Seguidores

lunes, 22 de abril de 2019

NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN CONTRALORÍA GENERAL DEL ESTADO

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE ADMINISTRACIÓN DE EMPRESAS

ESCUELA DE CONTABILIDAD Y AUDITORÍA

AUDITORÍA INFORMÁTICA DE SISTEMAS


INTEGRANTES:

 JOSELYN ABARCA

VANESA COCHA

 LADY FLORES

 JESSICA TUAPANTA

TEMA:

NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN CONTRALORÍA GENERAL DEL ESTADO

SEMESTRE:
NOVENO “3”

DOCENTE:
ING. WILLIAN YANZA

PERIODO:

MARZO- JULIO 2019






NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN CONTRALORÍA GENERAL DEL ESTADO



OBJETIVOS

General

  • Recabar información sobre la norma vigente en el Ecuador sobre las tecnologías de la información, de tal forma que se pueda tener un conocimiento de la base legal, para una correcta aplicación en las organizaciones.


Específicos

  • Analizar las normas relacionadas con la tecnología de la información, para tener un conocimiento global sobre las normativas existentes con respecto a esta área.
  • Buscar a través de fuentes bibliográficas la normativa de la Contraloría General del Estado referente a las tecnologías de la información.
  • Elaborar resúmenes con respecto a la norma 410 de la Contraloría General del Estado, referente a las tecnologías de la información, para una comprensión global de su importancia en las organizaciones.



DESARROLLO




Imagen relacionada







410 TECNOLOGIA DE LA INFORMACION



410-01 Organización informática
Las entidades y organismos del sector público deben ajustarse a un trabajo para procesos de tecnología de información que aseguren la transparencia, el control, y se involucre a la alta dirección, los procesos de tecnología de la información, la cual debe estar bajo la responsabilidad de una unidad que regule y estandarice el área tecnológica. Esta unidad de tecnología debe aparecer en el organigrama de la institución, como un nivel de asesoría y apoyo, que permita la toma de decisiones y mejoramiento en cuanto a la información.
Esta unidad de tecnología e la información, debe ser supervisada constantemente para acoplarse a las metas organizacionales, enfocadas hacia el avance tecnológico. Bajo este esquema se dispondrá de áreas que cubran proyectos e infraestructura tecnológica, soporte interno y externo, según el tamaño de la entidad y de la unidad de tecnología.

410-02 Segregación de funciones

Cada uno de los integrantes de esta unidad de tecnología de la información, tendrá delimitadas sus funciones y responsabilidades. Puesto, que esta adecuada asignación de funciones permite garantizar una correcta segregación, evitando funciones incompatibles, arrogación y evasión de funciones. Para ello, es importante supervisar el cumplimiento de las funciones de cada área para un mejor rendimiento del personal. Debe existir un documento por escrito en el que se describa las funciones, responsabilidades, autoridades, así como la experiencia y habilidades necesarias para el cumplimiento de un puesto.

410-03 Plan informático estratégico de tecnología

El área de Tecnología de la Información se encargará de la elaboración y aplicación de un plan informático estratégico que administre y dirija los recursos tecnológicos, enfocado hacia el cumplimiento del plan organizacional y de políticas públicas de gobierno. Este plan deberá contener detalladamente los objetivos estratégicos de la entidad, así como un análisis situacional, y las estrategias para mejorar deficiencias en cada área de la institución. La unidad de tecnología también debe elaborar planes operativos informáticos que permitan ejecutar proyectos y servicios, arquitectura y dirección tecnológica, estrategias de migración, aspectos de contingencia de los componentes de la infraestructura y consideraciones relacionadas con la incorporación de nuevas tecnologías de información vigentes a fin de evitar la obsolescencia

410-04 Políticas y procedimientos

La máxima autoridad de la entidad aprobará las políticas y procedimientos que permitan organizar el área de tecnología de información y asignar el talento humano calificado e infraestructura tecnológica necesaria. La Unidad de Tecnología de Información deberá: definir, documentar y difundir políticas, estándares y procedimientos de las actividades relacionadas con tecnología de información y comunicaciones en la organización. También incluirá: control de procesos, sanciones administrativas, calidad, seguridad, confidencialidad, legalidad de software, firmas electrónicas. Todo ello deberá basarse en la aplicación de leyes vigentes, estableciendo procedimientos de comunicación, difusión y coordinación en la unidad, incluyendo controles y sistemas de aseguramiento de la calidad, a través de una supervisión de las funciones de tecnología de información. 

La Unidad deberá promover y establecer convenios con otras organizaciones, a fin de promover e intercambiar información interinstitucional, y de programas de aplicación desarrollados o prestación de servicios relacionados con la tecnología de información.

410-05 Modelo de información organizacional

La Unidad de Tecnología de Información definirá el modelo de información de la organización a fin de que se facilite la creación, uso y compartición de la misma; y se garantice su disponibilidad, integridad, exactitud y seguridad sobre la base de la definición e implantación de los procesos y procedimientos correspondientes. Se deberá generar un proceso de clasificación de los datos para especificar y aplicar niveles de seguridad y propiedad. 

410-06 Administración de proyectos tecnológicos

La Unidad de Tecnología de Información definirá mecanismos que faciliten la administración de todos los proyectos informáticos que ejecuten las diferentes áreas que conformen dicha unidad. Los aspectos a considerar son:

  • Descripción de la naturaleza, objetivos y alcance del proyecto.
  • Cronograma de actividades que facilite la ejecución y monitoreo del proyecto.
  • Formulación de proyectos considerará: el Costo Total de Propiedad, que incluya costos directos e indirectos, beneficios de compra de equipos o programas informáticos, aspectos de uso y mantenimiento, formación del personal de soporte, y costo de operación.
  • Nombrar un servidor responsable con capacidad de decisión y autoridad tecnológica.
  • Etapas de: inicio, planeación, ejecución, control, monitoreo y cierre de proyectos.
  • El inicio de etapas importantes del proyecto será aprobado formalmente y comunicado.
  • Se incorporará el análisis de riesgos identificados, que serán evaluados para mitigarlos.
  • Se deberá monitorear y ejercer el control permanente de los avances del proyecto.
  • Se establecerá un plan de control de cambios y un plan de aseguramiento de calidad.
  • El proceso de cierre incluirá la aceptación formal y pruebas que certifiquen la calidad.
410-07 Desarrollo y adquisición de software aplicativo
La Unidad de Tecnología de Información regulará los procesos de desarrollo y adquisición de software aplicativo con lineamientos, metodologías y procedimientos. 
Los aspectos a considerar son:

  1. La adquisición de software o soluciones tecnológicas se realizarán sobre la base del portafolio priorizados en los planes estratégico y operativo.
  2. Adopción, mantenimiento y aplicación de políticas y estándares internacionales para: codificación de software, nomenclaturas, interfaz de usuario, validación etc.
  3. Especificación de criterios de aceptación de los requerimientos que cubrirán la definición de las necesidades, su factibilidad tecnológica y económica, el análisis de riesgo y de costo-beneficio
  4. En los procesos de desarrollo, mantenimiento o adquisición de software se considerarán: estándares de desarrollo, de documentación, calidad, el diseño lógico y físico de las aplicaciones, detectar y corregir errores de procesamiento.
  5. En caso de adquisición de programas de computación se preverán tanto en el proceso de compra como en los contratos respectivos.
  6. En los contratos realizados con terceros para desarrollo de software deberá constar que los derechos de autor serán de la entidad contratante y el contratista entregará el código fuente.
  7. La implementación de software aplicativo adquirido incluirá los procedimientos de configuración, aceptación y prueba personalizados e implantados.
  8. Los derechos de autor del software desarrollado a la medida pertenecerán a la entidad y serán registrados en el organismo competente.
  9. Formalización con actas de aceptación por parte de los usuarios, del paso de los sistemas probados y aprobados desde el ambiente de desarrollo/prueba al de producción y su revisión en la post-implantación.
  10. Elaboración de manuales técnicos, de instalación y configuración; así como de usuario, los cuales serán difundidos, publicados y actualizados de forma permanente.
410-08 Adquisiciones de infraestructura tecnológica 
La Unidad de Tecnología de información definirá, justificará, implantará y actualizará la infraestructura tecnológica de la organización para lo cual se considerarán los siguientes aspectos:
  • Las adquisiciones tecnológicas estarán alineadas a los objetivos de la organización y constarán en el plan anual de contrataciones aprobado de la institución
  • Planificará el incremento de capacidades, evaluará los riesgos tecnológicos, los costos y la vida útil de la inversión para futuras actualizaciones
  • En la adquisición de hardware, tendrán el detalle que permita establecer las características técnicas como: marca, modelo, número de serie, capacidades, unidades de entrada/salida, entre otros, y las garantías ofrecidas por el proveedor.
  • Los contratos con proveedores de servicio incluirán las especificaciones formales, puntualizando los aspectos de la seguridad y confidencialidad de la información.
410-09 Mantenimiento y control de la infraestructura tecnológica

La Unidad de Tecnología de Información definirá y regulará los procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura tecnológica de las entidades:
  • Definición de procedimientos para mantenimiento y liberación de software, por cambios a las disposiciones legales y normativas, por corrección y mejoramiento.
  • Los cambios que se realicen en procedimientos, procesos, sistemas y acuerdos de servicios serán registrados, evaluados y autorizados de forma previa a su implantación
  • Control y registro de las versiones del software que ingresa a producción.
  • Actualización de los manuales técnicos y de usuario por cada cambio o mantenimiento, los mismos que estarán en constante difusión y publicación.
  • Se establecerán ambientes de desarrollo/pruebas y de producción independientes; se implementarán medidas y mecanismos lógicos y físicos de seguridad para proteger los recursos y garantizar su integridad y disponibilidad.
  • Se mantendrá el control de los bienes informáticos a través de un inventario actualizado con el detalle de las características y responsables a cargo
  • El mantenimiento de los bienes que se encuentren en garantía será proporcionado por el proveedor, sin costo adicional para la entidad.

410-10 Seguridad de tecnología de información

La Unidad de Tecnología de Información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos

1.    Ubicación adecuada y control de acceso físico a la Unidad de Tecnología de Información
2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma definido y aprobado.
3. En los casos de actualización de tecnologías de soporte se migrará la información a medios físicos para garantizar la perpetuidad de los datos y su recuperación.
4. Almacenamiento de respaldos con información crítica y/o sensible en lugares externos a la organización.
5. Implementación y administración de seguridades a nivel de software y hardware,
6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, entre otros.
7. Consideración y disposición de sitios de procesamiento alternativos.
8. Definición de procedimientos de seguridad a observarse por parte del personal


410-11 Plan de contingencias

La Unidad de Tecnología de Información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado.

1.  Plan de respuesta a los riesgos incluirá la definición y asignación de roles críticos para administrar la responsabilidad específica de la seguridad de la información, física y su cumplimiento.
2. Definición y ejecución de procedimientos de control de cambios, para asegurar que el plan de continuidad de tecnología de información se mantenga actualizado
3. Plan de continuidad de las operaciones que contemplará un centro de cómputo alterno propio o de uso compartido en un Data Center Estatal.
4. Plan de recuperación de desastres que comprenderá:
Ø  Actividades previas al desastre (bitácora de operaciones)

Ø  Actividades durante el desastre (plan de emergencias, entrenamiento)

Ø  Actividades después del desastre.

5.      Designar un comité con roles específicos y nombre de los encargados de ejecutar las funciones de contingencia en caso de suscitarse una emergencia.
6. El plan de contingencias será un documento de carácter confidencial que describa los procedimientos a seguir en caso de una emergencia o fallo computacional.
7. El plan de contingencias aprobado, será difundido entre el personal responsable de su ejecución y deberá ser sometido a pruebas y evaluaciones periódicas.

410-12 Administración de soporte de tecnología de información

La Unidad de Tecnología de Información definirá, aprobará y difundirá procedimientos de operación que faciliten una adecuada administración del soporte tecnológico y garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la oportunidad de los servicios tecnológicos que se ofrecen.

Los aspectos a considerar son:
1. Revisiones periódicas para determinar si el desempeño de los recursos tecnológicos son suficientes para cubrir los niveles de servicio acordados con los usuarios.
2. Seguridad de los sistemas bajo el otorgamiento de una identificación única a todos los usuarios internos, externos.
3. Estandarización de la identificación, autenticación y autorización de los usuarios.
4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados a cargo de los dueños de los procesos.
5. Medidas de prevención, detección y corrección que protejan a los sistemas de la organización de software malicioso y virus informáticos.
6. Alineación de los servicios claves de tecnología de información con los requerimientos y las prioridades de la organización.
7. Administración de los incidentes reportados que demandan los usuarios.


410-13 Monitoreo y evaluación de los procesos y servicios
La Unidad de Tecnología de Información 
  • Definirá sobre la base de las operaciones de la entidad, indicadores de desempeño y métricas del proceso para monitorear la gestión y tomar los correctivos que se requieran. 
  • Definirá y ejecutará procedimientos, mecanismos y la periodicidad para la medición, análisis y mejora del nivel de satisfacción de los clientes internos y externos por los servicios recibidos. 
  • Presentará informes periódicos de gestión a la alta dirección, para que ésta supervise el cumplimiento de los objetivos planteados y se identifiquen e implanten acciones correctivas y de mejoramiento del desempeño.
    410-14 Sitio web, servicios de internet e intranet
Es responsabilidad de la Unidad de Tecnología de Información elaborar las normas, procedimientos e instructivos de instalación, configuración y utilización de los servicios de internet, intranet, correo electrónico y sitio web de la entidad, a base de las disposiciones legales y normativas y los requerimientos de los usuarios externos e internos. 
410-15 Capacitación informática

Las necesidades de capacitación serán identificadas tanto para el personal de tecnología de información como para los usuarios que utilizan los servicios de información. 
El plan estará orientado a los puestos de trabajo y a las necesidades de conocimiento específicas determinadas en la evaluación de desempeño e institucionales.

410-16 Comité informático

Para la creación de un comité informático institucional, se considerarán los siguientes aspectos:
  • El tamaño y complejidad de la entidad y su interrelación con entidades adscritas. 
  • La definición clara de los objetivos que persigue la creación de un Comité de Informática. 
  • La conformación y funciones del comité, su reglamentación, la creación de grupos de trabajo, la definición de las atribuciones y responsabilidades de los miembros del comité, entre otros aspectos.
410-17 Firmas electrónicas

Las entidades, organismos y dependencias del sector público, así como las personas jurídicas que actúen en virtud de una potestad estatal, ajustarán sus procedimientos y operaciones e incorporarán los medios técnicos necesarios, para permitir el uso de la firma electrónica de conformidad con la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su reglamento, se sujetará a las garantías, reconocimiento, efectos y validez señalados en estas disposiciones legales y su normativa secundaria de aplicación. 

Las servidoras y servidores autorizados por las instituciones del sector público podrán utilizar la firma electrónica contenida en un mensaje de datos para el ejercicio y cumplimiento de las funciones inherentes al cargo público que ocupan. 

Los aplicativos que incluyan firma electrónica dispondrán de mecanismos y reportes que faciliten una auditoría de los mensajes de datos firmados electrónicamente.

  • Verificación de autenticidad de la firma electrónica
  • Coordinación interinstitucional de formatos para uso de la firma electrónica
  • Conservación de archivos electrónicos
  • Actualización de datos de los certificados de firmas electrónicas
  • Seguridad de los certificados y dispositivos portables seguros
  • Renovación del certificado de firma electrónica
  • Capacitación en el uso de las firmas electrónicas

Conclusiones

Para concluir se puede señalar que la tecnología se la información actualmente juega un papel fundamental para las organizaciones, partiendo de que, la tecnología es el conocimiento y la utilización de herramientas, técnicas y sistemas con el fin de servir a un propósito más grande como la resolución de problemas o hacer la vida más fácil y mejor. Su importancia para los seres humanos es enorme porque les ha ayudado a adaptarse al entorno.
El desarrollo de alta tecnología ha ayudado a conquistar las barreras de comunicación y reducir la brecha entre la gente de todo el mundo. Los lugares lejanos se han vuelto más cercanos cada vez y en consecuencia el ritmo de vida ha aumentado. Las cosas que antes tardaban horas para ser completadas, se puede hacer en cuestión de segundos en la actualidad. El mundo es más pequeño y la vida es mucho más rápida.
Debido a la importancia de la unidad de tecnología de la información en vas a entidad para un correcto funcionamiento de crearon las normas de la Contraloría general del Estado que proporcionan una guía básica sobre la cual se basa el control interno de una organización, en especial en la norma 410 de las normas de esta institución se hace referencia sobre la unidad de tecnología de la información en la que habla sobre la necesidad de esta unidad dentro de una organización y en el organigrama estructural sus funciones, la importancia, los miembros, como deben ser tomadas las decisiones bajo está área, los costos que se tomarán en cuenta, el presupuesto para la adquisición de equipos tecnológicos y la ejecución de proyectos , en si todo lo relacionado con la infraestructura tecnológica dentro de una organización, está norma tiene como propósito mejorar la parte tecnológica en cuanto a la información que se maneja, velar por su seguridad, correcto uso, y el mejoramiento del servicio en sí.

Recomendaciones

Las empresas del sector publico deben basarse en las Norma 410 de Control Interno para el Sector Público de la República del Ecuador que trata sobre las tecnologías de la información ya que constituyen guías generales emitidas por la Contraloría General del Estado, de esta manera llevar una adecuada de los recursos públicos con el objeto de buscar la efectividad, eficiencia y economía de los recurso tecnológicos del sector público y que al momento de realizar una auditoria informática los resultados sean favorables.



Bibliografía






No hay comentarios:

Publicar un comentario

NORMA 410 TECNOLOGÍA DE LA INFORMACIÓN CONTRALORÍA GENERAL DEL ESTADO

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO FACULTAD DE ADMINISTRACIÓN DE EMPRESAS ESCUELA DE CONTABILIDAD Y AUDITORÍA AUDITORÍA INFO...