La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Normas de Control Interno para Tecnología de la Información Res

Publicada porLeta Bazan Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Normas de Control Interno para Tecnología de la Información Res"— Transcripción de la presentación:

1 Normas de Control Interno para Tecnología de la Información Res
Normas de Control Interno para Tecnología de la Información Res. 48/2005 SIGEN Sector Público Nacional

2 Objetivos Destinatarios: Responsables de los organismos
Responsables informáticos Auditores

3 Objetivos Para los responsables de los organismos y
responsables informáticos Comunicar los controles mínimos que se deben cumplir en la gestión de TI. Propiciar la adopción de prácticas de control interno para la gestión de la tecnología de la información, alineadas con estándares internacionales.

4 Objetivos Para los auditores
Incluir las revisiones de la gestión informática en los planes de auditoría de las UAI. Guiar las revisiones sobre la gestión de la tecnología informática al constituir el elemento contra el cual contrastar la realidad.

5 Situación general Riesgos detectados

6 Situación del SPN 37% de los organismos posee más de un sector responsable de los servicios de procesamiento de la información Riesgos: Dificultades para llevar a cabo estrategias y planes unificados relativos a la TI Posible duplicación de esfuerzos y tareas

7 Situación del SPN 63% de las áreas informáticas depende de una de las áreas usuarias Riesgos: Falta de independencia Incorrecta gestión de prioridades en la prestación de servicios

8 Situación del SPN 61% de las áreas informáticas carece de estructura interna formalmente definida Riesgos: Falta de separación de funciones Desconocimiento, por parte del personal, de sus responsabilidades Dificultades ante eventuales necesidades de rendición de cuentas

9 Situación del SPN 37% no dispone de planificación documentada
51% no dispone de planificación aprobada Riesgos: Falta de dirección y control de las actividades y proyectos informáticos encarados Ineficiencia de los proyectos informáticos “Malas” inversiones en TI Disparidad entre los objetivos de la organización y de la TI

10 Situación del SPN 69% carece de procedimientos aprobados para el desarrollo y mantenimiento de sistemas Riesgos: Modificaciones no autorizadas sobre los Sistemas Incorrecta administración de prioridades Falta de aplicación de estándares de programación y documentación Implementación de Sistemas no probados

11 Situación del SPN 69% carece de procedimientos aprobados para la administración de la seguridad Riesgos: Accesos no autorizados a la información o los recursos del Organismo Inexactitud o falta de confiabilidad de los datos o Sistemas Falta de disponibilidad de la información o recursos necesarios

12 Situación del SPN 74% carece de plan de contingencias Riesgos:
Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada

13 Situación del SPN 59% carece de procedimientos documentados de back up
Riesgos: Pérdidas de información Interrupciones a la continuidad operativa del Organismo Dependencia del personal que se encarga de la tarea

14 Situación del SPN 77% carece de procedimientos documentados para las actividades de soporte técnico (impactando en la administración de prioridades, disconformidad de los usuarios, etc.) 80% carece de procedimientos documentados para la gestión de licencias de software (con riesgos de incumplimiento de la normativa aplicable)

15 Situación del SPN 57% no realiza auditorías internas de sistemas
Riesgos: Desequilibrio entre la informatización del organismo y la realización de auditorías

16 Situación del SPN La tecnología se convirtió en un factor clave de éxito para la gestión Creciente sistematización de las actividades del Estado Importantes inversiones en Tecnología Informática

17 Normas - Antecedentes “Pautas de Control Interno para Tecnología y Sistemas de Información” publicadas por SIGEN en 1997 Modelo COBIT (Governance, Control and Audit for Information and Related Technology) IRAM-ISO 17799: Tecnología de la información - Código de práctica para la administración de la seguridad de la información - Modelo de Política de Seguridad de los Sistemas de Información para Organismos de la APN

18 Normas de Control Interno para TI
Normas - Antecedentes Normas Generales de Control Interno (Res. 107/98 SGN) Normas de Control Interno para TI Normas Generales de Control Interno Normas de Control Interno para TI

19 Política de Seguridad de la Información para el Sector Público
Decisión Administrativa 669/2004 ONTI Junio 2005

20 Modelo de Política de Seguridad
En base a un relevamiento se definió la necesidad de que los Organismos cuenten con políticas de seguridad para el resguardo de la información. Se redactó un Modelo de Política de Seguridad, basado en la norma internacional ISO/IRAM 17799, y en conjunto con SIGEN y otros Organismos. El mismo se encuentra en proceso de aprobación.

21 Decisión Administrativa
En diciembre de 2004 se aprobó la Decisión Administrativa 669/2004, cuyos objetivos son: Dictar o adecuar la Política de Seguridad de la Información. Conformar un Comité de Seguridad de la Información. Asignar las responsabilidades en materia de Seguridad de la Información.

22 Próximos pasos Se prevé próximamente:
La aprobación del Modelo de Política de Seguridad. El dictado de cursos de capacitación La asistencia a Organismos. La publicación de documentación adicional.

23 Para mayor información

24 Res. 48/2005 SIGEN Contenido de la Norma

25 Normas – Puntos abarcados
1. Organización Informática Unificación de la responsabilidad por las actividades informáticas Independencia del área Definición de puestos de trabajo Separación de funciones Capacitación

26 Normas – Puntos abarcados
2. Plan Estratégico de TI Alcance del plan Necesidad de evitar la obsolescencia Formalización del plan Actualización en el tiempo Presupuesto asociado al plan Seguimiento del plan Relación del plan con la realidad ejecutada

27 Normas – Puntos abarcados
3. Arquitectura de la Información Organización eficiente de los datos de la organización. Visión integral.

28 Normas – Puntos abarcados
4. Políticas y Procedimientos Desarrollo de políticas y procedimientos sobre las actividades que se llevan a cabo

29 Normas – Puntos abarcados
5. Cumplimiento de Regulaciones Externas Responsabilidad de velar por el cumplimiento de las normas aplicables Formalización de relaciones con terceros

30 Normas – Puntos abarcados
6. Administración de Proyectos Metodología de adm. de proyectos Documentación de objetivo, recursos, plazos, responsabilidades, etc. Factibilidad y riesgos Participación de usuarios Seguimiento de la ejecución del proyecto

31 Normas – Puntos abarcados
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación Metodología de desarrollo Formulación de requerimientos, manejo de prioridades, solicitudes de emergencia, participación formal de usuarios y la UAI, estándares de desarrollo, pruebas, pasaje a producción, control de versiones, documentación y capacitación Contrataciones de servicios de desarrollo

32 Normas – Puntos abarcados
8. Adquisición y Mantenimiento de la Infraestructura Tecnológica Normas para contrataciones Características de la aceptación definitiva Mantenimiento del hardware Gestión de licencias de software

33 Normas – Puntos abarcados
9. Seguridad Política de Seguridad de la Información (relacionado con la DA 669/2004)

34 Normas – Puntos abarcados
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros Justificación de la contratación Previsiones contractuales Monitoreo del servicio Previsiones respecto de la continuidad

35 Normas – Puntos abarcados
11. Servicios de Internet / Extranet / Intranet Aprobación de contenidos Acuerdo con los proveedores de servicios de comunicaciones

36 Normas – Puntos abarcados
12. Monitoreo de los Procesos Definición de indicadores de desempeño Informes periódicos de gestión

37 Normas – Puntos abarcados
13. Auditoría Interna de Sistemas Ejecución de auditorías internas de sistemas

38 Herramientas para el auditor
Intranet SIGEN: www . net . sigen . gov . ar Normas Material de consulta para auditorías informáticas Programas de auditoría

Descargar ppt "Normas de Control Interno para Tecnología de la Información Res"

Presentaciones similares

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
Ggfgfgggff.

Ggfgfgggff.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
information technology service

information technology service
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
La Necesidad de un Ambiente Eficaz de Controles Generales de TI

La Necesidad de un Ambiente Eficaz de Controles Generales de TI
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
DOCUMENTACION GERENCIA DE TECNOLOGIA Informe de Situación Julio 2012

DOCUMENTACION GERENCIA DE TECNOLOGIA Informe de Situación Julio 2012
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
SANDRA ELIZABETH CHIMBO CHÁVEZ

SANDRA ELIZABETH CHIMBO CHÁVEZ
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD

MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google