Lotería Nacional Sociedad de Estado - Auditoría Informática

Evaluación de la Tecnología Informática

de Lotería Nacional Sociedad de Estado

Auditoría General de la Nación

Gerencia de Planificación y Proyectos Especiales

Departamento de Auditoría Informática

Índice

1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1

2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 2 2.3. Procedimientos de Auditoría ................................................................................................................... 4 2.4. Limitaciones ............................................................................................................................................ 7

3. ACLARACIONES PREVIAS ........................................................................................... 7 3.1. Contexto general de los juegos de azar en la Argentina .......................................................................... 7 3.2. Lotería Nacional Sociedad del Estado ................................................................................................... 11 3.3. Los sistemas de información relacionados con LNSE .......................................................................... 18 3.4. Las “máquinas tragamonedas” y el sistema de interconexión ............................................................... 20

4. COMENTARIOS Y OBSERVACIONES ....................................................................... 25 4.1. GESTIÓN INFORMÁTICA ................................................................................................................. 25 4.1.1. PLANIFICAR Y ORGANIZAR ........................................................................................................ 25

4.1.1.1 Definir un plan estratégico para TI ............................................................................................... 25 4.1.1.2 Definir la arquitectura de información ......................................................................................... 26 4.1.1.3 Determinar la dirección tecnológica ............................................................................................. 28 4.1.1.4 Definir los procesos, organización y relaciones de TI .................................................................. 29 4.1.1.5 Administrar la inversión en TI ..................................................................................................... 31 4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia ............................................................ 32 4.1.1.7 Administrar los recursos humanos de TI ...................................................................................... 33 4.1.1.8 Administrar la Calidad ................................................................................................................. 35 4.1.1.9 Evaluar y administrar los riesgos de TI ........................................................................................ 36 4.1.1.10 Administrar proyectos ................................................................................................................ 37

4.1.2. ADQUIRIR E IMPLEMENTAR ....................................................................................................... 39 4.1.2.1 Identificar soluciones automatizadas ............................................................................................ 39 4.1.2.2 Adquirir o desarrollar y mantener software aplicativo ................................................................. 40 4.1.2.3 Adquirir y mantener infraestructura tecnológica .......................................................................... 41 4.1.2.4 Facilitar la operación y el uso ....................................................................................................... 41 4.1.2.5 Adquirir recursos de TI ................................................................................................................ 42 4.1.2.6 Administrar cambios .................................................................................................................... 43 4.1.2.7 Instalar y acreditar soluciones y cambios ..................................................................................... 44

4.1.3. ENTREGAR Y DAR SOPORTE ....................................................................................................... 45 4.1.3.1 Definir y administrar los niveles de servicio ................................................................................ 45 4.1.3.2 Administrar servicios de terceros ................................................................................................. 46 4.1.3.3 Administrar el desempeño y la capacidad .................................................................................... 46 4.1.3.4 Garantizar la continuidad del servicio .......................................................................................... 48 4.1.3.5 Garantizar la seguridad de los sistemas ........................................................................................ 48 4.1.3.6 Identificar y asignar costos ........................................................................................................... 52 4.1.3.7 Educación y capacitación de los usuarios..................................................................................... 53 4.1.3.8 Administrar la mesa de servicio y los incidentes.......................................................................... 54 4.1.3.9 Administrar la configuración ........................................................................................................ 55 4.1.3.10 Administración de problemas ..................................................................................................... 56 4.1.3.11 Administración de Datos ............................................................................................................ 57 4.1.3.12 Administración del Ambiente Físico .......................................................................................... 58 4.1.3.13 Administración de operaciones .................................................................................................. 60

4.1.4 MONITOREAR Y EVALUAR .......................................................................................................... 61 4.1.4.1 Monitorear y evaluar el desempeño de TI .................................................................................... 61 4.1.4.2 Monitorear y evaluar el control interno ........................................................................................ 62

4.1.4.3 Garantizar el cumplimiento con requerimientos externos ............................................................ 62 4.1.4.4 Proporcionar gobierno de TI ........................................................................................................ 64

4.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA .......................................................... 66 4.2.1 INFRAESTRUCTURA ....................................................................................................................... 66 4.2.2. FISCALIZACIÓN .............................................................................................................................. 67 4.2.3. OTRAS ............................................................................................................................................... 73

5. RECOMENDACIONES .................................................................................................. 77 5.1. GESTIÓN INFORMÁTICA ................................................................................................................. 77 5.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA ........................................................ 114

6. CONCLUSIONES ......................................................................................................... 116 7. COMUNICACIÓN AL ENTE ....................................................................................... 120 8. LUGAR Y FECHA ........................................................................................................ 121 9. FIRMA ........................................................................................................................... 121 10. ANEXOS ..................................................................................................................... 122

ANEXO I – Comentarios del auditado ....................................................................................................... 122 ANEXO II – Análisis de los comentarios del auditado .............................................................................. 143 ANEXO III. Niveles del Modelo Genérico de Madurez ............................................................................ 219 ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. . 220 ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la información según los

procesos informáticos considerados ........................................................................................................... 223 ANEXO VI – Imágenes de sala adjunta al Data Center (Casa Central) ..................................................... 231

INFORME DE AUDITORIA

1

Al Señor Presidente de Lotería Nacional Sociedad de Estado

Cdor. Tomás Félix ELIZALDE

En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA

GENERAL DE LA NACIÓN procedió a efectuar un examen en Lotería Nacional Sociedad

del Estado, del ámbito del Ministerio de Desarrollo Social, con el objeto que se detalla en

el apartado 1.

1. OBJETO DE AUDITORÍA

1- Relevar y analizar la gestión informática en el ámbito de Lotería Nacional S.E.

2- Auditar el Control Informático que realiza Lotería Nacional S.E. sobre la

explotación de los juegos que se realizan mediante las “Máquinas Electrónicas y/o

Electromecánicas de juegos de Azar” (MEEJA).

2. ALCANCE

2.1. Ejecución del Trabajo de Auditoría

El examen fue realizado de conformidad con las Normas de Auditoría Externa (NAE)

aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N°

145/93, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la

Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.

Período auditado: 01/01/2014 al 31/12/2014.

Las tareas de campo se desarrollaron de febrero a julio de 2015.


2

2.2. Enfoque del Trabajo de Auditoría

La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en la Lotería

Nacional Sociedad de Estado, en base a la información obtenida, a la identificación de los

temas de mayor exposición al riesgo, y a las pruebas sustantivas y de cumplimiento

realizadas, en especial, con los juegos que producen más del 96% de los ingresos por

operaciones de la organización.1

La auditoría se basó, por una parte, en la verificación de los Objetivos de Control

establecidos por el marco de referencia de buenas prácticas de TI COBIT (Control

Objectives in Information Technologies) versión 4.1. Los Objetivos de Control describen

los resultados que debe alcanzar un Organismo implantando procedimientos, basados en

las mejores prácticas aplicables a los procesos de TI.

Para cada uno de los objetivos evaluados se expone el nivel de madurez alcanzado,

conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. Adicionalmente,

se indican los requerimientos de información -detallados en el Anexo III- afectados para

cada objetivo.

Se destaca que cada Objetivo de Control va acompañado del nivel de “riesgo genérico”

(alto, medio o bajo) que le es propio, tomando en cuenta el impacto que provocaría su

incumplimiento, con independencia de la situación en la que se encuentra el Organismo.

Este nivel genérico es modificado por el índice de madurez correspondiente (dependiente

de las observaciones realizadas) para así establecer el “riesgo específico” de ese objetivo

en particular. Puede consultarse en los gráficos de los Anexos IV y V como un Objetivo de

1 Juegos On-line (39,60%), Máquinas tragamonedas (30,80%), Casino – juegos de mesa (19,08), Bingos

(5,50%) y apuestas hípicas (1,56%).


3

Control con riesgo genérico alto y calificado con un índice de madurez alto, genera un

riesgo específico menor que aquel con riesgo genérico medio o bajo, pero con índice de

madurez bajo.

Por otra parte, la auditoría se basó en la importancia y significatividad de los riesgos

inherentes y de control de los juegos basados en “Máquinas Electrónicas y/o

Electromecánicas de juegos de Azar”.

Para tal fin se desarrollaron tareas de relevamiento y análisis de:

la planificación y organización,

el organigrama del área de tecnología informática y su funcionamiento,

el presupuesto operativo anual del área,

la administración de recursos humanos de TI,

la evaluación de riesgos,

la administración de proyectos,

la administración de calidad,

las prácticas de instalación y acreditación de sistemas y de administración de

cambios,

la definición de los niveles de servicio,

la administración de los servicios prestados por terceros,

la administración de la capacidad y el desempeño,

los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,

la imputación de costos,

la capacitación de los usuarios,

la gestión de los usuarios de la Tecnología de la Información,


4

la administración de la configuración de hardware y software,

la administración de problemas e incidentes,

la administración de datos, de instalaciones y de operaciones,

el monitoreo de los procesos, la idoneidad del control interno y la existencia de

auditoría interna,

documentación normativa del área informática del organismo,

la infraestructura informática del organismo,

los sistemas existentes, en producción y desarrollo,

la adopción de estándares y normativas de la ONTI2 y SIGEN,

la integración de los sistemas

la planificación, misión y metas del organismo,

las leyes y decretos que regulan su actividad,

la verificación del modelo de arquitectura de la información y su seguridad

informática.

La administración usuarios de la red informática,

las políticas y procedimientos,

la documentación de los sistemas.

2.3. Procedimientos de Auditoría

En la etapa de análisis se realizaron los siguientes procedimientos:

2 ONTI: Oficina Nacional de Tecnologías de Información. Entre sus principales funciones están las de

implementar las estrategias de innovación informática en la administración pública, desarrollar sistemas que

son utilizados en procedimientos de gestión, fijar los estándares que deben utilizar los organismos públicos

cuando incorporan nuevas tecnologías, colaborar con otras dependencias en la creación de portales

informativos y de gestión, promover la interoperabilidad de las redes de información de las instituciones

estatales y fijar los estándares de seguridad

También interviene en la implementación y control de uso de la certificación digital en el Estado, que permite

tramitar electrónicamente los expedientes de manera segura y rápida.


5

Evaluación del ambiente de control en la gestión de la Tecnología de la Información y

Comunicaciones.

Realización de entrevistas con los responsables de las diversas áreas relacionadas

directa o indirectamente con la TI.

Verificaciones in situ en los diversos centros de procesamiento de datos, en materia de

seguridad física.

Verificación de la seguridad lógica.

Análisis de información recibida

Evaluación contenido y funcionalidad del sitio web (http:// http://www.loteria-

nacional.gov.ar).

Evaluación contenido y funcionalidad de la Intranet intranet.lotería-nacional.gov.ar

Pruebas de cumplimiento y entrevistas realizadas en las siguientes dependencias del

organismo:

Administración Central

Hipódromo Argentino de Palermo

Barcos-Casinos “Estrella de la Fortuna” y “Princess”

Bingos “Congreso”, “Flores” y “Caballito”

Departamento de Producción

Subgerencia de Casinos

Departamento Operativo de MEEJA

Departamento Administración de Recursos

Subgerencia de Hipódromo y MEEJA

Área de Juego Responsable de Lotería Nacional

Pruebas sustantivas realizadas en Hipódromo Argentino de Palermo y en Casino de

Buenos Aires, sobre los siguientes controles que la Gerencia de Fiscalización de

Lotería Nacional debe realizar según lo estipula el Manual de Tragamonedas:


6

Fiscalización diaria “Audit Test”.

Determinación del beneficio diario.

Etiquetado.

Pagos manuales de premios progresivos.

Comprobación de Inventario.

Fiscalización de máquinas con fallas de transmisión - comunicación.

Control de pozos progresivos.

Altas, bajas y movimientos de MEEJA.

Determinación beneficio líquido mensual.

Control de averías / fallas.

Control de pagos no reflejados en el sistema.

Progresivos que genere pago manual por estar debajo del límite establecido.

Pruebas sustantivas de generación de apuestas sobre una muestra representativa de

máquinas tragamonedas de Hipódromo Argentino de Palermo y Casino de Buenos

Aires, aplicándose muestreo de descubrimiento, con nivel de confianza del 95% y

desvío tolerable del 1%.

Prueba sustantiva sobre la obligación de dotar a cada máquina tragamonedas de un

sistema de energía ininterrumpida, a partir de una muestra representativa de una

población de 6300 máquinas, estratificada en Hipódromo Argentino de Palermo (4700)

y Casino de Buenos Aires (1600), con un nivel de confianza del 95%, error de

muestreo del 8% y error esperado del 60% y 2% respectivamente.

Control de cumplimiento del siguiente marco normativo:

Resolución 48 de SIGEN

Disposición ONTI 3/2013 “Política de Seguridad de la Información Modelo”.

Ley 25.326 “Protección integral de los datos personales”.

Ley 25.506 -Ley de Firma Digital.

Ley 26.653 “Accesibilidad de la Información de las Páginas Web"


7

2.4. Limitaciones

Mediante Nota Nº 58/15-A06, recibida por el ente el 15/05/15, se solicitó información

relativa a usuarios locales y externos –adjuntándose un cuadro modelo para completar los

datos–, con el objeto de evaluar los controles internos sobre perfiles de acceso, separación

de funciones, autorizaciones y permisos habilitados. La solicitud fue reiterada mediante

Notas Nº 75/15-A06 y 83/15-A06, recibidas el 17/06/15 y el 16/07/15, respectivamente.

Con posterioridad a esa fecha se recibe información parcial (Nota Nº 868/15 S.G.), que

resulta insuficiente para completar el objetivo de control.

Respecto de los expedientes que permitirían evaluar el control de los niveles de servicios,

LNSE manifestó que los originales de los contratos con las firmas IGT (soporte y

mantenimiento del Sistema Accounting), y TELMEX y TELEFONICA (servicios de

telecomunicaciones) se encontraban, al momento de ser efectuada la auditoría, a

disposición del Juzgado Federal Criminal y Correccional N°6, y no contaban con las

correspondientes copias.

3. ACLARACIONES PREVIAS

3.1. Contexto general de los juegos de azar en la Argentina

El primer antecedente nacional de juegos de azar se remonta a 1893, cuando se establece la

“Lotería de Beneficencia”, denominación tanto del organismo como del juego que

simultáneamente se creaban. La lotería consistía en la comercialización de billetes al

portador con números pre impresos, determinándose el ganador por sorteo público. Su

finalidad era la recaudación de recursos con destino a políticas públicas sociales.


8

Cincuenta y un años después, el Estado comienza a incursionar en la administración y

explotación de otros juegos de azar, tomando a su cargo los casinos (1944), los

Hipódromos de Palermo y San Isidro, por entonces administrados por el Jockey Club de la

Ciudad de Buenos Aires (1953), el Prode (1971) y la Quiniela (1973).

Con el transcurso de los años el organismo estatal cambia de nombre y condición, aborda

variantes de juegos como el Loto y las Raspaditas, y celebra convenios con diversas

provincias que permiten la comercialización de la Quiniela Conjunta, la Nacional, la

Bonaerense y el Quini 6, entre otros; hasta que en 1990 pasa a ser Lotería Nacional

Sociedad del Estado, en el ámbito del Ministerio de Desarrollo Social.

Actualmente existe una variedad de juegos de azar, que pueden clasificarse de acuerdo a

múltiples variables.

De considerar el financiamiento de los premios, los juegos pueden dividirse en:

“poceados”, donde el monto que se ofrece en premios es variable y corresponde a

un porcentaje de lo recaudado, como en el Loto;

“bancados”, en los cuales la estructura de premiación es fija y la banca podría sufrir

pérdidas temporales, como con la ruleta.

Complementariamente, se encuentran los juegos con pozos “progresivos”, en los cuales

surge la “posibilidad de obtener un premio especial para una determinada combinación

ganadora” (Res. LNSE N° 145/12, Cap. III, art. 1° y 2°).

De acuerdo a la modalidad del juego, pueden clasificarse como:

online, que requiere la intervención de algún dispositivo conectado a un sistema o

red en el momento de la generación de la apuesta. Son ejemplos de juegos online la

Quiniela y las apuestas hípicas, entre otros;


9

offline, como los juegos de lotería, las raspaditas, los bingos tradicionales o los

juegos de mesa de casinos (ruleta tradicional, juegos de naipes o con dados).

Debido a los avances tecnológicos de los últimos años, ha crecido la incidencia de los

juegos online y las máquinas tragamonedas, tema sobre el que se profundizará más

adelante.3 También en los últimos tiempos han surgido sitios web y casinos online para la

realización de apuestas, con jurisdicción en provincias u otros países.

Los juegos de azar configuran un mercado que en 2014 ocupaba a 240.000 personas

aproximadamente, entre puestos de trabajo directo e indirecto en puntos de venta, salas de

juegos, organismos reguladores y las más de doce mil agencias registradas. Se trata,

asimismo, de un mercado que genera importantes recursos para el Estado Nacional y los

Estados Provinciales, producto de la participación que a través de los organismos

competentes estos tienen en la utilidad bruta (o beneficio líquido) generada por cada

juego.4 Según surge del presupuesto 2014, los ingresos de operación de Lotería Nacional

ascendían a $877 millones.5

Si bien el volumen de los fondos generados y captados por los Estados se siguen

destinando a instituciones con fines sociales, se considera que “como hecho individual y

social el juego de azar merece críticas muy severas, no obstante la práctica indica la

imposibilidad de erradicarlo” (Dec. N° 598/90, considerandos). En ese sentido, uno de los

riesgos de los juegos de azar para los apostadores, es contraer algún tipo de ludopatía,

3 Los juegos realizados mediante máquinas tragamonedas son de premiación inmediata y control online. 4 La Asociación de Loterías Estatales Argentinas (ALEA), organización que nuclea a los organismos que

regulan y controlan la actividad lúdica en el ámbito del territorio nacional, estima en $9.100 millones los

recursos captados en 2014 por el Estado Nacional y los Estados Provinciales. Consulta realizada a

http://www.alea.org.ar/estadistica. Fecha de ingreso: 30/06/15. 5 Res. MEyFP 47/2013. En el apartado correspondiente a Lotería Nacional, se brindan datos sobre la

participación porcentual de esa Sociedad del Estado en los juegos más significativos.

http://www.alea.org.ar/estadistica


10

trastorno reconocido por la Organización Mundial de la Salud en su clasificación

internacional de enfermedades de 1992 (ya había sido definida en 1980 por la Asociación

Americana de Psiquiatras). La ludopatía consiste en una alteración progresiva del

comportamiento, que conduce a un individuo a ser incapaz de resistir los impulsos de

jugar, desconociendo cualquier consecuencia negativa personal, social y/o económica.6 No

existen a la fecha estadísticas oficiales, pero según un estudio realizado por el Hospital

Álvarez, primera institución en brindar un servicio de asistencia al ludópata, esta

enfermedad afecta a más hombres que mujeres de clase media, mayormente de 40 a 65

años de edad. Mientras que los hombres prefieren los casinos e hipódromos, las mujeres se

inclinan más por el bingo y las máquinas tragamonedas.7

Otro de los riesgos contemporáneos vinculado a los juegos de azar es el del lavado de

dinero, proceso a través del cual es encubierto el origen de los fondos generados mediante

el ejercicio de actividades ilegales, con el propósito de que ingresen al sistema financiero

como fruto de actividades legítimas, aprovechando la ausencia de nominatividad que el

juego conlleva. Al respecto, la Argentina es miembro desde 2000 del Grupo de Acción

Financiera (GAFI), organismo intergubernamental que promueve políticas para la

prevención y represión del lavado de activos a nivel internacional. Conforme la definición

del GAFI, la operatoria diaria en casinos tiene relevancia porque involucra pagos y cobros

de importantes sumas de dinero en efectivo. Una de las falencias expuestas en 2009 por el

GAFI sobre las vulnerabilidades del sector, refiere a la regulación jurídica insuficiente para

imponer controles, regulaciones y supervisiones claras a los permisionarios.8 El GAFI

considera que los jugadores deben tener tratamiento similar a los clientes de un banco:

deben ser identificados, comparar su historial de juego con sus antecedentes patrimoniales

6 ALCMEON 47 Año XV - Vol.12 Nro. 3 - octubre de 2005, pág. 244 a 255. Consultado realizada en

www.alcmeon.com.ar. Fecha de ingreso 18/06/15. 7 Ibid. 8 Revista de la UIF. Informe Anual 2011. Pág. 10 y 11.

http://www.alcmeon.com.ar/


11

y comerciales y reportarlos a la autoridad de aplicación en caso de sospecha de que se

estuvieran cometiendo los delitos de lavado de dinero o financiación del terrorismo.9

La Unidad de Información Financiera (UIF) dependiente del Ministerio de Justicia y

Derechos Humanos, es el organismo encargado del análisis, tratamiento y transmisión de

información a los efectos de prevenir e impedir el delito de lavado de activos y el delito de

financiación del terrorismo. De acuerdo a la UIF, “Cliente son todos aquellos apostadores

que efectúen cobranzas de premios o conversión de valores por montos superiores a los

PESOS CINCUENTA MIL ($ 50.000) o su equivalente en otras monedas o bienes” (Res.

199/11, Cap. I, Art. 2º, inc. b).10

En el apartado siguiente se aborda una introducción al organismo auditado, y se brindan

mayores precisiones sobre sus acciones en materia de prevención de ludopatías y lavado de

activos.

3.2. Lotería Nacional Sociedad del Estado

Por Dec. N° 598/90 se transforma a Lotería Nacional en Sociedad del Estado (LNSE),

aprobándose su estatuto y asignándole las atribuciones de organizar, dirigir, administrar y

explotar los juegos de azar, apuestas mutuas y actividades conexas. El decreto la faculta a

establecer casinos, hipódromos y actividades concurrentes, regular su funcionamiento y

explotarlos (Art. 5º inc. b); designar agentes y permisionarios para la comercialización de

9 De acuerdo a lo manifestado por el auditado mediante Nota Nº 158/S.G. (comentarios del auditado), “…

LNSE ha adoptado una política de prevención que incluye un relevamiento periódico de sus Agentes

Operadores/Concesionario, respecto de sus obligaciones impuestas por normas que regulan el sector (…).

Anualmente se integra un expediente por Concesionario/Agente Operador, con toda la documentación que

presentan con relación al Año Calendario que se trate y se elevan dos informes semestrales tal como lo

prevé el Sistema de Prevención de Lavado de Activos y Financiación del Terrorismo …”. 10 Se desprende de aquí que la identificación del apostador se hace ex post. El cliente puede comprar fichas,

quedarse en la sala y no jugar para, sólo entonces, cambiarlas por dinero.


12

los juegos (Art. 5º inc. f) y fiscalizar y controlar los juegos de azar, rifas y tómbolas, entre

otras (Art. 6º).

Sin embargo, resulta oportuno aclarar que la regulación de los juegos de azar en la

Argentina es competencia de cada provincia y de la Ciudad Autónoma de Buenos Aires. Es

en esta última jurisdicción donde LNSE explota buena parte de sus actividades. Lo hace

mediante las concesiones del Hipódromo Argentino de Palermo, el Casino de Buenos

Aires y las Salas de Bingo11, y comercializa a través de agencias oficiales tanto juegos

propios12 como de terceros.13 Del mismo modo, juegos propios de LNSE son

comercializados por agencias provinciales en virtud de la suscripción de convenios con las

respectivas jurisdicciones.14

Dado que la Constitución de la Ciudad Autónoma de Buenos Aires establece que es

atribución de la propia ciudad administrar, regular y explotar los juegos de azar en su

territorio (Art. 50), LNSE queda habilitada a ello en virtud de la suscripción de un

convenio con el Instituto de Juegos de Apuestas de la Ciudad Autónoma de Buenos Aires,

prorrogable cada cuatro años.15 En él acordaron: i) transferir parte del producido de las

11 Bingos de Flores, Caballito, Lavalle, Belgrano y Congreso, inaugurados entre 1993 y 1996. En 1995, un

año después de la reforma de la Constitución Nacional, se transfieren a la Provincia de Buenos Aires los

casinos que aún estaban bajo jurisdicción nacional. 12 Son juegos propios de LNSE los siguientes: Quiniela, Loto, Loto 5, Prode, Poceada y Turfito (online), y

Cash, La Grande y La Solidaria (offline). Información provista por la Gerencia de Mercados y Juegos de

LNSE. 13 Para lo cual se suscribieron los siguientes convenios: Quini 6 y Brinco, de Santa Fe (1991); Telekino, de

Tucumán (1992); Súbito, de Jujuy (1993); Toto-Bingo, de Córdoba (1999); Borratina y Súper 8, de la Rioja

(2006); y Las Vegas y Jugá con Maradona, de Misiones (2010). Información provista por la Gerencia de

Mercados y Juegos de LNSE. 14 Lotería Nacional también realiza otras actividades vinculadas con el proceso de sorteos, como el Programa

de Crédito Argentino del Bicentenario para vivienda única familiar (Pro.Cre.Ar), destinado al otorgamiento

de créditos hipotecarios de bajo costo (Dec. N° 902/12), el sorteo de premios para usuarios del SUBE, el

“Premio de los Niños Cantores” que se destina a escuelas carenciadas, entre otros. 15 Convenio Ley Nº 1.182 de la C.A.B.A., de 2003. La cláusula segunda estipula una vigencia de cuatro años

y considera que el convenio se prorroga por períodos iguales en tanto las partes no manifiesten su voluntad

en contrario.


13

explotaciones de juegos de azar a la Ciudad de Buenos Aires,16 ii) mantener la

exclusividad de LNSE en la explotación, comercialización y fiscalización de los juegos de

azar que ésta venía desarrollando; iii) no admitir la instalación y/o funcionamiento de

nuevas salas de bingo, casinos, o salas de máquinas tragamonedas en la Ciudad Autónoma

de Buenos Aires ni en lugares cuya ubicación territorial implique acceso directo desde la

misma,17 y iv) reservar a LNSE la ampliación de las concesiones o explotaciones

existentes, siempre que no se extiendan de las ubicaciones actuales ni cambien el objeto o

usos permitidos.

En el marco de la administración y regulación de las actividades vinculadas con el mercado

de los juegos de azar en el ámbito de la Ciudad Autónoma de Buenos Aires, y conforme lo

dispuesto por el art. 42° de la Constitución Nacional (que reza, “Los consumidores y

usuarios de bienes y servicios tienen derecho, en la relación de consumo, a la protección

de su salud, seguridad e intereses económicos, …”), LNSE mediante Res. N° 42/14

aprueba e implementa el “Nuevo Programa de Juego Responsable”, comprometiéndose a

brindar contención y asesoramiento a quienes precisen asistencia médica por problemas de

adicción asociados a los juegos de azar. La normativa dispone, como medida preventiva, la

confección por parte del jugador compulsivo de un “formulario de autoexclusión”.18 Cabe

aclarar que ésta puede ser levantada por medio de un trámite de similares características a

solicitud del propio jugador, aunque con la presencia de un testigo familiar directo o la

presentación de un alta médico que certifique la superación del problema. Sin embargo, el

ingreso a las salas de juegos no contempla la presentación del documento de identidad o

16 Un detalle de ello puede verse en la tabla Nº 2. 17 El denominado casino flotante de Puerto Madero se encuentra en aguas del Río de la Plata, sobre las cuales

la Ciudad Autónoma de Buenos Aires no tiene jurisdicción. Al casino se accede, sin embargo, a través de

territorio de la C.A.B.A. 18 El trámite es voluntario y se realiza personalmente con documento de identidad en la sede central de

Lotería Nacional S.E. o en cualquier Sala de Juego. Una vez ingresados los datos a una base, se remite la

información a todas las salas de juego sobre las que Lotería Nacional S.E, tiene jurisdicción.


14

proceso alguno de nominatividad. Tampoco en los juegos online se exige la presentación

del documento, acción que resulta optativa para el jugador.

En cuanto a la prevención del lavado de activos, Lotería Nacional aprueba la Res. N°

53/2013 sobre el “Sistema de Prevención de Lavado de Activos y Financiación del

Terrorismo”. En ésta entiende que los mayores riesgos de la actividad reposan sobre el

pago de premios y las actividades desarrolladas por los agentes operadores. La rutina de

pago de premios incluye un proceso mediante el cual se identifica –siempre dentro de los

límites determinados por la UIF para la definición de “Cliente”–, las operaciones que en

virtud del cumplimiento de la Res. UIF 199/11 deban ser informadas por el concesionario

y/o por LNSE debido a criterios de montos, fraccionamientos, repeticiones, cobros por

terceros o por involucrar a personas políticamente expuestas. En esa línea, la Res. LNSE

N° 145/12 que regula las máquinas tragamonedas, establece que se verificará el incremento

de los importes / montos que superen el límite que establece la Unidad de Información

Financiera para el pago de premios en salas de juegos de azar, que serán controlados a

través del Sistema de Monitoreo y Control (Cap. III, art. 10º).

Los dos ámbitos en los cuales se explota el negocio de máquinas tragamonedas bajo

jurisdicción de lotería Nacional son el Hipódromo Argentino de Palermo y el Casino de

Buenos Aires.

El Hipódromo Argentino de Palermo se adjudica en una primera instancia por veinticinco

años (hasta 2016) a una UTE que más tarde conformaría “Hipódromo Argentino de

Palermo S.A.” (HAPSA). En 2002 se resuelve autorizar al concesionario a instalar y

explotar máquinas tragamonedas (Res. LNSE N° 99/02), estipulándose que parte de lo

recaudado se destinaría a aumentar los premios de los eventos hípicos. En un principio se

autoriza la instalación de hasta seiscientas máquinas, pero dos años después se aprueba un


15

proyecto presentado por HAPSA mediante el cual se amplía la autorización a tres mil

máquinas tragamonedas, “número que comprende las existentes y constituye un tope de

equipamiento de esa naturaleza” (Res. LNSE Nº 30/04). La cantidad máxima autorizada

de máquinas tragamonedas es nuevamente incrementada en 2007, llevando su número

máximo a 4500, con la posibilidad de incorporar 600 adicionales bajo ciertas condiciones

edilicias (Res. LNSE 31/07, ratificada por Dto. 1851/07). La ampliación en la cantidad

máxima de máquinas fue acompañada de una prórroga de diez años en la concesión (hasta

2026), con la opción de extenderla cinco años más (hasta 2031). A la fecha de cierre de

este informe, la cantidad de máquinas de este tipo en el Hipódromo Argentino de Palermo

ascendía a 4500.

Tal como se expresó anteriormente, el otro ámbito en el que se operan máquinas

tragamonedas es en el Casino de Buenos Aires. En 1999 LNSE resolvió “crear una

Comisión destinada a estudiar y analizar las posibilidades de implementación de la

explotación de Casinos por esa S.E.” (Res. LNSE 97/99, art.1º). Como resultante, se

convocó a la selección de un agente operador de una sala de casinos que funcionaría en un

buque de bandera argentina en aguas del Río de la Plata (Res. LNSE 212/99). La empresa

de origen español CIRSA (Cirsa International Gaming Group) obtuvo en ese entonces la

concesión, llevándose a cabo la apertura de un primer barco casino denominado "Estrella

de la Fortuna", con plazo hasta 2019. En 2002 se autoriza la instalación de un segundo

buque, que se instala definitivamente en 2006 con el nombre de "Princess" (reemplazante

del buque en alquiler “Mississipi River”), con plazo hasta 2026. Se autoriza la instalación

de hasta 3.000 máquinas tragamonedas, comprendiendo este número las ya existentes. A la

fecha de cierre de este informe, el Casino de Buenos Aires –“coloquialmente también

conocido como casino flotante de Puerto Madero”– cuenta con cerca de 1600 máquinas

tragamonedas.


16

Los ingresos provenientes de la máquinas tragamonedas ocupan el segundo puesto, sólo

superados por el conjunto de juegos online (Quiniela, Loto, Loto 5, Prode, Poceada y

Turfito, incluyendo los juegos online de las provincias). La participación porcentual de los

diversos juegos en los ingresos operativos de LNSE, puede verse en la tabla a

continuación:

Tabla N°1: Participación en los ingresos de LNSE por tipo de juego Tipo de juego Participación

Juegos on-line 39,60%

Máquinas tragamonedas 19

30,80%

Casino – juegos de mesa 19,08%

Bingos 5,50%

Juegos tradicionales 3,46%

Hipódromo 1,56%

Fuente: elaboración propia en base a información provista por LNSE

Los ingresos de Lotería Nacional se constituyen a partir de la participación que esta tiene

sobre el beneficio líquido (o net win) de los distintos juegos de azar. El beneficio líquido es

el resultante del monto apostado, menos el monto por premios pagados, y se distribuye

entre diversos actores de acuerdo a la normativa específica que regula cada uno de los

juegos.20 A continuación se presenta una tabla con la distribución porcentual del beneficio

líquido de juegos concesionados.

19 Las máquinas tragamonedas le aportan a LNSE más de $600.000 por día, aproximadamente. El cálculo

surge de multiplicar los ingresos de operación, ventas brutas 2014 de LNSE, por la participación de las

máquinas tragamonedas en sus ingresos (ver Tabla Nº1), convirtiendo el resultado obtenido a una base diaria. 20 Este concepto, asimilable al de “utilidad bruta”, puede definirse como un porcentaje concreto de las

apuestas si el juego es “poceado”, pero no si es “bancado”.


17

Tabla Nº2: Distribución porcentual del beneficio líquido en concesiones y operaciones

Juego LNSE

Org.

Nacionales21

Concesion

ario GCBA Total

1. Hipódromo Argentino de Palermo -

apuestas hípicas 0,79% 10,25% 85,71% 3,24% 100,00%


entradas 24,05% 0,00% 75,95% 0,00% 100,00%


tragamonedas 10,00% 10,00% 70,00% 10,00% 100,00%

4. Casino de Buenos Aires -

tragamonedas 10,00% 10,00% 70,00% 10,00% 100,00%

5. Casino de Buenos Aires –

ruleta y paños 4,00% 12,00% 80,00% 4,00% 100,00%

6. Bingos –

apuestas 16,67% 21,66% 45,00% 16,67% 100,00%

7. Bingos –

entradas 10,00% 0,00% 90,00% 0,00% 100,00%

Fuente. Elaboración propia en base a: 1 y 2) Dec. Nº 274/98 y Pliego Concesionario HAPSA Ag .Of. Res.

LNSE Nº 63/02 y convenio HAPSA; 3 y 4) Dec. Nº 1.155/03; 5) Dec. Nº 600/99; 6 y 7) Decreto Nro 1.080/90

y Decreto Nro 1.772/92.

A los efectos de controlar la correcta liquidación del beneficio, LNSE cuenta con diversos

mecanismos de fiscalización, en general físicos y basados en la inspección ocular de

documentación. Dependiendo de la naturaleza del juego, dispone de fiscales en las salas de

juego, escribanos en los salones en los que se realizan los sorteos y veedores.22

A partir de la evaluación del estado de situación de la TI realizada en 2006, el ente abordó

cambios orientados a mejorar el nivel de desarrollo tecnológico como para normalizar el

desenvolvimiento de la actividad administrativa, el control de los productos incorporados y

sus redes de comercialización, acompañar las decisiones de negocio del Directorio –en

21 Entre los Organismos Nacionales beneficiarios de la explotación de juegos de azar se encuentran, entre

otros, el Ministerio de Desarrollo Social de la Nación, el Ministerio de Cultura y Educación, la Secretaría de

Deportes, y la Secretaría de Agricultura, Ganadería, Pesca y Alimentación. 22 Por su utilidad para la comprensión de este informe, resulta oportuno aclarar que todos los juegos tienen un

desarrollo en tres instancias: 1) captura de apuestas, 2) cierre de la jugada, y 3) sorteo y determinación de

ganadores.


18

especial las relativas a nuevos productos–, y cumplir con regulaciones externas, estándares

y buenas prácticas recomendadas por auditorías previas.

En base a los antecedentes mencionados, Lotería Nacional procedió a definir los roles,

funciones y responsabilidades del área TI y a jerarquizarla en la estructura organizacional.

A efectos de fortalecer los recursos humanos de TI se llevaron a cabo incorporaciones,

regularizaciones, promociones, concursos y capacitaciones, como así también la

implementación del pago de un “plus informático”. Adicionalmente, se construyó un

nuevo centro de procesamiento de datos en la Administración Central que, si bien no

cuenta con las características constructivas de una sala cofre, sigue con las medidas de

seguridad vigentes.

3.3. Los sistemas de información relacionados con LNSE

Lotería Nacional Sociedad del Estado utiliza un conjunto de sistemas que son centrales

para la actividad que desarrolla: i) el Sistema Administrativo Contable -que incluye los

subsistemas llamados “SIGAD/Anexo D” y “Permisionarios”, ii) el Sistema de Apuestas

Online, y iii) el denominado “Accounting”, aplicativo de monitoreo online de máquinas

tragamonedas; entre otros menos relevantes. Los sistemas principales se detallan a

continuación:

1) Sistema administrativo contable:

Está compuesto por el conjunto de aplicativos “SIGAD / Anexo D”, el “Sistema de

Permisionarios” y el sistema contable de la firma Waldbott, cuya carga se realiza

manualmente al no estar integrado a otros sistemas. El SIGAD y el Anexo D son dos

conjuntos de módulos complementarios entre sí, que comparten la misma base de

datos y que atienden los mismos aspectos de la gestión administrativa –como haberes,


19

cuentas corrientes, impuestos, tesorería, etc. No obstante, cuentan con distintas

funcionalidades, y están desarrollados con distintas versiones del entorno constructivo

de software ORACLE. Mientras que el SIGAD se ha desarrollado en Oracle Form 6

(gráfico), el Anexo D lo está en Form 4 (carácter). Su mantenimiento se encuentra a

cargo de la UTE IVISA – Casino Buenos Aires S.A.23 Por su parte, el sistema

“Permisionarios” comprende el padrón de agencias oficiales y permisionarios.24 En

dicho registro quedan asentadas las altas, bajas y modificaciones de agencias oficiales.

Este sistema impacta en la misma base Oracle que el SIGAD / ANEXO D, e interactúa

con el “Sistema de apuestas on-line”, que se comenta a continuación. Su

mantenimiento también se encuentra a cargo de la UTE IVISA – Casino Buenos Aires

S.A.

2) Sistema de Apuestas Online

Sistema en línea implementado en 1994 para la captura de apuestas, dónde las

terminales propietarias se distribuyen en la Ciudad y se conectan a un sistema central

por medio de una red de comunicaciones que funciona en tiempo real. Los apostadores

realizan sus apuestas en cualquier lugar donde haya una terminal (que se valida contra

el Sistema de Permisionarios), dictando al agenciero los números elegidos, solicitando

a éste la generación de una combinación aleatoria de números (apuesta automática), o

completando un volante. Con cualquiera de las opciones, la terminal imprime un ticket

que lleva impresa la información de la apuesta (además de los números elegidos, el

horario de ejecución de la apuesta, la identificación de la agencia de origen, y un

número secuencial). De modo optativo, el apostador puede identificarse con DNI para

23 El personal de la UTE asignado al mantenimiento puede acceder al código de programación a los efectos

de resolver o incorporar funcionalidades a los aplicativos, pero no a los datos de las bases. 24 Los permisionarios son comercios que vende productos de LNSE como actividad anexa.


20

que la apuesta sea nominativa. Realizados los sorteos, el sistema identifica las apuestas

ganadoras para el otorgamiento de premios.25

3) Aplicativo Machine Accounting (Accounting) de la suite IGT Advantage

El IGT Advantage es una suite propietaria de la firma International Gambling

Technologies (IGT), orientado a la gestión y control del negocio del juego, o “gestión

de sala”. La misma firma fabrica y distribuye la mayoría de las máquinas

tragamonedas presentes en el Hipódromo Argentino de Palermo y en el Casino de

Buenos Aires. Mediante el aplicativo Accounting de la suite IGT Advantage se

controla y monitorea las máquinas tragamonedas en tiempo real. Al tratarse de un

software propietario, LNSE cuenta con una licencia de uso de este módulo, cedida por

los concesionarios del Hipódromo Argentino de Palermo y el Casino de Buenos Aires.

Lotería Nacional lo utiliza en consecuencia para realizar tareas de fiscalización y

control, determinar beneficios, generar reportes o auditar las máquinas tragamonedas.

El protocolo de comunicación entre las máquinas y los servidores en los que se

encuentra instalado el Accounting es el SAS (Slot Accounting System, por sus siglas en

inglés; o “Sistema de Contabilidad de Máquinas Tragamonedas”), también propietario

de IGT. En virtud de la importancia de este sistema y del resto de los componentes que

lo constituyen, se desarrolla con mayor profundidad en el siguiente apartado,

incluyendo un panorama del marco regulatorio específico.

3.4. Las “máquinas tragamonedas” y el sistema de interconexión

25 Los procesos internos de LNSE cuentan con un Sistema de Gestión de Calidad (SGC) bajo normas IRAM,

IACC e ISO, cuyo objeto es atender la confiabilidad de la operatoria organizacional. En ese marco, ha

certificado procesos clave como la programación, cierre, control, consolidación, sorteo y procesamiento de

apuestas y pago de premios. El primero en certificarse fue el Loto (2001), al que le siguieron el Loto 5, la

Quiniela el Prode, el sistema de Gestión de Reclamos y el sorteo del Pro.Cre.Ar.


21

La Res. LNSE N° 145/12 define los requisitos, características y funcionamiento de las

MEEJA (Máquinas Electrónicas y/o Electromecánicas de Juegos de Azar), coloquialmente

conocidas como máquinas tragamonedas o slots. Se trata de computadoras específicas “que

resuelven por sí o conectadas a una computadora más potente mediante una red de

comunicaciones, en forma inmediata las partidas de juego en curso”.26

La normativa también estipula los procedimientos para su aprobación, los procedimientos

y características de los sistemas de juegos acumulados o progresivos, el sistema de

interconexión de las máquinas y el sistema de gestión de sala (en este caso, el IGT

Advantage).

Entre los artículos más destacables de la norma, vale mencionar que las MEEJA deben

contar con elementos que garanticen la información contenida frente a una interrupción de

la energía eléctrica o falla del equipo (Cap. I, inc. 1.8), debiendo poseer una UPS, sistema

que permita su funcionamiento ininterrumpido por quince minutos frente a un corte del

suministro eléctrico (Cap. IV. Inc. 2.8), y alarmas para aperturas o conexiones y

desconexiones eléctricas (Cap. I, inc. 2.1 y 2.2.). A su vez, el programa residente en la

MEEJA no deberá poder alterarse a través de la programación (Cap. I, inc. 4.2); ninguna

máquina podrá funcionar de no estar conectada al “Sistema de Monitoreo y Control en

Línea” de LNSE (Cap. II, art. 1°) y de no contar con “certificado extendido por un

laboratorio independiente de reconocido prestigio internacional” (Cap. II, inc. 2.2).

26 Una máquina tragamonedas es un dispositivo en el cual se puede apostar dinero y obtener un premio en

forma inmediata. En las primeras máquinas mecánicas, el juego consistía en alinear figuras impresas en

rodillos movidos por principios físicos. Más tarde fueron reemplazadas por dispositivos que simulan el

funcionamiento de las antiguas, pero en las cuales las figuras que se muestran en pantalla responden a

algoritmos matemáticos ejecutados internamente. Para apostar, el jugador puede ingresar dinero en efectivo,

tickets obtenidos de otras tragamonedas o de máquinas cambiadoras, o tarjetas personalizadas. El monto

ingresado se convierte en créditos que se debitan del saldo al ejecutar la apuesta. En el caso de ganar, el pago

se acreditan automáticamente, salvo de superar los $5.000, en cuyo caso se requiere de la intervención de un

representante del concesionario, o los $50.000, cuando interviene, además, un representante de LNSE. Al

retirarse, el jugador solicita mediante un botón el cobro del saldo en créditos que, reconvertido a pesos, se

imprime en un ticket que emite la propia máquina.


22

Son elementos constitutivos del sistema de MEEJA, los siguientes:

MEEJA propiamente dicha.27

Bank Controller: dispositivo que concentra la comunicación de entre 5 y 10

MEEJA y que transforma el protocolo de comunicación a fin de enviar datos a

través de una red Ethernet.

Concentrator: servidor que combina las señales enviadas por cada una de las

MEEJA en un una única señal.

Translator: servidor que codifica los datos de forma tal que estos puedan ser

comprendidos desde la terminal en la cual se ejecuta el Accounting.

IGT Advantage: suite propietario de “gestión de sala” que, entre otros, incluye el

aplicativo Accounting, receptor y administrador de todos los eventos reportados por

las MEEJA.

Terminales de consulta u operación.

Figura N°1. Arquitectura del Sistema de Interconexión

27 Pueden clasificarse en cuatro grupos: i) Standalone (independiente), ii) Standalone con pozo progresivo

(deriva un porcentaje de las apuestas a un pozo de la propia máquina), iii) Isla (conjunto de máquinas que

derivan un porcentaje de las apuestas a un pozo común), y iv) Ruletas electrónicas.

(MEEJ

As)

(MEEJ

As)

Bank Controller

Concentrator

Translator

Terminales de

fiscalización

Módulo

Accountin

g


23

Fuente: Elaboración propia en base a información suministrada por LNSE.

Los siguientes eventos significativos son reportados por las MEEJA e impactan en el

Accounting:

Inserción de billetes.

Reconocedor de billetes trabado.

Puerta abierta (hay varias puertas, la apertura de cualquiera dispara el evento).

Puerta cerrada.

Impresora sin papel.

Caja de efectivo llena.

Máquina offline.

Máquina online.

Voucher impreso (para insertar en otra MEEJA o canjear por efectivo).

Voucher insertado.

Voucher aprobado (luego de ser insertado, otro servidor comprueba la validez del

ticket. Este evento indica que la verificación ha sido exitosa y el crédito ha sido

cargado en la MEEJA).

El reporte incluye el estado de los contadores de la MEEJA en ese instante, registros

numéricos que describen la situación de la máquina compuestos por los campos “Coin In”

(cuenta el ingreso de fondos a la MEEJA, en unidades de cuenta propias de la máquina) y

“CoinOut” (cuenta la salida de fondos de la MEEJA, en unidades de cuenta propias de la

máquina), entre otros como “Progresivo”, “Jackpot”, “Hopper” o “Matchbonus”.


24

En cuanto a la exigencia de contar con un certificado extendido por un laboratorio

independiente de reconocido prestigio internacional, las MEEJA, los dispositivos de

comunicaciones intermedios, el Accounting y los servidores en los cuales se encuentra

instalado, cuentan con una certificación de hardware y software de GLI (Gaming

Laboratories International), empresa privada extranjera dedicada a la verificación de

dispositivos MEEJA. El alcance de su certificación abarca que el dispositivo analizado esté

de acuerdo con las especificaciones del fabricante y con los parámetros de premios

definidos –en el caso de LNSE– mediante normas regulatorias.

GLI firmó con la Universidad Nacional de La Plata (UNLP) un convenio que habilita a

ésta –a través de su Laboratorio de Investigación en Nuevas Tecnologías– a certificar las

máquinas tragamonedas. Simultáneamente, la UNLP ha sido contratada por LNSE para

realizar tareas de auditoria y de consultaría sobre redes de comunicación, sistemas de

control de dispositivos de juegos, seguridad de la información y marco regulatorio

asociado (Convenio Específico N°1, cláusula 2ª).

Entre las cuestiones a certificar se encuentra el porcentaje de devolución en concepto de

premios. En tal sentido, la normativa exige que el programa de premios de las MEEJA esté

“calculado de modo que en una serie teórica de jugadas, que comprende la totalidad de

las combinaciones posibles previstas, devuelva a los jugadores un porcentaje de premios

no inferior al noventa por ciento (90%) de las apuestas efectuadas”. Y luego agrega: “Este

porcentaje mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina

para la máxima apuesta que permita” (Cap. 1, inc. 1.2).

Resulta oportuno aclarar que la ganancia de los casinos y juegos “bancados” en general se

asegura a través de lo que en matemática se denomina la “ley de los grandes números”. La

empresa IGT, especializada en el diseño, desarrollo, y fabricación de las máquinas


25

tragamonedas, diseña sus equipos para asegurar que un porcentaje de retorno determinado

se logre con un desvío menor al 0,5%, al cabo de 10.000.000 de jugadas.28

Dada la importancia del control que LNSE debe realizar sobre la operación y liquidación

de beneficios resultantes de la explotación de las máquinas tragamonedas, la normativa le

otorga amplias facultades de fiscalización, al estipular que podrá “realizar las

fiscalizaciones, auditorías y todo otro control que considere conveniente o necesario y

bajo la metodología que a su exclusiva satisfacción establezca o decida” (Res. LNSE N°

145/12, Cap. II, art. 7°).

4. COMENTARIOS Y OBSERVACIONES

4.1. GESTIÓN INFORMÁTICA

4.1.1. PLANIFICAR Y ORGANIZAR

4.1.1.1 Definir un plan estratégico para TI

Objetivo de control: Se requiere una planeación estratégica de Tecnología de la

Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los

objetivos estratégicos del Organismo y sus prioridades. La Gerencia de Sistemas y los

niveles decisorios de la organización, son responsables de garantizar que se materialice el

valor óptimo de los proyectos y servicios. El plan estratégico debe mejorar el

entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI,

evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las

28 Si un casino tuviesen un parque de 2000 máquinas y hubiere unas 2000 jugadas promedio por día por

máquina, se obtiene 4.000.000 de jugadas por día, lo que implica que se alcanzarán los 10.000.000 de

jugadas en un lapso de dos días y medio.


26

prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los

planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas,

entendidas y aceptadas tanto por el Organismo como por TI.

Este objetivo de control afecta, primariamente a la efectividad, y en forma secundaria a la

eficiencia.

Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo

Nivel de Madurez: Inicial. La gerencia de Sistemas conoce la necesidad de una

planeación estratégica de TI. Esta se realiza según se necesite como respuesta a un

requerimiento de negocio específico. La alineación de los requerimientos de las

aplicaciones y tecnología del negocio se lleva a cabo de modo reactivo en lugar de hacerlo

por medio de una estrategia organizacional.

Observaciones:

Falta definir un Plan Estratégico de TI vigente para administrar y dirigir todos los recursos

de TI de acuerdo con los objetivos estratégicos del organismo y las prioridades apoyado en

diferentes planes tácticos que indiquen cómo alcanzarlos.

Existió un planeamiento estratégico del área durante el período 2006 al 2010 que abarcó la

problemática de ese momento con respecto a adecuar la infraestructura tecnológica y

edilicia, la estructura orgánica y funcional, la integración de los sistemas, la capacitación

del personal y la adecuación salarial. Desde entonces no se ha vuelto a formular.

En las solicitudes anuales de presupuesto para adquisiciones se invocan razones

estratégicas, pero no están debidamente justificadas. Para más detalles ver punto “4.1.5

Administrar la inversión de TI”.

4.1.1.2 Definir la arquitectura de información

Objetivo de control: La Gerencia de Sistemas debe crear y actualizar de forma regular un

modelo de información y definir los sistemas apropiados para optimizar su uso. Esto

incluye el desarrollo de un diccionario de datos de la organización, el esquema de


27

clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma

de decisiones gerenciales proveyendo información confiable y segura, y permite

racionalizar los recursos de los sistemas de información. Este proceso de TI también es

necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y

para mejorar la efectividad y control de la información compartida a lo largo de las

aplicaciones.

Este objetivo de control afecta, primariamente a la eficiencia y la integridad y en forma

secundaria a la efectividad y la confidencialidad


Nivel de Madurez: Repetible. Se tiende a la existencia de un proceso de arquitectura de

información, por lo que coexisten procedimientos similares, aunque intuitivos e informales

que no se encuentran centralizados. Las personas obtienen sus habilidades al construir la

arquitectura de información por medio de experiencia práctica y la aplicación repetida de

técnicas.

Observaciones:

Coexisten aplicaciones desarrolladas bajo pautas precisas desde el año 2006 en adelante,

con los sistemas administrativo-contables adquiridos con anterioridad.

En el entendimiento de esta problemática, la Gerencia de Sistemas obtuvo del Directorio la

aprobación de la compra de una aplicación que cubriese integralmente la gestión

administrativa-contable más algunos módulos específicos, como la administración de

permisos y concesiones para la explotación de juegos por parte de terceros. No obstante

encontrarse avanzadas las gestiones, al momento de realizarse los trabajos de campo de

esta auditoría, dos procesos licitatorios habían resultado infructuosos.

En virtud de ello, no existe a la fecha un único modelo de arquitectura de la información,

por lo que conviven distintas plataformas tecnológicas. Si bien las aplicaciones están

integradas en relación a las bases de datos, existen interfaces manuales entre los distintos

sistemas (que no están automatizadas). Por ejemplo, existen casos donde los asientos


28

imputados en la aplicación contable Waldbott se componen previamente en planillas de

Excel con información procedente de otras aplicaciones.

No se ha establecido un esquema de clasificación de datos del organismo, basado en la

criticidad y sensibilidad de la información. La falta de un diccionario de datos integrado de

toda la organización no facilita la administración de la integridad y consistencia. Esto

posibilita la existencia de redundancia de información.

4.1.1.3 Determinar la dirección tecnológica

Objetivo de control: La Gerencia de Sistemas debe determinar la dirección tecnológica

para dar soporte a los objetivos estratégicos del organismo. Esto requiere de la creación de

un plan de infraestructura tecnológica que establezca y administre expectativas realistas y

claras de lo que la tecnología puede ofrecer en términos de productos, servicios y

mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar

aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición,

estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de

reacción manteniendo entornos competitivos, mejorar la economía de escala en los

sistemas de información utilizados por el personal o para la toma de decisiones, como

también en interoperabilidad entre las plataformas y las aplicaciones.

Este objetivo de control afecta a la efectividad y la eficiencia.


Nivel de Madurez: Repetible. La planeación es táctica. La evaluación de los cambios

tecnológicos se delega a individuos que siguen procesos similares, aunque intuitivos. Las

personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje

práctico y de una aplicación repetida de las técnicas. Están surgiendo técnicas y estándares

comunes para el desarrollo de componentes de la infraestructura.

Observaciones:


29

El organismo no cuenta con un plan de infraestructura tecnológica. Debido a ello, los

requerimientos en los procesos de adquisición no se respaldan en planes previos

debidamente justificados y la estimación de las solicitudes de compras es intuitiva. Falta la

consideración de aspectos tales como el planeamiento de la capacidad para necesidades

futuras, costos de transición, riesgo tecnológico y vida útil de la capacidad existente.

4.1.1.4 Definir los procesos, organización y relaciones de TI

Objetivo de control: Una organización de TI se debe definir tomando en cuenta los

requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y

supervisión. El Organismo debe estar inserto en un marco de trabajo de procesos de TI que

asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de

nivel decisorio. Un comité estratégico, en los cuales participan tanto los niveles decisorios,

como TI, debe determinar las prioridades de los recursos de TI alineados con las

necesidades del Organismo. Deben existir procesos, políticas administrativas y

procedimientos para todas las funciones, con atención específica en el control, el

aseguramiento de la calidad, la administración de riesgos, la seguridad de la información,

la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte

oportuno de los requerimientos, el responsable de TI se debe involucrar en los procesos

importantes de decisión.



Nivel de Madurez: Parcialmente Definido. Existen roles y responsabilidades definidos

para la organización de TI y para terceros. La organización de TI se desarrolla, documenta,

comunica y se alinea con la estrategia de TI aunque la formulación de ésta sea intuitiva. La

organización de TI está funcionalmente completa. Existen definiciones de las funciones a

ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los


30

requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. La

división de roles y responsabilidades está definida e implantada.

Observaciones:

Tanto el organigrama del organismo como la estructura de la Gerencia de Sistemas se

encuentran formalmente aprobados por resoluciones del Directorio.29

Las misiones y funciones se encuentran definidas hasta el nivel de sector.30

En relación a la Subgerencia de Seguridad, la ubicación jerárquica actual no es apropiada

ya que no garantiza su independencia funcional y operativa de la gerencia de sistemas de

información y del resto de las áreas usuarias. Esto limita su alcance, su capacidad operativa

y el control por oposición.

En el año 2006 a partir de la evaluación del estado de situación de la TI de ese momento,

se encararon cambios tendientes a:

contar con desarrollos tecnológico que permitiese el normal desenvolvimiento de la

actividad administrativa, el control de los productos incorporados al mercado y las

respectivas redes de comercialización.

tener una organización de TI que permitiese acompañar las decisiones de negocio

del Directorio, en especial en lo referente a la posibilidad de incursionar en nuevos

productos lúdicos31.

cumplir con regulaciones externas, como el Plan Nacional de Gobierno

Electrónico,32 los estándares dictados por la ONTI,33las normas de seguridad y

distintas observaciones surgidas de auditorías recibidas.

29 Resolución N° 116/11 aprueba la estructura organizacional del organismo. Posteriormente se modifica con

las resoluciones 135/12, 40/13, 93/14 y 03/15. La Resolución Nº 93/14 aprobó una modificación de las

misiones y funciones de la Gerencia de Sistemas. 30 Los niveles jerárquicos son Gerencia, Subgerencia, Departamento y Sector. 31 Se da en el mundo el surgimiento de otros canales para la actividad lúdica tales como juegos on-line por

Internet, telefonía fija, telefonía móvil y televisión interactiva. 32 Decreto Nro. 378/05. Propone incentivar la interacción entre la población y los diferentes organismos

públicos, facilitando la comunicación y la obtención de respuestas satisfactorias y eficientes al ciudadano. 33 ONTI Oficina Nacional de Tecnología de Información.


31

En virtud de ello se procedió a jerarquizar la Subgerencia de Sistemas llevándola a

gerencia, con dependencia directa del Directorio; se definió la nueva organización interna,

con las funciones, los roles y responsabilidades hasta nivel de sector; se implementó un

Plus Informático para nivelar los sueldos del escalafón vigente con los que se pagan en el

mercado en relación al personal de TI; se regularizaron situaciones contractuales de ciertos

agentes incorporándolos a la planta permanente; se llevó a cabo un plan de capacitación

para nivelar los conocimientos del personal a las necesidades técnicas que se requerían y se

promovió a ciertos agentes para que ocupen las posiciones intermedias a través de

concursos internos.

4.1.1.5 Administrar la inversión en TI

Objetivo de control: Establecer y mantener un marco de trabajo para administrar los

programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del

presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.

Trabajar con los interesados para identificar y controlar los costos y beneficios totales

dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas

según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados clave,

facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y

responsabilidad dentro del costo total del conjunto de proyectos, la materialización de los

beneficios y el retorno sobre las inversiones en TI.

Este objetivo de control afecta, primariamente a la efectividad y la eficiencia, y en forma

secundaria a la confiabilidad.

Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo

Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de

seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y


32

presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de

la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de

TI. Se toman decisiones presupuestales reactivas y tácticas.

Observaciones:

Falta en la Gerencia de Sistemas un proceso de administración presupuestaria de TI donde,

habiendo identificado los costos propios de la gerencia, se puedan comparar los costos

reales con los presupuestados, identificar en forma oportuna las desviaciones y evaluar el

impacto de éstas sobre lo planificado. El seguimiento de la ejecución presupuestaria lo

llevan a cabo las áreas contables.

El organismo considera al área de TI como centralizadora de los servicios informáticos por

lo tanto computa todos los costos de TI a dicha área, aun cuando ésta no es la única usuaria

de los servicios.

La Gerencia de Sistemas realiza todos los años la formulación presupuestaria del año

siguiente. La falta de un plan de infraestructura constituye una debilidad de la formulación

presupuestaria, ya que no se identifican ni justifican técnicamente que componentes deber

renovarse, cambiarse o ampliarse.

Entre 2013 y 2014, el presupuesto de TI del organismo tuvo un incremento nominal

interanual del 4,59%.34

4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia

Objetivo de control: Las máximas autoridades del organismo debe elaborar un marco de

trabajo de control organizacional para TI, y definir y comunicar las políticas. Se debe

implantar un programa de comunicación continua para articular la misión, los objetivos de

servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La

34 Para el ejercicio 2013 el crédito aprobado para la Gerencia de Sistemas fue de 47.000.000 sobre

747.498.608 presupuestados para el organismo. Para el ejercicio 2014 fueron 49.160.333 sobre

1.019.620.544.


33

comunicación apoya el logro de los objetivos de TI y asegura la concientización y el

entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y

reglamentos.

Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria al

cumplimiento.


Nivel de Madurez: Parcialmente Definido. La gerencia se Sistemas ha elaborado,

documentado y comunicado un ambiente de control de la información que incluye un

marco para las políticas, procedimientos y estándares que cubren temas clave. En relación

a la seguridad de datos, se ha reconocido la importancia de su concientización y se han

implementado programas formalizados a tal fin.

Observaciones:

No hay un programa de comunicación sistemática de los objetivos estratégicos de TI.

Falta la elaboración de un digesto con todas las normas y procedimientos de la gerencia.

El ambiente de control está dado por un conjunto formalizado de rutinas de trabajo y

metodologías de TI, sin la participación y comunicación del área de Métodos y Calidad, ni

Organización y Métodos. Esto hace que el monitoreo del cumplimiento del control interno

de estas políticas sea poco consistente.

La comunicación de algunos temas sensibles tales como el uso de Internet, accesos

remotos, instalación y uso de software, resguardo de elementos activos de la red de

comunicaciones no han sido abordados.

4.1.1.7 Administrar los recursos humanos de TI

Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación

y entrega de servicios de TI. Esto se logra siguiendo prácticas definidas y aprobadas que

apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la


34

terminación. Este proceso es crítico, y el ambiente de gobierno y de control interno

depende fuertemente de la motivación y competencia del personal.

Este objetivo de control afecta a la efectividad y a la eficiencia.


Nivel de Madurez: Definido. Existe un proceso definido y documentado para administrar

los recursos humanos de TI, un plan de administración de recursos humanos, un enfoque

estratégico para la contratación y la administración del personal de TI. El plan de

entrenamiento formal está diseñado para satisfacer las necesidades de los recursos

humanos de TI. Está establecido un programa de rotación, diseñado para expandir las

habilidades gerenciales y de negocio.

Observaciones:

La política y el procedimiento para el reclutamiento se encuentran formalizados.35

La Gerencia de Sistemas, al momento de las tareas de campo, cuenta con 71 empleados

encuadrados en cuanto a su remuneración al escalafón del convenio colectivo de trabajo

suscripto por el organismo. El mismo contempla el pago de un plus informático como

modo de equiparar las remuneraciones del personal de TI con el mercado laboral.

El personal de Lotería Nacional S.E. ingresa y progresa en los diferentes grados, tramos,

niveles y agrupamientos así como por su acceso a las funciones ejecutivas y de jefatura, de

conformidad con el régimen de carrera previsto en el convenio, como resultado del nivel

de idoneidad, formación académica, capacitación y rendimiento laboral que alcance,

aprobando el régimen de concursos establecidos.

35 LNSE adhiere al Convenio Colectivo de Trabajo (54/92 "E") homologado mediante la Disposición N°

85/2009 de la Dirección Nacional de Relaciones de Trabajo (D.N.R.T). La modalidad de contratación de

personal, en un nivel inicial, es a través de contratos anuales, pero con la posibilidad de pasar a la Planta

Transitoria y, en caso de ya revestir dicha situación, pasar a Planta Permanente. Recientemente se

implementó la modalidad de “Curso/Concurso”, el que consiste en la preparación de los concursantes de un

determinado perfil para una categoría superior.


35

La empresa conformó una Comisión Paritaria denominada “Comisión Permanente de

Carrera”, que evalúa el desarrollo de carrera de los empleados de cada una de las diferentes

áreas.

Los empleados tienen la posibilidad de participar en cursos cuya aprobación permite la

acreditación de puntos que derivan en el pago de un adicional, o la promoción a otra

posición.

Falta un proceso de evaluación periódico donde se comparen los objetivos individuales

derivados de las metas organizacionales, estándares establecidos y responsabilidades

específicas del puesto.

4.1.1.8 Administrar la Calidad

Objetivo de control: Se debe elaborar y mantener un sistema de administración de

calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto

se facilita por medio de la planeación, implantación y mantenimiento del sistema de

administración de calidad, proporcionando requerimientos, procedimientos y políticas

claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con

indicadores cuantificables y alcanzables. La mejora continua se logra por medio del

constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los

interesados. La administración de calidad es esencial para garantizar que la TI está dando

valor a los objetivos estratégicos del organismo, mejora continua y transparencia para los

interesados.

Este objetivo de control afecta, primariamente a la efectividad y a la eficiencia, y en forma

secundaria a la integridad y la confiabilidad.


Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de

un Sistema de Aseguramiento de la Calidad (SAC) en relación a TI. Se realizan juicios

informales sobre la calidad.


36

Observaciones:

No existen políticas ni un sistema de aseguramiento de calidad que establezca estándares

para medirla y monitorearla. Esto impide identificar desviaciones, aplicar acciones

correctivas (en caso de detectarlas), informar a los usuarios involucrados y conocer la

entrega de valor de TI a los objetivos estratégicos del organismo.

En relación a los desarrollos de aplicaciones que se realizan internamente,36 las acciones

tendientes al aseguramiento de la calidad se encuentran en una etapa incipiente, por lo que

sólo se llevan a cabo tareas de estandarización de pantalla y listados. No se realizan

análisis de caja blanca.37

4.1.1.9 Evaluar y administrar los riesgos de TI

Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración

de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,

estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre

las metas estratégicas del Organismo causado por algún evento no planeado se debe

identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para

minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe

ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable

de tolerancia.

Este objetivo de control afecta, primariamente a la confidencialidad, la integridad y la

disponibilidad, y en forma secundaria a la efectividad, la eficiencia, el cumplimiento y la

confiabilidad.


36 Las aplicaciones Anexo D y Sigad son mantenidas por la unión transitoria de empresas Casino Buenos

Aires e IVISA S.A. Waldbott & Asoc S.A. mantiene la aplicación homónima. 37 En programación, se denomina “cajas blancas” a un tipo de pruebas de software que se realiza sobre las

funciones internas de un módulo. Entre las técnicas usadas se encuentran la cobertura de caminos (pruebas

mediante las que se recorren todos los posibles caminos de ejecución), pruebas sobre las expresiones lógico-

aritméticas, pruebas de camino de datos y comprobación de bucles.


37

Nivel de Madurez: Inicial. Existe un entendimiento emergente de que los riesgos de TI

son importantes y necesitan ser considerados. Los riesgos de TI se toman en cuenta de

manera ad hoc. Se realizan evaluaciones informales.

Observaciones:

No existe un marco formal de administración de riesgos que permita identificarlos con el

objeto de tomar acciones para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en

caso de un incidente, cuantificando costos y probabilidades de ocurrencia. Informalmente

los riesgos tecnológicos se conocen, pero falta la formalización del contexto de riesgo y su

evaluación formal de manera tal de contemplar las fortalezas, las oportunidades, las

debilidades y las amenazas.

El Organismo se encuentra expuesto a la ocurrencia de hechos inesperados que pueden

generar perjuicios, sin que estén analizadas las medidas a tomar para cada caso. Por

ejemplo, el enfoque de continuidad del negocio tiene contemplado el procesamiento

alternativo en aquellos procesos que implican el ingreso de fondos (captura de apuestas)

pero no los egresos. De producirse una discontinuidad de los servicios de TI en la

administración central, podría impedir el cumplimiento de las obligaciones de pago por

parte de la empresa.

4.1.1.10 Administrar proyectos

Objetivo de control: Establecer un programa y un marco de control administrativo de

proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe

garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.

El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de

entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de

la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación

para garantizar la administración de la ejecución del proyecto y su contribución a los

objetivos estratégicos del organismo. Este enfoque reduce el riesgo de costos inesperados y


38

de cancelación de proyectos, mejora la comunicación y el involucramiento de los niveles

decisorios con los usuarios finales, asegura el valor y la calidad de los entregables de los

proyectos, y maximiza su contribución a los programas de inversión en TI.



Nivel de Madurez: Repetible. La Gerencia de Sistemas ha concientizado sobre la

necesidad de administrar adecuadamente los proyectos de TI. Sin embargo, la aplicación

de las directrices a los proyectos de TI se deja a discreción de cada responsable de

proyecto. La organización está en proceso de desarrollar y utilizar algunas técnicas y

métodos, proyecto por proyecto. Para estos se han definido objetivos técnicos y de

negocio, pero hay participación limitada de los usuarios interesados.

Observaciones:

No hay una administración integrada de todos los proyectos informáticos.

Además del Departamento de Mantenimiento de Software que figura formalmente en el

organigrama, existe otra área identificada como “Asesoría de Sistemas”. Uno administra

los desarrollos propios desde el año 2006, cuyos módulos integran el SULON,38 y otro que

mantiene las aplicaciones prexistentes.39 Mientras que en la primera se han seguido

directrices comunes en la administración de proyectos, esto no sucede con el segundo

38 SULON: Sistema Único de Lotería Nacional. Comprende los siguientes módulos: Gestión de usuarios,

roles y dependencias, Gestión de Agencias y Actas Provinciales, inspecciones realizadas y denuncias,

Gestión de actas e inspecciones de Agencias Oficiales, Gestión de Documentación (administración de la

documentación del organismo y su ubicación física en el archivo general y en dependencias de LNSE: Notas,

Providencias, Memos e Informes), Gestión de Reclamos (consultas, sugerencias, pedido de asistencia técnica

de clientes), Auditorías de los juegos Borratina, Brinco, La Grande, La Solidaria, Loto, Loto 5, Prode, Quini

6, Quiniela Conjunta (Tradicional, Poceada y Tombolina), Tragamonedas (extrae información del sistema

Accounting sobre las actividades de Casino de Buenos Aires y HAPSA y genera reportes), G.R.S. (Gestión

de Reclamos a Sistemas (administra la gestión de incidentes relacionados con temas de hardware y

aplicaciones), Bingos (seguimiento on-line de las partidas de los distintos Bingos) y Pro.cre.ar. (búsqueda de

ganadores y remisión de resultados del Programa PRO.CRE.AR BICENTENARIO, -Programa de Crédito

Argentino del Bicentenario para la Vivienda Única Familiar). 39 SIGAD, ANEXO D, Permisionarios, Estadísticas y Poliper (Gestión de Seguros de Agentes Oficiales y

Permisionarios


39

conjunto. Además, ninguna se encuentra integrada a la administración de proyectos de

infraestructura de TI.

4.1.2. ADQUIRIR E IMPLEMENTAR

Como comentario general aplicable a todos los procesos del dominio, se señala que las

áreas de desarrollo y mantenimiento de soluciones automatizadas se encuentran divididas

entre una propia y otra de servicios tercerizados.

4.1.2.1 Identificar soluciones automatizadas

Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis

antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen

con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,

considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y

económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión

final de desarrollar o comprar. Todos estos pasos permiten al Organismo minimizar el

costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro

de los objetivos.

Este objetivo de control afecta, primariamente a la efectividad y en forma secundaria a la

eficiencia.


Nivel de Madurez: Repetible. Los enfoques para definir los requerimientos e identificar

las soluciones tecnológicas no siempre son estructurados. Las soluciones se identifican de

manera informal con base en la experiencia interna y en el conocimiento de la función de

TI. El éxito de cada proyecto depende de la experiencia de individuos clave. La calidad de

la documentación y de la toma de decisiones es variable.

Observaciones:


40

El marco de trabajo del área de desarrollo propio es incompleto. Faltan consideraciones

relativas a la formalización de cómo se consideraron la factibilidad, el riesgo, la asignación

de costos, las prioridades, la asignación de recursos y el beneficio esperado de la solución

adoptada.

En el caso de los servicios tercerizados, el marco de trabajo es menos formal. La falta de

documentación hace que se dependa de individuos clave para llevar adelante las tareas.

4.1.2.2 Adquirir o desarrollar y mantener software aplicativo

Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los

requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la

inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo

y la configuración en sí de acuerdo a los estándares elegidos. Esto permite apoyar la

operatividad de forma apropiada con las aplicaciones correctamente automatizadas.


secundaria a la integridad y confiabilidad.


Nivel de Madurez: Parcialmente Definido. Existe un proceso claro, definido y de

comprensión general para la adquisición y mantenimiento de software aplicativo. Este

proceso va de acuerdo con la estrategia de TI y del negocio. Se intenta aplicar los procesos

de manera consistente a través de diferentes aplicaciones y proyectos. Las metodologías

son por lo general flexibles y no se aplican en todos los casos.

Observaciones:

La metodología de ciclo de vida de desarrollo de sistemas (CVDS) está definida aunque

incompleta. Faltan algunos aspectos tales como definir etapas de aceptación por parte de

los usuarios involucrados y la definición de estándares de codificación del software que

pueda ser analizado en un control de aseguramiento de la calidad posterior (análisis de caja

blanca).


41

4.1.2.3 Adquirir y mantener infraestructura tecnológica

Objetivo de control: Los organismos deben contar con procesos para adquirir, implantar y

actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado de acuerdo

con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y

pruebas, lo que contribuye con la existencia de un soporte tecnológico continuo para las

aplicaciones.

Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la

efectividad, la integridad y la disponibilidad.


Nivel de Madurez: Inicial. Se realizan cambios a la infraestructura sin ningún plan

integral. Aunque se tiene la percepción de que la infraestructura de TI es importante, no

existe un enfoque general consistente. La actividad de mantenimiento se realiza en forma

reactiva a necesidades de corto plazo.

Observaciones:

El impacto que pueda producir sobre la infraestructura tecnológica un desarrollo nuevo o

un cambio importante en alguna de las aplicaciones existentes, no está formalmente

contemplado. El organismo no cuenta con un plan de infraestructura tecnológica (ver

observaciones punto 4.1.3, “Determinar la dirección tecnológica”).

4.1.2.4 Facilitar la operación y el uso

Objetivo de control: El conocimiento sobre los nuevos sistemas debe estar disponible.

Este proceso requiere la generación de documentación y manuales para usuarios y TI, y

proporcionar entrenamiento para garantizar el uso y la operación correctos de las

aplicaciones y la infraestructura.


secundaria a la integridad, la disponibilidad, el cumplimiento y la confiabilidad.


42


Nivel de Madurez: Parcialmente Definido. Existe un esquema bien definido, aceptado y

comprendido para documentación del usuario. Se guardan y se mantienen los

procedimientos en un repositorio formal y cualquiera que necesite saber tiene acceso a él.

Las correcciones a la documentación y a los procedimientos se realizan por reacción. Los

procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en

caso de desastre. No existe un proceso que especifique las actualizaciones de

procedimientos y los materiales de entrenamiento ante un cambio. Los usuarios se

involucran en los procesos informalmente. Cada vez se utilizan más herramientas

automatizadas en la generación y distribución de procedimientos.

Observaciones:

Los desarrollos propios posteriores al año 2006 tienen documentación almacenada en un

repositorio donde los usuarios habilitados tienen acceso. No así los aplicativos

desarrollados o adquiridos previamente: SIGAD, ANEXO D, WALBOTT, Permisionarios,

Estadísticas y Poliper.

4.1.2.5 Adquirir recursos de TI

Objetivo de control: Se deben suministrar recursos de TI, incluyendo personas, hardware,

software y servicios. Esto requiere de la definición y ejecución de los procedimientos de

adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la

adquisición en sí. El hacerlo así garantiza que el Organismo tenga todos los recursos de TI

que se requieren de una manera oportuna y rentable.

Este objetivo de control afecta, primariamente a la eficiencia, y en forma secundaria a la

efectividad y el cumplimiento.


Nivel de Madurez: Repetible. Existe conciencia organizacional de la necesidad de tener

políticas y procedimientos básicos para la adquisición de TI. Las políticas y


43

procedimientos se integran parcialmente con el proceso general de adquisición de la

organización del negocio. Los procesos de adquisición se utilizan principalmente en

proyectos mayores y bastante visibles. Se reconoce la importancia de administrar

proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual.

Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles.

Observaciones:

Las adquisiciones responden a un proceso formalizado por un reglamento de compras del

organismo. No se obtuvo evidencia de los contratos con los proveedores, motivo por el

cual no se pueden controlar los acuerdos de niveles de servicio.

4.1.2.6 Administrar cambios

Objetivo de control: Todos los cambios, incluyendo el mantenimiento de emergencia y

actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente

de producción, deben administrarse formal y controladamente. Los cambios (incluyendo

procedimientos, procesos, sistemas y parámetros del servicio) se deben registrar, evaluar y

autorizar previo a la implantación y contrastar contra los resultados planeados después de

la misma. Esto garantiza la reducción de riesgos que impactan negativamente en la

estabilidad o integridad del ambiente de producción.

Este objetivo de control afecta, primariamente a la efectividad, la eficiencia, la integridad y

la disponibilidad, y en forma secundaria a la confiabilidad.


Nivel de Madurez: Parcialmente Definido. Existe un proceso formal definido para la

administración del cambio, pero no se aplica en todos los casos. Aún pueden ocurrir

errores y los cambios no autorizados ocurren ocasionalmente.

Observaciones:


44

El procedimiento de administración de cambios está contemplado en la metodología de

ciclo de vida de desarrollo de sistemas (CVDS), pero es incompleto. Faltan

consideraciones de análisis de impacto en aspectos funcionales y de infraestructura de TI

que puedan traer dichos cambios, criterios para asignar prioridades y etapas de aceptación

por parte del usuario clave involucrado.

No está establecido un proceso formal para actuar en situaciones de emergencia que

contemple tareas a ser cumplidas en forma diferida una vez solucionado el problema y la

registración de pistas de auditoría.

4.1.2.7 Instalar y acreditar soluciones y cambios

Objetivo de control: Los nuevos sistemas necesitan estar funcionales una vez que su

desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con

datos de prueba relevantes, definir la transición e instrucciones de migración, planear la

liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.

Esto garantiza que los sistemas operacionales estén en línea con las expectativas

convenidas y con los resultados.

Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la

eficiencia, la integridad y la disponibilidad.


Nivel de Madurez: Definido. Se cuenta con una metodología formal en relación con la

instalación, migración, conversión y aceptación. Los procesos de TI para instalación y

acreditación están integrados dentro del ciclo de vida del sistema y están automatizados

hasta cierto punto. El entrenamiento, pruebas y transición y acreditación a producción

tienen muy probablemente variaciones respecto al proceso definido, con base en las

decisiones individuales. La calidad de los sistemas que pasan a producción puede ser

inconsistente.

Observaciones:


45

En el procedimiento de pasaje del software del entorno de prueba al entorno de

producción, falta la aprobación formal del usuario relevante involucrado, que avale que las

pruebas llevadas a cabo en el entorno de prueba fueron satisfactorias.

4.1.3. ENTREGAR Y DAR SOPORTE

4.1.3.1 Definir y administrar los niveles de servicio

Objetivo de control: La máxima autoridad debe definir un marco que promueva el

establecimiento de acuerdos de nivel de servicio que formalicen los criterios de desempeño

en virtud de los cuales se medirá su cantidad y calidad.


secundaria a la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la

confiabilidad.


Nivel de Madurez: Inicial. Hay conciencia de la necesidad de administrar los niveles de

servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de

cuentas para la definición y la administración de servicios no están definidas. Si existen las

medidas para medir el desempeño, son solamente cualitativas, con metas definidas de

forma imprecisa.

Observaciones:

Falta definir y acordar convenios de niveles de servicio para todos los procesos críticos de

TI con base en los requerimientos del usuario y las capacidades de TI. Correspondería

formalizar un marco de trabajo de administración de niveles de servicio entre el usuario y

el prestador de servicios que contemple el proceso de creación del requerimiento por parte

del usuario, el almacenado de manera centralizada de la definición base de los servicios de

TI (catálogo de servicios), los acuerdos de niveles de servicios alcanzados con la Gerencia


46

de Sistemas conforme a las capacidades disponibles, el proceso de monitoreo de los

acuerdos y los reportes a los interesados

4.1.3.2 Administrar servicios de terceros

Objetivo de control: La máxima autoridad debe implementar medidas de control

orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para

garantizar la eficacia y el cumplimiento de la política del Organismo.



confiabilidad.


Nivel de madurez: Inicial. La gerencia está consciente de la importancia de la necesidad

de tener políticas y procedimientos documentados para la administración de los servicios

de terceros, incluyendo la firma de contratos. La medición de los servicios prestados es

informal y reactiva.

Observaciones:

El mantenimiento de las aplicaciones “Anexo D” y “SIGAD” figuran en el contrato de

licitación del sistema de captura de apuestas en línea (licitación 4/09) sin establecer cómo

se prestará el servicio. Esto da lugar a que no se pueda establecer un acuerdo de nivel de

servicio al que el proveedor se debe comprometer.

Con respecto a las prestadoras de servicios de telecomunicaciones, durante los trabajos de

campo los convenios no fueron suministrados a esta auditoría, no obstante se verificó que

el control de la prestación no se encuentra formalizado en un procedimiento específico.

4.1.3.3 Administrar el desempeño y la capacidad

Objetivo de control: Se debe implementar un proceso de administración orientado a la

recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los


47

recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la

demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades

futuras, almacenamiento y contingencias, y garantizar que los recursos de información que

soportan los requerimientos del Organismo estén disponibles de manera continua.


secundaria a la disponibilidad.


Nivel de madurez: Repetible. Se utilizan herramientas para diagnosticar problemas de

desempeño y de capacidad, pero la consistencia de los resultados depende de la experiencia

de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o

consideración sobre situaciones de carga pico y peor-escenario. Los problemas de

disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria, lo que dificulta

la toma oportuna de decisiones.

Observaciones:

Falta:

Establecer un proceso de planeación para la revisión regular del desempeño y la

capacidad de los recursos de TI, que asegure la disponibilidad para procesar cargas

de trabajo acordadas, tal como se determina en los acuerdos de nivel de servicio, y

minimizar el riesgo de interrupciones del servicio originados por falta de capacidad

o degradación del desempeño.

Monitorear y generar reportes del desempeño del sistema.

Elaborar un plan de contingencia que considere de forma apropiada la

disponibilidad, capacidad y desempeño de los recursos individuales de TI.


48

4.1.3.4 Garantizar la continuidad del servicio

Objetivo de control: Se requiere desarrollar, mantener y probar planes para asegurar la

continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones

y brindar entrenamiento periódico.

Este objetivo de control afecta, primariamente a la efectividad y la disponibilidad, y en

forma secundaria a la eficiencia.


Nivel de madurez: Repetible. Se asigna la responsabilidad para mantener la continuidad

del servicio. Los enfoques para asegurar la continuidad son incompletos y no toman en

cuenta algunos aspectos del impacto en el negocio. No hay un plan de continuidad de TI

documentado, aunque hay compromiso para mantener disponible la continuidad del

servicio y sus principios más importantes se conocen.

Observaciones:

El enfoque de la continuidad del negocio es incompleto. Se pone énfasis en aquellos

procesos que implican el ingreso de fondos pero no en los egresos. De producirse una

discontinuidad de servicios en la administración central, podría no cumplirse con las

obligaciones de pago.

4.1.3.5 Garantizar la seguridad de los sistemas

Objetivo de control: La necesidad de mantener la integridad de la información y de

proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este

proceso incluye el establecimiento y mantenimiento de roles y responsabilidades, políticas,

estándares y procedimientos de TI. La administración de la seguridad también incluye la

implementación de los controles de acceso lógico que garantizan que el ingreso a los

sistemas, datos y programas está limitado a los usuarios autorizados. También involucra

los monitoreos y pruebas periódicas así como acciones correctivas sobre las debilidades o

incidentes identificados.


49

Este objetivo de control afecta, primariamente la confidencialidad y la integridad, y en

forma secundaria la disponibilidad, el cumplimiento y la confiabilidad.


Nivel de madurez: Repetible. Las responsabilidades y la rendición de cuentas sobre la

seguridad, están asignadas a un responsable, pero su autoridad es limitada. La conciencia

sobre la necesidad de la seguridad está fraccionada y no cubre todos los aspectos. Las

políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades

son insuficientes. La habilitación sobre seguridad está disponible pero depende

principalmente de la iniciativa de individuos claves.

Observaciones:

El Organismo cuenta con una Subgerencia de Seguridad de la Información, responsable del

cumplimiento de la Política respectiva. No obstante, depende de la Gerencia de Sistemas,

lo que no garantiza su independencia funcional y operativa tanto de dicha gerencia como

del resto de las áreas usuarias. Esto limita su alcance, capacidad operativa y el control por

oposición.

Concientización sobre la seguridad de la información.

Se ha aprobado una Política de Seguridad de la Información40 (PSI), se realizan cursos de

capacitación en seguridad de la información para todo el personal, pero los mismos no son

obligatorios, detectándose que personal técnico no recibió capacitación en la misma y

desconoce la existencia y contenido de la PSI. El seguimiento del cumplimiento de la PSI

se realiza evaluando las encuestas completadas al finalizar los cursos de capacitación. No

se releva departamento por departamento para verificar su cumplimiento y nivel de

conocimiento alcanzado.

Los propietarios de los datos no se encuentran definidos de manera formal. La PSI

establece la forma en que deben ser clasificados los activos de información, pero ésta

clasificación no se ha formalizado.

40 Resolución LNSE 83/10. Se actualizó con la Resolución 96/12 del 25/09/2012.


50

No se cuenta con un Plan de Seguridad de TI ni con un Plan de Contingencias, además de

no contar con un análisis de riesgos por cada sistema aplicativo y por departamento, a

excepción del Informe de evaluación del Data Center del Departamento de Producción.

Se detectó que hay sistemas cuyas políticas de cuentas de usuario no respetan la PSI y el

administrador del sistema tiene a la vista las contraseñas de los usuarios.

La Subgerencia de Seguridad de la Información no tuvo ni tiene injerencia en la seguridad

del sistema Accounting que registra los movimientos de las máquinas tragamonedas de

HAPSA y Casino de Buenos Aires.

Administración de Cuentas de Usuarios.

Las tareas de revisión periódica de las cuentas de usuario no están formalizadas bajo un

procedimiento específico.

No se suspenden las cuentas de los usuarios que se encuentren de licencia.

Se han hallado usuarios de la Gerencia de Sistemas de las bases de datos de producción.

Administración de Contraseñas.

No se cumplen las políticas de contraseñas fijadas en la PSI en los servidores Windows,

Linux y AIX,41 excepto en el servidor de base de datos del Casino de Buenos Aires.

El sistema de Permisionarios tiene su propia administración de usuarios, es administrada

por el jefe de departamento y no cumple con los requisitos detallados en la PSI. Tanto la

identificación de usuario como la contraseña pueden ser visualizadas por el administrador.

Todos los integrantes del Departamento de Producción conocen la clave de acceso de

super-usuario42 de los servidores, además de permitirse el cambio de un usuario común a

super-usuario. Esto posibilitaría que intencional o accidentalmente se realicen operaciones

que pongan en riesgo la seguridad de la información que se almacena en ellos.

Accesos físicos. 41 No exigen requisitos de complejidad de contraseñas, no fijan longitud mínima de la contraseña, las

contraseñas nunca expiran, la vigencia máxima de las contraseñas en algunos casos es de 42 días (debiendo

ser 90 días), no se guarda el historial, no tienen fijados umbrales de bloqueo de cuentas (bloqueo que cuenta

tras un número de tres intentos fallidos). 42 Usuario de mayor privilegio en la administración de un sistema operativo.


51

Hay racks de comunicaciones en lugares de libre acceso a personal ajeno al Departamento

de Telecomunicaciones, con cables a la vista y armarios sin cerramiento en su parte

posterior; algunos junto a ventanas de fácil acceso desde el exterior. En el cuarto piso, el

acceso al rack de comunicaciones se encuentra obstaculizado por armarios que se

encuentran por delante.43

En el Centro de Cómputos hay equipamiento de LNSE en el área de equipamiento de

terceros, sin ningún tipo de aislamiento para impedir su manipulación accidental o

indebida por personal externo.

Seguridad de la Red.

No existe ningún dispositivo de defensa perimetral44 entre la red de LNSE y las redes de:

la UTE IVISA-Casino Buenos Aires

HAPSA

Casino de Buenos Aires.

Si bien la red de la UTE IVISA – Casino de Buenos Aires interna a LNSE se encuentra

encapsulada dentro de su propia red de área local virtual (VLAN), el puerto de ingreso a

ésta no posee etiquetado, por lo que, con un mínimo conocimiento de la red, la UTE

tendría acceso a la totalidad de la red de LNSE.

No existe una lista de control de acceso (ACL) que regule el acceso interno a los servidores

del centro de cómputos. Esto significa que cualquier dispositivo conectado a la red interna

de LNSE tiene acceso a la pantalla de autenticación de los servidores albergados en el

centro de cómputos.

43 Existe un expediente interno 370.969/10 sobre este tema, donde el Departamento de Comunicaciones

solicita a la Subgerencia de Sistemas “… correr los armarios que obstaculizan el acceso al Rack de

comunicaciones y colocar una puerta no sólo como aislante del ruido, sino también como aislamiento

térmico…”. 44 Estos dispositivos son conocidos comúnmente como “Firewall”. Se trata de un dispositivo o conjunto de

dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre

la base de un conjunto de normas y otros criterios.


52

La infraestructura de red depende exclusivamente de un enrutador núcleo para el cual –no

obstante contar con hardware redundado mediante duplicidad de placas controladoras–, no

se cuenta con plan de contingencia alguno ante su eventual falla.

Los servicios críticos de comunicaciones se encuentran a la fecha sin garantía y bajo un

régimen de legítimo abono.

4.1.3.6 Identificar y asignar costos

Objetivo de control: Se debe implementar un sistema de imputación de costos que

garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle

requerido y el ofrecimiento de servicio adecuado.

Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y

reportar costos de TI a los usuarios de los servicios.

Este objetivo de control afecta a la eficiencia y la confiabilidad.


Nivel de madurez: Inicial. Hay un entendimiento general de los costos globales de los

servicios de información, pero no hay una distribución de costos por usuario, cliente,

departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. El marco

de monitoreo de los costos de TI es débil e incompleto.

Observaciones:

La asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de

los servicios de TI, sino a la Gerencia de Sistemas.

Falta la implementación a nivel de la organización de un enfoque orientado a la

administración por centros de costos de los recursos de TI. Dentro de este marco de

trabajo, la Gerencia de Sistemas no presenta un proceso presupuestario propio de los

programas de inversión de TI, incluyendo los costos de operar y mantener la

infraestructura actual. Este proceso debería permitir su monitoreo para determinar la

contribución esperada de TI a los objetivos estratégicos del organismo.


53

4.1.3.7 Educación y capacitación de los usuarios

Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y

desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada

grupo. Además, este proceso debe incluir la definición y ejecución de una estrategia para

llevar a cabo un entrenamiento efectivo y para medir los resultados.

Este objetivo de control afecta, primariamente a la eficacia y en forma secundaria a la

eficiencia.


Nivel de madurez: Definido. El programa de entrenamiento y educación se

institucionaliza y comunica, y los empleados y gerentes identifican y documentan las

necesidades de entrenamiento. Los procesos de entrenamiento y educación se estandarizan

y documentan. Para soportar el programa de entrenamiento y educación, se establecen

presupuestos, recursos, instructores e instalaciones. La mayoría de los procesos de

entrenamiento y educación son monitoreados.

Observaciones:

En el acta de la Comisión Negociadora del Convenio Colectivo de Trabajo suscripto45 se

establece que “la capacitación está considerada como un derecho inalienable de los

trabajadores y es obligación del empleador brindar la misma, con incorporación de las

temáticas y prestaciones pedagógicas que respondan a la gestión laboral”. También se

contemplan licencias y franquicias horarias a los empleados que concurran a capacitarse.

Para temas relativos a la actividad lúdica, el organismo cuenta con la Escuela de

Formación y Capacitación de Lotería Nacional S.E.46, la cual propone el Plan Institucional

de Capacitación (PIC) y el Plan Operativo de Capacitación (POC). En tal sentido, la

45 Artículo 45 del Convenio Colectivo de Trabajo de Empresa Nº 54/92 “E”, suscripto con UPCN. 46 Creada por Resolución Nº 47/08-LNSE y cuyas Misiones y Funciones estableció la Resolución Nº 59/08-

LNSE.


54

Gerencia de Sistemas eleva las necesidades de capacitación propias que alimentan tanto al

PIC y al POC.

4.1.3.8 Administrar la mesa de servicio y los incidentes

Objetivo de control: Responder de manera oportuna y efectiva a las consultas de los

usuarios de TI requiere de una mesa de servicio bien diseñada y ejecutada, y de un proceso

de administración de incidentes. Este proceso incluye la creación de una función de mesa

de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-

raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la

resolución rápida de consultas. Además, permite identificar la causa raíz a través de un

proceso de reporte efectivo.

Este objetivo de control afecta a la efectividad y la eficacia.


Nivel de madurez: Parcialmente Definido. En todos los niveles de la organización hay un

total entendimiento de los beneficios de un proceso de administración de incidentes. La

función de Mesa de Ayuda se ha establecido en las unidades organizacionales apropiadas.

Las herramientas están automatizadas. Las responsabilidades son claras y se monitorea su

efectividad. Los procedimientos para comunicar, escalar y resolver incidentes han sido

establecidos y comunicados.

Observaciones:

El usuario que recurre a la Mesa de Ayuda se comunica a través de llamadas telefónicas o

mails. El operador que atiende el reclamo carga el incidente en un aplicativo denominado

“Gestión de Reclamos y Servicios” (GRS). Debido a que esta carga no la realiza el usuario

propiamente dicho, no es seguro que se carguen todos los incidentes, en especial aquellos

que son menores.

Una vez que el incidente está resuelto, lo cierra Mesa de Ayuda, sin que esto implique la

conformidad del usuario.


55

No existe una base de conocimientos con soluciones estandarizadas. Los conocimientos

están considerados a partir de la resolución de incidentes históricos que son consultados en

cada caso.

No se utiliza la intranet como reservorio de “preguntas frecuentes” de modo tal que el

usuario tenga una guía para resolver el problema sin tener que consultar a la Mesa de

Ayuda.

4.1.3.9 Administrar la configuración

Objetivo de control: Se deben formular y documentar los procedimientos que identifiquen

y registren todos los bienes tangibles e intangibles –lo que incluye licencias de software

adquirido o de propia producción– de Tecnología de la Información, con su ubicación

física. Estos procedimientos deben incluir la recolección y registro de información de la

configuración inicial, el establecimiento de normas que prohíban movimientos y

modificaciones no autorizadas, la verificación y auditoría de la información de la

configuración y la actualización del repositorio de configuración conforme se necesite.

Este objetivo de control afecta, primariamente la efectividad y en forma secundaria la

eficiencia, la disponibilidad y la confiabilidad.


Nivel de madurez: Parcialmente definido. Los procedimientos y las prácticas de trabajo

se han documentado, estandarizado y comunicado. Además se han implementado

herramientas similares de administración de configuración entre plataformas. Es poco

probable detectar las desviaciones de los procedimientos y las verificaciones físicas se

realizan de manera inconsistente. Se lleva a cabo algún tipo de automatización para ayudar

a rastrear cambios en el software o en el hardware.

Observaciones:

No existe un único repositorio de los bienes tangibles e intangibles de TI.


56

Los elementos de la configuración de TI se registran en dos sistemas distintos: el

departamento de Bienes de Uso lo hace en el módulo homónimo de la aplicación en el

Anexo D y la Gerencia de Sistemas utiliza su propio sistema: el SASHI.47 Estos dos

sistemas no están integrados y cada uno cuenta con su propia base de datos. Las

registraciones se hacen individualmente en cada uno.

Si bien el Departamento de Bienes de Uso sigue un Manual de Procedimientos

Administrativos para Bienes de Uso, aprobado formalmente por Organización y Métodos y

la Gerencia de Sistemas cuenta con Rutinas de Trabajo aprobadas por la Gerencia de

Sistemas, ambas no se vinculan entre sí. La información en algunos casos se encuentra

desactualizada y algunos bienes intangibles no se han registrado.

4.1.3.10 Administración de problemas

Objetivo de control: Se debe implementar un sistema de administración de problemas que

registre y de respuesta a todos los incidentes. El proceso también incluye la identificación

de recomendaciones para la mejora, el mantenimiento de registros y la revisión de estatus

de las acciones correctivas.

Este objetivo de control afecta, primariamente a la eficacia y la eficiencia, y en forma

secundaria a la disponibilidad.


Nivel de madurez: Parcialmente Definido. El proceso de administración de problemas se

entiende a todos los niveles de la organización. Las responsabilidades están claramente

establecidas. Los métodos y los procedimientos son documentados y comunicados. La

mayoría de los problemas están identificados, registrados y reportados.

Observaciones:

47 SASHI: Sistema de Administración de Software, Hardware e Insumos.


57

Tal como ocurre en el tratamiento de incidentes, el usuario que recurre a la Mesa de Ayuda

se comunica a través de llamadas telefónicas o mails. El operador que atiende el reclamo

carga el incidente en un aplicativo denominado “Gestión de Reclamos y Servicios” (GRS).

Debido a que esta carga no la realiza el usuario propiamente dicho, no es seguro que se

carguen todos los incidentes que puedan derivar en considerarse problemas.

Falta integración con los procesos de administración de cambios y de configuración ya que

para éstos se utilizan otras herramientas que no están vinculadas (“G.R.S.”, aplicación para

la gestión de reclamos y servicios, y el módulo “Bienes de Uso” del Anexo D).

4.1.3.11 Administración de Datos

Objetivo de control: La máxima autoridad debe establecer y mantener una combinación

eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la

Información para asegurar que los datos permanezcan durante su entrada, actualización y

almacenamiento completos, precisos y válidos. El proceso de administración de

información también incluye el establecimiento de procedimientos efectivos para

administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así

como su eliminación apropiada.

Este objetivo de control afecta a la integridad y la confiabilidad.


Nivel de madurez: Parcialmente Definido. Se entiende y acepta la necesidad de una

adecuada administración de los datos, tanto dentro de TI como a lo largo de toda la

organización. Se establece la responsabilidad sobre la administración de los datos. Se

asigna la propiedad sobre los datos a la parte responsable que controla TI y se utilizan

algunas herramientas para respaldo, recuperación y desecho de equipos.

Observaciones:

Si bien están correctamente implementados los procedimientos para el archivo,

almacenamiento y retención de los datos, acorde a la política de seguridad de la


58

organización y los requerimientos regulatorios, producto de la no implantación de una

política de despapelización, hay más información impresa que lugar para almacenarla, lo

que hace imposible cumplir con una política de escritorios limpios, por lo tanto hay

información disponible que puede estar al alcance de usuarios no apropiados.

También se transporta mucha de esta información físicamente de un sitio a otro –por

ejemplo, desde donde se explotan los juegos, a la administración central, o entre distintas

sedes–, sin que se hayan implementado procedimientos de seguridad aplicables al envío,

traslado y recepción.

4.1.3.12 Administración del Ambiente Físico

Objetivo de control: La protección del equipo de cómputos y del personal requiere de

instalaciones bien diseñadas y administradas. Se deben instalar controles ambientales y

físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto

funcionamiento.

Este objetivo de control afecta, a la integridad y a la disponibilidad.


Nivel de madurez: Definido. Se entiende y acepta a lo largo de toda la organización la

necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, el

mantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y

rastreado por la gerencia. Se aplican restricciones de acceso, permitiendo el ingreso a las

instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y

acompañan dependiendo del individuo. Las instalaciones físicas mantienen un perfil bajo y

no son reconocibles de manera fácil. Se monitorea el cumplimiento de los reglamentos de

salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar costos.

Observaciones:

Centro de Procesamiento de Datos de la Administración Central.


59

No hay centro de procesamiento alternativo. Si bien está contemplado en el proceso de

captura de apuestas un centro alternativo, el mismo no se encuentra a una distancia

aconsejable. Además no cubre el procesamiento del resto de los procesos del organismo.

Se observó la presencia de material inflamable, como cajas de cartón, cajas de plástico y

armarios de madera.

Adicionalmente, falta enmallar cables. Algunos racks no tienen puerta, se observan

pequeñas roturas en el cielo raso. El Centro de Procesamiento de Datos no es una sala

cofre.

Instalación Eléctrica.

En la sala donde está el tablero de electricidad principal del edificio se encontraron los

siguientes objetos inflamables: puerta de acceso de madera, cajas de cartón, objetos varios

de madera, cables en el piso que dificultan el acceso al tablero.

Los proveedores acceden acompañados por personal del Departamento de Sistemas

Eléctricos sin registrarse en una planilla. No está señalizado el piso con pintura reflectiva

que conduzca al tablero principal en caso de corte de suministro eléctrico.

Data Center del Casino de Buenos Aires

LNSE posee un rack de servidores propio instalado en el centro de cómputos de esta

empresa. En este rack, donde se encuentra uno de los tres servidores donde se aloja el

sistema Accounting, no posee puerta trasera dado que la longitud del servidor es mayor que

el ancho del rack.

Por otra parte, el personal de Casino de Buenos Aires cuenta con la llave de la puerta

delantera, teniendo acceso físico total a los equipos ubicados en este rack.

Además, se observó la presencia de material inflamable (cajas de cartón, alfombras y

otros) próximo a las instalaciones.

Data Center de HAPSA


60

El rack de servidores de LNSE que se encuentra ubicado en el centro de cómputos de esta

empresa y que incluye el servidor con el Accounting, se encuentra alojado en el mismo

ambiente físico que los racks propiedad de HAPSA.

El rack de comunicaciones propiedad de LNSE se encuentra cerrado pero con la llave

puesta. El acceso irrestricto al rack expone al equipamiento de comunicaciones a ataques

físicos y lógicos, y propensa su riesgo de accidentes, lo que compromete la disponibilidad

del servicio y la seguridad de la comunicación48.

4.1.3.13 Administración de operaciones

Objetivo de control: Un procesamiento completo y apropiado de la información requiere

su efectiva administración y el mantenimiento del hardware involucrado. Este proceso

incluye la definición de políticas y procedimientos de operación para una administración

efectiva del procesamiento programado, protección de datos de salida sensitivos,

monitoreo de infraestructura y mantenimiento preventivo de hardware.

Este objetivo de control afecta primariamente a la efectividad y la eficiencia, y en forma

secundaria a la integridad y la disponibilidad.


Nivel de madurez: Definido. Se entiende y acepta dentro de la organización la necesidad

de administrar las operaciones de cómputo. Las funciones repetitivas están definidas,

estandarizadas, documentadas y comunicadas de manera formal. Los resultados de las

tareas completadas y de los eventos se registran, con reportes a la gerencia. Se introduce el

uso de herramientas de programación automatizadas y de otras herramientas para limitar la

intervención del operador. Se introducen controles para colocar nuevos trabajos en

operación. Se desarrolla una política formal para reducir el número de eventos no

programados.

48 Dentro del rack se encuentra un conmutador con su panel de conexiones, donde se encuentran conectados

los puestos de trabajo de los agentes fiscalizadores y el equipamiento de telecomunicaciones que permite la

conexión con la oficina central de LNSE.


61

Observaciones:

Los acuerdos de nivel de servicio y mantenimiento con proveedores son de naturaleza

informal.

4.1.4 MONITOREAR Y EVALUAR

4.1.4.1 Monitorear y evaluar el desempeño de TI

Objetivo de control: Una efectiva administración del desempeño de TI requiere un

proceso de monitoreo definido formalmente. Éste debe incluir la definición de indicadores

de desempeño relevantes, reportes sistemáticos y oportunos y tomar medidas expeditas

cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas

correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.

Este objetivo de control afecta, primariamente la efectividad y la eficiencia, y en forma


confiabilidad.


Nivel de Madurez: Inicial. La gerencia reconoce una necesidad de recolectar y evaluar

información sobre los procesos de monitoreo. No se han identificado procesos estándar de

recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de

acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI

específicos. El monitoreo por lo general se implanta de forma reactiva.

Observaciones:

Falta establecer un marco de trabajo de monitoreo general que defina los objetivos de

desempeño, el alcance, qué datos se van a recolectar, la metodología y el proceso a seguir

para medir la solución y la entrega de servicios de TI, de manera de poder comparar en

forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar

medidas correctivas para resolver las causas subyacentes cuando hay desvíos.


62

4.1.4.2 Monitorear y evaluar el control interno

Objetivo de control: Establecer un programa de control interno efectivo para TI requiere

un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de

las excepciones de control, resultados de las auto-evaluaciones y revisiones realizadas por

terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad

eficiencia y eficacia respecto a las operaciones así como en el cumplimiento de las leyes y

regulaciones aplicables.



confiabilidad.


Nivel de Madurez: Parcialmente Definido. Se han desarrollado, documentado y

comunicado políticas, procedimientos y procesos para garantizar el cumplimiento de los

reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo y

existen requisitos de cumplimiento que no han sido resueltos. Se brinda entrenamiento

sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye

respecto a los procesos de cumplimiento definidos.

Observaciones:

Existe un marco de trabajo de control interno con el cual se monitorea en forma continua el

ambiente de control de TI, pero dada la magnitud de la instalación y los recursos de la

auditoría interna, que son llevadas a cabo por un único funcionario, los controles son muy

focalizados y no puede abarcar un programa más completo.

4.1.4.3 Garantizar el cumplimiento con requerimientos externos

Objetivo de control: Una supervisión efectiva del cumplimiento regulatorio requiere del

establecimiento de un proceso independiente de revisión para garantizar el cumplimiento


63

de las leyes y regulaciones. Este proceso incluye la definición de una declaración de

auditoría, independencia de los auditores, ética y estándares profesionales, planeación,

desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría.

El propósito de este proceso es proporcionar un aseguramiento positivo relativo al

cumplimiento de TI de las leyes y regulaciones.

Este objetivo de control afecta, primariamente al cumplimiento y en forma secundaria a la

confiabilidad.


Nivel de Madurez: Repetible. Existe el entendimiento de la necesidad de cumplir con los

requerimientos externos y la necesidad se comunica. No existe, sin embargo, un enfoque

estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y

los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos

externos y a los temas de cumplimiento.

Observaciones:

Se observaron debilidades en el cumplimiento de los siguientes marcos normativos:

Resolución 48 de SIGEN "Normas de Control Interno para Tecnología de la

Información para el Sector Público Nacional”.

Se detectaron los siguientes incumplimientos:

Organización Informática. La Subgerencia de Seguridad depende de la Gerencia de

Sistemas. Esto no permite garantizar una adecuada separación de funciones que

fomente el control por oposición.

Plan Estratégico de TI. La Gerencia de Sistemas no elaboró ni implementó un plan

informático estratégico, que esté alineado con el plan estratégico y el presupuesto

de la organización.

Arquitectura de la Información. No hay un modelo definido de arquitectura de la

información que abarque a la organización integra.


64

Cumplimiento de Regulaciones Externas. No se garantiza que la propiedad

intelectual del software sea de LNSE para los desarrollos internos.

Administración de Proyectos. No se dispone de una metodología de administración

de proyectos aplicable a todos los proyectos informáticos abordados que contemple

aspectos tales como: objetivos, alcance, asignación de responsabilidades y

facultades a los miembros del grupo de proyecto, estudios de factibilidad, análisis

de los riesgos, presupuesto de los recursos a utilizar, participación formal de las

áreas involucradas y de la unidad de auditoría interna.

Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No existe un

procedimiento para solicitudes de emergencia, incluyendo la autorización del

responsable de la unidad de TI, el registro y monitoreo de las tareas realizadas

La unidad de auditoría interna no participa en el proceso de desarrollo de software.

Monitoreo de los Procesos. Faltan algunos indicadores de desempeño para

monitorear la gestión de las actividades de TI, tales como temas presupuestarios y

de administración de proyectos.

Ley 26.653 “Accesibilidad de la Información de las Páginas Web". El diseño de la

página Web de la organización no permite a las personas con discapacidad visual

acceder a la información que allí se brinda. No se siguen las normas y requisitos

establecidos por la ley. No se garantiza a estas personas la igualdad de trato.-

4.1.4.4 Proporcionar gobierno de TI

Objetivo de control: El establecimiento de un marco de trabajo de gobierno efectivo,

incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades

organizacionales para garantizar que las inversiones en TI estén alineadas y de acuerdo con

las estrategias y objetivos del organismo.


65



confiabilidad.


Nivel de Madurez: Repetible. Existe una conciencia sobre los temas de gobierno de TI.

Las actividades y los indicadores de desempeño del gobierno de TI, los cuales incluyen

procesos planeación, entrega y supervisión de TI, están en desarrollo. Los procesos de TI

seleccionados se identifican para ser mejorados con base en decisiones individuales. La

gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de

evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la

organización. La comunicación respecto a los estándares y responsabilidades de gobierno

se deja a los individuos. Los individuos impulsan los procesos de gobierno en varios

proyectos y procesos de TI. Los procesos, herramientas y métricas para medir el gobierno

de TI están limitadas y pueden no usarse a toda su capacidad debido a la falta de

experiencia en su funcionalidad.

Observaciones:

Falta establecer el gobierno de TI con un entorno de control que incluya marcos de trabajo

definidos y formalizados para asegurar:

El tratamiento uniforme en la administración de la totalidad de los proyectos de TI.

El seguimiento de la gestión, mediante un programa de calidad que establezca

indicadores a partir de metas y objetivos definidos previamente, de modo de medir

la contribución de TI a los objetivos estratégicos del Organismo y posibilitar la

rendición de cuentas.

La administración de costos, a partir de la cual sea posible identificar los cargos

asociados a cada servicio, con vistas a su monitoreo y a una correcta administración

de los programas de inversión.


66

Un esquema de monitoreo que permita medir el desempeño y la correcta asignación

de los recursos, como así también si los objetivos perseguidos son alcanzados o no,

para permitir la toma de acciones correctivas.

La administración de riesgos, que permita reportar aquellos relacionados con TI y

su impacto en la posición de riesgos de la organización.

Faltan definir posiciones funcionales claves como: administración de gestión de

aseguramiento de la calidad, administración de Riesgos y administración de Proyectos

La ubicación jerárquica actual de la Subgerencia de Seguridad no es apropiada ya que no

garantiza su independencia funcional y operativa de la Gerencia de Sistemas de

Información y del resto de las áreas usuarias. Esto limita el alcance, su capacidad operativa


4.2. CONTROL INFORMÁTICO DE LNSE SOBRE LAS MEEJA

4.2.1 INFRAESTRUCTURA

4.2.1.1. Casino de Buenos Aires posee acceso físico y lógico a los discos en los que LNSE

almacena información de fiscalización de MEEJA, por lo que potencialmente podría tener

acceso de escritura y borrado a las tablas de las bases de datos.

La infraestructura informática de fiscalización y control de MEEJA era en un principio

propiedad del concesionario, pero en los considerandos de la Res. LNSE 145/12 se previó

su cesión a LNSE para que esta pudiera ejercer los controles que crea convenientes sin la

necesidad de solicitar información a los concesionarios. En el caso de Casino de Buenos

Aires, la cesión se llevó a cabo en el año 2014 mediante un Convenio en el que se detalla el

equipamiento cedido a LNSE. Sin embargo, la lista omite una de las matrices de discos del

sistema, que es la que se utiliza para almacenar una copia de los servidores virtuales que


67

integran el Accounting. Al cierre de las tareas de campo, la matriz de discos no había sido

cedida y Casino de Buenos Aires almacenaba en ella información de uso exclusivo,

además de poder acceder físicamente a los discos. La infraestructura donde se almacena el

sistema debe ser propiedad y de uso exclusivo de LNSE para asegurar que los datos sean

administrados por la aplicación Accounting o por personal de LNSE, exclusivamente. Con

la actual configuración, se pone en riesgo la integridad de los datos y la disponibilidad del

sistema.

4.2.1.2. Los agentes de LNSE que llevan a cabo las tareas de fiscalización en las salas de

juego se conectan al Accounting mediante una conexión externa única, por lo que la

realización de sus tareas se encuentra vulnerable a caídas en el servicio de transmisión de

datos.

Para desarrollar las tareas de fiscalización de las MEEJA, el personal de LNSE ubicado en

Casino de Buenos Aires y HAPSA accede a los servicios necesarios (correo electrónico,

Telefonía VoIP, servidor de archivos, y el acceso al propio Accounting) por medio de una

conexión punto a punto que no se encuentra replicada. Dicha conexión debería contar con

redundancia a los efectos de poder garantizar la continuidad del servicio. Dada la

inexistencia de un plan de contingencias, una caída en el servicio de transmisión de datos

dificultaría las tareas de fiscalización.

4.2.2. FISCALIZACIÓN

4.2.2.1. Los Agentes Fiscalizadores de LNSE no cuentan con herramientas adecuadas

para el control de conectividad y transmisión de las MEEJA.


68

LNSE dispone de dos herramientas de control de conectividad y transmisión: i) un tablero

de monitoreo donde, por medio de un código de colores, se verifica el estado de la

MEEJA, y ii) un procedimiento automatizado que implica controlar una vez por hora que

las MEEJA hayan respondido a la solicitud de envío de contadores. No obstante, no existe

ningún alerta automática o alarma por parte del sistema que permita detectar en tiempo real

una falla de transmisión, por lo que la eficacia del monitoreo depende de la proactividad de

los Agentes Fiscalizadores. El único indicador “on-line” es el mapa de control de MEEJA

proyectado por sala de juego en una pantalla LCD en oficinas de LNSE (en HAPSA, en

Casino de Buenos Aires y en el Departamento Operativo de MEEJA / Casinos en Casa

Central), pero no cuenta con alarmas, ni brinda detalle de los eventos. En dicho sistema de

control varían los colores de las MEEJA según su estado de conectividad (verde, amarillo

y rojo). En la verificación de campo realizada se observó que personal de LNSE no toma

acciones ante el cambio de estado de una MEEJA en el mapa de control. Tampoco se

obtuvo evidencia sobre la existencia de un archivo histórico de cortes de conexión,

incidentes que quedan registrados sólo cuando el Concesionario los informa a LNSE

mediante Actas de Servicio Técnico. Los Agentes Fiscalizadores deberían contar con

herramientas de control temprana de MEEJA con problemas de conectividad. La falta de

detención temprana dificulta el control sobre el comportamiento de las MEEJA y su

productividad.

4.2.2.2. LNSE no ha controlado los contadores de 313 MEEJA de Casino de Buenos Aires

durante 2014, lo que incluye a la totalidad de las ruletas electrónicas.

El procedimiento de “Fiscalización Diario de Contadores” de MEEJA que figura en el

“Manual de Máquinas Tragamonedas” (compendio de procedimientos de fiscalización de

MEEJA de LNSE), contempla la inserción en éstas de una tarjeta denominada “Audit

Card”. Mediante dicho evento se registran en el servidor los contadores actuales de la


69

MEEJA, lo que permite que LNSE coteje los valores transferidos al Accounting con los

que se encuentran visibles en la máquina. Dicho procedimiento debe efectuarse de modo

tal que la totalidad del parque de MEEJA habilitadas sea verificado cuatrimestralmente. De

la información provista por LNSE se desprende que de 1733 MEEJA activas en Casino de

Buenos Aires, 313 no fueron auditadas durante todo 2014. Se destaca que estas incluyen a

la totalidad de las ruletas electrónicas, que ascienden a 157. No obstante, se aclara que del

procedimiento de control de contadores realizado sobre una muestra de MEEJA, no surge

que el porcentaje de devolución en concepto de premios en estas máquinas difiera de lo

establecido normativamente.

4.2.2.3. Más de la mitad de las MEEJA en HAPSA carecen de un sistema de energía

ininterrumpida. Un corte del suministro de energía eléctrica pondría en riesgo la

información de la jugada en curso.

La Res. LNSE 145/12 estipula que cada MEEJA debe poseer un sistema de energía

ininterrumpida –o UPS– con una duración mínima de 15 minutos (Cap. IV, Art. 2,

apartado 2.8). Para cumplir con esta exigencia, tanto HAPSA como Casino de Buenos

Aires procedieron a instalar fuentes de energía ininterrumpida. Del relevamiento realizado

sobre una muestra representativa de la población, surge con un 95% de confianza que entre

el 51% y el 73% de las MEEJA en HAPSA carecen de un sistema de energía

ininterrumpida disponible (en Casino de Buenos Aires, la proporción de MEEJA con esta

falencia asciende al 2% de la muestra). La carencia obedece a diversas razones que van

desde la inexistencia de la UPS hasta la presencia de la UPS desconectada o fuera de

servicio. La obligación de contar con UPS debería ser controlada por LNSE regularmente

mediante un protocolo que defina las acciones a seguir ante la ausencia o la verificación

del malfuncionamiento del sistema. Su carencia implica el riesgo de que se pierda la


70

información de la jugada que se esté cursando en ocasión de un eventual corte del

suministro de energía eléctrica.

4.2.2.4. Las etiquetas que LNSE coloca en las MEEJA pierden con el tiempo su adherencia

y se despegan, lo que limita su utilidad como dispositivo para controlar que no se hayan

producido accesos indebidos al software.

El software y los contadores de las MEEJA pueden ser modificados de diversas maneras,

una de ellas mediante los puertos situados en las MEEJA. Los agentes fiscalizadores de

LNSE colocan una etiqueta autoadhesiva pre-impresa, nominada y con rastro de remoción

en los puertos de acceso de un conjunto de componentes, con el fin de detectar cualquier

ingreso no autorizado que pueda dar lugar a la modificación del hardware o del software.

Sin embargo, se ha constatado que las etiquetas se despegan por el paso del tiempo.

Durante el procedimiento de auditoria se observaron etiquetas que no estaban adheridas y

que fueron reemplazadas por el agente fiscalizador, labrándose en el momento el acta de

cambio correspondiente, pero sin controles adicionales orientados a comprobar que los

componentes no fueron alterados.

4.2.2.5. Los controles que realiza LNSE no son suficientes para validar la correcta

registración en el Accounting de los eventos generados en las MEEJA.

El “Procedimiento de Fiscalización Diario de Contadores” de MEEJA que figura en el

“Manual de Máquinas Tragamonedas” (compendio de procedimientos de fiscalización de

LNSE), contempla la inserción en las MEEJA de una tarjeta denominada “Audit Card”, de

uso exclusivo para los agentes fiscalizadores de LNSE y los técnicos de los concesionarios.

La inserción de la tarjeta genera un evento de comunicación automática conforme al cual

los contadores que en ese momento figuran en la MEEJA, se replican en el Accounting.


71

Esto permite a LNSE cotejar que los valores transferidos al Accounting sean idénticos a los

que se encuentran visibles en la máquina en ese momento. LNSE se limita así a un control

de naturaleza administrativa que, si bien se ajusta al cumplimiento de lo establecido en la

Resolución LNSE 145/12, no satisface los requisitos de un control de naturaleza funcional.

En otras palabras, el procedimiento de fiscalización de contadores mediante el uso de la

Audit Card no resulta suficiente para corroborar la correcta transferencia e imputación en

el Accounting de la información generada por dichas máquinas, cuando el origen del

evento es distinto al mencionado (como ocurre frente a la inserción o extracción de billetes

o tickets por parte de un jugador). En consecuencia, el procedimiento descripto no resulta

suficiente para controlar que el dinero que ingresa y egresa a la MEEJA o su conversión a

créditos, se refleje sin alteraciones en el Accounting. La carencia de controles sustantivos

impide a LNSE constatar que las máquinas tragamonedas mantengan inalterada la

parametrización del software de acuerdo a la normativa.

4.2.2.6. No existe un procedimiento formal para verificar que cada una de las MEEJA

cumpla con la obligación de entregar el 90% de lo apostado en premios.

La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA

debe estar calculado de modo que devuelva a los jugadores un porcentaje no inferior al

noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la

configuración de la tabla de premios para las distintas combinaciones ganadoras, en el

software de las MEEJA. Si bien los datos que permiten calcular el porcentaje de

devolución de cada una de las MEEJA se encuentra disponible en el Accounting, LNSE no

tiene formalizado ningún tipo de control de rutina sobre estos datos, considerando las

MEEJA en forma individual. Un procedimiento de revisión adecuado de contadores

permitiría saber si cada máquina cumple con la normativa vigente en cuanto a devolución

en premios. Aun si se cumpliera con el porcentaje normado en forma global (considerando


72

el conjunto de MEEJA), la falta de este procedimiento para cada una de ellas implica la

posibilidad de que algunas MEEJA devuelvan menos que lo establecido, produciéndose así

un perjuicio para los apostadores que jugaron en ellas.

4.2.2.7. El procedimiento de alta de MEEJA no contempla una instancia de verificación

técnica interna de LNSE, previa a su instalación en sala de juegos.

El procedimiento de alta de MEEJA establecido por LNSE indica que cada vez que el

Concesionario requiera la incorporación de una MEEJA en la sala de juegos, debe entregar

a LNSE la solicitud de alta junto a la documentación que avale la certificación de la

máquina y sus componentes otorgada por GLI. Las MEEJA que son dadas de alta pasan

por un proceso de fiscalización administrativa por el cual se analiza la documentación y las

certificaciones entregadas a LNSE por el Concesionario, entre las que se encuentra el

protocolo de pruebas emitido por GLI. LNSE no cuenta con circuito de homologación

técnica o control de calidad propios tendiente a verificar que el funcionamiento de las

MEEJA no difiera de aquel que se ha certificado.

4.2.2.8. Los servicios relacionados con las MEEJA que la Universidad Nacional de la

Plata brinda a LNSE, no satisfacen el principio de control por oposición, por lo que se

pone en riesgo la rigurosidad de los controles o certificaciones realizadas.

Durante las tareas de campo se ha constatado que LNSE y la Universidad Nacional de La

Plata (UNLP) celebraron un convenio conforme al cual ambas partes favorecerán la

concertación de programas de cooperación para la ejecución conjunta de proyectos de

investigación, docencia y/o extensión en áreas de mutuo interés. Para ello prevé la firma de

convenios específicos desarrollados sobre la base de Planes Operativos definidos por

LNSE. En ese marco, el primer convenio específico establece que la UNLP realizará una


73

auditoría de la administración de sistemas de control y fiscalización de máquinas

tragamonedas y/o cualquier otra actividad lúdica que sea requerida por LNSE. Otra parte

del mismo convenio estipula que la UNLP proveerá un servicio de consultoría sobre los

procedimientos, documentación y acciones que involucre a las redes de comunicación,

sistemas de control, dispositivos de juegos, seguridad de la información y marco

regulatorio asociado. Estas actividades realizadas simultáneamente dentro de la misma

organización entran en colisión con el principio del control por oposición de intereses.

Cabe destacar que la UNLP también actúa como certificadora homologada por GLI:

cuando el concesionario solicita un alta de MEEJA, entrega a LNSE una certificación de

dicha compañía (véase al respecto la observación anterior). La UNLP brinda así un

servicio de auditoría de máquinas sobre las que también emite certificaciones,

constituyendo otra situación en la que se vulnera el principio de control por oposición de

intereses.

4.2.3. OTRAS

4.2.3.1. Resulta ambigua la determinación del porcentaje de devolución en concepto de

premios que establece la normativa.

La Res. LNSE 145/12 (Cap. 1, art. 1º) establece que el programa de premios de las MEEJA

debe estar calculado de modo que devuelva a los jugadores un porcentaje no inferior al

noventa por ciento (90%) de las apuestas efectuadas. Esto se realiza mediante la

configuración de la tabla de premios para las distintas combinaciones ganadoras, en el

software de las MEEJA. Pero más adelante la normativa agrega: “Cuando esto no sea

posible por las características del juego, para el cálculo del porcentaje de retorno al

público será de aplicación la estrategia óptima de juego para el mismo. Este porcentaje

mínimo de premios se refiere al porcentaje mínimo que devolverá la máquina para la


74

máxima apuesta que permita”. Dado que las MEEJA cuentan necesariamente con un

software que contiene una tabla de premios, la sola parametrización de dichas tablas

permitiría ajustar el porcentaje de devolución en concepto de premios a aquel que la

normativa estipule. Por lo tanto, la frase citada resulta innecesaria y contradictoria,

restándole precisión a un artículo relevante en materia de fiscalización.

4.2.3.2. LNSE cuenta con un registro de autoexcluidos, pero no realiza ni exige ningún

control informático orientado a que los concesionarios impidan el acceso a las salas de

juego de las personas autoexcluidas, lo que atenta contra la utilidad de dicho registro.

La ludopatía consiste en una alteración progresiva del comportamiento, que conduce a un

individuo a ser incapaz de resistir los impulsos de jugar, desconociendo cualquier

consecuencia negativa personal, social y/o económica. En el marco de la administración y

regulación de los juegos de azar en el ámbito de la Ciudad Autónoma de Buenos Aires y

conforme lo dispuesto por el art. 42° de la Constitución Nacional, LNSE aprueba e

implementa mediante la Res. N° 42/14 el “Nuevo Programa de Juego Responsable”, que

dispone la confección por parte del jugador compulsivo de un “formulario de

autoexclusión”. Sin embargo, LNSE se limita a informar a los concesionarios los datos de

las personas que han completado dicho formulario, y no realiza ninguna tarea de control

sobre su cumplimiento, ni le exige a los concesionarios la implementación de herramientas

informáticas que permitan detectar eficazmente a las personas que, por las razones

mencionadas precedentemente, deban ser vedadas de ingresar a las salas de juego. Así, los

concesionarios pueden explotar la actividad de los juegos de azar en general, o de las

MEEJA en particular, mediante la generación de apuestas por parte de jugadores a los

cuales debería vedar el acceso.


75

4.2.3.3. LNSE ejecuta sus procedimientos de fiscalización mediante la carga manual de

datos, método que, además de resultar ineficiente, aumenta su propio riesgo de control.

Para ejecutar el procedimiento de control de contadores, los agentes fiscalizadores de

LNSE anotan en una planilla impresa y a mano, los valores de los contadores situados en

las MEEJA. Luego imputan en el Accounting los datos anteriormente registrados en la

planilla, con el objeto de realizar el correspondiente control de igualdades. Este

procedimiento implica que la carga manual se efectúa en dos oportunidades, una durante la

captura de contadores en sala de juegos y otra durante la imputación en el aplicativo. La

doble imputación manual induce a una mayor probabilidad de errores de carga, además de

impactar sobre la eficiencia y agilidad del procedimiento. Procedimientos equivalentes

fueron observados en el control de etiquetas, inventario, pozos progresivos y movimiento

de MEEJA. La falta de procedimientos automatizados para la carga de datos puede

provocar errores que impacten en la confiabilidad del proceso y disminuyen la eficiencia y

agilidad de la fiscalización.

4.2.3.4. LNSE no cuenta con registros informatizados de la información contenida en las

actas de MEEJA, ni de las averías de las máquinas tragamonedas, lo que dificulta la

explotación de la información con fines de monitoreo y control.

Las ACTAS de MEEJA son formularios con numeración pre-impresa en los cuales se

registran las fallas técnicas de las máquinas, problemas de conectividad y cualquier otra

novedad vinculada a su funcionamiento. Los agentes fiscalizadores los completan

manualmente utilizando papel carbónico para las copias, firmando cada una de ellas y

distribuyéndolas entre la oficina de LNSE en el concesionario, casa central y

concesionario. Si bien los documentos son debidamente archivados, su acceso es manual y

no se encuentran indexados, lo que dificulta su localización en caso de búsqueda. Cuando


76

en HAPSA o en Casino de Buenos Aires se excede la capacidad de almacenamiento, los

formularios son enviados a la oficina central de LNSE, con el fin de cumplir con las

disposiciones relativas al resguardo de documentos. Esta metodología de trabajo dificulta

el acceso a la información y no permite una fácil explotación de los datos para, por

ejemplo, determinar problemas repetitivos, o realizar análisis estadísticos.


77

5. RECOMENDACIONES


Se detallan a continuación las buenas prácticas aconsejadas para cada uno de los procesos

analizados, independientemente de que eventualmente hayan sido parcialmente puestas en

práctica desde la finalización de las tareas de campo.

5.1.1. PLANIFICAR Y ORGANIZAR

5.1.1.1. Definir un plan estratégico para TI

Reelaborar el Plan de Tecnologías de la Información (Plan Estratégico de TI). El

mismo debe contener un conjunto de definiciones tecnológicas e iniciativas de TI

que deben soportar la visión, misión y estrategias que el organismo tiene para un

horizonte de tiempo definido. Debe incluir un diagnóstico previo, las necesidades y

los recursos necesarios, los plazos, el presupuesto de la inversión, las fuentes de

financiamiento, la estrategia de obtención, la estrategia de adquisición, y los

requerimientos legales y regulatorios. Debe ser lo suficientemente detallado para

permitir la definición de planes tácticos de TI.

Crear un conjunto de planes tácticos de TI que se deriven del plan estratégico de TI.

Estos deben establecer las iniciativas y los requerimientos de recursos requeridos

por TI, y cómo el uso de los recursos y el logro de los beneficios serán

monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente

para permitir la definición de las tareas operativas. Administrar de forma activa los

planes tácticos y las iniciativas de TI establecidas. Esto requiere encontrar el

equilibrio entre requerimientos y recursos, comparándolos con el logro de metas


78

estratégicas, tácticas y los beneficios esperados, tomando las medidas necesarias en

caso de desviaciones.

Identificar en el organismo las áreas que dependen de forma crítica de la TI. Mediar

entre los imperativos de éstas y la tecnología, de tal modo que se puedan establecer

prioridades concertadas.

Evaluar el desempeño actual, el de los planes existentes y de los sistemas de

información en términos de su contribución a los objetivos estratégicos del

organismo, su funcionalidad, su estabilidad, su complejidad, sus costos, sus

fortalezas y debilidades.

5.1.1.2. Definir la arquitectura de información

Establecer y mantener un modelo de información que facilite el desarrollo de

aplicaciones y las actividades de soporte a la toma de decisiones, consistente con

los planes de TI como se describan en el Plan Estratégico. El modelo facilita la

creación, uso y compartición óptimas de la información por parte del organismo de

una manera que conserva la integridad y es flexible, funcional, rentable, oportuna,

segura y tolerante a fallas.

Mantener un diccionario de datos del organismo que incluya las reglas de sintaxis

de datos. El diccionario facilita la compartición de elementos de datos entre las

aplicaciones y los sistemas, fomenta un entendimiento común de datos entre los

usuarios de TI y del organismo, y previene la creación de elementos de datos

incompatibles.

Establecer un esquema de clasificación de datos que aplique a todo el organismo,

basado en la criticidad y sensibilidad de la información. Este esquema incluye

detalles acerca de la propiedad de datos, la definición de niveles apropiados de

seguridad y de controles de protección, como también una breve descripción de los

requerimientos de retención y destrucción de datos, además de qué tan críticos y


79

sensibles son. Se usa como base para aplicar controles como el control de acceso,

archivo o encriptación.

Definir e implantar procedimientos para garantizar la integridad y consistencia de

todos los datos almacenados en formato electrónico, tales como bases de datos y

archivos.

5.1.1.3. Determinar la dirección tecnológica

Elaborar un Plan de infraestructura tecnológica que esté de acuerdo con los planes

estratégicos y tácticos de TI basado en la dirección tecnológica y que incluya

acuerdos para contingencias. Analizar las tecnologías existentes y emergentes y

planear cuál dirección tecnológica es la apropiada para materializar la estrategia de

TI y la arquitectura de sistemas del organismo. También identificar en el plan, qué

tecnologías tienen el potencial de crear oportunidades de nuevas prestaciones. El

plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las

estrategias de migración y los aspectos de contingencia de los componentes de la

infraestructura.

Monitorear tendencias y regulaciones futuras. Establecer un proceso para

monitorear las tendencias del sector/industria, tecnológicas, de infraestructura,

legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo

del plan de infraestructura tecnológica de TI.

Establecer estándares tecnológicos. Proporcionar soluciones tecnológicas

consistentes, efectivas y seguras para toda la organización, brindar directrices

tecnológicas, asesoría sobre los productos de la infraestructura y guías sobre la

selección de la tecnología, y medir el cumplimiento de estos estándares y

directrices.


80

5.1.1.4. Definir los procesos, organización y relaciones de TI

Reformular la estructura organizacional de la Gerencia de Sistemas en función de las

observaciones planteadas en el punto 4.1.4 y las recomendaciones siguientes:

Estructura organizacional. Establecer una estructura organizacional de TI interna y

externa que refleje las necesidades de la organización. Además implementar un

proceso para revisarla de forma periódica para ajustar los requerimientos de

personal y las estrategias internas para satisfacer los objetivos esperados y las

circunstancias cambiantes.

Establecimiento de roles y responsabilidades. Definir y comunicar tanto los roles

como las responsabilidades para el personal de TI y los usuarios que delimiten la

autoridad entre el personal de TI y los usuarios finales. Definir las

responsabilidades y la rendición de cuentas para alcanzar los objetivos estratégicos.

Responsabilidad del aseguramiento de calidad (AC) de TI. Asignar la

responsabilidad para el desempeño de la función de AC. Asegurar que la ubicación

organizacional, las responsabilidades y el tamaño del grupo de AC satisfacen los

requerimientos del organismo.

Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. Establecer la

propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel

apropiado. Definir y asignar roles críticos para administrar los riesgos de TI,

incluyendo la responsabilidad específica de la seguridad de la información, la

seguridad física y el cumplimiento. Explicitar la posición del Directorio en

relación a los niveles aceptables de riesgo de TI que se quieren asumir y la

aprobación de cualquier riesgo residual.

Propiedad de Datos y de Sistemas. Proporcionar al organismo los procedimientos y

herramientas que le permitan asumir sus responsabilidades de propiedad sobre los

datos y los sistemas de información. Las áreas responsables, dueña de los datos y


81

sistemas, deberán tomar decisiones sobre la clasificación de la información y cómo

protegerlos.

Implantar prácticas adecuadas de supervisión dentro de la función de TI para

garantizar que los roles y las responsabilidades se ejerzan de forma apropiada.

Evaluar si todo el personal cuenta con la suficiente autoridad para ejecutarlos.

Implantar una división de roles y responsabilidades que reduzca la posibilidad de

que un solo individuo afecte un proceso crítico. La máxima autoridad de TI debe

asegurar de que el personal realice sólo las tareas autorizadas, relevantes a sus

puestos y posiciones respectivas.

Evaluar los requerimientos de personal de forma regular o cuando existan cambios

importantes en las necesidades estratégicas del organismo, operativos o de TI para

garantizar que la función de TI cuente con un número suficiente de personal

competente, el entrenamiento cruzado-funcional, la rotación de puestos y las

oportunidades de personal externo.

Políticas y procedimientos para personal contratado. Definir e implantar políticas y

procedimientos para controlar las actividades de los consultores u otro personal

contratado por la función de TI.

Establecer y mantener una estructura óptima de enlace, comunicación y

coordinación entre la función de TI y otras funciones dentro y fuera de la misma,

tales como la Dirección General, las gerencias ejecutivas, usuarios y proveedores

de servicios de TI.

Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico

de TI. Este marco incluye medición del desempeño, mejoras, cumplimiento, metas

de calidad y planes para alcanzarlas. Debe estar integrado en un sistema de

administración de calidad y en un marco de trabajo de control interno.

Establecer un comité directivo de TI compuesto por las gerencias ejecutivas y de TI

para:


82

o Determinar las prioridades de los programas de inversión de TI alineadas

con la estrategia y prioridades de los objetivos estratégicos del organismo.

o Dar seguimiento de los proyectos y resolver los conflictos de recursos

o Monitorear los niveles y las mejoras del servicio.

5.1.1.5. Administrar la inversión en TI

Establecer un marco de Administración Financiera para TI que impulse la

presupuestación, con base en los proyectos vigentes de inversión en bienes y

servicios. Comunicar los aspectos de costo y beneficio en los procesos de

priorización de presupuestos y administración de costos.

Implantar un proceso de toma de decisiones para dar prioridades a la asignación de

recursos a TI contemplando operaciones, proyectos y mantenimiento, de manera tal

de maximizar la contribución de TI y optimizar el retorno de inversión de los

proyectos de inversión y otros servicios y activos.

Establecer un proceso para elaborar y administrar un presupuesto que refleje las

prioridades establecidas en los programas de inversión en TI, incluyendo los costos

de operar y mantener la infraestructura actual.

Implantar un proceso de administración de costos que compare los costos reales

con los presupuestados. Los costos se deben monitorear y reportar. Cuando existan

desviaciones, éstas se deben identificar de forma oportuna y evaluar el impacto.

Desarrollar un presupuesto por centro de costos.

Respecto de los recursos físicos, optimizar el empleo del módulo de Bienes de Uso

de Anexo D, articulando la información entre las áreas de Administración y TI; esto

con el fin de identificar el volumen y calidad de equipamiento por las distintas

áreas usuarias las que, en este sentido, funcionan como centros de apropiación de

costos.


83

Con la información disponible del punto precedente, establecer los criterios de

distribución de los costos de mantenimiento, insumos y reparación en condiciones

de ser prorrateados por las áreas beneficiarias; con criterios similares, apropiar los

costos de tiempo de recursos humanos (los técnicos asociados a soporte) a las

diferentes áreas beneficiarias.

Diferenciar, categorizar, clasificar las tareas de TI en recurrentes o permanentes

(mantenimiento, soporte, etc.) respecto de las específicas o “por proyectos / micro-

proyectos” (por ej., desarrollo y mantenimiento de aplicaciones). Este criterio

permitirá prorratear los costos por función y por áreas usuarias para los recursos

humanos dedicados a diseño y programación.

Para posteriores ejercicios, emplear esta información como base de planeamiento

de inversiones físicas que impactarían en la formulación presupuestaria o

necesidades de personal que alertarían sobre requerimientos adicionales de personal

por función.

5.1.1.6. Comunicar las aspiraciones y la dirección de la gerencia de TI

Comunicación de los objetivos y la dirección de TI. Asegurar que el conocimiento

y el entendimiento de los objetivos estratégicos del organismo y de TI se

comunican a toda la organización. La información comunicada debe poseer una

visión claramente articulada entre los objetivos de servicio, la seguridad, los

controles internos, la calidad, el código de ética y conducta, políticas y

procedimientos. Estos deben incluirse dentro de un programa de comunicación

continua, apoyado por la alta dirección con acciones. Se debe dar especial atención

a comunicar la conciencia sobre que la seguridad de TI es responsabilidad de todos.

Ambiente de políticas y de control. Definir los elementos de un ambiente de control

para TI que se base en una cultura que apoya la entrega de valor, mientras que al

mismo tiempo administra riesgos significativos, fomenta la colaboración entre


84

distintas áreas y el trabajo en equipo, promueve el cumplimiento y la mejora

continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma

adecuada.

Riesgo Corporativo y Marco de Referencia de Control Interno de TI. Elaborar y dar

mantenimiento a un marco de trabajo que establezca el enfoque del organismo

hacia los riesgos y hacia el control interno. Este debe estar integrado por el marco

de procesos de TI, el sistema de administración de calidad y debe cumplir los

objetivos generales del organismo. Debe tener como meta maximizar el éxito de la

entrega de valor mientras minimiza los riesgos para los activos de información por

medio de medidas preventivas, la identificación oportuna de irregularidades, la

limitación de pérdidas y la recuperación oportuna de activos.

Administración de políticas para TI. Elaborar y dar mantenimiento a un conjunto

de políticas que apoyen la estrategia de TI. Estas políticas deben incluir el

propósito, los roles y responsabilidades, los procesos de excepción y referencias a

procedimientos, estándares y directrices. Las políticas deben incluir temas clave

como calidad, seguridad, confidencialidad, controles internos y propiedad

intelectual. Se deben revisar regularmente.

5.1.1.7. Administrar los recursos humanos de TI

Reclutamiento y Retención del Personal de TI. Asegurarse que los procesos de

reclutamiento estén de acuerdo a las políticas y procedimientos generales del

personal.

Competencias del personal. Verificar de forma periódica que el personal tenga las

habilidades para cumplir sus roles con base en su educación, entrenamiento y/o

experiencia. Definir los requerimientos esenciales de habilidades para TI y verificar

que se les dé actualización.


85

Asignación de roles. Definir, monitorear y supervisar los marcos de trabajo para los

roles, responsabilidades y retribuciones del personal, incluyendo el requisito de

adherirse a las políticas y procedimientos administrativos, así como al código de

ética y prácticas profesionales. Los términos y condiciones de empleo deben

enfatizar la responsabilidad del empleado respecto a la seguridad de la información,

al control interno y al cumplimiento regulatorio. Los niveles de supervisión debe

estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades

asignadas.

Entrenamiento del personal de TI. Proporcionar entrenamiento continuo para

conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia

sobre la seguridad, al nivel requerido para alcanzar las metas estratégicas del

organismo.

Dependencia sobre los individuos. Minimizar la exposición de dependencias

críticas sobre individuos clave por medio de la documentación y divulgación del

conocimiento, como también la planeación de la sucesión y rotación de personal.

Evaluación del desempeño del empleado. Es necesario que las evaluaciones de

desempeño se realicen periódicamente, comparando contra los objetivos

individuales derivados de las metas del organismo, estándares establecidos y

responsabilidades específicas del puesto.

Cambios y culminación de trabajo. Tomar medidas respecto a los cambios en los

puestos, en especial las culminaciones sea por renuncia o despido. Se debe realizar

la transferencia del conocimiento, reasignar responsabilidades y eliminar los

privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la

continuidad de la función.

Se recomienda regularizar la situación de aquellos agentes que ocupan posiciones

sensibles en el área de TI de modo que pueda desarrollar una carrera administrativa

acorde a sus funciones.


86

5.1.1.8. Administrar la calidad

Establecer un Sistema de Administración de la Calidad (SAC) que proporcione un enfoque

estándar, formal y continuo, con respecto a la administración de la calidad, que esté

alineado con los objetivos estratégicos del organismo, que contemple:

Identificar los requerimientos y los criterios de calidad, los procesos claves de TI

así como las políticas, criterios y métodos para definir, detectar, corregir y prever

las no conformidades.

Identificar y mantener estándares, procedimientos y prácticas para los procesos

clave de TI de manera tal de orientar a las áreas de TI hacia el cumplimiento del

SAC.

Adoptar y mantener estándares para todo desarrollo y adquisición que sigue el ciclo

de vida de las aplicaciones, hasta el último entregable. Esto debe incluir la

documentación de hitos clave con base en criterios de aprobación acordados. Los

temas a considerar incluyen estándares de:

o codificación de software (análisis de caja blanca)

o nomenclaturas

o formatos de archivos

o diccionario de datos

o interfaces de usuario

o pruebas (unitarias, de regresión y de integración).

Los datos del SAC deben ser monitoreados y medidos para medir la efectividad y

mejorarla cuando sea necesario.

5.1.1.9. Evaluar y administrar los riesgos de TI

Se debe integrar el gobierno, la administración de riesgos y el marco de control de TI, al

marco de trabajo de administración de riesgos del organismo. Esto incluye la alineación


87

con el nivel de tolerancia al riesgo de TI y con el nivel de tolerancia al riesgo del

organismo.

Se debe establecer el entorno en el cual el marco de trabajo de evaluación de riesgos se

aplique para garantizar resultados apropiados.

Esto debe incluir:

La determinación del contexto interno y externo de cada evaluación de riesgos, la

meta de la evaluación y los criterios contra los cuales éstos se evalúan.

Identificación de todas aquellas amenazas y vulnerabilidades que tengan un

impacto potencial sobre las metas o las operaciones del organismo, aspectos de

estratégicos, regulatorios, legales, tecnológicos, de recursos humanos y operativos.

Determinar la naturaleza del impacto y dar mantenimiento a esta información.

Evaluación en forma recurrente de la probabilidad e impacto de todos los riesgos

identificados, usando métodos cualitativos y cuantitativos. La probabilidad e

impacto asociados a los riesgos inherentes y residuales se debe determinar de forma

individual.

Identificación de los responsables de procesos afectados, y elaborar y mantener

respuestas que garanticen que los controles y las medidas de seguridad mitigan la

exposición de forma continua. La respuesta a los riesgos debe identificar estrategias

tales como evitar, reducir, compartir o aceptar. Al elaborar la respuesta, considerar

los costos y beneficios y seleccionar aquellas que limiten los riesgos residuales

dentro de los niveles de tolerancia previamente definidos.

Mantenimiento y monitoreo del plan de acción de riesgos. Asignar prioridades y

planear las actividades de control a todos los niveles para implantar las respuestas a

los riesgos, identificadas como necesarias, incluyendo la determinación de costos,

beneficios y la responsabilidad de la ejecución. Buscar la aprobación para las

acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de

que las acciones comprometidas son propiedad del dueño o dueños de los procesos


88

afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la

alta dirección.

5.1.1.10. Administrar proyectos

Establecer un marco de Administración de Proyectos.

Establecer un sistema de control de cambios de modo tal que todas las

modificaciones a la línea base o indicadores al inicio del proyecto, como por

ejemplo costos, cronograma, alcance y calidad, se revisen, aprueben e incorporen

de manera apropiada al plan integrado.

Medir el desempeño del proyecto contra los criterios clave tales como el alcance,

los tiempos, la calidad, los costos o los riesgos; identificar las desviaciones con

respecto al plan; evaluar su impacto y sobre el programa global; reportar los

resultados a los interesados clave; y recomendar, implantar y monitorear las

medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de

gobierno del programa y del proyecto.

Solicitar que al finalizar cada proyecto, los interesados se cercioren de que se hayan

proporcionado los resultados y los beneficios esperados.

5.1.2. ADQUIRIR E IMPLEMENTAR

5.1.2.1 Identificar Soluciones Automatizadas

Identificar a un usuario relevante como patrocinador del proyecto.

Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales.

Identificar, dar prioridades, especificar y acordar los requerimientos funcionales y

técnicos.


89

Análisis de Riesgos. Identificar, documentar y analizar los riesgos asociados con

los requerimientos y diseño de soluciones como parte de los procesos

organizacionales para el desarrollo de los requerimientos.

Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. Se debe

evaluar la factibilidad y los cursos alternativos de acción y realizar

recomendaciones al patrocinador del proyecto.

El proceso requiere al patrocinador del proyecto para aprobar y autorizar los

requisitos tanto funcionales como técnicos, y los reportes del estudio de factibilidad

en las etapas clave predeterminadas.

5.1.2.2. Adquirir o desarrollar y mantener software aplicativo

Establecer una metodología de Ciclo de Vida de Desarrollo de Sistemas (CVDS) que

contemple:

Diseño de alto nivel. Traducir los requerimientos a una especificación de diseño de

alto nivel para desarrollo de software, tomando en cuenta las directivas

tecnológicas y la arquitectura de información dentro del organismo, y aprobar las

especificaciones para garantizar que el diseño de alto nivel responde a los

requerimientos.

Diseño detallado. Preparar el diseño detallado y los requerimientos técnicos del

software de aplicación. Los conceptos a considerar incluyen, definir y documentar

los requerimientos de entrada de datos, interfaces, la interface de usuario, la

especificación de programa, definir los requerimientos de salida, control y

auditabilidad (pistas de auditoría). Realizar una reevaluación para cuando se

presenten discrepancias técnicas o lógicas significativas durante el desarrollo o

mantenimiento.

Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las

aplicaciones. Los aspectos a considerar incluyen derechos de acceso y


90

administración de privilegios, protección de información sensible en todas las

etapas, autenticación e integridad de las transacciones y recuperación automática.

En este sentido se recomienda la inmediata reingeniería del sistema de

“Permisionarios” que tiene serias vulnerabilidades de seguridad.

Actualizaciones importantes en sistemas existentes. Seguir un proceso de desarrollo

similar al de desarrollo de sistemas nuevos en el caso que se presenten

modificaciones importantes en los sistemas existentes, que resulten en un cambio

significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar

incluyen análisis de impacto, relación costo/beneficio y administración de

requerimientos.

Desarrollo de software aplicativo. Garantizar que la funcionalidad de

automatización se desarrolla de acuerdo con las especificaciones de diseño, los

estándares de desarrollo y documentación, y los requerimientos de calidad. Aprobar

y autorizar cada etapa clave del proceso, verificando la finalización de las

revisiones de funcionalidad, desempeño y calidad. Los aspectos a considerar

incluyen aprobar las especificaciones de diseño que satisfacen los requerimientos

funcionales y técnicos, y las solicitudes de cambio; verificar la compatibilidad con

los sistemas existentes.

Además, garantizar que se identifican y consideran todos los aspectos legales y

contractuales para el software aplicativo que desarrollan terceros.

Aseguramiento de la calidad del software. Desarrollar, implantar los recursos y

ejecutar un plan de aseguramiento de la calidad del software, para cumplir con los

estándares especificados en la definición de los requerimientos y en las políticas y

procedimientos de calidad del organismo. Los aspectos a considerar incluyen

especificar el criterio de calidad y los procesos de validación y verificación,

revisión de algoritmos, código fuente y pruebas.


91

Administración de los requerimientos de aplicaciones. Garantizar que durante el

diseño, desarrollo e implantación, se da seguimiento al estado de los requerimientos

particulares (incluyendo todos los requerimientos rechazados), y que las

modificaciones se aprueban a través de un proceso establecido de administración de

cambios.

Mantenimiento de software aplicativo. Desarrollar una estrategia y un plan para el

mantenimiento y pase a producción de software de aplicaciones. Los aspectos a

considerar incluyen implantación planeada y controlada, planeación de recursos,

reparación de defectos de programa y corrección de fallas, pequeñas mejoras,

mantenimiento de documentación, cambios de emergencia, interdependencia con

otras aplicaciones e infraestructura, estrategias de actualización, condiciones

contractuales tales como aspectos de soporte y actualizaciones, revisión periódica

de acuerdo a las necesidades del organismo, riesgos y requerimientos de seguridad.

5.1.2.3. Adquirir y mantener infraestructura tecnológica

Plan de adquisición de infraestructura tecnológica. Generar un plan para adquirir,

implantar y mantener la infraestructura tecnológica que satisfaga los requerimientos

funcionales y técnicos, y que esté de acuerdo con la dirección tecnológica del

organismo. El plan debe considerar extensiones futuras para adiciones de

capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para

actualizaciones de tecnología. Evaluar los costos, la viabilidad del proveedor y del

producto al añadir nueva capacidad técnica.

Protección y disponibilidad del recurso de infraestructura. Implantar medidas de

control interno, seguridad y auditabilidad durante la configuración, integración y

mantenimiento del hardware y del software de la infraestructura para proteger los

recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender

claramente las responsabilidades al utilizar componentes de infraestructura


92

sensitivos por todos aquellos que los desarrollan e integran. Se debe monitorear y

evaluar su uso.

Mantenimiento de la infraestructura. Desarrollar una estrategia y un plan de

mantenimiento de la infraestructura y garantizar que se controlan los cambios, de

acuerdo con el procedimiento de administración de cambios. Incluir una revisión

periódica contra las necesidades del organismo, administración de parches y

estrategias de actualización, riesgos, evaluación de vulnerabilidades y

requerimientos de seguridad.

Ambiente de prueba de factibilidad. Establecer el ambiente de desarrollo y de

pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e

integración de aplicaciones e infraestructura totalmente independiente del ambiente

de producción, en las primeras fases del proceso de adquisición y desarrollo. Se

debe considerar la funcionalidad, la configuración de hardware y software, pruebas

de integración y desempeño, migración entre ambientes, control de la versiones,

datos y herramientas de prueba y seguridad.

5.1.2.4. Facilitar la operación y el uso

Marco para la documentación de sistemas. Desarrollar un plan para identificar y

documentar todos los aspectos técnicos, la capacidad de operación y los niveles de

servicio requeridos, de manera que todos los interesados puedan elaborar

procedimientos de administración, de usuario y de operación. Este marco debe

aplicarse cada vez que se produzca una actualización de aplicaciones y/o

infraestructura.

Transferencia de conocimiento a usuarios finales para permitir que los usuarios

finales utilicen con efectividad y eficiencia la aplicación como apoyo a los procesos

del organismo. La transferencia de conocimiento incluye el desarrollo de un plan de


93

capacitación que abarque al entrenamiento inicial y al continuo, así como el

desarrollo de manuales de usuario, manuales de procedimiento y ayuda en línea.

Transferencia de conocimiento al personal de operaciones y soporte. Transferir el

conocimiento y las habilidades para permitir al personal de soporte técnico y de

operaciones que entregue, apoye y mantenga la aplicación y la infraestructura

asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio

requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial

y continuo, los manuales de operación, los manuales de procedimientos y

escenarios de atención al usuario.

5.1.2.5. Adquirir recursos de TI

Control de adquisición. Desarrollar y seguir un conjunto de procedimientos y

estándares consistente con el proceso general y la estrategia de adquisiciones del

organismo, para garantizar que la compra de infraestructura, instalaciones,

hardware, software y servicios relacionados con TI, satisfagan los requerimientos

del organismo.

Administración de contratos con proveedores. Formular un procedimiento para

establecer, modificar y concluir contratos que apliquen a todos los proveedores.

Debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras,

organizacionales, documentales, de desempeño, de seguridad de propiedad

intelectual y de conclusión, así como obligaciones y cláusulas de penalización por

incumplimiento cuando no cumplan los acuerdos de niveles de servicios

previamente establecidos. Todos los contratos y las modificaciones a contratos las

deben revisar asesores legales.

En este sentido, se recomienda revisar el aspecto legal de la licitación 04/09 en lo

relativo al mantenimiento de los sistemas Anexo D, Sigad, Permisionarios,

Estadísticas y Pólizas de Seguros por parte de la UTE IVISA-CASINO DE


94

BUENOS AIRES donde se establezcan en forma detallada los compromisos que

ésta asumirá detallando el marco de trabajo (normativo y metodológico) en el que

se desarrollará la prestación.

Selección de proveedores. Seleccionar proveedores mediante una práctica justa y

formal para garantizar la elección del mejor basado en los requerimientos que se

han desarrollado.

Adquisición de software. Garantizar que se protegen los intereses del organismo en

todos los acuerdos contractuales de adquisición. Incluir y reforzar los derechos y

obligaciones de todas las partes en los términos contractuales para la adquisición de

software. Estos derechos y obligaciones pueden incluir la propiedad y licencia de

propiedad intelectual, mantenimiento, garantías, procedimientos de arbitraje,

condiciones para la actualización y aspectos de conveniencia que incluyen

seguridad, custodia y derechos de acceso.

Adquisición de recursos de desarrollo. Garantizar la protección de los intereses del

organismo en todos los acuerdos contractuales de adquisición. Incluir y hacer

cumplir los derechos y obligaciones de todas las partes en los términos

contractuales para la adquisición de recursos de desarrollo. Estos derechos y

obligaciones pueden incluir la propiedad y licenciamiento de propiedad intelectual,

aspectos de conveniencia incluyendo metodologías de desarrollo, lenguajes,

pruebas, procesos de administración de calidad que comprenden los criterios de

desempeño requeridos, su correspondiente revisión, términos de pago, garantías,

procedimientos de arbitraje, administración de recursos humanos y cumplimiento

con las políticas de la organización.

Adquisición de infraestructura, instalaciones y servicios relacionados. Incluir y

hacer cumplir los derechos y obligaciones de todas las partes en los términos

contractuales, que comprendan los criterios de aceptación para la adquisición de

infraestructura, instalaciones y servicios relacionados. Estos derechos y


95

obligaciones pueden abarcar los niveles de servicio, procedimientos de

mantenimiento, controles de acceso, seguridad, revisión de desempeño, términos de

pago y procedimientos de arbitraje.

5.1.2.6. Administrar cambios

Establecer procedimientos de administración de cambios formales para manejar de

manera estándar todas las solicitudes, incluyendo mantenimiento y actualizaciones,

para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y

servicio, y las plataformas fundamentales.

Evaluación de impacto, priorización y autorización. Garantizar que todas las

solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos

en los sistemas y su funcionalidad. Esta evaluación deberá incluir categorización y

priorización. Previo a la migración hacia producción, los interesados

correspondientes deberán establecer autorizaciones formales.

Cambios de emergencia. Establecer un proceso para definir, plantear, evaluar y

autorizar los cambios de emergencia que no sigan el proceso de cambio

establecido. La documentación y pruebas podrán realizarse, después de la

implantación del cambio. En todos los casos, se deberán dejar pistas de auditoría

para su posterior revisión.

5.1.2.7. Instalar y acreditar soluciones y cambios

Entrenamiento. Entrenar al personal de los departamentos de usuario afectados y al

grupo de operaciones de la función de TI, como parte de cada proyecto de

desarrollo, implantación o modificación de sistemas de información.

Plan de pruebas. Establecer un plan de pruebas y obtener la aprobación de los

principales involucrados. Dicho plan se debe basar en los estándares de toda la

organización y definir roles, responsabilidades y criterios de éxito. Debe


96

considerar: requerimientos de entrenamiento, instalación o actualización de un

ambiente de pruebas definido, definir tipos de prueba, los casos de prueba, manejo

y corrección de errores y aprobación formal.

Ambiente de prueba. Establecer un ambiente de prueba independiente. Este

ambiente debe asemejarse al ambiente de producción para permitir pruebas

acertadas. Se deben tener presentes los procedimientos para garantizar que los datos

utilizados en el ambiente de prueba sean representativos. Proporcionar medidas

adecuadas para prevenir la divulgación de datos sensibles. La documentación de los

resultados de las pruebas se debe archivar.

Prueba final de aceptación. Garantizar que los procedimientos proporcionan una

evaluación formal y la aprobación de los resultados de prueba por parte de los

usuarios afectados.

Transferencia a producción. Implantar procedimientos formales para controlar la

transferencia del sistema desde el ambiente de desarrollo al de pruebas. La

Gerencia de Sistemas debe requerir que se obtenga la autorización del propietario

del sistema antes del pasaje al entorno de producción.

Liberación de software. Garantizar que la liberación del software se regula con

procedimientos formales que aseguren la autorización, acondicionamiento, pruebas

de regresión, distribución, transferencia de control, seguimiento, procedimientos de

respaldo y notificación de usuario.

Distribución del sistema. Establecer procedimientos de control para asegurar la

distribución oportuna y correcta, y la actualización de los componentes aprobados

de la configuración. Esto implica controles de integridad; segregación de funciones

entre los que construyen, prueban y operan; y adecuadas pistas de auditoría de

todas las actividades.


97

5.1.3. ENTREGAR Y DAR SOPORTE

5.1.3.1. Definir y administrar los niveles de servicio

Definir un marco de trabajo que brinde un proceso formal de administración de

niveles de servicio entre el usuario y el prestador de servicio. Este marco debe

incluir procesos para la creación de requerimientos, y acuerdos de niveles de

servicio.

Definir la estructura organizacional para la administración del nivel de servicio,

incluyendo los roles, tareas y responsabilidades de los proveedores externos e

internos y de los usuarios.

Organizar y almacenar de manera centralizada la definición base de los servicios de

TI (catálogo de servicios).

Definir y acordar convenios de niveles de servicio para todos los procesos críticos

de TI con base en los requerimientos del usuario y las capacidades de TI.

Monitorear continuamente los criterios de desempeño especificados para el nivel de

servicio.

Emitir reportes periódicos sobre el cumplimiento de los niveles de servicio en un

formato que sea entendible para los interesados.

Analizar las estadísticas de monitoreo para identificar tendencias positivas y

negativas tanto de servicios individuales como de los servicios en conjunto.

Revisar regularmente con los proveedores internos y externos los acuerdos de

niveles de servicio y los contratos de apoyo, para asegurar que son efectivos.


98

5.1.3.2. Administrar servicios de terceros

Debe existir un responsable que coordine la relación entre los proveedores y los

usuarios para asegurar la calidad y la transparencia, a través de acuerdos de niveles

de servicio.

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el

tipo de proveedor, la importancia y la criticidad.

Formalizar el proceso de administración de relaciones con proveedores por cada

uno de ellos.

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores

para mantener una efectiva entrega de servicios de forma segura y eficiente.

Asegurar que los contratos están de acuerdo con los estándares del tema y de

conformidad con los requerimientos legales y regulatorios.

Establecer un proceso para monitorear la prestación del servicio para asegurar que

el proveedor está cumpliendo con los requerimientos de acuerdo a los contratos y a

los convenios de niveles de servicio.

Verificar que el desempeño es competitivo respecto a los proveedores alternativos

y a las condiciones del mercado.

5.1.3.3. Administrar el desempeño y la capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad

de los recursos de TI, que asegure su disponibilidad, con costos justificables, para

procesar las cargas de trabajo acordadas tal como se determina en los acuerdos de

nivel de servicio.

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos

regulares para determinar si existe suficiente capacidad y desempeño para prestar

los servicios con base en los niveles de servicio acordados.


99

Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en

intervalos regulares para minimizar el riesgo de interrupciones del servicio

originadas por falta de capacidad o degradación del desempeño.

Identificar el exceso de capacidad para una posible redistribución.

Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que

serán parte de los planes de capacidad y de desempeño.

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como

cargas de trabajo normales, contingencias, requerimientos de almacenamiento y

ciclos de vida de los recursos de TI.

La Gerencia de Sistemas debe garantizar que los planes de contingencia consideren

de forma apropiada la disponibilidad, capacidad y desempeño de los recursos

individuales de TI.

Monitorear continuamente el desempeño y la capacidad de los recursos de TI.

5.1.3.4. Garantizar la continuidad del servicio

Desarrollar un marco de trabajo de continuidad de TI para soportar los servicios

para, en casos de contingencia, reducir el impacto de una interrupción de los

procesos claves. El objetivo de este marco es identificar las debilidades en la

infraestructura de TI, y guiar el desarrollo de los planes de recuperación de

desastres y de contingencias. Debe tomar en cuenta la estructura del organismo, la

cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios

internos y externos, su administración y sus usuarios; así como las reglas y

estructuras para documentar, probar y ejecutar la recuperación de desastres y los

planes de contingencia de TI. El plan debe también considerar puntos tales como la

identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de

recursos críticos, el procesamiento alternativo y los principios de respaldo y

recuperación.


100

Centrar la atención en los puntos determinados como los más críticos en el plan de

continuidad de TI, para fortalecerlos y establecer prioridades en situaciones de

recuperación.

La Gerencia de TI debe definir y ejecutar procedimientos de control de cambios

para asegurar que el plan de continuidad de TI se mantenga actualizado y que

refleje de manera continua los requerimientos actuales del organismo. Es esencial

que los cambios en los procedimientos y las responsabilidades sean comunicados

de forma clara y oportuna.

Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas

pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que

el plan permanece aplicable. Preparar en forma cuidadosa documentación, reporte

de los resultados de las pruebas y, de acuerdo con estos, la implementación de un

plan de acción.

Considerar el alcance de las pruebas de recuperación en aplicaciones individuales,

en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas

integradas con el o los proveedores que pudieran estar implicados.

Asegurar que todas las partes involucradas reciban capacitación de forma regular

respecto a los procesos, sus roles y responsabilidades en caso de incidente o

desastre.

Determinar que existe una estrategia de distribución definida y administrada para

asegurar que los planes se distribuyan de manera apropiada y segura. Que estén

disponibles entre las partes involucradas y autorizadas cuando y donde se requiera.

Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de

desastre.

Planear las acciones a tomar durante el período en que TI se está recuperando y

reanudando los servicios. Esto puede representar la activación de sitios de respaldo,


101

el inicio de procesamiento alternativo, la comunicación a usuarios y a los

interesados y realizar procedimientos de reanudación.

Almacenar fuera de las instalaciones todos los medios de respaldo, documentación

y otros recursos de TI críticos, necesarios para la recuperación de TI y para los

planes de continuidad.

El contenido de los respaldos a almacenar debe determinarse en conjunto entre los

responsables de los procesos sustantivos y el personal de TI.

La administración del sitio de almacenamiento externo a las instalaciones, debe

apegarse a la política de clasificación de datos y a las prácticas de almacenamiento

de datos del organismo.

La Gerencia de TI debe asegurar que los acuerdos con sitios externos sean

evaluados periódicamente, al menos una vez por año, respecto al contenido, a la

protección ambiental y a la seguridad.

Asegurarse de la compatibilidad del hardware y del software para poder recuperar

los datos archivados.

Periódicamente probar y renovar los datos archivados.

Una vez lograda una exitosa reanudación de las funciones de TI después de un

desastre, determinar si la Gerencia de TI ha establecido procedimientos para valorar

lo adecuado del plan y actualizarlo en consecuencia.

La máxima autoridad del organismo debe entender y aprobar los riesgos aceptados.

5.1.3.5. Garantizar la Seguridad de los Sistemas

Incluir y asignar a un cargo compatible las funciones relacionadas con administrar

y dar cumplimiento a la Política de Seguridad de TI al nivel más apropiado e

independiente de la Gerencia de Sistemas, para llevar a cabo exitosamente las

tareas de:


102

Comunicar las políticas y procedimientos de seguridad a los interesados y a los

usuarios.

Identificar de manera única a todos los usuarios, internos, externos y temporales

y su actividad.

Alinear, definir y documentar los derechos de acceso del usuario a sistemas y

datos con las necesidades de los procesos del organismo.

Definir formalmente un marco de trabajo para que los derechos de acceso del

usuario sean solicitados por su gerencia, aprobados por el responsable del

sistema e implementado por el área de la seguridad.

Mantener en un repositorio central las identidades del usuario y los derechos de

acceso.

Implementar, mantener y actualizadas medidas técnicas y procedimientos, para

establecer la identificación, realizar la autenticación y habilitar los derechos de

acceso de los usuarios.

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación

y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en

cuenta por el sector responsable de las cuentas de los usuarios.

Incluir un procedimiento que describa al responsable de los datos o del sistema

para que otorgue los privilegios de acceso. Estos procedimientos se deben

aplicar para todos los usuarios, incluyendo administradores (usuarios

privilegiados), usuarios externos e internos, para casos normales y de

emergencia.

Acordar los derechos y obligaciones relacionados al acceso a los sistemas e

información del organismo para todos los tipos de usuarios. Llevar a cabo una

revisión regular de todas las cuentas y los privilegios asociados.

Garantizar que la implementación de la seguridad en TI sea probada y

monitoreada de forma proactiva.


103

Acreditar la seguridad de TI periódicamente para garantizar que se mantiene el

nivel de seguridad aprobado. Definir una función de ingreso al sistema y de

monitoreo que permita la detección oportuna de actividades inusuales o

anormales que pueden requerir atención.

Garantizar que las características de los posibles incidentes de seguridad sean

definidas y comunicadas de forma clara, de manera que los problemas de

seguridad sean atendidos de forma apropiada por medio del proceso de

administración de problemas o incidentes.

Incluir una descripción de lo que se considera un incidente de seguridad y su

nivel de impacto. Definir un número limitado de niveles de impacto para cada

incidente, e identificar las acciones específicas requeridas y las personas que

necesitan ser notificadas.

Garantizar que la tecnología importante relacionada con la seguridad no sea

susceptible de sabotaje y que la documentación de seguridad no se divulgue de

forma innecesaria.

Determinar que las políticas y procedimientos para organizar la generación,

cambio, revocación, destrucción, distribución, certificación, almacenamiento,

captura, uso y archivo de llaves criptográficas estén implantadas, para

garantizar su protección contra modificaciones y divulgación no autorizadas.

Garantizar que se cuente con medidas de prevención, detección y corrección a

lo largo de toda la organización para proteger a los sistemas de información y a

la tecnología contra software malicioso.

Garantizar que se utilizan técnicas de seguridad y procedimientos de

administración asociados, por ejemplo, firewalls, dispositivos de seguridad,

segmentación de redes, y detección de intrusos, para autorizar acceso y

controlar los flujos de información desde y hacia las redes.


104

Garantizar que las transacciones de datos sensibles sean intercambiadas

solamente a través de una ruta o medio confiable con controles para brindar

autenticidad de contenido, prueba de envío y recepción, y no repudio del origen.

Procurar la protección de los datos sensibles, incluso frente a los

administradores de las bases de datos.

5.1.3.6. Identificar y asignar costos

Desarrollar un modelo orientado a los centros de costos.

Definir, con base en la característica del servicio, un modelo de costos que incluya

costos directos, indirectos y fijos de los servicios.

Alinear el modelo de costos con los procedimientos de contabilización del

organismo.

El modelo de costos de TI debe garantizar que los cargos por servicios sean

identificables, medibles y predecibles por parte de los usuarios para propiciar el

adecuado uso de recursos.

Vincular los servicios de TI a los procesos del organismo de forma que cada

temática pueda identificar los niveles de costo de los servicios asociados.

Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido.

Analizar y reportar las variaciones entre los presupuestos y los costos actuales de

acuerdo con los sistemas de medición financiera del organismo.

Las gerencias de los usuarios deben poder verificar el uso actual y los cargos de los

servicios.

Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos

para mantener su relevancia para el tema en evolución y para las actividades de TI.


105

5.1.3.7. Educación y capacitación de los usuarios

Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo

objetivo de empleados, que incluya:

Identificar, en base en las necesidades de entrenamiento: a los grupos objetivo y a

sus miembros, a los mecanismos de capacitación más eficientes.

Designar instructores y organizar el entrenamiento con tiempo suficiente.

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la

relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y

valor. Los resultados de esta evaluación deben contribuir a la definición futura de

los planes de estudio y de las sesiones de entrenamiento.

Implantar valores corporativos (valores éticos, cultura de control y seguridad)

5.1.3.8. Administrar la mesa de servicio y los incidentes

Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI,

para registrar, comunicar, atender y analizar todas las llamadas, incidentes

reportados, requerimientos de servicio y solicitudes de información.

Establecer procedimientos de monitoreo y escalamiento basados en los niveles de

servicio acordados, que permitan clasificar y priorizar cualquier problema

reportado como incidente, solicitud de servicio o solicitud de información.

Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios

y de los servicios de TI.

Establecer una función y sistema que permita el registro y rastreo de llamadas,

incidentes, solicitudes de servicio y necesidades de información. Debe trabajar

estrechamente con los procesos de administración de incidentes, administración de

problemas, administración de cambios, administración de capacidad y

administración de disponibilidad.


106

Clasificar los incidentes de acuerdo al tema y a la prioridad del servicio, derivarlo

al equipo de administración de problemas apropiado y mantener informados a los

usuarios sobre el estado de sus consultas.

Establecer procedimientos de mesa de servicios de manera que los incidentes que

no puedan resolverse de forma inmediata sean escalados apropiadamente de

acuerdo con los límites acordados en el acuerdo de nivel de servicios y, si es

adecuado, brindar soluciones alternas.

Establecer procedimientos para el monitoreo puntual de la resolución de consultas

de los usuarios. Cuando se resuelve el incidente, la mesa de servicios debe registrar

la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el

usuario.

Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia

medir el desempeño del servicio y los tiempos de respuesta, así como para

identificar tendencias de problemas recurrentes de manera que el servicio pueda

mejorarse de forma continua.

5.1.3.9. Administrar la configuración

Identificar y registrar todos los activos de TI, sean tangibles (equipos y sus

repuestos) o intangibles (licencias de software y aplicaciones de producción propia)

Diseñar y mantener una aplicación de gestión que permita monitorear las

modificaciones introducidas al equipamiento y sus movimientos a otras oficinas o

ámbitos de trabajo. Asimismo, esta herramienta debe mantener un repositorio

central con toda la información relevante sobre los elementos de configuración

tangibles (hardware) e intangibles (por ejemplo, licencias de software).

Para las bibliotecas de aplicaciones de producción propia, mantener una línea-base

de los elementos de la configuración para todos los sistemas y servicios como


107

punto de comprobación al cual volver tras un cambio y establecer rutinas

documentadas y periódicas de revisión.

Establecer un procedimiento estandarizado que permita seguir los cambios al

repositorio de configuración.

5.1.3.10. Administración de problemas

Implementar procesos para reportar y clasificar problemas que han sido

identificados como parte de la administración de incidentes.

Categorizar los problemas de manera apropiada en grupos o dominios relacionados

(por ejemplo, hardware, software, software de soporte). Estos grupos pueden

coincidir con las responsabilidades organizacionales o con los grupos de usuarios y

son la base para asignar los problemas al personal de soporte.

El sistema de administración de problemas debe mantener pistas de auditoría

adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los

problemas reportados considerando:

o Todos los elementos de configuración asociados.

o Problemas e incidentes sobresalientes.

o Errores conocidos y probables.

o Seguimiento de las tendencias de los problemas.

Disponer de un procedimiento para cerrar registros de problemas con el usuario

final ya sea después de confirmar la eliminación exitosa del error conocido o

después de acordar con el responsable del tema cómo administrar el problema de

manera alternativa.

5.1.3.11. Administración de datos

Establecer mecanismos para garantizar que el proceso reciba los documentos

originales correctos, que se procese toda la información recibida, que se preparen y


108

entreguen todos los reportes de salida requeridos y que las necesidades de reinicio y

reproceso estén soportadas.

Definir e implementar procedimientos para el archivo y almacenamiento de los

datos, de manera tal que estos permanezcan accesibles y utilizables.

Definir e implementar procedimientos para mantener un inventario de medios de

almacenamiento en sitio y garantizar su integridad y su uso.

Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y

al software desde equipos o medios una vez que son eliminados o transferidos para

otro uso.

Definir e implementar procedimientos de respaldo y restauración de los sistemas,

datos y configuraciones que estén alineados con los requerimientos de la misión y

con el plan de continuidad.

Verificar el cumplimiento de los procedimientos de respaldo y verificar la

capacidad y el tiempo requerido para tener una restauración completa y exitosa.

Probar los medios de respaldo y el proceso de restauración.

Establecer mecanismos para identificar y aplicar requerimientos de seguridad

aplicables a la recepción, procesamiento, almacenamiento físico y entrega de

información y de mensajes sensitivos que incluyen registros físicos, transmisiones

de datos y cualquier información almacenada fuera del sitio.

5.1.3.12. Administración de instalaciones

Definir y seleccionar los centros de datos físicos para los equipos de TI. Debe

tomar en cuenta el riesgo asociado con desastres naturales y causados por el

hombre, considerando las leyes y regulaciones correspondientes.

Establecer las responsabilidades sobre el monitoreo y los procedimientos de reporte

y de resolución de incidentes de seguridad física.


109

Definir, implementar y monitorear procedimientos para otorgar, limitar, registrar y

revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del

organismo, incluyendo las emergencias.

Diseñar e implementar medidas de protección contra factores ambientales. Deben

instalarse dispositivos y equipo especializado para monitorear y controlar el

ambiente.

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de

suministro de energía, de acuerdo con las leyes y los reglamentos, los

requerimientos técnicos, las especificaciones del proveedor y los lineamientos de

seguridad y salud.

Disponer un sitio alternativo de procesamiento.

Llevar control de las visitas en los centros de procesamiento.

Incorporar a un plan de contingencia los procedimientos que mitiguen los daños

que puedan presentarse en situaciones de exposición al riesgo.

5.1.3.13. Administración de operaciones

Definir, implementar y mantener procedimientos estándar para operaciones de TI y

garantizar que el personal de operaciones está familiarizado con todas las tareas de

operación relativas a ellos.

Organizar la programación de trabajos, procesos y tareas en la secuencia más

eficiente, maximizando el desempeño y la utilización para cumplir con los

requerimientos del tema.

Definir e implementar procedimientos para monitorear la infraestructura de TI y los

eventos relacionados.

Garantizar que en los registros de operación se almacene suficiente información

cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de


110

tiempo de las operaciones y de las otras actividades que soportan o que están

vinculadas a estas.

Establecer resguardos físicos, prácticas de registro y administración de inventarios

adecuados sobre los activos de TI.

Definir e implementar procedimientos para garantizar el mantenimiento oportuno

de la infraestructura para reducir la frecuencia y el impacto de las fallas o

disminución del desempeño.

5.1.4. MONITOREAR Y EVALUAR

5.1.4.1. Monitorear y evaluar el desempeño de TI

Enfoque del Monitoreo. Establecer un marco de trabajo de monitoreo general que

abarque a todas las áreas y un enfoque que definan el alcance, la metodología y el

proceso a seguir para medir la solución y la entrega de servicios de TI.

Definición y recolección de datos de monitoreo. Trabajar con las áreas decisorias

para definir un conjunto de objetivos de desempeño.

Evaluación del desempeño. Comparar en forma periódica el desempeño contra las

metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver

las causas subyacentes cuando hay desvíos.

Reportes al consejo directivo y a ejecutivos. Proporcionar reportes administrativos

para ser revisados por la alta dirección sobre el avance del organismo hacia metas

identificadas, específicamente en términos del desempeño. Éstos deben incluir el

grado en el que se han alcanzado los objetivos planeados, los resultados obtenidos,

las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se

debe identificar cualquier desviación respecto al desempeño esperado e iniciar y

reportar las medidas de administración adecuadas.


111

Acciones correctivas. Identificar e iniciar medidas correctivas basadas en el

monitoreo del desempeño, evaluación y reportes.

5.1.4.2. Monitorear y evaluar el control interno

Aumentar la asignación de recursos humanos a la tarea control interno de las

actividades de TI para hacer seguimientos más abarcativos.

Monitoreo del marco de trabajo de control interno. Monitorear de forma continua,

comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de

TI para satisfacer los objetivos del organismo.

Monitorear y evaluar la eficiencia y efectividad de los controles internos de

revisión de la gerencia de TI.

Identificar las excepciones de control, y analizar e identificar sus causas raíz

subyacentes. Escalar las excepciones de control y reportar a los interesados

apropiadamente. Establecer acciones correctivas necesarias.

Control interno para terceros. Evaluar el estado de los controles internos de los

proveedores de servicios externos. Confirmar que los proveedores de servicios

externos cumplen con los requerimientos legales y regulatorios y obligaciones

contractuales.

Acciones correctivas. Identificar, iniciar, rastrear e implementar acciones

correctivas derivadas de los controles de evaluación y los informes.

5.1.4.3. Garantizar el cumplimiento con requerimientos externos

Identificar los requerimientos de las leyes, regulaciones y cumplimientos

contractuales. Identificar, sobre una base continua, leyes, regulaciones, y otros

requerimientos externos que se deben de cumplir para incorporar en las políticas,

estándares, procedimientos y metodologías de TI del organismo.


112

Optimizar la respuesta a requerimientos externos. Revisar y ajustar las políticas,

estándares, procedimientos y metodologías de TI para garantizar que los requisitos

legales, regulatorios y contractuales son direccionados y comunicados.

En este sentido se recomienda levantar los incumplimientos de la Resolución 48 de

SIGEN "Normas de Control Interno para Tecnología de la Información para el

Sector Público Nacional” detallados en el punto 4.4.3 “Garantizar el cumplimiento

con requerimientos externos”.

Evaluación del cumplimiento con requerimientos externos. Confirmar el

cumplimiento de políticas, estándares, procedimientos y metodologías de TI con

requerimientos legales y regulatorios.

Rediseñar la página web del organismo para cumplir con las Ley 26.653

“Accesibilidad de la Información de las Páginas Web".

5.1.4.4. Proporcionar gobierno de TI

Establecimiento de un marco de gobierno de TI. Definir, establecer y alinear el

marco de gobierno de TI con la visión completa del entorno de control. Basar el

marco de trabajo en un adecuado proceso de TI y modelo de control. Proporcionar

la rendición de cuentas y prácticas inequívocas para evitar la pérdida del control

interno. Confirmar que el marco de gobierno de TI asegura el cumplimiento de las

leyes y regulaciones y que está alineado a la estrategia y objetivos del organismo.

Informar del estado y cuestiones de gobierno de TI.

Alineamiento estratégico. Facilitar el entendimiento de los niveles decisorios sobre

temas estratégicos de TI, de manera que exista un entendimiento compartido entre

las altas gerencias y la función de TI sobre la contribución potencial de TI a los

objetivos estratégicos del organismo.


113

Entrega de valor. Administrar los programas de inversión con TI, así como otros

activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para

apoyar la estrategia y los objetivos del organismo.

Administración de recursos. Revisar inversión, uso y asignación de los activos de

TI por medio de evaluaciones periódicas de las iniciativas y operaciones para

asegurar recursos y alineamiento apropiados con los objetivos estratégicos y los

imperativos actuales y futuros.

Administración de riesgos. Trabajar con el máximo nivel para definir el nivel de

riesgo de TI aceptable por el organismo y obtener garantía razonable que las

prácticas de administración de riesgos de TI son apropiadas para asegurar que el

riesgo actual de TI no excede el riesgo aceptado por la dirección. Introducir las

responsabilidades de administración de riesgos en el organismo, asegurando que el

desarrollo de proyectos y TI regularmente evalúan y reportan riesgos relacionados

con TI y su impacto y que la posición de los riesgos de TI del organismo es

entendida por los interesados.

Medición del desempeño. Confirmar que los objetivos de TI se han conseguido o

excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde

los objetivos confirmados no se han alcanzado o el progreso no es el esperado,

revisar las acciones correctivas.

Aseguramiento independiente. Garantizar de forma independiente (interna o

externa) la conformidad de TI con la legislación y regulación relevante; las

políticas del organismo, estándares y procedimientos; prácticas generalmente

aceptadas; y la efectividad y eficiencia del desempeño de TI.


114



5.2.1.1. LNSE debe procurar que se complete la cesión de equipamiento de forma tal de

independizar los recursos de almacenamiento de LNSE de los de Casino de Buenos Aires,

con el fin de impedir cualquier acceso indebido a los datos almacenados por LNSE. Por

otra parte, se recomienda que LNSE implemente un procedimiento de auditoría de las

tablas del sistema Accounting con el fin de garantizar la integridad de las mismas. Esta

recomendación subsiste aún si la cesión fuera completada.

5.2.1.2. Implementar una alternativa de comunicaciones que permita la continuidad de las

tareas de fiscalización, ante una caída del servicio de telecomunicaciones.


5.2.2.1. Optimizar el modelo de monitoreo con alarmas y registros para que los agentes

fiscalizadores de LNSE puedan realizar un control y seguimiento más eficiente y en tiempo

real sobre las novedades de MEEJA con fallas de transmisión.

5.2.2.2. Implementar los métodos necesarios para auditar el total del parque de MEEJA

habilitadas en un período cuatrimestral.

5.2.2.3. La Gerencia de Fiscalización de LNSE debe incluir la verificación de UPS entre

los procedimientos de control de MEEJA.


115

5.2.2.4. LNSE debe velar por la calidad de las etiquetas o bien reemplazarlas

periódicamente con el fin de controlar adecuadamente que no hubo accesos indebidos al

hardware o software de las MEEJA a través de los puertos de acceso. En caso de

encontrarse un punto de acceso sin su etiqueta en condiciones, LNSE deberá proceder a

verificar que el software instalado y sus parámetros coincidan con los que el concesionario

registró oportunamente.

5.2.2.5. Dado que LNSE no realiza un control de los datos transmitidos en la red del

sistema de juegos, debería realizar pruebas funcionales que simulen la generación de

apuestas y el cobro de premios con el fin de controlar que estos eventos impacten sin

alteraciones en el aplicativo de fiscalización Accounting.

5.2.2.6. Diseñar, formalizar e implementar un procedimiento de fiscalización periódico que

se ocupe de verificar que cada MEEJA cumple con el porcentaje de devolución estipulado,

que contemple el análisis de las eventuales causas de incumplimiento. Esta prueba

permitiría, junto a otras pruebas funcionales, controlar el correcto funcionamiento de todos

los componentes.

5.2.2.7. Establecer dentro de LNSE un procedimiento de homologación y verificación

técnica de las MEEJA a dar de alta en salas de juego, con el fin de asegurar que su

funcionamiento refleje lo expresado en la documentación técnica entregada por el

Concesionario.

5.2.2.8. Arbitrar los medios necesarios para asegurar la objetividad de las actividades de

auditoría y fiscalización, velando por el debido cumplimiento del principio de control por

oposición de intereses.

5.2.3. OTRAS


116

5.2.3.1. LNSE debe eliminar la ambigüedad expuesta en la normativa respecto del

porcentaje de devolución de premios.

5.2.3.2. LNSE debe solicitar y verificar la implementación y uso de un sistema

informatizado que permita la identificación de las personas que ingresan a las salas de

juego, con el fin de impedir el acceso de quienes hayan solicitado su autoexclusión.

5.2.3.3. Revisar y modernizar los procedimientos de fiscalización con el objetivo de

incrementar su confiabilidad, agilidad, y eficiencia.

5.2.3.4. Registrar la información de manera digital, de forma que la información contenida

en los formularios pueda ser accedida en cualquier momento, con el objeto de facilitar la

utilización de la información almacenada para su análisis en forma ágil y dinámica.

6. CONCLUSIONES

La regulación de los juegos de azar en la Argentina es competencia de cada provincia y de

la Ciudad Autónoma de Buenos Aires. Es en esta última donde Lotería Nacional Sociedad

del Estado (LNSE) –por mandato legal y en virtud del convenio suscripto con el Instituto

de Juegos de Apuestas de la Ciudad de Buenos Aires– explota buena parte de sus

actividades. Debido a ello comercializa juegos propios y de terceros a través de las

agencias oficiales, y mantiene concesionadas las cinco salas de bingo, el Hipódromo

Argentino de Palermo y el Casino de Buenos Aires. Según se desprende del presupuesto

2014, estas actividades le han reportado ingresos por operación superiores a los $870

millones.


117

La mayor parte de los ingresos de Lotería Nacional depende de su participación en el

“beneficio líquido” de los distintos juegos.49 En tal sentido, ha cobrado relevancia el

desarrollo del mercado del juego de azar con las concesiones al Hipódromo Argentino de

Palermo y al Casino de Buenos Aires que, con un volumen de alrededor de 6.000 máquinas

tragamonedas en funcionamiento de modo prácticamente ininterrumpido, han generado

importantes sumas que explican más del 30% de la participación de los ingresos operativos

de Lotería Nacional. Debido a que “como hecho individual y social el juego de azar

merece críticas muy severas”,50 el Estado re-encauza parte de los beneficios obtenidos a la

comunidad, con un fin social.51

En este marco, resulta importante el control que LNSE lleva a cabo sobre las liquidaciones

realizadas. A ello ha contribuido la mejora evidenciada en la administración de la

Tecnología de la Información (TI) desde 2006, fundamentalmente en lo que refiere a

infraestructura informática, aspectos organizativos y gestión de recursos humanos –para

los cuales se verifica un significativo nivel de permanencia–.52 También se han observado

progresos en términos de seguridad física y lógica de la infraestructura de TI. Sin embargo,

respecto a esto último, aún persisten debilidades que colocan a la organización en una

situación vulnerable frente a eventuales intrusiones que puedan ocurrir desde las redes de

HAPSA o Casino de Buenos Aires, o bien desde los centros de cómputos. Ello representa

un riesgo para la integridad, confidencialidad y disponibilidad de su información. Cabe

señalar que la Subgerencia de Seguridad de Información no se encuentra adecuada

jerárquicamente en la estructura organizacional, lo que deriva en limitaciones para que el

área pueda ejercer adecuadamente sus funciones, o para imponer criterios y políticas de

seguridad tanto al interior de la organización, como a los concesionarios.

49 Diferencia entre los ingresos por apuestas y los egresos por premios. 50 Dec. N° 598/90, considerandos. 51 Véase al respecto la nota al pie Nº 21. 52 En 2006 la AGN efectuó la última auditoría de tecnologías de la información en dicha organización.


118

Otra de las debilidades detectadas se origina en el escaso nivel de integración existente

entre los distintos sistemas informáticos. La transferencia de información entre unos y

otros requiere de gran cantidad de procesos manuales, como así también de gran número

de controles internos orientados a asegurar la integridad y confiabilidad de la información

transferida. Éstos, además de aumentar el riesgo de control, reducen la eficiencia de la

organización e impactan sobre su disponibilidad de tiempo para realizar otras tareas o

controles. La frecuencia de procedimientos manuales y la falta de una política de

despapelización, ha derivado en una situación en la que la información impresa supera la

capacidad de almacenamiento, lo que redunda en documentación expuesta al alcance de

usuarios no autorizados.

En relación a las medidas para garantizar la continuidad del servicio informático, la

organización ha enfatizado aquellos procesos relacionados con los ingresos de fondos, no

así con los egresos. Consecuentemente, una interrupción del servicio de TI enfrentaría a

Lotería Nacional al riesgo de no poder cumplir con sus obligaciones de pago en tiempo y

forma. En este sentido, el mantenimiento de ciertos aplicativos claves se encuentra

delegado a empresas mediante débiles vínculos contractuales, en los que no se especifican

las condiciones de la prestación ni la calidad del servicio de TI a brindar.

En cuanto al control informático de LNSE sobre la explotación de las máquinas

tragamonedas, aun cuando cumple con los procedimientos definidos en su manual de

fiscalización, no resultan suficientes para corroborar que no han sido modificadas, o que la

información generada por dichas máquinas sea la misma que impacta en el aplicativo que

la propia organización utiliza para controlarlas. Tampoco realiza LNSE controles propios

sobre la correcta parametrización de las máquinas. Confía para ello en la certificación

entregada por una organización internacional, sin realizar una verificación propia o a través

de terceros independientes contratados a tal fin.


119

Por último, hay dos aspectos del control informático de LNSE que, de atenderse

oportunamente, podrían prevenir perjuicios para los jugadores. Uno refiere a la necesidad

de controlar que ante una eventual caída del suministro eléctrico, las máquinas

tragamonedas no pierdan los datos de la apuesta en curso. El otro implicaría exigir a los

concesionarios un adecuado control informático de acceso a las salas de juego, a efectos de

cumplir con el propósito del formulario de autoexclusión, que algunos jugadores

completan por considerarse jugadores compulsivos.

El “Gobierno de TI” es una parte integral del gobierno corporativo, que indefectiblemente

debe contribuir con el cumplimiento de los objetivos organizacionales. El Gobierno de TI

se torna más importante aún, cuando la organización depende críticamente de ella. Tal es el

caso de LNSE, cuyos procesos principales dependen de los datos e información que

administra. En consecuencia, esta función no solo debe ser una responsabilidad compartida

por el Directorio y la administración ejecutiva de LNSE, sino también jerarquizada de

acuerdo a su importancia relativa para el conjunto organizacional. La necesidad de

asegurar el valor de TI, la administración de los riesgos asociados y el control de la

información, deben priorizarse y considerarse elementos clave del gobierno corporativo de

LNSE.


120

7. COMUNICACIÓN AL ENTE

Por nota N° 137/15-A06 la AGN remite el proyecto de informe a Lotería Nacional

Sociedad del Estado (LNSE), quien lo recibe con fecha 15 de diciembre de 2015.

El 4 de febrero de 2016 LNSE, mediante la nota N° 67/16 S.G.-LNSE, solicita una

prórroga por el término de quince (15) días hábiles que AGN otorga el 18 de febrero de

2016 por nota N° 04/16-A06.

El 2 de marzo de 2016 LNSE, a través de la nota N° 158/16 S.G., envía el descargo que

AGN recepciona el 3 de marzo del corriente.

En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la

respuesta del organismo auditado como los comentarios de la AGN.

Como resultado del análisis realizado:

- con el objeto de otorgarle mayor precisión a las observaciones 4.1.1.10, 4.1.2.4 y

4.2.2.3, se modifica parcialmente su texto sin que ello implique modificación del

nivel de madurez asignado.

- con el objeto de otorgarle mayor precisión al texto de las Aclaraciones Previas (pág.

9), se aclara que los juegos de máquinas tragamonedas son de premiación inmediata

y control online, y se agrega (pág. 16) información complementaria brindada por el

auditado relativa a actividades de LNSE en materia de prevención de lavado de

dinero.


121

8. LUGAR Y FECHA

BUENOS AIRES, marzo de 2016

9. FIRMA


122

10. ANEXOS

ANEXO I – Comentarios del auditado

A continuación se exponen los comentarios del auditado sobre cada una de las

observaciones señaladas.


123


124


125


4.1.1 PLANIFICAR Y ORGANIZAR

4.1.1.1 Definir Plan Estratégico para TI

“Atento a los cambios de autoridades de público conocimiento en esta Sociedad del

Estado, se precederá a revisar, y de ser necesario redefinir, las metas y objetivos

estratégicos, a partir de los cuales desarrollar una planificación estratégica para su

concreción”.

4.1.1.2 Definir la Arquitectura de la Información

“Mediante Resolución N° 79 de fecha 22 de junio de 2015, se adjudicó la Contratación

Directa N° 9/15 por la adquisición de licencias, análisis, diseño, implementación,

capacitación, puesta en producción, soporte y mantenimiento en la modalidad “llave en

mano” de un Sistema Administrativo Integrado – habitualmente denominado ERP – para

esta Sociedad del Estado, de tal forma que quedaría todo integrado en una única

plataforma”.

4.1.1.3 Determinar la dirección tecnológica

“Anualmente se planifican las adquisiciones necesarias considerando la arquitectura de

los sistemas, estándares tecnológicos para la administración pública (E.T.A.P.) estrategias

de migración y la dirección tecnológica a fin de mantener un normal funcionamiento de

los sistemas en una plataforma confiable y, en la medida de lo posible, actualizada.

Al respecto, y en el mismo sentido, es oportuno señalar que se consideren los

requerimientos de adquisición de las distintas áreas de esta Sociedad y en función de los

mismos y las necesidades detectadas se planifican los procesos de adquisición”.


126

4.1.1.4 Definir los procesos, organización y relaciones de TI

“Por Disposición N° 93/15 de fecha 4 de agosto de 2015, se formalizó la desvinculación

de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a depender

jerárquicamente del Directorio de esta Sociedad, con la denominación de Unidad de

Gestión de Seguridad de la Información”.

4.1.1.5 Administrar la inversión en TI

“A partir de la puesta en funcionamiento del ERP adquirido (ver punto 4.1.1.2), se podrá

contar con una herramienta que permita, como área centralizadora, administrar la

formulación presupuestaria de TI incluyendo la contabilidad de costos”.

4.1.1.6 Comunicar las aspiraciones y la dirección de la gerencia

“Se toma debida nota y por Organización de Sistemas Administrativos se procederá a

formalizar a las rutinas de trabajo y metodologías utilizados en la Gerencia.

En otro orden de ideas, la toma de conciencia y sensibilización de los empleados de esta

Sociedad en temas tales como uso de Internet, se ha canalizado por medio de la Unidad de

Gestión de Seguridad de la Información”.

4.1.1.7 Administrar los recursos humanos de TI

“Se toma debida nota y conjuntamente con la Gerencia de Recursos Humanos se

procederá a analizar la propuesta efectuada en el último párrafo. De ser considerado

necesario y oportuno se procederá a la elaboración de algún proceso de evaluación

periódico donde se comparen los objetivos individuales derivados de las metas

organizacionales, estándares establecidos y responsabilidades específicas del puesto”.


127

4.1.1.8 Administrar la calidad

“El enfoque de calidad en esta Sociedad está basado en procesos, por ejemplo “proceso

de Captura de Apuestas”.

En el “Manual de Calidad” se especifica la gestión de adquisiciones.

Finalmente, se deja constancia que para el caso de los desarrollos, actualización y

modificaciones efectuados por el Departamento de Análisis y Desarrollo, previamente a

ser pasados a producción, son testeados por el Departamento Calidad y Testeo bajo

análisis de “caja blanca””.

4.1.1.9 Evaluar y administrar los riesgos de TI

“Conjuntamente con la Unidad de Gestión de Seguridad de la Información se elaborará

un “Plan de Administración de Riesgos de TI”.

4.1.1.10 Administrar proyectos

“Con relación a la observación es oportuno aclarar que en realidad existe un único

departamento de Desarrollo y Mantenimiento de software que es el existente en el

Organigrama de esta Sociedad.

Con respecto al que se menciona en segundo término es derivado del contrato de

sistematización vigente, adjudicado por Licitación Pública 4/09 el 9 de diciembre de 2010

a través de Resolución 112/10, y es el encargado de efectuar las tareas de mantenimiento

que figuran en el citado Pliego de Bases y Condiciones”.

Por otra parte, en la nueva estructura orgánica funcional vigente, se encuentra

incorporado el Departamento Coordinación de Proyecto a fin de integrar la

administración de proyectos”.

4.1.2 ADQUIRIR E IMPLEMENTAR

“Se reitera lo manifestado en el primer y segundo párrafo del punto anterior”.


128

4.1.2.1 Identificar Soluciones Automatizadas

“Como se menciona en el punto 4.1.1.10 se ha incorporado el Departamento

Coordinación de Proyectos cuyas funciones abarcan las observadas en el primer párrafo.

Con respecto al segundo párrafo, se reitera lo manifestado en el punto 4.1.2”.

4.1.2.2 Adquirir o desarrollar y mantener software aplicativo

“Se reitera que para el caso de los desarrollos, actualización y modificaciones efectuados

por el Departamento de Análisis y Desarrollo, previamente a ser pasados a producción,

son testeados por el Departamento Calidad y Testeo bajo análisis de “caja blanca”.

4.1.2.3 Adquirir y mantener infraestructura tecnológica

“Con relación al mantenimiento es oportuno señalar que al momento de efectuar

adquisiciones de infraestructura tecnológica se incorpora como parte integrante de las

obligaciones que tiene que asumir el oferente en el Pliego de Bases y Condiciones el

soporte y mantenimiento correspondiente. Vencido el plazo establecido, solo se realiza

mantenimiento correctivo dado que no resulta económicamente conveniente.

Asimismo no se realizan cambios ni nuevos desarrollos sobre la infraestructura

tecnológica sin previamente verificar que todo funcione como es esperable”.

4.1.2.4 Facilitar la operación y el uso

“Se solicita adjuntar evidencia al respecto, dado que no se alcanza a comprender

concretamente cual sería la documentación administrativa y contable faltante”.

4.1.2.5 Adquirir recursos de TI

“Respecto a los Expedientes relacionados con las firmas IGT; TELMEX y TELEFONICA

se encontraban al momento de ser efectuada la auditoría por parta de la AGN, a


129

disposición del Juzgado Federal Criminal y Correccional N°6 a cargo del Dr. Rodolfo

Canicoba Corral, sito en Comodoro Py”.

4.1.2.6 Administrar cambios

“Si bien no existe un proceso formal, se efectúa un análisis de mitigación de riesgo en

circunstancias como las observadas. Se tomará en cuenta su formalización”.

4.1.2.7 Instalar y acreditar soluciones y cambios

“Se analizará la incorporación de la aceptación formal por parte del usuario.

Al respecto, es dable destacar, que el nuevo sistema de gestión al que se hace referencia

en el punto 4.1.1.2, incluye la aprobación formal por parte del usuario como requisito

previo antes del pasaje a producción”.

4.1.3 ENTREGAR Y DAR SOPORTE

4.1.3.1 Definir y administrar los niveles de servicio

“Actualmente se han acordado acuerdos de nivel de servicio con la Gerencia de Mercado

y Juegos. Se continuará trabajando con la Unidad de Gestión de Seguridad de la

Información a fin de extender los mismos a otras áreas de esta Sociedad”.

4.1.3.2 Administrar servicios de terceros

“Los Aplicativos como SIGAD y “Anexo D” no son parte del objeto de la Licitación 4/09,

sino que dicho contrato solicita que el adjudicatario deberá hacerse cargo del

mantenimiento de los mismos. Sin perjuicio de lo mencionado, es de hacer notar, que

dichos aplicativos tienden a caer en desuso en la medida que se implemente el sistema

mencionado en el punto 4.1.1.2.


130

Con respecto a las prestadoras de servicios de telecomunicaciones, se solicita adjuntar

evidencia al respecto, dado que no se alcanza a comprender como se verificó que el

control de la prestación ni se encuentra formalizado”.

4.1.3.3 Administrar el desempeño y la capacidad

“Existen rutinas de trabajo, debidamente documentadas y aprobadas por la Gerencia, de

uso y aplicación por el Departamento Producción.

Asimismo, conjuntamente con la Unidad de Gestión de Seguridad de la Información se

procederá a desarrollar la planificación de un Plan de Contingencia, que considere de

forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de

TI”.

4.1.3.4 Garantizar la continuidad del servicio

“Si bien el escenario planteado en la observación es posible, es dable destacar que

contamos con respaldos de información almacenados fuera de estas instalaciones,

puntualmente en el Hipódromo Argentino de Palermo, y con la tecnología existente hoy en

día, se podría recuperar la información y procesar en contingencia dentro de una ventana

de tiempo razonable”.

4.1.3.5 Garantizar la seguridad de los sistemas

“Se reitera que por Disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la

desvinculación de la Subgerencia de Seguridad de la Gerencia de Sistemas, pasando a

depender jerárquicamente del Directorio de esta Sociedad, con la denominación de

Unidad de Gestión de Seguridad de la Información.

La concientización sobre la seguridad de la información la realiza la Unidad Gestión de

Seguridad aplicando la Política de Seguridad de la Información por medio de cursos

orientados a tal fin.


131

Con relación a la Administración de Cuentas de Usuario si bien no hay un procedimiento,

existe una rutina de trabajo debidamente documentada donde se establecen las tareas de

revisión periódica de las cuentas de usuario. Con respecto a los usuarios de la Gerencia

de Sistemas de la base datos de producción se solicita tenga a bien remitir evidencia al

respecto, dado que no alcanza a comprender la observación.

Acceso Físico. Se comparte la observación.

Seguridad de la red. Para el caso de los accesos a HAPSA y Casino Buenos Aires, a la

fecha se han implementado control de listas de acceso (ACL) que permiten definir el

perímetro entre las redes externas y la de esta Sociedad, siendo estos habilitados solo a

demanda por personal propio.

Con respecto a UTE IVISA – Casino Buenos Aires se está desarrollando un proyecto para

adquirir un enrutador de núcleo que permitir definir ACL en modo análogo al anterior. De

tal forma, la tecnología a adquirir permitirá además un plan de contingencia ante fallas

de cualquiera de sus partes”.

4.1.3.6 Identificar y asignar costos

“Se toma nota y se procederá en consecuencia.

Al respecto en nuevo sistema de gestión al que se hace referencia en el punto 4.1.1.2,

incluye la asignación presupuestaria de los recursos de TI en un enfoque orientado en la

administración por centro de costos”.

4.1.3.7 Educación y capacitación de los usuarios

“Se comparte la observación”.

4.1.3.8 Administrar la mesa de servicio y los incidentes

“Se tomará en cuenta la observación para su análisis, y en su caso, efectuar las

modificaciones a que diera lugar en el sistema actual”.


132

4.1.3.9 Administrar la configuración

“Lo observado responde a la necesidad de perseguir objetivos distintos. En el sistema de

bienes de uso están registrados todos los bienes de esta Sociedad, mientras que en el Sashi

sólo los bienes informáticos, conteniendo además información más detallada que la

existente en el sistema de bienes de uso, necesaria para efectuar la atención y

mantenimientos de los mismos. Por ejemplo: especificaciones técnicas, características,

etc”.

4.1.3.10 Administración de problemas

“Se tomará en cuenta la observación para su análisis”.

4.1.3.11 Administración de Datos

“Se remitirá la observación a la Unidad de Gestión de Seguridad de la Información”.

4.1.3.12 Administración de Instalaciones

“Centro de Procesamiento de Datos de la Administración Central.

Se solicita aclaración con respecto a la locación donde se observó la presencia de

material inflamable, como cajas de cartón, cajas de plástico y armarios de madera para

proceder a su eliminación.


Se trasladará la observación a la Gerencia Técnica (Departamento Electricidad).

Data Center del Casino de Buenos Aires.

Se toma en cuenta la observación y se procederá en consecuencia”.

4.1.3.13 Administración de operaciones

“Organización Informática. Por Disposición 93/15de fecha 4 de agosto, se formalizó la



133


Unidad de Gestión de Seguridad de la Información.

Plan Estratégico de TI. Atento los cambios de autoridades de público conocimiento en esta

Sociedad del Estado, se procederá a revisar, y de ser necesario redefinir, las metas y

objetivos estratégicos, a partir de los cuales desarrollar una planificación estratégica para

su concreción.

Arquitectura de la Información. El modelo de arquitectura de la información será el

definido por la adquisición el sistema mencionado en el punto 4.1.1.2.

Cumplimiento de Regulaciones Externas. Se Solicita Aclaración al Respecto.

Administración de proyectos. Se agregó un nuevo Departamento en la estructura funcional

vigente de la de la Gerencia de Sistemas que contempla el alcance de la presente

observación.

Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. No se comparte la

observación. Existe un plan de trabajo donde se planifica la carga de trabajo del sector

desarrollo debidamente documentado y aprobado. Con relación a la adquisición de

software se realizan de acuerdo a lo establecido en el Manual de Compras de esta

Sociedad, respetando además los Estándares Tecnológicos para la Administración

Pública. La Unidad de Auditoría Interna no participa en los desarrollos do software por

decisión propia.

Ley 26.653 “Accesibilidad de la Información de las Páginas Web”. Se tomará en cuenta la

presente observación”.

4.1.4 MONITOREAR Y EVALUAR

4.1.4.1 Monitorear y evaluar el desempeño de TI

Sin comentarios a la observación.

4.1.4.2 Monitorear y evaluar el control interno


134


4.1.4.3 Garantizar el cumplimiento con requerimientos externos


4.1.4.4 Proporcionar gobierno de TI

“Si bien la Gerencia de Sistemas viene implementando mediciones, métodos de evaluación

y técnicas, se entiende que en la medida que se cuente con las herramientas y recursos

necesarios se podrá avanzar para establecer un entorno de control que incluya marcos de

trabajo definidos y organizados. Se toma en cuenta la observación, y en la medida de lo

posible, se procederá en consecuencia.

Se reitera que por Disposición 93/15 de fecha 4 de agosto de 2015, se formalizó la



Unidad de Gestión de Seguridad de la Información”.



4.2.1.1. “Actualmente se está encarando un proceso de migración a una nueva versión de

la aplicación mencionada, que en principio permitirá subsanar la situación observada”.

4.2.1.2. “A la fecha se encuentra adjudicada la licitación por la contratación de un enlace

punto a punto con Casino Buenos Aires, para actuar como redundancia del mencionado

en la observación.

Hasta este punto y con relación a las recomendaciones referentes a TI, se toma debida

nota y oportunamente serán evaluadas y de corresponder, se tomarán las medidas

necesarias para su aplicación”.


135


4.2.2.1. “Se desprende de la observación que el mapa interactivo que muestra el estado de

las máquinas posee indicadores clasificados por colores de estado, cabe señalar que los

colores utilizados son similares a los de in semáforo (rojo, amarillo y verde, estos reflejan

diversos eventos tales como puerta abierta, falla de comunicación (rojo), pago de premios,

créditos cancelados, tarjeta de auditoría insertada (amarillo), puerta cerrada, máquina on

line, etc (verde). Cabe aclarar que existen más herramientas que las detalladas en la

Observación 4.2.2.1, ya que el sistema permite hacer consultas a demanda de los eventos

que se producen en la máquina (Consola Maintenance Workbook) también cuenta con un

soporte (Zero Meter) que permite individualizar terminales que posean idéntico contador

durante una jornada (6 a 6).

Es dable destacar que diariamente se efectúa, durante los tres turnos, el proceso de

fiscalización fallas de transmisión/comunicación a fin de determinar el estado de la

transmisión de datos de los contadores horarios. Esto permite detectar, en caso de existir,

las fallas que pudieran producirse a fin de notificar al área técnica del

Concesionario/Agente Operador de la novedad y su puesta fuera de servicio para la

reparación. Respecto de las evidencias sobre las fallas de comunicación se hace saber

diariamente se confecciona un acta donde quedan reflejadas las novedades.

Independientemente de ello, cuando la MEEJA se reconecta informa su estado de

contadores y los eventos quedan almacenados en la misma, dependiendo la cantidad de

eventos según el modelo de MEEJA, conservando cada terminal la información

almacenada”.

Recomendación 5.2.2.1: “Ahora bien, respecto de la recomendación efectuada se

encuentra en trámite a través del expediente 375.670/15 del registro de esta Sociedad, la

elaboración de una plataforma digital que complemente al Sistema de monitoreo y control

on line. Dentro de ese proyecto podrá incluirse el desarrollo de una herramienta de

alarmas tempranas”.


136

4.2.2.2. Sin comentarios a la observación.

Recomendación 5.2.2.2: “Se efectuará un seguimiento, análisis y revisión del plazo

establecido para el procedimiento fiscalización diaria audit test a fin que se complete la

totalidad del parque de máquinas”.

4.2.2.3. “En relación a lo mencionado por la Auditoría General de la Nación se transcribe

para de ña observación en cuestión… “cada MEEJA debe poseer un sistema de energía

ininterrumpida – o UPS – con una duración mínima de 15 minutos (Cap. IV, Art. 1). Al

respecto cabe señalar que el artículo que aplica al comentario efectuado es el Art. 2

apartado 2.8 del Capítulo IV.

Respecto al relevamiento efectuado sobre la muestra representativa del parque de

máquinas de las dos explotaciones, se entiende conveniente que a fin de analizar el

resultado de los porcentajes expresados en los mismos, debería cuantificarse el total de

máquinas consideradas para la muestra.

Analizando el fondo de la cuestión, se entiende que podría propiciarse la adecuación de la

normativa y establecer como un requisito, dentro de los procedimientos para la

aprobación de las MEEJA, la instalación de una fuente ininterrumpida de energía por un

lapso mínimo de 15 minutos, e incorporar dentro del procedimiento de ABM la

verificación del correcto funcionamiento del sistema de energía ininterrumpida.

En un mismo orden de ideas se aclara que en el caso que las MEEJAS se queden sin

energía guardan el estado dela última partida en juego a fin de restaurarla al arrancarse

o bien cancelarla y devolver al jugador los créditos que este poseía. Adicionalmente la

máquina debe preservar todos los últimos eventos por sí misma. Estas validaciones son

parte de los procesos de testeo de los dispositivos que efectúan los laboratorios de juego.

Independientemente se informa que el Hipódromo y los buques casino cuentan

(usina/generadores), que permiten la continuidad de la actividad de las salas”.


137

Recomendación 5.2.2.3: “Se propiciará la modificación del procedimiento de Alta, Baja y

Movimiento de las M.E.E.J.A. a fin de incluir en el mismo la verificación de la presencia y

funcionamiento del dispositivo de energía de emergencia”.

4.2.2.4. “Con relación a la observación mencionada se hace saber que el procedimiento

de “etiquetado”, consiste en identificar con una etiqueta holográfica con rastro de

remoción los dispositivos de almacenamiento que contengan programas de juego/tablas de

premios. Dicho procedimiento se lleva a cabo de acuerdo a lo establecido. Asimismo por

analogía se aplica el mismo procedimiento cuando por el desgaste de material adherente

se deteriora, por el paso del tiempo, o por el calor emanado por la MEEJA la etiqueta

identificatoria original. Dicho proceso incluye el reemplazo del elemento deteriorado,

efectuando una fiscalización que consiste en verificar entre otras cosas, juego,

denominación, denominación, código identificatorio de las memorias, etc a fin de

corroborar que el estado de la máquina ni haya sido modificado.

Cabe hacer mención mensualmente el Centro Superior para el Procesamiento de la

Información efectúa una inspección funcional de la MEEJA en la que verifica, número de

máquina, marca, serie, modelo, juego, devolución teórica, denominación, etc. También

efectúa otra auditoría que consiste en el firmado digital de ñas memorias de juego.

Es importante destacar que para el caso que se produjera una falla en el dispositivo de

almacenamiento y deba ser reemplazado, es necesario efectuar un borrado general de la

máquina (master reset). Dicha situación conlleva el labrado de un acta de falla/avería.

Este suceso queda registrado en el sistema de monitoreo y control on line debido a que el

borrado general de los contadores de la terminal en cuestión vuelven a cero, con motivo

del borrado general mencionado”.

Recomendación 5.2.2.4: “Al respecto, se hace saber que dentro del procedimiento de

“Comprobación de Inventario” se encuentra establecido dentro de los ítems a verificar la

comprobación de la etiqueta identificatoria. No obstante ello, se propiciará la


138

readecuación del procedimiento a fin de dejar explicita referencia al proceso de “re

etiquetado en caso de deterioro””.

4.2.2.5. “En primer lugar cabe hacer mención que el procedimiento de fiscalización diaria

de contadores “Audi Test” se complementa con el procedimiento que se lleva a cabo a

través de Alta, Baja y Movimientos. En el último procedimiento mencionado, se fiscaliza a

través de pruebas de juegos, el correcto incremento de los contadores de las MEEJAS,

como así también el reflejo de los mismos en el sistema. Esto queda asentado en Actas.

Asimismo, CeSPI efectúa mensualmente, y sobre una porción del parque de máquinas, un

control que incluye la verificación de la denominación de apuesta, denominación contable

y pruebas de juego donde queda asentado el inicio de la prueba, el medio de apuesta

utilizado (billete, ticket) monto ingresado, cantidad de crédito ingresado, contadores

previos y posteriores a la apuesta. El ente contrasta dichos datos con los reflejados en el

sistema”.

Recomendación 5.2.2.5: “Se desprende de la recomendación efectuada por el Auditor que

no ha considerado en la evaluación los aspectos mencionados precedentemente.

Independientemente, al momento de efectuarse el análisis y actualización de los

procedimientos de fiscalización, se evaluará la conveniencia de aumentar la frecuencia de

pruebas funcionales a lo largo de la vida útil de la MEEJA, por parte de los Agentes

destacados en Sala”.

4.2.2.6. “Con relación a la devolución teórica de las MEEJA, cabe hacer algunas

aclaraciones al respecto. En primer lugar la normativa vigente establece que la

devolución teórica estará calculada de modo que en una serie teórica de jugadas, que

comprenda la totalidad de las combinacio0nes posibles previstas devuelva un porcentaje

no inferior al 90% de las apuestas efectuadas. Cuando esto no sea posible por las

características del juego, para el cálculo del porcentaje de retorno al público será de

aplicación la estrategia óptima de juego para el mismo. Este porcentaje mínimo de


139

premios se refiere al porcentaje mínimo que devolverá la máquina para la máxima

apuesta. La Tabla de Pagos (PAR Sheet) de un juego de azar detalla todas las

combinaciones ganadoras y los pagos posibles del mismo. Estas combinaciones y pagos

permiten calcular el Porcentaje de Retorno al Jugador (RTP%), un cálculo teórico que

indica cuánto dinero será devuelto al jugador en forma de premios, durante la vida

operativa del juego.

A su vez, esto permite calcular el Porcentaje de Retención Teórico, que representa el

dinero que quedará retenido en la máquina, en forma de ganancia para la sala.

Porcentaje de Retención = 100% - RTP%.

Ahora bien, respecto de los procedimientos de fiscalización se hace hacer que toda vez que

se produce un ABM en la sala, se efectúa por personal destacado in situ la verificación de

este porcentaje de devolución teórico, se encuentre por encima del mínimo establecido.

En concordancia, y dentro de las tareas que efectúa el CESPI en sus auditorías externas,

el ente verifica los porcentajes de devolución mediante la inspección de las firmas

digitales. También, a través de inspecciones funcionales, verifica sus tablas de pago

correspondientes.

Corresponde aclararse que para cada tipo de juego instalado corresponde una tabla de

premios con características/matemáticas particulares propias de cada software, que al

cumplir los ciclos de jugadas tiende a unificar los porcentajes teóricos de las maquinas

con los reales, siempre teniendo en cuenta también el factor del azar.

Por ultimo cabe destacar que desde el inicio de la actividad de las MEEJA, se ha

verificado diariamente que el porcentaje de devolución real promedio de las salas

(beneficio / apuestas) supera holgadamente el porcentaje teórico establecido para las

mismas”.

Recomendación 5.2.2.6: “Se incluirá en el procedimiento de cálculo de beneficio diario

la fiscalización de la devolución real promedio de la Sala que como ya se ha mencionado

se encuentra por encima de lo establecido por la normativa vigente. Se analizara el diseño


140

de un procedimiento de fiscalización periódico de las MEEJA referido al porcentaje de

devolución real, el que será utilizado para analizar, para los casos que correspondan, una

fiscalización específica de las variables que hacen a este porcentaje de devolución

(tiempo, jugadas, porcentaje de devolución teórica, etc.), Se entendería que dicho

procedimiento tendría un resultado que a prima facie solo podría ser utilizado como un

elemento más de análisis. Pues de la misma manera que el porcentaje podría llegar a ser

menor en algún momento puntual, también podría ser mayor al 100 %, sin que ello

implique que esto asegure un mal funcionamiento de la terminal, dado que también

siempre está presente en el resultado del juego el azar. Para finalizar, es importante

señalar que la auditoría externa verifica los porcentajes de devolución teórica mediante la

inspección de las firmas digitales y sus tablas de pago correspondientes y en las

inspecciones funcionales”.

4.2.2.7. “Con relación a los certificados de laboratorios, la normativa vigente no establece

que estos sean provistos únicamente por el laboratorio GLI, dado que estos pueden

corresponder a distintos laboratorios de prestigio. El Concesionario ha presentado ante

LNSE cuenta con copias de los certificados de por lo menos tres distintas empresas de

testeo de dispositivos de juegos de azar como BMM, Pontificia Universidad Católica del

Perú, GLI y otros.

Lotería a través del Convenio Suscripto con la UNLP, y llevado a cabo por el Centro

Superior para el Procesamiento de la Información efectúa una auditoria para verificar

que los dispositivos instalados en las MEEJA, se encuentren con certificaciones vigentes

(comprobación de firma digital del software”..

Recomendación 5.2.2.7: “Para implementar un proceso de Homologación propio de esta

LNSE se entiende que debería efectuarse una readecuación de la normativa, atento que la

reglamentación actual no lo exige. Respecto de la implementación de un procedimiento de

comprobación del software a través de las firmas digitales (SHA-1, MD5 etc) previo a la


141

autorización de puesta de funcionamiento de las MEEJA, debería evaluarse, en conjunto,

la oportunidad, el mérito y la conveniencia de la adquisición de los dispositivos y/o

elementos técnicos necesarios y la capacitación del personal para el desarrollo propio de

la tarea”.

4.2.2.8. “Respecto a la observación efectuada por la AGN en este punto y a la

recomendación, se informa que se seguirán arbitrando los medios necesarios para que los

controles de Auditoría y Fiscalización que se vienen realizando y se continuarán

prestando de manera objetiva sin vulnerar el principio de control que lleva adelante

Lotería Nacional S.E”.

4.2.3. OTRAS


Recomendación 5.2.3.1: “Se entiende que debería proponerse una

modificación/aclaración a la normativa a fin de otorgar mayor precisión al concepto de

devolución respecto de las máquinas de juegos que puedan ser afectadas por la destreza

del jugador”.


Recomendación 5.2.3.2: “Se entiende que en el marco de la Política de Juego

Responsable de LNSE, debería analizarse la metodología del control a fin de

establecer/determinar un procedimiento eficaz respecto a la detección del Jugador

Autoexcluido. Para ello se considera conveniente darle intervención a las áreas

competentes en esta materia”.


Recomendación 5.2.3.3: “Se hace saber que a través del Expediente 375.670/15 del

registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo

de una plataforma tecnológica propia que amplíe las herramientas de fiscalización y que


142

la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios

a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a

cabo”.


Recomendación 5.2.3.4: “Se hace saber que a través del Expediente 375.670/15 del

registro de esta Sociedad del Estado, se propuso a la Gerencia de Sistemas el desarrollo

de una plataforma tecnológica propia que amplíe las herramientas de fiscalización y que

la misma contenga aplicaciones, reportes, estadísticas diseñadas a medido de los usuarios

a fin de ampliar y automatizar procesos de fiscalización optimizando las tareas llevadas a

cabo”.


143

ANEXO II – Análisis de los comentarios del auditado

A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado.

N° de Observación Observación Respuesta LNSE Comentario AGN

4.1. GESTIÓN

INFORMÁTICA

4.1.1. PLANIFICAR Y

ORGANIZAR

4.1.1.1 Definir un plan

estratégico para TI

Falta definir un Plan Estratégico de TI

vigente para administrar y dirigir todos los

recursos de TI de acuerdo con los objetivos

estratégicos del organismo y las prioridades

apoyado en diferentes planes tácticos que

indiquen cómo alcanzarlos.

Existió un planeamiento estratégico del área

durante el período 2006 al 2010 que abarcó

la problemática de ese momento con respecto

a adecuar la infraestructura tecnológica y

edilicia, la estructura orgánica y funcional, la

integración de los sistemas, la capacitación

del personal y la adecuación salarial. Desde

entonces no se ha vuelto a formular.

En las solicitudes anuales de presupuesto

para adquisiciones se invocan razones

estratégicas, pero no están debidamente

justificadas. Para más detalles ver punto

“4.1.5 Administrar la inversión de TI”.

Atento los cambios de

autoridades de público

conocimiento en esta Sociedad

del Estado, se procederá a

revisar, y de ser necesario

redefinir, las metas y objetivos

estratégicos, a partir de los

cuales desarrollar una

planificación estratégica para

su concreción.

La respuesta del

organismo no contradice

las observaciones

realizadas por esta

auditoría, por lo tanto se

mantienen las mismas.


144


4.1.1.2 Definir la

arquitectura de

información

Coexisten aplicaciones desarrolladas bajo

pautas precisas desde el año 2006 en

adelante, con los sistemas administrativo-

contables adquiridos con anterioridad.

En el entendimiento de esta problemática, la

Gerencia de Sistemas obtuvo del Directorio

la aprobación de la compra de una aplicación

que cubriese integralmente la gestión

administrativa-contable más algunos

módulos específicos, como la administración

de permisos y concesiones para la

explotación de juegos por parte de terceros.

No obstante encontrarse avanzadas las

gestiones, al momento de realizarse los

trabajos de campo de esta auditoría, dos

procesos licitatorios habían resultado

infructuosos.

En virtud de ello, no existe a la fecha un

único modelo de arquitectura de la

información, por lo que conviven distintas

plataformas tecnológicas. Si bien las

aplicaciones están integradas en relación a

las bases de datos, existen interfaces

Mediante Resolución N° 79 de

fecha 22 de junio de 2015, se

adjudicó la Contratación

Directa N° 9/15 por la

adquisición de licencias,

análisis, diseño,

implementación, capacitación,

puesta en producción, soporte y

mantenimiento en la modalidad

“llave en mano” de un Sistema

Administrativo Integrado –

habitualmente denominado

ERP – para esta Sociedad del

Estado, de tal forma que

quedaría todo integrado en una

única plataforma.

La observación de esta

auditoría está enfocada en

la adopción de un único

modelo de arquitectura de

la información, cuya

definición sea formalmente

establecida, así como

también los criterios que

justifiquen la decisión por

esta solución.

Con respecto al Sistema

Administrativo Integrado

recientemente adquirido,

por tratarse de un hecho

posterior al período

auditado, será objeto de

revisión en una próxima

auditoría.

Se mantienen las

observaciones.


145


manuales entre los distintos sistemas (que no

están automatizadas). Por ejemplo, existen

casos donde los asientos imputados en la

aplicación contable Waldbott se componen

previamente en planillas de Excel con

información procedente de otras

aplicaciones.

No se ha establecido un esquema de

clasificación de datos del organismo, basado

en la criticidad y sensibilidad de la

información. La falta de un diccionario de

datos integrado de toda la organización no

facilita la administración de la integridad y

consistencia. Esto posibilita la existencia de

redundancia de información.

4.1.1.3 Determinar la

dirección tecnológica

El organismo no cuenta con un plan de

infraestructura tecnológica. Debido a ello, los

requerimientos en los procesos de

adquisición no se respaldan en planes previos

debidamente justificados y la estimación de

las solicitudes de compras es intuitiva. Falta

la consideración de aspectos tales como el

Anualmente se planifican las

adquisiciones necesarias

considerando la arquitectura de

los sistemas, estándares

tecnológicos para la

administración pública

(E.T.A.P.) estrategias de

De la documentación

presentada en su

oportunidad por el

organismo se desprende

que el proceso decisorio de

adquisiciones, si bien

cumple con la normativa,


146


planeamiento de la capacidad para

necesidades futuras, costos de transición,

riesgo tecnológico y vida útil de la capacidad

existente.

migración y la dirección

tecnológica a fin de mantener

un normal funcionamiento de

los sistemas en una plataforma

confiable y, en la medida de lo

posible, actualizada.

Al respecto, y en el mismo

sentido, es oportuno señalar

que se consideran los

requerimientos de adquisición

de las distintas áreas de esta

Sociedad y en función de los

mismos y las necesidades

detectadas se planifican los

procesos de adquisición.

responde a bases intuitivas

fundadas en el

conocimiento de

individuos clave y no en la

planificación de

necesidades debidamente

justificadas.

Se mantienen las

observaciones.

4.1.1.4 Definir los

procesos, organización y

relaciones de TI

Tanto el organigrama del organismo como la

estructura de la Gerencia de Sistemas se

encuentran formalmente aprobados por

resoluciones del Directorio.53

Por disposición 93/15 de fecha

4 de agosto de 2015, se

formalizó la desvinculación de

la Subgerencia de Seguridad de

La respuesta del


las observaciones

realizadas por esta

53 Resolución N° 116/11 aprueba la estructura organizacional del organismo. Posteriormente se modifica con las resoluciones 135/12, 40/13, 93/14 y

03/15. La Resolución Nº 93/14 aprobó una modificación de las misiones y funciones de la Gerencia de Sistemas.


147


Las misiones y funciones se encuentran

definidas hasta el nivel de sector.54

En relación a la Subgerencia de Seguridad, la

ubicación jerárquica actual no es apropiada

ya que no garantiza su independencia

funcional y operativa de la gerencia de

sistemas de información y del resto de las

áreas usuarias. Esto limita su alcance, su

capacidad operativa y el control por

oposición.

En el año 2006 a partir de la evaluación del

estado de situación de la TI de ese momento,

se encararon cambios tendientes a:

contar con desarrollos tecnológicos

que permitiesen el normal

desenvolvimiento de la actividad

administrativa, el control de los

productos incorporados al mercado y

las respectivas redes de

comercialización.

tener una organización de TI que

la Gerencia de Sistemas,

pasando a depender

jerárquicamente del Directorio

de esta Sociedad, con la

denominación de Unidad de

Gestión de Seguridad de la

Información.


mantienen las mismas. En

relación a la re

jerarquización de la

Subgerencia de Seguridad,

por tratarse de un hecho

posterior al período

auditado, será evaluado en

una próxima auditoría.

54 Los niveles jerárquicos son Gerencia, Subgerencia, Departamento y Sector.


148


permitiese acompañar las decisiones

de negocio del Directorio, en

especial en lo referente a la

posibilidad de incursionar en nuevos

productos lúdicos55.

cumplir con regulaciones externas,

como el Plan Nacional de Gobierno

Electrónico,56 los estándares dictados

por la ONTI,57 las normas de

seguridad y distintas observaciones

surgidas de auditorías recibidas.

En virtud de ello se procedió a jerarquizar la

Subgerencia de Sistemas llevándola a

gerencia, con dependencia directa del

Directorio; se definió la nueva organización

interna, con las funciones, los roles y

responsabilidades hasta nivel de sector; se

55 Se da en el mundo el surgimiento de otros canales para la actividad lúdica tales como juegos on-line por Internet, telefonía fija, telefonía móvil y

televisión interactiva. 56 Decreto Nro. 378/05. Propone incentivar la interacción entre la población y los diferentes organismos públicos, facilitando la comunicación y la

obtención de respuestas satisfactorias y eficientes al ciudadano. 57 ONTI Oficina Nacional de Tecnología de Información.


149


implementó un Plus Informático para nivelar

los sueldos del escalafón vigente con los que

se pagan en el mercado en relación al

personal de TI; se regularizaron situaciones

contractuales de ciertos agentes

incorporándolos a la planta permanente; se

llevó a cabo un plan de capacitación para

nivelar los conocimientos del personal a las

necesidades técnicas que se requerían y se

promovió a ciertos agentes para que ocupen

las posiciones intermedias a través de

concursos internos.

4.1.1.5 Administrar la

inversión en TI

Falta en la Gerencia de Sistemas un proceso

de administración presupuestaria de TI

donde, habiendo identificado los costos

propios de la gerencia, se puedan comparar

los costos reales con los presupuestados,

identificar en forma oportuna las

desviaciones y evaluar el impacto de éstas

sobre lo planificado. El seguimiento de la

ejecución presupuestaria lo llevan a cabo las

áreas contables.

A partir de la puesta en

funcionamiento del ERP

adquirido (ver punto 4.1.1.2),

se podrá contar con una

herramienta que permita, como

área centralizadora, administrar

la formulación presupuestaria

de TI incluyendo la

contabilidad de costos.

La respuesta del


las observaciones

realizadas por esta




150


El organismo considera al área de TI como

centralizadora de los servicios informáticos

por lo tanto computa todos los costos de TI a

dicha área, aun cuando ésta no es la única

usuaria de los servicios.

La Gerencia de Sistemas realiza todos los

años la formulación presupuestaria del año

siguiente. La falta de un plan de

infraestructura constituye una debilidad de la

formulación presupuestaria, ya que no se

identifican ni justifican técnicamente qué

componentes deben renovarse, cambiarse o

ampliarse.

Entre 2013 y 2014, el presupuesto de TI del

organismo tuvo un incremento nominal

interanual del 4,59%.58

4.1.1.6 Comunicar las

aspiraciones y la

No hay un programa de comunicación

sistemática de los objetivos estratégicos de

Se toma debida nota y por

Organización de Sistemas

La respuesta del


58 Para el ejercicio 2013 el crédito aprobado para la Gerencia de Sistemas fue de 47.000.000 sobre 747.498.608 presupuestados para el organismo. Para

el ejercicio 2014 fueron 49.160.333 sobre 1.019.620.544.


151


dirección de la gerencia

TI.

Falta la elaboración de un digesto con todas

las normas y procedimientos de la gerencia.

El ambiente de control está dado por un

conjunto formalizado de rutinas de trabajo y

metodologías de TI, sin la participación y

comunicación del área de Métodos y

Calidad, ni Organización y Métodos. Esto

hace que el monitoreo del cumplimiento del

control interno de estas políticas sea poco

consistente.

La comunicación de algunos temas sensibles

tales como el uso de Internet, accesos

remotos, instalación y uso de software,

resguardo de elementos activos de la red de

comunicaciones no han sido abordados.

Administrativos se procederá a

formalizar a las rutinas de

trabajo y metodologías

utilizados en la Gerencia.

En otro orden de ideas, la toma

de conciencia y sensibilización

de los empleados de esta

Sociedad en temas tales como

uso de Internet, se ha

canalizado por medio de la

Unidad de Gestión de

Seguridad de la Información.

las observaciones

realizadas por esta



4.1.1.7 Administrar los La política y el procedimiento para el

reclutamiento se encuentran formalizados.59

Se toma debida nota y

conjuntamente con la Gerencia

La respuesta del

organismo no contradice 59 LNSE adhiere al Convenio Colectivo de Trabajo (54/92 "E") homologado mediante la Disposición N° 85/2009 de la Dirección Nacional de Relaciones

de Trabajo (D.N.R.T). La modalidad de contratación de personal, en un nivel inicial, es a través de contratos anuales, pero con la posibilidad de pasar a

la Planta Transitoria y, en caso de ya revestir dicha situación, pasar a Planta Permanente. Recientemente se implementó la modalidad de

“Curso/Concurso”, el que consiste en la preparación de los concursantes de un determinado perfil para una categoría superior.


152


recursos humanos de TI

La Gerencia de Sistemas, al momento de las

tareas de campo, cuenta con 71 empleados

encuadrados en cuanto a su remuneración al

escalafón del convenio colectivo de trabajo

suscripto por el organismo. El mismo

contempla el pago de un plus informático

como modo de equiparar las remuneraciones

del personal de TI con el mercado laboral.

El personal de Lotería Nacional S.E. ingresa

y progresa en los diferentes grados, tramos,

niveles y agrupamientos así como por su

acceso a las funciones ejecutivas y de

jefatura, de conformidad con el régimen de

carrera previsto en el convenio, como

resultado del nivel de idoneidad, formación

académica, capacitación y rendimiento

laboral que alcance, aprobando el régimen de

concursos establecidos.

La empresa conformó una Comisión Paritaria

denominada “Comisión Permanente de

Carrera”, que evalúa el desarrollo de carrera

de los empleados de cada una de las

diferentes áreas.

Los empleados tienen la posibilidad de

de Recursos Humanos se

procederá a analizar la

propuesta efectuada en el

último párrafo. De ser

considerado necesario y

oportuno se procederá a la

elaboración de algún proceso

de evaluación periódico donde

se comparen los objetivos

individuales derivados de las

metas organizacionales,

estándares establecidos y

responsabilidades específicas

del puesto.

las observaciones

realizadas por esta




153


participar en cursos cuya aprobación permite

la acreditación de puntos que derivan en el

pago de un adicional, o la promoción a otra

posición.

Falta un proceso de evaluación periódico

donde se comparen los objetivos individuales

derivados de las metas organizacionales,

estándares establecidos y responsabilidades

específicas del puesto.


Calidad

No existen políticas ni un sistema de

aseguramiento de calidad que establezca

estándares para medirla y monitorearla. Esto

impide identificar desviaciones, aplicar

acciones correctivas (en caso de detectarlas),

informar a los usuarios involucrados y

conocer la entrega de valor de TI a los

El enfoque de calidad en esta

Sociedad está basado en

procesos, por ejemplo “Proceso

de Captura de Apuestas”.

En el “Manual de la Calidad”

se especifica la gestión de

adquisiciones.

El enfoque de la

observación de este

objetivo de control está

referido a los procesos

informáticos

exclusivamente. Estos

deben estar subsumidos en


154


objetivos estratégicos del organismo.

En relación a los desarrollos de aplicaciones

que se realizan internamente,60 las acciones

tendientes al aseguramiento de la calidad se

encuentran en una etapa incipiente, por lo

que sólo se llevan a cabo tareas de

estandarización de pantalla y listados. No se

realizan análisis de caja blanca.61

Finalmente, se deja constancia

que para el caso de los

desarrollos, actualización y

modificaciones efectuados por

el Departamento de Análisis y

Desarrollo, previamente a ser

pasados a producción, son

testeados por el Departamento

Calidad y Testeo bajo análisis

de “caja blanca”.

un programa de calidad

que abarque a toda la

sociedad.

En relación a los

desarrollos de software

que se llevan a cabo por el

Departamento de Análisis

y Desarrollo (esto no

incluye el mantenimiento

de los aplicativos Anexo D

– SIGAD, Permisionarios,

Poliper y Estadísticas)

tienen una instancia de

prueba por parte del

Departamento de Calidad

y Testeo, siguiendo un

60 Las aplicaciones Anexo D y Sigad son mantenidas por la unión transitoria de empresas Casino Buenos Aires e IVISA S.A. Waldbott & Asoc S.A.

mantiene la aplicación homónima. 61 En programación, se denomina “cajas blancas” a un tipo de pruebas de software que se realiza sobre las funciones internas de un módulo. Entre las

técnicas usadas se encuentran la cobertura de caminos (pruebas mediante las que se recorren todos los posibles caminos de ejecución), pruebas sobre las

expresiones lógico-aritméticas, pruebas de camino de datos y comprobación de bucles.


155


procedimiento

formalizado62 cuyo

enfoque, como el propio

documento lo establece, es

sobre técnicas de caja

negra.63

Las pruebas de caja blanca

están relacionadas con el

código fuente con el que se

programan las

aplicaciones. Esto persigue

un doble propósito: por un

lado que el desarrollo siga

las pautas de calidad

establecidas y por otro, las

de seguridad (por ejemplo

detectando código

malicioso embebido).

La respuesta del

62 Rutina de Trabajo para Pruebas de Software de fecha 4/4/2014 63 “…Las pruebas que se realizan son en su mayor parte de tipo funcional debido a que se enfocan en los requerimientos y pueden ser trazadas

directamente sobre casos de uso, funciones o reglas de negocio. Este tipo de testeo es básicamente sobre técnicas de caja negra…” Fuente: Rutina de

Trabajo para Pruebas de Software.


156


organismo no modifica las

observaciones realizadas

por esta auditoría, por lo

tanto se mantienen las

mismas.

4.1.1.9 Evaluar y

administrar los riesgos de

TI

No existe un marco formal de administración

de riesgos que permita identificarlos con el

objeto de tomar acciones para prevenirlos,

asumirlos, mitigarlos, evitarlos o resolverlos

en caso de un incidente, cuantificando costos

y probabilidades de ocurrencia.

Informalmente los riesgos tecnológicos se

conocen, pero falta la formalización del

contexto de riesgo y su evaluación formal de

manera tal de contemplar las fortalezas, las

oportunidades, las debilidades y las

amenazas.

El Organismo se encuentra expuesto a la

ocurrencia de hechos inesperados que pueden

generar perjuicios, sin que estén analizadas

las medidas a tomar para cada caso. Por

ejemplo, el enfoque de continuidad del

negocio tiene contemplado el procesamiento

Conjuntamente con la Unidad

de Gestión de Seguridad de la

Información se elaborará un

“Plan de Administración de

Riegos de TI”.

La respuesta del


las observaciones

realizadas por esta




157


alternativo en aquellos procesos que implican

el ingreso de fondos (captura de apuestas)

pero no los egresos. De producirse una

discontinuidad de los servicios de TI en la

administración central, podría impedir el

cumplimiento de las obligaciones de pago

por parte de la empresa.

4.1.1.10 Administrar

proyectos

No hay una administración integrada de

todos los proyectos informáticos.

Hay dos departamentos de desarrollo y

mantenimiento de software: el que

administra los desarrollos propios desde el

año 2006, cuyos módulos integran el

SULON,64 y otro que mantiene las

Con relación a la observación

es oportuno aclarar que en

realidad existe un único

departamento de Desarrollo y

Mantenimiento de software que

es el existente en el

Organigrama de esta Sociedad.

Con el objeto de darle más

precisión a la observación

se reemplaza: “Hay dos

departamentos de

desarrollo y

mantenimiento de

software: el que”, por

64 SULON: Sistema Único de Lotería Nacional. Comprende los siguientes módulos: Gestión de usuarios, roles y dependencias, Gestión de Agencias y

Actas Provinciales, inspecciones realizadas y denuncias, Gestión de actas e inspecciones de Agencias Oficiales, Gestión de Documentación

(administración de la documentación del organismo y su ubicación física en el archivo general y en dependencias de LNSE: Notas, Providencias, Memos

e Informes), Gestión de Reclamos (consultas, sugerencias, pedido de asistencia técnica de clientes), Auditorías de los juegos Borratina, Brinco, La

Grande, La Solidaria, Loto, Loto 5, Prode, Quini 6, Quiniela Conjunta (Tradicional, Poceada y Tombolina), Tragamonedas (extrae información del

sistema Accounting sobre las actividades de Casino de Buenos Aires y HAPSA y genera reportes), G.R.S. (Gestión de Reclamos a Sistemas (administra

la gestión de incidentes relacionados con temas de hardware y aplicaciones), Bingos (seguimiento on-line de las partidas de los distintos Bingos) y


158


aplicaciones prexistentes.65 Mientras que en

la primera se han seguido directrices

comunes en la administración de proyectos,

esto no sucede con el segundo conjunto.

Además, ninguna se encuentra integrada a la

administración de proyectos de

infraestructura de TI.

Con respecto al que se

menciona en segundo término

es derivado del contrato de

sistematización vigente,

adjudicado por Licitación

Pública 4/09 el 9 de diciembre

de 2010 a través de Resolución

112/10, y es el encargado de

efectuar las tareas de

mantenimiento que figuran en

el citado Pliego de Bases y

Condiciones.

Por otra parte, en la nueva

estructura orgánica funcional

vigente, se encuentra

incorporado el Departamento

Coordinación de Proyecto a fin

de integrar la administración de

proyectos.

“Además del

Departamento de

Mantenimiento de

Software que figura

formalmente en el

organigrama, existe otra

área identificada como

‘Asesoría de Sistemas’.

Uno…”. La modificación

no implica cambiar el

espíritu de la observación

ni el nivel de madurez.

Pro.cre.ar. (búsqueda de ganadores y remisión de resultados del Programa PRO.CRE.AR BICENTENARIO, -Programa de Crédito Argentino del

Bicentenario para la Vivienda Única Familiar). 65 SIGAD, ANEXO D, Permisionarios, Estadísticas y Poliper (Gestión de Seguros de Agentes Oficiales y Permisionarios


159


4.1.2. ADQUIRIR E

IMPLEMENTAR

4.1.2.1 Identificar

soluciones automatizadas

El marco de trabajo del área de desarrollo

propio es incompleto. Faltan consideraciones

relativas a la formalización de cómo se

consideraron la factibilidad, el riesgo, la

asignación de costos, las prioridades, la

asignación de recursos y el beneficio

esperado de la solución adoptada.

En el caso de los servicios tercerizados, el

marco de trabajo es menos formal. La falta

de documentación hace que se dependa de

individuos clave para llevar adelante las

tareas.

Se reitera lo manifestado en el

primer y segundo párrafo del

punto anterior.

Como se menciona en el punto

4.1.1.10 se ha incorporado el

Departamento Coordinación de

Proyectos cuyas funciones

abarcan las observadas en el

primer párrafo.

Con respecto al segundo

párrafo, se reitera lo

manifestado en el punto 4.1.2.

La respuesta del


las observaciones

realizadas por esta



4.1.2.2 Adquirir o

desarrollar y mantener

software aplicativo

La metodología de ciclo de vida de

desarrollo de sistemas (CVDS) está definida

aunque incompleta. Faltan algunos aspectos

tales como definir etapas de aceptación por

parte de los usuarios involucrados y la

definición de estándares de codificación del

software que pueda ser analizado en un

control de aseguramiento de la calidad

posterior (análisis de caja blanca).

Se reitera que para el caso de

los desarrollos, actualización y

modificaciones efectuados por

el Departamento de Análisis y

Desarrollo, previamente a ser

pasados a producción, son

testeados por el Departamento

Calidad y Testeo bajo análisis

de “caja blanca”.

En relación a los


que se llevan a cabo por el

Departamento de Análisis

y Desarrollo (esto no

incluye el mantenimiento

de los aplicativos Anexo D

– SIGAD, Permisionarios,

Poliper y Estadísticas)

tienen una instancia de


160


prueba por parte del

Departamento de Calidad

y Testeo, siguiendo un

procedimiento

formalizado, cuyo

enfoque se basa en

técnicas de caja negra (al

respecto, véase nota al pie

del comentario AGN a

observación Nº 4.1.1.8).

Falta un procedimiento

especifico de pruebas de

caja blanca relacionada

con el desarrollo del

código fuente con el que se

programan las

aplicaciones. Esto persigue

un doble propósito: por un

lado que el desarrollo siga

las pautas de calidad

establecidas y por otro, la

de seguridad (por ejemplo

detectando código

malicioso embebido).


161


Se mantienen las

observaciones realizadas.

4.1.2.3 Adquirir y

mantener infraestructura

tecnológica

El impacto que pueda producir sobre la

infraestructura tecnológica un desarrollo

nuevo o un cambio importante en alguna de

las aplicaciones existentes, no está

formalmente contemplado. El organismo no

cuenta con un plan de infraestructura

tecnológica (ver observaciones punto 4.1.3,

“Determinar la dirección tecnológica”).

Con relación al mantenimiento

es oportuno señalar que al

momento de efectuar

adquisiciones de infraestructura

tecnológica se incorpora como

parte integrante de las

obligaciones que tiene que

asumir el oferente en el Pliego

de Bases y Condiciones el

soporte y mantenimiento

correspondiente. Vencido el

plazo establecido, sólo se

realiza mantenimiento

correctivo dado que no resulta

económicamente conveniente.

Asimismo no se realizan

cambios ni nuevos desarrollos

sobre la infraestructura

tecnológica sin previamente

verificar que todo funcione

como es esperable.

La observación de este


focalizada en la falta de

documentación formal

sobre el impacto potencial

que un cambio

significativo en alguna

aplicación, o la

incorporación de un nuevo

desarrollo, puede tener

sobre el Plan de

Infraestructura

previamente establecido.

En ese sentido

considerando las

observaciones del punto

4.1.1.3 se mantienen las

mismas.


162


4.1.2.4 Facilitar la

operación y el uso

Hay un repositorio formal donde se guarda y

mantiene actualizada documentación para

que el usuario habilitado tenga acceso a ella,

aunque es incompleta. Falta documentación

referida al sistema administrativo y contable.

Se solicita adjuntar evidencia al

respecto, dado que no se

alcanza a comprender

concretamente cual sería la

documentación administrativa

y contable faltante.

Con el objeto de darle más

precisión a la observación

se adecua su redacción de:

“Hay un repositorio formal

donde se guarda y

mantiene actualizada

documentación para que el

usuario habilitado tenga

acceso a ella, aunque es

incompleta. Falta

documentación referida al

sistema administrativo y

contable”, por “Los

desarrollos propios

posteriores al año 2006

tienen documentación

almacenada en un

repositorio donde los

usuarios habilitados tienen

acceso. No así los

aplicativos desarrollados o

adquiridos previamente:

SIGAD, ANEXO D,

WALBOTT,


163


Permisionarios,

Estadísticas y Poliper”. La

modificación no implica

cambiar el espíritu de la

observación ni el nivel de

madurez.

4.1.2.5 Adquirir recursos

de TI

Las adquisiciones responden a un proceso

formalizado por un reglamento de compras

del organismo. No se obtuvo evidencia de los

contratos con los proveedores, motivo por el

cual no se pueden controlar los acuerdos de

niveles de servicio.

Respecto a los Expedientes

relacionados con las firmas

IGT; TELMEX y

TELEFONICA se encontraban

al momento de ser efectuada la

auditoría por parte de la AGN,

a disposición del Juzgado

Federal Criminal y

Correccional N°6 a cargo del

Dr. Rodolfo Canicoba Corral,

sito en Comodoro Py.

La respuesta del


las observaciones

realizadas por esta



4.1.2.6 Administrar

cambios

El procedimiento de administración de

cambios está contemplado en la metodología

de ciclo de vida de desarrollo de sistemas

(CVDS), pero es incompleto. Faltan

consideraciones de análisis de impacto en

aspectos funcionales y de infraestructura de

Si bien no existe un proceso

formal, se efectúa un análisis

de mitigación de riesgo en

circunstancias como las

observadas. Se tomará en

cuenta su formalización.

La respuesta del


las observaciones

realizadas por esta




164


TI que puedan traer dichos cambios, criterios

para asignar prioridades y etapas de

aceptación por parte del usuario clave

involucrado.

No está establecido un proceso formal para

actuar en situaciones de emergencia que

contemple tareas a ser cumplidas en forma

diferida una vez solucionado el problema y la

registración de pistas de auditoría.

4.1.2.7 Instalar y

acreditar soluciones y

cambios

En el procedimiento de pasaje del software

del entorno de prueba al entorno de

producción, falta la aprobación formal del

usuario relevante involucrado, que avale que

las pruebas llevadas a cabo en el entorno de

prueba fueron satisfactorias.

Se analizará la incorporación

de la aceptación formal por

parte del usuario.

Al respecto, es dable destacar,

que el nuevo sistema de gestión

al que se hace referencia en el

punto 4.1.1.2, incluye la

aprobación formal por parte del

usuario como requisito previo

antes del pasaje a producción.

La respuesta del


las observaciones

realizadas por esta



4.1.3. ENTREGAR Y

DAR SOPORTE

Falta definir y acordar convenios de niveles

de servicio para todos los procesos críticos

de TI con base en los requerimientos del

Actualmente se han acordado

acuerdos de nivel de servicio

con la Gerencia de Mercado y

La respuesta del


las observaciones


165


4.1.3.1 Definir y

administrar los niveles de

servicio

usuario y las capacidades de TI.

Correspondería formalizar un marco de

trabajo de administración de niveles de

servicio entre el usuario y el prestador de

servicios que contemple el proceso de

creación del requerimiento por parte del

usuario, el almacenado de manera

centralizada de la definición base de los

servicios de TI (catálogo de servicios), los

acuerdos de niveles de servicios alcanzados

con la Gerencia de Sistemas conforme a las

capacidades disponibles, el proceso de

monitoreo de los acuerdos y los reportes a los

interesados.

Juegos. Se continuará

trabajando con la Unidad de

Gestión de Seguridad de la

Información a fin de extender

los mismos a otras áreas de esta

Sociedad.

realizadas por esta



4.1.3.2 Administrar

servicios de terceros

El mantenimiento de las aplicaciones “Anexo

D” y “SIGAD” figuran en el contrato de

licitación del sistema de captura de apuestas

en línea (licitación 4/09) sin establecer cómo

se prestará el servicio. Esto da lugar a que no

se pueda establecer un acuerdo de nivel de

servicio al que el proveedor se debe

comprometer.

Con respecto a las prestadoras de servicios

de telecomunicaciones, durante los trabajos

Los aplicativos denominados

como Sigad y “Anexo D” no

son parte del objeto de la

licitación 4/09, sino que dicho

contrato solicita que el

adjudicatario deberá hacerse

cargo del mantenimiento de los

mismos. Sin perjuicio de lo

mencionado, es de hacer notar,

que dicho aplicativos tienden a



focalizada en la

inexistencia de un

procedimiento aprobado y

estándar para el control de

todos los servicios

prestados por terceros

orientados a la revisión y

el monitoreo, con el fin de


166


de campo los convenios no fueron

suministrados a esta auditoría, no obstante se

verificó que el control de la prestación no se

encuentra formalizado en un procedimiento

específico.

caer en desuso en la medida

que se implemente el sistema

mencionado en el punto

4.1.1.2.

Con respecto a las prestadoras

de servicios de

telecomunicaciones, se solicita

adjuntar evidencia al respecto,

dado que no se alcanza a

comprender como se verificó

que el control de la prestación

no se encuentra formalizado.

garantizar la eficacia,

eficiencia y economía de

los prestadores de

servicios.

En el caso del

mantenimiento de las

aplicaciones “Anexo D” y

“SIGAD” solicitado en la

licitación 4/09, ésta carece

de detalles sobre el alcance

y forma en que el

proveedor de

sistematización mantendrá

dicho servicio.

En el caso de las empresas

de telecomunicaciones, el

control del servicio

prestado se realiza

intuitivamente, sin

respaldo documental, por

carecer el auditado de

copia del contrato y

desconocer los términos

fijados en éste en relación


167


a los niveles de servicios

acordados.

Se mantiene la

observación.

4.1.3.3 Administrar el

desempeño y la

capacidad

Falta:

Establecer un proceso de planeación

para la revisión regular del

desempeño y la capacidad de los

recursos de TI, que asegure la

disponibilidad para procesar cargas

de trabajo acordadas, tal como se

determina en los acuerdos de nivel

de servicio, y minimizar el riesgo de

interrupciones del servicio

originados por falta de capacidad o

degradación del desempeño.

Monitorear y generar reportes del

desempeño del sistema.

Elaborar un plan de contingencia que

considere de forma apropiada la

disponibilidad, capacidad y

desempeño de los recursos

individuales de TI.

Existen rutinas de trabajo,

debidamente documentadas y

aprobadas por la Gerencia, de

uso y aplicación por el

Departamento Producción.

Asimismo, conjuntamente con

la con la Unidad de Gestión de

Seguridad de la Información se

procederá a desarrollar la

planificación de un Plan de

Contingencia, que considere de

forma apropiada la

disponibilidad, capacidad y

desempeño de los recursos

individuales de TI.

La respuesta del


las observaciones

realizadas por esta




168


4.1.3.4 Garantizar la

continuidad del servicio

El enfoque de la continuidad del negocio es

incompleto. Se pone énfasis en aquellos

procesos que implican el ingreso de fondos

pero no en los egresos. De producirse una

discontinuidad de servicios en la

administración central, podría no cumplirse

con las obligaciones de pago.

Si bien el escenario planteado

en la observación es posible, es

dable destacar que contamos

con respaldos de información

almacenados fuera de estas

instalaciones, puntualmente en

el Hipódromo Argentino e

Palermo, y con la tecnología

existente hoy en dia, se podría

recuperar la información y

procesar en contingencia dentro

de una ventana de tiempo

razonable.

Los riesgos sin control

podrían impactar los

servicios de TI con las

consecuencias

mencionadas.

La respuesta del


las observaciones

realizadas por esta


mantiene la observación.

4.1.3.5 Garantizar la

seguridad de los sistemas

El Organismo cuenta con una Subgerencia de

Seguridad de la Información, responsable del

cumplimiento de la Política respectiva. No

obstante, depende de la Gerencia de

Sistemas, lo que no garantiza su

independencia funcional y operativa tanto de

dicha gerencia como del resto de las áreas

usuarias. Esto limita su alcance, capacidad

operativa y el control por oposición.

Se reitera que por disposición

93/15 de fecha 4 de agosto de

2015, se formalizó la

desvinculación de la

Subgerencia de Seguridad de la

Gerencia de Sistemas, pasando

a depender jerárquicamente

del Directorio de esta Sociedad,

con la denominación de

Respecto de los usuarios

de la Gerencia de

Sistemas, deben tener

vedado el acceso a las

bases de datos de

producción.

En relación a las

respuestas brindadas por el

auditado referentes a: i) la


169


Concientización sobre la seguridad de la

información.

Se ha aprobado una Política de Seguridad de

la Información66 (PSI), se realizan cursos de

capacitación en seguridad de la información

para todo el personal, pero los mismos no

son obligatorios, detectándose que personal

técnico no recibió capacitación en la misma y

desconoce la existencia y contenido de la

PSI. El seguimiento del cumplimiento de la

PSI se realiza evaluando las encuestas

completadas al finalizar los cursos de

capacitación. No se releva departamento por

departamento para verificar su cumplimiento

y nivel de conocimiento alcanzado.

Los propietarios de los datos no se

encuentran definidos de manera formal. La

PSI establece la forma en que deben ser

clasificados los activos de información, pero

ésta clasificación no se ha formalizado.

No se cuenta con un Plan de Seguridad de TI



La concientización sobre la

seguridad de la información la

realiza la Unidad de Gestión de

Seguridad de la Información

aplicando la Política de

Seguridad de la Información

por medio de cursos orientados

a tal fin.

Con relación a la

Administración de Cuentas de

Usuario si bien no hay un

procedimiento, existe una

rutina de trabajo debidamente

documentada donde se

establecen las tareas de

revisión periódica de las

cuentas de usuario. Con

respecto a los usuarios de la

Gerencia de Sistemas de la


Seguridad de la

Información, y ii) a la

seguridad de la red; por

tratarse de hechos

posteriores, serán

evaluados en futuras tareas

de auditoría.

Hechas estas aclaraciones,

dado que la respuesta del


las observaciones

realizadas por esta

auditoría, se mantienen las

mismas.

66 Resolución LNSE 83/10. Se actualizó con la Resolución 96/12 del 25/09/2012.


170


ni con un Plan de Contingencias, además de

no contar con un análisis de riesgos por cada

sistema aplicativo y por departamento, a

excepción del Informe de evaluación del

Data Center del Departamento de

Producción.

Se detectó que hay sistemas cuyas políticas

de cuentas de usuario no respetan la PSI y el

administrador del sistema tiene a la vista las

contraseñas de los usuarios.

La Subgerencia de Seguridad de la

Información no tuvo ni tiene injerencia en la

seguridad del sistema Accounting que

registra los movimientos de las máquinas

tragamonedas de HAPSA y Casino de

Buenos Aires.

Administración de Cuentas de Usuarios.

Las tareas de revisión periódica de las

cuentas de usuario no están formalizadas

bajo un procedimiento específico.

No se suspenden las cuentas de los usuarios

que se encuentren de licencia.

Se han hallado usuarios de la Gerencia de

Sistemas de las bases de datos de producción.

base de datos de producción se

solicita tenga a bien remitir

evidencia al respecto, dado que

no se alcanza a comprender la

observación.

Acceso Físico. Se comparte la

observación.

Seguridad de la red. Para el

caso de los accesos a HAPSA y

Casino Buenos Aires, a la

fecha se han implementado

control de listas de acceso

(ACL) que permiten definir el

perímetro entre las redes

externas y la de esta Sociedad,

siendo estos habilitados solo a

demanda y por personal propio.

Con respecto a UTE IVISA -

Casino Buenos Aires se está

desarrollando un proyecto para

adquirir un enrutador de núcleo

que permitir definir ACL en

modo análogo al anterior. De

tal forma, la tecnología a


171


Administración de Contraseñas.

No se cumplen las políticas de contraseñas

fijadas en la PSI en los servidores Windows,

Linux y AIX,67 excepto en el servidor de

base de datos del Casino de Buenos Aires.

El sistema de Permisionarios tiene su propia

administración de usuarios, es administrada

por el jefe de departamento y no cumple con

los requisitos detallados en la PSI. Tanto la

identificación de usuario como la contraseña

pueden ser visualizadas por el administrador.

Todos los integrantes del Departamento de

Producción conocen la clave de acceso de

super-usuario68 de los servidores, además de

permitirse el cambio de un usuario común a

super-usuario. Esto posibilitaría que

intencional o accidentalmente se realicen

operaciones que pongan en riesgo la

seguridad de la información que se almacena

adquirir permitirá además

definir un plan de contingencia

ante fallas de cualquiera de sus

partes.

67 No exigen requisitos de complejidad de contraseñas, no fijan longitud mínima de la contraseña, las contraseñas nunca expiran, la vigencia máxima de

las contraseñas en algunos casos es de 42 días (debiendo ser 90 días), no se guarda el historial, no tienen fijados umbrales de bloqueo de cuentas

(bloqueo que cuenta tras un número de tres intentos fallidos). 68 Usuario de mayor privilegio en la administración de un sistema operativo.


172


en ellos.

Accesos físicos.

Hay racks de comunicaciones en lugares de

libre acceso a personal ajeno al

Departamento de Telecomunicaciones, con

cables a la vista y armarios sin cerramiento

en su parte posterior; algunos junto a

ventanas de fácil acceso desde el exterior. En

el cuarto piso, el acceso al rack de

comunicaciones se encuentra obstaculizado

por armarios que se encuentran por delante.69

En el Centro de Cómputos hay equipamiento

de LNSE en el área de equipamiento de

terceros, sin ningún tipo de aislamiento para

impedir su manipulación accidental o

indebida por personal externo.

69 Existe un expediente interno 370.969/10 sobre este tema, donde el Departamento de Comunicaciones solicita a la Subgerencia de Sistemas “… correr

los armarios que obstaculizan el acceso al Rack de comunicaciones y colocar una puerta no sólo como aislante del ruido, sino también como

aislamiento térmico…”.


173


Seguridad de la Red.

No existe ningún dispositivo de defensa

perimetral70 entre la red de LNSE y las redes

de:

la UTE IVISA-Casino Buenos Aires

HAPSA

Casino de Buenos Aires.

Si bien la red de la UTE IVISA – Casino de

Buenos Aires interna a LNSE se encuentra

encapsulada dentro de su propia red de área

local virtual (VLAN), el puerto de ingreso a

ésta no posee etiquetado, por lo que, con un

mínimo conocimiento de la red, la UTE

tendría acceso a la totalidad de la red de

LNSE.

No existe una lista de control de acceso

(ACL) que regule el acceso interno a los

servidores del centro de cómputos. Esto

significa que cualquier dispositivo conectado

a la red interna de LNSE tiene acceso a la

70 Estos dispositivos son conocidos comúnmente como “Firewall”. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,

limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.


174


pantalla de autenticación de los servidores

albergados en el centro de cómputos.

La infraestructura de red depende

exclusivamente de un enrutador núcleo para

el cual –no obstante contar con hardware

redundado mediante duplicidad de placas

controladoras–, no se cuenta con plan de

contingencia alguno ante su eventual falla.

Los servicios críticos de comunicaciones se

encuentran a la fecha sin garantía y bajo un

régimen de legítimo abono.

4.1.3.6 Identificar y

asignar costos

La asignación presupuestaria de los recursos

de TI no está imputada a las áreas usuarias de

los servicios de TI, sino a la Gerencia de

Sistemas.

Falta la implementación a nivel de la

organización de un enfoque orientado a la

administración por centros de costos de los

recursos de TI. Dentro de este marco de

trabajo, la Gerencia de Sistemas no presenta

un proceso presupuestario propio de los

programas de inversión de TI, incluyendo los

costos de operar y mantener la infraestructura

Se toma nota y se procederá en

consecuencia.

Al respecto, el nuevo sistema

de gestión al que se hace

referencia en el punto 4.1.1.2,

incluye la asignación

presupuestaria de los recursos

de TI en un enfoque orientado

en la administración por

centros de costos.

La respuesta del


las observaciones

realizadas por esta




175


actual. Este proceso debería permitir su

monitoreo para determinar la contribución

esperada de TI a los objetivos estratégicos

del organismo.

4.1.3.7 Educación y

capacitación de los

usuarios

En el acta de la Comisión Negociadora del

Convenio Colectivo de Trabajo suscripto71 se

establece que “la capacitación está

considerada como un derecho inalienable de

los trabajadores y es obligación del

empleador brindar la misma, con

incorporación de las temáticas y

prestaciones pedagógicas que respondan a

la gestión laboral”. También se contemplan

licencias y franquicias horarias a los

empleados que concurran a capacitarse.

Para temas relativos a la actividad lúdica, el

organismo cuenta con la Escuela de

Formación y Capacitación de Lotería

Nacional S.E.72, la cual propone el Plan

Se comparte la observación.

La respuesta del


las observaciones

realizadas por esta



71 Artículo 45 del Convenio Colectivo de Trabajo de Empresa Nº 54/92 “E”, suscripto con UPCN. 72 Creada por Resolución Nº 47/08-LNSE y cuyas Misiones y Funciones estableció la Resolución Nº 59/08-LNSE.


176


Institucional de Capacitación (PIC) y el Plan

Operativo de Capacitación (POC). En tal

sentido, la Gerencia de Sistemas eleva las

necesidades de capacitación propias que

alimentan tanto al PIC y al POC.


mesa de servicio y los

incidentes

El usuario que recurre a la Mesa de Ayuda se

comunica a través de llamadas telefónicas o

mails. El operador que atiende el reclamo

carga el incidente en un aplicativo

denominado “Gestión de Reclamos y

Servicios” (GRS). Debido a que esta carga

no la realiza el usuario propiamente dicho, no

es seguro que se carguen todos los

incidentes, en especial aquellos que son

menores.

Una vez que el incidente está resuelto, lo

cierra Mesa de Ayuda, sin que esto implique

la conformidad del usuario.

No existe una base de conocimientos con

soluciones estandarizadas. Los

conocimientos están considerados a partir de

la resolución de incidentes históricos que son

consultados en cada caso.

Se tomará en cuenta la

observación para su análisis, y

en su caso, efectuar las

modificaciones a que diera

lugar en el sistema actual.

La respuesta del


las observaciones

realizadas por esta




177


No se utiliza la intranet como reservorio de

“preguntas frecuentes” de modo tal que el

usuario tenga una guía para resolver el

problema sin tener que consultar a la Mesa

de Ayuda.


configuración

No existe un único repositorio de los bienes

tangibles e intangibles de TI.

Los elementos de la configuración de TI se

registran en dos sistemas distintos: el

departamento de Bienes de Uso lo hace en el

módulo homónimo de la aplicación en el

Anexo D y la Gerencia de Sistemas utiliza su

propio sistema: el SASHI.73 Estos dos

sistemas no están integrados y cada uno

cuenta con su propia base de datos. Las

registraciones se hacen individualmente en

cada uno.

Si bien el Departamento de Bienes de Uso

sigue un Manual de Procedimientos

Administrativos para Bienes de Uso,

Lo observado responde a la

necesidad de perseguir

objetivos distintos. En el

sistema de bienes de uso están

registrados todos los bienes de

esta Sociedad, mientras que en

el Sashi sólo los bienes

informáticos, conteniendo

además información más

detallada que la existente en el

sistema de bienes de uso,

necesaria para efectuar la

atención y mantenimientos de

los mismos. Por ejemplo:

especificaciones técnicas,



focalizada en evitar la

doble registración de los

mismos bienes tangibles e

intangibles. Esto evita

inconsistencias y permite

un mejor control. Se

mantienen las

observaciones.

73 SASHI: Sistema de Administración de Software, Hardware e Insumos.


178


aprobado formalmente por Organización y

Métodos y la Gerencia de Sistemas cuenta

con Rutinas de Trabajo aprobadas por la

Gerencia de Sistemas, ambas no se vinculan

entre sí. La información en algunos casos se

encuentra desactualizada y algunos bienes

intangibles no se han registrado.

características, etc.

4.1.3.10 Administración

de problemas

Tal como ocurre en el tratamiento de

incidentes, el usuario que recurre a la Mesa

de Ayuda se comunica a través de llamadas

telefónicas o mails. El operador que atiende

el reclamo carga el incidente en un aplicativo

denominado “Gestión de Reclamos y

Servicios” (GRS). Debido a que esta carga

no la realiza el usuario propiamente dicho, no

es seguro que se carguen todos los incidentes

que puedan derivar en considerarse

problemas.

Falta integración con los procesos de

administración de cambios y de

configuración ya que para éstos se utilizan

otras herramientas que no están vinculadas

(“G.R.S.”, aplicación para la gestión de

Se tomará en cuenta la

observación para su análisis.

La respuesta del


las observaciones

realizadas por esta




179


reclamos y servicios, y el módulo “Bienes de

Uso” del Anexo D).


de Datos

Si bien están correctamente implementados

los procedimientos para el archivo,

almacenamiento y retención de los datos,

acorde a la política de seguridad de la

organización y los requerimientos

regulatorios, producto de la no implantación

de una política de despapelización, hay más

información impresa que lugar para

almacenarla, lo que hace imposible cumplir

con una política de escritorios limpios, por lo

tanto hay información disponible que puede

estar al alcance de usuarios no apropiados.

También se transporta mucha de esta

información físicamente de un sitio a otro –

por ejemplo, desde donde se explotan los

juegos, a la administración central, o entre

distintas sedes–, sin que se hayan

implementado procedimientos de seguridad

aplicables al envío, traslado y recepción.

Se remitirá la observación a la



La respuesta del


las observaciones

realizadas por esta




180



del Ambiente Físico

Centro de Procesamiento de Datos de la

Administración Central.

No hay centro de procesamiento alternativo.

Si bien está contemplado en el proceso de

captura de apuestas un centro alternativo, el

mismo no se encuentra a una distancia

aconsejable. Además no cubre el

procesamiento del resto de los procesos del

organismo. Se observó la presencia de

material inflamable, como cajas de cartón,

cajas de plástico y armarios de madera.

Adicionalmente, falta enmallar cables.

Algunos racks no tienen puerta, se observan

pequeñas roturas en el cielo raso. El Centro

de Procesamiento de Datos no es una sala

cofre.


En la sala donde está el tablero de

electricidad principal del edificio se

encontraron los siguientes objetos

inflamables: puerta de acceso de madera,

cajas de cartón, objetos varios de madera,

cables en el piso que dificultan el acceso al

tablero.

Centro de Procesamiento de

Datos de la Administración

Central

Se solicita aclaración con

respecto a la locación donde se

observó la presencia de

material inflamable, como

cajas de cartón, cajas de

plástico y armarios de madera

para proceder a su eliminación.

Instalación Eléctrica

Se trasladará la observación a

la Gerencia Técnica

(Departamento Electricidad).

Data Center del Casino de

Buenos Aires

Se toma en cuenta la

observación y se procederá en

consecuencia.

Se mantienen las

observaciones (Ver

ANEXO VI del presente

informe).


181


Los proveedores acceden acompañados por

personal del Departamento de Sistemas

Eléctricos sin registrarse en una planilla. No

está señalizado el piso con pintura reflectiva

que conduzca al tablero principal en caso de

corte de suministro eléctrico.

Data Center del Casino de Buenos Aires

LNSE posee un rack de servidores propio

instalado en el centro de cómputos de esta

empresa. En este rack, donde se encuentra

uno de los tres servidores donde se aloja el

sistema Accounting, no posee puerta trasera

dado que la longitud del servidor es mayor

que el ancho del rack.

Por otra parte, el personal de Casino de

Buenos Aires cuenta con la llave de la puerta

delantera, teniendo acceso físico total a los

equipos ubicados en este rack.

Además, se observó la presencia de material

inflamable (cajas de cartón, alfombras y

otros) próximo a las instalaciones.

Data Center de HAPSA

El rack de servidores de LNSE que se

encuentra ubicado en el centro de cómputos


182


de esta empresa y que incluye el servidor con

el Accounting, se encuentra alojado en el

mismo ambiente físico que los racks

propiedad de HAPSA. El rack de

comunicaciones propiedad de LNSE se

encuentra cerrado pero con la llave puesta. El

acceso irrestricto al rack expone al

equipamiento de comunicaciones a ataques

físicos y lógicos, y propensa su riesgo de

accidentes, lo que compromete la

disponibilidad del servicio y la seguridad de

la comunicación74.


de operaciones

Los acuerdos de nivel de servicio y

mantenimiento con proveedores son de

naturaleza informal.

No se comparte la observación.

En los puntos 4.1.3.1

“Definir y administrar los

niveles de servicio” y

4.1.3.2 “Administrar

servicios de terceros” el

organismo admite la falta

de formalización de los

74 Dentro del rack se encuentra un conmutador con su panel de conexiones, donde se encuentran conectados los puestos de trabajo de los agentes

fiscalizadores y el equipamiento de telecomunicaciones que permite la conexión con la oficina central de LNSE.


183


acuerdo de niveles de

servicio, tanto con usuarios

internos como con

externos (proveedores).

La inexistencia de políticas

y procedimientos

formalizados para poder

controlarlos hace que esta

tarea se realice en forma

intuitiva.

Se mantienen las

observaciones.

4.1.4.2 Monitorear y

evaluar el control interno

Existe un marco de trabajo de control interno

con el cual se monitorea en forma continua el

ambiente de control de TI, pero dada la

magnitud de la instalación y los recursos de

la auditoría interna, que son llevadas a cabo

por un único funcionario, los controles son

muy focalizados y no puede abarcar un

programa más completo.

Se trasladará la observación a

la Unidad de Auditoría Interna.

La respuesta del


las observaciones

realizadas por esta



4.1.4.3 Garantizar el Se observaron debilidades en el

cumplimiento de los siguientes marcos

Organización Informática. Por

disposición 93/15 de fecha 4 de

En relación al apartado de

cumplimiento de


184


cumplimiento con

requerimientos externos

normativos:

Resolución 48 de SIGEN "Normas

de Control Interno para Tecnología

de la Información para el Sector

Público Nacional”.

Se detectaron los siguientes

incumplimientos:

Organización Informática. La

Subgerencia de Seguridad depende

de la Gerencia de Sistemas. Esto no

permite garantizar una adecuada

separación de funciones que fomente

el control por oposición.

Plan Estratégico de TI. La Gerencia

de Sistemas no elaboró ni

implementó un plan informático

estratégico, que esté alineado con el

plan estratégico y el presupuesto de

la organización.

Arquitectura de la Información. No

hay un modelo definido de

arquitectura de la información que

abarque a la organización integra.

Cumplimiento de Regulaciones

agosto de 2015, se formalizó la









Plan Estratégico de TI. Atento

los cambios de autoridades de

público conocimiento en esta

Sociedad del Estado, se

procederá a revisar, y de ser

necesario redefinir, las metas y

objetivos estratégicos, a partir

de los cuales desarrollar una

planificación estratégica para

su concreción.

Arquitectura de la Información

El modelo de arquitectura de la

información será el definido

por la adquisición el sistema

mencionado en el punto

regulaciones externas que

exige la Resolución 48/05

de SIGEN, la observación

hace referencia a tomar los

recaudos necesarios por

parte de LNSE de los

derechos de propiedad

intelectual de los


que se lleven a cabo en la

organización.

Se mantienen las

observaciones.

La creación del

“Departamento

Coordinación de Proyecto”

dentro de la Gerencia de

Sistemas y la


Subgerencia de Seguridad

de esta última y su actual

dependencia del

Directorio, con la

denominación de Unidad


185


Externas. No se garantiza que la

propiedad intelectual del software

sea de LNSE para los desarrollos

internos.

Administración de Proyectos. No se

dispone de una metodología de

administración de proyectos

aplicable a todos los proyectos

informáticos abordados que

contemple aspectos tales como:

objetivos, alcance, asignación de

responsabilidades y facultades a los

miembros del grupo de proyecto,

estudios de factibilidad, análisis de

los riesgos, presupuesto de los

recursos a utilizar, participación

formal de las áreas involucradas y de

la unidad de auditoría interna.

Desarrollo, Mantenimiento o

Adquisición de Software de

Aplicación. No existe un

procedimiento para solicitudes de

emergencia, incluyendo la

autorización del responsable de la

4.1.1.2.

Cumplimiento e Regulaciones

Externas. Se solicita aclaración

al respecto.

Administración de Proyectos.

Se agregó un nuevo

Departamento en la estructura

funcional vigente de la

Gerencia de Sistemas que

contempla el alcance de la

presente observación.

Desarrollo, Mantenimiento o

Adquisición de Software de

Aplicación. No se comparte la

observación. Existe un plan de

trabajo donde se planifica la

carga de trabajo del sector

desarrollo debidamente

documentado y aprobado. Con

relación a la adquisición de

software se realizan de acuerdo

a lo establecido en el Manual

de Compras de esta Sociedad,

respetando además los

de “Gestión de Seguridad

de la Información”, por

tratarse de hechos

posteriores al período

auditado serán evaluados

en una próxima auditoría.


186


unidad de TI, el registro y monitoreo

de las tareas realizadas

La unidad de auditoría interna no

participa en el proceso de desarrollo

de software.

Monitoreo de los Procesos. Faltan

algunos indicadores de desempeño

para monitorear la gestión de las

actividades de TI, tales como temas

presupuestarios y de administración

de proyectos.

Ley 26.653 “Accesibilidad de la

Información de las Páginas Web". El

diseño de la página Web de la

organización no permite a las

personas con discapacidad visual

acceder a la información que allí se

brinda. No se siguen las normas y

requisitos establecidos por la ley. No

se garantiza a estas personas la

igualdad de trato.-

Estándares Tecnológicos para

la Administración Pública. La

Unidad de Auditoría Interna no

participa en los desarrollos de

software por decisión propia.

Ley 26.653 “Accesibilidad de

la Información de las Páginas

Web” Se tomará en cuenta la

presente observación.


187


4.1.4.4 Proporcionar

gobierno de TI

Falta establecer el gobierno de TI con un

entorno de control que incluya marcos de

trabajo definidos y formalizados para

asegurar:

El tratamiento uniforme en la

administración de la totalidad de los

proyectos de TI.

El seguimiento de la gestión,

mediante un programa de calidad

que establezca indicadores a partir de

metas y objetivos definidos

previamente, de modo de medir la

contribución de TI a los objetivos

estratégicos del Organismo y

posibilitar la rendición de cuentas.

La administración de costos, a partir

de la cual sea posible identificar los

cargos asociados a cada servicio, con

vistas a su monitoreo y a una

correcta administración de los

programas de inversión.

Un esquema de monitoreo que

permita medir el desempeño y la

correcta asignación de los recursos,

Si bien la Gerencia de Sistemas

viene implementado

mediciones, métodos de

evaluación y técnicas, se

entiende que en la medida que

se cuente con las herramientas

y recursos necesarios se podrá

avanzar para establecer un

entorno de control que incluya

marcos de trabajo definidos y

organizados. Se toma en cuenta

la observación y, en la medida

de lo posible, se procederá en

consecuencia.

Se reitera que por disposición

93/15 de fecha 4 de agosto de

2015, se formalizó la








La respuesta del


las observaciones

realizadas por esta



En relación a la


Subgerencia de Seguridad

de la Gerencia de Sistemas

y su actual dependencia

del Directorio, con la

denominación de Unidad

de “Gestión de Seguridad

de la Información”, por

tratarse de hechos

posteriores al período

auditado serán evaluados

en una próxima auditoría.


188


como así también si los objetivos

perseguidos son alcanzados o no,

para permitir la toma de acciones

correctivas.

La administración de riesgos, que

permita reportar aquellos

relacionados con TI y su impacto en

la posición de riesgos de la

organización.

Faltan definir posiciones funcionales claves

como: administración de gestión de

aseguramiento de la calidad, administración

de Riesgos y administración de Proyectos

La ubicación jerárquica actual de la

Subgerencia de Seguridad no es apropiada ya

que no garantiza su independencia funcional

y operativa de la Gerencia de Sistemas de

Información y del resto de las áreas usuarias.

Esto limita el alcance, su capacidad operativa




189


4.2. CONTROL

INFORMÁTICO DE

LNSE SOBRE LAS

MEEJA

4.2.1.

INFRAESTRUCTURA

4.2.1.1.

Casino de Buenos Aires posee acceso físico y

lógico a los discos en los que LNSE

almacena información de fiscalización de

MEEJA, por lo que potencialmente podría

tener acceso de escritura y borrado a las

tablas de las bases de datos.

La infraestructura informática de

fiscalización y control de MEEJA era en un

principio propiedad del concesionario, pero

en los considerandos de la Res. LNSE 145/12

se previó su cesión a LNSE para que esta

pudiera ejercer los controles que crea

convenientes sin la necesidad de solicitar

información a los concesionarios. En el caso

de Casino de Buenos Aires, la cesión se llevó

a cabo en el año 2014 mediante un Convenio

en el que se detalla el equipamiento cedido a

LNSE. Sin embargo, la lista omite una de las

matrices de discos del sistema, que es la que

se utiliza para almacenar una copia de los

servidores virtuales que integran el

Accounting. Al cierre de las tareas de campo,

la matriz de discos no había sido cedida y

Casino de Buenos Aires almacenaba en ella

Actualmente se está encarando

un proceso de migración a una

nueva versión de la aplicación

mencionada, que en principio

permitiría subsanar la situación

observada.

La respuesta del


las observaciones

realizadas por esta




190


información de uso exclusivo, además de

poder acceder físicamente a los discos. La

infraestructura donde se almacena el sistema

debe ser propiedad y de uso exclusivo de

LNSE para asegurar que los datos sean

administrados por la aplicación Accounting o

por personal de LNSE, exclusivamente. Con

la actual configuración, se pone en riesgo la

integridad de los datos y la disponibilidad del

sistema.

4.2.1.2. Los agentes de LNSE que llevan a cabo las

tareas de fiscalización en las salas de juego

se conectan al Accounting mediante una

conexión externa única, por lo que la

realización de sus tareas se encuentra

vulnerable a caídas en el servicio de

transmisión de datos.

Para desarrollar las tareas de fiscalización de

las MEEJA, el personal de LNSE ubicado en

Casino de Buenos Aires y HAPSA accede a

los servicios necesarios (correo electrónico,

Telefonía VoIP, servidor de archivos, y el

acceso al propio Accounting) por medio de

una conexión punto a punto que no se

A la fecha se encuentra

adjudicada la licitación por la

contratación de un enlace punto

a punto con Casino Buenos

Aires, para actuar como

redundancia del mencionado en

la observación, pendiente de

instalación.

Hasta este punto y con relación

a las recomendaciones

referentes a TI, se toma debida

nota y oportunamente serán

evaluadas y de corresponder, se

tomarán las medidas tendientes

La respuesta del


las observaciones

realizadas por esta




191


encuentra replicada. Dicha conexión debería

contar con redundancia a los efectos de poder

garantizar la continuidad del servicio. Dada

la inexistencia de un plan de contingencias,

una caída en el servicio de transmisión de

datos dificultaría las tareas de fiscalización.

y necesarias para su aplicación.


4.2.2.1.

Los Agentes Fiscalizadores de LNSE no

cuentan con herramientas adecuadas para el

control de conectividad y transmisión de las

MEEJA.

LNSE dispone de dos herramientas de

control de conectividad y transmisión: i) un

tablero de monitoreo donde, por medio de un

código de colores, se verifica el estado de la

MEEJA, y ii) un procedimiento

automatizado que implica controlar una vez

por hora que las MEEJA hayan respondido a

la solicitud de envío de contadores. No

obstante, no existe ningún alerta automática

o alarma por parte del sistema que permita

detectar en tiempo real una falla de

transmisión, por lo que la eficacia del

monitoreo depende de la proactividad de los

Se desprende de la observación

que el mapa interactivo que

muestra el estado de las

maquinas posee indicadores

clasificados por colores de

estado, cabe señalar que los

colores utilizados son similares

a los de un semáforo (rojo,

amarillo y verde) estos reflejan

diversos eventos tales como

puerta abierta, falla de

comunicación (rojo), pago de

premios, créditos cancelados,

tarjeta de auditoria insertada

(amarillo), puerta cerrada,

maquina on line, etc (verde).

Cabe aclarar que existen más

La respuesta presentada

por LNSE no brinda una

explicación que se

corresponda con la

observación indicada por

AGN. El auditado describe

un método de monitoreo

que no resulta suficiente

para mitigar la falta de

control continuo sobre el

tablero que indica el estado

de las MEEJA. La

observación apunta a la

falta de alarmas que

indiquen de forma clara el

inicio de un incidente, y a

la falta de registro sobre


192


Agentes Fiscalizadores. El único indicador

“on-line” es el mapa de control de MEEJA

proyectado por sala de juego en una pantalla

LCD en oficinas de LNSE (en HAPSA, en

Casino de Buenos Aires y en el

Departamento Operativo de MEEJA /

Casinos en Casa Central), pero no cuenta con

alarmas, ni brinda detalle de los eventos. En

dicho sistema de control varían los colores de

las MEEJA según su estado de conectividad

(verde, amarillo y rojo). En la verificación de

campo realizada se observó que personal de

LNSE no toma acciones ante el cambio de

estado de una MEEJA en el mapa de control.

Tampoco se obtuvo evidencia sobre la

existencia de un archivo histórico de cortes

de conexión, incidentes que quedan

registrados sólo cuando el Concesionario los

informa a LNSE mediante Actas de Servicio

Técnico. Los Agentes Fiscalizadores

deberían contar con herramientas de control

temprana de MEEJA con problemas de

conectividad. La falta de detención temprana

dificulta el control sobre el comportamiento

herramientas que las detalladas

en la Observación 4.2.2.1, ya

que el sistema permite hacer

consultas a demanda de los

eventos que se producen en la

máquina (consola Maintenance

Workbook) también cuenta con

un reporte (Zero Meter) que

permite individualizar

terminales que posean idéntico

contador durante una jornada

(6 a 6).

Es dable destacar que

diariamente se efectúa, durante

los tres turnos, el proceso de

fiscalización fallas de

transmisión / comunicación a

fin de determinar el estado de

la transmisión de datos de los

contadores horarios. Esto

permite detectar, en caso de

existir, las fallas que pudieran

producirse a fin de notificar al

área técnica del

qué agente de LNSE debió

encargarse de su

resolución.

Se mantiene la

observación.


193


de las MEEJA y su productividad.

Concesionario/Agente

Operador de la novedad y su

puesta fuera de servicio para la

reparación. Respecto de las

evidencias sobre las fallas de

comunicación se hace saber

que diariamente se confecciona

un acta donde quedan

reflejadas las novedades.

Independientemente de ello,

cuando la MEEJA se reconecta

informa su estado de

contadores y los eventos

quedan almacenados en la

misma, dependiendo al

cantidad de eventos según el

modelo de MEEJA,

conservando cada terminal la

información almacenada.

Recomendación 5.2.2.1:

Ahora bien, respecto de la

recomendación efectuada se

encuentra en trámite a través

del expediente 375.670/15 del


194


registro de esta Sociedad, la

elaboración de una plataforma

digital que complemente al

Sistema de monitoreo y control

on line. Dentro de ese proyecto

podrá incluirse el desarrollo de

una herramienta de alarmas

tempranas.

4.2.2.2. LNSE no ha controlado los contadores de

313 MEEJA de Casino de Buenos Aires

durante 2014, lo que incluye a la totalidad

de las ruletas electrónicas.

El procedimiento de “Fiscalización Diario de

Contadores” de MEEJA que figura en el

“Manual de Máquinas Tragamonedas”

(compendio de procedimientos de

fiscalización de MEEJA de LNSE),

contempla la inserción en éstas de una tarjeta

denominada “Audit Card”. Mediante dicho

evento se registran en el servidor los

contadores actuales de la MEEJA, lo que

permite que LNSE coteje los valores

Sin comentarios a las

observaciones.


Se efectuará un seguimiento,

análisis y revisión del plazo

establecido para el

procedimiento fiscalización

diaria audit test a fin que se

complete la totalidad del

parque de máquinas.

La respuesta del


las observaciones

realizadas por esta




195


transferidos al Accounting con los que se

encuentran visibles en la máquina. Dicho

procedimiento debe efectuarse de modo tal

que la totalidad del parque de MEEJA

habilitadas sea verificado

cuatrimestralmente. De la información

provista por LNSE se desprende que de 1733

MEEJA activas en Casino de Buenos Aires,

313 no fueron auditadas durante todo 2014.

Se destaca que estas incluyen a la totalidad

de las ruletas electrónicas, que ascienden a

157. No obstante, se aclara que del

procedimiento de control de contadores

realizado sobre una muestra de MEEJA, no

surge que el porcentaje de devolución en

concepto de premios en estas máquinas

difiera de lo establecido normativamente.

4.2.2.3. Más de la mitad de las MEEJA en HAPSA

carecen de un sistema de energía

ininterrumpida. Un corte del suministro de

energía eléctrica pondría en riesgo la

información de la jugada en curso.

La Res. LNSE 145/12 estipula que cada

MEEJA debe poseer un sistema de energía

En relación a lo mencionado

por la Auditoria General de la

Nación se transcribe parte de la

observación en

cuestión…“cada MEEJA debe

poseer un sistema de energía

ininterrumpida – o UPS - con

Se acepta lo informado por

el auditado con respecto al

artículo de la Resolución

N° 145/2012,

corrigiéndose la referencia

en el texto de la

observación.


196


ininterrumpida –o UPS– con una duración

mínima de 15 minutos (Cap. IV, Art. 1). Para

cumplir con esta exigencia, tanto HAPSA

como Casino de Buenos Aires procedieron a

instalar fuentes de energía ininterrumpida.

Del relevamiento realizado sobre una

muestra representativa de la población, surge

con un 95% de confianza que entre el 51% y

el 73% de las MEEJA en HAPSA carecen de

un sistema de energía ininterrumpida

disponible (en Casino de Buenos Aires, la

proporción de MEEJA con esta falencia

asciende al 2% de la muestra). La carencia

obedece a diversas razones que van desde la

inexistencia de la UPS hasta la presencia de

la UPS desconectada o fuera de servicio. La

obligación de contar con UPS debería ser

controlada por LNSE regularmente mediante

un protocolo que defina las acciones a seguir

ante la ausencia o la verificación del

malfuncionamiento del sistema. Su carencia

implica el riesgo de que se pierda la

información de la jugada que se esté

cursando en ocasión de un eventual corte del

una duración mínima de 15

minutos (Cap IV, Art.1). Al

respecto cabe señalar que el

artículo que aplica al

comentario efectuado es el

Art.2 apartado 2.8 del Capítulo

IV.

Respecto del relevamiento

efectuado sobre la muestra

representativa del parque de

máquinas de las dos

explotaciones, se entiende

conveniente que a fin de

analizar el resultado de los

porcentajes expresados en los

mismos, debería cuantificarse

el total de máquinas

consideradas para la muestra.

Analizado el fondo de la

cuestión, se entiende que

podría propiciarse la

adecuación de la normativa y

establecer como un requisito,

dentro de los procedimientos

Se mantiene la

observación en lo referido

a la falta de UPS o fallas

de las mismas en un alto

porcentaje de un estrato de

la población.

En cuanto a la aclaración

solicitada por el auditado,

el programa de muestreo

se detalla en el apartado

2.3 “Procedimientos de

auditoría”, que redunda en

un tamaño de muestra de

119 MEEJAs.


197


suministro de energía eléctrica. para la aprobación de las

MEEJA, la instalación de una

fuente ininterrumpida de

energía por un lapso mínimo de

15 minutos, e incorporar dentro

del procedimiento de ABM la

verificación del correcto

funcionamiento del sistema de

energía ininterrumpida.

En un mismo orden de ideas se

aclara que en el caso que las

MEEJAS se queden sin energía

guardan el estado de la última

partida en juego a fin de

restaurarla al arrancarse o bien

cancelarla y devolver al

jugador los créditos que este

poseía. Adicionalmente la

maquina debe preservar todos

los últimos eventos por sí

misma. Estas validaciones son

parte de los procesos de testeo

de los dispositivos que efectúan

los laboratorios de juego.


198


Independientemente se informa

que el Hipódromo y los buques

casino cuentan

(usina/generadores), que

permiten la continuidad de la

actividad de las salas.

Recomendación 5.2.2.3

Se propiciará la modificación

del procedimiento de Alta,

Baja y Movimiento de las

M.E.E.J.A. a fin de incluir en

el mismo la verificación de la

presencia y funcionamiento del

dispositivo de energía de

emergencia.

4.2.2.4. Las etiquetas que LNSE coloca en las

MEEJA pierden con el tiempo su adherencia

y se despegan, lo que limita su utilidad como

dispositivo para controlar que no se hayan

producido accesos indebidos al software.

El software y los contadores de las MEEJA

pueden ser modificados de diversas maneras,

una de ellas mediante los puertos situados en

las MEEJA. Los agentes fiscalizadores de

Con relación a la observación

mencionada se hace saber que

el procedimiento de

“etiquetado”, consiste en

identificar con una etiqueta

holográfica con rastro de

remoción los dispositivos de

almacenamiento que contengan

programas de juego / tablas de

La respuesta del


las observaciones

realizadas por esta


mantienen las mismas. Se

recomienda mejorar la

calidad de las etiquetas.


199


LNSE colocan una etiqueta autoadhesiva

pre-impresa, nominada y con rastro de

remoción en los puertos de acceso de un

conjunto de componentes, con el fin de

detectar cualquier ingreso no autorizado que

pueda dar lugar a la modificación del

hardware o del software. Sin embargo, se ha

constatado que las etiquetas se despegan por

el paso del tiempo. Durante el procedimiento

de auditoria se observaron etiquetas que no

estaban adheridas y que fueron reemplazadas

por el agente fiscalizador, labrándose en el

momento el acta de cambio correspondiente,

pero sin controles adicionales orientados a

comprobar que los componentes no fueron

alterados.

premios. Dicho procedimiento

se lleva a cabo de acuerdo a lo

establecido. Asimismo por

analogía se aplica el mismo

procedimiento cuando por el

desgaste del material adherente

se deteriora, por el paso del

tiempo, o por el calor emanado

por la MEEJA la etiqueta

identificatoria original. Dicho

proceso incluye el reemplazo

del elemento deteriorado,

efectuando una fiscalización

que consiste en verificar entre

otras cosas, juego,

denominación, código

identificatorio de las memorias,

etc. a fin de corroborar que el

estado de la maquina no haya

sido modificado.

Cabe hacer mención que

mensualmente el Centro

Superior para el Procesamiento

de la Información efectúa una


200


inspección funcional de las

MEEJA en la que verifica,

numero de máquina, marca,

serie, modelo, juego,

devolución teórica,

denominación etc. También

efectúa otra auditoria que

consiste en el firmado digital

de las memorias de juego.

Es importante destacar que

para el caso que se produjera

una falla en el dispositivo de

almacenamiento y deba ser

reemplazado, es necesario

efectuar un borrado general de

la maquina (master reset).

Dicha situación conlleva el

labrado de un acta de

falla/avería. Este suceso queda

registrado en el sistema de

monitoreo y control on line

debido a que el borrado general

de los contadores de la terminal

en cuestión vuelven a cero, con


201


motivo del borrado general

mencionado.


Al respecto, se hace saber que

dentro del procedimiento de

“Comprobación de Inventario”

se encuentra establecido dentro

de los ítems a verificar la

comprobación de la etiqueta

identificatoria. No obstante

ello, se propiciará la

readecuación del

procedimiento a fin de dejar

explicita referencia al proceso

de “re etiquetado en caso de

deterioro”.

4.2.2.5. Los controles que realiza LNSE no son

suficientes para validar la correcta

registración en el Accounting de los eventos

generados en las MEEJA.

El “Procedimiento de Fiscalización Diario de

Contadores” de MEEJA que figura en el

“Manual de Máquinas Tragamonedas”

(compendio de procedimientos de

En primer lugar cabe hacer

mención que el procedimiento

de fiscalización diaria de

contadores “Audit Test” se

complementa con el

procedimiento que se lleva a

cabo a través de Alta Baja y

Movimientos. En el último

El procedimiento de

fiscalización en cuestión

sólo se realiza cuando se

presenta un evento de Alta,

Baja y Movimiento

solicitado por el

concesionario o agente

operador. En cuanto a las


202


fiscalización de de LNSE), contempla la

inserción en las MEEJA de una tarjeta

denominada “Audit Card”, de uso exclusivo

para los agentes fiscalizadores de LNSE y los

técnicos de los concesionarios. La inserción

de la tarjeta genera un evento de

comunicación automática conforme al cual

los contadores que en ese momento figuran

en la MEEJA, se replican en el Accounting.

Esto permite a LNSE cotejar que los valores

transferidos al Accounting sean idénticos a

los que se encuentran visibles en la máquina

en ese momento. LNSE se limita así a un

control de naturaleza administrativa que, si

bien se ajusta al cumplimiento de lo

establecido en la Resolución LNSE 145/12,

no satisface los requisitos de un control de

naturaleza funcional. En otras palabras, el

procedimiento de fiscalización de contadores

mediante el uso de la Audit Card no resulta

suficiente para corroborar la correcta

transferencia e imputación en el Accounting

de la información generada por dichas

máquinas, cuando el origen del evento es

procedimiento mencionado, se

fiscaliza, a través de pruebas de

juegos, el correcto incremento

de los contadores de las

MEEJAS, como así también el

reflejo de los mismos en el

sistema. Esto queda asentado

en Actas. Asimismo, CeSPI

efectúa mensualmente, y sobre

una porción del parque de

máquinas, un control que

incluye la verificación de la

denominación de apuesta,

denominación contable y

pruebas de juego donde queda

asentado el inicio de la prueba,

el medio de apuesta utilizado

(billete, ticket) monto

ingresado, cantidad de crédito

ingresado, contadores previos y

posteriores a la apuesta. El ente

contrasta dichos datos con los

reflejados en el sistema.

Recomendación 5.2.2.5

pruebas realizadas por el

CeSPI, véase observación

Nº 4.2.2.8. En

consecuencia, se mantiene

la observación.


203


distinto al mencionado (como ocurre frente a

la inserción o extracción de billetes o tickets

por parte de un jugador). En consecuencia, el

procedimiento descripto no resulta suficiente

para controlar que el dinero que ingresa y

egresa a la MEEJA o su conversión a

créditos, se refleje sin alteraciones en el

Accounting. La carencia de controles

sustantivos impide a LNSE constatar que las

máquinas tragamonedas mantengan

inalterada la parametrización del software de

acuerdo a la normativa.

Se desprende de la

recomendación efectuada por el

Auditor que no ha considerado

en la evaluación los aspectos

mencionados precedentemente.

Independientemente, al

momento de efectuarse el

análisis y actualización de los

procedimientos de

fiscalización, se evaluará la

conveniencia de aumentar la

frecuencia de pruebas

funcionales a lo largo de la

vida útil de la MEEJA, por

parte de los Agentes destacados

en Sala.

4.2.2.6. No existe un procedimiento formal para

verificar que cada una de las MEEJA cumpla

con la obligación de entregar el 90% de lo

apostado en premios.

La Res. LNSE 145/12 (Cap. 1, art. 1º)

establece que el programa de premios de las

MEEJA debe estar calculado de modo que

devuelva a los jugadores un porcentaje no

Con relación a la devolución

teórica de las MEEJA, cabe

hacer algunas aclaraciones al

respecto. En primer lugar la

normativa vigente establece

que la devolución teórica estará

calculada de modo que en una

serie teórica de jugadas, que

La observación apunta a la

necesidad de contar con un

procedimiento que permita

verificar el cumplimiento

real (no teórico), para cada

MEEJA de modo

individual (no del

conjunto), del porcentaje


204


inferior al noventa por ciento (90%) de las

apuestas efectuadas. Esto se realiza mediante

la configuración de la tabla de premios para

las distintas combinaciones ganadoras, en el

software de las MEEJA. Si bien los datos que

permiten calcular el porcentaje de devolución

de cada una de las MEEJA se encuentra

disponible en el Accounting, LNSE no tiene

formalizado ningún tipo de control de rutina

sobre estos datos, considerando las MEEJA

en forma individual. Un procedimiento de

revisión adecuado de contadores permitiría

saber si cada máquina cumple con la

normativa vigente en cuanto a devolución en

premios. Aun si se cumpliera con el

porcentaje normado en forma global

(considerando el conjunto de MEEJA), la

falta de este procedimiento para cada una de

ellas implica la posibilidad de que algunas

MEEJA devuelvan menos que lo establecido,

produciéndose así un perjuicio para los

apostadores que jugaron en ellas.

comprenda la totalidad de las

combinaciones posibles

previstas devuelva un

porcentaje no inferior al 90%

de las apuestas efectuadas.

Cuando esto no sea posible por

las características del juego,

para el cálculo del porcentaje

de retorno al público será de

aplicación la estrategia óptima

de juego para el mismo. Este

porcentaje mínimo de premios

se refiere al porcentaje mínimo

que devolverá la máquina para

la máxima apuesta. La Tabla de

Pagos (PAR Sheet) de un juego

de azar detalla todas las

combinaciones ganadoras y los

pagos posibles del mismo.

Estas combinaciones y pagos

permiten calcular el Porcentaje

de Retorno al Jugador (RTP%),

un cálculo teórico que indica

cuánto dinero será devuelto al

de devolución estipulado.

La respuesta del


las observaciones

realizadas por esta




205


jugador en forma de premios,

durante la vida operativa del

juego.

A su vez, esto permite calcular

el Porcentaje de Retención

Teórico, que representa el

dinero que quedará retenido en

la máquina, en forma de

ganancia para la sala.

Porcentaje de Retención =

100% - RTP%

Ahora bien, respecto de los

procedimientos de fiscalización

se hace hacer que toda vez que

se produce un ABM en la sala,

se efectúa por personal

destacado in situ la verificación

de este porcentaje de

devolución teórico, se

encuentre por encima del

mínimo establecido.

En concordancia, y dentro de

las tareas que efectúa el CESPI

en sus auditorías externas, el


206


ente verifica los porcentajes de

devolución mediante la

inspección de las firmas

digitales. También, a través de

inspecciones funcionales,

verifica sus tablas de pago

correspondientes.

Corresponde aclararse que para

cada tipo de juego instalado

corresponde una tabla de

premios con

características/matemáticas

particulares propias de cada

software, que al cumplir los

ciclos de jugadas tiende a

unificar los porcentajes teóricos

de las maquinas con los reales,

siempre teniendo en cuenta

también el factor del azar.

Por ultimo cabe destacar que

desde el inicio de la actividad

de las MEEJA, se ha verificado

diariamente que el porcentaje

de devolución real promedio de


207


las salas (beneficio / apuestas)

supera holgadamente el

porcentaje teórico establecido

para las mismas.


Se incluirá en el

procedimiento de cálculo de

beneficio diario la fiscalización

de la devolución real promedio

de la Sala que como ya se ha

mencionado se encuentra por

encima de lo establecido por la

normativa vigente. Se analizara

el diseño de un procedimiento

de fiscalización periódico de

las MEEJA referido al

porcentaje de devolución real,

el que será utilizado para

analizar, para los casos que

correspondan, una fiscalización

específica de las variables que

hacen a este porcentaje de

devolución (tiempo, jugadas,

porcentaje de devolución


208


teórica, etc.), Se entendería

que dicho procedimiento

tendría un resultado que a

prima facie solo podría ser

utilizado como un elemento

más de análisis. Pues de la

misma manera que el

porcentaje podría llegar a ser

menor en algún momento

puntual, también podría ser

mayor al 100 %, sin que ello

implique que esto asegure un

mal funcionamiento de la

terminal, dado que también

siempre está presente en el

resultado del juego el azar.

Para finalizar, es importante

señalar que la auditoría externa

verifica los porcentajes de

devolución teórica mediante la

inspección de las firmas

digitales y sus tablas de pago

correspondientes y en las

inspecciones funcionales.


209


4.2.2.7. El procedimiento de alta de MEEJA no

contempla una instancia de verificación

técnica interna de LNSE, previa a su

instalación en sala de juegos.

El procedimiento de alta de MEEJA

establecido por LNSE indica que cada vez

que el Concesionario requiera la

incorporación de una MEEJA en la sala de

juegos, debe entregar a LNSE la solicitud de

alta junto a la documentación que avale la

certificación de la máquina y sus

componentes otorgada por GLI. Las MEEJA

que son dadas de alta pasan por un proceso

de fiscalización administrativa por el cual se

analiza la documentación y las

certificaciones entregadas a LNSE por el

Concesionario, entre las que se encuentra el

protocolo de pruebas emitido por GLI. LNSE

no cuenta con circuito de homologación

técnica o control de calidad propios tendiente

a verificar que el funcionamiento de las

MEEJA no difiera de aquel que se ha

certificado.

Con relación a los certificados

de laboratorios, la normativa

vigente no establece que estos

sean provistos únicamente por

el laboratorio GLI, dado que

estos pueden corresponder a

distintos laboratorios de

prestigio. El Concesionario ha

presentado ante LNSE cuenta

con copias de los certificados

de por lo menos tres distintas

empresas de testeo de

dispositivos de juegos de azar

como BMM, Pontificia

Universidad Católica del Perú,

GLI y otros.

Lotería a través del Convenio

Suscripto con la UNLP, y

llevado a cabo por el Centro

Superior para el Procesamiento

de la Información efectúa una

auditoria para verificar que los

dispositivos instalados en las

MEEJA, se encuentren con

La observación se orienta a

señalar que LNSE debe

contrastar las

certificaciones

presentadas, a partir de

servicios propios o de

terceros. Se mantiene la

observación.


210


certificaciones vigentes

(comprobación de firma digital

del software).


Para implementar un proceso

de Homologación propio de

esta LNSE se entiende que

debería efectuarse una

readecuación de la normativa,

atento que la reglamentación

actual no lo exige. Respecto de

la implementación de un

procedimiento de

comprobación del software a

través de las firmas digitales

(SHA-1, MD5 etc) previo a la

autorización de puesta de

funcionamiento de las MEEJA,

debería evaluarse, en conjunto,

la oportunidad, el mérito y la

conveniencia de la adquisición

de los dispositivos y/o

elementos técnicos necesarios y

la capacitación del personal


211


para el desarrollo propio de la

tarea.

4.2.2.8. Los servicios relacionados con las MEEJA

que la Universidad Nacional de la Plata

brinda a LNSE, no satisfacen el principio de

control por oposición, por lo que se pone en

riesgo la rigurosidad de los controles o

certificaciones realizadas.

Durante las tareas de campo se ha constatado

que LNSE y la Universidad Nacional de La

Plata (UNLP) celebraron un convenio

conforme al cual ambas partes favorecerán la

concertación de programas de cooperación

para la ejecución conjunta de proyectos de

investigación, docencia y/o extensión en

áreas de mutuo interés. Para ello prevé la

firma de convenios específicos desarrollados

sobre la base de Planes Operativos definidos

por LNSE. En ese marco, el primer convenio

específico establece que la UNLP realizará

una auditoría de la administración de

sistemas de control y fiscalización de

máquinas tragamonedas y/o cualquier otra

actividad lúdica que sea requerida por LNSE.

Respecto a la observación

efectuada por la AGN en este

punto y a la recomendación, se

informa que se seguirán

arbitrando los medios

necesarios para que los

controles de Auditoría y

Fiscalización que se vienen

realizando y se continuarán

prestando de manera objetiva

sin vulnerar el principio de

control que lleva adelante

Lotería Nacional S.E.

La respuesta del


las observaciones

realizadas por esta




212


Otra parte del mismo convenio estipula que

la UNLP proveerá un servicio de consultoría

sobre los procedimientos, documentación y

acciones que involucre a las redes de

comunicación, sistemas de control,

dispositivos de juegos, seguridad de la

información y marco regulatorio asociado.

Estas actividades realizadas simultáneamente

dentro de la misma organización entran en

colisión con el principio del control por

oposición de intereses. Cabe destacar que la

UNLP también actúa como certificadora

homologada por GLI: cuando el

concesionario solicita un alta de MEEJA,

entrega a LNSE una certificación de dicha

compañía (véase al respecto la observación

anterior). La UNLP brinda así un servicio de

auditoría de máquinas sobre las que también

emite certificaciones, constituyendo otra

situación en la que se vulnera el principio de

control por oposición de intereses.

4.2.3. OTRAS

4.2.3.1.

Resulta ambigua la determinación del

porcentaje de devolución en concepto de

premios que establece la normativa.

Sin comentarios a la

observación.


La respuesta del


las observaciones


213


La Res. LNSE 145/12 (Cap. 1, art. 1º)

establece que el programa de premios de las

MEEJA debe estar calculado de modo que

devuelva a los jugadores un porcentaje no

inferior al noventa por ciento (90%) de las

apuestas efectuadas. Esto se realiza mediante

la configuración de la tabla de premios para

las distintas combinaciones ganadoras, en el

software de las MEEJA. Pero más adelante la

normativa agrega: “Cuando esto no sea

posible por las características del juego,

para el cálculo del porcentaje de retorno al

público será de aplicación la estrategia

óptima de juego para el mismo. Este

porcentaje mínimo de premios se refiere al

porcentaje mínimo que devolverá la máquina

para la máxima apuesta que permita”. Dado

que las MEEJA cuentan necesariamente con

un software que contiene una tabla de

premios, la sola parametrización de dichas

tablas permitiría ajustar el porcentaje de

devolución en concepto de premios a aquel

que la normativa estipule. Por lo tanto, la

frase citada resulta innecesaria y

Se entiende que debería

proponerse una

modificación/aclaración a la

normativa a fin de otorgar

mayor precisión al concepto de

devolución respecto de las

máquinas de juegos que puedan

ser afectadas por la destreza del

jugador.

realizadas por esta




214


contradictoria, restándole precisión a un

artículo relevante en materia de fiscalización.

4.2.3.2. LNSE cuenta con un registro de

autoexcluidos, pero no realiza ni exige

ningún control informático orientado a que

los concesionarios impidan el acceso a las

salas de juego de las personas autoexcluidas,

lo que atenta contra la utilidad de dicho

registro.

La ludopatía consiste en una alteración

progresiva del comportamiento, que conduce

a un individuo a ser incapaz de resistir los

impulsos de jugar, desconociendo cualquier

consecuencia negativa personal, social y/o

económica. En el marco de la administración

y regulación de los juegos de azar en el

ámbito de la Ciudad Autónoma de Buenos

Aires y conforme lo dispuesto por el art. 42°

de la Constitución Nacional, LNSE aprueba e

implementa mediante la Res. N° 42/14 el

“Nuevo Programa de Juego Responsable”,

que dispone la confección por parte del

jugador compulsivo de un “formulario de

autoexclusión”. Sin embargo, LNSE se limita


observación.


Se entiende que en el marco de

la Política de Juego

Responsable de LNSE, debería

analizarse la metodología del

control a fin de

establecer/determinar un

procedimiento eficaz respecto a

la detección del Jugador

Autoexcluido. Para ello se

considera conveniente darle

intervención a las áreas

competentes en esta materia.

La respuesta del


las observaciones

realizadas por esta




215


a informar a los concesionarios los datos de

las personas que han completado dicho

formulario, y no realiza ninguna tarea de

control sobre su cumplimiento, ni le exige a

los concesionarios la implementación de

herramientas informáticas que permitan

detectar eficazmente a las personas que, por

las razones mencionadas precedentemente,

deban ser vedadas de ingresar a las salas de

juego. Así, los concesionarios pueden

explotar la actividad de los juegos de azar en

general, o de las MEEJA en particular,

mediante la generación de apuestas por parte

de jugadores a los cuales debería vedar el

acceso.

4.2.3.3. LNSE ejecuta sus procedimientos de

fiscalización mediante la carga manual de

datos, método que, además de resultar

ineficiente, aumenta su propio riesgo de

control.

Para ejecutar el procedimiento de control de

contadores, los agentes fiscalizadores de

LNSE anotan en una planilla impresa y a

mano, los valores de los contadores situados


observación.


Se hace saber que a través del

Expediente 375.670/15 del

registro de esta Sociedad del

Estado, se propuso a la

Gerencia de Sistemas el

desarrollo de una plataforma

La respuesta del


las observaciones

realizadas por esta




216


en las MEEJA. Luego imputan en el

Accounting los datos anteriormente

registrados en la planilla, con el objeto de

realizar el correspondiente control de

igualdades. Este procedimiento implica que

la carga manual se efectúa en dos

oportunidades, una durante la captura de

contadores en sala de juegos y otra durante la

imputación en el aplicativo. La doble

imputación manual induce a una mayor

probabilidad de errores de carga, además de

impactar sobre la eficiencia y agilidad del

procedimiento. Procedimientos equivalentes

fueron observados en el control de etiquetas,

inventario, pozos progresivos y movimiento

de MEEJA. La falta de procedimientos

automatizados para la carga de datos puede

provocar errores que impacten en la

confiabilidad del proceso y disminuyen la

eficiencia y agilidad de la fiscalización.

tecnológica propia que amplíe

las herramientas de

fiscalización y que la misma

contenga aplicaciones,

reportes, estadísticas diseñadas

a medido de los usuarios a fin

de ampliar y automatizar

procesos de fiscalización

optimizando las tareas llevadas

a cabo.

4.2.3.4. LNSE no cuenta con registros informatizados

de la información contenida en las actas de

MEEJA, ni de las averías de las máquinas

tragamonedas, lo que dificulta la explotación


observación.


Se hace saber que a través del

La respuesta del


las observaciones

realizadas por esta


217


de la información con fines de monitoreo y

control.

Las ACTAS de MEEJA son formularios con

numeración pre-impresa en los cuales se

registran las fallas técnicas de las máquinas,

problemas de conectividad y cualquier otra

novedad vinculada a su funcionamiento. Los

agentes fiscalizadores los completan

manualmente utilizando papel carbónico para

las copias, firmando cada una de ellas y

distribuyéndolas entre la oficina de LNSE en

el concesionario, casa central y

concesionario. Si bien los documentos son

debidamente archivados, su acceso es manual

y no se encuentran indexados, lo que

dificulta su localización en caso de búsqueda.

Cuando en HAPSA o en Casino de Buenos

Aires se excede la capacidad de

almacenamiento, los formularios son

enviados a la oficina central de LNSE, con el

fin de cumplir con las disposiciones relativas

al resguardo de documentos. Esta

metodología de trabajo dificulta el acceso a

la información y no permite una fácil

Expediente 375.670/15 del

registro de esta Sociedad del

Estado, se propuso a la

Gerencia de Sistemas el

desarrollo de una plataforma

tecnológica propia que amplíe

las herramientas de

fiscalización y que la misma

contenga aplicaciones,

reportes, estadísticas diseñadas

a medido de los usuarios a fin

de ampliar y automatizar

procesos de fiscalización

optimizando las tareas llevadas

a cabo.




218


explotación de los datos para, por ejemplo,

determinar problemas repetitivos, o realizar

análisis estadísticos.


219

ANEXO III. Niveles del Modelo Genérico de Madurez

0 – No conforma. Falta total de procesos reconocibles. El organismo no reconoce que

existe un tema a ser tenido en cuenta.

1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin

embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser

aplicadas sobre una base individual o caso por caso. La administración aparece como

desorganizada.

2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos

similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay

entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es

asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los

individuos y los errores son probables.

3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y

comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir

con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos

en sí mismos no son sofisticados, pero son la formalización de prácticas existentes.

4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y

accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos

están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de

automatización es limitado o fragmentario.

5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a

los resultados de la mejora continua y de la movilización con otros organismos. La TI es

usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para

mejorar la calidad y la eficacia y hacer que el organismo se adapte rápidamente a los

cambios.


220

ANEXO IV - Gráficos de brecha para los niveles de madurez de los objetivos de

control considerados.

4.1.1 Definir un PlanEstratégico de TI

4.1.2 Definir la Arquitecturade la Información

4.1.3 Determinar la DirecciónTecnológica

4.1.4 Definir los Procesos,Organización y Relaciones de

TI

4.1.5 Administrar la Inversiónen TI

4.1.6 Comunicar lasAspiraciones y la Dirección

de la Gerencia

4.1.7 Administrar RecursosHumanos de TI

4.1.8 Administrar la Calidad

4.1.9 Evaluar y Administrarlos Riesgos de TI

4.1.10 Administrar Proyectos

Diagrama de BrechaPlanear y Organizar

1 Inicial 2 Repetible 3 Estandar Aceptable Nivel de Madurez año 2014


221

4.2.1 Identificar SolucionesAutomatizadas

4.2.2 Adquirir y MantenerSoftware Aplicativo

4.2.3 Adquirir y MantenerInfraestructura Tecnológica

4.2.4 Facilitar la Operación yel Uso

4.2.5 Adquirir Recursos de TI

4.2.6 Administrar Cambios

4.2.7 Instalar y Acreditarsoluciones y Cambios

Diagrama de BrechaAdquirir e Implementar

1 Inicial 2 Repetible 3 Estandar Aceptable "Nivel de Madurez año 2014"

4.3.1 Definir y Administrarlos Niveles de Servicio

4.3.2 Administrar losServicios de Terceros

4.3.3 Administrar elDesempeño y la Capacidad

4.3.4 Garantizar laContinuidad del Servicio

4.3.5 Garantizar la Seguridadde los Sistemas

4.3.6 Identificar y AsignarCostos

4.3.7 Educar y Entrenarn alos Usuarios

4.3.8 Administrar la Mesa deServicio y los Incidentes

4.3.9 Administrar laConfiguración

4.3.10 Administrar losProblemas

4.3.11 Administrar los Datos

4.3.12 Administrar elAmbiente Físico

4.3.13 Administrar lasOperaciones

Diagrama de Brecha Entregar y Dar Soporte



222

4.4.1 Monitorear y Evaluar elDesempeño de TI

4.4.2 Monitorear y Evaluar elControl Interno

4.4.3 Garantizar elCumplimiento Regulatorio

4.4.4 Proporcionar Gobiernode TI

Diagrama de BrechaMonitorear y Evaluar



223

ANEXO V - Estimación de los niveles de riesgo para los requerimientos de la

información según los procesos informáticos considerados

Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la

gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos

dependen en forma creciente de los sistemas de tecnología de la información, un ambiente

donde también aumentan las noticias sobre fraudes y desastres informáticos. En la

actualidad se entiende que la gestión de riesgos relacionados con la TI es un elemento

esencial de la administración del Estado Nacional.

En esta auditoría se trabajó sobre 34 objetivos de control, cada uno de los cuales se

corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de

los siguientes requerimientos que debe satisfacer la información dentro de un organismo

para permitirle cumplir con sus misiones y funciones:

Eficacia: Que la información sea relevante y pertinente para la misión del ente, así

como a que su entrega sea oportuna, correcta, consistente y utilizable.

Eficiencia: La provisión de información a través de la utilización óptima (más

productiva y económica) de recursos.

Confidencialidad: La protección de información sensible contra divulgación no

autorizada.

Integridad: La precisión y suficiencia de la información, así como a su validez de

acuerdo con los valores y expectativas del organismo.

Disponibilidad: La disponibilidad de la información cuando ésta es requerida para

cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a

la salvaguarda de los recursos necesarios y capacidades asociadas.


224

Cumplimiento: Cumplimiento de aquellas leyes, regulaciones y acuerdos

contractuales a los que el organismo está sujeto.

Confiabilidad: La provisión de información apropiada a la administración para

operar la entidad y para ejercer sus responsabilidades de reportes financieros y de

cumplimiento.

En los 34 casos se indica dentro de las observaciones qué requerimientos son afectados en

forma primaria y secundaria por el objetivo de control (ver tabla).

El objeto de este anexo es brindar parámetros cuantificables que permitan establecer un

Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo

controlar las mejoras futuras en forma explícita.

Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de

que la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0

representa la situación más segura y 1 la más insegura).

El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al

impacto (definido como el peligro de incumplimiento de las misiones y funciones del

organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de

ocurrencia del evento. Para cada uno de los procesos se definió el impacto como alto

(99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente

vinculada a la calidad del control que se realiza, y este es evaluado en el informe a través

del nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente

según el siguiente detalle:


225


226

Tabla


227

Gráficos de los niveles de riesgo de cada uno de los requerimientos de la información

para los 34 objetivos de control considerados y su promedio general.

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivo de Control

Niveles de Riesgo para la Efectividad

Riesgos Primarios Riesgos Secundarios Riesgo Aceptable

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivo de Control

Niveles de Riesgo para la Eficiencia



228

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivo de Control

Niveles de Riesgo para la Confidencialidad

Riesgo Primario Riesgo Secundario Riesgo Aceptable

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivos de Control

Niveles de Riesgo para la Integridad



229

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Obejetivo de control

Nivles de Riesgo para la Disponibilidad


0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivos de Control

Niveles de Riesgo para el cumplimiento



230

0

0.1

0.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

Objetivo de Control

Niveles de Riesgo para la Confiabilidad


0.00

0.10

0.20

0.30

0.40

0.50

0.60

0.70

0.80

0.90

1.00

Efectividad Eficiencia Confidencialidad Integridad DisponibilidadCumplimiento ConfiabilidadRequerimiento de la información

Niveles promedio de riesgo para cada atributo de la información

Riesgos Promedio


231

ANEXO VI – Imágenes de sala adjunta al Data Center (Casa Central)

Lotería Nacional Sociedad de Estado - Auditoría Informática

Government & Nonprofit

Transcript of Lotería Nacional Sociedad de Estado - Auditoría Informática