Cuando la Auditoría General de la Nación (AGN) quiso medir la “madurez y los riesgos” de la tecnología que usa el Instituto Nacional de Estadísticas y Censos (INDEC) para manejar su información, se encontró justamente con eso: riesgos y madurez. Bastante madurez. Es que, según un informe del organismo de control, “el equipamiento, en promedio, está desactualizado diez años, y servidores, PC de escritorio, elementos de conectividad de redes e instalaciones son, en su mayor parte, obsoletos”.

Tal es así, que los auditores encontraron algunas máquinas en las que “no puede usarse el antivirus contratado (por el Instituto), porque su exigua potencia, consecuencia de la antigüedad, impide la instalación” del protector. El informe, aprobado este año sobre datos de finales de 2009, añade que, “para solucionar en parte este problema, se instala una versión de prueba de otro proveedor”, que dura 90 días.

“Existen usuarios de PC que son administradores de sus equipos”, dice la AGN, y explica: “Esto les permite instalar, sin control de la Dirección de Informática (del INDEC), software que pueda contener virus o cuya licencia no sea legal”. Así, se pone en riesgo la red de datos y, al mismo tiempo, se expone al Instituto a posibles sanciones judiciales.

Volver al futuro

El trabajo de la Auditoría sostiene que “la red de datos del Instituto está desactualizada tres generaciones, lo que pone en riesgo la información que circula en ella. De hecho –agrega-, ya no era de última tecnología cuando se procedió a su instalación, en 1993”.

Más sobre este punto. Los técnicos definieron a la red de datos como “precaria, no sólo por su antigüedad tecnológica, sino por la falta de mantenimiento adecuado”. Además, se registra “dispersión entre diferentes tecnologías de bases de datos, algunas discontinuadas desde hace años, lo que impide su integridad y la compatibilidad” con los mecanismos del Instituto. Y los técnicos también observaron una “gran cantidad de sistemas operativos, algunos –dada su antigüedad- ya no tienen soporte por parte del fabricante”.

Asimismo, el INDEC no impuso un estándar para recibir datos en un sólo formato, lo que complica la posibilidad de hacer controles automatizados de la información que centraliza de distintas fuentes.

Para la Auditoría, la situación se “agrava por la falta de mantenimiento de la red, del hardware y el software”. Es que “no existen políticas ni procedimientos que aseguren que la instalación (de tecnología) y su mantenimiento se realicen de acuerdo a un marco definido y debidamente aprobado”.

Por otra parte, el Instituto reconoció que no tiene un inventario completo y actualizado del equipamiento informático de sus oficinas. De los datos que recibió la AGN, se observó una “gran diversidad de tecnologías y plataformas. Y muchos de los servidores que se ocupan de tareas auxiliares son PC potenciadas, con una antigüedad excesiva para el uso que se les está dando”.

Autonomía

La Auditoría también resaltó un aspecto de la estructura del INDEC: “En cuanto a su organización, aparece como internamente descentralizado en el tema informático. De las siete Direcciones Nacionales que dependen (de la primera línea del organismo) tres tienen su propio sector de desarrollo de sistema”, dice el informe y enumera la Dirección de Estadísticas del Sector Externo; la de Precios de la Producción y el Comercio; y la de Condiciones de Vida, que es la que se encarga de elaborar el índice de precios al consumidor (IPC).

Estas direcciones –estructuras informáticas autónomas, según las palabras de la AGN-, no responden al titular de Informática del INDEC, sino que programan, mantienen sus aplicaciones y operan sus datos “con un nivel de autonomía que impide un funcionamiento orgánico del conjunto y provoca riesgo adicional a los ya mencionados”. El organismo de control suma un dato: las acciones de las direcciones autónomas se llevan adelante “sin cumplir con los requisitos necesarios para asegurar su correcto funcionamiento”.

Las oficinas

“El centro de cómputos se encuentra ubicado en un lugar que no cumple con los requerimientos mínimos de seguridad; no posee un sistema automático de extinción de incendios y el de detección no funciona por falta de mantenimiento”, cuentan los auditores, y adjuntan que el lugar “no posee piso técnico, se encuentra alfombrado y en mal estado de conservación”.

Para completar, la AGN sostuvo que la disposición del equipamiento no facilita los trabajos de mantenimiento, y “existe el riesgo de que un movimiento involuntario desconecte la red eléctrica” a los equipos instalados en las oficinas.

Normas internacionales

El informe de la Auditoría (que dedica un espacio a aclarar que no se chequearon los procedimientos de cálculos de índices ni los métodos de selección de datos), analizó la situación del INDEC en función de unas normas conocidas como Objetivos de Control de la Información y las Tecnologías Relacionadas (COBIT, según sus siglas en inglés).
 
A partir de estos parámetros, se concluyó que “el 96,9% de los objetivos de control se encuentran en los niveles más bajos del modelo y ninguno alcanza el valor mínimo recomendable” en las COBIT. Puntualmente, la AGN afirma que el nivel de riesgo promedio resultó del 74%, cuando lo aceptable es no superar el 20%.

Como la función del INDEC es recabar grandes volúmenes de datos, y procesarlos para obtener estadísticas de nivel nacional, la Auditoría enfatizó que “es recomendable la utilización esmerada de las mejores prácticas en Tecnologías de la Información”.