NCI Procesos: Tecnología de la Información
Summary
TLDRThis session delves into internal control standards for information technology, focusing on processes. It highlights laws like data protection and electronic signature, and standards such as ISO 27001. The script discusses Colombian General Controller's Office's internal control norms, which guide public entities in organizing, managing IT projects, infrastructure, and security. It emphasizes the importance of these norms in ensuring information security, confidentiality, integrity, availability, and privacy, as well as the effectiveness and efficiency of security controls in both public and private organizations managing public resources.
Takeaways
- 📜 The session covers internal control standards with a focus on information technology processes, highlighting the importance of laws and regulations such as the Personal Data Protection Law and the Electronic Signature Law.
- 🔒 ISO 27001 is mentioned as a standard that sets requirements for an information security management system, providing a framework for managing and governing information and technology systems.
- 🏛 The General Comptroller's Office has issued internal control standards, specifically norms 410, which guide the organization, management, and operation of technological systems within public entities.
- 🛠️ The norms 4101 to 4105 define how public entities should organize, manage committees, segregate functions, and have a strategic plan, policies, and procedures applicable to information technology and communications.
- 🌐 Norms 4106 to 41014 refer to information architecture, technological projects, software development, maintenance, acquisition, and technological infrastructure, including their controls.
- 🔒 Norms 41011 to 410144 focus on information technology security, contingency plans, administration, support, monitoring, and evaluation of processes and services.
- 🌐 Norms 41015 to 41017 relate to interaction and communication, including web portals, telematic services, intranets, training, and electronic signature management.
- 🛡️ Internal control standards are a set of principles, policies, and procedures established to ensure the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls.
- 🏢 The organization of the Information and Communication Technology (ICT) unit is emphasized, requiring public sector entities to integrate a work framework for technology processes and involve senior management in decision-making.
- 📝 The implementation of internal control standards requires the acquisition of security software, intrusion detection systems, backup and recovery systems, and the incorporation of specialized professionals in cybersecurity to improve organizational efficiency and protect critical information assets.
- 📚 It's essential to have essential and key controls for the proper implementation of internal control standards for ICT, ensuring pre-authorization security through actions and verification methods aligned with institutional plans and budgets.
Q & A
What is the main focus of the session 4 of module 2?
-The main focus of the session is on internal control standards, specifically those related to information technology processes.
Which laws and regulations are mentioned in the script as applicable to information management?
-The script mentions the Personal Data Protection Law, the Electronic Signature Law, and standards such as ISO 27001.
What does ISO 27001 establish in terms of information security management?
-ISO 27001 establishes the requirements for an information security management system.
What is the purpose of the internal control standards issued by the General Comptroller's Office?
-The purpose of these standards is to guide the implementation, operation, and updating of technological systems within organizations.
How many internal control standards are there in the script's reference?
-There are 17 internal control standards, ranging from 4101 to 4105.
What do the standards from 4101 to 4105 define regarding public entities' organization and management?
-They define how public entities should organize, manage committees, segregate functions, have a strategic plan, and establish policies and procedures applicable to information technology and communications.
What is the significance of the internal control standards in ensuring the security and confidentiality of information?
-The internal control standards are a set of principles, policies, and procedures established to ensure the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls.
What are the key areas that the internal control standards cover in terms of information technology?
-The key areas include the organization of the information technology unit, risk management, security of information technology, contingency planning, support administration, monitoring, and evaluation of processes and services.
What is the importance of training and awareness in the implementation of internal control standards?
-Training and awareness are crucial to ensure that all employees and third parties with access to systems and information are trained in security controls and comply with established policies and procedures.
What are some of the technical and administrative controls that should be implemented to ensure compliance with policies and procedures?
-Some controls include firewalls, antivirus systems, intrusion detection systems, backup and recovery systems, and password policies.
How often should security controls be monitored and evaluated to identify potential weaknesses and improve them?
-Security controls should be regularly monitored and periodically evaluated to identify potential weaknesses and continuously improve the security controls.
What is the role of the Information Security Officer in the context of internal control standards?
-The Information Security Officer is responsible for ensuring the implementation and maintenance of information security controls to guarantee the security of the organization's critical information assets and reduce the risk of system interruptions.
Outlines
📜 Introduction to Internal Control Standards for IT
This paragraph introduces the session on internal control standards with a focus on information technology processes. Yael Ávila and Jorge Cortés highlight the importance of laws and regulations such as data protection and electronic signature laws, as well as standards like ISO 27001 and COBIT that provide a framework for information security management. The paragraph outlines the internal control standards issued by the General Comptroller of the State, specifically norms 410 which include 17 standards from 4101 to 4105. These standards guide public entities on how to organize, manage committees, segregate functions, and establish strategic plans and policies for information technology. The paragraph emphasizes the role of these standards in ensuring the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls in organizations managing public resources.
🛡️ Implementing and Evaluating IT Security Controls
The second paragraph delves into the implementation and evaluation of IT security controls as dictated by the internal control standards. It discusses the need for policies and procedures to identify and mitigate risks, including access controls, authentication, and ensuring the confidentiality, integrity, and availability of information. Technical and administrative controls such as firewalls, antivirus systems, intrusion detection systems, and backup and recovery policies are mentioned. The paragraph stresses the importance of training and awareness programs for personnel on the significance of security controls and the need for regular monitoring and periodic evaluations to improve security measures. It also touches on the necessity of acquiring security software, hiring IT security professionals, and understanding essential controls and key verification methods to ensure the proper authorization of processes and compliance with institutional plans and budgets related to information technology.
🔏 Concluding Remarks on IT Internal Control Standards
The final paragraph concludes the discussion on IT internal control standards, inviting participants to review the material on the platform and complete the session evaluation. It mentions the upcoming module three, which will focus on the weaknesses of internal controls and their effects. The paragraph also reminds participants of the obligation to protect personal access keys and the potential need to revoke electronic signature certificates if compromised, emphasizing the importance of confidentiality and security in IT management.
Mindmap
Keywords
💡Information Management
💡ISO 27001
💡Internal Control Norms
💡Information Technology Governance
💡Data Protection Law
💡Electronic Signature Law
💡Information Security
💡Risk Management
💡Contingency Plan
💡Training and Awareness
💡Compliance
Highlights
Introduction to session 4 of module 2 focusing on internal control standards for information technology processes.
Mention of applicable laws and regulations such as the Data Protection Law and the Electronic Signature Law.
Discussion of standards like ISO 27001 for information security management systems.
Explanation of the internal control standards issued by the General Comptroller's Office, specifically norms 410.
Norms 4101 to 4105 outline the organization and management of public entities in information technology.
Norms 41006 to 41010 relate to information architecture, technological projects, and software and infrastructure acquisition.
Norms 41011 to 410144 focus on information technology security, contingency plans, and process monitoring and evaluation.
Norms 41015 to 41017 pertain to interaction and communication, including web portals, telematic services, and electronic signatures.
Internal control standards ensure the security, confidentiality, integrity, availability, and privacy of information.
The importance of managing risks and threats associated with information technology use.
Emphasis on the organization of the information technology and communication unit within public entities.
The necessity of involving senior management in decision-making and establishing an IT organizational structure.
Highlighting the role of an information security officer in ensuring the implementation and maintenance of information security controls.
Requirement for organizations to apply IT and communication controls throughout the information lifecycle.
The importance of training and awareness for personnel on the use of security controls to prevent risks.
The need for regular monitoring and periodic evaluation of implemented security controls to identify weaknesses and improve them.
Implementation of these standards requires the acquisition of security software and systems, as well as specialized IT security professionals.
Essential controls and key actions for the correct implementation of internal control standards for IT.
The application of prior internal controls and their criteria for legality, truthfulness, convenience, opportunity, relevance, and conformity.
The verification of trainings through electronic files or signed electronic messages to ensure compliance with regulations.
The obligation not to divulge or share personal access keys to prevent the revocation of electronic signature certificates.
Conclusion of the review of internal control standards with an invitation to review material and complete the session evaluation.
Transcripts
00:03Bienvenidos a la sesión 4 del módulo 2
00:06donde abordaremos las normas de control
00:08interno con enfoque a procesos para la
00:10tecnología de la información soy Yael
00:13Ávila y me acompaña Jorge Cortés
00:15entrando en materia es importante
00:17señalar que existen leyes y regulaciones
00:20aplicables a la gestión de la
00:22información como son la ley de
00:24protección de datos personales y la ley
00:26de firma electrónica Así también hay
00:29algunas noras como la ISO
00:3127001 que establecen los requisitos para
00:34el sistema de gestión de seguridad de la
00:37información y la Norma covid que
00:39corresponde a los objetivos de control
00:41para la información y tecnología
00:43relacionada que proporciona un marco de
00:46referencia para la gestión y gobierno de
00:49los sistemas de información y tecnología
00:53ahora bien las normas de control interno
00:56emitidas por la contraloría general del
00:58estado incluye en las normas 410 sobre
01:02el componente de tecnología de la
01:04información que sirven para dirigir
01:07asegurar la implantación funcionamiento
01:09y actualización de los sistemas
01:12tecnológicos organizadas en 17 normas
01:15así de la 4101 a la
01:194105 definen la manera en la cual las
01:21entidades públicas deben organizarse
01:24gestionar comités segregar funciones
01:27contar con un plan estratégico est
01:30políticas y procedimientos aplicables a
01:32la tecnología de la información y
01:34comunicaciones de la 410 06 a la 4101
01:40hacen referencia a la arquitectura de la
01:42información proyectos tecnológicos
01:45desarrollos mantenimiento adquisición de
01:47software e infraestructura tecnológica y
01:50su control de la 41011 a la 410 144
01:55hacen referencia a la seguridad de la
01:57tecnología de la información plan de
01:59contingencias administración de soporte
02:02monitoreo y evaluación de los procesos y
02:05servicios de la 41015 a la
02:0841017 están relacionadas a la
02:11interacción y comunicación como el
02:13portal web servicios telemáticos e
02:15intranet capacitación y manejo de firmas
02:19electrónicas las normas en este
02:21componente de control interno son un
02:23conjunto de principios y políticas
02:26procedimientos establecidos para
02:28garantizar la seguridad
02:30confidencialidad integridad
02:32disponibilidad y privacidad de la
02:35información así como la efectividad y
02:38eficiencia de los controles de seguridad
02:40en una organización o entidad pública o
02:43privada que administre recursos públicos
02:46se centran en la gestión de los riesgos
02:48y amenazas asociados al uso de las
02:50tecnologías de la información y la
02:53comunicación y buscan asegurar que se
02:55cumplan los objetivos institucionales de
02:58manera segura y confiable En lo
03:02particular la organización de la unidad
03:04de tecnologías de la información y
03:07comunicación Establece que las entidades
03:10y organismos del sector público deben
03:13acoplar un marco de trabajo para
03:15procesos de tecnología involucrar a la
03:18alta dirección en la toma de decisiones
03:21generar una estructura organizacional de
03:24tecnología de la información y la
03:27comunicación establecer una unidad
03:30posicionada dentro de la estructura
03:32organizacional de la entidad y disponer
03:35de áreas que cubran proyectos
03:37tecnológicos infraestructura tecnológica
03:41soporte interno y externo seguridad de
03:44tecnologías de la información y
03:46comunicación e incorporar un oficial de
03:49seguridad de la
03:52información por ello recordemos que las
03:55normas de control interno permiten la
03:58implementación y mantenimiento de los
04:01controles de seguridad de la información
04:03para garantizar que todos los empleados
04:06y terceros que tienen acceso a los
04:08sistemas y a la información de la
04:10organización estén capacitados en cuanto
04:13a los controles de seguridad y cumplan
04:16con las políticas y procedimientos
04:18establecidos es importante conocer que
04:21las normas de control interno aseguran
04:24que los controles orientados a las
04:26tecnologías de la información y
04:28comunicación se aplican en todas las
04:31etapas del ciclo de vida de la
04:33información desde la
04:35recopilación hasta el almacenamiento
04:38procesamiento uso y eliminación de la
04:41información las normas de control
04:43interno 410 realizan una evaluación de
04:46los riesgos asociados a los sistemas de
04:49información de la organización esto
04:51implica identificar los activos críticos
04:55vulnerabilidades existentes amenazas
04:57potenciales e impactos que puede tener
05:00sobre la organización en base a la
05:02evaluación de riesgos se debe definir
05:05políticas y procedimientos que permitan
05:07identificarlos y mitigarlos estas
05:10políticas y procedimientos deben incluir
05:13controles de acceso autenticación
05:16confidencialidad integridad y
05:18disponibilidad de la información además
05:21se debe implementar controles técnicos y
05:24administrativos para garantizar el
05:26cumplimiento de las políticas y
05:30procedimientos estos controles pueden
05:32incluir fireware antivirus sistema de
05:35detección de intrusos sistema de
05:37respaldos y recuperación políticas de
05:40uso de contraseñas entre otros Cabe
05:43señalar que las organizaciones deben
05:45generar procesos de capacitación y
05:48concientización a su personal sobre la
05:51importancia de los controles de
05:53seguridad la forma en que deben
05:55utilizarse para prevenir los riesgos
05:57asociados al uso de las tecnologías de
06:00la información es necesario también
06:03monitorear regularmente los controles de
06:06seguridad implementados y realizar
06:08evaluaciones periódicas para identificar
06:11posibles debilidades y mejorar
06:13continuamente los controles de
06:17seguridad en general la implementación
06:20de estas normas requiere la adquisición
06:23de software de seguridad sistemas de
06:26detección de intrusos sistemas de
06:28respaldo y recuperación así como la
06:31incorporación de profesionales
06:33especializados en seguridad informática
06:36lo que permitirá mejorar la eficiencia y
06:39productividad de la organización al
06:41proteger sus activos críticos de
06:44información y reducir el riesgo de
06:46interrupciones en los sistemas para
06:48complementar es necesario conocer que
06:51existen controles esenciales y claves
06:54para la correcta implementación de las
06:56normas de control interno para la
06:58tecnología de de la información mediante
07:01acciones y medios de verificación que
07:04brinden una seguridad previo a la
07:06autorización de los
07:08procesos Así es ya la aplicación del
07:11control interno previo y sus criterios
07:14de legalidad veracidad conveniencia
07:17oportunidad pertinencia y conformidad
07:20deben alinearse con los planes y
07:22presupuestos institucionales en lo
07:24referente a las tecnologías de la
07:27información por ello se
07:30los procedimientos para controles de
07:33idoneidad donde hay una calificación de
07:37idoneidad del comité de tecnologías de
07:40la información y Comunicaciones y otra
07:43al oficial de seguridad de la
07:46información controles de verificación de
07:49evidencia documental donde debe
07:52evidenciarse la asignación formal por la
07:55autoridad competente de sus funciones y
07:59responsabilidades del personal de tig la
08:02existencia de un plan estratégico de tig
08:04un diccionario de datos corporativo
08:07actualizado con las reglas de validación
08:09y los controles de integridad y
08:12consistencia con la identificación de
08:14los sistemas o
08:16módulos regulaciones de los procesos de
08:19desarrollo mantenimiento y adquisición
08:21de software de aplicación y de usuario
08:24final procedimientos que garanticen el
08:27mantenimiento y uso adecuado de la
08:30infraestructura tecnológica de las
08:32entidades públicas métodos establecidos
08:36para garantizar el cumplimiento de la
08:39normativa de protección de
08:42datos propiedad intelectual del Software
08:45seguridad de la información utilización
08:48de estándares sistemas o plataformas
08:51establecidos para el sector
08:53público un plan de contingencia en caso
08:56de una emergencia o suspensión en el
08:59procesamiento de la información por
09:02problemas en los equipos programas o
09:04personal
09:07relacionado normas procedimientos e
09:10instructivos de
09:11instalación configuración y utilización
09:14de los sistemas internos y externos de
09:17la entidad medios tecnológicos
09:19necesarios que permitan el uso de la
09:21firma electrónica de conformidad con el
09:24marco
09:26legal cabe considerar también que se
09:29debe efectuar el control de las
09:31capacitaciones realizadas mediante la
09:34verificación de un archivo electrónico o
09:37mensaje de datos que se encuentre
09:39firmado
09:41electrónicamente condiciones
09:43contractuales certificaciones emitidas
09:46por una entidad acreditada en el país
09:49conforme la normativa vigente
09:51almacenamiento de archivos electrónicos
09:54notificación a la entidad emisora en
09:57todo este proceso recordaremos que que
09:59es obligación no divulgar O compartir
10:01las claves de acceso personales ya que
10:04esto implicará la solicitud de la
10:06revocación de su certificado de firma
10:08electrónica cuando se presentare
10:10cualquier circunstancia que pueda
10:13comprometer su
10:15utilización hemos concluido con la
10:17revisión de las normas de control
10:19interno con enfoque a la tecnología de
10:22la información les invitamos a revisar
10:25el material en la plataforma y realizar
10:28la evaluación de la sesión para
10:30continuar con el módulo tres sobre las
10:32debilidades del control interno y sus
10:37[Música]
10:52efectos
5.0 / 5 (0 votes)
