NCI Procesos: Tecnología de la Información
Summary
TLDREn esta sesión del módulo 2, se discuten las normas de control interno enfocadas en procesos tecnológicos, lideradas por Yael Ávila y Jorge Cortés. Se mencionan leyes y regulaciones como la Ley de Protección de Datos Personales y la Norma ISO 27001, que establecen requisitos para la seguridad de la información. Las normas 410, emitidas por la Contraloría General del Estado, incluyen 17 puntos que abordan desde la organización y gestión de la tecnología de la información hasta la seguridad y capacitación en firmas electrónicas. El objetivo es garantizar la seguridad, confidencialidad e integridad de la información, así como la efectividad de los controles de seguridad en entidades públicas y privadas que administran recursos públicos.
Takeaways
- 📜 La sesión 4 del módulo 2 se enfoca en las normas de control interno para la tecnología de la información.
- 👥 Yael Ávila y Jorge Cortés son los presentadores de esta sesión.
- 📚 Existen leyes y regulaciones como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica que se aplican a la gestión de la información.
- 🌐 Normas como la ISO 27001 y la Norma COBIT establecen requisitos y objetivos de control para la seguridad de la información.
- 🔍 Las normas 410, emitidas por la Contraloría General del Estado, incluyen 17 normas específicas para la organización y gestión de la tecnología de la información en entidades públicas.
- 🏢 Las normas abarcan desde la organización y gestión de comités hasta la segregación de funciones y el desarrollo de políticas y procedimientos para la tecnología de la información.
- 🛡️ Las normas de control interno buscan garantizar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información, así como la efectividad y eficiencia de los controles de seguridad.
- 🛠️ Se enfatiza la importancia de la gestión de riesgos y amenazas asociadas al uso de tecnologías de la información y la comunicación.
- 🔑 Las normas de control interno también abordan la importancia de capacitar a los empleados y terceros en controles de seguridad y cumplir con las políticas y procedimientos establecidos.
- 🔍 Se sugiere la implementación de controles técnicos y administrativos, como firewalls, antivirus, sistemas de detección de intrusos y políticas de contraseñas, para garantizar el cumplimiento de las políticas y procedimientos.
- 📝 Es fundamental monitorear y evaluar periódicamente los controles de seguridad implementados para mejorar continuamente la seguridad de la información.
Q & A
¿Qué se aborda en la sesión 4 del módulo 2?
-En la sesión 4 del módulo 2 se abordan las normas de control interno con enfoque a procesos para la tecnología de la información.
¿Qué leyes y regulaciones son mencionadas en el guión como aplicables a la gestión de la información?
-Se mencionan la Ley de Protección de Datos Personales, la Ley de Firma Electrónica y la Norma ISO 27001.
¿Cuál es el propósito de la Norma ISO 27001?
-La Norma ISO 27001 establece los requisitos para el sistema de gestión de seguridad de la información.
¿Qué normas de control interno son emitidas por la Contraloría General del Estado y cuáles son sus áreas de aplicación?
-Las normas de control interno emitidas por la Contraloría General del Estado son las normas 410, que abarcan 17 normas desde la 4101 a la 4105, y se aplican a la organización, gestión, seguridad y comunicación de la tecnología de la información.
¿Qué áreas específicas se cubren en las normas 4101 a 4105?
-Las normas 4101 a 4105 definen cómo las entidades públicas deben organizarse, gestionar comités, segregar funciones, contar con un plan estratégico, políticas y procedimientos aplicables a la tecnología de la información y comunicaciones.
¿Qué se refiere con 'Norma COVID' en el guión?
-La 'Norma COVID' se refiere a los objetivos de control para la información y tecnología relacionada que proporciona un marco de referencia para la gestión y gobierno de los sistemas de información y tecnología.
¿Cuáles son los objetivos de las normas de control interno en términos de seguridad de la información?
-Los objetivos de las normas de control interno son garantizar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información, así como la efectividad y eficiencia de los controles de seguridad en una organización.
¿Qué se espera que las organizaciones hagan con las normas de control interno para la tecnología de la información?
-Se espera que las organizaciones implementen y mantengan los controles de seguridad de la información para garantizar que todos los empleados y terceros con acceso a los sistemas y la información estén capacitados y cumplan con las políticas y procedimientos establecidos.
¿Qué implica realizar una evaluación de riesgos asociada a los sistemas de información de la organización?
-Realizar una evaluación de riesgos implica identificar los activos críticos, vulnerabilidades, amenazas potenciales e impactos que puedan tener sobre la organización, y definir políticas y procedimientos para mitigarlos.
¿Qué acciones se sugieren para mejorar la implementación de las normas de control interno?
-Se sugieren acciones como la adquisición de software de seguridad, sistemas de detección de intrusos, respaldo y recuperación, y la incorporación de profesionales especializados en seguridad informática.
¿Qué aspectos se deben considerar para garantizar la correcta implementación de las normas de control interno para la tecnología de la información?
-Para garantizar la correcta implementación, se deben considerar acciones y medios de verificación que brinden seguridad previo a la autorización de los procesos, alineación con planes y presupuestos institucionales, y procedimientos para controles de idoneidad y verificación de evidencia documental.
Outlines
📚 Normas de Control Interno y Tecnología de la Información
El primer párrafo introduce la sesión 4 del módulo 2, enfocado en las normas de control interno aplicadas a la tecnología de la información. Se mencionan leyes y regulaciones como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica, así como normas como la ISO 27001 y la Norma Covid. Se destaca la importancia de estas normas para asegurar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información. Se describen las 17 normas de control interno emitidas por la Contraloria General del Estado, que abordan desde la organización y gestión de comités, hasta la seguridad de la tecnología de la información y la capacitación en firmas electrónicas. Las normas buscan garantizar la efectividad y eficiencia de los controles de seguridad y la gestión de riesgos en entidades públicas y privadas.
🛡️ Implementación de Controles de Seguridad y Evaluación de Riesgos
El segundo párrafo se centra en la implementación de políticas y procedimientos para mitigar riesgos identificados a través de la evaluación de riesgos. Se discuten los controles de acceso, autenticación, y la importancia de garantizar la confidencialidad, integridad y disponibilidad de la información. Se menciona la necesidad de controles técnicos y administrativos, como firewalls, antivirus, sistemas de detección de intrusos y políticas de contraseñas. Además, se resalta la importancia de la capacitación y concientización del personal, así como la monitorización y evaluación periódica de los controles de seguridad. Se sugiere la adquisición de software de seguridad y la incorporación de profesionales especializados para mejorar la protección de activos críticos y reducir riesgos de interrupción en sistemas.
🔐 Conclusión y Recomendaciones sobre Controles Internos
El tercer párrafo concluye la revisión de las normas de control interno con enfoque en la tecnología de la información. Se invita a los participantes a revisar el material en la plataforma y a realizar la evaluación de la sesión. Se menciona que el módulo tres se centrará en las debilidades del control interno y sus efectos. Se enfatiza la necesidad de no divulgar o compartir claves de acceso personales y se menciona la posible revocación del certificado de firma electrónica en caso de compromiso. El párrafo termina con una nota musical, indicando el fin de la presentación.
Mindmap
Keywords
💡Normas de control interno
💡ISO 27001
💡Ley de protección de datos personales
💡Ley de firma electrónica
💡Norma COBIT
💡Tecnología de la información y comunicación
💡Gestión de riesgos
💡Controles de seguridad
💡Capacitación y concientización
💡Firma electrónica
💡Evaluación de riesgos
Highlights
La sesión 4 del módulo 2 se enfoca en las normas de control interno para la tecnología de la información.
Existen leyes y regulaciones aplicables a la gestión de la información, como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica.
La ISO 27001 establece requisitos para el sistema de gestión de seguridad de la información.
La Norma COBIT proporciona un marco de referencia para la gestión y gobierno de sistemas de información y tecnología.
Las normas 410 de la Contraloría General del Estado incluyen 17 normas para la organización y gestión de tecnologías de la información.
Las normas 4101 a 4105 definen cómo las entidades públicas deben organizarse y gestionar la tecnología de la información.
Las normas 41006 a 41010 se refieren a la arquitectura de la información y proyectos tecnológicos.
Las normas 41011 a 410144 abordan la seguridad de la tecnología de la información y plan de contingencias.
Las normas 41015 a 41017 están relacionadas con la interacción y comunicación tecnológica.
Las normas de control interno aseguran la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información.
Las normas de control interno permiten la implementación y mantenimiento de controles de seguridad de la información.
Es importante que los empleados y terceros estén capacitados en controles de seguridad y cumplan con las políticas y procedimientos.
Las normas de control interno evalúan los riesgos asociados a los sistemas de información y definen políticas y procedimientos para mitigarlos.
Las organizaciones deben generar procesos de capacitación y concientización sobre la importancia de los controles de seguridad.
Se requiere monitorear regularmente los controles de seguridad y realizar evaluaciones periódicas para mejorarlos.
La implementación de normas de control interno requiere adquisición de software de seguridad y especialistas en seguridad informática.
Existen controles esenciales y claves para la correcta implementación de las normas de control interno en tecnología de la información.
El control de capacitaciones se verifica mediante archivos electrónicos o mensajes de datos firmados electrónicamente.
No divulgar o compartir claves de acceso personales es una obligación para evitar la revocación del certificado de firma electrónica.
Transcripts
Bienvenidos a la sesión 4 del módulo 2
donde abordaremos las normas de control
interno con enfoque a procesos para la
tecnología de la información soy Yael
Ávila y me acompaña Jorge Cortés
entrando en materia es importante
señalar que existen leyes y regulaciones
aplicables a la gestión de la
información como son la ley de
protección de datos personales y la ley
de firma electrónica Así también hay
algunas noras como la ISO
27001 que establecen los requisitos para
el sistema de gestión de seguridad de la
información y la Norma covid que
corresponde a los objetivos de control
para la información y tecnología
relacionada que proporciona un marco de
referencia para la gestión y gobierno de
los sistemas de información y tecnología
ahora bien las normas de control interno
emitidas por la contraloría general del
estado incluye en las normas 410 sobre
el componente de tecnología de la
información que sirven para dirigir
asegurar la implantación funcionamiento
y actualización de los sistemas
tecnológicos organizadas en 17 normas
así de la 4101 a la
4105 definen la manera en la cual las
entidades públicas deben organizarse
gestionar comités segregar funciones
contar con un plan estratégico est
políticas y procedimientos aplicables a
la tecnología de la información y
comunicaciones de la 410 06 a la 4101
hacen referencia a la arquitectura de la
información proyectos tecnológicos
desarrollos mantenimiento adquisición de
software e infraestructura tecnológica y
su control de la 41011 a la 410 144
hacen referencia a la seguridad de la
tecnología de la información plan de
contingencias administración de soporte
monitoreo y evaluación de los procesos y
servicios de la 41015 a la
41017 están relacionadas a la
interacción y comunicación como el
portal web servicios telemáticos e
intranet capacitación y manejo de firmas
electrónicas las normas en este
componente de control interno son un
conjunto de principios y políticas
procedimientos establecidos para
garantizar la seguridad
confidencialidad integridad
disponibilidad y privacidad de la
información así como la efectividad y
eficiencia de los controles de seguridad
en una organización o entidad pública o
privada que administre recursos públicos
se centran en la gestión de los riesgos
y amenazas asociados al uso de las
tecnologías de la información y la
comunicación y buscan asegurar que se
cumplan los objetivos institucionales de
manera segura y confiable En lo
particular la organización de la unidad
de tecnologías de la información y
comunicación Establece que las entidades
y organismos del sector público deben
acoplar un marco de trabajo para
procesos de tecnología involucrar a la
alta dirección en la toma de decisiones
generar una estructura organizacional de
tecnología de la información y la
comunicación establecer una unidad
posicionada dentro de la estructura
organizacional de la entidad y disponer
de áreas que cubran proyectos
tecnológicos infraestructura tecnológica
soporte interno y externo seguridad de
tecnologías de la información y
comunicación e incorporar un oficial de
seguridad de la
información por ello recordemos que las
normas de control interno permiten la
implementación y mantenimiento de los
controles de seguridad de la información
para garantizar que todos los empleados
y terceros que tienen acceso a los
sistemas y a la información de la
organización estén capacitados en cuanto
a los controles de seguridad y cumplan
con las políticas y procedimientos
establecidos es importante conocer que
las normas de control interno aseguran
que los controles orientados a las
tecnologías de la información y
comunicación se aplican en todas las
etapas del ciclo de vida de la
información desde la
recopilación hasta el almacenamiento
procesamiento uso y eliminación de la
información las normas de control
interno 410 realizan una evaluación de
los riesgos asociados a los sistemas de
información de la organización esto
implica identificar los activos críticos
vulnerabilidades existentes amenazas
potenciales e impactos que puede tener
sobre la organización en base a la
evaluación de riesgos se debe definir
políticas y procedimientos que permitan
identificarlos y mitigarlos estas
políticas y procedimientos deben incluir
controles de acceso autenticación
confidencialidad integridad y
disponibilidad de la información además
se debe implementar controles técnicos y
administrativos para garantizar el
cumplimiento de las políticas y
procedimientos estos controles pueden
incluir fireware antivirus sistema de
detección de intrusos sistema de
respaldos y recuperación políticas de
uso de contraseñas entre otros Cabe
señalar que las organizaciones deben
generar procesos de capacitación y
concientización a su personal sobre la
importancia de los controles de
seguridad la forma en que deben
utilizarse para prevenir los riesgos
asociados al uso de las tecnologías de
la información es necesario también
monitorear regularmente los controles de
seguridad implementados y realizar
evaluaciones periódicas para identificar
posibles debilidades y mejorar
continuamente los controles de
seguridad en general la implementación
de estas normas requiere la adquisición
de software de seguridad sistemas de
detección de intrusos sistemas de
respaldo y recuperación así como la
incorporación de profesionales
especializados en seguridad informática
lo que permitirá mejorar la eficiencia y
productividad de la organización al
proteger sus activos críticos de
información y reducir el riesgo de
interrupciones en los sistemas para
complementar es necesario conocer que
existen controles esenciales y claves
para la correcta implementación de las
normas de control interno para la
tecnología de de la información mediante
acciones y medios de verificación que
brinden una seguridad previo a la
autorización de los
procesos Así es ya la aplicación del
control interno previo y sus criterios
de legalidad veracidad conveniencia
oportunidad pertinencia y conformidad
deben alinearse con los planes y
presupuestos institucionales en lo
referente a las tecnologías de la
información por ello se
los procedimientos para controles de
idoneidad donde hay una calificación de
idoneidad del comité de tecnologías de
la información y Comunicaciones y otra
al oficial de seguridad de la
información controles de verificación de
evidencia documental donde debe
evidenciarse la asignación formal por la
autoridad competente de sus funciones y
responsabilidades del personal de tig la
existencia de un plan estratégico de tig
un diccionario de datos corporativo
actualizado con las reglas de validación
y los controles de integridad y
consistencia con la identificación de
los sistemas o
módulos regulaciones de los procesos de
desarrollo mantenimiento y adquisición
de software de aplicación y de usuario
final procedimientos que garanticen el
mantenimiento y uso adecuado de la
infraestructura tecnológica de las
entidades públicas métodos establecidos
para garantizar el cumplimiento de la
normativa de protección de
datos propiedad intelectual del Software
seguridad de la información utilización
de estándares sistemas o plataformas
establecidos para el sector
público un plan de contingencia en caso
de una emergencia o suspensión en el
procesamiento de la información por
problemas en los equipos programas o
personal
relacionado normas procedimientos e
instructivos de
instalación configuración y utilización
de los sistemas internos y externos de
la entidad medios tecnológicos
necesarios que permitan el uso de la
firma electrónica de conformidad con el
marco
legal cabe considerar también que se
debe efectuar el control de las
capacitaciones realizadas mediante la
verificación de un archivo electrónico o
mensaje de datos que se encuentre
firmado
electrónicamente condiciones
contractuales certificaciones emitidas
por una entidad acreditada en el país
conforme la normativa vigente
almacenamiento de archivos electrónicos
notificación a la entidad emisora en
todo este proceso recordaremos que que
es obligación no divulgar O compartir
las claves de acceso personales ya que
esto implicará la solicitud de la
revocación de su certificado de firma
electrónica cuando se presentare
cualquier circunstancia que pueda
comprometer su
utilización hemos concluido con la
revisión de las normas de control
interno con enfoque a la tecnología de
la información les invitamos a revisar
el material en la plataforma y realizar
la evaluación de la sesión para
continuar con el módulo tres sobre las
debilidades del control interno y sus
[Música]
efectos
Ver Más Videos Relacionados
ISO 27001 - Seguridad de la Información
NCI Procesos: Contratación Pública y Proyectos de Inversión y Obra Pública
NCI Procesos: Control Interno
NORMAS ISO ¿Qué son y para qué sirven?
¿Cuáles son las normas y leyes que regulan la seguridad y salud en el trabajo en el Perú?
NCI Procesos: Administración Financiera y Bienes
5.0 / 5 (0 votes)