Contraloria General de la Republica Normas técnicas para la gesti6n y el control de las Tecnologias de Informacién (N-2-2007-CO-DFOE) AQdOR-CO-26-2007 CONTRALORIA GENERAL DE LA REPUBLICA, ~ DESPACHO DE LA CONTRALORA. GENERAL. ~ San José a las diez. horas del siete de junio del 2007. Considerando: — Que el articulo 183 la Constitucién Politica dispone que la Contraloria General de la Repiiblica es ‘una institucién auniliar de la Asamblea Legislativa, con absoluta independencia en la vigilancia y control de la Hacienda Piblica 2°— Que los articulos 11 y 12 de la Ley Organica de la Contraloria General de la Repiblica, Nro. 7424, Ja designan como drgano rector del Ordenamiento de Control y Fiscalizacion Superiores de la Hacienda Piblica confiriéndole, cn concordancia con el articulo 24 de dicha Ley, la facultad de cmitir disposiciones, normas, politicas y directrices que coadyuven a garantizar la legalidad y la eficiencia tanto de los controles internos, como del manejo de los fondos piblicos de los entes sobre los cuales tiene Jjuisdiceién. 3°— Que el articulo 3 de la Ley General de Control Intemo, Nro. 8292 del 31 de julio de 2002, refuerza las facultades de la Contraloria General para emitir la normativa técnica de control inteno necesaria para el funcionamiento efectivo del sistema de control infemo de los entes y organos sujetos a esa ley. 4°— Que la Contraloria General de la Repiilica publicd en La Gaceta Nro, 24 del 2 de febrero de 1996, Alcance Nro. 7, el “Manual sobre Normas Técnicas de Control Interno relativas a los Sistemas de Informacién Computadorizados 5°— Que las _tecnologias de informacion -afectadas por constantes avances tecnolégicos-, se han convertido en un instrumento esencial en la prestacién de los servicios y representan rubros importantes, en los presupuestos del Sector Pablico. 6— Que con fimdamento en lo antes expuesto 1a Contraloria General de la Repitblica ha considerado pertinente emitir las “Normas téenicas para la gestidn y el control de las tecnologias de informacién” para con ello fortalecer la administraci6n de los recursos invertidos en tecnologias de informacion, mediante el establecimiento de criterios basicos de control que deben ser observados en 1a gestin institucional de esas tecnologias y que a su vez coadyuven en el control y fiscalizacién que realice este 6rgano contralor Por nto, RESUELVE Articulo 1—Aprobar el documento denominado “Normas técnicas para la gestion y el control de las tecnologias de informacién”. normativa que establece los ctiterios bisicos de control que deben observarse en Ia gestion de esas tecnologias y que tiene como proposito coadyuvar en st gestion, en Virtud de que dichas tecnologias se han convertido en un instrumento esencial en la prestacion de los servicios pitblicos, representando inversiones importantes en el presupuesto del Estado, Dicha normativa esti estructurada de la siguiente maneraIntroduccion Capitulo Nor as de aplicacion general 1.1 Marco estratégico de TI 12 Gestion de la calidad 13 Gestidn de riesgos 14 Gestidn de la seguridad de la informacién 14.1 Implementacion de un marco de seguridad de la informacion 14.2 Compromiso del personal con la seguridad de la informacién 143 Seguridad fisica y ambiental 144 Seguridad en las operaciones y conmmicaciones 145 Control de acceso 146 Seguridad en la implementacion y mantenimiento de software © infiaestructura teenologica 147 Contimtidad de los servicios de TL 15 Gestion de proyectos 1.6 _Decisiones sobre asuntos estratégicos de TI 1.7 Cumplimiento de obligaciones relacionadas con la gestion de TI Capitulo 1. Planificacién y organizacion Planificacion de las tecnologias de informacion ‘Modelo de arquitectura de informacion Infraestructura tecnologica Independencia y recurso humano de la Funcion de TE Administracién de recursos financieros Capitulo IIL Implementacién de tecnologias de informacion 3.1 Cousideraciones generales de la implementacién de TL 3.2. Implementacién de software 3.3. Implementacién de infraestructura tecnolégica 34 Contratacion de terceros para la implementacién y mantenimiento de software e inffaestructura Capitulo TV. Prestacion de servicios y mantenimiento 41 my administracion de acuerdos de servicio 4.2 Administracién y operacién de la plataforma tecnolégica 4.3. Administracién de los datos 4.4 Atencién de requerimientos de los usuarios de TT 4.5. Manejo de incidentes 4.6 Administracion de servicios prestados por terceros Capitulo V Seguimiento 3.1 Seguimiento de los procesos de TI 5.2. Seguimiento y evaluaci6n del control interno eu TI 3 Participacién de la Auditoria Tntema GlosarioArticulo 2 ~ Promulgar las “Normas técnicas para la gestién y el control de las tecnologias de informacién”, Nro. N-2-2007-CO-DFOE. Articulo 3 — Establecer que las “Nommas téenicas para la gestion y el control de las tecnologias de informacién” son de acatamiento obligatorio para la Contraloria General de 1a Repiiblica y las instinuciones y érganos sujetos a su fiscalizacién, excluyendo a las instituciones de menor tamaio. centendidas como aquellas que dispongan de un total de recursos que ascienda a wn monto igual o inferior a seiscientas mil unidades de desarrollo y que cuenten con menos de treinta funcionarios, inclayendo al Jerarca, los titulares subordinados, y todo su personal: y que estas normas prevalecerin sobre cualquier disposicién en contrario que emita Ia Administracién. Asimismo, que st inobservancia generara las responsabilidades que correspondan de conformidad con el marco juridico que resulte aplicable, (Asi moiiificado segiin resolucién R-CO-9-2009 de las nueve horas del velntiséis de enero del dos mil nueve, mediante la cual se emitieron tas “Normas de control interno para el Sector Piiblico”, pubticada en La Gaceta N° 26 del 6 de febrero del mismo aivo). Articulo 4 — Derogar el “Manual sobre normas técnicas de control interno relativas a los sistemas de informacién computadorizados”, publicado en el Alcance Nro. 7 de La Gaceta No. 24 del 2 de febrero de 1996. Articulo 5 — Informar que dicha normativa sera distribuida por medio de los mecanismos pertinentes a cada institucién y estarén a disposicion en la direccién electronica www.cer.go.ct de la Contraloria General de la Repiiblica Articulo 6 ~ Informar que la Administracién contard con dos aftos a partir de su entrada en vigeneia para cumplit con lo regulado en esta normativa, lapso en el cual. dentro de los primeros seis meses. debera planificar las actividades necesarias para lograr una implementacion efectiva y controlada de lo establecido en dicha normativa, contemplando los siguientes aspectos: a. Lacconstitucién de un equipo de trabajo con representacién de las unidades que correspondan, b, La designacién de um responsable del proceso de implementacién, quien asumiré la coordinacion del equipo de trabajo y deberd contar con La autotidad necesaria, dentro de sus competencias, para gjecutar el referido plan, ¢. Elestudio detallado de las normas técnicas referidas, con el fin de identificar las que apliquen a la entidad u organo de conformidad con su realidad tecnolégica y con base en ello establecer las prioridades respecto de su implementaci6n, 4d. Dicha planificacién deberé considerar las actividades por realizar, los plazos establecidos para cada una, 10s respectivos responsables. los costos estimados, asi como cualquier otto requerimiento asociado (tales como inffaestructura, personal y recursos técnicos) y quedar debidamente documentada, Articulo 7 — Comunicar que la referida normativa entrar a regir a partir del 31 de julio del 2007 Publiquese, Rocio Aguilar Montoya CONTRALORA GENERAL DE LA REPUBLICAContraloria General de la Republica Normas técnicas para la gestién y el control de las tecnologias de informacién (N-2-2007-CO-DFOE)INDICE Introduccién 1 Capitulo 1 Normas de aplicacion seneral. 2 LL Maroo estratégico de TI. 2 12 Gestion de Ia calidad 2 Gestion de 1128208 ons 2 Gestién de la seguridad de la informacion 2 Implementacién de un marco de seguridad de la informacion 3 Compromiso del personal con la seguridad de la informacién, 3 Seguridad fisica y ambiental os 3 ‘Seguridad en las operaciones y comunicaciones . 4 Control de acceso 4 Seguridad en la implementacion y mantenimiento de software e infraestructura tecnolozica 5 Continuidad de los servicios de TE 5 Gestin de proyectos. 5 Decisions sobre asuutos estratégicos de TL 5 Conplimiento de obligaciones rlaeionades con la gestion de TL 5 Capitulo I Planificacién y organizacién 6 2.1 Planificacion de las tecnologia de informacion 6 ‘Modelo de arquitectura de informa 6 Infiaestructura tecnoléaica 6 24 Independencia y recurso humano de la Function de TI 6 2.5 Administracion de recursos financier0s «nen 6 Capitulo I Implementacion de tecnologias de informacion ns 3.1 Consideraciones generales de la implementacién de TT 32 Implementacion de software, . ns 3.3 Implementacion de infraestructura tecnologica, 3.4 Contratacion de terceros para la implementacion y mantenimiento de software e infraestructua... Capitulo IV _Prestacioa de servicios y mantenimiento, 4.1 Definicién y administracién de acuerdas de servicio 42 Administracion y operacién de la plataformna tecnologica 43 Administracin de los datos ‘Atencion de requerimientos de los usuarios de TT, ‘Mangjo de incidentes... ‘Administracién de servicios prestados por terceros Capitulo V_ Seztimiento 5.1 Seguimiento de los procesos de TL 52 Seguimiento y evaluacion del control interno en TI Participacién de la Auditoria Interna, Glosaro.Normas técnicas para la gestion y el control de las tecnologias de informacion Introduccién N-2-2007-CO-DFOE, Las teenologias de informacion (TT) constituyen uno de los principales instramentos que apoyan la gestién de las organizaciones mediante el manejo de grandes volimenes de datos necesarios para la toma de decisiones y la implementacién de soluciones para la prestacién de servicios agiles y de gran alcance Su uso ha implicado, al menos, tres situaciones relevantes: la dedicacion de porciones importantes del presupuesto de las organizaciones, con el costo de oportunidad que ello conlleva, principalmente en organizaciones con recursos limitados y actividades sustantivas esenciales para la sociedad: un marco juridico cambiante tendente a buscar su paralelismo con las nuevas telaciones que se dan a raiz del uso de esas TI: y una presion importante de proveedores y consumidores por Ia implementacion de mis y mejores servicios apoyados en estas tecnologias, Dado el impacto de dichas situaciones, las TI deben gestionarse dentro de 1m marco de control que procure el logro de los objetivos que se pretende con ellas y que dichos objetivos estén debidamente alineados con la estrategia de la organizacion. Con el propésito de coadyuvar con ese marco de control y procurar una ncjor gestion de dichas tecnologias por parte de las organizaciones, esta Contraloria General sustituye el “Manual sobre normas técnicas de control {interno telativas a los sistemas de informacion automatizados", mediante la pronmulgacién de las presentes “Normas técnicas para la gestién y el control de las tecnotogias de informacion”, que se constituyen en una normativa més ajustada a la realidad y necesidad de nuestro ambito tecnolégico actual. En razén de que dicha normativa establece criterios de control que dcben ser observadlos como parte dle la gestién institucional de las TI, el jerarca y los titulares subordinados, como responsables de esa gestion, deben establecer. mantener, evaluar y perfeccionar ese marco de control de conformidad con lo establecido en la Ley General de Control Interno Nro. 8292. Asimismo, la Funcién de TI debe contribuir con ello cumpliendo con dicho marco de control y facilitando la labor estratégica del jerarca Esta normativa es de acatamiento obligatorio para la Contraloria General de la Repitblica y las instituciones y drganos sujctos a su fiscalizacion, y st inobservancia generard las responsabilidades que cortespondan de conformidad con el marco juridico que resulte aplicable.Capitulo I Normas de aplicacién general LI Marco estratégico de Tl 12 Gestién de ta calidad 1.3 Gestién de riesgos 14 Gestion de la seguridad de ta informacion El jerarca debe traducir sus aspiraciones en materia de TT en practicas cotidianas de la organizacion, mediante un proceso continuo de promulgacién y divulgacién de un marco estratégico constituido por politicas organizacionales que el personal comprenda y con las que esté comprometido. La organizaciin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus ustarios con base en un enfoque de eficiencia y mejoramiento continuo. La organizacion debe responder adecuadamente a las amenazas que puedan afectar ta gestion de las TI, mediante uma gestién contimaa de tiesgos que esté integrada al sistema especifico de valoracién del riesgo institucional y considere e1 marco normativo que le resulte aplicable. La organizncion debe garantizer, de manera razonable, la confidencialidad. integridad y disponibilidad de la informacién, lo que implica protegerla contra” uso, divulgacion 0 modificacién no autorizados, datio o pérdida u otros factores disfimetonales, Para ello debe documentar ¢ implementar una politica de seguridad de la informacion y los procedimientos comespondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece Ja presente normativa en relacion con los siguientes aspectos: ~ La implementacion de un marco de seguridad de la informacion. - El compromiso del personal con la seguridad de la informaci ~ La seguridad fisica y ambiental ~ La seguridad en las operaciones y commnicaciones, ~ El control de acceso. ~ La seguridad en la implementacién y mantenimiento de software & inffaestructura tecnologica, ~ La contintidad de los servicios de TL Ademas debe establecer las medidas de seguridad relacionadas con: = El acceso a la informacién por parte de terceros y la contratacién de servicios prestados por éstos, ~ El manejo de la documentacién. ~ La terminacién normal de contratos, su rescisi6n o resolucién, - Lasalud y seguridad del personal, Las medidas 0 mecanismos de proteccion que se establezcan deben mantener ta proporcién razonable entre st costo y los riesgo asociados,141 Implementacién de un marco de seguridad de la informaciin 14.2 Compromiso det ‘personal con la ‘seguridad de la informaciin 4.4.3 Seguridad fisiea y ambiental La organizacion debe implementar un marco de seguridad de ta informacién, para lo cual debe: a. Establecer un marco metodolégico que incluya la clasificacién de Jos recursos de Tl. segim su criticidad, Ia identificacion y evaluacién de riesgos, 1a elaboracién ¢ implementacién de un plan para el establecimiento de medidas de seguridad. la evalnacion periddica del impacto de esas medidas y la ejecucién de procesos de concienciacién y capacitacién del personal. b,-Mantener tna vigilancia constante sobre todo el marco de seguridad ¥ definir y ejecutar periédicamente acciones para su actualizacién, € Documentar y mantener actualizadas las responsabilidades tanto del personal de la organizacién como de terceros relacionados, El personal de la organizacién debe conocer y estar comprometido con las regulaciones sobre seguridad y confidencialidad, con el fin de reducir los riesgos de error immano, robo, fraude 0 uso inadecuado de los recursos de TI Para ello, el jerarca, debe a. Informar y capacitar a los empleados sobre sus responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI. b, Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades. ¢. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad especificas relacionadas con el manejo de la documentacién y rescision de contratos, La organizacién debe proteget los recursos de TI estableciendo un ambiente fisico seguro y controlado, con medidas de proteccién suficientemente fundamentadas en politicas vigentes y andlisis de tiesgos. Como parte de esa proteccién debe considerar a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos 0 areas de trabajo, proteccion de oficinas, separacion adecuada de freas. La ubicacién fisica segura de los recursos de TL. El ingreso y salida de equipos de la organizacion. El debido control de los servicios de mantenimiento. Los controles para el desecho y reutilizacion de recursos de TL. La continnidad, seguridad y control del suministro de energ cléctrica, del cableado de datos y de las comunicaciones inalémbricas, g. Elacceso de terceros, hh. Los tiesgos asociados con el ambiente.1.4.4 Seguridad en las operaciones y ‘comunicaciones 1.4.5 Control de acceso ‘Eno avoluai oo spares ¢ yb La organizacién debe implementar tas medidas de seguridad relacionadas con la operacién de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacion. Para ello debe: a Implementar los mecanismos de control que permitan asegurar la no negacién, la autenticidad, la integridad y la confidencialidad de Jas transacciones y de la transferencia 0 intercambio de informacién. Establecer procedimientos para protegcr Ia informacion almacenada en cualquier tipo de medio fijo o removible (papel, cintas, discos ‘otros medios), incluso los relativos al manejo y desecho de esos medios. Establecer medidas preventivas, detectivas y correctivas com respecto a software “malicioso” o virus, La organizacién debe proteger la informacion de accesos no autorizados. Pata dicho propésito debe: a Establecer un conjunto de politicas, reglas y procedimientos relacionados con el acceso a la informacién, al software de base y de aplicaciin, a las bases de datos y a las terminales y otros recursos de comunicacién. Clasificar los recursos de TI en forma explicita, formal y uniforme de acnerdo con términos de sensibilidad. Definir la propiedad, custodia y responsabilidad sobre los recursos de TL Establecer procedimientos para la definicién de perfiles, roles y niveles de privilegio, y para la identificacién y autenticacién para él acceso a Ja informacion, tanto para usuarios como para recursos de TL Asignar los derechos de acceso a los usuarios de los recursos de TI. de conformidad con las politicas de la organizacion bajo el principio de necesidad de saber 0 menor privilegio. Los propietarios de la informacién son responsables de definir quiénes tienen acceso a la informacion y con qué limitaciones 0 restricciones. Implementar el uso y control de medios de autenticacion (identificacion de usuario, contraseias y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompatiarse de un procedimiento que contemple la requisicidn, aprobacién, establecimiento, suspension y desactivacion de tales medios de autenticacién, asi como para stu revisidn y actualizacién periddica y atencién de usos inregulares, Establecer controles de acceso a la informacion impresa, visible en pantallas o almacenada en medios fisicos y proteger adecuadamente dichos medios. Establecer los mecanismos necesarios (pistas de auditoria) que1.4.6 Seguridad en ta implementacion y ‘mantenimiento de software e Infraestructura tecnolégica 44.7 Continuidad de Ios servicios de TT LS Gestién de proyectos 1.6 Decisiones sobre asuntos estratégicos de TT 17 Cumptimiento de obligaciones relacionadas con fa gestion de TT permitan un adecuado y periddico seguimiento al acceso a las TI Kk. Manejar de manera restringida y controlada la informacién sobre la seatridad de las TI. La organizacién debe mantener la integridad de los procesos de implementacin y mantenimiento de software ¢ infiaestructura tecnolégica y evitar el acceso no antorizado, dato o pérdida de informacion, Para ello debe: . Definir previamente los requcrimicntos de seguridad que dcben ser considerados en la implementacién y mantenimiento de software e infiaestructura, b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en produccién del software © infraestructara ©. Mantener tn acceso restringido y los controles necesarios sobre los, ambientes de desarrollo, mantenimiento y produccion. d. Controlar el acceso a los programas fuente y a los datos de prueba La organizacién debe mantener una continuidad razonable de sus procesos y st interrupcién no debe afectar significativamente a sus usuarios, Como parte de ese esfiuerzo debe documentar y poner en prictica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organizacién, la evaluacién ¢ impacto de los riesgos y la clasificacién de sus recursos de TI segiin su criticidad La organizacién debe administrar sus proyectos de TI de manera que ogre sus objetivos. satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuiesto éptimos preestablecidos. El erarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en. Ia asesoria de una representacién razonable de la organizacion que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en Ja asignacion de recursos y a la adecuada atencion de los requetimientos de todas las unidades de la organizacién. La organizacién debe identificar y velar por el cumplimiento del marco juridico que tiene incidencia sobre la gestion de TT con el proposito de evitar posibles conflictos legales que pudieran ocasionar eventuales petjuicios econémicos y de otra naturaleza,Capitulo II Planificacién y organizacién 21 Planificacién de las teenologias de informacion 2.2 Modelo de arquitectura de informacion 2.3 Infraestructura teenolégica 24 Independencia y recurso humano de Ja Funcién de TE Administracion de recursos financieros La organizacion debe lograr que Jas TI apoyen su mision, vision y objetivos estratégicos mediante procesos de planificacion que logren 1 balance éptimo entre sus requerimientos, st capacidad presupuestaria y las oportunidades que brindan las tecnologias existentes y emergentes. La organizacién debe optimizar la integracién, uso y estandarizacion de sus sistemas de informacion de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, solo la informacion que sus procesos requieren, La organizacién debe tener una perspectiva clara de su direccién y condiciones en materia tecnoligica, asi como de Ia tendencia de las TT para que conforme a ello, optimice el uso de su infiaestructura Tecnoldgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinamica y evolucién de las TL El jerarea debe asegurar la independencia de la Funcién de TI respecto de las reas usuatias y que ésta mantenga la coordinacion y comunicacion con las demas dependencias tanto intemas y como extemas. Ademas, debe brindar el apoyo necesario para que dicha Funcién de TL cuente con una fuerza de trabajo motivada, suficiente, competente y ala que se le haya definido, de manera clara y formal, st responsabilidad. autoridad y funciones, La organizacién debe optimizar el uso de los recursos financieros invertidos en la gestion de TI procurando el logro de los objetivos de esa inversién, controlando en forma efectiva dichos recursos y observanda el marco juridico que al efecto Ie resulte aplicableCapitulo I Implememtacién de tecnologias de informacion 3.1 Consideraciones La organizacion debe implementar y mantener las TI requeridas en generales dela concordancia con st marco estratégico, planificacién, modelo de implementacién de arquitectura de informacion ¢ infiaestructura tecnologica, Para esa a implementacién y mantenimiento debe: a Adoptar politicas sobre la _justificacién, autorizacion documentacién de solicitudes de implementacién 0 mantenimiento de TL b. Establecer el respaldo claro y explicito para los proyectos de TI tanto del jerarea como de las éteas usuarias ¢. Garantizar la patticipacién activa de las unidades 0 areas usuarias. las cuales deben tener una asignacién clara de responsabilidades y aprobar formalmente las implementaciones realizadas. dd. Instaurar Lideres de proyecto con una asignacién clara, detallada y documentada de su autoridad y responsabilidad. €. Analizar altemativas de solucién de acuerdo con criterios téenicos, econdmicos, operatives y juridicos, y lineamientos previamente establecidos. £ Contar con una definicién clara, completa y opormna de los requetimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoria bajo un contexto de costo — beneficio. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos cconémicos, técnicos y humanos requetidos. h, Formular y ejecutar estrategias de implementacion que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos. no satisfagan los requerimientos o no cumplan ‘con los términos de tiempo ¥ costo preestablecidos. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios, 3.2 Implementactén de La organizacion debe implementar cl software que satisfaga los software requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3. anterior. b. Desarrollar y aplicar un marco metodolozico que guie los procesos de implementacién y consider la definicién de requctimientos, los estudios de factibilidad, la elaboracién de disetios, la programacion y pruchas, el desarrollo de la documentacién, Ia conversién de datos ¥ la puesta en produccién, asi como también la evaluacién post immplantacion de la satisfacci6n de los requerimientos. ¢. Establecer los controles y asignar las fimciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacion y mantenimiento de software. d. Controlar la implementacion del software en el ambiente de produccion y garantizar la imtegridad de datos y programas en losprocesos de conversion y migracion. ©. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacién, registro, supervision y evaluacién técnica, operativa y administrativa de los resultados de esos cambios y accesos, £ Controlar las distintas versiones de los programas que se generen ‘como parte de su mantenimiento. 3.3 Implementacién de La organizacién debe adquitir, instalar y actualizar 1a infraestructura infraestructura —_necesatia para soportar el software de conformidad con los modelos de teenolégica arquitectura de informacion e infiaestructura tecnolégica y demas ctiterios establecidos, Como parte de ello debe considerar To que resulte plicable de la norma 3.1 anterior y los ajustes necesarios ala infiaestructura actual 3.4 Contratacién de La organizacién debe obtener satisfactoriamente el objeto contratado a terceros para la _terceros en procesos de implementacién o mantenimiento de software implementacién y _infacstructura, Para lo anterior, dcbe: ‘mantenimiento de software e a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 infraestructura anteriores. b. Establecer una politica relativa a la contratacién de productos de software e infiaestructura © Contar con la debida justificacién para contratar a terceros la implementacion y mantenimiento de software e infraestructura tecnolégica 4, Establecer un procedimiento o guia para la definicién de los “términos de referencia” que incluyan las especificaciones y requisitos 0 condiciones requcridos aplicables, asi como para la evaluacién de ofertas. €. Establecer, verificar y aprobar formalmente los eriterios, términos y conjmto de pmebas de aceptacién de lo contratado: sean instalaciones, hardware o software. £_Implementar tin proceso de transferencia tecnolégica que minimice Jn dependencia de la organizacion respecto de terceros contratados para la implementacién y mantenimento de software infiaestructura tecnolgicaCapitulo IV Prestacién de servicios y mantenimiento La organizacion debe tener claridad respecto de los servicios que requicre y sus atributos, y los prestados por la Funcién de TI segin sus capacidades. ny administracion de acuerdos de servicio 4.2 Administracion y operacién de la Plataforma teenolégica El jerarca y la Funcién de TI deben acordar los servicios requeridos, los offecidos y sus at 1utos, Jo cual deben documentar y considerar como un criterio de evaluacién del desempetio. Pata ello deben: a b. Tener una comprensién comin sobre: exactitud. oportunidad, confidencialidad, autenticidad, integridad y disponibilidad, Contar con tuna determinacién clara y completa de los servicios y suis atributos, y analizar su costo y beneficio. Definir con claridad las responsabilidades de las partes y su sujecidn a las condiciones establecidas, Establecer los procedimientos para la formalizacién de los acuerdos ¥ la incorporacion de cambios en ellos, Definir los criterios de evaluacién sobre el cumplimiento de los acuerdos. Revisar periddicamente los acuerdos de servicio, inchidos los contratos con terceros. La organizacién debe mantener 1a plataforma tecuolégica en optimas condiciones y minimizar su riesgo de fallas. Para ello debe: a b. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacién de la plataforma. Vigilar de manera constante la disponibilidad, capacidad, desempeito y uso de la plataforma, asegurar su correcta operacién y mantener un registro de sus eventiales fallas, Identificar eventuales requerimientos presentes y futuros, establecer planes para su satistaccion y garantizar la oportuna adquisicién de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolégicas Controlar la composicion y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar Verificaciones fisicas periédicas Controlar 1a ejecucién de los trabajos mediante su programacién, supervisién y registro, Mantener separados y controlados los ambientes de desarrollo y produccién. Brindar el soporte requerido a los equipos principales y periféricos. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados. controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracion. Controlar los servicios ¢ instalaciones extemos.4.3 Administracién de os datos 44 Atencién de requerimientos de os usuarios de TT 5 Manejo de incidentes 46 Administracion de servicios prestados por terceros La organizacion debe ascgurarse de que los datos que son procesados: ‘mediante TI corresponden a transacciones vilidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma integra y segura. La organizacion debe hacerle fil al usuario el proceso para solicitar la atencién de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna: ¥ dicha atencién debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia, La organizacion debe identificar, analizar y resolver de mancra oportuna los problemas, etrores e incidentes significativos que se susciten con las TI. Ademiés, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario. La onganizacién debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe: a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TL b. Establecer y documentar los procedimientos asociados con los setVicios ¢ instalaciones contratados a tercetos. €. Vigilar que los servicios contratados sean congruentes con las politicas relativas a calidad, seguridad y seguimtento establecidas por la organizacién. 4, Minimizar la dependencia de la organizacién respecto de los servicios contratados a un tercero, ¢ Asignar a un responsable con las competencias necesarias que evaliie periddicamente la calidad y cumplimiento oportuno de los servicios contratados,Capitulo V- Seguimiento S.1 Seguimiento de los procesos de 1 5.2 Segnimiento y evaluacién det control interno enTT 5.3 Partieipacién de ta Auditoria Interna La organizacién debe asegurar el logro de los objetivos propuestos como parte de la gestion de TL para lo cual debe establecer un marco de referencia y tn proceso de seguimiento en los que defina el alcance, la metodologia y los mecanismos para vigilar la gestién de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso, El jerarca debe establecer y mantener el sistema de control intemo asociado con la gestion de las TT, evaluar su efectividad y cumplimiento y ‘mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas. La actividad de la Auditoria Tntema respecto de la gestién de las TT debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control intemo en TI de la organizacién proporcione una garantia razonable del cumplimiento de los objetivos en esa materia uGlosario Activos informéticos Acuerdos de ‘confidencialidad Acuerdos de servicio Ambiente de desarrollo Ambiente de produccién Base de datos Calidad Confidencialidad dela informacion Contingencia Continuidad de los servicios y operaciones Contraseias Conversion de datos ‘Cumplimiento Datos Desarrollo ‘Véase “Recursos informéticos” Convenio susctito entre Ia entidad y sus fiuncionatios, o bien, entre instituciones que comparten datos 0 sistemas, para garantizer el mancjo discreto de la informacion. También se utiliza el concepto “clausulas de confidencialidad”, que son aquellas que imponen una obligacion negativa: de no hacer o de abstenerse: es decir, de no utilizar la informacion recibida con fines distintos a los estipulados. (Veanse los articulos 71 del Cédigo de Trabajo) Los aeuerdos de servicios. mejor conocides como convenios o acuerdos de nivel de servicio ("SLA’s” por sus siglas en inglés de “Service Level Agreement”) son contratos escrtos, formales, desartollados conjuntamente por el proveedor del servicio de TI y los usuarios respectivos, en los que se define, en términos cuantitativos y cualitativos, el servicio que brindaré la dependencia responsable de TLy las responsabilidades de Ia contrapaute beneficiada por dichos servicios, Conjunto de componentes de hardware y software donde se efectiian los procesos de construccion, mantenimiento (wr. ajustes, cambios y correceiones) y pruebas de sistemas de informacién. Conjunto de componentes de hardware y software donde se efectiian los procesos normales de procesamiiento de datos, con sistemas ¢ informacién reales Coleceién de datos almacenados en un computador, los cuales pueden ser accedidos de diversas formas para apoyar los sistemas de informacion de la Propiedad 0 conjunto de propiedades inherentes a algo, que permiten juzgar su valor. / Conjunto de earacteristicas que posee un produeto o servicio obtenidos en ‘un sistema productivo, asi como su eapacidad de satisfaccion de los requerimientos del usuario. Proteccién dle informacién sensible contra divulgacién no autorizada, ‘Riesgo que afecta la continnidad de los servicios y operaciones. Implica la prevencién, mitigacion de las interrupciones operacionales y la secuperacion de las operaciones y servicios ‘Véase “password. Proceso mediante el cual se cambia el formato de los datos. Proceso de respetar_y_aplicar las leyes, reglamentaciones y disposiciones contractuales alas que esta sujeta la organizacién. Objetos en su sentido mas amplio (es decir, internos y externos), estructurados y no estructurados, araficos, sonido, entre otros. Etapa del ciclo de vida del desarrollo de sistemas que implica Ia construccién de las aplicaciones.Disponibilidad de la informacion Efectividad de la informacion Effciencia Funelén de TE Gestion de las TH Hardware Informacién Infraestruct tecnoldgiea Instalaciones Integridad Jerarea ‘Marco de seguridad de Ininformacion ‘Menor Privilegio Se vineula con el hecho de que la informacion se encuentre disponible (v.sr. utilizable) cuando la necesite un proceso de la organizacién en el presente y en el futuro. También se asocia con la proteccién de los recursos necesarios y las capacidades asociadas, Implica que se cuente con la informacién necesaria en el ‘momento en que la organizacion la requiere. Que Ja informacién sea cierta, oportuna, relevante y pertinente para la organizacién, Provision de informacion efectiva ala organizacion mediante el uso eptimo (el mas productive y econsznica) de los recursos. ‘Unidad organizacional 6 conjunto de componentes orgmizacionales responsable de los principales procesos relacionados con Ia gestion de las tecnologias de informacion en apoyo a la gestion de Ia organizacion. Conjunto de acciones fundamentadas en politicas institucionales que, de ma ‘manera global, infentan dirigir la gestion de las TT hacia el logro de los objetivos de la organizacion. Para ello se procura, cn principio, la alineacién entre los objctivos de TLy los de la organizacién, el balance dptimo entre las necesidades de TI de la organizacién y las oportunidades que sobre ello existen, la maximizacién de los beneficios y el uso responsable de los recursos, la administracién adecuada de los riesgos y el valor agregado en Ia implementacion de dichas TI. Tales acciones se relacionan con los procesos (planificacién, organizacién, implementacién, ‘mantenimiento, entrega. soporte y seauimiente), recursos tecnolésicos (personas, sistemas, tecnologins. instalaciones y datos), y'con el logro de los enterios de fidelidad, calidad y seguridad de In informacion, También se entiende como “Gobemabilidad de TP Todos los componentes electrénicos, compustadora, en oposicion a los progr (software), eléctricos y mecénicos que integran una nas que se eseriben para ella y la controlan Conjunto de datos que han sido capturados y procesados, que se encuentran organizados y que tienen el potencial de confirmar 0 cambiar el entendimiento sobre algo. Conjunto de componentes de hardware e instalaciones en los que se soportan los sistemas de informacion de la organizacién Edificaciones y sus aditamentos utilizados para alojar los recursos infor tics. Precisién y suficiencia de Ia informacion. asi como su validez de aenerdo con los valores y expectativas del negocio, Superior jerérquico, unipersonal 0 colegiado del érgano o ente quien ejerce la ‘méxima autoridad. Conjunto de componentes asociados a In gestién de la seguridad dentro de los cuales cuentan, entre otros: Prineipios y términos definidos para un uso uniforme en Is organizacion; un sistema de gestion que implica la definicion de actividades, productos y responsables del proceso de definicién, implementacién y seguimiento de acciones para Ia seguridad de Ia informacién; el conjunto de controles; las guias de implementacion: metrieas para seguimiento y la consideracién de tiesgos. Principio utlizado para la asignacion de perfiles de usuario segtin el cual a éste seMigracion ‘Modelo de arquitectura de informacion “Modelo de informacion No negacion Necesidad de saber deT Propiedad de la informacion Recursos de TT Recursos informati Seguimiento de las TT Seguridad Seguridad fisica Te deben asignar, por defecto, jinicamente los permisos estrictamente necesarios para la realizacién de sus labores. Proceso de traslado de datos o sistemas entre plataformas o entre sistemas, ‘Véase "Modelo de Informaciéi Representacién de los procesos, sistemas y datos, y sus interrelaciones, mediante Tos cuales fluye toda Ia informacion organizacional Condicién 0 atributo que tiene una transaccién informétiea que permite que las partes relacionadas con ella no puedan adueir que la misma transaccién no se ealiz6 o que no se realiz6 en forma completa, correcta 1 opertuna. Principio utlizado para la definicion de perfiles de usuario segiin el cual a éste se le deben asignar los permisos estrictamente necesarios para tener aceeso a aquella nfonmacién que resulte impreseindible para la realizacion de su trabajo, Informacin que se registra como parte de la ejecucién de una aplicacién o sistema de informacién y que puede ser utilizada posteriormente para detectar incidencias 0 fallos. Esta informaeién puede estar constituida por atributos como: la fecha de creacién, ‘ilima modifieacién o eliminacion de um registro, los datos del responsable de dichos cambios © cualquier oo dato relevante que permita dar seguimiento a las transacciones 1 operaciones efectuadas. Las pistas de auditoria ppermiten el rastr2o de datos y procesos: pueden aplicarse progresivamente (de los, datos fuente hacia los resultados), o bien regresivamente (de los resultados hacia Ios datos fuente), Término que resume los componentes de hardware y software (software de base, utiltarios y software de aplicacioa) utilizados en la ofganizacién. Entrega o prestacién eficaz de los servicios de TI requerides por Ia organizacién, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continnidad, hasta la capacitacién. Para prestar los servicios, debe establecerse los procesos de soporte necesarios. Como parte de esta prestacién, se incluye el procesamiento real de los dates por los sistemas de aplicaciéa, a menudo Clasificados como controles de aplicaciones. Tiene la propiedad de la informacién la unidad responsable o que puede disponer sobre dicha informacion. Aplicaciones, informacién, infiaestructura (tecnologia ¢ i ue interactian en wn ambiente de TI de una organizacion. talaciones) y personas 92 “recursos de TI”. Evaluacién regular de todos los procesos de TI a medida que transcurre el tiempo para determinar su calidad y el ctmplimiento de los requerimientos de control. Es parte de la vigilancia ejercida por la fimeién gerencial sobre los procesos de control de La organizacion y la garantis independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas, Conjunto de controles para promover In confidencialidad, integridad y disponibilidad de la informacién, Proteccién fisica del hardware, software, instalaciones y personal selacionado con “4Servicios prestados por tereeros, Software Software de aplicacion Software de base ‘Tecwologias de informacion (TT) itular Subordinado los sistemas de informacién, Servicios recibidos de una empresa externa a la organizacién Por lo general, requiere de una contraparte interna de In organizacion que garantice que el producto desarvollado cumple con los estandases establecidos por esta. Tambien es conocido como “outsourcing”. ‘Los programas y documentacién que los soporta que permiten y que facilitan el uso de Ia computadora. El software controla la operacin del hardware, Programa de computadora con el que se automatiza un proceso de la organizacién, ¥¥ que principalmente esta disefado para usuarios finales. También conocido como sistemas de aplicacion, También conocide como software de sistemas que es la coleccién de programas de computadara usados en el diseno, procesamiento y control de todas las aplicaciones, los programas y rutinas de procesamiento que controlan el hardware dde computadora. Incluye el sistema operative y los programas utiitarios. Conjunto de tecnologias dedicadas al mangjo de Ia informacién organizacional. Témino genérico que ineluye los recursos de: informacién, software infraestructura y personas relacionadas, Funcionario de Ia administracién activa responsable de wn proceso, con autoridad para ordenar y tomar decisiones. 15