Contralora General de la Repblica

CGR

Normas tcnicas para la gestin y el control de las Tecnologas de Informacin (N-2-2007-CO-DFOE)

Aprobadas mediante Resolucin del Despacho de la Contralora General de la Repblica, Nro. R-CO-26-2007 del 7 de junio, 2007. Publicada en La Gaceta Nro.119 del 21 de junio, 2007

R-CO-26-2007 CONTRALORA GENERAL DE LA REPBLICA. DESPACHO DE LA CONTRALORA GENERAL. San Jos a las diez horas del siete de junio del 2007. Considerando:

1 Que el artculo 183 la Constitucin Poltica dispone que la Contralora General de la Repblica es una institucin auxiliar de la Asamblea Legislativa, con absoluta independencia en la vigilancia y control de la Hacienda Pblica. 2 Que los artculos 11 y 12 de la Ley Orgnica de la Contralora General de la Repblica, Nro. 7424, la designan como rgano rector del Ordenamiento de Control y Fiscalizacin Superiores de la Hacienda Pblica confirindole, en concordancia con el artculo 24 de dicha Ley, la facultad de emitir disposiciones, normas, polticas y directrices que coadyuven a garantizar la legalidad y la eficiencia tanto de los controles internos, como del manejo de los fondos pblicos de los entes sobre los cuales tiene jurisdiccin. 3 Que el artculo 3 de la Ley General de Control Interno, Nro. 8292 del 31 de julio de 2002, refuerza las facultades de la Contralora General para emitir la normativa tcnica de control interno necesaria para el funcionamiento efectivo del sistema de control interno de los entes y rganos sujetos a esa ley. 4 Que la Contralora General de la Repblica public en La Gaceta Nro. 24 del 2 de febrero de 1996, Alcance Nro. 7, el Manual sobre Normas Tcnicas de Control Interno relativas a los Sistemas de Informacin Computadorizados. 5 Que las tecnologas de informacin -afectadas por constantes avances tecnolgicos-, se han convertido en un instrumento esencial en la prestacin de los servicios y representan rubros importantes en los presupuestos del Sector Pblico. 6 Que con fundamento en lo antes expuesto la Contralora General de la Repblica ha considerado pertinente emitir las Normas tcnicas para la gestin y el control de las tecnologas de informacin para con ello fortalecer la administracin de los recursos invertidos en tecnologas de informacin, mediante el establecimiento de criterios bsicos de control que deben ser observados en la gestin institucional de esas tecnologas y que a su vez coadyuven en el control y fiscalizacin que realice este rgano contralor.
Por tanto,

RESUELVE
Artculo 1Aprobar el documento denominado Normas tcnicas para la gestin y el control de las tecnologas de informacin, normativa que establece los criterios bsicos de control que deben observarse en la gestin de esas tecnologas y que tiene como propsito coadyuvar en su gestin, en virtud de que dichas tecnologas se han convertido en un instrumento esencial en la prestacin de los servicios pblicos, representando inversiones importantes en el presupuesto del Estado. Dicha normativa est estructurada de la siguiente manera:

Introduccin Captulo I Normas de aplicacin general 1.1 1.2 1.3 1.4 Marco estratgico de TI Gestin de la calidad Gestin de riesgos Gestin de la seguridad de la informacin 1.4.1 Implementacin de un marco de seguridad de la informacin 1.4.2 Compromiso del personal con la seguridad de la informacin 1.4.3 Seguridad fsica y ambiental 1.4.4 Seguridad en las operaciones y comunicaciones 1.4.5 Control de acceso 1.4.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica 1.4.7 Continuidad de los servicios de TI 1.5 Gestin de proyectos 1.6 Decisiones sobre asuntos estratgicos de TI 1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI Captulo II 2.1 2.2 2.3 2.4 2.5 Planificacin y organizacin

Planificacin de las tecnologas de informacin Modelo de arquitectura de informacin Infraestructura tecnolgica Independencia y recurso humano de la Funcin de TI Administracin de recursos financieros

Captulo III Implementacin de tecnologas de informacin 3.1 3.2 3.3 3.4 Consideraciones generales de la implementacin de TI Implementacin de software Implementacin de infraestructura tecnolgica Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura

Captulo IV Prestacin de servicios y mantenimiento 4.1 4.2 4.3 4.4 4.5 4.6 Definicin y administracin de acuerdos de servicio Administracin y operacin de la plataforma tecnolgica Administracin de los datos Atencin de requerimientos de los usuarios de TI Manejo de incidentes Administracin de servicios prestados por terceros Seguimiento

Captulo V 5.1 5.2 5.3

Seguimiento de los procesos de TI Seguimiento y evaluacin del control interno en TI Participacin de la Auditora Interna

Glosario

ii

Artculo 2 Promulgar las Normas tcnicas para la gestin y el control de las tecnologas de informacin, Nro. N-2-2007-CO-DFOE. Artculo 3 Establecer que las Normas tcnicas para la gestin y el control de las tecnologas de informacin son de acatamiento obligatorio para la Contralora General de la Repblica y las instituciones y rganos sujetos a su fiscalizacin, excluyendo a las instituciones de menor tamao, entendidas como aquellas que dispongan de un total de recursos que ascienda a un monto igual o inferior a seiscientas mil unidades de desarrollo y que cuenten con menos de treinta funcionarios, incluyendo al jerarca, los titulares subordinados, y todo su personal; y que estas normas prevalecern sobre cualquier disposicin en contrario que emita la Administracin. Asimismo, que su inobservancia generar las responsabilidades que correspondan de conformidad con el marco jurdico que resulte aplicable. (As modificado segn resolucin R-CO-9-2009 de las nueve horas del veintisis de enero del dos mil nueve, mediante la cual se emitieron las Normas de control interno para el Sector Pblico, publicada en La Gaceta N 26 del 6 de febrero del mismo ao). Artculo 4 Derogar el Manual sobre normas tcnicas de control interno relativas a los sistemas de informacin computadorizados, publicado en el Alcance Nro. 7 de La Gaceta No. 24 del 2 de febrero de 1996. Artculo 5 Informar que dicha normativa ser distribuida por medio de los mecanismos pertinentes a cada institucin y estarn a disposicin en la direccin electrnica www.cgr.go.cr de la Contralora General de la Repblica. Artculo 6 Informar que la Administracin contar con dos aos a partir de su entrada en vigencia para cumplir con lo regulado en esta normativa, lapso en el cual, dentro de los primeros seis meses, deber planificar las actividades necesarias para lograr una implementacin efectiva y controlada de lo establecido en dicha normativa, contemplando los siguientes aspectos: a. La constitucin de un equipo de trabajo con representacin de las unidades que correspondan. b. La designacin de un responsable del proceso de implementacin, quien asumir la coordinacin del equipo de trabajo y deber contar con la autoridad necesaria, dentro de sus competencias, para ejecutar el referido plan. c. El estudio detallado de las normas tcnicas referidas, con el fin de identificar las que apliquen a la entidad u rgano de conformidad con su realidad tecnolgica y con base en ello establecer las prioridades respecto de su implementacin. d. Dicha planificacin deber considerar las actividades por realizar, los plazos establecidos para cada una, los respectivos responsables, los costos estimados, as como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos tcnicos) y quedar debidamente documentada. Artculo 7 Comunicar que la referida normativa entrar a regir a partir del 31 de julio del 2007.
Publquese. Roco Aguilar Montoya CONTRALORA GENERAL DE LA REPBLICA

iii

Contralora General de la Repblica

Normas tcnicas para la gestin y el control de las tecnologas de informacin

(N-2-2007-CO-DFOE)

iv

NDICE
CONTRALORA GENERAL DE LA REPBLICA................................................................................................iii Introduccin...............................................................................................................................................................1 Captulo I Normas de aplicacin general................................................................................................................2 1.1 Marco estratgico de TI...................................................................................................................................2 1.2Gestin de la calidad .......................................................................................................................................2 1.3Gestin de riesgos.............................................................................................................................................2 1.4Gestin de la seguridad de la informacin.......................................................................................................2 1.4.1Implementacin de un marco de seguridad de la informacin......................................................................3 1.4.2Compromiso del personal con la seguridad de la informacin.....................................................................3 1.4.3Seguridad fsica y ambiental.........................................................................................................................3 1.4.4Seguridad en las operaciones y comunicaciones...........................................................................................4 1.4.5Control de acceso..........................................................................................................................................5 1.4.6Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica.....................6 6 1.4.7Continuidad de los servicios de TI................................................................................................................6 1.5Gestin de proyectos........................................................................................................................................6 1.6Decisiones sobre asuntos estratgicos de TI....................................................................................................6 1.7Cumplimiento de obligaciones relacionadas con la gestin de TI...................................................................6 Captulo II Planificacin y organizacin.................................................................................................................7 2.1Planificacin de las tecnologas de informacin .............................................................................................7 2.2Modelo de arquitectura de informacin...........................................................................................................7 2.3Infraestructura tecnolgica...............................................................................................................................7 2.4Independencia y recurso humano de la Funcin de TI ....................................................................................7 2.5Administracin de recursos financieros...........................................................................................................7 Captulo III Implementacin de tecnologas de informacin...................................................................................8 3.1Consideraciones generales de la implementacin de TI...................................................................................8 3.2Implementacin de software.............................................................................................................................9 3.3Implementacin de infraestructura tecnolgica................................................................................................9 3.4Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura................10 Captulo IV Prestacin de servicios y mantenimiento...........................................................................................11 4.1Definicin y administracin de acuerdos de servicio.....................................................................................11 4.2Administracin y operacin de la plataforma tecnolgica.............................................................................12 4.3Administracin de los datos...........................................................................................................................12 4.4Atencin de requerimientos de los usuarios de TI.........................................................................................12 4.5Manejo de incidentes......................................................................................................................................12 4.6Administracin de servicios prestados por terceros.......................................................................................13 Captulo V Seguimiento........................................................................................................................................14 5.1Seguimiento de los procesos de TI.................................................................................................................14 5.2Seguimiento y evaluacin del control interno en TI......................................................................................14 5.3Participacin de la Auditora Interna..............................................................................................................14 Glosario.........................................................................................................................................................................15

Normas tcnicas para la gestin y el control de las tecnologas de informacin N-2-2007-CO-DFOE

Introduccin

Las tecnologas de informacin (TI) constituyen uno de los principales instrumentos que apoyan la gestin de las organizaciones mediante el manejo de grandes volmenes de datos necesarios para la toma de decisiones y la implementacin de soluciones para la prestacin de servicios giles y de gran alcance. Su uso ha implicado, al menos, tres situaciones relevantes: la dedicacin de porciones importantes del presupuesto de las organizaciones, con el costo de oportunidad que ello conlleva, principalmente en organizaciones con recursos limitados y actividades sustantivas esenciales para la sociedad; un marco jurdico cambiante tendente a buscar su paralelismo con las nuevas relaciones que se dan a raz del uso de esas TI; y una presin importante de proveedores y consumidores por la implementacin de ms y mejores servicios apoyados en estas tecnologas. Dado el impacto de dichas situaciones, las TI deben gestionarse dentro de un marco de control que procure el logro de los objetivos que se pretende con ellas y que dichos objetivos estn debidamente alineados con la estrategia de la organizacin. Con el propsito de coadyuvar con ese marco de control y procurar una mejor gestin de dichas tecnologas por parte de las organizaciones, esta Contralora General sustituye el Manual sobre normas tcnicas de control interno relativas a los sistemas de informacin automatizados, mediante la promulgacin de las presentes Normas tcnicas para la gestin y el control de las tecnologas de informacin, que se constituyen en una normativa ms ajustada a la realidad y necesidad de nuestro mbito tecnolgico actual. En razn de que dicha normativa establece criterios de control que deben ser observados como parte de la gestin institucional de las TI, el jerarca y los titulares subordinados, como responsables de esa gestin, deben establecer, mantener, evaluar y perfeccionar ese marco de control de conformidad con lo establecido en la Ley General de Control Interno Nro. 8292. Asimismo, la Funcin de TI debe contribuir con ello cumpliendo con dicho marco de control y facilitando la labor estratgica del jerarca. Esta normativa es de acatamiento obligatorio para la Contralora General de la Repblica y las instituciones y rganos sujetos a su fiscalizacin, y su inobservancia generar las responsabilidades que correspondan de conformidad con el marco jurdico que resulte aplicable.

Captulo I Normas de aplicacin general

1.1 Marco estratgico de TI El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco estratgico constituido por polticas organizacionales que el personal comprenda y con las que est comprometido. La organizacin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo. La organizacin debe responder adecuadamente a las amenazas que puedan afectar la gestin de las TI, mediante una gestin continua de riesgos que est integrada al sistema especfico de valoracin del riesgo institucional y considere el marco normativo que le resulte aplicable. La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para ello debe documentar e implementar una poltica de seguridad de la informacin y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relacin con los siguientes aspectos:
- La implementacin de un marco de seguridad de la informacin.

1.2 Gestin de la calidad 1.3 Gestin de riesgos

1.4 Gestin de la

seguridad de la informacin

- El compromiso del personal con la seguridad de la informacin. - La seguridad fsica y ambiental. - La seguridad en las operaciones y comunicaciones. - El control de acceso. - La seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica. - La continuidad de los servicios de TI. Adems debe establecer las medidas de seguridad relacionadas con: - El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos. - El manejo de la documentacin. - La terminacin normal de contratos, su rescisin o resolucin. - La salud y seguridad del personal. Las medidas o mecanismos de proteccin que se establezcan deben mantener una proporcin razonable entre su costo y los riesgos asociados.

1.4.1

Implementacin de un marco de seguridad de la informacin

La organizacin debe implementar un marco de seguridad de la informacin, para lo cual debe:

a. Establecer un marco metodolgico que incluya la clasificacin

de los recursos de TI, segn su criticidad, la identificacin y evaluacin de riesgos, la elaboracin e implementacin de un plan para el establecimiento de medidas de seguridad, la evaluacin peridica del impacto de esas medidas y la ejecucin de procesos de concienciacin y capacitacin del personal. b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar peridicamente acciones para su actualizacin. c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la organizacin como de terceros relacionados.
1.4.2 Compromiso del personal con la seguridad de la informacin

El personal de la organizacin debe conocer y estar comprometido con las regulaciones sobre seguridad y confidencialidad, con el fin de reducir los riesgos de error humano, robo, fraude o uso inadecuado de los recursos de TI. Para ello, el jerarca, debe: a. Informar y capacitar a los empleados sobre sus responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI. b. Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades. c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad especficas relacionadas con el manejo de la documentacin y rescisin de contratos.

1.4.3

Seguridad fsica y ambiental

La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico seguro y controlado, con medidas de proteccin suficientemente fundamentadas en polticas vigentes y anlisis de riesgos. Como parte de esa proteccin debe considerar: a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o reas de trabajo, proteccin de oficinas, separacin adecuada de reas. b. La ubicacin fsica segura de los recursos de TI. c. El ingreso y salida de equipos de la organizacin. d. El debido control de los servicios de mantenimiento. e. Los controles para el desecho y reutilizacin de recursos de TI. f. La continuidad, seguridad y control del suministro de energa elctrica, del cableado de datos y de las comunicaciones inalmbricas. g. El acceso de terceros. h. Los riesgos asociados con el ambiente.

1.4.4

Seguridad en las operaciones y comunicaciones

La organizacin debe implementar las medidas de seguridad relacionadas con la operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacin. Para ello debe:
a. Implementar los mecanismos de control que permitan asegurar

la no negacin, la autenticidad, la integridad y la confidencialidad de las transacciones y de la transferencia o intercambio de informacin. b. Establecer procedimientos para proteger la informacin almacenada en cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios), incluso los relativos al manejo y desecho de esos medios. c. Establecer medidas preventivas, detectivas y correctivas con respecto a software malicioso o virus.

1.4.5 acceso

Control de

La organizacin debe proteger la informacin de accesos no autorizados. Para dicho propsito debe: a. Establecer un conjunto de polticas, reglas y procedimientos relacionados con el acceso a la informacin, al software de base y de aplicacin, a las bases de datos y a las terminales y otros recursos de comunicacin. b. Clasificar los recursos de TI en forma explcita, formal y uniforme de acuerdo con trminos de sensibilidad. c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI. d. Establecer procedimientos para la definicin de perfiles, roles y niveles de privilegio, y para la identificacin y autenticacin para el acceso a la informacin, tanto para usuarios como para recursos de TI. e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las polticas de la organizacin bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la informacin son responsables de definir quines tienen acceso a la informacin y con qu limitaciones o restricciones. f. Implementar el uso y control de medios de autenticacin (identificacin de usuario, contraseas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompaarse de un procedimiento que contemple la requisicin, aprobacin, establecimiento, suspensin y desactivacin de tales medios de autenticacin, as como para su revisin y actualizacin peridica y atencin de usos irregulares. i. Establecer controles de acceso a la informacin impresa, visible en pantallas o almacenada en medios fsicos y proteger adecuadamente dichos medios. j. Establecer los mecanismos necesarios (pistas de auditora) que permitan un adecuado y peridico seguimiento al acceso a las TI. k. Manejar de manera restringida y controlada la informacin sobre la seguridad de las TI.

Error involuntario; saldo en la numeracin, faltan apartados g y h

1.4.6

Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica

La organizacin debe mantener la integridad de los procesos de implementacin y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no autorizado, dao o prdida de informacin. Para ello debe:
a. Definir previamente los requerimientos de seguridad que deben

ser considerados en la implementacin y mantenimiento de software e infraestructura. b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en produccin del software e infraestructura. c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de desarrollo, mantenimiento y produccin. d. Controlar el acceso a los programas fuente y a los datos de prueba.
1.4.7 Continuidad de los servicios de TI

La organizacin debe mantener una continuidad razonable de sus procesos y su interrupcin no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organizacin, la evaluacin e impacto de los riesgos y la clasificacin de sus recursos de TI segn su criticidad.

1.5 Gestin de proyectos 1.6 Decisiones sobre asuntos estratgicos de TI

La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto ptimos preestablecidos. El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora de una representacin razonable de la organizacin que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada atencin de los requerimientos de todas las unidades de la organizacin. La organizacin debe identificar y velar por el cumplimiento del marco jurdico que tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

Captulo II

Planificacin y organizacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes y emergentes. La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de informacin de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, slo la informacin que sus procesos requieren. La organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI. El jerarca debe asegurar la independencia de la Funcin de TI respecto de las reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones.

2.1 Planificacin de las tecnologas de informacin 2.2 Modelo de arquitectura de informacin 2.3 Infraestructur a tecnolgica

2.4 Independencia

y recurso humano de la Funcin de TI

2.5 Administraci

n de recursos financieros

La organizacin debe optimizar el uso de los recursos financieros invertidos en la gestin de TI procurando el logro de los objetivos de esa inversin, controlando en forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte aplicable.

Captulo III Implementacin de tecnologas de informacin

3.1 Consideracion es generales de la implementacin de TI La organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura tecnolgica. Para esa implementacin y mantenimiento debe: a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes de implementacin o mantenimiento de TI. b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca como de las reas usuarias. c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas. d.Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad. e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos. f. Contar con una definicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo beneficio. g.Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos. h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios.

3.2 Implementaci n de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3.1anterior. b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post-implantacin de la satisfaccin de los requerimientos. c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacin y mantenimiento de software. d.Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin. e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos. f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.

3.3 Implementaci n de infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual.

3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementacin o mantenimiento de software e infraestructura. Para lo anterior, debe: a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores. b.Establecer una poltica relativa a la contratacin de productos de software e infraestructura. c. Contar con la debida justificacin para contratar a terceros la implementacin y mantenimiento de software e infraestructura tecnolgica. d.Establecer un procedimiento o gua para la definicin de los trminos de referencia que incluyan las especificaciones y requisitos o condiciones requeridos o aplicables, as como para la evaluacin de ofertas. e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software. f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia de la organizacin respecto de terceros contratados para la implementacin y mantenimento de software e infraestructura tecnolgica

10

Captulo IV Prestacin de servicios y mantenimiento

4.1 Definicin y administracin de acuerdos de servicio La organizacin debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluacin del desempeo. Para ello deben: a. Tener una comprensin comn sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad. b. Contar con una determinacin clara y completa de los servicios y sus atributos, y analizar su costo y beneficio. c. Definir con claridad las responsabilidades de las partes y su sujecin a las condiciones establecidas. d. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin de cambios en ellos. e. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos. f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con terceros.

11

4.2 Administraci n y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales fallas. c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. d.Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fsicas peridicas. e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. f. Mantener separados y controlados los ambientes de desarrollo y produccin. g.Brindar el soporte requerido a los equipos principales y perifricos. h.Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin. i. Controlar los servicios e instalaciones externos. La organizacin debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones vlidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma ntegra y segura. La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atencin debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia. La organizacin debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Adems, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.

4.3 Administraci n de los datos

4.4 Atencin de

requerimientos de los usuarios de TI

4.5 Manejo de incidentes

12

4.6 Administraci n de servicios prestados por terceros

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe: a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. b.Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a calidad, seguridad y seguimiento establecidas por la organizacin. d.Minimizar la dependencia de la organizacin respecto de los servicios contratados a un tercero. e. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados.

13

Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI La organizacin debe asegurar el logro de los objetivos propuestos como parte de la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso. El jerarca debe establecer y mantener el sistema de control interno asociado con la gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas. La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organizacin proporcione una garanta razonable del cumplimiento de los objetivos en esa materia.

5.2 Seguimiento y evaluacin del control interno en TI 5.3 Participacin de la Auditora Interna

14

Glosario
Activos informticos Acuerdos de confidencialidad Vase Recursos informticos Convenio suscrito entre la entidad y sus funcionarios, o bien, entre instituciones que comparten datos o sistemas, para garantizar el manejo discreto de la informacin. Tambin se utiliza el concepto clusulas de confidencialidad, que son aquellas que imponen una obligacin negativa: de no hacer o de abstenerse; es decir, de no utilizar la informacin recibida con fines distintos a los estipulados. (Vanse los artculos 71 del Cdigo de Trabajo) Los acuerdos de servicios, mejor conocidos como convenios o acuerdos de nivel de servicio (SLAs por sus siglas en ingls de Service Level Agreement) son contratos escritos, formales, desarrollados conjuntamente por el proveedor del servicio de TI y los usuarios respectivos, en los que se define, en trminos cuantitativos y cualitativos, el servicio que brindar la dependencia responsable de TI y las responsabilidades de la contraparte beneficiada por dichos servicios.

Acuerdos de servicio

Ambiente de desarrollo Conjunto de componentes de hardware y software donde se efectan los procesos de construccin, mantenimiento (v.gr. ajustes, cambios y correcciones) y pruebas de sistemas de informacin. Ambiente de produccin Base de datos Conjunto de componentes de hardware y software donde se efectan los procesos normales de procesamiento de datos, con sistemas e informacin reales. Coleccin de datos almacenados en un computador, los cuales pueden ser accedidos de diversas formas para apoyar los sistemas de informacin de la organizacin. Propiedad o conjunto de propiedades inherentes a algo, que permiten juzgar su valor. / Conjunto de caractersticas que posee un producto o servicio obtenidos en un sistema productivo, as como su capacidad de satisfaccin de los requerimientos del usuario. Proteccin de informacin sensible contra divulgacin no autorizada. Riesgo que afecta la continuidad de los servicios y operaciones. Implica la prevencin, mitigacin de las interrupciones operacionales y la recuperacin de las operaciones y servicios. Vase password. Proceso mediante el cual se cambia el formato de los datos. Proceso de respetar y aplicar las leyes, reglamentaciones y disposiciones contractuales a las que est sujeta la organizacin. Objetos en su sentido ms amplio (es decir, internos y externos), estructurados y no estructurados, grficos, sonido, entre otros. Etapa del ciclo de vida del desarrollo de sistemas que implica la construccin de las aplicaciones.

Calidad

Confidencialidad de la informacin Contingencia Continuidad de los servicios y operaciones Contraseas Conversin de datos Cumplimiento Datos Desarrollo

15

Disponibilidad de la informacin

Se vincula con el hecho de que la informacin se encuentre disponible (v.gr. utilizable) cuando la necesite un proceso de la organizacin en el presente y en el futuro. Tambin se asocia con la proteccin de los recursos necesarios y las capacidades asociadas. Implica que se cuente con la informacin necesaria en el momento en que la organizacin la requiere. Que la informacin sea cierta, oportuna, relevante y pertinente para la organizacin. Provisin de informacin efectiva a la organizacin mediante el uso ptimo (el ms productivo y econmico) de los recursos. Unidad organizacional o conjunto de componentes organizacionales responsable de los principales procesos relacionados con la gestin de las tecnologas de informacin en apoyo a la gestin de la organizacin. Conjunto de acciones fundamentadas en polticas institucionales que, de una manera global, intentan dirigir la gestin de las TI hacia el logro de los objetivos de la organizacin. Para ello se procura, en principio, la alineacin entre los objetivos de TI y los de la organizacin, el balance ptimo entre las necesidades de TI de la organizacin y las oportunidades que sobre ello existen, la maximizacin de los beneficios y el uso responsable de los recursos, la administracin adecuada de los riesgos y el valor agregado en la implementacin de dichas TI. Tales acciones se relacionan con los procesos (planificacin, organizacin, implementacin, mantenimiento, entrega, soporte y seguimiento), recursos tecnolgicos (personas, sistemas, tecnologas, instalaciones y datos), y con el logro de los criterios de fidelidad, calidad y seguridad de la informacin. Tambin se entiende como Gobernabilidad de TI. Todos los componentes electrnicos, elctricos y mecnicos que integran una computadora, en oposicin a los programas que se escriben para ella y la controlan (software). Conjunto de datos que han sido capturados y procesados, que se encuentran organizados y que tienen el potencial de confirmar o cambiar el entendimiento sobre algo. Conjunto de componentes de hardware e instalaciones en los que se soportan los sistemas de informacin de la organizacin. Edificaciones y sus aditamentos utilizados para alojar los recursos informticos. Precisin y suficiencia de la informacin, as como su validez de acuerdo con los valores y expectativas del negocio. Superior jerrquico, unipersonal o colegiado del rgano o ente quien ejerce la mxima autoridad. Conjunto de componentes asociados a la gestin de la seguridad dentro de los cuales cuentan, entre otros: Principios y trminos definidos para un uso uniforme en la organizacin; un sistema de gestin que implica la definicin de actividades, productos y responsables del proceso de definicin, implementacin y seguimiento de acciones para la seguridad de la informacin; el conjunto de controles; las guas de implementacin; mtricas para seguimiento y la consideracin de riesgos. Principio utilizado para la asignacin de perfiles de usuario segn el cual a ste se

Efectividad de la informacin Eficiencia Funcin de TI

Gestin de las TI

Hardware

Informacin

Infraestructura tecnolgica Instalaciones Integridad Jerarca Marco de seguridad de la informacin

Menor Privilegio

16

le deben asignar, por defecto, nicamente los permisos estrictamente necesarios para la realizacin de sus labores. Migracin Proceso de traslado de datos o sistemas entre plataformas o entre sistemas.

Modelo de arquitectura Vase "Modelo de Informacin". de informacin Modelo de informacin Representacin de los procesos, sistemas y datos, y sus interrelaciones, mediante los cuales fluye toda la informacin organizacional. No negacin Condicin o atributo que tiene una transaccin informtica que permite que las partes relacionadas con ella no puedan aducir que la misma transaccin no se realiz o que no se realiz en forma completa, correcta u oportuna. Principio utilizado para la definicin de perfiles de usuario segn el cual a ste se le deben asignar los permisos estrictamente necesarios para tener acceso a aquella informacin que resulte imprescindible para la realizacin de su trabajo. Informacin que se registra como parte de la ejecucin de una aplicacin o sistema de informacin y que puede ser utilizada posteriormente para detectar incidencias o fallos. Esta informacin puede estar constituida por atributos como: la fecha de creacin, ltima modificacin o eliminacin de un registro, los datos del responsable de dichos cambios o cualquier otro dato relevante que permita dar seguimiento a las transacciones u operaciones efectuadas. Las pistas de auditora permiten el rastreo de datos y procesos; pueden aplicarse progresivamente (de los datos fuente hacia los resultados), o bien regresivamente (de los resultados hacia los datos fuente). Trmino que resume los componentes de hardware y software (software de base, utilitarios y software de aplicacin) utilizados en la organizacin. Entrega o prestacin eficaz de los servicios de TI requeridos por la organizacin, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad, hasta la capacitacin. Para prestar los servicios, debe establecerse los procesos de soporte necesarios. Como parte de esta prestacin, se incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de aplicaciones. Tiene la propiedad de la informacin la unidad responsable o que puede disponer sobre dicha informacin. Aplicaciones, informacin, infraestructura (tecnologa e instalaciones) y personas que interactan en un ambiente de TI de una organizacin. Vase recursos de TI. Evaluacin regular de todos los procesos de TI a medida que transcurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. Es parte de la vigilancia ejercida por la funcin gerencial sobre los procesos de control de la organizacin y la garanta independiente provista por la auditora interna y externa u obtenida de fuentes alternativas. Conjunto de controles para promover la confidencialidad, integridad y disponibilidad de la informacin. Proteccin fsica del hardware, software, instalaciones y personal relacionado con

Necesidad de saber

Pistas de auditora

Plataforma tecnolgica Prestacin de servicios de TI

Propiedad de la informacin Recursos de TI Recursos informticos Seguimiento de las TI

Seguridad Seguridad fsica

17

los sistemas de informacin. Servicios prestados por Servicios recibidos de una empresa externa a la organizacin. Por lo general, terceros requiere de una contraparte interna de la organizacin que garantice que el producto desarrollado cumple con los estndares establecidos por sta. Tambin es conocido como outsourcing. Software Software de aplicacin Los programas y documentacin que los soporta que permiten y que facilitan el uso de la computadora. El software controla la operacin del hardware. Programa de computadora con el que se automatiza un proceso de la organizacin y que principalmente est diseado para usuarios finales. Tambin conocido como sistemas de aplicacin. Tambin conocido como software de sistemas que es la coleccin de programas de computadora usados en el diseo, procesamiento y control de todas las aplicaciones, los programas y rutinas de procesamiento que controlan el hardware de computadora. Incluye el sistema operativo y los programas utilitarios. Conjunto de tecnologas dedicadas al manejo de la informacin organizacional. Trmino genrico que incluye los recursos de: informacin, software, infraestructura y personas relacionadas. Funcionario de la administracin activa responsable de un proceso, con autoridad para ordenar y tomar decisiones.

Software de base

Tecnologas de informacin (TI) Titular Subordinado

18