Área de controles generales de los sistemas de información

En el ámbito de los controles generales de los sistemas de información se han identificado una serie de áreas de mejora que se detallan a continuación:

Estrategia y organización

- Si bien el CSI ha elaborado un plan anual de objetivos y prioridades, por su alcance temporal no puede ser asimilado a una estrategia a medio/largo plazo. Sería recomendable desarrollar un plan director de sistemas, que facilite el control sobre las inversiones en materia tecnológica.

Dicho plan director deberá contemplar tanto las necesidades funcionales de las diferentes áreas usuarias como aquellas iniciativas propias del CSI orientadas a la mejora de los procesos de gestión interna y el aumento del nivel de control sobre los sistemas de información.

El plan deberá ser respaldado por los órganos de dirección de la Conselleria, para lo cual se recomienda implementar mecanismos de aprobación formalizada así como de evaluación periódica del cumplimiento y vigencia de dicho plan director. - Desde un punto de vista de la organización que da soporte a la función de sistemas

de información dentro de la CEHE, se ha identificado que, algunos de los puestos del CSI que requieren una elevada cualificación técnica y/o disponibilidad horaria, no se encuentran clasificados de forma adecuada en la relación de puestos de trabajo. Se recomienda realizar un estudio sobre las funciones y responsabilidades de los puestos clave de la organización de CSI y adecuar la clasificación de los puestos a los niveles de responsabilidad asignados en la práctica.

Operación de los Sistemas de Información

- Debe desarrollarse un plan de gestión de la continuidad de negocio, que contemple, en sentido amplio, todos los activos que dan soporte a sus procesos (personas, instalaciones, proveedores, sistemas de información, etc.), sus requisitos de disponibilidad, el desarrollo de los correspondientes planes de

recuperación en caso de ocurrencia de una contingencia grave que afecte a su disponibilidad, así como los mecanismos orientados a garantizar la validez de dichos planes de manera continuada en el tiempo.

- Debe desarrollarse un plan de recuperación ante desastres, que permita la recuperación de los sistemas de información tras la ocurrencia de una contingencia que afecte a los sistemas de producción.

Aunque se dispone de una arquitectura de alta disponibilidad para los servidores de aplicación, basada en la existencia de clústeres de servidores, todos los equipos se ubican en un mismo CPD. Por tanto, en el caso de ocurrir un desastre que afectase al CPD, se perderían, de forma irreversible, los sistemas de producción junto con las configuraciones de los sistemas y la lógica de las aplicaciones. La reconstrucción de esta pérdida (las principales aplicaciones de la CEHE) podría prolongarse durante meses.

No obstante, cabe señalar que entre los proyectos iniciados en el momento de redactar este Informe, se encuentra la puesta en producción de un CPD de respaldo para los sistemas ubicados en la red de área local de la conselleria, así como de los datos y las aplicaciones corporativas. En alegaciones, nos han confirmado que

“durante los últimos meses de 2009 se ha adquirido el hardware necesario para disponer de una copia remota en línea de todos los sistemas de información, de forma que su recuperación en caso de desastre se pueda realizar en un tiempo razonable. Está en redacción el pliego de contratación del servicio de alojamiento de dichos servidores. Esta medida paliativa se complementará a lo largo de 2010 con la contratación de un Plan de gestión de la continuidad de negocio de los sistemas corporativos principales del Centro de Sistemas de Información, donde se documentarán a mayor nivel de detalle los procedimientos de gestión de dichos sistemas”.

- Los procedimientos de gestión de operaciones de sistemas de información no se encuentran, en general, formalizados y aprobados. El nivel de documentación disponible en relación con los procedimientos es escaso. Disponer de documentación sobre los procedimientos de gestión reduce la probabilidad de errores en la gestión de los sistemas de información y reduce la dependencia de las tareas respecto al personal que las ejecuta. En este sentido, se recomienda reforzar el nivel de documentación de los procedimientos para los principales procesos de gestión de los sistemas de información de la CEHE.

Seguridad lógica

- No se han identificado unas políticas de seguridad de la información de la Generalitat Valenciana formalizadas y aprobadas a un adecuado nivel. Se ha identificado un borrador de política de seguridad de la información, emitido por el llamado Comité de Seguridad, sin la aprobación del máximo nivel directivo.

Con el fin de garantizar su obligatoriedad y la alineación con los objetivos estratégicos de la Generalitat Valenciana, se recomienda que, a propuesta del centro directivo que corresponda, se lleve a cabo la aprobación formalizada de una política de seguridad de la información de la Generalitat mediante decreto del Consell.

En paralelo, se recomienda que, a nivel de la CEHE, se desarrolle un cuerpo normativo de seguridad, que contemple los procedimientos y normas para la gestión y administración de la seguridad de sus activos de información. Para ello, se recomienda que dicho desarrollo se base en los estándares de referencia comúnmente aceptados, tales como la norma ISO 27001 de Gestión de Seguridad de la Información. Dicho desarrollo deberá estar alineado con la Política de Seguridad de la Información de la Generalitat, una vez ésta sea aprobada.

- De acuerdo con lo informado por la CEHE en las alegaciones, se ha “resuelto por

la titular de la Conselleria de Justicia y Administraciones Públicas, el inicio de la tramitación del Proyecto de Decreto del Consell, por el que se aprueba la política de seguridad de la información en el ámbito de la administración de la Generalitat y de su sector público dependiente. Una vez publicado dicho Decreto, si perjuicio del Plan de comunicación general, la subsecretaría iniciará a continuación un plan de comunicación propio a todos los empleados de la misma”.

- En lo referente a las medidas relacionadas con el control de acceso a las principales aplicaciones que soportan los procesos de gestión de los gastos de personal, se han identificado algunas debilidades y para su subsanación se recomienda revisar y formalizar los procedimientos para la gestión de usuarios. - Durante la realización del trabajo, se han puesto de manifiesto deficiencias (que

exceden las competencias del CSI) frente a lo establecido en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD), y para las que sería aconsejable implantar medidas correctoras. Control de cambios de programas

Se está llevando a cabo un proyecto (REBECA) para el alineamiento del CSI con el estándar CMMI nivel 2, que se encuentra en sus primeras fases de implantación y no ha alcanzado el nivel de desarrollo necesario para definir e implantar, de forma adecuada, todos los controles necesarios en la gestión de desarrollo de proyectos. La implantación completa de dicho proyecto permitirá abordar y subsanar las siguientes incidencias: - Los desarrollos realizados en el Servicio de Aplicaciones Financieras (responsable

del desarrollo de las aplicaciones que soportan el proceso de gastos de personal) no han estado sujetos a una metodología de desarrollo y gestión de proyectos formalizada. Por tanto, se aconseja que se continúe en la línea de trabajo abierta para la implantación de una metodología de desarrollo y mantenimiento de aplicaciones, formalizada.

- Los controles definidos sobre el pase a producción (entrada en funcionamiento de nuevos desarrollos de las aplicaciones) y el nivel de segregación de funciones entre los entornos de desarrollo y producción no se consideran suficientes. Se recomienda que se mejore la segregación de funciones entre el entorno de producción y los entornos de desarrollo.

- Aunque se dispone de ella, no está completamente implantada una herramienta de control de versiones que soporte y controle la modificación y traspaso entre entornos de los elementos software durante el ciclo de vida de desarrollo, lo que incrementa de forma significativa la probabilidad de ocurrencia de errores que afecten en los despliegues a producción del software de aplicación y que podrían provocar fallos en la integridad de la información financiera.

- Relacionado con el ciclo de vida de desarrollo, sería aconsejable abordar un proyecto que permitiese incrementar el grado de similitud entre el entorno de pruebas y el entorno de producción, con el fin de disponer de un entorno donde realizar juegos de prueba completos que permitan elevar el nivel de calidad de las pruebas realizadas, de forma que se minimice la probabilidad de errores en el funcionamiento posterior de las aplicaciones que podría provocar fallos de integridad en la información financiera.

13.5 Área de controles sobre el proceso de gestión de elaboración de las nóminas