normas de control interno para tecnología de la información res. 48/2005 sigen sector público...
TRANSCRIPT
![Page 1: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/1.jpg)
Normas de Control Interno para Tecnología de la
Información
Res. 48/2005 SIGENSector Público Nacional
![Page 2: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/2.jpg)
Objetivos
Destinatarios:
• Responsables de los organismos
• Responsables informáticos
• Auditores
![Page 3: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/3.jpg)
Objetivos
Para los responsables de los organismos y responsables informáticos
• Comunicar los controles mínimos que se deben cumplir en la gestión de TI.
• Propiciar la adopción de prácticas de control interno para la gestión de la tecnología de la información, alineadas con estándares internacionales.
![Page 4: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/4.jpg)
Objetivos
Para los auditores• Incluir las revisiones de la gestión
informática en los planes de auditoría de las UAI.
• Guiar las revisiones sobre la gestión de la tecnología informática al constituir el elemento contra el cual contrastar la realidad.
![Page 5: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/5.jpg)
Situación general
Riesgos detectados
![Page 6: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/6.jpg)
Situación del SPN
37%
63%
Riesgos:
• Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI
• Posible duplicación de esfuerzos y tareas
37% de los organismos posee más de un sector responsable de los servicios de procesamiento de la información
![Page 7: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/7.jpg)
Situación del SPN
Riesgos:
• Falta de independencia
• Incorrecta gestión de prioridades en la prestación de servicios
63% de las áreas informáticas depende de una de las áreas usuarias
37%
63%
![Page 8: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/8.jpg)
Situación del SPN
Riesgos:
• Falta de separación de funciones
• Desconocimiento, por parte del personal, de sus responsabilidades
• Dificultades ante eventuales necesidades de rendición de cuentas
61% de las áreas informáticas carece de estructura interna formalmente definida
39%
61%
![Page 9: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/9.jpg)
Situación del SPN
Riesgos:
• Falta de dirección y control de las actividades y proyectos informáticos encarados
• Ineficiencia de los proyectos informáticos
• “Malas” inversiones en TI
• Disparidad entre los objetivos de la organización y de la TI
37% no dispone de planificación documentada
51% no dispone de planificación aprobada
51%
37%
12%
![Page 10: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/10.jpg)
Situación del SPN
Riesgos: • Modificaciones no autorizadas sobre los Sistemas• Incorrecta administración de prioridades• Falta de aplicación de estándares de programación y documentación• Implementación de Sistemas no probados
69% carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas
31%
69%
0%
![Page 11: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/11.jpg)
Situación del SPN
Riesgos: • Accesos no autorizados a la información o los recursos del Organismo• Inexactitud o falta de confiabilidad de los datos o Sistemas• Falta de disponibilidad de la información o recursos necesarios
69% carece de procedimientos aprobados para la administración de la seguridad
31%
69%
0%
![Page 12: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/12.jpg)
Situación del SPN
Riesgos:
• Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada
74% carece de plan de contingencias
26%
74%
0%
![Page 13: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/13.jpg)
Situación del SPN
Riesgos:
• Pérdidas de información• Interrupciones a la continuidad operativa del Organismo• Dependencia del personal que se encarga de la tarea
59% carece de procedimientos documentados de back up
41%
59%
0%
![Page 14: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/14.jpg)
Situación del SPN
• 77% carece de procedimientos documentados para las actividades de soporte técnico (impactando en la administración de prioridades, disconformidad de los usuarios, etc.)
• 80% carece de procedimientos documentados para la gestión de licencias de software (con riesgos de incumplimiento de la normativa aplicable)
![Page 15: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/15.jpg)
Situación del SPN
Riesgos:
• Desequilibrio entre la informatización del organismo y la realización de auditorías
57% no realiza auditorías internas de sistemas
57%
43%
![Page 16: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/16.jpg)
Situación del SPN
• La tecnología se convirtió en un factor clave de éxito para la gestión
• Creciente sistematización de las actividades del Estado
• Importantes inversiones en Tecnología Informática
![Page 17: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/17.jpg)
• “Pautas de Control Interno para Tecnología y Sistemas de Información” publicadas por SIGEN en 1997
• Modelo COBIT (Governance, Control and Audit for Information and Related Technology)
• IRAM-ISO 17799: Tecnología de la información - Código de práctica para la administración de la seguridad de la información - Modelo de Política de Seguridad de los Sistemas de Información para Organismos de la APN
Normas - Antecedentes
![Page 18: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/18.jpg)
• Normas Generales de Control Interno (Res. 107/98 SGN)
Normas - Antecedentes
Normas Generales de Control Interno
Normas de Control Interno para TI
![Page 19: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/19.jpg)
Política de Seguridad de la Información
para el Sector Público
Decisión Administrativa 669/2004ONTI
Junio 2005
![Page 20: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/20.jpg)
Modelo de Política de Seguridad
En base a un relevamiento se definió la necesidad de que los Organismos cuenten con políticas de seguridad para el resguardo de la información.
Se redactó un Modelo de Política de Seguridad, basado en la norma internacional ISO/IRAM 17799, y en conjunto con SIGEN y otros Organismos.
El mismo se encuentra en proceso de aprobación.
![Page 21: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/21.jpg)
Decisión Administrativa
En diciembre de 2004 se aprobó la Decisión Administrativa 669/2004, cuyos objetivos son:
•Dictar o adecuar la Política de Seguridad de la Información.
•Conformar un Comité de Seguridad de la Información.
•Asignar las responsabilidades en materia de Seguridad de la Información.
![Page 22: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/22.jpg)
Próximos pasos
Se prevé próximamente:
•La aprobación del Modelo de Política de Seguridad.
•El dictado de cursos de capacitación
•La asistencia a Organismos.
•La publicación de documentación adicional.
![Page 23: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/23.jpg)
Para mayor información
![Page 24: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/24.jpg)
Res. 48/2005 SIGENContenido de la Norma
![Page 25: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/25.jpg)
1. Organización Informática– Unificación de la responsabilidad por las
actividades informáticas
– Independencia del área
– Definición de puestos de trabajo
– Separación de funciones
– Capacitación
Normas – Puntos abarcados
![Page 26: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/26.jpg)
2. Plan Estratégico de TI
– Alcance del plan
– Necesidad de evitar la obsolescencia
– Formalización del plan
– Actualización en el tiempo
– Presupuesto asociado al plan
– Seguimiento del plan
– Relación del plan con la realidad ejecutada
Normas – Puntos abarcados
![Page 27: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/27.jpg)
3. Arquitectura de la Información
– Organización eficiente de los datos de la organización. Visión integral.
Normas – Puntos abarcados
![Page 28: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/28.jpg)
4. Políticas y Procedimientos
– Desarrollo de políticas y procedimientos sobre las actividades que se llevan a cabo
Normas – Puntos abarcados
![Page 29: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/29.jpg)
5. Cumplimiento de Regulaciones Externas
– Responsabilidad de velar por el cumplimiento de las normas aplicables
– Formalización de relaciones con terceros
Normas – Puntos abarcados
![Page 30: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/30.jpg)
6. Administración de Proyectos– Metodología de adm. de proyectos
• Documentación de objetivo, recursos, plazos, responsabilidades, etc.
• Factibilidad y riesgos
• Participación de usuarios
– Seguimiento de la ejecución del proyecto
Normas – Puntos abarcados
![Page 31: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/31.jpg)
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación– Metodología de desarrollo
• Formulación de requerimientos, manejo de prioridades, solicitudes de emergencia, participación formal de usuarios y la UAI, estándares de desarrollo, pruebas, pasaje a producción, control de versiones, documentación y capacitación
– Contrataciones de servicios de desarrollo
Normas – Puntos abarcados
![Page 32: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/32.jpg)
8. Adquisición y Mantenimiento de la Infraestructura Tecnológica
– Normas para contrataciones
– Características de la aceptación definitiva
– Mantenimiento del hardware
– Gestión de licencias de software
Normas – Puntos abarcados
![Page 33: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/33.jpg)
9. Seguridad
– Política de Seguridad de la Información (relacionado con la DA 669/2004)
Normas – Puntos abarcados
![Page 34: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/34.jpg)
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros
– Justificación de la contratación
– Previsiones contractuales
– Monitoreo del servicio
– Previsiones respecto de la continuidad
Normas – Puntos abarcados
![Page 35: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/35.jpg)
11. Servicios de Internet / Extranet / Intranet
– Aprobación de contenidos
– Acuerdo con los proveedores de servicios de comunicaciones
Normas – Puntos abarcados
![Page 36: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/36.jpg)
12. Monitoreo de los Procesos
– Definición de indicadores de desempeño
– Informes periódicos de gestión
Normas – Puntos abarcados
![Page 37: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/37.jpg)
13. Auditoría Interna de Sistemas
– Ejecución de auditorías internas de sistemas
Normas – Puntos abarcados
![Page 38: Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional](https://reader035.vdocuments.net/reader035/viewer/2022062617/54badb37497959686a8b4839/html5/thumbnails/38.jpg)
Intranet SIGEN:www . net . sigen . gov . ar• Normas • Material de consulta para auditorías
informáticas• Programas de auditoría
Herramientas para el auditor