MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES CONSEJO TÉCNICO DE AVIACIÓN CIVIL
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES CONSEJO TÉCNICO DE AVIACIÓN CIVIL
AUDITORÍA INTERNA
INFORME Nº AI-01-2023
DIAGNÓSTICO SOBRE LA SITUACIÓN ACTUAL DE LA DIRECCIÓN GENERAL DE AVIACIÓN CIVIL (DGAC) RESPECTO A LA CONTRATACIÓN DE SERVICIOS ESPECIALIZADOS PARA LA GESTIÓN, CONTROL Y OPERACIÓN DEL CENTRO DE DATOS DE LA INSTITUCIÓN
ABRIL 2023
INFORME AI-01-2023
ÍNDICE
1.1.- NATURALEZA DEL ESTUDIO 5
1.3.2.- Objetivos específicos 5
1.7.- NORMATIVA ADMINISTRATIVA, LEGAL Y TÉCNICA 6
1.8.- CUMPLIMIENTO CON NORMAS GENERALES DE AUDITORÍA 9
1.10.- GENERALIDADES DEL ESTUDIO 9
1.11.- COMUNICACIÓN DE RESULTADOS 11
2.1.- Hallazgo 1 Debilidades en el sistema de control interno Institucional 12
2.2.- Hallazgo 2 Debilidades en el Sistema de Control Interno de Tecnologías de Información 14
2.3.- Hallazgo 3 Falta de Alineación entre La Estrategia Institucional, la Operación Sustantiva y el área de TI 15
2.4.- Hallazgo 4 Debilidades en la estructura organizacional de la Función de TI
2.5.- Hallazgo 5 Falta de acuerdos de nivel de servicio formales (SLAs) 17
INFORME AI-01-2023
ABREVIATURAS
Abreviatura | Significado |
CGR | Contraloría General de la República |
TI | Tecnologías de Información |
LGCI | Ley General de Control Interno |
SICOP | Sistema Integral de Compras Públicas |
MICITT | Ministerio de Ciencias, Innovación, Tecnológica y Telecomunicaciones |
MOPT | Ministerio de Obras Públicas y Transporte |
PETIC | Plan Estratégico de Tecnologías de Información y Comunicación |
SLAs | Acuerdos de Nivel de Servicio (siglas en inglés) |
INFORME AI-01-2023
RESUMEN EJECUTIVO
¿Cuál fue el objetivo del estudio?
Realizar un diagnóstico sobre la situación actual de la Dirección General de Aviación Civil (DGAC) respecto a la contratación de servicios especializados para la gestión, control y operación del Centro de Datos de la Institución, los aspectos técnicos en materia de seguridad, continuidad y escalabilidad, y la visión en materia tecnológica sobre la trayectoria de la Institución y su alineación con el Centro de Datos.
¿Por qué se justificó el estudio?
Estudio especial de auditoría, con fundamento en las competencias conferidas a las auditorías internas en el artículo 22 de la Ley General de Control Interno, №8292, y en cumplimiento del Plan Anual de Trabajo del año 2022 de esta Auditoría Interna.
¿Cuáles fueron los principales hallazgos?
Los principales hallazgos identificados comprenden:
a. Debilidades en el sistema de control interno de la Institución.
b. Debilidades en el sistema de control interno para la función de TI.
c. Falta de una alineación entre las expectativas y necesidades de las diferentes áreas estratégicas, sustantivas y de soporte.
d. Falta de robustecimiento de la estructura organizacional de la función de TI.
e. Falta de acuerdos debidamente formalizados entre la función de TI y las diferentes áreas de la Institución.
¿Qué esperamos de la Administración?
La aceptación e implementación de las recomendaciones tienen como propósito robustecer las prácticas que se llevan a cabo en temas de gestión y gobierno de TI, además de atender debilidades y robustecer el Sistema de Control Interno de la DGAC y la integración entre proyectos sustantivos, estratégicos y la función de TI.
También se espera que la Administración tome medidas proactivas y eficientes para transformar la Unidad de TI en un centro de apoyo estratégico y soporte para la Institución.
INFORME AI-01-2023
1.1.- NATURALEZA DEL ESTUDIO
La Auditoría Interna requiere reforzar los criterios técnicos y análisis realizados en torno a la especialidad en Tecnología de la Información, para ofrecer a la administración un producto que le agregue valor a su gestión y le permita tomar decisiones oportunas en procura de atender las debilidades previamente señaladas por esta Auditoría y que a la fecha se mantienen pendientes.
Lo anterior con el fin de continuar brindando los servicios de asesorías o advertencias a la administración, por acciones que puedan poner en riesgo la continuidad del servicio de la institución y la utilización eficiente, efectiva y económica de los recursos; todo en apego a lo establecido por la Contraloría General de la República.
1.2.-JUSTIFICACIÓN
Estudio especial de auditoría, con fundamento en las competencias conferidas a las auditorías internas en el artículo 22 de la Ley General de Control Interno, №8292, y en cumplimiento del Plan Anual de Trabajo del año 2020 de esta Auditoría Interna.
1.3.-OBJETIVOS
1.3.1.- Objetivo general
Realizar un diagnóstico sobre la situación actual de la Dirección General de Aviación Civil (DGAC) respecto a la contratación de servicios especializados para la gestión, control y operación del Centro de Datos de la Institución, los aspectos técnicos en materia de seguridad, continuidad y escalabilidad, y la visión en materia tecnológica sobre la trayectoria de la Institución y su alineación con el Centro de Datos.
1.3.2.- Objetivos específicos
1. Realizar un diagnóstico sobre el alcance de la contratación de servicios especializados para la gestión, control y operación del Centro de Datos de la DGAC.
INFORME AI-01-2023
2. Realizar un diagnóstico sobre el alcance de los servicios tercerizados del Centro de Datos, contrastados con los servicios entregados por el contratista anterior.
3. Analizar la visión que la función de Tecnologías de Información tiene sobre la visión de la arquitectura tecnológica del Centro de Datos y las expectativas presentes y futuras de la Institución en materia tecnológica.
4. Analizar la estrategia de gestión de riesgos de la función de TI Institucional de cara a la contratación de los servicios especializados vinculantes con el Centro de Datos de la DGAC, además de las acciones correctivas y preventivas de eventos de riesgo que la Función ha realizado.
1.4.- ALCANCE
El estudio de auditoría se enfocó en verificar el total de cumplimiento en la implementación y puesta en ejecución de los aspectos técnicos pactados por la administración activa en la contratación de Servicios Administrados para Centro de Datos principal, procesamiento, almacenamiento, respaldo de datos, plataforma de red de datos y otros aspectos vinculantes para la DGAC, para determinar eventuales desviaciones, cumplimientos, brechas y oportunidades de mejora.
El estudio rige desde enero del 2022, con fecha xx xxxxx hasta el 02 de diciembre del 2022. Se consultó documentación generada durante el año el ese año hasta la fecha xx xxxxx para la ejecución de los procedimientos del estudio, facilitada por la Unidad de Tecnologías de Información, el Departamento de Planificación Institucional, el Departamento Administrativo Financiero, la Gerencia General y la Auditoría Interna de la DGAC.
1.5.- METODOLOGÍA
En la realización de esta auditoría se aplicarán técnicas verbales, documentales, entrevistas; así como prácticas usuales para este tipo de estudios, dentro de ellas, el síntoma y la síntesis, con el fin de obtener el respaldo adecuado de los hallazgos encontrados.
1.6.- TIPO DE AUDITORÍA
Auditoría especial.
1.7.- NORMATIVA ADMINISTRATIVA, LEGAL Y TÉCNICA
x. Xxx General de Control Interno, Nº 8292
INFORME AI-01-2023
b. Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE)
c. Normas para el Ejercicio de la Auditoria Interna en el Sector Público, (R-
DC-119-2009)1
d. Normas Generales de Auditoría para el Sector Público (R-DC-064-2014)2
x. Xxx General de la Administración Pública; Ley No 6727 de 02/05/1978 y sus reformas
x. Xxx de Administración Financiera de la República y Presupuestos Públicos, № 8131 del 18/09/2001 y sus reformas.
g. Las “Normas Generales de Auditoria para el Xxxxxx Xxxxxxx”, X-XX-00- 0000, publicadas en “La Gaceta” №184 del 25/09/2014 que rigen a partir del 01 de enero de 2015.
h. Procedimientos del Sistema de Gestión de la Auditoría Interna y la DGAC.
i. Otra normativa interna o externa que resulte aplicable.
Asimismo, en la tramitación del presente estudio se deberá observar lo estipulado en la Ley General de Control Interno, № 8292, específicamente en los siguientes artículos:
“Artículo 37.-Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.
Artículo 38.-Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a
1 La Gaceta Nº 28, del 10 de febrero del 2010
2 La Gaceta Nº 184 del 25 de setiembre del 2014, vigente a partir del 01 de enero del 2015
INFORME AI-01-2023
la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas.
La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, N° 7428, de
7 de setiembre de 1994.
Artículo 39.-Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.
El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.
Asimismo, cabrá responsabilidad administrativa contra el jerarca que injustificadamente no asigne los recursos a la auditoría interna en los términos del artículo 27 de esta Ley.
Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin
INFORME AI-01-2023
perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente.
El jerarca, los titulares subordinados y los demás funcionarios públicos también incurrirán en responsabilidad administrativa y civil, cuando corresponda, por obstaculizar o retrasar el cumplimiento de las potestades del auditor, el subauditor y los demás funcionarios de la auditoría interna, establecidas en esta Ley.
Cuando se trate de actos u omisiones de órganos colegiados, la responsabilidad será atribuida a todos sus integrantes, salvo que conste, de manera expresa, el voto negativo.”
1.8.- CUMPLIMIENTO CON NORMAS GENERALES DE AUDITORÍA
El estudio se ejecutó de conformidad con las “Normas Generales de Auditoría para el Sector Público” (R-DC-64-2014) y las “Normas para el Ejercicio de la Auditoría Interna en sector Público”.
1.9.- LIMITACIONES
a. La Función de Tecnologías de Información de la DGAC ha pasado por cuatro jefes en el año 2022, y cada uno en su momento intervino en la contratación y ejecución del proyecto de forma particular, por lo que puede faltar información durante el desarrollo de este estudio por debilidades en el sistema de control de la función y la gestión documental.
b. La DGAC también tiene un nuevo director general, quien no ha estado involucrado en la adquisición del Centro de Datos desde su inicio, por lo que puede faltar información sobre la definición y formalización de la iniciativa de la contratación, su alcance y expectativas estratégicas.
1.10.- GENERALIDADES DEL ESTUDIO
Desde el 2019, por medio del informe № AI-14-2019, la Auditoría Interna del CETAC emitió la alerta relacionada con la finalización de la contratación de servicios especializados del Consorcio CODISA, CMA, BCNetwork y Fusionet, que presentaba un riesgo alto, ya que existía el peligro “de no contar con un centro de datos suficiente y en un tiempo prudente para finalizar el contrato con el Consorcio”, y se emitió como
INFORME AI-01-2023
recomendación a la persona encargada de la Unidad de Tecnologías de Información: “Establecer, con la máxima prioridad, la estrategia para la eventual finalización de los servicios contratados, y los lineamientos para la adquisición de un nuevo centro de datos, si aplica y es de interés de la Institución, ya sea por un centro de datos propio o tercerizado”.
Durante el 2021 y 2022, la Administración de la DGAC, a través de la Unidad de TI, realizó las actividades vinculantes con la terminación de la contratación del Centro de Datos administrado por CODISA, y adjudicar por medio de licitación pública la contratación de servicios especializados de administración y operación del Centro de Datos de la DGAC por medio de Martinexsa.
En julio del 2022 inició el proceso de implementación de la infraestructura tecnológica de la DGAC de la mano con el contratista adjudicado, mientras XXXXXX retiraba sus activos y terminaba los servicios vinculantes con infocomunicaciones y servicios complementarios a la operación de Centro de Datos.
A la fecha xx xxxxx de este estudio, la Unidad de Tecnologías de Información había comentado en reunión de trabajo que el p de implementación de la infraestructura tecnológica de la DGAC, tanto el centro de datos principal (implementado en ADN Data Center) como su sitio alterno (implementado en las oficinas centrales de la DGAC), estaba finalizado, incluyendo la habilitación de servicios digitales y acceso a sistemas, y se encontraba en proceso de estabilización para dar por cerrada la etapa de implementación y empezar con la entrega del servicio especializado en producción. A la fecha xx xxxxx de este estudio, la etapa de implementación no se había formalmente finalizada.
El alcance de la contratación del servicio administrado incluye la implementación y soporte de los activos tecnológicos sustantivos de la DGAC, infocomunicaciones y servicios públicos vinculantes, administración y control de ambientes productivos y de pruebas en centro de datos, seguridad y continuidad, soporte técnico y mantenimiento de la plataforma. Según la Función de TI, el servicio adquirido cuenta con mayor valor agregado a la Institución tanto en alcance de la contratación como en los servicios administrados vinculantes, reduciendo además su riesgo en materia de fiscalización de contrato y SLAs (SLA, Service Level Agreement, o Acuerdo de Nivel de Servicio y gestión de la infraestructura tecnológica).
INFORME AI-01-2023
1.11.- COMUNICACIÓN DE RESULTADOS
En atención a lo señalado en la Norma № 205 (Comunicación de resultados) de las Normas Generales de Auditoría para el Sector Público, el 24 xx xxxxx del año en curso se remitió nota con el fin convocar a la conferencia final con el propósito de atender, escuchar y valorar opiniones, discrepancias y aportes que puedan surgir de los resultados finales que obtuvimos durante el estudio. Este ejercicio se llevó a cabo el 00 xx xxxxx xxx 0000 xx xxxxxx virtual, con la presencia, por parte de la Administración de:
Xx. Xxxxxxxx Xxxxxxx Xxxxxxxx, Director General Xx. Xxxx Xxxxxxx Xxxxx; Sub Director General Xxx. Xxxxxx Xxxxxx Xxxxx, Encargada de Despacho
Xx. Xxxxx Xxxxx Xxxxxxxxx, Jefe Tecnologías de Información a. i. Xx. Xxxx Xxxxxxxxxx Xxxxxxxx, Tecnologías de Información
Por parte de la Auditoría Interna intervinieron:
Xxx. Xxxxxxx Xxxxx Xxxxxxx, Sub Auditora Xx. Xxxxxxxx Xxxxxxxxx Xxxxxxx, Auditor TI Xx. Xxxxxx Xxxxx xx Xxxx, Auditor Externo
Durante ese ejercicio no se formularon observaciones al contenido del informe, por lo cual, no se estimó necesario, llevar a cabo adecuaciones al mismo.
INFORME AI-01-2023
Considerando los resultados de la evaluación de control interno realizada por la Auditoría Interna a percepción de los auditados y con criterios establecidos por la misma Auditoría; encontramos que el sistema de control interno que prevalece es: malo.
A partir de estos resultados se realizaron las pruebas correspondientes, resultando lo que se detalla a continuación:
2.1.- HALLAZGO 1 DEBILIDADES EN EL SISTEMA DE CONTROL INTERNO INSTITUCIONAL
El 01 xx xxxxx del año 2022 se dio la orden de inicio a Martinexsa para implementar y habilitar la infraestructura tecnológica de la DGAC, incluyendo equipo de almacenamiento, procesamiento, comunicaciones y seguridad.
Paralelo al inicio de las actividades de implementación, CODISA mantuvo la operación del centro de datos contratado hasta septiembre del presente año, donde realizó actividades adicionales de transición de plataformas tecnológicas, pasando del Centro de Datos de CODISA a operar el centro de datos alterno de la DGAC mientras se instalaban los equipos en ADN Data Center para funcionar como centro principal.
Durante esta transición, las áreas usuarias de la Institución indicaron que en algunos casos quedaron hasta más de una semana sin servicios tecnológicos (por ejemplo: acceso a internet, acceso a correo electrónico y acceso a sistemas de información), lo que implicó el trabajo en contingencia utilizando documentos físicos o herramientas ofimáticas fuera de línea. Cuando se habilitaron los servicios, las áreas debieron realizar el trabajo de registro y actualización de la información en los sistemas de gestión y operativos que tienen, requiriendo trabajo adicional para actualizar sus sistemas.
Adicional al cambio del Centro de Datos, al momento de cierre de este estudio, la Institución cuenta con un servicio muy limitado para realizar teletrabajo, que ha implicado que las personas deban regresar a sus lugares de trabajo asignados en las instalaciones de la DGAC, y que el servicio que prestan en sitios regionales esté muy limitado tanto en acceso a los servicios de TI como a sus sistemas.
INFORME AI-01-2023
Esta condición supone debilidades en la estrategia del Sistema de Control Interno Institucional, ya que las áreas no estuvieron preparadas para realizar trabajos en contingencia que minimizara el impacto en la continuidad efectiva de la entrega de servicios Institucionales.
Debilidades en el Sistema de Control Interno hacen que la Institución no cuente con la capacidad de valorar, con la mayor eficiencia y dentro de su mejor esfuerzo, y atender efectivamente las actividades sustantivas y la entrega de servicios que los grupos de interés internos y externos requieren de la Institución.
En las Normas Técnicas para el Gobierno y Gestión de las Tecnologías de Información del MICITT, en el apartado XIV “Aseguramiento”, se indica:
“La institución debe disponer de prácticas formales que permitan la valoración de la disponibilidad y adecuada aplicación de un sistema de control interno para el uso eficiente de los recursos tecnológicos de la institución para lograr mantener la continuidad de las operaciones, salvaguarda y protección de la información y los activos asociados a su captura, procesamiento, consulta, almacenamiento y transferencia y la gestión apropiada de los riesgos asociados.”
Además, en la misma norma, en el apartado XIII “Continuidad y disponibilidad operativa de los servicios tecnológicos”, se indica:
“La institución debe establecer formalmente prácticas que le permitan realizar valoraciones sobre la resiliencia institucional, disponiendo de una estrategia viable y rentable que coadyuve a mantener la continuidad de las operaciones habilitadas por el uso de recursos tecnológicos, la recuperación ante un desastre y la respuesta ante incidentes, disponiendo de un plan de continuidad elaborado a través de la identificación y análisis de procesos y activos críticos.”
INFORME AI-01-2023
2.2.- HALLAZGO 2 DEBILIDADES EN EL SISTEMA DE CONTROL INTERNO DE TECNOLOGÍAS DE INFORMACIÓN
Como se mencionó en el hallazgo anterior, la Unidad de Tecnologías de Información requirió ejecutar actividades vinculantes con la transición de la entrega de servicio especializado por parte de CODISA y Martinexsa. El mayor riesgo que la Unidad de TI comentó sobre esta transición, fue la entrega de la información productiva de la Institución, indicando el contratista anterior que no podía dar garantía que la información estuviera completa y como fuese requerida. En reunión de trabajo con la Unidad, se indicó que la base de datos entregada por CODISA funciona correctamente y está completa.
De igual forma, la Unidad de TI de la DGAC indicó que al menos por cuatro días, los servicios entregados de TI estuvieron inhabilitados y el acceso no disponible, en lo que se habilitaba la entrega de los mismos en oficinas centrales, regionales y aeropuertos, en ese orden prioritario.
También, parte del atraso en la entrega de servicios, principalmente en las regionales, se debió a la entrega de servicios públicos de los proveedores en las zonas que quedaron rezagadas, sobre todo en permisos en el uso de postes para cableado de comunicaciones.
Y como afectación particular, el cambio en la plataforma ha provocado complicaciones en la finalización del desarrollo y entrega del Sistema de Facturación, del cual dependen varias áreas estratégicas, al limitar el acceso al ambiente de pruebas institucional y en la compatibilidad de la plataforma y el sistema desarrollado, según comentaron los usuarios interesados.
Esta condición evidencia debilidades en el sistema de control interno de TI para el control y entrega de los servicios vinculantes. Al igual que con el hallazgo anterior, debilidades en el Sistema de Control Interno puede limitar la forma en que la Función de TI identifica, planifica y atiende eventos que impacten negativamente en la continuidad de las actividades sustantivas de la Institución, así como la entrega de servicios requeridos.
En las Normas Técnicas para el Gobierno y Gestión de las Tecnologías de Información del MICITT, en el apartado XIV “Aseguramiento”:
“La Unidad de TI debe incorporar prácticas de valoración para el aseguramiento sobre la entrega de servicios y el uso óptimo de los recursos tecnológicos
INFORME AI-01-2023
instalados para apoyar a la institución en la continuidad de sus operaciones, salvaguarda y protección de la información y activos asociados y la implementación de iniciativas para el logro de los objetivos institucionales.”
2.3.- HALLAZGO 3 FALTA DE ALINEACIÓN ENTRE LA ESTRATEGIA INSTITUCIONAL, LA OPERACIÓN SUSTANTIVA Y EL ÁREA DE TI
En reuniones de trabajo con las principales áreas sustantivas de la DGAC, que, además, estuvieron presenten durante la ejecución de la transición y habilitación del nuevo proveedor de servicios especializados para el Centro de Datos Institucional, se les consultó sobre su participación e involucramiento en la identificación de necesidades y oportunidades de cara a la adquisición de un centro de datos nuevo. De los usuarios entrevistados, ninguno confirmó su involucramiento o participación en la identificación de requerimientos del área de cara a tecnologías de información.
De igual forma, en entrevista con la Función de TI se comentó que los usuarios tuvieron una mínima o ninguna participación en la definición de los términos de referencia para la contratación de los servicios especializados, de cara a requerimientos vinculantes con ampliación del alcance de los sistemas de información, adquisición de nuevos servicios o necesidades que tengan.
Complementario a esta condición, en el 2022 la Auditoría Interna del CETAC desarrolló el Informe AI-03-2022, el cual, de la mano con la realimentación de las áreas sustantivas de la DGAC, se identificó una brecha por considerar por parte de la Administración Superior de la Institución para ser incorporado en sus iniciativas. A la fecha xx xxxxx de este estudio, no se ha recibido evidencia de que se esté gestionando un plan de acción para atender la brecha identificada.
Esta condición se materializa al no contar con una estructura multidisciplinaria que permita articular la identificación de necesidades, oportunidades y la priorización de atención en materia de Tecnologías de Información para la DGAC.
La falta de alineación entre las áreas estratégicas, sustantivas y la Función de TI ponen en riesgo el materializar la pérdida de oportunidad de atender oportunidades y necesidades que las diferentes áreas de la Institución tienen,
INFORME AI-01-2023
desatender iniciativas que requieren, y la resistencia en la adopción y aprovechamiento de herramientas tecnológicas disponibles.
En las Normas Técnicas para el Gobierno y Gestión de las Tecnologías de Información del MICITT, en el apartado I “Gobernanza”, se indica
“La entidad pública debe tener un órgano rector que permita establecer las prioridades en cuanto al cumplimiento de estrategias propuestas por tecnologías de información…
[…] Al estar integrado por las máximas autoridades de gobierno y administración de la Institución, junto con la unidad de Tecnologías de la Información y Comunicaciones, y la Dirección de Planificación Institucional asume como cuerpo colegiado, la toma de decisiones sobre temas estratégicos asociados con las TIC que inciden en la prestación de los servicios a los usuarios.”
2.4.- HALLAZGO 4 DEBILIDADES EN LA ESTRUCTURA ORGANIZACIONAL DE LA FUNCIÓN DE TI
Desde el 2019, por medio del informe AI-14-2019, la Auditoría Interna del CETAC, ha alertado sobre la necesidad de realizar una restructuración y robustecimiento de la Función de Tecnologías de Información, de cara a la atención y satisfacción de los usuarios de la DGAC y la atención eficaz de oportunidades, necesidades y de mitigación de eventos que impacten a la Institución.
En reunión de trabajo con la función de TI de la DGAC, el jefe responsable del área indicó que el no contar con personal técnico suficiente ha sido un factor crítico que ha hecho que no se atiendan con prontitud los eventos materializados que impactan la operación de misión crítica de la Institución.
Esta condición se materializa por una ausencia de un estudio formal de capacidades de la Función de TI de cara a la atención de necesidades operativas y estratégicas de la DGAC. Además, como se menciona en el hallazgo anterior, no hay un estudio formal sobre necesidades de priorización y atención entre áreas estratégicas, sustantivas y la Función de TI, por lo que no se puede cuantificar la necesidad de atención y respuesta que la Institución necesita de cara a los servicios tecnológicos y continuidad.
INFORME AI-01-2023
La falta de una estructura organizacional robusta de la Función de TI hace que la Institución esté muy limitada en su accionar al momento de implementar iniciativas de carácter tecnológico, además de dificultar la gestión efectiva y oportuna de los servicios tecnológicos, la atención de incidentes y el soporte a nuevos proyectos.
En las Normas Técnicas para el Gobierno y Gestión de las Tecnologías de Información del MICITT, en el apartado XII “Administración Infraestructura Tecnológica”, se indica
“La Unidad de TI debe disponer de una estructura formal que permita a las unidades usuarias gestionar solicitudes de nuevos servicios (mejoras, mantenimiento, inclusión), reportar incidencias que impacten en la operativa de los procesos; pudiendo ser atendidas y escaladas en un modelo de priorización de respuesta.”
2.5.- HALLAZGO 5 FALTA DE ACUERDOS DE NIVEL DE SERVICIO FORMALES (SLAS)
Desde el 2020, por medio del informe AI-12-2020, la Auditoría Interna del CETAC ha alertado sobre la necesidad de formalizar los SLAs con las diferentes áreas sustantivas, estratégicas y de soporte de la Institución, además de un instrumento que le permita certificar la entrega eficiente de servicios tecnológicos y formalizar los acuerdos de las diferentes áreas de la DGAC.
Esto continúa evidenciando una debilidad con respecto al seguimiento de la ejecución de las actividades vinculantes con la entrega de Servicios de TI, así como la falta de insumos para evaluar la eficiencia y el cumplimiento de la entrega de resultados de una manera objetiva y formal.
La falta de instrumentos formales para la gestión de la entrega de servicios basado en acuerdos formales dificulta la evaluación objetiva de la Función de Tecnologías de Información y sus actividades operativas, la evaluación de mejora continua en la entrega de servicios tecnológicos, y la medición del desempeño en materia de soporte, desarrollo y atención de oportunidades.
INFORME AI-01-2023
En las Normas Técnicas para el Gobierno y Gestión de las Tecnologías de Información del MICITT, en el apartado II “Gestión de TI”, se indica
“La institución debe implementar y mantener prácticas de gestión de las TI, que defina formalmente los siguientes componentes para la entrega de servicios al nivel de tecnologías de información en alineación con el marco estratégico y el modelo de arquitectura empresarial:
[…]
3. Servicios, formalmente establecidos a través de un catálogo y las relaciones de acuerdos con las unidades funcionales, de forma tal que se pueda administrar adecuadamente la infraestructura tecnológica instalada en la organización para asegurar la continuidad de las operaciones institucionales, el resguardo de la información, el cumplimiento regulatorio y la mejora continua hacia el logro de los objetivos institucionales.”
INFORME AI-01-2023
De acuerdo con los resultados del estudio, se tiene que:
1. La DGAC presenta debilidades relacionadas con su sistema de control interno, orientado a la continuidad de sus operaciones y formalización de estrategias de operación en contingencia, cuando los servicios de TI institucionales no estén disponibles o requieran de un período de optimización y estabilización de entrega (Comentario 2.1).
2. De igual forma, la Función de TI de la DGAC presenta debilidades en su sistema de control, al existir la posibilidad de no contar con los datos institucionales o no fueran entregados con la calidad necesaria por parte de CODISA, perder los servicios tecnológicos en su totalidad, y limitar la entrega de servicios para teletrabajo (Comentario 2.2).
3. La DGAC no cuenta con un órgano integrador que alinee la estrategia institucional, la práctica operativa sustantiva y la Función de TI para articular la integración de requerimientos y necesidades en materia tecnológica a nivel institucional (Comentario 2.3).
4. En reiteradas ocasiones, la Función de TI de la DGAC ha mencionado como parte de sus necesidades, el robustecimiento de su estructura organizacional, de cara a la atención oportuna de los usuarios, eventos materializados, y un soporte efectivo a la infraestructura tecnológica (Comentario 2.4).
5. Como se ha mencionado en informes anteriores, no se cuentan con lineamientos para realizar evaluaciones sobre la entrega de servicios tecnológicos, y no se han establecido los SLAs que permita fiscalizar objetivamente su disponibilidad, eficiencia y recuperación ante incidentes (Comentario 2.5).
INFORME AI-01-2023
IV. RECOMENDACIONES Al Consejo Técnico de Aviación Civil
1. Aprobar el Informe y ordenar la implementación de las recomendaciones
incluidas en el mismo.
2. Solicitar a la Dirección General articular los esfuerzos necesarios para establecer una estrategia institucional en lo relacionado con las tecnologías de información de la DGAC, de manera tal que permita un alineamiento y dar solución a las debilidades operativas y técnicas que ha venido presentando la Unidad de Tecnologías de Información. (Conclusión 5).
A la Dirección General de Aviación Civil
3. Desarrollar, en conjunto con personal clave, el robustecimiento del sistema de control interno, de cara a la continuidad de los servicios y la entrega de productos a los grupos de interés internos y externos (Conclusión 1).
4. Articular los esfuerzos para la constitución de una estructura ordenada fiscalizadora de la entrega de servicios de TI y la formalización de iniciativas de carácter tecnológico para su ejecución (Conclusión 3).
5. Articular esfuerzos para desarrollar un levantamiento de necesidades, requerimientos y oportunidades en materia tecnológica con todas las áreas sustantivas, estratégicas y de soporte de la Institución (Conclusión 4).
6. Apoyar a la Unidad de Tecnologías de Información para robustecer el marco de gobierno, operación y supervisión de la Función y de la entrega efectiva de servicios en materia tecnológica, tanto en su estructura organizacional como en SLAs (Conclusiones 4 y 5).
Al responsable de la Unidad de Tecnologías de Información
7. Desarrollar, en conjunto con personal clave, el robustecimiento del sistema de control interno, de cara a la entrega de los servicios, la continuidad operativa, la recuperación de ambientes y actividades en contingencia, cuando apliquen (Conclusión 2).
INFORME AI-01-2023
8. Involucrarse en el planteamiento y desarrollo de la Estructura Organizacional para la Función de TI, entregando evidencia de la capacidad operativa y administrativa de la Unidad, capacidades de la infraestructura tecnológica y cargas de trabajo (Conclusión 4).
9. Desarrollar, en conjunto con personal clave de las diferentes áreas de la Institución, los SLAs para la entrega de servicios de TI e indicadores de desempeño de la Función (Conclusión 5).