Auditoría Informática en el Sistema de Control Interno Reunión de by hcj

VIEWS: 14 PAGES: 38

									Normas de Control Interno
  para Tecnología de la
       Información

      Res. 48/2005 SIGEN
    Sector Público Nacional
                 Objetivos
Destinatarios:

• Responsables de los organismos
• Responsables informáticos
• Auditores
                Objetivos
Para los responsables de los organismos y
responsables informáticos

• Comunicar los controles mínimos que se
  deben cumplir en la gestión de TI.
• Propiciar la adopción de prácticas de control
  interno para la gestión de la tecnología de la
  información, alineadas con estándares
  internacionales.
               Objetivos
Para los auditores
• Incluir las revisiones de la gestión
  informática en los planes de auditoría
  de las UAI.
• Guiar las revisiones sobre la gestión de
  la tecnología informática al constituir el
  elemento contra el cual contrastar la
  realidad.
Situación general

   Riesgos detectados
          Situación del SPN
37% de los organismos posee más de un sector
responsable de los servicios de procesamiento
de la información
                        Riesgos:
                37%     • Dificultades para llevar a
                        cabo estrategias y planes
                        unificados relativos a la TI
                        • Posible duplicación de
                        esfuerzos y tareas
63%
           Situación del SPN
 63% de las áreas informáticas depende de una
 de las áreas usuarias


37%                      Riesgos:
                         • Falta de independencia
                         • Incorrecta gestión de
                         prioridades en la
                         prestación de servicios
               63%
             Situación del SPN
  61% de las áreas informáticas carece de
  estructura interna formalmente definida
                          Riesgos:
39%                       • Falta de separación de
                          funciones
                          • Desconocimiento, por parte
                          del personal, de sus
                          responsabilidades
                  61%     • Dificultades ante
                          eventuales necesidades de
                          rendición de cuentas
            Situación del SPN
 37% no dispone de planificación documentada
 51% no dispone de planificación aprobada
                      Riesgos:
12%
                      • Falta de dirección y control de
                      las actividades y proyectos
                37%   informáticos encarados
                      • Ineficiencia de los proyectos
                      informáticos
51%                   • “Malas” inversiones en TI
                      • Disparidad entre los objetivos
                      de la organización y de la TI
           Situación del SPN
69% carece de procedimientos aprobados para
el desarrollo y mantenimiento de sistemas

      0%             Riesgos:
31%                  • Modificaciones no autorizadas
                     sobre los Sistemas
                     • Incorrecta administración de
                     prioridades
                     • Falta de aplicación de
                     estándares de programación y
                     documentación
              69%    • Implementación de Sistemas no
                     probados
           Situación del SPN
69% carece de procedimientos aprobados para
la administración de la seguridad

      0%             Riesgos:
31%                  • Accesos no autorizados a la
                     información o los recursos del
                     Organismo
                     • Inexactitud o falta de
                     confiabilidad de los datos o
                     Sistemas
                     • Falta de disponibilidad de la
              69%    información o recursos
                     necesarios
           Situación del SPN
74% carece de plan de contingencias


      0%             Riesgos:
26%

                     • Interrupciones a la continuidad
                     operativa del Organismo, con la
                     consiguiente imagen negativa e
                     incumplimiento de la misión
                     asignada
              74%
           Situación del SPN
 59% carece de procedimientos documentados
 de back up
                     Riesgos:
      0%
41%
                     • Pérdidas de información
                     • Interrupciones a la continuidad
                     operativa del Organismo
                     • Dependencia del personal que
                     se encarga de la tarea
              59%
           Situación del SPN

• 77% carece de procedimientos documentados
para las actividades de soporte técnico
(impactando en la administración de prioridades,
disconformidad de los usuarios, etc.)

• 80% carece de procedimientos documentados
para la gestión de licencias de software (con
riesgos de incumplimiento de la normativa
aplicable)
           Situación del SPN
57% no realiza auditorías internas de sistemas



43%                    Riesgos:

                       • Desequilibrio entre la
                       informatización del organismo y
                       la realización de auditorías
               57%
         Situación del SPN
• La tecnología se convirtió en un factor
  clave de éxito para la gestión
• Creciente sistematización de las
  actividades del Estado
• Importantes inversiones en Tecnología
  Informática
       Normas - Antecedentes
• “Pautas de Control Interno para Tecnología y
  Sistemas de Información” publicadas por SIGEN
  en 1997
• Modelo COBIT (Governance, Control and Audit for
  Information and Related Technology)
• IRAM-ISO 17799: Tecnología de la información -
  Código de práctica para la administración de la
  seguridad de la información - Modelo de Política
  de Seguridad de los Sistemas de Información para
  Organismos de la APN
      Normas - Antecedentes
• Normas Generales de Control Interno
  (Res. 107/98 SGN)

             Normas de Control
              Interno para TI


             Normas Generales
             de Control Interno
Política de Seguridad de la Información
         para el Sector Público

    Decisión Administrativa 669/2004
                 ONTI

                Junio 2005
Modelo de Política de Seguridad
En base a un relevamiento se definió la necesidad de
que los Organismos cuenten con políticas de
seguridad para el resguardo de la información.

Se redactó un Modelo de Política de Seguridad,
basado en la norma internacional ISO/IRAM 17799, y
en conjunto con SIGEN y otros Organismos.

El mismo se encuentra en proceso de aprobación.
     Decisión Administrativa

En diciembre de 2004 se aprobó la Decisión
Administrativa 669/2004, cuyos objetivos son:

   •Dictar o adecuar la Política de Seguridad de la
   Información.

   •Conformar un Comité de Seguridad de la
   Información.

   •Asignar las responsabilidades en materia de
   Seguridad de la Información.
           Próximos pasos

Se prevé próximamente:

  •La aprobación del Modelo de Política de Seguridad.

  •El dictado de cursos de capacitación

  •La asistencia a Organismos.

  •La publicación de documentación adicional.
Para mayor información
 Res. 48/2005 SIGEN
Contenido de la Norma
  Normas – Puntos abarcados
1. Organización Informática
  – Unificación de la responsabilidad por las
    actividades informáticas
  – Independencia del área
  – Definición de puestos de trabajo
  – Separación de funciones
  – Capacitación
  Normas – Puntos abarcados
2. Plan Estratégico de TI
  – Alcance del plan
  – Necesidad de evitar la obsolescencia
  – Formalización del plan
  – Actualización en el tiempo
  – Presupuesto asociado al plan
  – Seguimiento del plan
  – Relación del plan con la realidad ejecutada
  Normas – Puntos abarcados
3. Arquitectura de la Información

  – Organización eficiente de los datos de la
    organización. Visión integral.
  Normas – Puntos abarcados
4. Políticas y Procedimientos

  – Desarrollo de políticas y procedimientos
    sobre las actividades que se llevan a cabo
  Normas – Puntos abarcados
5. Cumplimiento de Regulaciones
  Externas

  – Responsabilidad de velar por el
    cumplimiento de las normas aplicables
  – Formalización de relaciones con terceros
  Normas – Puntos abarcados
6. Administración de Proyectos
  – Metodología de adm. de proyectos
    • Documentación de objetivo, recursos, plazos,
      responsabilidades, etc.
    • Factibilidad y riesgos
    • Participación de usuarios
  – Seguimiento de la ejecución del proyecto
  Normas – Puntos abarcados
7. Desarrollo, Mantenimiento o
  Adquisición de Software de Aplicación
  – Metodología de desarrollo
    • Formulación de requerimientos, manejo de
      prioridades, solicitudes de emergencia,
      participación formal de usuarios y la UAI,
      estándares de desarrollo, pruebas, pasaje a
      producción, control de versiones, documentación y
      capacitación
  – Contrataciones de servicios de desarrollo
  Normas – Puntos abarcados
8. Adquisición y Mantenimiento de la
  Infraestructura Tecnológica

  – Normas para contrataciones
  – Características de la aceptación definitiva
  – Mantenimiento del hardware
  – Gestión de licencias de software
  Normas – Puntos abarcados
9. Seguridad

  – Política de Seguridad de la Información
    (relacionado con la DA 669/2004)
  Normas – Puntos abarcados
10. Servicios de Procesamiento y/o
  Soporte Prestados por Terceros

  – Justificación de la contratación
  – Previsiones contractuales
  – Monitoreo del servicio
  – Previsiones respecto de la continuidad
  Normas – Puntos abarcados
11. Servicios de Internet / Extranet /
  Intranet

  – Aprobación de contenidos
  – Acuerdo con los proveedores de servicios
    de comunicaciones
  Normas – Puntos abarcados
12. Monitoreo de los Procesos

  – Definición de indicadores de desempeño
  – Informes periódicos de gestión
  Normas – Puntos abarcados
13. Auditoría Interna de Sistemas

  – Ejecución de auditorías internas de
    sistemas
 Herramientas para el auditor
Intranet SIGEN:
www . net . sigen . gov . ar
• Normas
• Material de consulta para auditorías
  informáticas
• Programas de auditoría

								
To top