Your SlideShare is downloading. ×
0
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pres Uais Normas Tec Inform

1,355

Published on

Published in: Business, Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,355
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional
  • 2. Objetivos <ul><li>Destinatarios: </li></ul><ul><li>Responsables de los organismos </li></ul><ul><li>Responsables informáticos </li></ul><ul><li>Auditores </li></ul>
  • 3. Objetivos <ul><li>Para los responsables de los organismos y </li></ul><ul><li>responsables informáticos </li></ul><ul><li>Comunicar los controles mínimos que se deben cumplir en la gestión de TI. </li></ul><ul><li>Propiciar la adopción de prácticas de control interno para la gestión de la tecnología de la información, alineadas con estándares internacionales. </li></ul>
  • 4. Objetivos <ul><li>Para los auditores </li></ul><ul><li>Incluir las revisiones de la gestión informática en los planes de auditoría de las UAI. </li></ul><ul><li>Guiar las revisiones sobre la gestión de la tecnología informática al constituir el elemento contra el cual contrastar la realidad. </li></ul>
  • 5. Situación general Riesgos detectados
  • 6. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI </li></ul><ul><li>Posible duplicación de esfuerzos y tareas </li></ul>37% de los organismos posee más de un sector responsable de los servicios de procesamiento de la información
  • 7. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Falta de independencia </li></ul><ul><li>Incorrecta gestión de prioridades en la prestación de servicios </li></ul>63% de las áreas informáticas depende de una de las áreas usuarias
  • 8. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Falta de separación de funciones </li></ul><ul><li>D esconocimiento, por parte del personal, de sus responsabilidades </li></ul><ul><li>Dificultades ante eventuales necesidades de rendición de cuentas </li></ul>61% de las áreas informáticas carece de estructura interna formalmente definida
  • 9. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>F alta de dirección y control de las actividades y proyectos informáticos encarados </li></ul><ul><li>Ineficiencia de los proyectos informáticos </li></ul><ul><li>“ Malas” inversiones en TI </li></ul><ul><li>Disparidad entre los objetivos de la organización y de la TI </li></ul>37% no dispone de planificación documentada 51% no dispone de planificación aprobada
  • 10. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Modificaciones no autorizadas sobre los Sistemas </li></ul><ul><li>Incorrecta administración de prioridades </li></ul><ul><li>Falta de aplicación de estándares de programación y documentación </li></ul><ul><li>Implementación de Sistemas no probados </li></ul>69% carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas
  • 11. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Accesos no autorizados a la información o los recursos del Organismo </li></ul><ul><li>Inexactitud o falta de confiabilidad de los datos o Sistemas </li></ul><ul><li>Falta de disponibilidad de la información o recursos necesarios </li></ul>69% carece de procedimientos aprobados para la administración de la seguridad
  • 12. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada </li></ul>74% carece de plan de contingencias
  • 13. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Pérdidas de información </li></ul><ul><li>Interrupciones a la continuidad operativa del Organismo </li></ul><ul><li>Dependencia del personal que se encarga de la tarea </li></ul>59% carece de procedimientos documentados de back up
  • 14. Situación del SPN <ul><li>77% carece de procedimientos documentados para las actividades de soporte técnico (impactando en la administración de prioridades, disconformidad de los usuarios, etc.) </li></ul><ul><li>80% carece de procedimientos documentados para la gestión de licencias de software (con riesgos de incumplimiento de la normativa aplicable) </li></ul>
  • 15. Situación del SPN <ul><li>Riesgos: </li></ul><ul><li>Desequilibrio entre la informatización del organismo y la realización de auditorías </li></ul>57% no realiza auditorías internas de sistemas
  • 16. Situación del SPN <ul><li>La tecnología se convirtió en un factor clave de éxito para la gestión </li></ul><ul><li>Creciente sistematización de las actividades del Estado </li></ul><ul><li>Importantes inversiones en Tecnología Informática </li></ul>
  • 17. <ul><li>“ Pautas de Control Interno para Tecnología y Sistemas de Información” publicadas por SIGEN en 1997 </li></ul><ul><li>Modelo COBIT ( Governance, Control and Audit for Information and Related Technology) </li></ul><ul><li>IRAM-ISO 17799: Tecnología de la información - Código de práctica para la administración de la seguridad de la información - Modelo de Política de Seguridad de los Sistemas de Información para Organismos de la APN </li></ul>Normas - Antecedentes
  • 18. <ul><li>Normas Generales de Control Interno (Res. 107/98 SGN) </li></ul>Normas - Antecedentes Normas de Control Interno para TI Normas Generales de Control Interno Normas de Control Interno para TI
  • 19. Política de Seguridad de la Información para el Sector Público Decisión Administrativa 669/2004 ONTI Junio 2005
  • 20. Modelo de Política de Seguridad En base a un relevamiento se definió la necesidad de que los Organismos cuenten con políticas de seguridad para el resguardo de la información. Se redactó un Modelo de Política de Seguridad, basado en la norma internacional ISO/IRAM 17799, y en con junto con SIGEN y otros Organismos. El mismo se encuentra en proceso de aprobación .
  • 21. Decisión Administrativa <ul><li>En diciembre de 2004 se aprobó la Decisión </li></ul><ul><li>Administrativa 669/2004, cuyos objetivos son: </li></ul><ul><ul><li>Dictar o adecuar la Política de Seguridad de la Información. </li></ul></ul><ul><ul><li>Conformar un Comité de Seguridad de la Información. </li></ul></ul><ul><ul><li>Asignar las responsabilidades en materia de Seguridad de la Información. </li></ul></ul>
  • 22. Próximos pasos <ul><li>Se prevé próximamente: </li></ul><ul><ul><li>La aprobación del Modelo de Política de Seguridad. </li></ul></ul><ul><ul><li>El dictado de cursos de capacitación </li></ul></ul><ul><ul><li>La asistencia a Organismos. </li></ul></ul><ul><ul><li>La publicación de documentación adicional. </li></ul></ul>
  • 23. Para mayor información www.arcert.gov.ar/politica
  • 24. Res. 48/2005 SIGEN Contenido de la Norma
  • 25. <ul><li>1. Organización Informática </li></ul><ul><ul><li>Unificación de la responsabilidad por las actividades informáticas </li></ul></ul><ul><ul><li>Independencia del área </li></ul></ul><ul><ul><li>Definición de puestos de trabajo </li></ul></ul><ul><ul><li>Separación de funciones </li></ul></ul><ul><ul><li>Capacitación </li></ul></ul>Normas – Puntos abarcados
  • 26. <ul><li>2. Plan Estratégico de TI </li></ul><ul><ul><li>Alcance del plan </li></ul></ul><ul><ul><li>Necesidad de evitar la obsolescencia </li></ul></ul><ul><ul><li>Formalización del plan </li></ul></ul><ul><ul><li>Actualización en el tiempo </li></ul></ul><ul><ul><li>Presupuesto asociado al plan </li></ul></ul><ul><ul><li>Seguimiento del plan </li></ul></ul><ul><ul><li>Relación del plan con la realidad ejecutada </li></ul></ul>Normas – Puntos abarcados
  • 27. <ul><li>3. Arquitectura de la Información </li></ul><ul><ul><li>Organización eficiente de los datos de la organización. Visión integral. </li></ul></ul>Normas – Puntos abarcados
  • 28. <ul><li>4. Políticas y Procedimientos </li></ul><ul><ul><li>Desarrollo de políticas y procedimientos sobre las actividades que se llevan a cabo </li></ul></ul>Normas – Puntos abarcados
  • 29. <ul><li>5. Cumplimiento de Regulaciones Externas </li></ul><ul><ul><li>Responsabilidad de velar por el cumplimiento de las normas aplicables </li></ul></ul><ul><ul><li>Formalización de relaciones con terceros </li></ul></ul>Normas – Puntos abarcados
  • 30. <ul><li>6. Administración de Proyectos </li></ul><ul><ul><li>Metodología de adm. de proyectos </li></ul></ul><ul><ul><ul><li>Documentación de objetivo, recursos, plazos, responsabilidades, etc. </li></ul></ul></ul><ul><ul><ul><li>Factibilidad y riesgos </li></ul></ul></ul><ul><ul><ul><li>Participación de usuarios </li></ul></ul></ul><ul><ul><li>Seguimiento de la ejecución del proyecto </li></ul></ul>Normas – Puntos abarcados
  • 31. <ul><li>7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación </li></ul><ul><ul><li>Metodología de desarrollo </li></ul></ul><ul><ul><ul><li>Formulación de requerimientos, manejo de prioridades, solicitudes de emergencia, participación formal de usuarios y la UAI, estándares de desarrollo, pruebas, pasaje a producción, control de versiones, documentación y capacitación </li></ul></ul></ul><ul><ul><li>Contrataciones de servicios de desarrollo </li></ul></ul>Normas – Puntos abarcados
  • 32. <ul><li>8. Adquisición y Mantenimiento de la Infraestructura Tecnológica </li></ul><ul><ul><li>Normas para contrataciones </li></ul></ul><ul><ul><li>Características de la aceptación definitiva </li></ul></ul><ul><ul><li>Mantenimiento del hardware </li></ul></ul><ul><ul><li>Gestión de licencias de software </li></ul></ul>Normas – Puntos abarcados
  • 33. <ul><li>9. Seguridad </li></ul><ul><ul><li>Política de Seguridad de la Información (relacionado con la DA 669/2004) </li></ul></ul>Normas – Puntos abarcados
  • 34. <ul><li>10. Servicios de Procesamiento y/o Soporte Prestados por Terceros </li></ul><ul><ul><li>Justificación de la contratación </li></ul></ul><ul><ul><li>Previsiones contractuales </li></ul></ul><ul><ul><li>Monitoreo del servicio </li></ul></ul><ul><ul><li>Previsiones respecto de la continuidad </li></ul></ul>Normas – Puntos abarcados
  • 35. <ul><li>11. Servicios de Internet / Extranet / Intranet </li></ul><ul><ul><li>Aprobación de contenidos </li></ul></ul><ul><ul><li>Acuerdo con los proveedores de servicios de comunicaciones </li></ul></ul>Normas – Puntos abarcados
  • 36. <ul><li>12. Monitoreo de los Procesos </li></ul><ul><ul><li>Definición de indicadores de desempeño </li></ul></ul><ul><ul><li>Informes periódicos de gestión </li></ul></ul>Normas – Puntos abarcados
  • 37. <ul><li>13. Auditoría Interna de Sistemas </li></ul><ul><ul><li>Ejecución de auditorías internas de sistemas </li></ul></ul>Normas – Puntos abarcados
  • 38. <ul><li>Intranet SIGEN: </li></ul><ul><li>www . net . sigen . gov . ar </li></ul><ul><li>Normas </li></ul><ul><li>Material de consulta para auditorías informáticas </li></ul><ul><li>Programas de auditoría </li></ul>Herramientas para el auditor

×