Sunteți pe pagina 1din 46

400 00 AREA: NORMAS DE CONTROL INTERNO

PARA EL AREA DE SISTEMAS DE INFORMACION


COMPUTARIZADOS
ESPOCH
FADE CONTROL INTERNO
CONTABILIDAD Y
AUDITORA

NORMAS DE CONTROL INTERNO


100.- Normas generales
200.- Ambiente del Control
300.- Evaluacin de Riesgos
400.- Actividades de Control
401.- Generales
402.- Administracin Financiera PRESUPUESTO

Contralora General del Estado


Auditora 403.- Administracin Financiera TESORERA
Informtica 404.- Administracin Financiera DEUDA PBLICA
405.- Administracin Financiera CONTABILIDAD
GUBERNAMENTAL
406.- Administracin Financiera ADMINISTRACIN DE
BIENES
407.- Administracin del Talento Humano
408.- Administracin de Proyectos
409.- Gestin Ambiental
410.- Tecnologa de la informacin
500.- Informacin y comunicacin
Riobamba 600.- Seguimiento
Ecuador
ESPOCH
FADE
CONTABILIDAD Y
CONTROL INTERNO
AUDITORA

ORGANIZACIN INFORMTICA
410-01 Organizacin informtica
410-02 Segregacin de funciones
41003 Plan informtico estratgico de tecnologa
410-04 Polticas y procedimientos
Auditora

Contralora General del Estado


Informtica 410-05 Modelo de informacin organizacional
410-06 Administracin de proyectos tecnolgicos
410-07 Desarrollo y adquisicin de software aplicativo
410-08 Adquisiciones de infraestructura tecnolgica
410-09 Mantenimiento y control de la infraestructura
tecnolgica
Riobamba 410-10 Seguridad de tecnologa de informacin
Ecuador
ESPOCH
FADE
CONTABILIDAD Y
CONTROL INTERNO
AUDITORA

410 TECNOLOGA DE LA INFORMACIN

410-11 Plan de contingencias


410-12 Administracin de soporte de tecnologa de
informacin
Auditora 410-13 Monitoreo y evaluacin de los procesos y servicios
Informtica
410-14 Sitio web, servicios de internet e intranet
410-15 Capacitacin informtica
410-16 Comit informtico Para la creacin de un comit
informtico institucional.
410-17 Firmas electrnicas

Riobamba
Ecuador Contralora General del Estado
410 TECNOLOGA DE LA INFORMACIN
410-01 Organizacin informtica
Las entidades y organismos del sector pblico deben
estar acopladas en un marco de trabajo para procesos
de tecnologa de informacin que aseguren la
transparencia y el control, as como el involucramiento
de la alta direccin, por lo que las actividades y
procesos de tecnologa de informacin de la
organizacin deben estar bajo la responsabilidad de
una unidad que se encargue de regular y estandarizar
los temas tecnolgicos a nivel institucional
.
410 TECNOLOGA DE LA INFORMACIN
410-01 Organizacin informtica
La Unidad de Tecnologa de Informacin, estar posicionada dentro de la
estructura organizacional de la entidad en un nivel que le permita efectuar las
actividades de asesora y apoyo a la alta direccin y unidades usuarias; as como
participar en la toma de decisiones de la organizacin y generar cambios de
mejora tecnolgica. Adems debe garantizar su independencia respecto de las
reas usuarias y asegurar la cobertura de servicios a todas las unidades de la
entidad u organismo.

Las entidades u organismos del sector pblico, establecern una estructura


organizacional de tecnologa de informacin que refleje las necesidades
institucionales, la cual debe ser revisada de forma peridica para ajustar las
estrategias internas que permitan satisfacer los objetivos planteados y soporten
los avances tecnolgicos. Bajo este esquema se dispondr como mnimo de
reas que cubran proyectos tecnolgicos, infraestructura tecnolgica y soporte
interno y externo de ser el caso, considerando el tamao de la entidad
y de la unidad de tecnologa

.
410-02 Segregacin de funciones
Las funciones y responsabilidades del personal de
tecnologa de informacin y de los usuarios de los sistemas
de informacin sern claramente definidas y formalmente
comunicadas para permitir que los roles y
responsabilidades asignados se ejerzan con suficiente
autoridad y respaldo.
La asignacin de funciones y sus respectivas
responsabilidades garantizarn una adecuada segregacin,
evitando funciones incompatibles. Se debe realizar dentro
de la Unidad de Tecnologa de Informacin la supervisin
de roles y funciones del personal dentro de cada unas de las
reas, para gestionar un adecuado rendimiento y evaluar las
posibilidades de reubicacin e incorporacin de nuevo
personal
410-02 Segregacin de funciones
La descripcin documentada y aprobada de los puestos
de trabajo que conforman la Unidad de Tecnologa de
Informacin, contemplar los deberes y
responsabilidades, as como las habilidades y
experiencia necesarias en cada posicin, a base de las
cuales se realizar la evaluacin del desempeo. Dicha
descripcin considerar procedimientos que eliminen
la dependencia de personal clave
410-03 Plan informtico
estratgico de tecnologa
La Unidad de Tecnologa de la Informacin elaborar e implementar
un plan informtico estratgico para administrar y dirigir todos los
recursos tecnolgicos, el mismo que estar alineado con el plan
estratgico institucional y ste con el Plan Nacional de Desarrollo y las
polticas pblicas de gobierno.
El plan informtico estratgico tendr un nivel de detalle suficiente
para permitir la definicin de planes operativos de tecnologa de
Informacin y especificar como sta contribuir a los objetivos
estratgicos de la organizacin incluir un anlisis de la situacin
actual y las propuestas de mejora con la participacin de todas las
unidades de la organizacin, se considerar la estructura interna,
procesos, infraestructura, comunicaciones, aplicaciones y servicios a
brindar, as como la definicin de estrategias, riesgos, cronogramas,
presupuesto de la inversin y operativo, fuentes de financiamiento y los
requerimientos legales y regulatorios de ser necesario.
410-03 Plan informtico
estratgico de tecnologa
.La Unidad de Tecnologa de Informacin elaborar planes operativos de
tecnologa de la informacin alineados con el plan estratgico informtico y los
objetivos estratgicos de la institucin, estos planes incluirn los portafolios de
proyectos y de servicios, la arquitectura y direccin tecnolgicas, las estrategias
de migracin, los aspectos de contingencia de los componentes de la
infraestructura y consideraciones relacionadas con la incorporacin de nuevas
tecnologas de informacin vigentes a fin de evitar la obsolescencia. Dichos
planes asegurarn que se asignen los recursos apropiados de la funcin de
servicios de tecnologa de informacin a base de lo establecido en su plan
estratgico.

El plan estratgico y los planes operativos de tecnologa de informacin, as


como el presupuesto asociado a stos sern analizados y aprobados por la
mxima autoridad de la organizacin e incorpora dos al presupuesto anual de
la organizacin; se actualizarn de manera permanente, adems de ser
monitoreados y evaluados en forma trimestral para determinar su grado de
ejecucin y tomar las medidas necesarias en caso de desviaciones
410-04 Polticas y procedimientos
La mxima autoridad de la entidad aprobar las polticas y
procedimientos que permitan organizar apropiadamente el
rea de tecnologa de informacin y asignar el talento
humano calificado e infraestructura tecnolgica necesaria.
La Unidad de Tecnologa de Informacin definir,
documentar y difundir las polticas, estndares y
procedimientos que regulen las actividades relacionadas
con tecnologa de informacin y comunicaciones en la
organizacin, estos se actualizarn permanentemente e
incluirn las tareas, los responsables de su ejecucin, los
procesos de excepcin, el enfoque de cumplimiento y el
control de los procesos que estn normando, as como, las
sanciones administrativas a que hubiere lugar si no se
cumplieran
410-04 Polticas y procedimientos
Temas como la calidad, seguridad, confidencialidad,
controles internos, propiedad intelectual, firmas
electrnicas y mensajera de datos, legalidad del software,
entre otros, sern considerados dentro de las polticas y
procedimientos a definir, los cuales adems, estarn
alineados con las leyes conexas emitidas por los organismos
competentes y estndares de tecnologa de informacin.
Ser necesario establecer procedimientos de comunicacin,
difusin y coordinacin entre las funciones de tecnologa
de informacin y las funciones propias de la organizacin.
Se incorporarn controles, sistemas de aseguramiento de la
calidad y de gestin de riesgos, al igual que directrices y
estndares tecnolgicos
410-04 Polticas y procedimientos
Se implantarn procedimientos de supervisin de las
funciones de tecnologa de informacin, ayudados de la
revisin de indicadores de desempeo y se medir el
cumplimiento de las regulaciones y estndares definidos.
La Unidad de Tecnologa de Informacin deber promover
y establecer convenios con otras organizaciones o terceros a
fin de promover y viabilizar el intercambio de informacin
interinstitucional, as como de programas de aplicacin
desarrollados al interior de las instituciones o prestacin de
servicios relacionados con la tecnologa de informacin.
410-05 Modelo de
informacin organizacional
La Unidad de Tecnologa de Informacin definir el modelo de
informacin de la organizacin a fin de que se facilite la creacin, uso y
comparticin de la misma; y se garantice su disponibilidad, integridad,
exactitud y seguridad sobre la base de la definicin e implantacin de
los procesos y procedimientos correspondientes.
El diseo del modelo de informacin que se defina deber constar en
un diccionario de datos corporativo que ser actualizado y
documentado de forma permanente, incluir las reglas de validacin y
los controles de integridad y consistencia, con la identificacin de los
sistemas o mdulos que lo conforman, sus relaciones y los objetivos
estratgicos a los que apoyan a fin de facilitar la incorporacin de las
aplicaciones y procesos institucionales de manera transparente.
Se deber generar un proceso de clasificacin de los datos para
especificar y aplicar niveles de seguridad y propiedad
410-06 Administracin de
proyectos tecnolgicos
La Unidad de Tecnologa de Informacin definir mecanismos que faciliten la
administracin de todos los proyectos informticos que ejecuten las diferentes
reas que conformen dicha unidad. Los aspectos a considerar son:

1.Descripcin de la naturaleza, objetivos y alcance del proyecto, su relacin con


otros proyectos institucionales, sobre la base del compromiso, participacin y
aceptacin de los usuarios interesados.

2.Cronograma de actividades que facilite la ejecucin y monitoreo del proyecto


que incluir el talento humano (responsables), tecnolgicos y financieros
adems de los planes de pruebas y de capacitacin correspondientes.

3.La formulacin de los proyectos considerar el Costo Total de Propiedad CTP;


que incluya no slo el costo de la compra, sino los costos directos e indirectos,
los beneficios relacionados con la compra de equipos o programas
informticos, aspectos del uso y mantenimiento, formacin para el personal de
soporte y usuarios, as como el costo de operacin y de los equipos o trabajos de
consultora necesarios
410-06 Administracin de
proyectos tecnolgicos
4. Para asegurar la ejecucin del proyecto se definir una
estructura en la que se nombre un servidor responsable con
capacidad de decisin y autoridad y administradores o
lderes funcionales y tecnolgicos con la descripcin de sus
funciones y responsabilidades.
5.Se cubrir, como mnimo las etapas de: inicio,
planeacin, ejecucin, control, monitoreo y cierre de
proyectos, as como los entregables, aprobaciones y
compromisos formales mediante el uso de actas o
documentos electrnicos legalizados.
6. El inicio de las etapas importantes del proyecto ser
aprobado de manera formal y comunicado a todos los
interesados
410-06 Administracin de
proyectos tecnolgicos
7. Se incorporar el anlisis de riesgos. Los riesgos
notificados sern permanentemente evaluados para
retroalimentar el desarrollo del proyecto, adems de ser
registrados y considerados para la planificacin de
proyectos futuros.
8.Se deber monitorear y ejercer el control permanente de
los avances del proyecto.
9.Se establecer un plan de control de cambios y un plan de
seguramiento de calidad que ser aprobado por las partes
interesadas.
10. El proceso de cierre incluir la aceptacin formal y
pruebas que certifiquen la calidad y el cumplimiento de los
objetivos planteados junto con los beneficios obtenidos
410-07 Desarrollo y adquisicin de
software aplicativo
La Unidad de Tecnologa de Informacin regular los procesos de desarrollo y
adquisicin de software aplicativo con lineamientos, metodologas y
procedimientos. Los aspectos a considerar son:
1.La adquisicin de software o soluciones tecnolgicas se realizarn sobre la
base del portafolio de proyectos y servicios priorizados en los planes estratgico
y operativo previamente aprobados considerando las polticas pblicas
establecidas por el Estado, caso contrario sern autorizadas por la mxima
autoridad previa justificacin tcnica documentada.
2.Adopcin, mantenimiento y aplicacin de polticas pblicas y estndares
internacionales para: codificacin de software, nomenclaturas, interfaz de
usuario, interoperabilidad, eficiencia de desempeo de sistemas, escalabilidad,
validacin contra requerimientos, planes de pruebas unitarias y de integracin.
3.Identificacin, priorizacin, especificacin y acuerdos de los requerimientos
funcionales y tcnicos institucionales con la participacin y aprobacin formal
de las unidades usuarias. Esto incluye, tipos de usuarios, requerimientos de:
entrada, definicin de interfaces, archivo, procesamiento, salida, control,
seguridad, plan de pruebas y trazabilidad o pistas de auditora de las
transacciones en donde aplique
410-07 Desarrollo y adquisicin de
software aplicativo
4. Especificacin de criterios de aceptacin de los requerimientos que cubrirn
la definicin de las necesidades, su factibilidad tecnolgica y econmica,el
anlisis de riesgo y de costo-beneficio, la estrategia de desarrollo o compra del
softwarede aplicacin, as como el tratamiento que se dar a aquellos procesos
de emergencia que pudieran presentarse.
5. En los procesos de desarrollo, mantenimiento o adquisicin de software
aplicativo se considerarn: estndares de desarrollo, de documentacin y de
calidad, el diseo lgico y fsico de las aplicaciones, la inclusin apropiada de
controles de aplicacin diseados para prevenir, detectar y corregir errores e
irregularidades de procesamiento, de modo que ste, sea exacto, completo,
oportuno, aprobado y auditable.
Se considerarn mecanismos de autorizacin, integridad de la informacin,
control de acceso, respaldos, diseo e implementacin de pistas de auditora y
requerimientos de seguridad. La especificacin del diseo considerar las
arquitecturas tecnolgicas y de informacin definidas dentro de la
organizacin.
410-07 Desarrollo y adquisicin de
software aplicativo
6..En caso de adquisicin de programas de computacin (paquetes de
software) se prevern tanto en el proceso de compra como en los
contratos respectivos, mecanismos que aseguren el cumplimiento
satisfactoriode los requerimientos de la entidad. Los contratos tendrn
el suficiente nivel de detalle en los aspectos tcnicos relacionados,
garantizar la obtencin de las licencias de uso y/o servicios, definir los
procedimientos para la recepcinde productos y documentacin en
general, adems de puntualizar la garanta formal de soporte,
mantenimiento y actualizacin ofrecida por el proveedor.
7.En los contratos realizados con terceros para desarrollo de software
deber constar que los derechos de autor ser de la entidad contratante
y el contratista entregar el cdigo fuente. En la definicin de los
derechos de autor se aplicarn las disposiciones de la Ley de Propiedad
Intelectual. Las excepciones sern tcnicamente documentadas y
aprobadas por la mxima autoridad o su delegado.
410-07 Desarrollo y adquisicin de
software aplicativo
8.La implementacin de software aplicativo adquirido
incluir los procedimientos de configuracin, aceptacin y
prueba personalizados e implantados. Los aspectos a
considerar incluyen la validacin contra los trminos
contractuales, la arquitectura de informacin de la
organizacin, las aplicaciones existentes, la
interoperabilidad con las aplicaciones existentes y los
sistemas de bases de datos, la eficiencia en el desempeo
del sistema, la documentacin y los manuales de usuario,
integracin y planes de prueba del sistema.
9.Los derechos de autor del software desarrollado a la
medida pertenecern a la entidad y sern registrados en el
organismo competente. Para el caso de software adquirido
se obtendr las respectivas licencias de uso.
410-07 Desarrollo y adquisicin de
software aplicativo
10.Formalizacin con actas de aceptacin por parte de
los usuarios, del paso de los sistemas probados y
aprobados desde el ambiente de desarrollo/prueba al
deproduccin y su revisin en la post-implantacin

11. Elaboracin de manuales tcnicos, de instalacin y


configuracin; as como de usuario, los cuales sern
difundidos, publicados y actualizados de forma
permanente.
410-08 Adquisiciones de
infraestructura tecnolgica
La Unidad de Tecnologa de informacin definir, justificar, implantar y
actualizar la infraestructura tecnolgica de la organizacin para lo cual se
considerarn los siguientes aspectos:

1.Las adquisiciones tecnolgicas estarn alineadas a los objetivos de la


organizacin, principios de calidad de servicio, portafolios de proyectos y
servicios, y constarn en el plan anual de contrataciones aprobado de la
institucin, caso contrario sern autorizadas por, la mxima autoridad previa
justificacin tcnica documentada.

2.La Unidad de Tecnologa de Informacin planificar el incremento de


capacidades, evaluar los riesgos tecnolgicos, los costos y la vida til de la
inversin para futuras actualizaciones, considerando los requerimientos de
carga de trabajo, de almacenamiento, contingencias y ciclos de vida de los
recursos tecnolgicos. Un anlisis de costo beneficio para el uso compartido de
Data Center con otras entidades del sector pblico, podr ser considerado para
optimizar los recursos invertidos
410-08 Adquisiciones de
infraestructura tecnolgica
3. En la adquisicin de hardware, los contratos respectivos, tendrn el
detalle suficiente que permita establecer las caractersticas tcnicas de
los principales componentes tales como: marca, modelo, nmero de
serie, capacidades, unidades de entrada/salida, entre otros, y las
garantas ofrecidas por el proveedor, a fin de determinar la
correspondencia entre los equipos adquiridos y las especificaciones
tcnicas y requerimientos establecidos en las fases precontractual y
contractual, lo que ser confirmado en las respectivas actas de
entrega/recepcin.
4.Los contratos con proveedores de servicio incluirn las
especificaciones formales sobre acuerdos de nivel de servicio,
puntualizando explcitamente los aspectos relacionados con la
seguridad y confidencialidad de la informacin, adems de los
requisitos legales que sean aplicables. Se aclarar expresamente que la
propiedad de los datos corresponde a la organizacin contratante.
410-09 Mantenimiento y control de la
infraestructura tecnolgica
La Unidad de Tecnologa de Informacin de cada organizacin definir
y regular los procedimientos que garanticen el mantenimiento y uso
adecuado de la infraestructura tecnolgica de las entidades. Los temas
a considerar son:
1. Definicin de procedimientos para mantenimiento y liberacin de
software de aplicacin por planeacin, por cambios a las disposiciones
legales y normativas, por correccin y mejoramiento de los mismos o
por requerimientos de los usuarios.
2. Los cambios que se realicen en procedimientos, procesos, sistemas y
acuerdos de servicios sern registrados, evaluados y autorizados de
forma previa asu implantacin a fin de disminuir los riesgos de
integridad del ambiente de produccin. El detalle e informacin de
estas modificaciones sern registrados en su correspondiente bitcora e
informados a todos los actores y usuarios finales relacionados,
adjuntando las respectivas evidencias.
410-09 Mantenimiento y control de la
infraestructura tecnolgica
3. Control y registro de las versiones del software que
ingresa a produccin.
4. Actualizacin de los manuales tcnicos y de usuario por
cada cambio o mantenimiento que se realice, los mismos
que estarn en constante difusin y publicacin.
5. Se establecern ambientes de desarrollo/pruebas y de
produccin independientes; se implementarn medidas y
mecanismos lgicos y fsicos de seguridad para proteger los
recursos y garantizar su integridad y disponibilidad a fin de
proporcionar una infraestructura de tecnologa de
informacin confiable y segura.
410-09 Mantenimiento y control de la
infraestructura tecnolgica
Se elaborar un plan de mantenimiento preventivo y/o
correctivo de la infraestructura tecnolgica sustentado en
revisiones peridicas y monitoreo en funcin de las
necesidades organizacionales (principalmente en las
aplicaciones crticas de la organizacin), estrategias de
actualizacin de hardware y software, riesgos, evaluacin
de vulnerabilidades y requerimientos de seguridad.
7. Se mantendr el control de los bienes informticos a
travs de un inventario actualizado con el detalle de las
caractersticas y responsables a cargo, conciliado con los
registros contables.
8. El mantenimiento de los bienes que se encuentren en
garanta ser proporcionado por el proveedor, sin costo
adicional para la entidad
410-10 Seguridad de tecnologa de
informacin
La Unidad de Tecnologa de Informacin, establecer
mecanismos que protejan y salvaguarden contra prdidas y
fugas los medios fsicos y la informacin que se procesa
mediante sistemas informticos, para ello se aplicarn al
menos as siguientes medidas:
1.Ubicacin adecuada y control de acceso fsico a la Unidad
de Tecnologa de Informacin y en especial a las reas de:
servidores, desarrollo y bibliotecas.
2.Definicin de procedimientos de obtencin peridica de
respaldos en funcin a un cronograma definido y aprobado
410-10 Seguridad de tecnologa de
informacin
3.En los casos de actualizacin de tecnologas de soporte se
migrar la informacin a los medios fsicos adecuados y
con estndares abiertos para garantizar la perpetuidad de
los datos y su recuperacin.
4.Almacenamiento de respaldos con informacin crtica
y/o sensible en lugares externos a la organizacin.
5.Implementacin y administracin de seguridades a nivel
de software y hardware, que se realizar con monitoreo de
seguridad, pruebas peridicas y acciones correctivas sobre
las vulnerabilidades o incidentes de seguridad
identificados.
6.Instalaciones fsicas adecuadas que incluyan
mecanismos, dispositivos y equipo especializado
4141:A monitorear y controlar fuego, mantener
ambiente con temperatura y humedad relativa del aire
controlado, disponer de energa acondicionada, esto es
estabilizada y polarizada, entre otros;
7.Consideracin y disposicin de sitios de
procesamiento alternativos.
8.Definicin de procedimientos de seguridad a
observarse por parte del personal que trabaja en turnos
por la noche o en fin de semana.
410-11 Plan de contingencias
Corresponde a la Unidad de Tecnologa de Informacin la
definicin, aprobacin e implementacin de un plan de
contingencias que describa las acciones a tomar en caso de una
emergencia o suspensin en el procesamiento de la informacin
por problemas en los equipos, programas o personal relacionado.
Los aspectos a considerar son:
1.Plan de respuesta a los riesgos que incluir la definicin y
asignacin de roles crticos para administrar los riesgos de
tecnologa de informacin, escenarios de contingencias, la
responsabilidad especfica de la seguridad de la informacin, la
seguridad fsica y su cumplimiento.
2.Definicin y ejecucin de procedimientos de control de
cambios, para asegurar que el plan de continuidad de tecnologa
de informacin se mantenga actualizado y refleje de manera
permanente los requerimientos actuales de la organizacin.
410-11 Plan de contingencias
3. Plan de continuidad de las operaciones quecontemplar la puesta en
marcha de un centro de cmputo alterno propio o de uso compartido
en un Data Center Estatal, mientras dure la contingencia con el
restablecimiento de las comunicaciones y recuperacin de la
informacin de los respaldos.
4.Plan de recuperacin de desastres que comprender:
Actividades previas al desastre (bitcora deoperaciones).
Actividades durante el desastre (plan de emergencias, entrenamiento).
Actividades despus del desastre.
0.Es indispensable designar un comit con roles especficos y nombre
de los encargados de ejecutar las funciones de contingencia en caso de
suscitarse una emergencia.
1.El plan de contingencias ser un documento de carcter confidencial
que describa los procedimientos a seguir en caso de una emergencia o
fallo computacional que interrumpa la operatividad de los sistemas de
410-11 Plan de contingencias
informacin. La aplicacin del plan permitir
recuperar la operacin de los sistemas en un nivel
aceptable, adems de salvaguardar la integridad y
seguridad de la informacin.
7. El plan de contingencias aprobado, ser difundido
entre el personal responsable de su ejecucin y deber
ser sometido a pruebas, entrenamientos y evaluaciones
peridicas, o cuando se haya efectuado algn cambio
en la configuracin de los equipos o el esquema de
procesamiento.
410-12 Administracin de soporte
de tecnologa de informacin
La Unidad de Tecnologa de Informacin definir, aprobar y difundir
procedimientos de operacin que faciliten una adecuada
administracin del soporte tecnolgico y garanticen la seguridad,
integridad, confiabilidad y disponibilidad de los recursos y datos, tanto
como la oportunidad de los servicios tecnolgicos que se ofrecen.
Los aspectos a considerar son:
1.Revisiones peridicas para determinar si la capacidad y desempeo
actual y futuro de los recursos tecnolgicos son suficientes para cubrir
los niveles de servicio acordados con los usuarios.
2.Seguridad de los sistemas bajo el otorgamiento de una identificacin
nica a todos los usuarios internos, externos y temporales que
interacten con los sistemas y servicios de tecnologa de informacin
de la entidad.
3.Estandarizacin de la identificacin, autenticacin y autorizacin de
los usuarios, as como la administracin de sus cuentas
410-12 Administracin de soporte
de tecnologa de informacin
4.Revisiones regulares de todas las cuentas de usuarios y los
privilegios asociados a cargo de los dueos de los procesos y
administradores de los sistemas de tecnologa de
informacin.5.Medidas de prevencin, deteccin y correccin
que protejan a los sistemas de informacin y a la tecnologa de la
organizacin de software malicioso y virus informticos.
6.Definicin y manejo de niveles de servicio y de operacin para
todos los procesos crticos de tecnologa de informacin sobre la
base de los requerimientos de los usuarios o clientes internos y
externos de la entidad y a las capacidades tecnolgicas.
7.Alineacin de los servicios claves de tecnologa de informacin
con los requerimientos y las prioridades de la organizacin
sustentados en la revisin, monitoreo y notificacin de la
efectividad y cumplimiento de dichos acuerdos
410-12 Administracin de soporte
de tecnologa de informacin
8.Administracin de los incidentes reportados, requerimientos
de servicio y solicitudes de informacin y de cambios que
demandan los usuarios, a travs de mecanismos efectivos y
oportunos como mesas de ayuda o de servicios, entre otros.
9.Mantenimiento de un repositorio de diagramas y
configuraciones de hardware y software actualizado que
garantice su integridad, disponibilidad y faciliten una rpida
resolucin de los problemas de produccin.
10.Administracin adecuada de la informacin, libreras de
software, respaldos y recuperacin de datos.
11.Incorporacin de mecanismos de seguridad aplicables a la
recepcin, procesamiento, almacenamiento fsico y entrega de
informacin y de mensajes sensitivos, as como la proteccin y
conservacin de informacin utilizada para encriptacin y
autenticacin
410-13 Monitoreo y evaluacin de
los procesos y servicios
Es necesario establecer un marco de trabajo de
monitoreo y definir el alcance, la metodologa y el
proceso a seguir para monitorear la contribucin y el
impacto de tecnologa de informacin en la entidad.
La Unidad de Tecnologa de Informacin definir
sobre la base de las operaciones de la entidad,
indicadores de desempeo y mtricas del proceso para
monitorear la gestin y tomar los correctivos que se
requieran.
410-13 Monitoreo y evaluacin de
los procesos y servicios
La Unidad de Tecnologa de Informacin definir y
ejecutar procedimientos, mecanismos y la
periodicidad para la medicin, anlisis y mejora del
nivel de satisfaccin de los clientes internos y externos
por los servicios recibidos
La Unidad de Tecnologa de Informacin presentar
informes peridicos de gestin a la alta direccin, para
que sta supervise el cumplimiento de los objetivos
planteados y se identifiquen e implanten acciones
correctivas y de mejoramiento del desempeo
410-14 Sitio web, servicios de
internet e intranet
Es responsabilidad de la Unidad de Tecnologa de
Informacin elaborar las normas, procedimientos e
instructivos de instalacin, configuracin y
utilizacin de los servicios de internet, intranet,
correo electrnico y sitio web de la entidad, a base de
las disposiciones legales y normativas y los
requerimientos de los usuarios externos e internos.
La Unidad de Tecnologa de Informacin considerar el
desarrollo de aplicaciones web y/o mviles que
automaticen los procesos o trmites orientados al uso de
instituciones y ciudadanos en general.
410-15 Capacitacin informtica
Las necesidades de capacitacin sern identificadas
tanto para el personal de tecnologa de informacin
como para los usuarios que utilizan los servicios de
informacin, las cuales constarn en un plan de
capacitacin informtico, formulado conjuntamente
con la Unidad de Talento Humano. El plan estar
orientado a los puestos de trabajo y a las necesidades
de conocimiento especficas determinadas en la
evaluacin de desempeo e institucionales
410-16 Comit informtico
Para la creacin de un comit informtico institucional, se
considerarn los siguientes aspectos:
El tamao y complejidad de la entidad y su interrelacin
conentidades adscritas.
La definicin clara de los objetivos que persigue la creacin de un
Comit de Informtica, como un rgano de decisin, consultivo y
de gestin que tiene como propsito fundamental definir,
conducir y evaluar las polticas internas para el crecimiento
ordenado y progresivo de la tecnologa de la informacin y la
calidad de los servicios informticos, as como apoyar en esta
materia a las unidades administrativas que conforman la entidad.
La conformacin y funciones del comit, su reglamentacin, la
creacin de grupos de trabajo, la definicin de las atribuciones y
responsabilidades de los miembros del comit, entre otros
aspectos
410-17 Firmas electrnicas
Las entidades, organismos y dependencias del sector pblico, as como
las personas jurdicas que acten en virtud de una potestad estatal,
ajustarn sus procedimientos y operaciones e incorporarn los medios
tcnicos necesarios, para permitir el uso de la firma electrnica de
conformidad con la Ley de Comercio Electrnico, Firmas y Mensajes de
Datos y su reglamento.
El uso de la firma electrnica en la administracin pblica se sujetar a
las garantas, reconocimiento, efectos y validez sealados en estas
disposiciones legales y su normativa secundaria de aplicacin.
Las servidoras y servidores autorizados por las instituciones del sector
pblico podrn utilizar la firma electrnica contenida en un mensaje de
datos para el ejercicio y cumplimiento de las funciones inherentes al
cargo pblico que ocupan.
Los aplicativos que incluyan firma electrnica dispondrn de
mecanismos y reportes que faciliten una auditora de los mensajes de
datos firmados electrnicamente.
410-17 Firmas electrnicas
a) Verificacin de autenticidad de la firma electrnica Es
responsabilidad de las servidoras y servidores de las entidades o
dependencias del sector pblico verificar mediante procesos
automatizados de validacin, que el certificado de la firma electrnica
recibida sea emitido por una entidad de certificacin de informacin
acreditada y que el mismo se encuentre vigente.
b)Coordinacin interinstitucional de formatos para uso de la
firma electrnica
Con el propsito de que exista uniformidad y compatibilidad en el uso
de la firma electrnica, las entidades del sector pblico sujetos a este
ordenamiento coordinarn y definirn los formatos y tipos de archivo
digitales que sern aplicables para facilitar su utilizacin
Las instituciones pblicas adoptarn y aplicar los estndares
tecnolgicos para firmas electrnicas que las entidades oficiales
promulguen, conforme a sus competencias y mbitos de accin
410-17 Firmas electrnicas
c)Conservacin de archivos electrnicos
Los archivos electrnicos o mensajes de datos firmados electrnicamente se
conservarn en su estado original en medios electrnicos seguros, bajo la
responsabilidad del usuario y de la entidad que los gener. Para ello se
establecern polticas internas de manejo y archivo de informacin digital.
d)Actualizacin de datos de los certificados de firmas electrnicas
Las servidoras y servidores de las entidades, organismos y dependencias del
sector pblico titulares de un certificado notificarn a la entidad de
certificacin de informacin sobre cualquier cambio, modificacin o variacin
de los datos que constan en la informacin proporcionada para la emisin del
certificado.
Cuando un servidor pblico deje de prestar sus servicios temporal o
definitivamente y cuente con un certificado de firma electrnica en virtud de
sus funciones, solicitar a la entidad de certificacin de informacin, la
revocacin del mismo, adems, el superior jerrquico ordenar su cancelacin
inmediata.
El dispositivo portable seguro ser considerado un bien de la entidad o
dependencia pblica y por tanto, a la cesacin del servidor, ser devuelto con la
correspondiente acta de entrega recepcin.
410-17 Firmas electrnicas
e)Seguridad de los certificados y dispositivos portables seguros
Los titulares de certificados de firma electrnica y dispositivos portables
seguros sern responsables de su buen uso y proteccin. Las respectivas claves
de acceso no sern divulgadas ni compartidas en ningn momento. El servidor
solicitar la revocacin de su certificado de firma electrnica cuando se
presentare cualquier circunstancia que pueda comprometer su utilizacin.
f)Renovacin del certificado de firma electrnica
El usuario solicitar la renovacin del certificado de firma electrnica con la
debida anticipacin, para asegurar la vigencia y validez del certificado y de las
actuaciones relacionadas con su uso.
g)Capacitacin en el uso de las firmas electrnicas
La entidad de certificacin capacitar, advertir e informar a los solicitantes y
usuarios de los servicios de certificacin de informacin y servicios
relacionados con la firma electrnica, respecto de las medidas de seguridad,
condiciones, alcances, limitaciones y responsabilidades que deben observar en
el uso de los servicios contratados. Esta capacitacin facilitar la comprensin y
utilizacin de las firmas electrnicas, en los trminos que establecen las
disposiciones legales vigentes.
http://www.pedrovicentemaldonado.gob.ec/Biblioteca
/CONTROLINTERNO.pdf