Comentarios al
Borrador Tentativo Preliminar del Informe de Auditoría de Sistemas
presentado por BDO en Jun-2003

Dada la escala de tiempo y esfuerzo en la cual se llevó a cabo la Auditoría de Sistemas, encontramos el informe razonablemente formulado. La cobertura no es exhaustiva ni la profundidad detallada, pero han identificado independientemente situaciones ya conocidas por CC y CCI, planteando asi mismo recomendaciones con las cuales en general tenemos coincidencia.

Debemos formular algunas precisiones puntuales:

• Con respecto a las secciones I y II: Agradeceremos se incluya en el informe, a fin de dejar constancia escrita de manera mas concreta sobre la escala de la evaluación:

1. el detalle de las fechas en las cuales se efectuó la auditoría,
2. la aclaración de que hubo una entrevista (usualmente de una hora, y acompañada en algunos casos por una inspección de las instalaciones) con cada persona citada (tal como parece haber sido),
3. la relación de la documentación revisada.

• Con respecto a la sección III.A.1 debemos indicar que la UPCH cuenta con una unidad responsable al nivel de organización: el Centro de Cómputo (CC), pero nuestras características institucionales permiten, como señala el informe, que las diversas áreas operen sus propios grupos y recursos de sistemas con bastante independencia y sin coordinación. CC tiene definidos lineamientos de largo plazo (documento "Desarrollo de la Informática en la UPCH - Lineamientos de Acción Estratégica"), pero, es cierto, requieren reformulación y actualización en términos de un Plan Estratégico de Sistemas. Hay un trabajo en curso en esta dirección que se inició paralelamente a la Auditoría.
• Con respecto a la sección III.A.2: El alcance del Reglamento de CC incluye la intervención de CC en las adquisiciones de hardware, software y sistemas, pero aquí también se aplica el comentario de que el alcance efectivo de estas políticas es limitado debido a características institucionales.
• Con respecto a la sección III.B: Si bien es cierto que los inventarios oficiales no se encuentran totalmente actualizados, también es cierto que los equipos son adquiridos mediante procedimientos regulares y los documentos respectivos se archivan en DGA, disponiéndose de estimados bastante aproximados del parque disponible de hardware y software. El archivo de las licencias de software está oficialmente en CC, pero algunas unidades no informan acerca de todas las licencias que reciben.
• Con respecto a la sección III.C.1: Antivirus es una de las pocas políticas que CC ha optado por NO tomar de manera corporativa. El problema de los virus actualmente se maneja mediante filtros en los servers de entrada, lo cual es razonablemente costo-efectivo para la institución. La posibilidad de adoptar un programa corporativo antiviral está presente, pero su priorización no es inmediata.
• Con respecto a la sección III.C.4: CC tiene asignado un servidor como respaldo de sus restantes 9 servers (aunque se encuentra en producción, opera tareas no críticas que pueden ser suspendidas), así mismo la mayor parte (no todos, el router central es una excepción importante) de los equipos de conectividad bajo responsabilidad de CC operan en tandem. El grupo de 6 servers anteriormente usado en CC está siendo transferido a Biblioteca, donde se espera también asignar uno para respaldo. El sentido general del comentario, sobre lo limitado de la capacidad de respaldo, es correcto.
• La redacción de la última conclusión debiera ser revisada. La política formal y explícita de UPCH es muy clara: el software sin licencia no está permitido porque va contra la ley. Sabemos que la naturaleza de la institución universitaria y las características de organización que la Auditoría describe, permiten que en algunos casos y por periodos breves se encuentre software sin licencia. Si la auditoría ha constatado casos concretos, debiera puntualizarlos; si la auditoría dispone de algún estimado sustentado de magnitud, debiera especificarlo; de lo contrario la redacción debe limitarse a expresiones condicionales (como en las secciones III.A.2 y III.B).

Encontramos interesante que la Auditoría en general no señale ningún uso directamente ineficiente o inapropiado de los recursos informáticos (los hallazgos y recomendaciones planteadas implican, en general, inversión adicional). Sería deseable un pronunciamento explícito sobre la cuestión de si el empleo actual de los recursos informáticos disponibles es adecuado o si debieran redireccionarse.