Manual Control Inter No in F

SUPERINTENDENCIA
DE BANCOS
MANUAL DE
CONTROL INTERNO INFORMATICO PARA ENTIDADES FINANCIERAS
ASUNC!ON - PARAGUAY
Julio 2002

N D I C E
CAPTULO I
INSTRUCCIONES PARA USO DEL MANUAL 1
1. USO DEL MANUAL 1
1.1 Contenido 1
1.2 Formato 2
1.2.1 Encabezado
1.2.2 Texto
1.2.3 Pie
2. ACTUALIZACIONES 3
2.1 versin
2.2 Revisiones
2.3 Reemplazo de Paginas
2.4 !nclusin de Pagina

CAPTULO II
INTRODUCCIN 4
CAPTULO III
OBJETIVOS 6
CAPTULO IV
MARCO DE REFERENCIA MCIIEF S

CAPITULO V
PLANIFICACION Y ORGANIZACIN 9
Definicin del Plan Estratgico de T! 9
Definicin de la arquitectura de informacin 12
Determinacin de la direccin tecnolgica 1+
Definicin de la organizacin de la Unidad de T! 16
Administracin de la inversin en T! 20
Administracin de Recursos Humanos 22
Cumplimiento de requisitos externos 25
Administracin de proyectos 27
Administracin de la calidad 31
CAPITULO VI
ADQUISICION E IMPLEMENTACION 35
!dentificacin de soluciones 35
Adquisicin y mantenimiento de software de aplicacin 38
Adquisicin y mantenimiento de tecnologia +2
!nstalacin y autorizacin de sistemas ++
Administracin de cambios +7
CAPITULO VII
PRODUCCION Y SERVICIOS 50
Administracin de servicios de terceros 50
Garantizar la continuidad del servicio 53
Garantizar la seguridad de los sistemas 56
Asistencia y asesoria a usuarios 59
Administracin de datos 61
Administracin de soportes 6+
Administracin de operaciones 66

CAPITULO VIII
MONITOREO 69
Obtencin de certificacin independiente 69
!mplementacin de auditoria interna informatica 71

1ra. Edicin - Julio 2002

versin 01, revisin 00 de MANUAL DE CONTROL INTERNO INFORMATICO
PARA ENTIDADES FINANCIERAS {MCIIEF)
I M P O R T A N T E
: El presente manual es un instrumento confeccionado y preparado por la
SUPER!NTENDENC!A DE BANCOS sobre las Normas y Control !nterno
!nformatico para las Entidades Financieras, a ser distribuidas a todas las
Entidades Financieras, Firmas y personas profesionales habilitadas para prestar
servicio de Auditoria !ndependiente y Servicios Relacionadas al Sistema
Financiero Nacional.
: Queda estrictamente prohibida su reproduccin parcial o total sin la expresa
autorizacin de la SUPER!NTENDENC!A DE BANCOS.

1. USO DEL MANUAL
El Nanual de Control !nterno !nformatico constituye una norma de cumplimiento
obligatorio, en el cual se indican los requisitos minimos de Control !nterno
!nformatico a implementar en las Entidades Financieras fiscalizadas por la
Superintendencia de Bancos del Banco Central del Paraguay. Este Nanual forma
parte del conjunto de Nanuales de Normas y Reglamentos (NNR) confeccionado
y preparado por la SUPER!NTENDENC!A DE BANCOS.
1.1. CONTENIDO
El Nanual se encuentra redactado y clasificado segun las medidas de control que
deben ser aplicadas en las diversas areas de actividad relacionada con la T!. Las
reas definidas a efectos del Nanual de Control !nformatico son las siguientes:
Planificacin y Organizacin: Abarca las decisiones estratgicas y tacticas que
definen la manera en que la T! contribuira de
mejor manera para el logro de los objetivos de la
Entidad. Tambin se refiere a la manera en que
esta visin estratgica genera planes,
organizacin, infraestructura tecnolgica y
procedimientos administrativos.
Adquisicin e Implementacin: Para poner en practica las estrategias
definidas se deben identificar soluciones de T!,
adquirirlas o desarrollarlas, y por supuesto
hacerlas operativas (implementacin)
integrandolas como procedimientos del dia a dia.
Forman parte de esta area todas las
modificaciones que hacen posible la continuidad
operativa de lo implantado, tanto para
adecuaciones que devienen de cambios en el
entorno como aquellas que se refieren a mejoras
operativas.
Produccin y Servicios: Esta area abarca las actividades que relacionadas
con los sistemas en produccin de los servicios
de T!, engloban las actividades tradicionales de
produccin, las de entrenamiento, los
procedimientos para garantizar la continuidad de
los servicios, operaciones de seguridad, etc.
Tambin abarcan las actividades de Soporte a los
sistemas en produccin. Esta area incluye el
procesamiento de los datos por sistemas de
aplicacin.
Monitoreo: Todos los procesos de T! deben ser evaluados
regularmente, tanto en cuanto a su calidad, como
al cumplimiento de los requerimientos de
control. Esta area atiende la participacin de la
gerencia y demas rganos de linea en los
procesos de retroalimentacin de los mecanismos
de verificacin y la evaluacin proveniente de
auditorias internas y externas.
Por cada Area de actividad relacionada con la T! se establecen un conjunto de
Objetivos de Control en los cuales se identifican:
- Los Recursos de T! involucrados
- Los Requisitos de la !nformacin a los cuales se refieren
Ejemplo:
En el rea: 2) de Adquisicin e !mplementacin
Los Recursos de T! involucrados son: Aplicaciones, Tecnologia, Soportes
Los Requisitos de la !nformacin a los cuales se refieren son:
- primariamente: Efectividad y Disponibilidad
- secundariamente: Eficiencia e !ntegridad
El Objetivo de Control: B) se refiere a la Existencia de Procedimientos
Alternativos (esta detallado en el NC!!EF)
Cada uno de los Objetivos de Control esta definido de tal manera que el
conjunto de los mismos abarque los objetivos de control en T! habitualmente
aceptados y por las organizaciones en cuyos trabajos se basa la elaboracin de
este Nanual.
1.2. FORMATO

1.2.1. ENCABEZADO: En el angulo derecho - en recuadro - se inserta el
CAP!TULO en numeros romanos. En el medio, el titulo principal del manual,
y en el angulo superior izquierdo el logo de la SUPER!NTENDENC!A DE
BANCOS y del Banco Central del
Paraguay.
1.2.2. TEXTO: A partir de las lineas siguientes al encabezado estara impreso el
texto.
1.2.3. PIE: De izquierda a derecha y en recuadro se inserta la Fecha de
Aprobacin del Nanual, la vigencia del mismo, la versin y sus revisiones, y
finalmente el numero de
pagina.
2. ACTUALIZACIONES
En los casos de actualizaciones de este manual, podran existir las
siguientes posibilidades:
2.1. VERSIN: El cambio de vERS!ON significa el reemplazo del NANUAL por
otro, en razn de cambios que significan modificaciones fundamentales de las
Normas y Reglamentos de Control !nterno !nformatico para el Sistema Financiero
establecidos por la SUPER!NTENDENC!A DE
BANCOS.
2.2. REVISIONES: En el cuadro de vERS!ON se inserta 2 (dos) digitos que
identifica las revisiones que hayan sido objeto las diferentes versiones del manual.
Ello implica que, aunque se produjeron modificaciones importantes, stos no
justifican cambios estructurales relevantes como para emitir una nueva vERS!ON
del manual.
2.3. REEMPLAZO DE PAGINA: Se ha alterado uno o varios parrafos de la pagina
en cuestin y, por tanto, se necesita solamente reemplazar dicha pagina. Las
paginas "corregidas" seran proveidas por la SUPER!NTENDENC!A DE BANCOS, con
el mismo numero de pagina la cual hay que reemplazar.
NOTA: Los parrafos o lineas alteradas estaran senalados con un asterisco (*) en
el borde izquierdo que corresponda a esa linea o parrafo, para una facil
referencia de las alteraciones realizadas.
2.4. INCLUSIN DE PGINA: Se debe incluir una o mas hojas en determinado
punto del manual y por tanto, son necesarios "insertar" dichas paginas en el
manual. Al efecto, la SUPER!NTENDENC!A DE BANCOS, proveera las paginas a
insertar con el mismo numero de pagina de aquel a continuacin del cual deben
seguir dichas paginas, pero con un digito de extensin mayor que indicara la
secuencia lgica que deben tener.
EJEMPLO :
Se deben incluir 5 (cinco) paginas entre las paginas 12.00 y 13.00.
Asi las paginas incluidas tendran los numeros 12.1.00 al
12.5.00.
Estas paginas deben seguir a la pagina 12.0 y quedar antes que la
13.0.
Si se ha de incluir nuevas paginas en el punto donde ya tuviere una extensin se
realiza el mismo procedimiento, teniendo en cuenta que las paginas deberan
quedar en secuencia correcta con los numeros de paginas iguales y la extensin
en orden consecutivo y ascendente.
INTRODUCCION
vivimos en un mundo completamente globalizado y dinamico. Los avances
tecnolgicos se suceden, lo unico permanente es el cambio y no podemos
ignorarlo a pesar de los riesgos que conlleva. Pero debemos reconocer la
existencia de riesgos que implica el uso de la tecnologia, para poder, dentro de lo
posible, neutralizarlos, minimizando su impacto sobre la organizacin.
Actualmente, toda organizacin moderna es por definicin, informatico-
dependiente. Todas sus transacciones se procesan a travs del computador. El
procesamiento electrnico transforma una montana de datos que ingresan, en
informacin con valor econmico. A poco que lo pensemos, la informacin es uno
de los activos mas valiosos de la organizacin. Esto, lamentablemente se entiende
cuando se vuelve inaccesible, porque se destruye o es robada e implica un serio
traspi para la empresa. Por consiguiente debemos conocer como se produce esa
informacin y como debemos protegerla.
El sistema de politicas y procedimientos organizacionales para custodia y
salvaguarda de sus activos, se ve influido y modificado por el procesamiento
electrnico.
Por lo tanto, este trabajo posee el enfoque del control interno en ambiente
informatizado. Desarrollaremos la idea que el sistema de control interno eficiente
en una organizacin inmersa en tecnologia, debe contar con herramientas
modernas de supervisin. Esto ayuda a que la organizacin logre adecuados
niveles de excelencia en la custodia y aprovechamiento de sus datos.
El enfoque de este Nanual le da a la Gerencia de !nformatica de la entidad un
papel de proveedor de servicios y crea una corresponsabilidad lgica con las
diversas areas propietarias de los sistemas. Esto implica aspectos tales como que
el propietario es quien debe determinar quien tendra acceso a sus datos y en que
condiciones.
La organizacin moderna aprovecha las potencialidades del procesamiento
informatico. Ello implica una nueva realidad, es decir, nuevos riesgos:
: Alto volumen de transacciones a consecuencia de lo cual se hace dificil su
seguimiento o individualizacin.
: Una confianza psicolgica sobre que lo que hace el computador esta bien.
: vemos que las transacciones se ingresan en linea y que las mismas generan,
automaticamente, acciones en una multitud de programas.
: Hay, por consiguiente, una desaparicin de las pistas sobre papel.
: La tecnologia cliente servidor, el uso de Bases de Datos, el uso de !nternet y
de las intranets corporativas lleva a que la informacin almacenada est
distribuida geograficamente (descentralizada).
: Posibilidades para modificar datos en forma informatica, sin dejar rastros.
: A consecuencia de lo anterior, necesidad de generar pistas de auditoria.
La alta gerencia de la entidad debe depender para su actuacin de que los datos
de la organizacin sean fiables. Es decir, que los datos deben ser actualizados,
integros, completos, confidenciales etc.
Es incorrecto dar por sentado que esos datos estaran siempre alli, y que es slo
responsabilidad de la Gerencia de Sistemas que los tengamos siempre accesibles.
Un problema de hardware, un programa mal disenado, un incendio o un delito
informatico nos puede demostrar, infortunadamente, cuan vulnerable es nuestro
sistema de informacin. Por consiguiente proteger la informacin y los sistemas de
aplicacin criticos, es asegurar la continuidad misma del negocio (responsabilidad
primaria de la Alta Direccin). La alta Direccin ademas, deberia lograr la
tranquilidad de que su organizacin (cualquiera sea su tamano) cuenta con un Plan
de Contingencias y de Continuidad del Negocio. Este es un documento que abarca
mucho mas que aspectos tecnolgicos y crea una cultura de la organizacin en
materia de seguridad y proteccin de vidas y activos.
El manual cuenta con un diccionario anexo en el cual podran encontrarse las
definiciones tcnicas de palabras utilizadas en el mismo.
OBJETIVOS
El presente manual fue concebido con el propsito de reglamentar los controles
basicos a implementar en las entidades financieras en lo que a Tecnologia de
!nformacin se refiere. Dichos controles apuntan a observar la informacin tal cual
la misma es necesaria para el logro de los objetivos y requerimientos de la
Entidad. La informacin es vista como el resultado de la aplicacin combinada de
los recursos proveidos por la T!, cuya administracin debe ser realizada por
procesos de Tecnologia de !nformacin.
Para satisfacer los objetivos de la Entidad, la informacin debe conformar ciertos
requisitos, a los cuales nos referiremos en adelante como Requisitos de la
Informacin.
De los diversos enfoques podemos extraer lo que parece ser un consenso general
en cuanto a las caracteristicas que en su conjunto representan los Requisitos de
la Informacin:
Efectividad: Se trata de que tan relevante y pertinente es la informacin
para los procesos de la Entidad, la correccin de la
informacin, su puntualidad, consistencia y facilidad de
utilizacin.
Eficiencia: Se refiere a la provisin de informacin a travs del uso
ptimo de los recursos, es decir la manera mas productiva y
menos costosa.
Confidencialidad: Es el nivel de proteccin que tiene la informacin a fin de que
la misma no pueda ser accedida por personas no autorizadas.
Integridad: Se refiere a que la informacin sea exacta y completa, y que la
misma haya sido validada apropiadamente.
Disponibilidad: Consiste en tener la informacin actual e histrica disponible
cuando la misma fuese requerida.
Conformidad: Se refiere a que la informacin obedezca las leyes,
reglamentos, normas, y regulaciones contractuales que hacen
al tipo de negocios que ejecuta la Entidad.
Fiabilidad: Consiste en la provisin de la informacin apropiada a la
Administracin para que la misma opere la Entidad y tenga
respaldo apropiado para ejercer sus responsabilidades sobre
los informes que firman.
La manipulacin de los datos y produccin de la informacin por medio de la T!,
depende del uso adecuado de un conjunto de Recursos de T!, los cuales seran
agrupados de la siguiente manera:
Datos: Se considera dentro de este grupo todo registro de
operaciones y los registros de las manipulaciones y
transformaciones que se hayan operado sobre los mismos, en
su mas amplio sentido, sean estos datos numricos o
alfanumricos, estructurados y no estructurados, graficos,
sonidos, etc. En esta definicin, el trmino datos engloba
tambin al concepto de informacin.
Aplicaciones: Es el conjunto de procedimientos manuales y automatizados.
Tecnologa: Comprende al hardware computacional y de comunicaciones, y
el software de base en el cual se incluyen: sistemas
operativos, sistemas gerenciadores de bases de datos,
software de redes, multimedia, y similares.
Soportes: Se refiere a todos los recursos para alojar y apoyar el
funcionamiento de la T!.
Personal: Comprende las habilidades, conocimientos y capacidades para
planificar, organizar, adquirir, implantar, sustentar y
monitorear sistemas de informacin automatizados.
A fin de asegurar que los Requisitos de la Informacin sean alcanzados, se
deben definir, implantar y monitorear el cumplimiento de medidas de control sobre
los Recursos de TI. Los procedimientos de Control !nterno !nformatico se
refieren a los controles que hacen que los Recursos de TI sean utilizados de
manera apropiada para asegurar que la informacin sea producida atendiendo los
Requisitos de la Informacin.
MARCO DE REFERENCIA DEL MANUAL DE CONTROL INTERNO
INFORMATICO {MCIIEF)
El NC!!EF esta basado primariamente en Normas de Control !nterno en el ambito
de la T!, provenientes de publicaciones de instituciones de renombre internacional
y autores destacados especialistas en el tema, y en especial, las Normas
contenidas en los que a juicio de esta Superintendencia de Bancos, constituyen los
principales cuerpos normativos actuales en la materia:
- SAC {System Auditability and Control) del !!A (!nstitute
of !nternal Auditors Research Foundation)
- Integrated Framework de COSO (Committee of Sponsoring
Organizations of Treadway Commission's !nternal Control
- SAS 55: Consideration of Internal Control Structure in
Financial Statement Audit, y SAS 7S: An Amendment to SAS
de A!CPA (American !nstitute of Certified Public Accountants)
- Cobit {Control Objectives for Information an related
Technology) de !SACF (!nformation Systems Audit and Control
Foundation)
rea de: PLANIFICACIN Y ORGANIZACIN
OBJETIVO DE CONTROL DE ALTO NIVEL
PO1- Definicin del Plan Estratgico de TI
Este control satisface el requerimiento empresarial de:
Lograr un balance ptimo entre las oportunidades brindadas por la T! y los
requerimientos de la Entidad, asi como asegurar logros futuros.
Se lo implanta:
Con un proceso de la planificacin estratgica emprendido a intervalos regulares,
que da lugar a Planes de T! a Largo Plazo. Este Plan de T! a Largo Plazo debe
traducirse peridicamente en planes operacionales de T! que fijan metas a corto
plazo claras y concretas.
Y tiene en cuenta:
- la definicin de los objetivos de la Entidad y sus necesidades de T!
- el inventario de soluciones tecnolgicas e infraestructura actual
- los cambios en la organizacin
- los estudios de viabilidad oportunos
- la evaluacin de los sistemas existentes
Cualidades de la Informacin a las cuales contribuye este Objetivo de
Control de alto nivel:
Efectividad Primariamente
Eficiencia Secundariamente
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
Recursos de TI que se consideran en este Objetivo de Control de alto
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
Area de: PLANIFICACIN Y ORGANIZACIN
PO1- Definicin del Plan Estratgico de TI
PO1.1 La TI como parte de los Planes de la Entidad
Objetivo de Control:
La Alta Gerencia es responsable por el desarrollo e implementacin
de Planes de TI a Corto y Largo Plazo, para cumplir la misin y
metas de la Entidad. La Alta Gerencia debe asegurarse de que las
cuestiones referentes a T! y las oportunidades que de ella devienen
estn evaluadas y reflejadas en los Planes de T! de la Entidad, es
decir que los Planes de T! a Corto y Largo Plazo se deben enfocar
como Planes Estratgicos de T!.
PO1.2 Plan de TI a Largo Plazo
La Gerencia de T! es responsable de la elaboracin y mantenimiento
regular del Plan de TI a Largo Plazo que se refiere al desarrollo de
Sistemas de !nformacin que sirvan como herramientas para el logro
de la misin global y las metas de la Entidad. En consecuencia, la
Gerencia de T! debe implementar un proceso de planificacin a largo
plazo con un enfoque estructurado.
PO1.3 Mtodo y Estructura en la elaboracin de Planes de TI a
Largo Plazo
La Gerencia de T! debe establecer y aplicar un enfoque estructurado
en la elaboracin del Plan de T! a Largo Plazo. Esto debe dar como
resultado un Plan de T! a Largo Plazo de alta calidad, el cual cubra
las cuestiones basicas respecto a que, quien, como y cuando.
Durante el proceso de planificacin se deben tener en cuenta el
modelo organizacional, la manera en que los cambios lo iran
afectando, la distribucin geografica, la evolucin tecnolgica, los
costos, las regulaciones y leyes que rigen el funcionamiento de la
Entidad, requisitos impuestos por terceros, el horizonte del Plan, las
opciones que ofrece la reingenieria de negocios a la Entidad, etc. El
Plan debe identificar claramente los beneficios de las opciones
elegidas.
PO1.4 Modificaciones del Plan de TI a Largo Plazo
La Gerencia de T! debe asegurarse de que el proceso de planificacin
cumple con los plazos establecidos. Ademas, debe adecuar el Plan a
los cambios que acontecen en T! y a los cambios en los Planes a
largo Plazo de la Entidad.
PO1.5 Plan de TI a Corto Plazo
La Gerencia de T! es responsable de que el Plan de T! a Largo Plazo
sea regularmente detallado como Plan de T! a Corto Plazo. El Plan
de T! a Corto Plazo debe contemplar la implantacin de los recursos
tecnolgicos apropiados, sobre la base de las directrices del Plan de
T! a Largo Plazo y debe ser apropiadamente modificado conforme a
las modificaciones introducidas en el Plan de T! a Largo Plazo.
PO1.6 Evaluacin de los Sistemas existentes
Antes de que se desarrollen o modifiquen los Planes de T! a Corto y
Largo Plazo, la Gerencia de T! debe evaluar los sistemas de
informacin existentes, en cuanto a grado de automatizacin de la
Entidad, funcionalidad, estabilidad, complejidad, costo, fortalezas y
debilidades, a fin de determinar el grado en el cual los sistemas
actuales se adecuan a las necesidades de la Entidad.
PO2 - Definicin de la arquitectura de informacin
Organizar los sistemas de informacin de la mejor manera posible.
Se lo implanta:
Creando y manteniendo un modelo de informacin empresarial y definiendo
sistemas apropiados para optimizar el uso de dicha informacin.
Y tiene en cuenta:
- la documentacin
- el diccionario de los datos
- las reglas de sintaxis de datos
- la propiedad de los datos y clasificacin de la importancia de los datos
Confidencialidad Secundariamente
!ntegridad Secundariamente
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos S
Aplicaciones S
Tecnologia
Soportes
Personal
PO2 - Definicin de la arquitectura de informacin
PO2.1 Modelo de la Arquitectura de Informacin
Objetivo de Control
La informacin deber ser consistente con las necesidades de la
empresa. La informacin se debe identificar, capturar, y comunicar
en una forma apropiada, en el momento justo, de tal manera que las
personas puedan ejecutar sus responsabilidades efectiva y
oportunamente. En consecuencia, se debe crear y mantener un
modelo de datos de arquitectura de informacin que comprenda el
Modelo de Datos Corporativo y la informacin relacionada a los
sistemas de informacin que acceden a los mismos.
PO2.2 Diccionario de Datos Corporativo y Reglas de Sintaxis de
Datos
Objetivo de Control
Se debe crear y mantener actualizado un Diccionario de Datos
Corporativo de los archivos de los sistemas criticos de la entidad, en
el cual se incluyan las reglas de sintaxis de datos.
PO2.3 Esquema de Clasificacin de Datos
Objetivo de Control
Se debe contar con un Esquema de Clasificacin de Datos en Clases
de Datos", que contemple los niveles de confidencialidad, propiedad
de los Datos, y reglas de acceso para cada Clase", de los datos
correspondientes a los archivos de los sistemas criticos de la entidad.
PO2.4 Niveles de Seguridad de Datos
Objetivo de Control
Se deben definir, implementar y mantener niveles de seguridad por
cada grupo de datos correspondiente a archivos de los sistemas
criticos de la entidad, cuyo nivel de confidencialidad requiera acceso
restringido.
PO3 - Determinacin de la direccin tecnolgica
!ncorporar las ventajas de las tecnologias disponibles y emergentes.
Se lo implanta:
Creando y manteniendo un plan de infraestructura tecnolgica.
Y tiene en cuenta:
- la adecuacin y capacidad evolutiva de la infraestructura actual
- el monitoreo del desarrollo tecnolgico
- las contingencias
- los planes de adquisicin
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones
Tecnologia S
Soportes S
Personal
PO3 - Determinacin de la direccin tecnolgica
PO3.1 Plan de Infraestructura Tecnolgica
La Gerencia de T! debe crear y actualizar regularmente un Plan de
!nfraestructura Tecnolgica, el cual debe concordar con las
definiciones de los Planes de T! a Corto y Largo Plazo. Este Plan
debe contemplar aspectos tales como la arquitectura de sistemas, la
direccin tecnolgica y las estrategias de migracin.
PO3.2 Monitoreo de Tendencias Futuras y Regulaciones
Se debe efectuar el monitoreo continuo de las tendencias en T!, asi
como las condiciones impuestas por las reglas de la Superintendencia
de Bancos y otras entidades que reglamentan el funcionamiento de
las Entidades del Sistema Financiero, de tal manera que las mismas
sean tenidas en consideracin para la elaboracin y actualizacin del
Plan de !nfraestructura Tecnolgica.
PO3.3 Planes de Contingencia e Infraestructura Tecnolgica
El Plan de !nfraestructura Tecnolgica debe contemplar aspectos de
contingencia tales como: redundancia, flexibilidad, adecuacin y
adaptabilidad evolutiva de dicho Plan, ademas de lo establecido en
las normativas emitidas en relacin a este punto.
PO3.4 Planes de Adquisicin de Hardware y Software
Objetivo de Control
La Gerencia de T! debe asegurarse de que los planes de adquisicin
de hardware y software reflejan las necesidades identificadas en Plan
de !nfraestructura Tecnolgica
PO3.5 Normas Tecnolgicas
Objetivo de Control
Basandose en el Plan de !nfraestructura Tecnolgica, la Gerencia de
T! debe definir Normas a fin de fomentar la estandarizacin.
PO4 - Definicin de la Organizacin y Relacionamiento de la Unidad
Funcional de TI
Prestar servicios de T!.
Se lo implanta:
Definiendo una organizacin adecuada que haga una previsin de la
cantidad de personas necesarias, sus habilidades, funciones y
responsabilidades, asi como las lineas de comunicacin.
Y tiene en cuenta:
- el comit de direccin
- la lista de niveles de responsabilidad
- la propiedad y custodia de datos
- el monitoreo
- la separacin de deberes
- los papeles y responsabilidades
- las descripciones del trabajo
- la dotacin de personal
- el personal clave
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones
Tecnologia
Soportes
Personal S
PO4 - Definicin de la Organizacin y Relacionamiento de la Unidad
Funcional de TI
PO4.1 El Comit de Direccin y Planificacin de los Servicios de TI
La Alta Gerencia debe nombrar los miembros de un Comit de
Direccin y Planificacin de Servicios de T! que dirija la planificacin
de los servicios de informacin y sus actividades. Este Comit debe
contar entre sus miembros a representantes de la Alta Gerencia,
gerentes usuarios de los servicios de T!, y de la Unidad Funcional de
Servicios de T!. El Comit debe reunirse peridicamente y debe
reportar a la Alta Gerencia.
PO4.2 Ubicacin Estructural del rea de Servicios de TI
La Alta Gerencia debe ubicar a la Unidad Funcional de Servicios de T!
en el organigrama de la Entidad, de tal manera que la misma cuente
con el apropiado nivel de autoridad, la cantidad adecuada de
personal, asi como la suficiente independencia de los Usuarios de las
demas Unidades Funcionales para garantizar la implantacin de
soluciones tecnolgicas efectivas y oportunas, asi como para que la
misma pueda establecer una relacin cooperativa con la Alta Gerencia
a fin de ayudarla a tomar conciencia, tener una mejor comprensin y
desarrollar habilidades de identificacin y resolucin de problemas de
T!.
PO4.3 Revisin estructural de la Gerencia de TI de la Entidad
Se debe establecer un procedimiento a ser ejecutado peridicamente
para la revisin de la estructura organizacional de la Gerencia de T!,
a fin de que la misma responda a los cambios coyunturales y a los
cambios en los objetivos.
PO4.4 Funciones y Responsabilidades
La Gerencia de T! debe asegurarse de que el personal de la Gerencia
de T! en la Entidad conoce sus funciones y responsabilidades con
relacin a los sistemas de informacin. Todo el personal debe tener
suficiente autoridad para ejercer las funciones y las responsabilidades
que se le asignan. Cada uno de los miembros de la organizacin
debe estar consciente de que tiene un cierto grado responsabilidad
en el control interno y la seguridad, a tal efecto se deben organizar
campanas regulares de concientizacin y disciplina.
PO4.5 Responsabilidad de la Seguridad Fsica y Lgica
Objetivo de Control
La Alta Gerencia debe asignar formalmente la responsabilidad de
asegurar tanto la seguridad lgica como la fisica de los activos de T!
de la Entidad a un Administrador de Seguridad de TI, el cual
reporte a dicha Gerencia. Las responsabilidades del Administrador de
Seguridad de T!, al menos deben ser establecidas en el ambito de la
Entidad como un todo, a fin de que se complementen y armonicen
con las medidas de Seguridad General de la Entidad. Si fuese
necesario, se deben asignar responsabilidades de administracin de
seguridad adicional en los Sistemas Automatizados para cumplir con
los requisitos especificos de seguridad que ellos tengan.
PO4.6 Propiedad y Custodia de Datos y Sistemas
La Gerencia de T! debe crear un procedimiento para nombrar
formalmente a los Propietarios y Custodios de los Datos y Sistemas.
Sus funciones y responsabilidades deben estar definidas claramente,
en cuanto a decidir respecto a la clasificacin de dichos datos en
materia de seguridad, asi como a los derechos de acceso. Los
propietarios habitualmente delegan la custodia al Grupo de
Operaciones, y delegan las responsabilidades de seguridad al
Administrador de Seguridad. Sin embargo, los Propietarios
permanecen con la responsabilidad de establecer y mantener las
medidas apropiadas de seguridad.
PO4.7 Separacin de Responsabilidades
La Alta Gerencia debe implantar la divisin de funciones y
responsabilidades de tal manera que no quepa la posibilidad de que
un miembro de la Entidad por si mismo sabotee la ejecucin de
procesos fundamentales, y por otra parte, asegurarse de que el
personal esta ejecutando unicamente aquellas funciones estipuladas
para sus respectivos cargos. En especial, se debe mantener la
separacin de tareas en las siguientes funciones:
- uso de sistemas de informacin
- ingreso de datos
- operacin de computador
- administracin de redes
- administracin del sistema operativo
- desarrollo y mantenimiento de sistemas
- administracin de cambios
- administracin de seguridad
- auditoria de seguridad
PO4.S Dotacin de Personal de Servicios de TI
La evaluacin de requerimientos de dotacin de personal de T! debe
ser realizada regularmente para asegurar que la Unidad Funcional de
Servicios de T! cuenta con un numero suficiente de personal
competente. Las necesidades de dotacin de personal deben ser
evaluados como minimo anualmente, o cuando existan cambios
significativos en la Entidad o en el ambiente de la T!. Como
resultado de la evaluacin se deben tomar medidas inmediatas para
asegurar la dotacin adecuada de personal para las necesidades
presentes y futuras.
PO4.9 Descripcin de Cargos del Personal de Servicios de TI
La Gerencia de T! debe asegurarse de que se establezcan las
descripciones de cargos para el personal de servicios de T! y que las
mismas sean actualizadas regularmente. Estas descripciones deben
delinear claramente la autoridad y responsabilidades de cada cargo,
deben incluir la definicin de los niveles de formacin, habilidades y
experiencia que sean necesarios para los cargos de relevancia.
PO4.10 Personal clave de TI
La Gerencia de T! debe definir e identificar al personal clave de T!.
PO4.11 Relacionamiento
La Gerencia de T! debe emprender las acciones necesarias para
establecer y mantener una optima comunicacin, coordinacin yfo
relacin estructural de la unidad a su cargo con las demas areas
funcionales de la Entidad, asi como con los diversos estamentos
externos tales como clientes, proveedores, fiscalizadores, etc.
PO5 - Administracin de la inversin en TI
Asegurar la provisin de recursos financieros y el control de desembolsos.
Se lo implanta:
Con una inversin peridica y un presupuesto operacional establecidos y
aprobados
por la Alta Gerencia de la Entidad.
Y tiene en cuenta:
- las opciones de financiacin
- el control de gastos
- la justificacin de costos
- la justificacin de beneficios
Eficiencia Primariamente
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad Secundariamente
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal
PO5 - Administracin de la inversin en TI
PO5.1 Presupuesto anual de la Unidad Funcional de Servicios de TI
La Alta Gerencia debe implementar la elaboracin de un presupuesto
para asegurar que los recursos presupuestarios sean previstos y
aprobados en concordancia con los Planes de la Entidad a Corto y
Largo Plazo, asi como con los Planes de T! de Corto y Largo Plazo.
Se deben detectar y analizar las diversas opciones de financiacin.
PO5.2 Monitoreo del CostoJBeneficio
La Gerencia de T! debe establecer un proceso de comparacin del
monto presupuestado con el monto ejecutado. Ademas, los posibles
beneficios derivados de las actividades de T! deben ser determinados
y reportados. Para el monitoreo de costos, la fuente de las cifras
actuales debe ser el sistema contablefpresupuestario de la Entidad.
PO5.3 Justificacin de Costos y Beneficios
Algun procedimiento de control Gerencial debe ser establecido por la
Alta Gerencia para garantizar que las actividades de la Unidad
Funcional de Servicios de T! tengan sus costos justificados y estn
acordes a las normas vigentes. Los beneficios derivados de la T!
deben ser analizados de manera similar.
PO6 - Administracin de Recursos Humanos
Naximizar la contribucin del personal al proceso de T!.
Se lo implanta:
Estableciendo tcnicas apropiadas de administracin de personal.
Y tiene en cuenta:
- la contratacin y promocin
- los requisitos de capacitacin
- entrenamiento
- la actualizacin de conocimientos
- el entrenamiento en diversas especialidades tcnicas
- la evaluacin objetiva del desempeno
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones
Tecnologia
Soportes
Personal S
PO6 - Administracin de Recursos Humanos
PO6.1 Calificacin del personal
La Gerencia de T! debe verificar que el personal de su unidad
funcional esta calificado atendiendo a su formacin acadmica,
entrenamiento yfo experiencia que sean necesarios para el
desempeno de sus funciones. La Gerencia de T! debe estimular al
personal para que el mismo forme parte de organizaciones
profesionales.
PO6.2 Entrenamiento del personal
La Gerencia de T! debe asegurar que el personal de T! esta motivado
y realiza actividades orientadas a su entrenamiento continuo, para
mantener su conocimiento, sus habilidades, su concientizacin
respecto a la seguridad, etc., al nivel requerido para realizar
eficazmente sus funciones. La Gerencia de T! debe elaborar y revisar
peridicamente los programas de educacin, entrenamiento y
actualizacin de capacidades tcnicas y administrativas.
PO6.3 Personal de respaldo
La Gerencia de T! debe asegurar que la falta de disponibilidad de
personal clave no interrumpira los servicios de T! necesarios para el
funcionamiento de la empresa, a tal efecto, contara con mas de un
especialista por cada funcin tcnica, o mantendra capacitados a
tcnicos de otras especialidades para cubrir las ausencias. Al personal
de posiciones sensibles se debe exigir tomar vacaciones o feriados
como para evaluar la habilidad de la Entidad para cubrir las
ausencias, asi como descubrir irregularidades.
PO6.4 Evaluacin del trabajo del Personal
La Gerencia de T! debe llevar a cabo un proceso de evaluacin del
desempeno de cada empleado y asegurarse de que la evaluacin ha
realizado teniendo en cuenta las normas establecidas y las
responsabilidades especificas del trabajo. Los empleados deben
recibir las indicaciones apropiadas para mejorar su actuacin o
conducta, siempre que sea necesario.
PO6.5 Cambio de Funciones o Desvinculacin de la Entidad
La Gerencia de T! debe contar con procedimientos para que se
tomen acciones apropiadas y oportunas con respecto a los empleados
que pasan a ejecutar otras funciones dentro de la Entidad y en
especial respecto a aquellos que se desvinculan de la misma, de tal
manera que estos eventos no danen medidas de control interno o de
seguridad.
PO7 - Cumplimiento de requisitos externos
Cumplir obligaciones legales, regulaciones y contratos.
Se lo implanta:
!dentificando y analizando requisitos externos que impactan en la T! y
tomando medidas apropiadas para cumplir con ellos.
Y tiene en cuenta:
- las leyes, regulaciones y contratos
- las revisiones regulares para efectuar cambios
- la asesoria legal
- la seguridad y ergonomia
- la privacidad de los datos
- la propiedad intelectual
- el flujo de los datos
Eficiencia
Confidencialidad
!ntegridad
Disponibilidad
Conformidad Primariamente
nivel:
Datos S
Aplicaciones S
Tecnologia
Soportes
Personal S
PO7 - Cumplimiento de requisitos externos
PO7.1 Revisin de los Requisitos Externos
La Alta Gerencia debe establecer y mantener procedimientos para
monitorear los requisitos externos y la coordinacin de actividades
que de ellos deriven. Se deben buscar y analizar los requisitos
Legales, Gubernamentales y otros requerimientos externos relativos a
las practicas de T!. La Gerencia de T! debe evaluar el impacto de
cualquier reglamentacin externa en las necesidades de informacin
y en el grado en que las mismas afectan los recursos de T!, de
manera que estn de acuerdo con los requisitos externos.
PO7.2 Prcticas y Procedimientos para Cumplir con requisitos
Externos
Las practicas de la Entidad deben asegurar que sean tomadas las
acciones correctivas oportunamente para garantizar el cumplimiento
de requisitos externos. Ademas, se deben establecer y mantener
procedimientos adecuados que aseguren el cumplimiento continuo de
los mismos.
PO7.3 Operaciones Electrnicas
La Gerencia de T! debe asegurar que estan vigentes contratos
formales que establecen acuerdos con las Empresas y Organizaciones
con las que se efectuan Operaciones Electrnicas, respecto a los
procesos de comunicacin, normas para seguridad de mensajes de
transacciones electrnicas y almacenamiento de los Datos. Al
comerciar en el !nternet, la Gerencia de T! debe implementar
controles adecuados que aseguren el cumplimiento de las leyes y
regulaciones locales, asi como las practicas habituales a nivel
mundial.
PO7.4 Cumplimiento de los requerimientos de Compaas de
Seguros
La Gerencia de T! debe asegurar que los requisitos de los contratos
de seguros fueron identificados de manera apropiada y se cumplen
permanentemente.
POS - Administracin de Proyectos
Asignar prioridades e implantarlas puntualmente y dentro de las
asignaciones presupuestarias establecidas.
Se lo implanta:
!dentificando y priorizando proyectos de acuerdo con el Plan Operacional,
ademas, la Entidad debe adoptar y aplicar tcnicas de Administracin de
Proyectos adecuadas.
Y tiene en cuenta:
- el area en la cual se desarrolla el proyecto
- la participacin del usuario
- los diversos puntos de revisin
- la asignacin de responsabilidades
- los procedimientos de aprobacin del proyecto y sus fases
- los costos de la mano de obra y equipos
- los planes y mtodos de obtencin de calidad
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones S
Tecnologia S
Soportes S
Personal S
POS - Administracin de Proyectos
POS.1 Esquema de Administracin de Proyectos de TI de la Entidad
La Gerencia de T! debe establecer un Esquema de Administracin
de Proyectos de TI de la Entidad que define el alcance y limites
de la administracin de proyectos, asi como la metodologia de
administracin de proyectos a ser adoptada y aplicada a cada
proyecto emprendido. La metodologia debe cubrir, como minimo, la
asignacin de responsabilidades, el detalle completo de las tareas, el
cronograma, los recursos, los diversos puntos de revisin, y los
procedimientos para las aprobaciones.
POS.2 Participacin de Usuario en el inicio del Proyecto
El Esquema de Administracin de Proyectos de T! de la Entidad debe
contemplar la participacin de personal que represente a las
Unidades Funcionales afectadas por el Sistema, en las fases de
definicin y autorizacin del inicio del proyecto, asi como en el
desarrollo, implantacin o modificacin del mismo.
POS.3 Formacin del Equipo de Proyecto y Asignacin de
Responsabilidades
especificar la manera en que se debe asignar al personal a un
proyecto, y definir las responsabilidades y atribuciones de los
miembros del equipo del proyecto.
POS.4 Definicin del proyecto
establecer la creacin de una clara definicin escrita de la naturaleza
y alcance de cada proyecto de aplicacin antes de que se inicien los
trabajos relacionados al proyecto.
POS.5 Aprobacin del proyecto
asegurar que para cada proyecto propuesto, la Alta Gerencia de la
Entidad revisa los informes de los estudios de viabilidad pertinentes
como base para su decisin de autorizacin para la ejecucin del
proyecto.
POS.6 Estudio de Viabilidad Tecnolgica
exigir un Estudio de la viabilidad Tecnolgica de cada alternativa que
satisfaga los requerimientos de la Entidad, en cada Proyecto.
POS.7 Estudio de Viabilidad Econmica
exigir un Estudio y Analisis del Costo y Beneficio de cada alternativa
que satisfaga los requerimientos de la Entidad, en cada Proyecto.
POS.S. Conversin
exigir que en cada Proyecto se efectue la conversin de los
elementos necesarios del viejo sistema al formato adecuado para que
interactuen adecuadamente con el nuevo sistema de acuerdo a las
decisiones asumidas.
POS.9 Aprobacin de Fase de proyecto
prever la participacin de personal representante de las Unidades
Funcionales de Usuarios afectados por el proyecto, y personal
adecuado de T! que deben aprobar el trabajo realizado en cada fase
del ciclo antes del inicio de la siguiente fase.
POS.10 Plan Maestro del Proyecto
La Gerencia de T! debe asegurar que para cada proyecto aprobado
exista un Plan Maestro del Proyecto, el cual sirva para el control
del mantenimiento del proyecto durante todo el ciclo de vida del
mismo, e incluya un mtodo para monitorear tiempos y costos
invertidos en el proyecto.
PO8.11 Plan de Control de Calidad de Sistemas
La Gerencia de T! debe asegurar que la implementacin o
modificacin de sistemas contemplan la preparacin de un Plan de
Control de Calidad de Sistemas integrado con el Plan Naestro del
Proyecto, formalmente revisado y aprobado por todas las partes
involucradas.
POS.12 Planificacin de Mtodos de Seguridad
Durante la fase de la planificacin de la administracin del proyecto
se deben identificar las tareas referentes a Seguridad, las cuales
deben asegurar que se cumplan con todos los requisitos de control
interno y seguridad.
POS.13 Formalizacin de la Administracin de Riesgos del Proyecto
La Gerencia de T! debe llevar a cabo un programa formal de
administracin de Riesgos de Proyectos para eliminar o minimizar los
riesgos en cada uno de ellos (por ejemplo, identificando y
controlando las areas o eventos que tienen el potencial para causar
danos y actuando en consecuencia).
POS.14 Plan de Pruebas del Proyecto
requerir un Plan de las Pruebas para cada Proyecto de desarrollo,
implantacin o modificacin.
POS.15 Plan de Entrenamiento
requerir que sea creado un Plan de Entrenamiento para cada
Proyecto de desarrollo, implantacin o modificacin, acorde con el
Plan de Educacin y Entrenamiento de T!.
PO9 - Administracin de la Calidad
Alcanzar los requerimientos de T! de los usuarios de sistemas.
Se lo implanta:
Planificando, implementando y manteniendo normas de administracin de
calidad y sistemas; ademas, la Entidad debe adoptar y aplicar una
Netodologia que cuente con diversas fases de desarrollo con objetivos y
productos claramente definidos.
Y tiene en cuenta:
- la estructura de plan de calidad
- las responsabilidades de garantia de calidad
- el ciclo de vida del desarrollo
- las pruebas y documentacin de los programas y sistemas
- las revisiones de garantia de calidad y los informes
Confidencialidad
!ntegridad Primariamente
Disponibilidad
Conformidad
nivel:
Datos
Aplicaciones S
Tecnologia S
Soportes S
Personal S
PO9 - Administracin de la Calidad
PO9.1 Plan General de Calidad
La Alta Gerencia debe desarrollar y mantener regularmente un Plan
General de Calidad basado en el Plan de la Entidad a Largo Plazo
y el Plan a Largo Plazo de T!. Este Plan General de Calidad debe
promover la filosofia de mejora continua y debe dar respuestas a
preguntas basicas de que", quin" y cmo".
PO9.2 Esquema de Garanta de Calidad
La Gerencia de T! debe establecer una norma que establezca un
Esquema de Garanta de Calidad que se refiera tanto a las
actividades de desarrollo de proyectos, como a las demas actividades
de T!. Las normas deben establecer los tipos de actividades para
garantizar calidad (como revisiones, auditorias, inspecciones, etc.)
que deben ser realizadas para lograr los objetivos del Plan General de
Calidad.
PO9.3 Compatibilidad de la revisin de Garanta de Calidad con las
Normas y Procedimientos habituales en funciones de TI
La Gerencia de T! debe asegurar que las responsabilidades asignadas
al personal de garantia de calidad incluya una revisin de
compatibilidad general con las Normas y Procedimientos habituales
de prestacin de servicios de T!.
PO9.4 Metodologa de Desarrollo de Sistemas
La Gerencia de T! de la Entidad debe definir e implementar Normas
para Sistemas de T! y adoptar una Metodologa de Desarrollo de
Sistemas para administrar el proceso de desarrollo, adquisicin,
implantacin y mantenimiento de sistemas de T!. La Netodologia
de Desarrollo de Sistemas debe ser apropiada para el tipo de
sistemas de la Entidad.
PO9.5 Actualizacin de la Metodologa de Desarrollo de
Sistemas respecto a Cambios en la TI
La Gerencia de T! debe asegurar la existencia de procedimientos
apropiadas, de tal manera que cuando existan cambios significativos
en la tecnologia, se efectue la actualizacin pertinente en la
Netodologia de Desarrollo de Sistemas.
PO9.6 Coordinacin y Comunicacin
La Gerencia de T! debe establecer un procedimiento para asegurar
estrecha coordinacin y comunicacin con los Usuarios de los
servicios de T! y los implementadores de los mismos. Este proceso
debe hacerse mediante mtodos estructurados, utilizando la
Netodologia de Desarrollo de Sistemas para asegurar la obtencin de
soluciones de T! de calidad que cumplan con las necesidades de la
Entidad. La Gerencia de T! debe promover una organizacin que
est caracterizada por una estrecha cooperacin y comunicacin a lo
largo de todo el Ciclo de vida de Desarrollo de Sistemas.
PO9.7 Relaciones con Proveedores que Desarrollan Sistemas
La Gerencia de T! debe llevar a cabo un proceso que asegure buenas
relaciones laborales con proveedores que desarrollan sistemas para la
Entidad. Este proceso debe hacer que el usuario y el Proveedor del
sistema acuerden criterios de aceptacin y administracin de
cambios, problemas durante el desarrollo, funciones del usuario,
plantel, herramientas, software, normas y procedimientos.
PO9.S Normas de Documentacin de Programas
La Netodologia de Desarrollo de Sistemas de la Entidad debe
incorporar Normas de Documentacin de Programas las cuales deben
ser comunicadas e impuestas al personal pertinente. La metodologia
debe asegurar que la documentacin creada durante el desarrollo del
sistema o proyecto respete estas Normas.
PO9.9 Normas de Pruebas de Programas
incorporar Normas que se refieran a los Requisitos de las Pruebas de
Programas, Comprobacin, Documentacin y Retencin del material,
para probar cada una de las unidades del software a ser puesto en
produccin.
PO9.10 Normas respecto a la Prueba de Sistemas
incorporar Normas que se refieran a los Requisitos de las Pruebas de
Sistemas, Comprobacin, Documentacin y Retencin del material,
para probar de manera global el funcionamiento de cada sistema a
ser puesto en produccin.
PO9.11 Pruebas Piloto o en Paralelo
La Netodologia de Desarrollo de Sistemas de la Entidad debe definir
las circunstancias bajo las cuales se efectuaran Pruebas Piloto o en
Paralelo de programas o sistemas.
PO9.12 Documentacin de las Pruebas de Sistemas
establecer, como parte de cada desarrollo de sistema de informacin,
implementacin o modificacin, que se retengan los resultados
documentados de las Pruebas de Sistemas.
PO9.13 Evaluacin del cumplimiento de Garanta de Calidad de las
Normas de Desarrollo
El Esquema de Garantia de Calidad de la Entidad debe requerir una
revisin de pos implantacin del sistema que evalue si el equipo del
proyecto respet las clausulas de la Netodologia de Desarrollo de
Sistemas
PO9.14 Revisin de Garanta de Calidad del logro de los Objetivos de
la Unidad Funcional de TI
El procedimiento de garantia de calidad debe incluir una revisin del
grado en que fueron logrados los objetivos de la Unidad Funcional de
T!, tanto en el desarrollo de proyectos como en otras actividades
particulares de T!. Asimismo, deben ser elaborados informes de
revisin de garantia de calidad y los mismos deben ser enviados a la
Gerencia de las Unidades Funcionales de Usuarios, asi como a la
Gerencia de T!.
rea de: ADQUISICIN E IMPLEMENTACIN
AI1 - Identificacin de Soluciones
Asegurar el mejor enfoque para satisfacer los requerimientos de los
usuarios.
Se lo implanta:
Analizando las oportunidades y alternativas y evaluando sus beneficios
respecto a los requerimientos de los usuarios.
Y tiene en cuenta:
- la definicin de los requisitos de la informacin
- los estudios de factibilidad
- los requerimientos de los usuarios
- la arquitectura de la informacin
- las pistas de auditoria
- la contratacin de servicios externos
- la seguridad de la rentabilidad
- la aprobacin de Soportes y tecnologia
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones S
Tecnologia S
Soportes S
Personal
AI1 - Identificacin de Soluciones
AI1.1 Control de Adquisiciones
La Gerencia de T! debe elaborar e implementar un Esquema de
Adquisiciones de TI que describa el conjunto de procedimientos y
normas a ser seguidos en la adquisicin de equipos de T! y
accesorios necesarios, materiales de T!, software, y servicios
relacionados. Todos los productos recibidos deben revisarse y
probarse antes de ser pagados en su totalidad.
AI1.2 Definicin de Requisitos de la Informacin
El Esquema de Adquisiciones de TI de la Entidad debe definir los
requisitos de la Entidad que deben ser satisfechos por los sistemas en
produccin, asi como por los nuevos sistemas propuestos o aquellos
a ser modificados tanto en cuanto software, datos e infraestructura.
Las definiciones deben ser hechas claramente antes del inicio del
Proyecto. El esquema de Adquisiciones de T! debe exigir que los
requisitos funcionales y operacionales de la solucin sean
especificados detalladamente, incluyendo los requisitos de
desempeno, seguridad, fiabilidad, compatibilidad, seguridad y el
cumplimiento de las reglamentaciones y legislacin vigente.
Ademas debe tener en cuenta, cuestiones tales como: si software se
adquirira como paquete de proveedores externos, sera desarrollado
por la Entidad o a travs de contratos, se ira evolucionando sobre el
software existente, o se efectuara una combinacin de las estrategias
citadas.
AI1.3 Requisitos de Servicios de Terceros
El esquema de Adquisiciones de T! debe establecer la evaluacin de
los requisitos y las especificaciones de los pliegos de bases y
condiciones para la propuesta de sistemas de proveedores externos.
AI1.4 Diseo de Pistas de Auditoria
La Gerencia de T! debe asegurar que se disponga de mecanismos
adecuados, de grabacin de Pistas de Auditoria para todo Sistema
que manipula datos confidenciales. Estos mecanismos deben ser
aprobados por los propietarios y custodios de los datos. Tambin se
debe contar con mecanismos para proteger los datos confidenciales
contra el acceso indebido asi como contra el mal uso de los mismos.
AI1.5 Seleccin de Software de Base
La Gerencia de T! debe asegurar que el Esquema de Adquisiciones de
T! incluya un procedimiento para identificar todos los programas de
software de base que potencialmente satisfagan sus requisitos
operacionales.
AI1.6 Aceptacin de Tecnologa
La Gerencia de T! debe asegurar que la aceptacin de la Tecnologia
sea acordada por contrato con el proveedor, y que el mismo detalle
los criterios y procedimientos de aceptacin. Deben incluirse en el
contrato las especificaciones de pruebas a realizarse que incluyan la
inspeccin, pruebas de funcionamiento y pruebas de los limites de
carga de trabajo.
AI2 - Desarrollo y Mantenimiento de Software de Aplicacin
Contar con procedimientos automatizados para ejecutar de manera efectiva
los procedimientos de la Entidad.
Se lo implanta:
Definiendo requisitos funcionales y operacionales especificos, y la
subdivisin de la implantacin en fases con productos claramente
identificados.
Y tiene en cuenta:
- las necesidades de los usuarios
- los requerimientos de entrada, almacenamiento, proceso y
salida
- la interfase con el usuario
- las pruebas de funcionamiento
- los requisitos de seguridad y control de las aplicaciones
- la documentacin
Confidencialidad
Disponibilidad
Conformidad Secundariamente
nivel:
Datos
Aplicaciones S
Tecnologia
Soportes
Personal
AI2 -Desarrollo y Mantenimiento de Software de Aplicacin
AI2.1 Mtodos de Diseo
La Netodologia de Desarrollo de Sistemas de la Entidad debe exigir
que se apliquen tcnicas y procedimientos apropiados y que los
usuarios estn involucrados en una intensa participacin, para crear
las especificaciones del Diseno para cada nuevo proyecto de sistema
a ser desarrollado, asi como para verificar la adecuacin de las
especificaciones de dicho Diseno a los requerimientos de los usuarios.
AI2.2 Grandes Cambios en los Sistemas Existentes
La Gerencia de T! debe asegurar, que en caso de grandes cambios a
los sistemas en produccin, se aplican procedimientos similares a los
que se observan en caso del desarrollo de nuevos sistemas.
AI2.3 Aprobacin del Diseo
La Netodologia de Desarrollo de Sistemas de la Entidad debe requerir
que las especificaciones del diseno de todo el sistema desarrollado o
modificado sean revisadas y aprobadas por la Gerencia de T!.
AI2.4 Aprobacin de la Funcionalidad del sistema
que la funcionalidad del sistema desarrollado o modificado sean
revisadas y aprobadas por las unidades funcionales usuarias
afectadas y la Alta Gerencia, cuando fuese apropiado.
AI2.5 Definicin de Requisitos de Archivos y documentacin
establecer un procedimiento apropiado para definir y documentar el
formato de cada archivo para los Sistemas de !nformacin que se
desarrollen o modifiquen. Dicho procedimiento debe asegurar que
se respeten las reglas del Diccionario de Datos Corporativo. La
Netodologia debe requerir especificamente que los Archivos de Datos
deben guardar integridad referencial.
A!2.6 Especificaciones de los programas criticos
que se identifiquen los programas criticos de cada mdulo y que se
detallen por escrito las especificaciones de cada uno de ellos, tanto
cuando sean modificados o cuando son desarrollados. La metodologia
debe asegurar que las caracteristicas tcnicas del programa estan de
acuerdo con las especificaciones del Diseno del Sistema.
AI2.7 Definicin de las Interfases
que se identifiquen todas las principales interfaces entre los sistemas
criticos y las mismas se disenen y documenten apropiadamente.
AI2.S Definicin de Requisitos de Proceso y documentacin
mecanismos adecuados para definir y documentar los Requisitos de
Procesamiento de datos, su periodicidad y otros factores que afecten
los resultados del mismo, por cada Proyecto.
AI2.9 Requisitos de Control
mecanismos adecuados para asegurar que el Control !nterno y los
requisitos de seguridad sean especificados para cada Proyecto. La
metodologia debe asegurar que los Sistemas de !nformacin se
disenan incluyendo controles de aplicacin que garantizan la
veracidad, integridad, oportunidad y autorizacin de entradas,
procesos y salidas. La evaluacin de confidencialidad debe realizarse
durante el inicio del Proyecto. La seguridad basica y aspectos del
Control !nterno en un Proyecto deben evaluarse a lo largo del plan
conceptual del Sistema para integrar conceptos de Seguridad y
Control !nterno lo antes posible.
AI2.10 Verificacin de Software de Aplicacin
Antes de que un Proyecto sea aprobado por el usuario, deben
realizarse las pruebas de programas individuales, pruebas de la
aplicacin que debe incluir el cumplimiento efectivo de A!2.5,
pruebas de integracin, pruebas de sistema, pruebas de carga, etc.,
segun el Plan de Pruebas del Proyecto. Se deben ejecutar los
procesos adecuados para prevenir la divulgacin de informacin
confidencial usada durante las pruebas.
AI2.11 Guas del Usuario y Materiales de Apoyo
La Netodologia de Desarrollo de Sistemas de la Entidad debe exigir la
elaboracin de Guias del Usuario y Nateriales de Apoyo adecuados,
(preferentemente en formato electrnico) como parte de cada
Proyecto.
AI3 - Adquisicin y Mantenimiento de la infraestructura de Tecnologa
Contar con las plataformas adecuadas para las aplicaciones de la Entidad.
Se lo implanta:
Evaluando el desempeno del hardware y software, ejecutando el
mantenimiento preventivo del hardware, y la instalacin, la seguridad y el
control del software de base.
Y tiene en cuenta:
- evaluacin de la tecnologia
- mantenimiento preventivo del hardware
- seguridad del software de base, instalacin, mantenimiento, y
control de cambios
Confidencialidad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones
Tecnologia S
Soportes
Personal
AI3 - Adquisicin y Mantenimiento de la infraestructura de Tecnologa
AI3.1 Evaluacin del Nuevo Hardware y Software
Deben existir procedimientos para evaluar el impacto que el nuevo
hardware y software pueda causar en el sistema global.
AI3.2 Mantenimiento preventivo del Hardware
La Gerencia de T! debe elaborar cronogramas de mantenimiento de
hardware para reducir la frecuencia y el impacto de las fallas de
equipos.
AI3.3 Instalacin de Software de Base
Se deben establecer procedimientos para asegurar que el Software
de Base se instale de acuerdo con el Esquema de Adquisicin de T!.
Se deben realizar las pruebas correspondientes, antes de autorizar el
uso del Software de Base en el ambiente de produccin.
AI3.4 Seguridad de Software de Base
La Gerencia de T! debe asegurar que la estructura del software de
base a ser instalado no crea riesgos para la seguridad de los datos y
programas. Debe prestarse especial atencin a la asignacin y
mantenimiento de los parametros del Software de Base.
AI3.5 Mantenimiento de Software de Base
Se debe contar con procedimientos para asegurar que el Software de
Base se mantiene en acuerdo con el Plan de !nfraestructura
Tecnolgica.
AI3.6 Control de cambios del Software de Base
Se debe contar con procedimientos para asegurar que los cambios
del Software de Base se controlan conforme a los procedimientos de
Cambios de la Entidad.
AI4 - Instalacin y Autorizacin de Sistemas
verificar y confirmar que la solucin cumple con los propsitos definidos.
Se lo implanta:
Realizando de manera adecuada, planificada y formal la instalacin,
migracin, conversin y aceptacin.
Y tiene en cuenta:
- el entrenamiento
- la carga y conversin de datos
- la especificacin de pruebas
- la autorizacin
- las revisiones pos implantacin
Eficiencia
Confidencialidad
Disponibilidad Secundariamente
Conformidad
Fiabilidad
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
AI4 - Instalacin y Autorizacin de Sistemas
AI4.1 Criterio para Pruebas Piloto y Pruebas en Paralelo
Se deben establecer procedimientos para asegurar que las Pruebas
Piloto y Pruebas en Paralelo se han realizado de acuerdo con el Plan
pre-establecido y que el criterio para terminar y aprobar el proceso
de la comprobacin se ha
especificado de antemano.
AI4.2 Prueba de Cambios
La Gerencia de T! debe asegurar que los cambios son probados,
antes de ser implementados en el ambiente de produccin, de
acuerdo con el impacto que pueden causar y la evaluacin de
recursos, en un ambiente de pruebas", por un Grupo de Pruebas,
independiente del Grupo de Desarrollo. Las pruebas se deben
ejecutar siempre en un ambiente que represente al de produccin, es
decir que cuente con similitudes de desempeno, seguridad, controles
internos, etc.
La Gerencia de T! debe asegurar que antes de pasar el Sistema a
Produccin, el Usuario o quien haya sido designado Custodio valida
su funcionamiento como un producto completo, bajo las condiciones
similares al ambiente de la aplicacin y de la manera en que el
sistema se ejecutara en el ambiente de Produccin.
AI4.3 Prueba de Aceptacin final
Los procedimientos deben exigir, como parte de la aceptacin final o
como parte de los procedimientos de garantia de calidad de todo
Proyecto una evaluacin y aprobacin formal de los resultados de las
pruebas, por la Gerencia de la Unidades Funcionales de Usuarios
afectados por el Sistema, asi como por la Gerencia de T!.
AI4.4 Prueba de la Seguridad y Autorizacin
La Gerencia de T! debe definir e implementar procedimientos para
asegurar que el Grupo de Operaciones y las Gerencias de Usuarios
afectadas por el Sistema acepten formalmente los resultados de las
pruebas y el nivel de seguridad del Sistema, y asuman el riesgo
residual.
AI4.5 Paso a Produccin
La Gerencia de T! debe definir e implementar procedimientos
formales para controlar el paso de Sistemas del ambiente de
desarrollo y pruebas al ambiente de produccin. Los ambientes
citados deben estar lgicamente separados y protegidos
apropiadamente.
AI5 - Administracin de Cambios
Ninimizar las probabilidades de interrupcin de servicios, alteraciones no
autorizadas y errores.
Se lo implanta:
!mplantando un Sistema de Administracin de Cambios que efectua el
analisis, implementacin y seguimiento de todos los cambios solicitados y
realizados en la infraestructura de T!.
Y tiene en cuenta:
- la identificacin de cambios
- la clasificacin, la priorizacin y los procedimientos de emergencia
- la evaluacin del impacto
- la autorizacin de cambios
- la administracin de la puesta en produccin
- la distribucin del software
Confidencialidad
Disponibilidad Primariamente
Conformidad
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
AI5 - Administracin de Cambios de Sistemas de Aplicacin
AI5.1 Pedido de Cambios y Control
La Gerencia de T! debe asegurar que todos los pedidos de cambios,
mantenimiento de Sistemas internos y mantenimiento de Sistemas
proveidos por terceros, estan sujetos a procedimientos formales.
Los cambios deben clasificarse y priorizarse y ademas, se debe
contar con procedimientos especificos para administrar urgencias. Se
deben implantar procedimientos para mantener informados respecto
al estado de las solicitudes a quienes las hayan efectuado.
AI5.2 Evaluacin del impacto
Se debe establecer un procedimiento para asegurar que todas las
solicitudes de cambios se evaluan de manera apropiada, respecto a
todos los posibles impactos en el ambiente de produccin y la
funcionalidad del sistema.
AI5.3 Documentacin y Procedimientos
El proceso de Cambio debe asegurar que siempre que se llevan a
cabo cambios del Sistema, se actualizan la documentacin asociada y
los procedimientos definidos para ello.
AI5.4 Autorizacin del Mantenimiento
La Gerencia de T! debe asegurar que el personal de mantenimiento
tenga asignaciones especificas y que su trabajo se supervisa
apropiadamente. Ademas, sus derechos de acceso al Sistema deben
controlarse para evitar riesgos de acceso desautorizado a los
sistemas automatizados en el ambiente de produccin.
AI5.5 Distribucin de Software
Se deben establecer medidas de Control !nterno especificas para
asegurar que en la distribucin de elementos de software los mismos
vayan al lugar correcto, con integridad, de una manera oportuna y
dejando las pistas de auditoria adecuadas.
rea de: PRODUCCIN y SERVICIOS
PS1 - Administracin de Servicios de Terceros
Asegurar que las funciones y responsabilidades de Terceros estn
claramente definidas, que sean compatibles con las necesidades y
principalmente satisfagan las necesidades de la entidad.
Se lo implanta:
Estableciendo medidas de control referentes a la revisin y monitoreo de los
contratos y procedimientos existentes con respecto a su efectividad y
cumplimiento de las politicas de la Entidad.
Y tiene en cuenta:
- los acuerdos de servicios con Terceros
- los acuerdos de confidencialidad
- los requisitos legales y regulaciones diversas
- la supervisin de la entrega
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
PS1 - Administracin de Servicios de Terceros
PS1.1 Mantenimiento del Software adquirido de terceros
La Gerencia de T! debe exigir que para todo software adquirido de
terceros, los proveedores tengan procedimientos apropiados para
evaluar, proteger y mantener la integridad del producto. Debe
tomarse en consideracin las necesidades de apoyo del proveedor
para el mantenimiento del producto.
PS1.2 Contratos de Servicios
La Gerencia de T! de la Entidad debe establecer que los contratos de
servicios de T! estn respaldados con una solicitud escrita por parte
de algun miembro autorizado de la Unidad Funcional de T!. El
contrato debe estipular:
: Que el software, documentacin y otros productos estan
sujetos a verificacin y prueba antes de su aceptacin.
: Ademas, debe requerir que el producto final del contrato sea
revisado y probado segun las Normas de T!, y que satisfaga a
todas las partes interesadas (como usuarios, gerentes del
proyecto, etc.) para su aprobacin y posterior efectivizacin del
pago.
: Las especificaciones de pruebas que se deben mencionar en el
contrato incluyen: la prueba del sistema con requerimientos del
cumplimiento efectivo de A!2.+, pruebas de integracin, pruebas
de equipos y componentes, pruebas de procedimientos, pruebas
de carga y tiempos de respuesta, pruebas de ajuste, pruebas del
usuario final, y pruebas piloto para todo el sistema, que
garanticen que se evitara cualquier fracaso inesperado en la
implementacin.
: La Entidad debe estar plenamente de acuerdo con el contrato
formal establecido con el proveedor.
: Los niveles de procesamiento requeridos, los niveles de
seguridad (Ej.: acuerdos respecto a la confidencialidad), , los
requerimientos de monitoreo, las consideraciones respecto a los
planes de contingencia y otros aspectos pertinentes.
: El riesgo de la Entidad respecto a asegurar la continuidad de
servicios y la influencia en este aspecto de la ejecucin de
Servicios de Terceros en trminos de incertidumbres legales, a fin
de efectuar las negociaciones pertinentes donde fuese apropiado.
: Que los mismos estn de acuerdo con los requisitos legales y
regulaciones vigentes.
PS1.3 Calificaciones Proveedores
La Gerencia de T! debe asegurar que los proveedores potenciales
seleccionados estan adecuadamente calificados sobre la base de una
evaluacin de su capacidad de provisin del servicio requerido, antes
de proceder a la adjudicacin.
PS1.4 Monitoreo
La Gerencia de T! debe ejecutar un proceso continuo de monitoreo
de la ejecucin de los contratos por parte de terceros, y la recepcin
de los productos, para asegurar que los mismos cumplan los trminos
contractuales.
PS2 - Garantizar la Continuidad del Servicio
Asegurar que los servicios de T! estn disponibles cuando sean requeridos y
minimizar el impacto negativo en caso de que acontezcan interrupciones de
servicio.
Se lo implanta:
Contando con un plan operativo de continuidad del servicio de T!, de
efectividad probada, acorde con el Plan General de Continuidad de servicios
de la Entidad, y sus necesidades de servicios minimos.
Y tiene en cuenta:
- la clasificacin de la importancia
- la documentacin del plan
- los procedimientos alternativos
- las copias de respaldo
- los procedimientos de recuperacin
- el entrenamiento sistematico
- las pruebas sistematicas
Confidencialidad
!ntegridad
Conformidad
Fiabilidad
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
PS2 - Garantizar la Continuidad del Servicio
PS2.1 Plan de Continuidad de TI
La Gerencia de T! debe asegurarse que exista por escrito un Plan de
Continuidad de TI que contenga por lo menos:
- Las pautas de cmo usar el Plan de Continuidad de T!
- Los procedimientos de emergencia para fortalecer la seguridad
de todos los miembros del personal afectado
- Los procedimientos de recuperacin para volver a la situacin
anterior al momento en que ocurri el incidente o desastre
- Los procedimientos de la Coordinacin y la definicin de
autoridades
- Los procedimientos de comunicacin de emergencia con:
empleados, clientes importantes, proveedores fundamentales,
accionistas, las gerencias y medios de comunicacin.
PS2.2 Mantenimiento del Plan de Continuidad de TI
La Gerencia de T! debe mantener procedimientos de control de
cambios a fin de asegurar que el Plan de Continuidad de T! esta
actualizado y refleja las necesidades reales de la Entidad. Es
necesario que el Plan de Continuidad de T! est continuamente
actualizado con respecto a los cambios en los procedimientos
administrativos y los procedimientos de recursos humanos.
PS2.3 Prueba del Plan de Continuidad de TI
Para tener un Plan de Continuidad de T! eficaz, la Gerencia de T!
debe evaluar peridicamente su propia capacidad de ejecutarlo. Esto
requiere cuidadosa preparacin, documentacin, informes de los
resultados de las pruebas y segun los resultados, la implementacin
de un plan de accin.
PS2.4 Entrenamiento respecto al Plan de Continuidad de TI
La metodologia de continuidad ante el desastre debe asegurar que
todas las partes interesadas reciben sesiones de entrenamiento
regularmente con respecto a los procedimientos a ser seguidos en
caso de un incidente o desastre.
PS2.5 Distribucin del Plan de Continuidad de TI
Dada la naturaleza confidencial del Plan de Continuidad de T!, el
mismo debe distribuirse slo al personal autorizado y debe estar
protegido contra la divulgacin no autorizada. Por consiguiente, las
secciones del Plan deben ser distribuidas sobre la base de la
necesidad de conocimiento que tenga el personal clave.
PS2.6 Recursos Fundamentales de TI
El Plan de Continuidad de T! debe identificar los programas de
aplicacin criticos, servicios de terceros, sistemas operativos,
personal, suministros, archivos de los datos, y los plazos que seran
necesarios para la recuperacin despus de que ocurra un desastre.
PS2.7 Local y Hardware de respaldo
La Gerencia de T! debe asegurar que el Plan de Continuidad de T!
incorpora una identificacin de alternativas con respecto al local y
hardware a ser utilizados en caso de desastres. Se deberia contar con
un contrato formal para este tipo de servicios.
rea de: PRODUCCIN y SERVICIO
PS3 - Garantizar la Seguridad de los Sistemas
Salvaguardar la informacin contra el uso o divulgacin no autorizados,
alteracin, dano o prdida.
Se lo implanta:
!mplantando controles de acceso, que aseguren que el acceso a los
sistemas, datos y programas esta restringido a los usuarios autorizados.
Y tiene en cuenta:
- la autorizacin
- la autenticacin
- el acceso
- los perfiles de usuarios y la identificacin
- la administracin de claves para encriptacin
- la administracin de incidentes, reporte y seguimiento
- la prevencin y deteccin de virus
- la prevencin de accesos no autorizados a o desde las redes
Efectividad
Eficiencia
Confidencialidad Primariamente
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
PS3 - Garantizar la Seguridad de los Sistemas
PS3.1 Administracin de las Medidas de Seguridad
La seguridad de T! debe ser administrada de tal manera que dichas
medidas de seguridad concuerden con las necesidades de la Entidad.
Esto incluye:
- La implementacin de un Plan de Seguridad de T!
- La actualizacin del Plan de Seguridad de T! para que el mismo
est acorde con los cambios en la configuracin de la
tecnologia
- La evaluacin del impacto de demandas de cambio en la
seguridad de T!
- La supervisin de la aplicacin del Plan de Seguridad de T!
- La adecuacin de los procedimientos del Plan de Seguridad de
T! a otras politicas y procedimientos de la Entidad
PS3.2 Identificacin, Autenticacin y Acceso
El acceso lgico y el uso de los recursos de T! deben estar
restringidos por la implementacin de un mecanismo de la
autenticacin adecuada de usuarios identificados, complementado
con reglas claras y estrictas de acceso. Tales mecanismos deben
hacer que personas no autorizadas no puedan por ningun medio local
o remoto acceder a los recursos del Sistema de T! de la Entidad. El
mecanismo implementado debe minimizar la cantidad de veces que
los usuarios autorizados deben ingresar sus contrasenas. Por otra
parte, deben existir procedimientos de autenticacin y mecanismos
de acceso que incorporen medidas de seguridad efectivas (Ej.:
cambio regular de contrasenas), y toda otra medida que la entidad
considere necesaria.
PS3.3 Seguridad de Acceso en Lnea a los Datos
En un ambiente de T! en linea, la Gerencia de T! debe implementar
procedimientos acordes con la Politica de Seguridad de la Entidad que
prescriba controles de seguridad de acceso basados en la necesidad
demostrada por cada Usuario en particular, de visualizar, agregar,
modificar o borrar datos especificos (respetando las normativas
vigentes).
PS3.4 Administracin de las Cuentas del Usuario
La Gerencia de T! debe establecer procedimientos que aseguren
acciones oportunas con relacin a las solicitudes, establecimiento,
comunicacin, suspensin y cancelacin de Cuentas del Usuario. Se
debe contar con un procedimiento de aprobacin que exija
autorizacin formal de acceso a los datos concedida por el Usuario
Propietario de los datos o sistema.
PS3.5 Violaciones e Informes de Actividad de Seguridad
La Administracin de Seguridad de T! debe asegurar que las
violaciones de acceso y la actividad de seguridad son registradas
automaticamente, informadas, revisadas y priorizadas para resolver
los !ncidentes de Seguridad que se refieren a actividades no
autorizadas.
PS3.6 Mantenimiento de Privilegios de Acceso
La Gerencia de T! debe establecen procedimientos para asegurar que
peridicamente los Usuarios Propietarios de Sistemas yfo Datos,
analizan los privilegios de acceso que han sido otorgados a los
usuarios y se hallan vigentes, a fin de evaluarlos, efectuar las
actualizaciones pertinentes y asumir formalmente el riesgo residual.
PS3.7 Administracin de Claves de Encriptacin
La Gerencia de T! debe definir e implementar procedimientos y
protocolos a ser utilizados para la generacin, la distribucin, la
certificacin, el almacenamiento y la utilizacin de claves de
encriptacin para asegurar la proteccin de claves contra la
modificacin y el descubrimiento no autorizado.
PS3.S Medidas de Seguridad y Conexiones con Redes Pblicas
Si la Entidad cuenta con conexin a !nternet u otras Redes publicas,
la Gerencia de T! debe implementar las medidas fisicas y lgicas
tanto para evitar el rechazo de servicios a quienes tengan derecho de
acceder a los mismos, asi como evitar todo acceso no autorizado a
los recursos de T! de la Entidad.
PS4 - Asistencia y Asesora a Usuarios
Asegurar que todos los problemas de T! que experimentan los usuarios son
resueltos adecuadamente.
Se lo implanta:
Habilitando un area de Asistencia a Usuarios, la cual provee asesoria y
asistencia rapida y efectiva.
Y tiene en cuenta:
- Administracin y Seguimiento de solicitudes del Usuario
- Nonitoreo de las respuestas y soluciones
- Analisis de tendencias de problemas
Eficiencia
Confidencialidad
!ntegridad
Disponibilidad
Conformidad
Fiabilidad
nivel:
Datos
Aplicaciones S
Tecnologia
Soportes
Personal S
PS4 - Asistencia y Asesora a Usuarios
PS4.1 rea de Asistencia a Usuarios
Se debe habilitar un Area de Asistencia a Usuarios integrada por
personal que debe actuar en relacin estrecha y reciproca con los
Usuarios afectados, asi como con el personal que trabaja para
solucionar los problemas.
PS4.2 Registro de Solicitudes de Usuarios
Deben existir procedimientos que aseguren que las solicitudes de los
Usuarios son adecuadamente registradas, preferentemente en
Sistemas Automatizados de T! por el personal del Area de Asistencia
a Usuarios.
PS4.3 Priorizacin de Solicitudes de Usuarios
Los procedimientos del Area de Asistencia a Usuarios deben asegurar
que las solicitudes de usuarios que no pueden ser inmediatamente
resueltas, van siendo atendidas por la Unidad Funcional de T!
conforme a una priorizacin adecuada.
PS4.4 Monitoreo de soluciones a las Solicitudes de Usuarios
La Gerencia de T! debe establecer procedimientos para supervisar el
grado de oportunidad de las soluciones dadas a las Solicitudes de los
Usuarios. La Gerencia de T! debe investigar preferentemente las
solicitudes resaltantes y actuar en consecuencia.
PS4.5 Anlisis de Tendencias e Informes
Deben existir procedimientos que aseguren la adecuada elaboracin
de informes con respecto a las Solicitudes de Usuarios y soluciones
dadas a las mismas, la cantidad de tiempo que fue necesaria para las
soluciones, la existencia o no de solicitudes sin solucin, asi como la
identificacin de las tendencias de prioridades de las mismas. Los
informes deben analizarse adecuadamente y se debe actuar en
consecuencia.
PS5 - Administracin de Datos
Asegurar que los datos permanezcan completos, exactos y validos durante
su entrada, actualizacin y almacenamiento.
Se lo implanta:
Contando con una combinacin efectiva de controles generales y controles
de cada aplicacin sobre las operaciones de T!.
Y tiene en cuenta:
- El diseno de formularios
- Los controles sobre documentos de origen de datos
- Los controles de entrada
- Los controles de procesamiento
- Los controles de salida
- La identificacin de medios de almacenamiento, y
administracin de la Biblioteca de los mismos
- La administracin de los procedimientos de respaldo
- La autenticacin e integridad
Efectividad
Eficiencia
Confidencialidad
Disponibilidad
Conformidad
Fiabilidad Primariamente
nivel:
Datos S
Aplicaciones
Tecnologia
Soportes
Personal
PS5 - Administracin de Datos
PS5.1 Verificacin de Exactitud, Integridad y Validez
Los datos de las operaciones ingresados a los Sistemas de T! deben
estar sujetos a una variedad de controles para verificar la exactitud,
integridad y validez, dichos controles deben ser aprobados por el
Propietario de los Datos. Ademas, deben establecerse
procedimientos para asegurar que los datos de entrada se validan de
acuerdo a los requerimientos y reglamentaciones vigentes.
PS5.2 Tratamiento de Errores de Datos de Entrada
La Entidad debe establecer procedimientos para la correccin o
eliminacin de datos que fueron ingresados errneamente, previendo
que los mismos estn encuadrados dentro de las reglamentaciones
vigentes.
PS5.3 Integridad del Procesamiento de Datos
La Entidad debe establecer procedimientos para el proceso de datos
que aseguren controles de actualizacin de datos adecuados como
controles de los totales y controles de actualizacin de archivos
maestros.
PS5.4 Tratamiento y Retencin de Salidas
La Gerencia de T! debe establecer procedimientos para el tratamiento
y retencin de las Salidas de su software de aplicacin, emitidas en el
departamento de T!.
PS5.5 Distribucin de la Salida, emitidas en el departamento de TI
La Gerencia de T! debe establecer y comunicar por escrito los
procedimientos para la distribucin de la Salida emitida en T! a los
departamentos usuarios de esas salidas.
PS5.6 Proteccin de Datos Confidenciales durante su Transmisin y
Transporte
La Gerencia de T! debe asegurar que existan procedimientos para la
proteccin adecuada de los datos confidenciales durante la
transmisin y transporte contra el acceso no autorizado, asi como
contra la modificacin y los errores de direccionamiento.
PS5.7 Responsabilidades de Administracin de la Biblioteca de
Medios de Almacenamiento
La Gerencia de T! debe definir los procedimientos para proteger los
volumenes de la Biblioteca de Nedios de Almacenamiento. Se deben
definir normas para la identificacin externa de volumenes y los
controles para su movimiento fisico y almacenamiento. Se debe
asignar la responsabilidad de administracin respecto a los Nedios de
Almacenamiento de la Biblioteca a miembros especificos de la Unidad
Funcional de T!.
PS5.S Respaldo, Almacenamiento y Restauracin
La Gerencia de T! debe llevar a cabo una Estrategia apropiada de
Respaldo y
Restauracin, la cual debe incluir una revisin de la necesidades de la
Entidad, asi como el desarrollo, la implementacin, las pruebas, y
documentacin del Plan de Recuperacin.
Los procedimientos deben asegurar que el Respaldo es verificado
regularmente para comprobar que son efectivamente utilizables.
Ademas, deben asegurar el almacenamiento apropiado de los
archivos de los datos, software y documentacin relacionada, tanto
dentro del local sede de la Unidad Funcional de T!, como fuera de
l. El Respaldo debe ser guardado en lugar seguro y el lugar de
almacenamiento debe ser peridicamente verificado con respecto a la
seguridad de acceso fisico y en general a la seguridad de los
volumenes. En general, estos procedimientos deben ser realizados
teniendo como base las normas minimas establecidas en las
reglamentaciones vigentes.
PS6 - Administracin de Soportes y Seguridad fisica
Proporcionar un ambiente fisico apropiado que protege a los recursos de T!
y al personal contra riesgos naturales o provocados por terceros.
Se lo implanta:
!nstalando controles apropiados, los cuales son peridicamente revisados
para mantener su funcionamiento adecuado.
Y tiene en cuenta:
- el acceso a los Soportes
- la identificacin del Centro de Cmputos
- la seguridad fisica
- la proteccin contra amenazas del medio ambiente
Efectividad
Eficiencia
Confidencialidad
Disponibilidad Primariamente
Conformidad
Recursos de TI que se consideran en este Objetivo de Control de
alto nivel:
Datos
Aplicaciones
Tecnologia
Soportes S
Personal
PS6 - Administracin de Soportes y Seguridad fsica
PS6.1 Seguridad fsica
Deben establecerse seguridad fisica apropiada y medidas de control
de acceso para los Sala de Naquinas y Comunicacin de T!, incluso el
uso de fuera del Centro de Cmputos de dispositivos de informacin,
en conformidad con la politica de seguridad general. El acceso al
Centro de Cmputos debe estar restringido a individuos que han sido
autorizados por la Gerencia de T!.
PS6.2 Escolta del visitante
Se debe contar con procedimientos apropiados para asegurar que los
individuos que no son miembros de la Unidad Funcional de T! son
escoltados por algun miembro de esta Unidad Funcional cuando ellos
deben ingresar al Centro de Cmputos. El registro de acceso de
visitantes debe guardarse y revisarse regularmente.
PS6.3 Proteccin contra factores del Medio Ambiente
La Gerencia de T! debe asegurar que existen y se mantienen
suficientes medidas de proteccin contra los factores
medioambientales (Ej.: polvo, calor, humedad, filtraciones de agua,
picos altos de la corriente elctrica, etc.). Se debe contar con equipo
especializado y dispositivos para supervisar y controlar el ambiente
de la instalacin.
PS6.4 Alimentacin Elctrica no Interrumpible
La Gerencia de T! debe evaluar regularmente la necesidad de
Fuentes de Alimentacin Elctrica no !nterrumpible, las baterias de
suministro y generadores de corriente para alimentar los equipos en
caso de cortes del fluido elctrico por parte de la Empresa
administradora de electricidad, a fin de fortalecer la seguridad de los
datos y la continuidad de operacin de los sistemas fundamentales.
Se deben ejecutar las acciones pertinentes para que la Entidad
cuente con los equipos mas apropiados.
PS7 - Administracin de Operaciones
Asegurar que las funciones importantes de T! se ejecutan regularmente y
de manera ordenada.
Se lo implanta:
Contando con una Agenda de Actividades de T!, en la cual se registra la
planificacin y ejecucin de todas las actividades.
Y tiene en cuenta:
- el manual de procedimientos de operacin
- la documentacin de procesos de Arranque
- la administracin de servicios de redes
- la agenda de carga de trabajo y personal
- el proceso de cambio de turno de operadores
- el registro de eventos del sistema
Confidencialidad
Conformidad
Fiabilidad
nivel:
Datos S
Aplicaciones S
Tecnologia
Soportes S
Personal S
PS7 - Administracin de Operaciones
PS7.1 Software no Autorizado
La Gerencia de T! debe establecer procedimientos para verificar
peridicamente la existencia de software no autorizado, en especial
en las computadoras personales, a fin de eliminarlo o proceder a su
adquisicin.
PS7.2 Procedimientos de Operacin y Manual de Instrucciones
La Gerencia de T! debe establecer y documentar los procedimientos
que se utilizaran normalmente para la operacin de T!, los cuales
deben ser respetados en las actividades de operacin de todos los
equipos de T! con que cuente la Entidad, asi como las instrucciones
especificas de operacin de Aplicaciones y otros procesos. Los
procedimientos deben ser revisados peridicamente para asegurar su
efectividad y cumplimiento de normas habituales de operacin. Los
horarios iniciales asi como los cambios de horario deben ser
autorizados apropiadamente. Los procedimientos deben asegurar que
se identifique, investigue y aprueben las excepciones respecto a lo
programado en la Agenda de Trabajos de Operacin.
PS7.3 Continuidad del Procesamiento
Los procedimientos deben asegurar la continuidad del procesamiento
durante los cambios de turno de operadores, manteniendo un
registro formal de actividades ejecutadas, el estado actual de cada
proceso y los informes respecto a las responsabilidades actuales.
PS7.4 Registro de Operaciones
Los controles de Administracin de Operaciones deben garantizar que
se registre suficiente informacin cronolgica en los Registros (Logs)
de Operaciones que permitan la reconstruccin, revisin oportuna y
examen de la secuencia de procesos y otras actividades que fueron
ejecutadas por el Grupo de Operaciones.
PS7.5 Operaciones Remotas
Deben existir procedimientos especificos para las operaciones
remotas, los mismos deben asegurar que la conexin y desconexin
de los enlaces a los computadores remotos se define y se lleva a
cabo segun lo planificado.
rea de: MONITOREO
M1 - Obtencin de Certificacin Independiente
Aumentar la seguridad y confianza entre la Entidad, los clientes, y los
proveedores.
Se lo implanta:
Ejecutando revisiones independientes llevadas a cabo a intervalos regulares.
Y tiene en cuenta:
- las certificaciones independientes
- las evaluaciones de efectividad independientes
- la certificacin independiente de cumplimiento con leyes y otros
requisitos de las regulaciones vigentes
- la certificacin independiente de cumplimiento con compromisos
contractuales
- las revisiones de proveedores
- la ejecucin de revisiones de certificacin por personal calificado
- la participacin proactiva de la auditoria
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
rea de: MONITOREO
M1 - Obtencin de Certificacin Independiente
M1.1 Certificacin Independiente de la Seguridad y el Control
Interno de TI
La Gerencia de T! debe obtener Certificacin independiente de
Seguridad y Control !nterno por lo menos una vez al ano. Dichos
informes se emitiran de inmediato en un plazo no mayor de 2+ horas,
cuando se trate de actos yfo hechos particularmente graves o
relevantes sobre la estabilidad de la entidad.
M1.2 Certificacin Independiente de la Seguridad y servicios de
Proveedores externos
La Gerencia de T! debe obtener Certificacin independiente de los
servicios contratados de los proveedores externos que existan
(control interno), asi como de la efectividad de los mismos, por lo
menos una vez al ano. Dichos informes se emitiran de inmediato en
un plazo no mayor de 2+ horas, cuando se trate de actos yfo hechos
particularmente graves o relevantes sobre la estabilidad de la
entidad.
M1.3 Evaluacin Independiente de la Efectividad de los Servicios
de TI
La Gerencia de T! debe obtener evaluacin independiente de la
efectividad de sus propios servicios de T! de forma sistematica y
peridica al menos una vez cada un ano.
M1.4 Certificacin Independiente de Cumplimiento con Leyes,
Regulaciones, Normativas y Compromisos Contractuales
La Gerencia de T! debe obtener evaluacin independiente del
Cumplimiento con Leyes, Regulaciones, Normativas respecto del area
de T! y Compromisos Contractuales de sus propios servicios en
forma peridica, por lo menos anualmente. Dichos informes se
emitiran de inmediato en un plazo no mayor de 2+ horas, cuando se
trate de actos yfo hechos particularmente graves o relevantes sobre
la estabilidad de la entidad.
rea de: MONITOREO
M2 - Implementacin de Auditora Interna Informtica
Aumentar el nivel de confianza y beneficiarse de mejores practicas gracias a
los dictamenes de la auditoria informatica interna.
Se lo implanta:
Ejecutando auditorias informaticas interna a intervalos regulares, segun un
plan de trabajo.
Y tiene en cuenta:
- la independencia de la auditoria
- la participacin proactiva de la auditoria
- la ejecucin de auditorias por personal calificado
- la toma de acciones sobre la base de evidencias y recomendaciones
- las actividades de seguimiento
nivel:
Datos S
Aplicaciones S
Tecnologia S
Soportes S
Personal S
rea de: MONITOREO
M2 - Implementacin de Auditora Informtica Interna
M2.1 Carcter de la Auditora Informtica
La Alta Gerencia de la Entidad debe definir el Caracter de la funcin
de Auditoria !nformatica. Este documento debe delinear la
responsabilidad, autoridad e imputabilidad de la funcin de auditoria
informatica. Las definiciones del Caracter de la auditoria informatica
deben revisarse peridicamente para asegurar que se mantienen la
independencia, autoridad y responsabilidad de la funcin de la
auditoria informatica.
M2.2 Independencia
El Auditor !nterno !nformatico de la Entidad debe ser independiente
del auditado en actitud y apariencia. Los Auditores !nformaticos no
deben asociarse con el personal de las Unidades Funcionales
auditadas. Asi, la funcin de la auditoria informatica debe ser
suficientemente independiente del area auditada para lograr los
objetivos de la realizacin de la auditoria.
M2.3 tica Profesional y Normas
La funcin de la auditoria informatica debe ejecutarse en
concordancia con los cdigos de tica aplicables a este tipo de
profesionales (Ej.:, Cdigo de tica Profesional de Auditoria de
Sistemas de !nformacin y Control !nterno) y Normas de Auditoria
(Ej.: Normas de Auditoria de Sistemas de !nformacin de !SACA) en
todas sus actividades profesionales. El cuidado profesional debido
debe ejercerse en todos los aspectos del trabajo de la auditoria,
incluso en la observacin de Normas aplicables de Auditoria y T!.
M2.4 Calificacin de los Auditores Internos
La Alta Gerencia debe asegurarse que los Auditores !nternos
!nformaticos responsables de la revisin de las actividades de T! de la
Entidad estan tcnicamente calificados y poseen las habilidades y
conocimientos necesarios para ejecutar sus funciones de manera
eficaz, eficiente y con costos razonables. La Alta Gerencia debe
asegurar que el personal de la auditoria informatica asignado a
sistemas de informacin, que audita tareas de T! mantenga su
competencia tcnica a travs de educacin profesional continua y
apropiada. De acuerdo a ello, deberan informar a la Superintendencia
de Bancos, de la o las personas encargadas de dicha area enviando el
curriculum vitae de lafs mismas.
M2.5 Planificacin del trabajo de Auditora Informtica
La Alta Gerencia debe supervisar la elaboracin de un Plan de
Auditora de TI para asegurar que se ejecutan auditorias regulares
e independientes con respecto a la efectividad y eficacia de la
Seguridad y de los Procedimientos del Control !nterno. Los Auditores
!nformaticos deben planear el trabajo de auditoria de T! para dirigir
los objetivos de la auditoria y obedecer las normas aplicables a dicha
area. Como minimo deberan elaborar procedimientos de acuerdo a
los lineamientos expuestos en este Nanual y toda otra
reglamentacin existente para dicha area.
M2.6 Desempeo del Trabajo de Auditora Informtica
Las actividades de auditoria informatica deben ser supervisadas
apropiadamente para garantizar que se alcanzan los objetivos
empleando las normas aplicables a dicha area. Los Auditores
informaticos deben asegurar la obtencin de evidencia suficiente,
fiable, pertinente y util para lograr eficazmente los objetivos de la
auditoria. Las evidencias de la auditoria informatica y conclusiones
deben ser apoyadas por el analisis apropiado e interpretacin de esta
evidencia.
M2.7 Informes de Auditora Informtica
La funcin de la auditoria informatica de la Entidad debe proporcionar
sus informes para los destinatarios, en un formato apropiado. El
informe de la auditoria informatica debe declarar el alcance y
objetivos de la auditoria, el periodo cubierto, asi como la naturaleza y
magnitud del trabajo de la auditoria realizada. El informe debe
identificar a los destinatarios y las restricciones de confidencialidad.
Tambin debe declarar las evidencias, conclusiones y
recomendaciones acerca del trabajo de la auditoria realizada, y
cualquier salvedad o calificacin que el auditor tenga con respecto a
la auditoria. Los informes ordinarios y extraordinarios que se emitan
seran elevados en forma exclusiva y simultanea al Directorio y
Sindico de la entidad y a la Superintendencia de Bancos. Dichos
informes se emitiran de inmediato en un plazo no mayor de 2+ horas,
cuando se trate de actos yfo hechos particularmente graves o
relevantes sobre la estabilidad de la entidad.
Copias de las actas del Directorio de la entidad por las cuales se
tomen conocimiento de los informes que denuncien hechos
particularmente graves o relevantes sobre la estabilidad de la entidad
deberan ser enviadas a la Superintendencia de Bancos el dia habil
siguiente al de su emisin para agregar al !nforme de la Unidad de
Control !nterno.
M2.S Actividades de Seguimiento
La Gerencia afectada es la responsable de ejecutar las acciones
pertinentes sobre la base de los informes de auditoria informatica.
Los auditores deben pedir y evaluar la informacin apropiada para
realizar un seguimiento para determinar si se han llevado a cabo las
acciones apropiadas de una manera oportuna, debiendo la entidad
informar a la Superintendencia de Bancos, dentro de los diez dias
siguientes a la terminacin de cada seguimiento sobre las medidas
preventivas y correctivas ejecutadas o a ejecutar en los casos que se
observaran debilidades o posibles problemas para la institucin. En
los casos en que no se hubieran ejecutado las medidas correctivas
solicitadas, deberan presentar una exposicin de motivos de las
mismas.

Manual Control Inter No in F

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Control Inter No in F

Uploaded by

Copyright:

Available Formats

SUPERINTENDENCIA

You might also like