Documentos de Académico
Documentos de Profesional
Documentos de Cultura
N 2 2007 Co Dfoe PDF
N 2 2007 Co Dfoe PDF
(N-2-2007-CO-DFOE)
Considerando:
1 Que el artculo 183 la Constitucin Poltica dispone que la Contralora General de la Repblica es
una institucin auxiliar de la Asamblea Legislativa, con absoluta independencia en la vigilancia y control
de la Hacienda Pblica.
2 Que los artculos 11 y 12 de la Ley Orgnica de la Contralora General de la Repblica, Nro. 7424,
la designan como rgano rector del Ordenamiento de Control y Fiscalizacin Superiores de la Hacienda
Pblica confirindole, en concordancia con el artculo 24 de dicha Ley, la facultad de emitir
disposiciones, normas, polticas y directrices que coadyuven a garantizar la legalidad y la eficiencia tanto
de los controles internos, como del manejo de los fondos pblicos de los entes sobre los cuales tiene
jurisdiccin.
3 Que el artculo 3 de la Ley General de Control Interno, Nro. 8292 del 31 de julio de 2002, refuerza
las facultades de la Contralora General para emitir la normativa tcnica de control interno necesaria para
el funcionamiento efectivo del sistema de control interno de los entes y rganos sujetos a esa ley.
4 Que la Contralora General de la Repblica public en La Gaceta Nro. 24 del 2 de febrero de 1996,
Alcance Nro. 7, el Manual sobre Normas Tcnicas de Control Interno relativas a los Sistemas de
Informacin Computadorizados.
5 Que las tecnologas de informacin -afectadas por constantes avances tecnolgicos-, se han
convertido en un instrumento esencial en la prestacin de los servicios y representan rubros importantes
en los presupuestos del Sector Pblico.
Por tanto,
RESUELVE
Artculo 1Aprobar el documento denominado Normas tcnicas para la gestin y el control de las
tecnologas de informacin, normativa que establece los criterios bsicos de control que deben
observarse en la gestin de esas tecnologas y que tiene como propsito coadyuvar en su gestin, en
virtud de que dichas tecnologas se han convertido en un instrumento esencial en la prestacin de los
servicios pblicos, representando inversiones importantes en el presupuesto del Estado. Dicha normativa
est estructurada de la siguiente manera:
i
Introduccin
Captulo I Normas de aplicacin general
Captulo V Seguimiento
Glosario
ii
Artculo 2 Promulgar las Normas tcnicas para la gestin y el control de las tecnologas de
informacin, Nro. N-2-2007-CO-DFOE.
Artculo 3 Establecer que las Normas tcnicas para la gestin y el control de las tecnologas de
informacin son de acatamiento obligatorio para la Contralora General de la Repblica y las
instituciones y rganos sujetos a su fiscalizacin, que prevalecern sobre cualquier disposicin en
contrario que emita la Administracin. Asimismo, que su inobservancia generar las responsabilidades
que correspondan de conformidad con el marco jurdico que resulte aplicable.
Artculo 4 Derogar el Manual sobre normas tcnicas de control interno relativas a los sistemas de
informacin computadorizados, publicado en el Alcance Nro. 7 de La Gaceta No. 24 del 2 de febrero de
1996.
Artculo 5 Informar que dicha normativa ser distribuida por medio de los mecanismos pertinentes a
cada institucin y estarn a disposicin en la direccin electrnica www.cgr.go.cr de la Contralora
General de la Repblica.
Artculo 6 Informar que la Administracin contar con dos aos a partir de su entrada en vigencia para
cumplir con lo regulado en esta normativa, lapso en el cual, dentro de los primeros seis meses, deber
planificar las actividades necesarias para lograr una implementacin efectiva y controlada de lo
establecido en dicha normativa, contemplando los siguientes aspectos:
Artculo 7 Comunicar que la referida normativa entrar a regir a partir del 31 de julio del 2007.
Publquese.
iii
Contralora General de la Repblica
iv
NDICE
Introduccin .................................................................................................................................................................1
Captulo I Normas de aplicacin general...................................................................................................................2
1.1 Marco estratgico de TI.............................................................................................................................2
1.2 Gestin de la calidad .................................................................................................................................2
1.3 Gestin de riesgos .....................................................................................................................................2
1.4 Gestin de la seguridad de la informacin ................................................................................................2
1.4.1 Implementacin de un marco de seguridad de la informacin ..................................................................3
1.4.2 Compromiso del personal con la seguridad de la informacin..................................................................3
1.4.3 Seguridad fsica y ambiental .....................................................................................................................3
1.4.4 Seguridad en las operaciones y comunicaciones .......................................................................................4
1.4.5 Control de acceso ......................................................................................................................................4
1.4.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica ..................5
1.4.7 Continuidad de los servicios de TI ............................................................................................................5
1.5 Gestin de proyectos .................................................................................................................................5
1.6 Decisiones sobre asuntos estratgicos de TI..............................................................................................5
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI.............................................................5
Captulo II Planificacin y organizacin ...................................................................................................................6
2.1 Planificacin de las tecnologas de informacin .......................................................................................6
2.2 Modelo de arquitectura de informacin.....................................................................................................6
2.3 Infraestructura tecnolgica ........................................................................................................................6
2.4 Independencia y recurso humano de la Funcin de TI ..............................................................................6
2.5 Administracin de recursos financieros ....................................................................................................6
Captulo III Implementacin de tecnologas de informacin .....................................................................................7
3.1 Consideraciones generales de la implementacin de TI............................................................................7
3.2 Implementacin de software......................................................................................................................7
3.3 Implementacin de infraestructura tecnolgica.........................................................................................8
3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura............8
Captulo IV Prestacin de servicios y mantenimiento................................................................................................9
4.1 Definicin y administracin de acuerdos de servicio ................................................................................9
4.2 Administracin y operacin de la plataforma tecnolgica ........................................................................9
4.3 Administracin de los datos ....................................................................................................................10
4.4 Atencin de requerimientos de los usuarios de TI...................................................................................10
4.5 Manejo de incidentes...............................................................................................................................10
4.6 Administracin de servicios prestados por terceros ................................................................................10
Captulo V Seguimiento ..........................................................................................................................................11
5.1 Seguimiento de los procesos de TI ..........................................................................................................11
5.2 Seguimiento y evaluacin del control interno en TI................................................................................11
5.3 Participacin de la Auditora Interna.......................................................................................................11
Glosario...........................................................................................................................................................................12
v
Normas tcnicas para la gestin y el control de las tecnologas de informacin
N-2-2007-CO-DFOE
1
Captulo I Normas de aplicacin general
1.1 Marco estratgico El jerarca debe traducir sus aspiraciones en materia de TI en prcticas
de TI cotidianas de la organizacin, mediante un proceso continuo de
promulgacin y divulgacin de un marco estratgico constituido por
polticas organizacionales que el personal comprenda y con las que est
comprometido.
1.3 Gestin de riesgos La organizacin debe responder adecuadamente a las amenazas que
puedan afectar la gestin de las TI, mediante una gestin continua de
riesgos que est integrada al sistema especfico de valoracin del riesgo
institucional y considere el marco normativo que le resulte aplicable.
2
1.4.1 Implementacin La organizacin debe implementar un marco de seguridad de la
de un marco de informacin, para lo cual debe:
seguridad de la
informacin a. Establecer un marco metodolgico que incluya la clasificacin de
los recursos de TI, segn su criticidad, la identificacin y
evaluacin de riesgos, la elaboracin e implementacin de un plan
para el establecimiento de medidas de seguridad, la evaluacin
peridica del impacto de esas medidas y la ejecucin de procesos de
concienciacin y capacitacin del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad
y definir y ejecutar peridicamente acciones para su actualizacin.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organizacin como de terceros relacionados.
1.4.2 Compromiso del El personal de la organizacin debe conocer y estar comprometido con
personal con la las regulaciones sobre seguridad y confidencialidad, con el fin de reducir
seguridad de la los riesgos de error humano, robo, fraude o uso inadecuado de los
informacin recursos de TI.
3
1.4.4 Seguridad en La organizacin debe implementar las medidas de seguridad
las operaciones relacionadas con la operacin de los recursos de TI y las
y comunicaciones, minimizar su riesgo de fallas y proteger la integridad
comunicaciones del software y de la informacin.
4
permitan un adecuado y peridico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la informacin sobre la
seguridad de las TI.
1.5 Gestin de proyectos La organizacin debe administrar sus proyectos de TI de manera que
logre sus objetivos, satisfaga los requerimientos y cumpla con los
trminos de calidad, tiempo y presupuesto ptimos preestablecidos.
1.6 Decisiones sobre El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en
asuntos estratgicos la asesora de una representacin razonable de la organizacin que
de TI coadyuve a mantener la concordancia con la estrategia institucional, a
establecer las prioridades de los proyectos de TI, a lograr un equilibrio
en la asignacin de recursos y a la adecuada atencin de los
requerimientos de todas las unidades de la organizacin.
1.7 Cumplimiento de La organizacin debe identificar y velar por el cumplimiento del marco
obligaciones jurdico que tiene incidencia sobre la gestin de TI con el propsito de
relacionadas con la evitar posibles conflictos legales que pudieran ocasionar eventuales
gestin de TI perjuicios econmicos y de otra naturaleza.
5
Captulo II Planificacin y organizacin
2.1 Planificacin de La organizacin debe lograr que las TI apoyen su misin, visin y
las tecnologas de objetivos estratgicos mediante procesos de planificacin que logren el
informacin balance ptimo entre sus requerimientos, su capacidad presupuestaria y
las oportunidades que brindan las tecnologas existentes y emergentes.
6
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones La organizacin debe implementar y mantener las TI requeridas en
generales de la concordancia con su marco estratgico, planificacin, modelo de
implementacin de arquitectura de informacin e infraestructura tecnolgica. Para esa
TI implementacin y mantenimiento debe:
7
procesos de conversin y migracin.
e. Definir los criterios para determinar la procedencia de cambios y
accesos de emergencia al software y datos, y los procedimientos de
autorizacin, registro, supervisin y evaluacin tcnica, operativa y
administrativa de los resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen
como parte de su mantenimiento.
8
Captulo IV Prestacin de servicios y mantenimiento
4.1 Definicin y La organizacin debe tener claridad respecto de los servicios que requiere
administracin de y sus atributos, y los prestados por la Funcin de TI segn sus
acuerdos de capacidades.
servicio
El jerarca y la Funcin de TI deben acordar los servicios requeridos, los
ofrecidos y sus atributos, lo cual deben documentar y considerar como un
criterio de evaluacin del desempeo. Para ello deben:
9
4.3 Administracin de La organizacin debe asegurarse de que los datos que son procesados
los datos mediante TI corresponden a transacciones vlidas y debidamente
autorizadas, que son procesados en forma completa, exacta y oportuna, y
transmitidos, almacenados y desechados en forma ntegra y segura.
4.4 Atencin de La organizacin debe hacerle fcil al usuario el proceso para solicitar la
requerimientos de atencin de los requerimientos que le surjan al utilizar las TI. Asimismo,
los usuarios de TI debe atender tales requerimientos de manera eficaz, eficiente y oportuna;
y dicha atencin debe constituir un mecanismo de aprendizaje que
permita minimizar los costos asociados y la recurrencia.
4.6 Administracin de La organizacin debe asegurar que los servicios contratados a terceros
servicios prestados satisfagan los requerimientos en forma eficiente. Con ese fin, debe:
por terceros
a. Establecer los roles y responsabilidades de terceros que le brinden
servicios de TI.
b. Establecer y documentar los procedimientos asociados con los
servicios e instalaciones contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con las
polticas relativas a calidad, seguridad y seguimiento establecidas
por la organizacin.
d. Minimizar la dependencia de la organizacin respecto de los
servicios contratados a un tercero.
e. Asignar a un responsable con las competencias necesarias que
evale peridicamente la calidad y cumplimiento oportuno de los
servicios contratados.
10
Captulo V Seguimiento
5.1 Seguimiento de La organizacin debe asegurar el logro de los objetivos propuestos como
los procesos de parte de la gestin de TI, para lo cual debe establecer un marco de
TI referencia y un proceso de seguimiento en los que defina el alcance, la
metodologa y los mecanismos para vigilar la gestin de TI. Asimismo,
debe determinar las responsabilidades del personal a cargo de dicho
proceso.
11
Glosario
Acuerdos de servicio Los acuerdos de servicios, mejor conocidos como convenios o acuerdos de nivel de
servicio (SLAs por sus siglas en ingls de Service Level Agreement) son
contratos escritos, formales, desarrollados conjuntamente por el proveedor del
servicio de TI y los usuarios respectivos, en los que se define, en trminos
cuantitativos y cualitativos, el servicio que brindar la dependencia responsable de
TI y las responsabilidades de la contraparte beneficiada por dichos servicios.
Ambiente de desarrollo Conjunto de componentes de hardware y software donde se efectan los procesos
de construccin, mantenimiento (v.gr. ajustes, cambios y correcciones) y pruebas
de sistemas de informacin.
Base de datos Coleccin de datos almacenados en un computador, los cuales pueden ser
accedidos de diversas formas para apoyar los sistemas de informacin de la
organizacin.
Desarrollo Etapa del ciclo de vida del desarrollo de sistemas que implica la construccin de las
aplicaciones.
12
Disponibilidad de la Se vincula con el hecho de que la informacin se encuentre disponible (v.gr.
informacin utilizable) cuando la necesite un proceso de la organizacin en el presente y en el
futuro. Tambin se asocia con la proteccin de los recursos necesarios y las
capacidades asociadas. Implica que se cuente con la informacin necesaria en el
momento en que la organizacin la requiere.
Hardware Todos los componentes electrnicos, elctricos y mecnicos que integran una
computadora, en oposicin a los programas que se escriben para ella y la controlan
(software).
Informacin Conjunto de datos que han sido capturados y procesados, que se encuentran
organizados y que tienen el potencial de confirmar o cambiar el entendimiento
sobre algo.
Instalaciones Edificaciones y sus aditamentos utilizados para alojar los recursos informticos.
Jerarca Superior jerrquico, unipersonal o colegiado del rgano o ente quien ejerce la
mxima autoridad.
Menor Privilegio Principio utilizado para la asignacin de perfiles de usuario segn el cual a ste se
13
le deben asignar, por defecto, nicamente los permisos estrictamente necesarios
para la realizacin de sus labores.
No negacin Condicin o atributo que tiene una transaccin informtica que permite que las
partes relacionadas con ella no puedan aducir que la misma transaccin no se
realiz o que no se realiz en forma completa, correcta u oportuna.
Necesidad de saber Principio utilizado para la definicin de perfiles de usuario segn el cual a ste se
le deben asignar los permisos estrictamente necesarios para tener acceso a aquella
informacin que resulte imprescindible para la realizacin de su trabajo.
Pistas de auditora Informacin que se registra como parte de la ejecucin de una aplicacin o sistema
de informacin y que puede ser utilizada posteriormente para detectar incidencias o
fallos. Esta informacin puede estar constituida por atributos como: la fecha de
creacin, ltima modificacin o eliminacin de un registro, los datos del
responsable de dichos cambios o cualquier otro dato relevante que permita dar
seguimiento a las transacciones u operaciones efectuadas. Las pistas de auditora
permiten el rastreo de datos y procesos; pueden aplicarse progresivamente (de los
datos fuente hacia los resultados), o bien regresivamente (de los resultados hacia
los datos fuente).
Plataforma tecnolgica Trmino que resume los componentes de hardware y software (software de base,
utilitarios y software de aplicacin) utilizados en la organizacin.
Prestacin de servicios Entrega o prestacin eficaz de los servicios de TI requeridos por la organizacin,
de TI que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y
continuidad, hasta la capacitacin. Para prestar los servicios, debe establecerse los
procesos de soporte necesarios. Como parte de esta prestacin, se incluye el
procesamiento real de los datos por los sistemas de aplicacin, a menudo
clasificados como controles de aplicaciones.
Seguimiento de las TI Evaluacin regular de todos los procesos de TI a medida que transcurre el tiempo
para determinar su calidad y el cumplimiento de los requerimientos de control. Es
parte de la vigilancia ejercida por la funcin gerencial sobre los procesos de control
de la organizacin y la garanta independiente provista por la auditora interna y
externa u obtenida de fuentes alternativas.
Seguridad fsica Proteccin fsica del hardware, software, instalaciones y personal relacionado con
14
los sistemas de informacin.
Servicios prestados por Servicios recibidos de una empresa externa a la organizacin. Por lo general,
terceros requiere de una contraparte interna de la organizacin que garantice que el
producto desarrollado cumple con los estndares establecidos por sta. Tambin es
conocido como outsourcing.
Software Los programas y documentacin que los soporta que permiten y que facilitan el uso
de la computadora. El software controla la operacin del hardware.
Software de base Tambin conocido como software de sistemas que es la coleccin de programas de
computadora usados en el diseo, procesamiento y control de todas las
aplicaciones, los programas y rutinas de procesamiento que controlan el hardware
de computadora. Incluye el sistema operativo y los programas utilitarios.
15