre si por medio de transferencias en lote (“batch”) de archivos en
distintos formatos, texto plano sin encriptar, denominados interfaces habitualmente vía
correo electrónico (e-mail) y exigiendo la intervención manual en cada instancia,
2) los sistemas administrativos ARACS, SUCEX y ARACSWEB deben actualizar las
mismas tablas auxiliares (tasa de cambio entre otros) en cada sucursal donde se encuentren
instalados.
3) los sistemas no toman la información básica de la transacción desde la base del sistema
que lo generó, por ejemplo la versión SABRE que dispone ARSA captura la venta
mientras que SUCEX y ARACS reciben esos datos desde otra aplicación y base de datos
(BPU –Billetes Pendientes de Uso–).
4) Igualmente sucede en el caso de operaciones manuales en la facturación interlineal y en
aerochequeras, por ejemplo, donde los datos son reintroducidos a otros sistemas.
Ahora bien, durante el relevamiento de la presente auditoría se encontraba en proceso de
implementación la incorporación de nuevas (y/o mejoras) aplicaciones SABRE (entre
otros, la versión gráfica de ventas y servicios a clientes, Tarifas e Ingresos –Revenue
Management–, Vuelos y Operaciones) así como la adopción de un ERP (un sistema de
gestión integrado) que deberían solucionar los problemas señalados.
Por este motivo y la envergadura de las aplicaciones SABRE no resultó factible incluir su
análisis en la presente auditoría y sí planificar un proyecto específico para desarrollar con
posterioridad a la finalización de las tareas de implementación.
26
La auditoría mencionada debería desenvolverse en el marco del contrato ARSA y SABRE,
la selección de los módulos a auditar y el análisis de temas como la integración con los
sistemas de ARSA.
4.6 EVALUACIÓN DE LAS APLICACIONES SELECCIONADAS
4.6.1 ARPLUS. Sistema de administración de puntos y premios del programa de pasajeros
frecuentes Aerolíneas Plus y su complemento Club de Secretarias.
ARPLUS:
Interfases no automáticas
Con el sistema de reservas SABRE
Novedades producidas por SABRE se reingresan manualmente a ARPLUS
mediante la opción Autorizaciones –para canje de premios–.
Los datos ingresados automáticamente desde SABRE pueden ser modificados
mediante la opción Rechazos.
Con el sistema BPU (billete pendiente de utilización)
Datos de los tickets emitidos y volados de BPU relacionados con socios de
ARPLUS se reingresan manualmente al sistema.
Con el sistema de Facturación
El detalle de los datos para la facturación de socios del programa se remite mediante un
correo electrónico al sector de Facturación dependiente de la Gerencia de Administración
pero desde la Coordinación del Programa no hay seguimiento el resultado de la
información transmitida.
La falta de integración de ARPLUS con los sistemas mencionados reduce la confiabilidad
e integridad de los datos.
Acceso al sistema
Carencias en la administración de las cuentas para acceder a ARPLUS.
Se detectaron cinco cuentas vigentes con el perfil de Administrador asignados a personal
de la Gerencia de Sistemas. El número es excesivo dado las atribuciones que confiere y
merece su revisión.
La Responsable de la Coordinación del Programa no dispone de la información de todos
27
los usuarios del sistema ya que tiene acceso a la consulta de uno por vez –nombre y
apellido- por lo que no le es posible realizar controles periódicos sobre la tabla de usuarios
para asegurar la correcta vigencia de los usuarios vigentes y los perfiles asignados.
Se detectaron casos de agentes que cambiaron funciones pero no derechos en el sistema
ARPLUS ante la inexistencia de un procedimiento que vincule los cambios de puesto de
los agentes en la compañía con la administración de usuarios en los sistemas.
Funcionamiento del sistema
Durante nuestra revisión se encontraron errores o situaciones no previstas en la
programación que abortan el programa afectando su productividad, calidad e imagen frente
a los usuarios y riesgos en la integridad y certeza de los datos.
Club de Secretarias
Se encontró una cuenta vigente de un ex-agente con los máximos derechos –usuarios
SEA– existentes. Asimismo agentes con el perfil “consulta de todos las opciones del
menú” ajenos a la Gerencia de Ventas.
No se encontró evidencia de un registro digital de ganadores de premios que
trimestralmente produce el programa.
No se almacenan evidencias de los motivos por cambios en la lista de los ganadores
emitidos por el sistema (opción Ranking de ganadores).
Funcionalidades. El usuario no dispone de una herramienta tipo “query” que le permita
extraer datos de la base club de secretarias y realizar el análisis de los inscriptos en el
programa.
4.6.2 SIC-CARGAS
El conocimiento para el desarrollo y mantenimiento se encuentra limitado al Analista del
Proyecto de la Gerencia de Sistemas para el área Logística y Cargas lo que unido a la
ausencia de manuales técnicos y de usuario configura un cuadro de extrema dependencia.
Se detectó inadecuada separación de funciones dado que quien realiza la programación del
sistema también administra los usuarios.
Se ha encontrado ciertas carencias y/o falta de buenas practicas en este sistema para
gestionar los usuarios a saber:
28
1. El sistema no dispone de un menú para administrar los usuarios, un modulo de auditoría
y el control de guías de carga por código de barras.
2. La base de datos no registra internamente la fecha de baja del usuario.
3. Se encontraron dos usuarios de la Gerencia de Administración con derechos para
actualizar la tarifa de cargas, atribución del área comercial de cargas.
4.6.3 INTRANET DE AEROLÍNEAS
El sitio presenta abundante información para el empleado de ARSA y la posibilidad de
realizar sus transacciones vía web desde la reserva de pasajes sublos –sujeto a plaza vacía–
hasta la actualización de su domicilio pasando por una agenda de direcciones completa y
actualizable por el mismo empleado y solicitud de vacaciones.
Dispone de poca información y herramientas dedicadas a la producción de servicios que
brinda ARSA.
La Gerencia de Sistemas no dispone de una intranet que ayude a la administración de sus
proyectos y sistemas así como a la comunicación de sus actividades.
29
4.6.4 SITIO WEB de ARSA
http://www.aerolineas.com.ar/
1) Contenidos Básicos Dispone
Portada Si Autoridades No Organigrama No Marco Normativo No Misiones y Funciones (Objetivos) Si Descripción de Proyectos en curso No Presupuesto Nacional No Compras o Contrataciones Si Novedades Si Publicaciones elaboradas por la compañía
Si
Versiones en otros idiomas Si Llamados a concursos Si Dirección (Postal y Teléfonos) Si (Sucursales) Dirección Electrónica Webmaster No Enlace a Gobierno Electrónico No Enlaces a Redes Sociales Si (Facebook, Twitter, YouTube Google+ y
Sónico) Enlace a Mapa del Estado No
2) Facilidades Básicas Mapa del Sitio Si Buscador No Política de ingreso/vacantes Si Fecha de actualización Si Boletín Informativo Si Consulta para el ciudadano Si Libro de Visitas No Privacidad y Condiciones de Uso Si Estadísticas de Visitas No Descarga de bases y condiciones No 3) Accesibilidad
Contraste entre texto y fondo Si Encabezamientos (filas y columnas) Si Llenado de formularios en línea Si (Reservas e Inscripciones) Marcos con títulos Si Password de usuario Si
30
4) Trámites
Consulta de expedientes Si (Reservas y estados de los vuelos) 5) Confiabilidad (WOT) Si
El cuadro muestra los resultados de la evaluación considerando prácticas para el diseño de
sitios web como los Estándares Tecnológicos (ETAP Verano 2008 versión 14.0 elaborados
por la Oficina Nacional de Tecnologías de Información) y estándares internacionales como
W3C y WOT Reputation Scorecard.
Limitaciones del sitio:
No cuenta con un buscador limitando el uso de los recursos existentes.
No opera con el protocolo de aplicaciones inalámbricas de tipo "WAP"
(Wireless Application Protocol), por intermedio del cual se podría brindar
servicios desde la pantalla de un dispositivo móvil (como por ejemplo la
información referida a los horarios de los vuelos, ya sean salidas y arribos como
así también cancelaciones de los mismos).
No se obtuvo evidencia de análisis de tráfico –mediciones sobre consultas de
destinos, fechas y precios– que permitan determinar preferencias de los clientes
y navegantes del sitio y reorientar su estrategia y diseño.
31
5.- ANÁLISIS DE LA VISTA
Por nota AGN N° 120/12-A02 la AGN remite el proyecto de informe a Aerolíneas
Argentinas S.A. que lo recibe con fecha 30 de mayo de 2012.
Vencido el plazo para el descargo, Aerolíneas Argentinas S.A. a través de la nota Nº
170/12, con fecha 22 de junio de 2012, solicita al Colegio de Auditores una prórroga de
veinticinco (25) días hábiles. El Colegio de Auditores constituido en Comisión de
Supervisión autoriza una prórroga de quince (15) días hábiles. El 10 de julio de 2012
Aerolíneas Argentinas S.A. envía el descargo que AGN recepciona el 11 de julio de 2012.
En el Anexo al presente informe “DESCARGO DE AEROLÍNEAS ARGENTINAS S.A.
(ARSA) Y COMENTARIOS RELATIVOS DE AGN”, se presentan tanto la respuesta del
organismo auditado como los comentarios de la AGN.
Se modifican los puntos 4.6.3 referido a la Intranet de Aerolíneas donde se reemplazó
“reserva de interlineales” por “reserva de pasajes sublos –sujeto a plaza vacía–”; y 4.6.4
correspondiente al análisis del sitio web de ARSA en donde se acepta la inclusión del
Mapa del Sitio y se añaden como Redes sociales Google+ y Sónico a las ya mencionadas.
Como resultado se mantienen todas las observaciones formuladas.
32
6.- RECOMENDACIONES
A continuación se sugieren aquellas acciones que permiten mejorar los controles de TI,
para cada observación realizada.
A) AMBIENTE DE CONTROL
6.1 DOMINIO PLANEAR Y ORGANIZAR
6.1.1 Plan de Sistemas
Elaborar un proceso de planificación de la TI comenzando con el Plan Estratégico de
Sistemas vinculado con el plan estratégico de la organización que permita de manera
sistemática su seguimiento y actualización dentro de un marco que optimice la selección de
proyectos y/o acciones al mediano y largo plazo y ensamblado con los planes de
infraestructura de TI, presupuesto e inversiones, capacitación y compras, entre otros.
Es necesario disponer de métricas para medir el logro en los objetivos del negocio.
Considerar el empleo de tableros de control.
6.1.2 Modelo de la Arquitectura de la Información
Elaborar un marco (políticas, procedimientos y organización) para la creación y
mantenimiento de un modelo de datos empresarial que incluya el desarrollo de un
diccionario corporativo de datos, un esquema de clasificación, los niveles de seguridad y
propiedad según la función que el agente desempeñe.
6.1.3. Dirección Tecnológica
Elaborar un marco (políticas, procedimientos y organización) que permita:
a) establecer un plan de infraestructura técnica equilibrado con los costos, riesgos y
requerimientos,
b) definir los estándares tecnológicos y de arquitectura de la infraestructura de la TI,
c) crear un esquema informativo y organizativo que permita orientar la arquitectura
(como un comité de arquitectura).
33
6.1.4. Definir los procesos, organización y relaciones de TI
Mejorar la estructura organizacional de TI (organigrama y manual de puestos y perfiles).
Definir el marco de trabajo para el proceso de TI.
Identificar dueños de sistemas y dueños de datos.
Definir procedimientos que permitan segregar funciones en particular definir e identificar
al personal clave de TI y minimizar la dependencia excesiva en ellos.
6.1.5 Administración de la Inversión de TI
Definir e implementar procesos para mejorar tanto la rentabilidad de TI y su contribución a
las utilidades de la empresa como la administración de los conjuntos seleccionados, de
proyectos, servicios y programas de inversión.
6.1.6 Administrar los Recursos Humanos de TI
Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y
compensación del personal de TI, incluyendo el requerimiento de adherirse a las políticas
de la compañía y en particular de seguridad.
Establecer un plan anual de capacitación de TI conectado con las metas organizacionales y
con la estrategia de desarrollo.
Mejorar la integración de la información sobre cambios en la situación de revista del
personal que permita asegurar el control de la revocación de privilegios y asignación de los
perfiles adecuados al rol asignado en los sistemas de la compañía.
6.1.7 Administrar la Calidad
Definir la política y un plan de calidad para la TI con un cronograma específico para la
adopción de un QMS que incluya tanto la infraestructura de TI como el ciclo de vida de los
sistemas.
6.1.8 Evaluación y administración de los riesgos de TI
Establecer un marco de trabajo para la administración de riesgos de TI integrado con el
marco respectivo de la compañía que establezca el contexto, la identificación, la
34
aceptación, el análisis, la evaluación y el tratamiento (respuesta y monitoreo) de los riesgos
tanto de la infraestructura de TI como en el ciclo de vida de los sistemas.
Se sugiere tomar como referencia la norma IRAM 17550 “Sistema de Gestión de Riesgos”.
6.1.9 Administrar Proyectos
Para el desarrollo del marco de trabajo se sugiere elaborar controles para asegurar:
a) su relación con el programa de inversión de la compañía
b) un enfoque para la administración de los proyectos con la asignación de roles,
responsabilidades y rendición de cuentas de todos involucrados.
c) el compromiso formal y la participación de los interesados
d) la aprobación formal del alcance del proyecto,
e) la aprobación formal de la fase inicial,
f) el plan integrado y sus modificaciones,
g) la administración de los riesgos
h) un plan de calidad
i) un sistema de control de cambios
j) la acreditación de los sistemas
k) la medición del desempeño y monitoreo del proyecto
l) un cierre del proyecto con los resultados esperados.
6.2 DOMINIO ADQUIRIR E IMPLEMENTAR
6.2.1 Estudio de Factibilidad
Elaborar e implementar el proceso estudio de factibilidad técnico-económico previa a toda
incorporación funcional o sistémica que cubra los siguientes aspectos: a) la definición de
las necesidades, b) generación de alternativas, c) revisión de la factibilidad tecnológica y
económica, d) el análisis de riesgos y de costo-beneficio e) la decisión final de
“desarrollar” o “comprar”.
6.2.2 Desarrollo de Sistemas
Elaborar e implementar formalmente una metodología del ciclo de vida para el desarrollo
35
de los sistemas tanto propios como adquiridos que establezca los estándares de desarrollo
para todas las modificaciones y que deberá, además,
1) Facilitar la operación y uso de las aplicaciones asegurando la transferencia del
conocimiento a la gerencia usuaria, los usuarios finales y al personal de soporte
técnico y de operaciones con el entrenamiento inicial y continuo, el desarrollo de
las habilidades, los materiales de entrenamiento, los manuales de operación, los
manuales de procedimientos y escenarios de atención al usuario.
2) Establecer procedimientos formales de administración de los cambios –incluidos
los de emergencia– a aplicaciones, procesos, parámetros de sistema y servicio. La
administración debe contemplar el seguimiento y reporte así como el cierre del
cambio.
3) Desarrollar e implementar una metodología para realización de pruebas con datos
que contemple la creación de un ambiente de prueba, el entrenamiento, plan de
pruebas, pruebas de los cambios, plan de implementación y prueba de aceptación
final por la gerencia usuaria.
6.2.3 Desarrollo de la Infraestructura Tecnológica
Desarrollar la estrategia para infraestructura de hardware y software de base.
Configurar un ambiente de pruebas para la incorporación de componentes de
infraestructura o aplicaciones.
Implementar medidas de control interno, seguridad y auditoría para proteger los recursos y
garantizar su disponibilidad e integridad.
6.3 DOMINIO ENTREGAR Y DAR SOPORTE
6.3.1 Definir y administrar los niveles de servicio
Elaborar e implementar un marco de trabajo para la administración de niveles de servicio
entre la Gerencia Usuarias y aquellos que lo proveen –Gerencia de TI y proveedores– que
contemple procesos para:
la creación de requerimientos de servicios,
36
la definición de los servicios,
los acuerdos de niveles de servicio y acuerdos de niveles de operación y las fuentes
de financiamiento,
el monitoreo y reporte del cumplimiento de los SLA (acuerdos de nivel de
servicios) y
la revisión de los SLA y los contratos de apoyo con los proveedores internos y
externos.
6.3.2 Administrar los Servicios de Terceros
En relación a los proveedores de TI se considera necesario elaborar e implementar
procesos que permitan:
la catalogación de los servicios por proveedor
la identificación y mitigación de riesgos asociados a incumplimientos
el monitoreo y evaluación del desempeño en cada caso
Ello con el fin de asegurar la satisfacción de los usuarios finales de los servicios en cuanto
a su oferta y nivel entregado.
6.3.3 Administrar el desempeño y la capacidad
Elaborar e implementar un proceso de planeación para la administración de la capacidad y
desempeño de los recursos de TI que regularmente:
revise la situación actual
elabore pronósticos y análisis de brechas
elabore estrategias de contingencia ante problemas de disponibilidad
realice el monitoreo del desempeño y la disponibilidad y la reporte.
6.3.4 Garantizar la continuidad del servicio
Elaborar e implementar:
Un marco de trabajo de continuidad de TI
Procedimientos para el análisis de impacto y valoración del riesgo
Desarrollar y mantener planes de continuidad de TI
37
Procedimientos para identificar y categorizar los recursos de TI con base en los
objetivos de recuperación
Procedimientos de control de cambios que aseguren la vigencia del plan de
continuidad
Procedimientos para probar regularmente el plan
Plan de capacitación sobre el plan de continuidad
Plan de recuperación y reanudación de los servicios de TI
Plan para el almacenamiento de los respaldos y su protección
Procedimientos para realizar las revisiones después de la reanudación del servicio.
Realizar las inversiones necesarias para llevar adelante el Plan dentro de la razonabilidad
riesgo-beneficio/costo.
6.3.5 Garantizar la seguridad de los sistemas
El Plan de Seguridad existente debe ser complementado con inversiones, personal y
servicios que mejoren la infraestructura –incorporando controles automáticos–, la cultura
de seguridad y la comunicación a los interesados y usuarios.
Implementar un sistema de administración de usuarios unificado y que los usuarios sean
identificables de manera única.
Desarrollar e implementar procedimientos para realizar regularmente el monitoreo y
reporte de los incidentes y vulnerabilidades.
Incorporar claves criptográficas para proveer mayor seguridad en las contraseñas.
6.3.6 Identificar y Asignar Costos
El proceso requiere:
Desarrollar una definición de los costos y servicios de TI
Registrar los costos de los servicios de TI.
Asignar los costos de TI a los consumidores de servicios de TI.
6.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes
Mejorar el proceso de administración de incidentes:
38
a) Con una gestión centralizada de las mesas
b) Estandarizando e implementando en todas las mesas procedimientos para registrar,
comunicar, atender y analizar las llamadas, los incidentes reportados, los
requerimientos de servicio y las solicitudes de información.
c) Definiendo y acordando niveles de servicio –SLA–.
d) Definiendo y aprobando los procedimientos de monitoreo –con análisis de
tendencias y resolución– y escalamiento basados en el SLA.
6.3.8 Administrar la configuración
Establecer procedimientos de configuración –integrados con la gestión de cambios y de los
incidentes– para soportar la gestión y seguimiento de todos los cambios al repositorio de
configuración.
Revisar periódicamente los datos de configuración para verificar y confirmar la integridad
de la configuración actual e histórica.
6.3.9 Administrar los datos
Completar este proceso definiendo procedimientos para mejorar el control de:
los datos que se reciben y procesan para preservar su completitud, precisión y
oportunidad
el archivo, almacenamiento y retención de datos
el inventario de medios almacenados y archivados
respaldo y restauración de los sistemas, aplicaciones, datos y documentación
la seguridad en el desecho de medios
6.3.10 Administrar el ambiente físico
Definir, aprobar e implementar políticas y procedimientos que garanticen que:
Los servicios y la infraestructura de TI pueda resistir y recuperarse de forma
apropiada de fallas ocasionadas por un error, ataque deliberado o desastre.
La información crítica y confidencial esté resguardada de quienes no deben tener
acceso a ella.
39
El mínimo impacto al negocio en caso de un cambio o interrupción de un servicio
de TI.
Todos los activos de TI estén protegidos y registrados.
Reducir los riesgos señalados en el marco de las políticas y procedimientos desarrollados.
6.3.11 Administrar las operaciones
Mejorar este proceso definiendo políticas y procedimientos que permitan:
Alinear los procedimientos de operación con niveles de servicio acordados.
Realizar el procesamiento de solicitudes especiales de acuerdo al nivel de servicio
acordado.
Brindar resguardos físicos para la información sensible.
6.4 DOMINIO MONITOREAR Y EVALUAR
6.4.1 Monitorear y evaluar el desempeño de TI
Elaborar e implementar un enfoque de trabajo para el monitoreo del desempeño de la TI
que prevea:
Definir y aprobar formalmente un conjunto de objetivos de desempeño,
indicadores claves de desempeño y de performance y establecer los procesos
para recolectar información para medir los objetivos y para reportar el avance
contra las metas.
Un método de monitoreo que brinde una visión compacta y completa del
desempeño de TI.
La evaluación del desempeño contra las metas mediante el análisis de las causas
y acciones correctivas.
Producir reportes de avance para la alta dirección en términos del desempeño
del portafolio de programas de inversión en TI, niveles de servicio y la
contribución de TI.
40
6.4.2 Monitorear y Evaluar el Control Interno
Elaborar, aprobar e implementar un marco de control de TI para las siguientes actividades:
1) la definición de un sistema de controles internos integrado al marco de trabajo procesos
de TI
2) el monitoreo y el reporte sobre la efectividad de los controles TI
3) el reporte de las excepciones de control a la gerencia.
41
B) SISTEMAS
6.5 EVALUACIÓN DE APLICACIONES SELECCIONADAS
6.5.1 ARPLUS. Sistema de administración de puntos y premios del programa de pasajeros
frecuentes Aerolíneas Plus.
Automatizar las interfases incorporando los controles en ellos.
Revisar los perfiles por usuario y controlar periódicamente las actividades.
Mejorar el sistema de administración de usuarios de manera que el control recaiga en el
propietario de los datos.
En todos los casos dejar registros de las actividades.
Club de Secretarias
Revisar los perfiles de usuarios existentes periódicamente
Mejorar el sistema otorgando facilidades de consulta de los datos de la base a los usuarios
así como el control a quien se designe propietario de los datos sobre todos los usuarios del
sistema.
En todos los casos dejar registros de las actividades.
6.5.2 SIC-CARGAS
Evaluar la reingeniería funcional y tecnológica hacia un entorno Web que posibilite nuevos
y mejores controles como ser: la administración y perfiles de usuarios, estadísticas, logs
internos de transacciones para uso de auditoría, uso de metodologías y documentación del
mismo.
6.5.3 INTRANET EN AEROLÍNEAS
Se sugiere evaluar la incorporación de una Intranet que facilite el trabajo integrado de las
principales actividades de la Gerencia de Sistemas.
6.5.4 SITIO WEB de ARSA
Reevaluar los sistemas en cuanto a su integración con otras aplicaciones de la compañía, la
42
administración de usuarios y la incorporación de mejoras.
Potenciar la intranet de ARSA y desarrollar una intranet de sistemas con la documentación
completa de los sistemas, la marcha de los proyectos y todos los datos para compartir
internamente.
43
7.- CONCLUSIONES
Esta auditoría permitió conocer la situación de TI de ARSA, sus planes, sus inversiones,
sus riesgos, los diversos problemas de TI que la compañía tiene que resolver para tener un
mejor funcionamiento global de la misma.
Los hallazgos presentados en el informe señalan la necesidad de mejorar o crear procesos
TI que permitan, entre otros:
Estandarizar e integrar la infraestructura reduciendo los riesgos derivados de la
gran diversidad de sistemas, plataformas e interfases manuales.
Mejorar la estrategia de TI consolidando los procesos de Planificación y
Dirección Tecnológica.
El modo de trabajar de la Gerencia durante el desarrollo e inserción de los
sistemas incorporando una metodología de ciclo de vida y un modelo de
Arquitectura de la Información.
Mejorar el control del desempeño de los servicios TI –usuarios y proveedores–
brindados con acuerdos de nivel de servicio
Alinear mejor los objetivos de TI a los objetivos del negocio con la creación de
un Comité de dirección así como la implementación de normas y
procedimientos que definan roles, controles y responsabilidades.
Asegurar la continuidad de las operaciones en casos extremos con la
implementación de un sitio alternativo
Medir la eficacia, eficiencia y desempeño de los servicios brindados así como la
contribución de la TI.
También se estima conveniente revisar la eficacia y eficiencia de la política para el
desarrollo de sistemas.
Finalmente, cabe destacar la situación encontrada en la aplicación SABRE, dado que la
empresa contrató con el proveedor una serie de módulos nuevos, así como la actualización
a la versión grafica.
Al momento del desarrollo de los trabajos de campo, se estaba en la etapa de plena
44
implementación, no resultando oportuno por lo tanto el análisis de la misma y su
vinculación con el resto de las aplicaciones.
Por lo que, y a los efectos de mejorar el conocimiento del uso de la TI en Aerolíneas
Argentina, debería planificarse un proyecto que la analice exclusivamente una vez
terminadas las tareas actualmente en ejecución.
8. LUGAR Y FECHA
BUENOS AIRES, SETIEMBRE DE 2012.
9. FIRMA
45
ANEXO
DESCARGO DE AEROLÍNEAS ARGENTINAS S.A. (ARSA) Y COMENTARIOS
RELATIVOS DE AGN
Descargo de ARSA:
I. Comentarios y consideraciones generales.
A efectos de detallar el contexto inicial de la presente auditoría, resultará conveniente considerar el “Informe sobre la Auditoría de Gestión” por el período 17/08/2008 a 30/06/2009 que fuera aprobado por Resolución 055/AGN/2011 de la Auditoría General de la Nación,
En el “Anexo X – Descargo de ARSA” de dicho informe, se describe detalladamente la situación del Grupo ARSA al 17/08/08. A efectos de no ser reiterativos mediante la inclusión de las “Etapas 1, 2 y 3 del Capítulo I” del mismo, solicitamos que sean tenidas en consideración en lo referente a la situación general descripta, que incluye parcialmente los períodos bajo análisis. Con similar objetivo, resultará de utilidad considerar el “Informe de Avance al 10 de noviembre de 2008 de las tareas de auditoría en Aerolíneas Argentina S.A. y Austral Líneas Aéreas – Cielos del Sur S.A.” que fuera aprobado por Resolución 181/AGN /2008 de la Auditoría General de la Nación. En el apartado “2. Sistemas informáticos” de dicho informe, se describe en detalle la situación del Grupo ARSA vinculado al objeto del presente informe. Deseamos destacar algunos aspectos particulares que han impactado en el Ambiente de Control TI y de aplicaciones TI y que se vinculan con los graves problemas que atravesó el Grupo ARSA, en el marco de lo señalado en párrafos anteriores. Asimismo, deseamos exponer las principales acciones encaradas desde el momento en que el Estado nacional se hiciera cargo de la gestión del Grupo ARSA, y que tuvieron como objetivo la mejora o regularización de situaciones que se alejaban de los objetivos y necesidades empresarias. Se describen a continuación:
Estado de situación general al 17/08/2008 de los sistemas informáticos y los recursos disponibles.
Descripción de las principales acciones y medidas adoptadas.
46
El período de transición considerado desde la debacle del grupo ARSA hasta su normalización, abarcará un espacio de tiempo superior al lapso temporal considerado en el presente informe (2009 y 2010). Por tal motivo, se deberá contemplar que han existido decisiones con un orden de prioridades, que en atención a las necesidades, urgencias y recursos disponibles han permitido la ejecución de acciones coordinadas tendientes a regularizar situaciones no deseadas. Por ese motivo, no se han podido atacar todas las causas a la vez, sino que se ha tenido que buscar un razonable equilibrio entre destinar recursos a las aplicaciones congeladas u obsoletas por un lado; y por el otro poner el foco en lo nuevo o sea los nuevos objetivos estratégicos. A modo de ejemplo se cita la gran cantidad de plataformas, tecnologías y dispersión de aplicaciones que obligan la existencia de numerosos usuarios para muchos sistemas –que no hablan entre sí-, y a la administración de recursos propios y de terceros.
a. Estado de situación general al 17/08/2008 de los sistemas informáticos y los recursos afectados.
El grupo ARSA que estuvo sujeto a un prolongado proceso de desinversión durante su gestión privada -convocatoria de acreedores mediante- sufrió el efecto de la desactualización de equipos centrales, electrónica de red, software de base, infraestructura de servicios, sistemas de administración y especialmente recursos humanos. A partir de 2009 existieron proyectos que actualizaron la infraestructura necesaria para sostener la operación de los sistemas con el marco de calidad, disponibilidad y seguridad exigido por la actividad aerocomercial. La actualización de sistemas adquiriendo soluciones de terceros acordes con la industria, implica necesariamente la existencia de diferentes plataformas y focaliza el trabajo del área de tecnología de la información (TI) en integración, gobernabilidad y gestión de servicios provistos.
La situación de obsolescencia de la infraestructura informática en la que se encontraba ARSA, atentaba contra la posibilidad de soportar el crecimiento vegetativo de la actividad, garantizar la continuidad de los servicios y permitir el desarrollo e implantación de nuevos proyectos para la puesta al día y la aplicación de nuevas tecnologías. El capital humano disponible entonces presentaba una antigüedad promedio de 20 a 25 años, los que si bien contaban con amplia experiencia y conocimiento de la organización, en algunos casos se encontraban alejados de las nuevas tecnologías. Adicionalmente muchos de ellos estaban próximos a su jubilación, con poca predisposición al cambio. Asimismo, se incrementó la plantilla de personal (en cantidad y con mejoras en la capacitación) y actualmente este proceso continúa.
47
Por ello se consolidaron alianzas estratégicas con proveedores para delegar en ellos la implementación de soluciones estándares en la industria (Por ejemplo: sistema de reservas y sistema de operaciones).
La grave situación económico-financiera tampoco permitía adoptar soluciones ideales, sino que solamente se podía pensar en acciones progresivas o paulatinas.
Se detalla a continuación en grado de detalle, el estado de situación imperante de los principales aspectos informáticos:
Actualización y extensión plataforma de Backup/Storage (Realizado) La plataforma de Backup se encontraba totalmente saturada. El robot DLT no permite absorber la carga de nuevas aplicaciones. Los drives de backup no tienen la velocidad ni capacidad necesaria para la
ventana de backup. Las versiones instaladas no tienen contrato de mantenimiento y no soportan
las nuevas versiones de sistemas operativos ni aplicaciones. No se dispone de información backup offsite. No se puede cumplir con los períodos de retención de la información en
forma automática. Almacenamiento de Notes obsoleto y sin capacidad de crecimiento. Subsistemas de discos SUN T3 obsoletos penalizan la SAN - capacidad de
almacenamiento baja (comparado actual). Limitaciones de funcionalidad en el Storage. Problemas de performance del storage con Notes.
Reemplazo plataforma SUN E3500 / 4800/ AIX (Realizado)
Servidores Lotus Notes totalmente saturado en CPU. Servidor de Backup no acorde a nueva plataforma a implementar. Servidores obsoletos y caros de mantener. Penalización de la SAN ( subutiliza los switches a 1GB) Servidor fuera de garantía. Servidores AIX obsoletos y con SW fuera de mantenimiento. Necesidades de upgrade de SW de base. Equipos no preparados para este servicio utilizados como servidores.
Migración esquema Active Directory / Master Domain Windows (En curso)
Plataforma windows server totalmente Back Level. Problemas de seguridad por multiplicidad de Dominios. Servidores de Dominio al fin de su vida útil. Servidores implementados con hardware no apropiado para la función. Versiones de Sistema Operativo y SQL Server sin soporte obsoletas.
48
Problemas de gestión de la plataforma por inconsistencias de versiones, dominios y grupos de trabajo.
Problemas de mantenimiento y actualizaciones del parque de PC (Updates) Problemas de estabilidad de servicios críticos (WINS / DHCP) por
falencias del equipamiento actual. Actualización Plataforma AS400 (Realizado)
Totalmente back level tanto en HW como en SW. La situación del SW impide lograr mejoras de productividad. Cualquier migración a otro tipo de plataforma implica un proyecto a no
menos de 2 años vista con lo que el reemplazo de los equipos se amortizará.
Restauración del Sistema HF (Realizado) Equipo principal instalado en el sótano del SOC con antenas provisorias.
Reemplazo Sistema CML del SOC (Realizado)
El sistema (instalado en 1999) se encuentra obsoleto, en funcionamiento parcial y con serias dificultades para su manutención.
Es necesario reemplazarlo o cambiar los procedimientos operativos para aprobar la auditoría IOSA.
En caso de cambiar los procedimientos operativos, aún es necesario instrumentar la operación remota de los equipos principales (HF/VHF) desde las consolas de Radio, Meteo, Jefe de Turno y Soporte Técnico.
Red VHF centralizada en el SOC (En curso)
No existe esa facilidad Plataforma antivirus desactualizada (Realizado)
Upgrade de la Plataforma Antivirus
b. Descripción de las principales acciones y medidas adoptadas.
Uno de los principales logros consistió en la recuperación del criterio de
empresa en marcha a partir de la intervención del Estado nacional en la gestión
de la misma, instalando un nuevo vínculo con los diferentes actores del ámbito
informático, sean estos “propios o tercerizados”.
Una vez recompuesta la cadena de pagos y regularizados los vínculos jurídicos
con los prestadores de servicios, la tarea consistió en regularizar la forma y
modo equitativa y eficiente de administrar la relación. La recuperación de
confianza con proveedores abrió la posibilidad de renegociación de contratos y
49
obtención de ventajas como por ejemplo con Telefónica, SITA y Telecom.
Cabe recordar que gran cantidad de servicios se encontraban con dificultades,
sin ordenes de compra o contratos vigentes o caídos, precios desactualizados;
todo ello atentó contra el justo equilibrio en la prestación.
Las mejoras producidas por la compra de servidores, ampliación de ancho de banda de internet favoreció la conectividad empresaria, el procesamiento a distancia y conexión vía internet de toda la red llevándola a estándares mas aceptables frente a las necesidades de la industria. Otro desafío representó la vuelta de ARSA al clearing IATA (International Air Transport Association) y su reciente incorporación a la alianza SkyTeam, lo que implica la necesidad de cumplir requisitos de diversa índole, en este caso lo vinculados con la informática. Se han restablecido vínculos con los organismos estatales, gubernamentales y privados, logrando el cobro de servicios prestados. Se ha logrado la creación del Comité de Crisis que involucra a todos los actores para asegurar la operación. (ANAC, Servicio Nacional de Meteorología, PSA, AA2000, compañías aéreas que operan en nuestro país, autoridades nacionales de transporte, etc) Se detallan las principales acciones desarrolladas: Actualización y extensión plataforma de Backup/Storage (Realizado)
o Se unificó la plataforma de backup para Windows y UNIX. o Se instaló un Robot de hasta 500 slots y con 4 drives. o Se instaló una tecnología de Cinta LTO3 Fiber Channel. o Se actualizó / reemplazo el Software de backup y agentes. o Se incorporaron todos los servidores y RDBMS a la plataforma. o Se utilizó un LAN Free Backup para backups críticos o voluminosos. o Se aseguró la capacidad de replicación de cintas offsite nativa. o Se mejoró la calidad y velocidad de los backup. o Se aseguró la simplicidad y el mejoramiento de la operación del backup. o Se implementaron Librerías de tape de capacidad acorde o Se implementaron procedimientos de backup para todos los servidores
Windows, Linux y UNIX. o Se implementaron procedimientos de Backup Informix, Lotus Notes, MS
SQL y Oracle modalidad Hot. o Se implementaron funciones de ciclo de vida de información (migración). o Se realizó la migración y unificación de toda la plataforma de Backup o Se generalizó el uso de cartridges tecnología LTO3 con FC o Se reemplazó del Storage T3 por subsistemas de Storage más funcionales.
50
Reemplazo plataforma SUN E3500 / 4800/ AIX (realizado)
o Se reemplazaron los servidores en forma acorde a las aplicaciones con un plan de proyecto acordado con los proveedores de las principales aplicaciones (Sistemas Core).
o Se aplicaron soluciones de virtualización y blade según la ingeniería que propusieron los oferentes y que AR consideró más adecuada a sus planes de expansión.
o Se redujo la cantidad de servidores. o Se previeron “particiones” para desarrollo y prueba.
Migración esquema Active Directory / Master Domain Windows (En curso)
o Se están realizando tareas para: Unificar Dominios implementando Active Directory. Reemplazo de los servidores obsoletos en cada site. Actualización de versión Windows 2003 Server. Implementación de Servicios de actualización de clientes. Consolidación de servicios y funcionalidades. Mejora de la estabilidad del servicio. Mejora en la escalabilidad del servicio. Implementación de políticas de seguridad. Control básico de inventario de HW y SW. Mejora sustancial de la seguridad de la redes Windows. Disponibilidad de mantenimiento de los productos. Versiones más estables de los productos. Mejora de performance en servidores de Archivos, SQL y printing. Mejora de la plataformas web Intranet.
Actualización Plataforma AS400 (Realizado)
o Se reemplazó y consolidó la plataforma de HW. o Se realizó el Upgrade del SW al release actualmente vigente. o Se inició el estudio y planificación del cambio de plataforma a una no
propietaria integrable con la estrategia de tecnología de AR.
Restauración del sistema HF (Realizado) o Se restableció el enlace SOC – GP, reacondicionaron las antenas y
reubicaron los equipos en la caseta del GP. Reemplazo del sistema CML del SOC (Realizado)
o Se establecieron los nuevos procedimientos. o Se elaboró un proyecto acorde a los mismos.
Red VHF Centralizada en el SOC (En curso)
o Se están realizando tareas para :
51
Mejorar las comunicaciones del avión con el SOC mientras se opera en territorio nacional, eliminando los problemas propios de las comunicaciones en HF.
Utilizar la infraestructura VHF existente, centralizando su comunicación con el SOC.
Plataforma Antivirus Desactualizada (Realizado)
Se actualizó. Finalmente, deseamos destacar la necesidad de analizar la evolución de los gastos e inversiones, en un horizonte temporal mayor a los años citados en el informe en 3.3.2. Esto permitirá evaluar la gestión de mejora, con una mejor perspectiva.
Expresado en dólares estadounidenses
Concepto Inversiones 2007 2008 Dif. sobre año 2007
2009 Dif.sobre año 2007
2010 Dif. sobre año 2007
Obras y Remodelaciones 128.570 4.550 Material no Aeronáutico 40 Equipos de Taller 269 5.597 4.341 Equipos de Informática 60.194 213.200 34.020 1.134.260 Equipos Radio y comunicaciones
2.359 72.162 20.002 125.466
Maq. y Muebles oficina 1.240 106 1.188 Total Inversiones en USD 64.062 285.467 345% 188.189 193% 1.269.845 1982,21%
Expresado en dólares estadounidenses
II. Descargo u opinión del auditado. Punto 4.1.1 - Plan de Sistemas Respuesta de ARSA: En referencia al proceso de planeamiento, se expresa que el Plan de Sistemas se encuentra en la actualidad aprobado formalmente por el Gerente de Área Económico Financiera. Se destaca que ARSA actualmente utiliza diversas herramientas para las etapas del planeamiento, evaluación, organización, ejecución y controles asociados. En este sentido,
Concepto Gastos
2007 Inci-dencia %
2007
2008 Inci-dencia %
2008
2009 Inci-dencia % 2009
2010 Inci-dencia %
2010 Sistema Reserva 24.270.229 70 21.693.089 67 20.434.781 61 23.498.336 60 Contratos, desarrollos y otros
6.821.376 19 7.198.822 22 10.121.883 30 11.960.880 31
Comunicaciones 3.334.832 10 3.162.271 10 2.965.899 9 3.221.229 8 Otros Gastos 223.177 1 111.527 1 91.144 0 258.337 1 Total 34.649.614 100 32.165.709 100 33.613.707 100 38.938.782 100
52
se intenta disponer de información para la toma de decisiones que permita evaluar los beneficios, alcances, enfoque del proyecto, propuesta de solución, costos-beneficios esperados, y planes de trabajo. Se adjuntan copias como Anexo 1, de los siguientes elementos:
Catálogo de proyectos. Template para la creación de nuevos proyectos, que presenta en otros, datos de
factibilidad, costo, riesgos, responsable, requisitos. Ejemplo del template correspondiente al proyecto Interact, el “Project” y el
análisis del plan que incluye el estudio de factibilidad, entre otros aspectos. A partir del reciente lanzamiento del proyecto SABRE, se ha creado un repositorio para el seguimiento y documentación de los proyectos cuya copia de pantalla resumen se adjunta como Anexo 2. Esto implica un seguimiento general por la PMO (Project Management Officer) y se encuentra detallado por programa de documentos de cierre por etapa, cambios, planes, etc., focalizado en controles de avance periódicos a nivel Directorio de Empresa (Steering Commitee) y control semanal con los distintos Project Managers (Informe semanal entregado a AGN en su oportunidad)
En referencia a la creación y utilización de tableros de control, deseamos mencionar que se encuentra en gestión la renovación del contrato con el proveedor de soluciones de Inteligencia de Negocios “Microstrategy”, vinculados al plan de actualización del DW (Data warehouse) durante 2012, que incluye dos nuevas fuentes de datos y la creación de un área de Inteligencia de Negocio, con el objeto de incluir tableros de control. Comentario AGN: Se mantiene la observación. Los cambios señalados han sido realizados con posterioridad a esta auditoría y podrán ser motivo de una futura evaluación.
Punto 4.1.2 - Modelo de la arquitectura de la Información Respuesta de ARSA: En referencia a los sistemas con desarrollo y mantenimiento en propio, se destaca que la gerencia utiliza un mapa de sistemas donde se describen todos los sistemas mantenidos y evolucionados desde este sector, y la relación entre los mismos y los de terceros.
En referencia a los sistemas de ARSA con desarrollo y mantenimiento en propio, la información necesaria para su puesta en producción, se encuentra incluida en la Carpeta Operativa que consta de Descripción del Sistema, Diagrama de Entidad Relación, Diseño detallado de Tablas, Inventario de Programas, Breve descripción de Programas, Flujo de Proceso, Instrucciones de reenganche de procesos, Periodicidad de ejecución, Equipamiento donde se instala el Sistema, Espacio en disco previsto, sectores usuarios, cantidad de usuarios por sector, lista de nombre y apellidos y teléfonos, Periodicidad de Backup, Acciones a tomar en caso de incidencias de primer nivel, Lista de Responsables y
53
teléfonos ante incidencias de segundo nivel, Lista de Productos resultantes, procedimientos de control, usuarios destinatarios de los productos.
A modo de ejemplo se acompaña como Anexo 3 el perteneciente a “POSTAS - Documentación Operativa Del Sistema” del área Gerencia de Sistemas para Aplicaciones para Recursos Humanos, versión 1.
Comentario AGN:
Se mantiene la observación. La información descripta no resulta suficiente para configurar el modelo de arquitectura de la compañía. Por otra parte la mencionada carpeta operativa no fue consignada durante el desarrollo de la auditoría para los sistemas con mantenimiento propio como Sic-Cargas, ARPLUS y Club de Secretarias.
Punto 4.1.3 - Dirección Tecnológica Respuesta de ARSA: De acuerdo a lo mencionado en 4.1.1 y en referencia al proceso de planeamiento, se expresa que el Plan de Sistemas se encuentra aprobado por el Gerente de Área Económico Financiera. En referencia a los estudios económico-financieros y de factibilidad nos referimos a lo mencionado en 4.1.1. Adicionalmente y frente a la variedad de tecnologías y plataformas existentes; y en referencia a la administración de usuarios unificado e identificación única, deseamos mencionar que se encuentra contemplada y presupuestada la ejecución del proyecto “single sign on” (ITPSCS 10011). En este aspecto deberá considerarse la limitación que representa el ejercicio de tercerizaciones frente a la unificación de sign-on, en las circunstancias al momento de análisis y en las actuales vigentes. Comentario AGN: Se mantiene la observación. Punto 4.1.4 - Definir los procesos, organización y relaciones de TI Respuesta de ARSA: En referencia a la carencia de marco de trabajo, deseamos destacar que a partir de la creación de la PMO se está aplicando un modelo de trabajo que está basado en los estándares definidos por el PMI (Project Management Institute). Los proyectos se gestionan especificando planificación, esfuerzo, beneficio, seguimiento, riesgos, etc., de acuerdo a lo manifestado en 4.1.1. En referencia a la carencia de Comité de Dirección de TI, deseamos destacar que semanalmente la dirección de TI hace seguimiento de los principales proyectos del área, de los proyectos que terminaron y de los proyectos en curso. La evidencia primaria de tal actividad es la minuta de la reunión del comité, que se adjunta como Anexo 4. De ella se
54
desprende la descripción del proyecto, las acciones, responsable, fecha de asignación y de cumplimiento; y las observaciones que correspondan para futuras acciones. En referencia al manual de puestos y perfiles, deseamos destacar que se encuentra en revisión por parte de la Gerencia de Organización y Recursos Humanos. Con igual sentido, se prevé regularizar lo referente al solapamiento entre Soft de Base y Tecnología. En referencia a la dependencia de Seguridad Informática dentro de la Gerencia de Sistemas, nos permitimos tener otra perspectiva sobre la observación acerca de la concentración de tareas críticas y lo que las buenas prácticas desaconsejan. Entendemos que mantener a un actor dentro de un proyecto, con el que colabora para resolver las necesidades del negocio, permite lograr mejores performances y compromisos. En referencia a los ambientes de desarrollo y de producción, deseamos destacar que en virtud de las posibilidades y aspectos detallados en los “comentarios y consideraciones generales”, ARSA ha adoptado la decisión de mantener como requisito que se encuentren separados en toda aquella tercerización que se otorgue. Esta decisión ayudará a mejorar la observación señalada para las contrataciones vigentes y las futuras. Comentario AGN: Se mantiene la observación. Es necesario aclarar que la característica principal del Comité de Dirección de TI es que debe estar integrado por los Directores de las áreas sustantivas de la compañía, el responsable de de Sistemas y presidida por el Gerente General para establecer prioridades en la cartera de proyectos de TI en función del negocio. La objetividad en la evaluación de la seguridad de la TI de la compañía se verá reforzada si el área de seguridad no se encuentra bajo dependencia de la Gerencia de Sistemas. Punto 4.1.5 - Administración de la Inversión TI Respuesta de ARSA: En referencia a la administración de recursos y a las prioridades que se les pudieran adjudicar, deseamos destacar que la reciente creación de la Gerencia de Transformación –en el ámbito de la Gerencia General- y de la Gerencia de Innovación de Tecnología en el Negocio –en el ámbito de la Gerencia de Área Económica Financieras- , permitirá orientar los esfuerzos en la mejora de las decisiones y de la implementación y seguimientos de acciones de futuras. Comentario AGN: Se mantiene la observación. Los cambios señalados se reevaluarán en una próxima auditoría.
Punto 4.1.6 - Administrar los Recursos Humanos de TI Respuesta de ARSA: En lo referente a la incorporación de personal afectado al mantenimiento de sistemas a la planta, deseamos destacar que las decisiones se enmarcaron en un esquema general de transición congruente con lo señalado en “comentarios y consideraciones generales”.
55
Sobre los cambios en la situación de revista señalados, deseamos destacar que existe una solución vigente para el caso de las desvinculaciones o bajas; mientras que se resolverá en el futuro la administración de las modificaciones en la situación de revista.
En lo referente a la dependencia mencionada en el Sistema de Cargas, que depende de un solo profesional, deseamos aclarar que el mantenimiento y evolución del sistema de cargas depende de una jefatura; mientras que su operación de otra. Comentario AGN: Se mantiene la observación. El conocimiento de detalle del sistema cargas está limitado al programador –uno solo– y en ese nivel es donde se detectó el riesgo. Punto 4.1.7 - Administrar la calidad Respuesta de ARSA: En lo referente a la etapa inicial en la que se encuentra el sector de Calidad de Sistemas, deseamos expresar que el mismo se encuentra orientado al seguimiento de proyectos y administración de portfolio. Esta decisión corresponde a una definición de metodología acotada pero incrementable en definiciones y aseguramiento. El detalle surge del Catálogo de Proyectos presentado en el Anexo 1. Comentario AGN: Se mantiene la observación. Se acepta la aclaración. Punto 4.1.8 - Evaluación y administración de los riesgos de TI En lo referente a la falta de un proceso de evaluación y administración de riesgos, deseamos destacar que en el “template” mencionado en 4.1.1 en el apartado “11. Riesgos” se detallan: 11.1 Riesgos identificados, 11.2 Valoración del riesgos y 11.3 Acciones a seguir.
Consideramos que el seguimiento semanal de proyectos, que incluye la detección de nuevos riesgos y el seguimiento de acciones de contingencia y mitigación, contribuyen a su prevención y conveniente evaluación temprana.
Comentario AGN:
Se mantiene la observación. El mencionado template –no fue consignado cuando se realizó esta auditoría– es aplicable solo a las nuevas aplicaciones y no incluye a los proyectos de infraestructura de hardware y software.
Punto - 4.1.9 Administrar Proyectos Respuesta de ARSA: En lo referente a la falta de planificación debidamente aprobada, se destaca que actualmente y con la creación del rol de PMO a partir del 2010 se implementaron mejoras que entre otras cosas permiten que se gestione eficientemente el portfolio de proyectos. La
56
reunión de staff semanal, contribuye a las tareas de gestión y evaluación permanente de la PMO que se actualiza con cada jefatura interviniente (Anexo 4).
Comentario AGN:
Se mantiene la observación. En el período auditado se tuvo conocimiento de acciones de seguimiento organizado sobre el proyecto Sabre pero no se obtuvo evidencia de un plan para cubrir todos los proyectos de TI (desarrollo, mantenimiento, infraestructura y organización).
Punto 4.2.1 - Estudio de factibilidad Respuesta de ARSA: En lo referente a la falta de evidencia sobre la realización de estudios de factibilidad, deseamos destacar que el “template” mencionado en 4.1.1 muestra la utilización de herramientas evaluación e información que permiten analizar convenientemente los proyectos. El análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) mencionadas en el apartado 6 se complementan con las mencionadas en el apartado “12 Resumen Económico, que considera en 12.1 Costos, 12.2 Beneficios, 12.3 Retorno de inversión y 12.4 Período de recuperación. En efecto, la solución planteada en el apartado 6 que contempla en 6.1 Enfoque de la Solución y 6.3 Descripción Funcional, también incluye en el apartado 6.2 el análisis FODA de la Solución bajo evaluación. El template de proyectos establece el esfuerzo, las fechas y el beneficio esperado que se utilizan para determinar su factibilidad. Comentario AGN: Se mantiene la observación. No se aportan estudios de factibilidad de casos reales para el período auditado. Punto 4.2.2 - Desarrollo de Sistemas Respuesta de ARSA: Con similar tenor de lo manifestado en 4.1.9, deseamos destacar que la PMO participa activamente en el proceso de mejora de las aplicaciones y la Gerencia utiliza el informe de seguimiento de la PMO como insumo para la toma de decisiones. En referencia a los ambientes de prueba y de producción nos remitimos a lo mencionado en 4.1.4.- Comentario AGN: Se mantiene la observación. En el período auditado la PMO era de reciente creación y se tuvo conocimiento de su intervención restringida a los nuevos proyectos como SABRE y de ahí el sentido de la observación.
57
Punto 4.2.3 - Desarrollo de la Infraestructura Tecnológica Respuesta de ARSA: En referencia al plan de adquisiciones y a las tareas inherentes vinculadas a los estándares de arquitectura y tecnología, deseamos mencionar que la tercerización de soluciones y las exigencias a estos proveedores mundialmente conocidos en la industria aerocomercial, garantizan que la solución adquirida sea la adecuada para el negocio y para todos los criterio no funcionales por los que vela el área de tecnología (seguridad, escalabilidad, mantenibilidad, integración, etc.).
Debido a la integración de ARSA con otras empresas de la industria (ya sea en alianzas, comités) permite que las soluciones adquiridas puedan revisarse en otras compañías afines. Entonces, el uso de estándares sumado a la posibilidad de validar las soluciones en otras empresas minimiza la necesidad de pruebas previas a la adquisición. Comentario AGN: Se mantiene la observación. La búsqueda de una infraestructura integrada y estandarizada para las aplicaciones TI de la Sociedad debe estar encuadrada en un proceso que permita incorporar en modo confiable, seguro, ágil y económico las “soluciones de la industria”, los desarrollos propios y los nuevos componentes de infraestructura y por ello es conveniente un ambiente de pruebas propio.
58
4.3 DOMINIO ENTREGAR Y DAR SOPORTE
Punto 4.3.1 - Definir y administrar niveles de servicio
Respuesta de ARSA: En referencia a los niveles de servicio y de operación, deseamos destacar que la adquisición de productos de la industria y el hecho de contratar a proveedores que ofrecen software como servicio, permite especificar contractualmente el nivel SLA (Service Level Agreement) y OLA (Operative Level Agreement) como se hace con SABRE, que provee los sistemas principales de la compañía. Comentario AGN: Se mantiene la observación. No se tuvo evidencia de la existencia de tales contratos en las aplicaciones existentes en el período auditado. El proyecto SABRE excede nuestro período de análisis. Punto 4.3.2 - Administrar los servicios de terceros Respuesta de ARSA: En referencia a la administración de los servicios de terceros, a modo de ejemplo destacamos que el nivel de tercerización a excepción de SABRE, es mayormente el servicio de mesa de ayuda. Este fue un servicio licitado recientemente, monitoreado actualmente y con evidencia de penalizaciones. Comentario AGN: Se mantiene la observación. Punto 4.3.3 - Administrar el desempeño y la capacidad Respuesta de ARSA: De acuerdo a las propias manifestaciones de la observación, entendemos que las mediciones resultaron regulares en los períodos bajo análisis.
Comentario AGN: Se mantiene la observación. De la evidencia disponible, el proceso solo se realizaría al momento de las adquisiciones y después de un largo proceso de deterioro. Punto 4.3.4 - Garantizar la continuidad servicio Respuesta de ARSA: En referencia a la continuidad de servicio y a la disponibilidad de un sitio alternativo, deseamos destacar que este objetivo se encuentra contemplado en el Plan de Sistemas 2011/2013; y que resulta una de las prioridades a considerar. Adicionalmente mencionamos, que el Plan de Contingencia está aprobado por el Gerente de Área Económico Financiera.
Comentario AGN: Se mantiene la observación.
59
Punto 4.3.5 - Garantizar la seguridad de los sistemas Respuesta de ARSA: En referencia a la administración de usuarios unificado e identificación única, ver 4.1.3.- Comentario AGN: Se mantiene la observación. Punto 4.3.6 - Identificar y Asignar costos Respuesta de ARSA: En referencia a la identificación y tratamiento contable y presupuestario de costos, se destaca que dicha información queda establecida desde el inicio de las rutinas de compras y contrataciones, lo que permite su posterior imputación en la contabilidad. De esta forma todas las solicitudes de compras, gastos o proyectos quedan asociados formalmente a los centros de costos. Comentario AGN: Se mantiene la observación. Punto 4.3.7 - Administrar la Mesa de Servicio, problemas e Incidentes Respuesta de ARSA: Como se expresara en 4.3.2 la actividad de la mesa de ayuda está vinculada a niveles de servicios, sujetos a evaluaciones y eventuales penalizaciones asociadas al no cumplimiento de los estándares pactados contractualmente. Comentario AGN: Se mantiene la observación. Para el período auditado no se obtuvo evidencia que formalmente se dispusiera de un SLA con los proveedores de las mesas de ayuda. Punto 4.3.8 - Administrar la configuración En referencia a la disponibilidad de un repositorio central o CMDB se informa que se ha regularizado la situación mediante la adquisición del software PC-INV-GATE, que se utiliza para monitorear el inventario de equipamiento informático. Se acompaña copia de la Orden de Compra como Anexo 7. Respecto al monitoreo de la actividad y estado de los servidores se realiza con el sistema NAGIO. Pantalla de ejemplo adjunto como Anexo 6. Comentario AGN: Se mantiene la observación. Las actividades de control realizados con Nagio si bien aportan al punto iii) no implican la revisión de la integridad de todos los activos. Punto 4.3.9 - Administrar los datos Respuesta de ARSA: En 2012 se contratará un servicio de guarda de backups, esta contratación se encuentra solicitada bajo Sicom AR24004284 y cuenta con presupuesto para el corriente año. Comentario AGN: Se mantiene la observación. Los cambios señalados se reevaluarán en una próxima auditoría.
60
Punto 4.3.10 - Administrar el ambiente físico Respuesta de ARSA: En julio de 2012 comenzarán a operar dos generadores y una nueva UPS para el CIP. Comentario AGN: Se mantiene la observación. Punto 4.3.11 - Administrar las operaciones Respuesta de ARSA: Sobre el ingreso de información que se realiza ver 4.1.2 Comentario AGN: Se mantiene la observación. Punto 4.4.1 - Monitorear y evaluar el desempeño de TI Respuesta de ARSA: En referencia al enfoque de trabajo para el monitoreo del desempeño de la TI, deseamos manifestar que se han implementado rutinas de seguimiento permanentes, que se encuentran plasmadas en documentación sustentada en planillas y documentos electrónicos. Se adjunto copia a modo de ejemplo como Anexo 8 y citamos el Anexo 2 referido a SABRE Notes y el Anexo 4 referido a las minutas. Comentario AGN: Se mantiene la observación. Las medidas señaladas deben ser complementadas con un enfoque integral para los indicadores de desempeño. Punto 4.4.2 - Monitorear y evaluar Control Interno Sin comentarios. Punto 4.5 - SABRE Respuesta de ARSA: En referencia a lo mencionado en el apartado 3) sobre falta de vínculo automático, se expresa que con la implantación del sistema RCCS que reemplazará el circuito administrativo de “Ingreso y Rendición de Ventas de las Sucursales”; y la adopción de un ERP (Sistema Administrativo Integrado) se prevé resolver la mayoría de las observaciones señaladas. Con similar criterio, lo mencionado implicará mejorar frente a lo manifestado en los apartados 1) y 2) Adicionalmente, deseamos aclarar sobre el apartado 3) que Sabre provee la información desde archivos off-line -como es práctica en la industria- y ARSA decidió que BPU (Billetes Pendientes de Utilización) fuera el Repositorio de Datos de Ventas del que se nutren el resto de los sistemas. Comentario AGN: Este punto explica los motivos por los que no se auditó el sistema SABRE. No es una observación que corresponda a esta auditoría.
61
Punto 4.6.1 - ARPLUS Respuesta de ARSA: En lo referente a las interfases no automáticas para canje de premios, deseamos expresar que la solicitud de autorización es un nuevo evento que no es una novedad producida en Sabre. En un proceso automatizado diario, se realiza la conciliación entre los tickets emitidos a partir de la reserva contra la solicitud de autorización pertinente. De esta forma, se garantiza la confiabilidad del descuento de millas al pasajero frecuente. La base BPU (Billete Pendientes de Utilización) y la de Arplus, intervienen en este proceso. Se informa que se instruyó para que se desarrollen las funcionalidades que permitan visualizar listas de usuarios por perfil que facilitará la administración, a la vez que se instruyó para que se depuraran las listas de usuarios de Sistemas con perfil administrador en los términos mencionados en la observación. En lo referente a las novedades de cambio de funciones en agentes con log-in de Arplus estará enmarcada en lo mencionado en 4.1.3.- En lo referente al funcionamiento del sistema, no hemos recibido reportes o reclamos conforme lo observado, no obstante lo cual se solicitará al usuario información al respecto. En lo referente al Club de Secretarias y las cuentas vigentes de ex agentes, la regularización estará enmarcada en lo mencionado en 4.1.3.- Se implementará un registro digital para los ganadores de premios trimestrales, cambios en el ranking y se implementarán herramientas de consulta tipo query. Comentario AGN: Se mantiene la observación. Aun considerando como evento –canje de premios– la operación no está integrada. Punto 4.6.2 - SIC-CARGAS Sin comentarios. Punto 4.6.3 - INTRANET DE AEROLINEAS Respuesta de ARSA: Referente a una Intranet para seguimientos de proyectos, deseamos expresar se utiliza un repositorio de datos Notes cuyo ejemplo se presenta en el Anexo 3 referido al seguimiento PMO. En lo referente a la Intranet y las transacciones de los empleados, deseamos aclarar que debiera referirse "desde el pedido de reserva de pasajes sublos -sujeto a plaza vacía-pasando” y no reserva de interlineales. Comentario AGN: Se mantiene la observación. Se acepta la corrección del error.
62
Punto 4.6.4 – SITIO WEB DE ARSA Respuesta de ARSA: En lo referente al sitio web de ARSA deseamos aclarar que el mismo dispone de:
Enlaces a Redes Sociales agregar Google+ y Sónico. Mapa del Sitio "SI" dispone. Buscador "SI" dispone (momentáneamente en trámite de renovación de
contrato con Google) Estadísticas de Visitas se llevan, pero no resultan visibles al usuario. Se adjunta
en Anexo 10. Respecto al punto "no se obtuvo evidencia de análisis de tráfico” se desea
aclarar que se realizan mediante SEO y SEM con Google Analytic para uso del sector de e-commerce.
Comentario AGN: Se mantiene la observación. Se ha aceptado Mapa del Sitio y se añaden como Redes sociales Google+ y Sónico. La evidencia sobre Visitas corresponde a un período posterior al auditado por lo que no se modifica.
