Control interno TI

Normas de Control Interno para Tecnologa de la Informacin

Res. 48/2005 SIGEN Sector Pblico Nacional

Objetivos
Destinatarios:

Responsables de los organismos Responsables informticos Auditores

Objetivos
Para los responsables de los organismos y responsables informticos

Comunicar los controles mnimos que se deben cumplir en la gestin de TI. Propiciar la adopcin de prcticas de control interno para la gestin de la tecnologa de la informacin, alineadas con estndares internacionales.

Objetivos

Para los auditores Incluir las revisiones de la gestin informtica en los planes de auditora de las UAI. Guiar las revisiones sobre la gestin de la tecnologa informtica al constituir el elemento contra el cual contrastar la realidad.

Situacin general
Riesgos detectados

Situacin del SPN

37% de los organismos posee ms de un sector responsable de los servicios de procesamiento de la informacin
Riesgos:
Dificultades para llevar a 37% cabo estrategias y planes unificados relativos a la TI Posible duplicacin de esfuerzos y tareas
63%

Situacin del SPN

63% de las reas informticas depende de una de las reas usuarias
37%

Riesgos: Falta de independencia Incorrecta gestin de prioridades en la 63% prestacin de servicios

Situacin del SPN

61% de las reas informticas carece de estructura interna formalmente definida
39%

Riesgos: Falta de separacin de funciones Desconocimiento, por parte del personal, de sus responsabilidades Dificultades ante eventuales necesidades de rendicin de cuentas

61%

Situacin del SPN

69% carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas
0% 31%

69%

Riesgos: Modificaciones no autorizadas sobre los Sistemas Incorrecta administracin de prioridades Falta de aplicacin de estndares de programacin y documentacin Implementacin de Sistemas no probados

Situacin del SPN

37% no dispone de planificacin documentada
51% no dispone de planificacin aprobada
12% 37%

Riesgos:

Falta de direccin y control de las actividades y proyectos informticos encarados

Ineficiencia de los proyectos informticos Malas inversiones en TI Disparidad entre los objetivos de la organizacin y de la TI

51%

Situacin del SPN

69% carece de procedimientos aprobados para la administracin de la seguridad
0% 31%

69%

Riesgos: Accesos no autorizados a la informacin o los recursos del Organismo Inexactitud o falta de confiabilidad de los datos o Sistemas Falta de disponibilidad de la informacin o recursos necesarios

Situacin del SPN

74% carece de plan de contingencias
26% 0%

Riesgos: Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misin asignada
74%

Situacin del SPN

59% carece de procedimientos documentados de back up
0% 41%

Riesgos:

Prdidas de informacin Interrupciones a la continuidad operativa del Organismo Dependencia del personal que se encarga de la tarea
59%

Situacin del SPN

77% carece de procedimientos documentados para las actividades de soporte tcnico (impactando en la administracin de prioridades, disconformidad de los usuarios, etc.) 80% carece de procedimientos documentados para la gestin de licencias de software (con riesgos de incumplimiento de la normativa aplicable)

Situacin del SPN

57% no realiza auditoras internas de sistemas

43%

Riesgos:
Desequilibrio entre la informatizacin del organismo y la realizacin de auditoras
57%

Situacin del SPN

La tecnologa se convirti en un factor clave de xito para la gestin

Creciente sistematizacin de las actividades del Estado Importantes inversiones en Tecnologa Informtica

Normas - Antecedentes

Pautas de Control Interno para Tecnologa y Sistemas de Informacin publicadas por SIGEN en 1997 Modelo COBIT (Governance, Control and Audit for Information and Related Technology)
IRAM-ISO 17799: Tecnologa de la informacin Cdigo de prctica para la administracin de la seguridad de la informacin - Modelo de Poltica de Seguridad de los Sistemas de Informacin para Organismos de la APN

Normas - Antecedentes

Normas Generales de Control Interno (Res. 107/98 SGN)

Normas de Control Interno para TI

Normas Generales de Control Interno

Poltica de Seguridad de la Informacin para el Sector Pblico

Decisin Administrativa 669/2004 ONTI
Junio 2005

Modelo de Poltica de Seguridad

En base a un relevamiento se defini la necesidad de que los Organismos cuenten con polticas de seguridad para el resguardo de la informacin. Se redact un Modelo de Poltica de Seguridad, basado en la norma internacional ISO/IRAM 17799, y en conjunto con SIGEN y otros Organismos. El mismo se encuentra en proceso de aprobacin.

Decisin Administrativa
En diciembre de 2004 se aprob la Decisin Administrativa 669/2004, cuyos objetivos son:
Dictar o adecuar la Poltica de Seguridad de la Informacin. Conformar un Comit de Seguridad de la Informacin. Asignar las responsabilidades en materia de Seguridad de la Informacin.

Prximos pasos
Se prev prximamente: La aprobacin del Modelo de Poltica de Seguridad. El dictado de cursos de capacitacin La asistencia a Organismos. La publicacin de documentacin adicional.

Para mayor informacin

Res. 48/2005 SIGEN Contenido de la Norma

Normas Puntos abarcados

1. Organizacin Informtica

Unificacin de la responsabilidad por las actividades informticas Independencia del rea Definicin de puestos de trabajo Separacin de funciones Capacitacin

Normas Puntos abarcados

2. Plan Estratgico de TI

Alcance del plan Necesidad de evitar la obsolescencia Formalizacin del plan Actualizacin en el tiempo

Presupuesto asociado al plan

Seguimiento del plan Relacin del plan con la realidad ejecutada

Normas Puntos abarcados

3. Arquitectura de la Informacin

Organizacin eficiente de los datos de la organizacin. Visin integral.

Normas Puntos abarcados

4. Polticas y Procedimientos

Desarrollo de polticas y procedimientos sobre las actividades que se llevan a cabo

Normas Puntos abarcados

5. Cumplimiento de Regulaciones Externas

Responsabilidad de velar por el cumplimiento de las normas aplicables Formalizacin de relaciones con terceros

Normas Puntos abarcados

6. Administracin de Proyectos

Metodologa de adm. de proyectos

Documentacin de objetivo, recursos, plazos, responsabilidades, etc. Factibilidad y riesgos Participacin de usuarios

Seguimiento de la ejecucin del proyecto

Normas Puntos abarcados

7. Desarrollo, Mantenimiento o Adquisicin de Software de Aplicacin

Metodologa de desarrollo

Formulacin de requerimientos, manejo de prioridades, solicitudes de emergencia, participacin formal de usuarios y la UAI, estndares de desarrollo, pruebas, pasaje a produccin, control de versiones, documentacin y capacitacin

Contrataciones de servicios de desarrollo

Normas Puntos abarcados

8. Adquisicin y Mantenimiento de la Infraestructura Tecnolgica

Normas para contrataciones Caractersticas de la aceptacin definitiva

Mantenimiento del hardware

Gestin de licencias de software

Normas Puntos abarcados

9. Seguridad

Poltica de Seguridad de la Informacin (relacionado con la DA 669/2004)

Normas Puntos abarcados

10. Servicios de Procesamiento y/o Soporte Prestados por Terceros

Justificacin de la contratacin Previsiones contractuales

Monitoreo del servicio

Previsiones respecto de la continuidad

Normas Puntos abarcados

11. Servicios de Internet / Extranet / Intranet

Aprobacin de contenidos Acuerdo con los proveedores de servicios de comunicaciones

Normas Puntos abarcados

12. Monitoreo de los Procesos

Definicin de indicadores de desempeo Informes peridicos de gestin

Normas Puntos abarcados

13. Auditora Interna de Sistemas

Ejecucin de auditoras internas de sistemas

Herramientas para el auditor

Intranet SIGEN: www . net . sigen . gov . ar Normas Material de consulta para auditoras informticas Programas de auditora