GCIA. PLANIFICACIÓN Y PROYECTOS ESPECIALES Dto. de Auditoría Informática Gestión de la Tecnología Informática (TI) NUCLEOELÉCTRICA ARGENTINA S.A. (NA.SA) Informe aprobado por Resolución AGN 072/14 ACLARACIONES PREVIAS OBJETO DE AUDITORÍA Nucleoeléctrica S.A. (NA-SA) es la entidad responsable de las licencias de operación y/o construcción de las Centrales Nucleares Atucha I, Atucha II y Embalse. Se dedica a la generación nucleoeléctrica vinculada a la Central Nuclear Embalse de Río Tercero y a la construcción, puesta en marcha y operación de la Central Nuclear Atucha II respetando las normas vigentes en materia de seguridad nuclear y radiológica, y las que defina el Ente Nacional Regulador Nuclear y las que regulan el Mercado Eléctrico Mayorista (Ley 24.065, del 30/08/94; Dto. 1540/94, art. 1°). Evaluación de la Tecnología Informática (TI) en Nucleoeléctrica Argentina S.A., organismo descentralizado en el área del Ministerio de Planificación Federal, Inversión Pública y Servicios. El manejo de TI del organismo lo realiza un departamento en la administración central y divisiones en Embalse y Atucha I y en la administración de la obra de Atucha II, todas independientes entre sí tanto funcional como orgánicamente. La TI que soporta las acciones de NA-SA se divide en cuatro sectores: AUTORIDADES AGN Presidente Dr. Leandro O. Despouy Auditores Generales Dr. Vicente Brusca Dra. Vilma Castillo Dr. Francisco Fernández CPN Oscar Lamberto Dr. Alejandro Nieva Dr. Horacio F. Pernasetti AGN Hipólito Yrigoyen 1236 (C1086AAV) CABA – Argentina Tel.: (54 11) 4124-3700 Fax: (54 11) 4124-3775 [email protected] NASA Administración Central Central Atómica Atucha 1 Central Atómica Atucha II Central Atómica Embalse Río Tercero La TI vinculada a la operación de las centrales es auditada periódicamente por organismos internacionales especializados en la materia. CONCLUSIONES La gestión de la TI para el control de las centrales nucleares es muy diferente de la utilizada para la administración del organismo. En cuanto al primer aspecto, la auditan periódicamente organismos internacionales especializados; nuestra labor se orientó a inconvenientes con el espacio físico asignado a los centros de cómputo y a los correspondientes ambientes de trabajo. En cuanto al segundo aspecto (la TI de gestión administrativa), mereció un análisis más amplio, en el que se destaca lo siguiente: La madurez de la TI se encuentra entre el nivel inicial y repetible (ver “Niveles del Modelo Genérico de Madurez”, abajo). - La organización carece de un Plan Estratégico al que pueda alinearse uno similar, referido a cuestiones de TI, que permita el seguimiento y el grado de avance, a efectos de detectar y evitar desvíos en los plazos, costos y metas previstas. - No hay gestión centralizada de TI para: Administración de Proyectos Aseguramiento de la Calidad Administración de Riesgos Enfoque de Monitoreo Arquitectura de la Información - No hay definido un modelo de arquitectura de la información que abarque la organización íntegra. Dentro de la estructura orgánica de la organización, las áreas de TI están dispersas en cinco unidades distribuidas en las centrales nucleares y la administración central. No guardan entre sí relaciones jerárquicas ni orgánicas; en consecuencia, hay multiplicidad de criterios, funciones y esfuerzos. - La ubicación de estas unidades de TI dentro de la estructura orgánica no garantiza su independencia respecto de las áreas usuarias, por lo que no asegura la atención de todos los sectores de la organización. Esto limita el alcance de los servicios de TI y posibilita que haya áreas usuarias que también realicen actividades de desarrollo, mantenimiento de software y almacenamiento de datos. - En el organigrama de TI, falta cubrir posiciones y determinar otras claves, que no han sido definidas. Dadas las limitaciones para cubrirlas y los largos periodos para la contratación de personal, hay una alta dependencia de individuos clave y tercerización de servicios. Se depende mucho de personal externo, con el consiguiente riesgo de pérdida de conocimiento y de exponer información sensible al manejo de los proveedores. - Dada la falta de un criterio único y de alcance total para el organismo sobre la administración y seguridad de las comunicaciones, esta auditoría ha detectado: Múltiples contrataciones de servicios de internet, que aumentan los costos, los esfuerzos del monitoreo y las gestiones de penalizaciones por variaciones de servicio. Falta de control en la administración de firewalls tercerizada. Diferentes soluciones de seguridad implementadas. Vulnerabilidades potenciales ante las limitaciones de alcance de las áreas de TI en la administración de las redes. Mayor complejidad en la planificación y capacitación del personal. Falta de criterios únicos para los centros de cómputos existentes, con las consiguientes falencias en seguridad, disponibilidad y mantenimiento. - En el organismo no hay una política activa de concientización y capacitación de alcance íntegro en materia de TI que permita la especialización del personal técnico y la correcta utilización de las tecnologías por toda la organización. - Debilidades en la administración de los datos, accesibles en forma remota a proveedores de servicios externos. CENTRALES NUCLEARES ARGENTINAS En la Argentina hay dos centrales nucleares en funcionamiento, Atucha I y Embalse, que proporcionan cerca del 8% de la energía distribuida por el sistema interconectado nacional. Una tercera, Atucha II, está en la etapa final de construcción. La Comisión Nacional de Energía implementa el Proyecto Extensión de Vida: se utiliza la central al 80% de su capacidad para así extender la vida útil que depende del total de la potencia generada. NIVELES DEL MODELO GENÉRICO DE MADUREZ 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados, pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, con base en los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios .