AUDITORÍA INTERNA DE LA NACIÓN
Señaló que si bien la cartera “ha implementado acciones que han permitido disminuir la criticidad de algunos de los hallazgos”, todavía “permanecen vulnerabilidades a las que se encuentra expuesta".
La Auditoría Interna de la Nación (AIN) evaluó la gestión de los servicios tecnológicos tercerizados del Ministerio del Interior y detectó “vulnerabilidades” que exponen al organismo en algunos aspectos.
El reporte de la AIN surge como una evaluación del grado de implementación de las recomendaciones que habían sido realizadas por el organismo en 2017 y el seguimiento abarcó el período entre el 1° de enero al 31 de octubre de 2021.
Ente las principales conclusiones, el informe señaló que si bien el Ministerio del Interior “ha implementado acciones que han permitido disminuir la criticidad de algunos de los hallazgos”, todavía “permanecen vulnerabilidades a las que se encuentra expuesta la prestación de los servicios tecnológicos estratégicos del organismo, que por su criticidad y/o sensibilidad, pueden afectar la calidad del mismo”.
El reporte de la AIN encontró que de los 13 cambios sugeridos en el año 2017, el Ministerio implementó cuatro de forma satisfactoria, uno se encuentra aún en proceso, dos fueron puestos en marcha de forma parcial y los restantes seis no fueron ejecutados.
En este sentido, “si bien la AIN entiende que la gestión de los servicios tercerizados que involucran tecnología, han disminuido su nivel de exposición a riesgos que pueden afectar la prestación del servicio”, señaló que “se insiste en la necesidad de adoptar acciones para mejorar y robustecer la estructura de controles”.
Recomendaciones
En el informe de auditoría del año 2017, se había concluido que pese a que la prestación de los servicios tecnológicos tercerizados “se realizaba de manera razonablemente satisfactoria”, había espacio para ciertas mejoras “que contribuirían a fortalecer al organismo”.
De acuerdo con lo reportado por la AIN, esas mejoras permitirían “mitigar riesgos”, los cuales “en caso de materializarse podrían comprometer el cumplimiento de actividades estratégicas”.
En esa instancia, se había constatado la ausencia de indicadores que permitieran el control objetivo del cumplimiento y la calidad de los servicios; la falta de formalización y/o definición de acuerdos de niveles de servicio propios, formulados acorde a las necesidades del organismo; la falta de definición de sanciones en los pliegos licitatorios, ante eventuales incumplimientos técnicos; así como también la ausencia de controles sobre el cumplimiento de las obligaciones laborales de los servicios tercerizados.
Adicionalmente, el reporte de 2017 había señalado la inexistencia de sistemas propios para el reporte de incidentes relativos a los servicios tercerizados, que permitieran un buen seguimiento y la posibilidad de adoptar las acciones correctivas de manera “efectiva y oportuna”.
En ese año también se habían encontrado “debilidades en la sistemática establecida para la gestión de los riesgos” vinculados a los proyectos de tecnologías de la información; así como la ausencia de procedimientos documentados que permitieran una adecuada transferencia del conocimiento.
Lo que falta
Entre las sugerencias de 2017 y los cambios que aún no fueron implementados por el Ministerio del Interior, el reporte de la AIN señaló que aún falta mejorar las condiciones de los pliegos de las licitaciones. En 2017 este punto había sido catalogado con un nivel de criticidad “alto” y aún lo mantiene.
Asimismo, siguen sin definirse “indicadores de rendimiento o de cumplimiento del servicio prestado por los proveedores que permita medirlos de forma objetiva”, dijo el reporte y señaló que este punto tiene aún un nivel de criticidad “alto”.
Entre otros de los hallazgos con niveles de criticidad “alto” que aún no fue mejorado, la AIN mencionó la falta de “procedimientos documentados que aseguren la disponibilidad del conocimiento de la metodología a emplear para la adecuada gestión de los servicios”.
Además, el reporte encontró que las matrices de riesgos y controles relativas a los proyectos de tecnologías de la información “incluyen solamente las vulnerabilidades/riesgos identificados por el proveedor, sin considerar” los detectados por el Ministerio.
Otra mejora sin ejecutar fue la referida a la responsabilidad por las obligaciones laborales de los servicios tercerizados. Este aspecto fue catalogado con un nivel de criticidad “extremo”, categoría que aún mantiene dado que “no se han implementado los controles necesarios”, según la AIN.
Otra recomendación hecha en 2017 por su nivel de criticidad “alto”, tenía que ver con la falta de demostración de las condiciones económicas de la empresa contratada al momento de renovar el contrato, hecho que no permite “asegurar la continuidad del servicio”, según la AIN.
Lo hecho
Entre los cambios implementados en base a las recomendaciones de 2017, el reporte destacó mejoras en los acuerdos de niveles de servicio; el establecimiento en los requerimientos de los procedimientos de adquisiciones y la inclusión de sanciones por incumplimientos técnicos; una mejor planificación de futuras adquisiciones o renovaciones de contratos; así como también se ejecutó una solución de seguridad que permite registrar el tráfico entre proveedores y la red del Ministerio para poder “detectar comportamientos irregulares o sospechosos en las conexiones”.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.