República Argentina - Poder Ejecutivo Nacional2018 - Año del Centenario de la Reforma Universitaria

Informe

Número:

Referencia: INFORME TECNOLOGÍA DE LA INFORMACIÓN

INFORME FINAL UAI Nº 11/18 – INT

TECNOLOGIA DE LA INFORMACION

INSTITUTO NACIONAL DEL TEATRO

1. OBJETO

En cumplimiento del planeamiento anual para el año 2018 conformado por el Director Ejecutivo delINT y aprobado por SIGEN, se llevó a cabo una auditoría de verificación del cumplimiento de lanormativa vigente y ambiente de control interno en materia de la Tecnología de la Información delInstituto Nacional del Teatro (INT) y un seguimiento del estado de los hallazgos contenidos eninformes anteriores, todo ello en el marco establecido por la Resolución 48/05 SGN y la Ley N° 24.156(Administración Financiera y de los Sistemas de Control del Sector Público Nacional).

2. ALCANCE DEL TRABAJO

La tarea fue realizada de acuerdo con las normas de Auditoría Interna Gubernamental, aplicándose losprocedimientos de auditoría allí enumerados y otros que se consideraron necesarios en lascircunstancias, con el siguiente alcance:

Normativa vigente relacionada con las Normas de Control Interno para la Tecnología de la Información(TI) del Sector Público Nacional.

Normativa aplicable:

• Decreto N° 378/2005 – Plan Nacional Gobierno Electrónico.

• Resolución SGN N° 48/2005 – Normas de Control Interno para TI.

• Decreto N° 512/2009 – Agenda Digital.

• Resolución JGM N° 580/2011- Programa Nacional de Infraestructuras Críticas deInformación y Ciberseguridad.

• Instructivo N° 3/2014 GNyPE, Infraestructura Críticas de Tecnología de laInformación.

• Disposición 24-E/2017 STyC – Instructivo de Administración y uso de teléfonoscelulares.

• Seguimiento de hallazgos contenidos en Informes anteriores.

• Las tareas de auditoría fueron realizadas entre los días 03/09/2018 y el 30/11/2018,las mismas incluyen las tareas de campo.

• Ley 26.653 Acceso a la Información Pública.

• Decreto 355/2013 Acceso a la Información Pública.

• Disposición 1/2015, Oficina Nacional de Tecnologías de Información, “Política deSeguridad de la Información Modelo”

3. TAREAS REALIZADAS

• Se analizó la normativa relacionada con las Normas de Control Interno para Tecnología de laInformación del Sector Público Nacional, Resolución 48/05 SGN y demás normativa aplicable,mencionada en el Alcance.

• Se analizó la normativa relacionada con la Disposición 24-E/2017 STyC – Instructivo deAdministración y uso de teléfonos celulares.

• Se analizó la respuesta obtenida y se confrontó con la información contenida en los Informesanteriores.

• Se realizaron requerimientos de información al área de Presupuesto y Patrimonio con la finalidadde obtener información acerca de la totalidad del patrimonio informático en el INT y la flota de telefoníamóvil.

• Requerimientos de información efectuados por Nota GDE NO-2018-50182784-APN-UAI#INT del2018.

• Se efectuó el seguimiento de hallazgos contenidos en Informes anteriores.

El presente informe se encuentra referido a los hallazgos y conclusiones sobre el objeto de la tarea yno contempla la eventual ocurrencia de hechos posteriores que puedan modificar su contenido.

4. MARCO DE REFERENCIA

La presente auditoría se realizó en el marco de la Resolución Nº 48/05 SGN la cual establece lasNormas de Control Interno para Tecnología de la Información del Sector Público Nacional.

El Artículo 4º de la Ley Nº 24.156 impone a las autoridades superiores de los Organismos del SectorPúblico Nacional la responsabilidad de la implantación y mantenimiento de un eficiente y eficazsistema de control interno.

Se expone a continuación los sistemas informáticos utilizados en el Instituto:

GDE: Sistema de Gestión Documental Electrónica.

SIGELTRA: Sistema de Gestión Electrónica de Trámites. Administra movimientos dedocumentación y expedientes del Organismo.SAPER: Sistema de Administración de Personal: Control de novedades, altas, bajas ymodificaciones de personal. Liquidación de haberes.SIRAS: Sistema Integrado de Registro de Aspirantes a Subsidios.SIGESU: Sistema integrado de Gestión de Subsidios: Registro y control de subsidios.SINSAL: Inspección de Salas.SIPER: Peritaje de Salas.SIDIGDI: Sistema de Registro de Digesto de Directivas del Consejo de Administración del INT.Otros Registros: Libro Banco. Registro Custodia de Garantía de Contrataciones, Registro deContrataciones Licitaciones Públicas, Registro de Contrataciones Licitaciones Privadas, Registrode Contrataciones Directas, Registro de Resoluciones y Registro de Expedientes.SLU: Sistema Local Unificado.E-SIDIF: Sistema Integrado de Información Financiera.PATRIMONY: Sistema de Administración Control de Inventarios de Bienes de Uso.SABEN: Sistema de Administración de Bienes del Estado.BAPIN: Banco de Administración de Proyectos de Inversión NacionalE-FOP: Sistema de Formulación Presupuestaria por Internet.E-PROA: Sistema de Formulación de Presupuesto de Gastos en Personal.SINAPA- (SIREPEVA): Sistema de Registro del Personal comprendido en el Sistema Nacionalde la Profesión Administrativa. RCPC: Registro Central De Personas Contratadas.RCPD: Sistema de Control de Aplicación del artículo 8° de la Ley N° 22.431.Sistema para cumplimentar la Resolución SGP N° 182/2009 (R182).SINEP: Aplicativo Funcionalidades del Sistema Nacional de Empleo PúblicoMCC: Módulo Cliente de Contrataciones.SABIC: Sistema de Administración de Bienes de Consumo.SIAREG: Sistema de Asignación de Registro.SIGES: Sistema Integrado de Gestión de Subsidios.SITRALEG: Sistema de Seguimiento de Trámites en Asesoría Legal.SICON: Sistema de Consulta de Expedientes por Internet.

5. COMENTARIOS PREVIOS

En principio corresponde señalar que aquellas cuestiones de la normativa vigente que el Organismocumple en forma parcial tienen que ver con las limitaciones relacionadas a que el edificio en dondefunciona el Instituto es alquilado a la Casa del Teatro. En el eventual traslado a un edificio propio,dichas cuestiones serán contempladas para las refacciones correspondientes.

Asimismo cabe señalar que la Unidad Informática del INT informo lo siguiente:

“El día 27 de noviembre de 2018 sufrieron un ataque de un virus informático los servidores de red delOrganismo. Efectivamente en horas de la madrugada (alrededor de las 4.30 am.) la red informática delINT sufrió un ataque de “Ransomware” que encriptó archivos críticos, tanto documentales como basesde datos de sistemas y archivos de resguardo (backups).

Dicho “incidente de seguridad” fue detectado por el personal de la Unidad Informática en los 3 (tres)servidores principales de la red informática del Organismo, en otro servidor secundario y en 9 (nueve)computadoras personales de puestos de trabajo de la sede central del INT. A raíz del mismo seencuentran inaccesibles varias de las bases de datos de sistemas, se vieron afectados una gran

cantidad de archivos y carpetas de uso común alojadas en el servidor principal (lo que se denominacomo “Carpetas Comunes”), y se interrumpieron los servicios secundarios de servidores de impresión ymensajería interna (sistema Pandion). No se encuentra afectada la conectividad a internet ni elprocesamiento de correos electrónicos institucionales.

Cabe destacar que el personal de la Unidad Informática pidió oportunamente asesoramiento a laDivisión de Delitos Tecnológicos de la Policía Federal Argentina y la Dirección de Asuntos Jurídicos delINT radicó la correspondiente denuncia penal por delito informático ante la Unidad Fiscal Especializadaen Ciberdelincuencia.

Hasta tanto la justicia realice los peritajes correspondientes en nuestros servidores y PCs afectados, seestá procediendo a instalar y configurar un servidor alternativo para poder volver a poner enoperatividad todos los sistemas afectados y recuperar la información alterada”.

6. HALLAZGOS

El seguimiento de los hallazgos de informes anteriores se expone en Anexo al presente Informe. Comoresultado de la presente auditoría no se encuentran nuevas observaciones.

CONCLUSION

La auditoría de verificación del cumplimiento de la normativa vigente en materia de la Tecnología de laInformación del Instituto Nacional del Teatro (INT) y el seguimiento de los hallazgos anteriorespermiten concluir en la necesidad de organizar formalmente la Unidad de Tecnología de la Informacióncon las características establecidas en la Resolución SGN 48/05.

Actualmente todos los sistemas informáticos propios del INT se encuentran seriamente dañados segúnse informa en el punto 5-Comentarios Previos. En consecuencia se está a la espera de la resoluciónde dicho grave inconveniente.

ANEXO

Año 2008

Observación: Ausencia de diccionario de datos corporativos

Recomendación: Considerar el desarrollo del diccionario de datos de la Institución

Opinión del auditado 2017: El INT no posee un “Diccionario de Datos Corporativo”.

Opinión del auditado 2018: El INT no posee un Diccionario de Datos Corporativo.

Estado/Comentario de la UAI: Sin acción correctiva. Persiste la situación.

Año 2017

Observación: No se encuentra reglamentada en el ámbito del INT la disposición 24-E/2017 de la STyCcorrespondiente a la flota de telefonía móvil.

Recomendación: Se recomienda implementar la disposición 24-E/2017.

Opinión del auditado 2017: De acuerdo a lo establecido en la Disposición 24-E/2017 de laSubsecretaria de Tecnología y Ciberseguridad, el Área de Patrimonio asumirá las atribuciones que deacuerdo al Instructivo de Administración y Uso de teléfonos celulares para la Administración PublicaNacional, son conferidas al Área de Telefonía Móvil. Asimismo se informa que el Área de Patrimonio,se encuentra en la actualidad desarrollando una regulación del propio instructivo, principalmente en las“responsabilidades del usuario” con el objetivo de adecuarlo a las necesidades propias del Organismo,respetando a su vez, como modelos los formularios establecidos en los Anexos I, II y III, del mismoinstructivo.

Opinión del auditado 2018: Esta Unidad Informática no administra ni gestiona la flota de telefonía móvildel Organismo.

Estado/Comentario de la UAI: En trámite de elaboración del respectivo reglamento.