NCI Procesos: Tecnología de la Información

Capacitación Virtual
24 Nov 202310:54

Summary

TLDREn esta sesión del módulo 2, se discuten las normas de control interno enfocadas en procesos tecnológicos, lideradas por Yael Ávila y Jorge Cortés. Se mencionan leyes y regulaciones como la Ley de Protección de Datos Personales y la Norma ISO 27001, que establecen requisitos para la seguridad de la información. Las normas 410, emitidas por la Contraloría General del Estado, incluyen 17 puntos que abordan desde la organización y gestión de la tecnología de la información hasta la seguridad y capacitación en firmas electrónicas. El objetivo es garantizar la seguridad, confidencialidad e integridad de la información, así como la efectividad de los controles de seguridad en entidades públicas y privadas que administran recursos públicos.

Takeaways

  • 📜 La sesión 4 del módulo 2 se enfoca en las normas de control interno para la tecnología de la información.
  • 👥 Yael Ávila y Jorge Cortés son los presentadores de esta sesión.
  • 📚 Existen leyes y regulaciones como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica que se aplican a la gestión de la información.
  • 🌐 Normas como la ISO 27001 y la Norma COBIT establecen requisitos y objetivos de control para la seguridad de la información.
  • 🔍 Las normas 410, emitidas por la Contraloría General del Estado, incluyen 17 normas específicas para la organización y gestión de la tecnología de la información en entidades públicas.
  • 🏢 Las normas abarcan desde la organización y gestión de comités hasta la segregación de funciones y el desarrollo de políticas y procedimientos para la tecnología de la información.
  • 🛡️ Las normas de control interno buscan garantizar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información, así como la efectividad y eficiencia de los controles de seguridad.
  • 🛠️ Se enfatiza la importancia de la gestión de riesgos y amenazas asociadas al uso de tecnologías de la información y la comunicación.
  • 🔑 Las normas de control interno también abordan la importancia de capacitar a los empleados y terceros en controles de seguridad y cumplir con las políticas y procedimientos establecidos.
  • 🔍 Se sugiere la implementación de controles técnicos y administrativos, como firewalls, antivirus, sistemas de detección de intrusos y políticas de contraseñas, para garantizar el cumplimiento de las políticas y procedimientos.
  • 📝 Es fundamental monitorear y evaluar periódicamente los controles de seguridad implementados para mejorar continuamente la seguridad de la información.

Q & A

  • ¿Qué se aborda en la sesión 4 del módulo 2?

    -En la sesión 4 del módulo 2 se abordan las normas de control interno con enfoque a procesos para la tecnología de la información.

  • ¿Qué leyes y regulaciones son mencionadas en el guión como aplicables a la gestión de la información?

    -Se mencionan la Ley de Protección de Datos Personales, la Ley de Firma Electrónica y la Norma ISO 27001.

  • ¿Cuál es el propósito de la Norma ISO 27001?

    -La Norma ISO 27001 establece los requisitos para el sistema de gestión de seguridad de la información.

  • ¿Qué normas de control interno son emitidas por la Contraloría General del Estado y cuáles son sus áreas de aplicación?

    -Las normas de control interno emitidas por la Contraloría General del Estado son las normas 410, que abarcan 17 normas desde la 4101 a la 4105, y se aplican a la organización, gestión, seguridad y comunicación de la tecnología de la información.

  • ¿Qué áreas específicas se cubren en las normas 4101 a 4105?

    -Las normas 4101 a 4105 definen cómo las entidades públicas deben organizarse, gestionar comités, segregar funciones, contar con un plan estratégico, políticas y procedimientos aplicables a la tecnología de la información y comunicaciones.

  • ¿Qué se refiere con 'Norma COVID' en el guión?

    -La 'Norma COVID' se refiere a los objetivos de control para la información y tecnología relacionada que proporciona un marco de referencia para la gestión y gobierno de los sistemas de información y tecnología.

  • ¿Cuáles son los objetivos de las normas de control interno en términos de seguridad de la información?

    -Los objetivos de las normas de control interno son garantizar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información, así como la efectividad y eficiencia de los controles de seguridad en una organización.

  • ¿Qué se espera que las organizaciones hagan con las normas de control interno para la tecnología de la información?

    -Se espera que las organizaciones implementen y mantengan los controles de seguridad de la información para garantizar que todos los empleados y terceros con acceso a los sistemas y la información estén capacitados y cumplan con las políticas y procedimientos establecidos.

  • ¿Qué implica realizar una evaluación de riesgos asociada a los sistemas de información de la organización?

    -Realizar una evaluación de riesgos implica identificar los activos críticos, vulnerabilidades, amenazas potenciales e impactos que puedan tener sobre la organización, y definir políticas y procedimientos para mitigarlos.

  • ¿Qué acciones se sugieren para mejorar la implementación de las normas de control interno?

    -Se sugieren acciones como la adquisición de software de seguridad, sistemas de detección de intrusos, respaldo y recuperación, y la incorporación de profesionales especializados en seguridad informática.

  • ¿Qué aspectos se deben considerar para garantizar la correcta implementación de las normas de control interno para la tecnología de la información?

    -Para garantizar la correcta implementación, se deben considerar acciones y medios de verificación que brinden seguridad previo a la autorización de los procesos, alineación con planes y presupuestos institucionales, y procedimientos para controles de idoneidad y verificación de evidencia documental.

Outlines

00:00

📚 Normas de Control Interno y Tecnología de la Información

El primer párrafo introduce la sesión 4 del módulo 2, enfocado en las normas de control interno aplicadas a la tecnología de la información. Se mencionan leyes y regulaciones como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica, así como normas como la ISO 27001 y la Norma Covid. Se destaca la importancia de estas normas para asegurar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información. Se describen las 17 normas de control interno emitidas por la Contraloria General del Estado, que abordan desde la organización y gestión de comités, hasta la seguridad de la tecnología de la información y la capacitación en firmas electrónicas. Las normas buscan garantizar la efectividad y eficiencia de los controles de seguridad y la gestión de riesgos en entidades públicas y privadas.

05:00

🛡️ Implementación de Controles de Seguridad y Evaluación de Riesgos

El segundo párrafo se centra en la implementación de políticas y procedimientos para mitigar riesgos identificados a través de la evaluación de riesgos. Se discuten los controles de acceso, autenticación, y la importancia de garantizar la confidencialidad, integridad y disponibilidad de la información. Se menciona la necesidad de controles técnicos y administrativos, como firewalls, antivirus, sistemas de detección de intrusos y políticas de contraseñas. Además, se resalta la importancia de la capacitación y concientización del personal, así como la monitorización y evaluación periódica de los controles de seguridad. Se sugiere la adquisición de software de seguridad y la incorporación de profesionales especializados para mejorar la protección de activos críticos y reducir riesgos de interrupción en sistemas.

10:02

🔐 Conclusión y Recomendaciones sobre Controles Internos

El tercer párrafo concluye la revisión de las normas de control interno con enfoque en la tecnología de la información. Se invita a los participantes a revisar el material en la plataforma y a realizar la evaluación de la sesión. Se menciona que el módulo tres se centrará en las debilidades del control interno y sus efectos. Se enfatiza la necesidad de no divulgar o compartir claves de acceso personales y se menciona la posible revocación del certificado de firma electrónica en caso de compromiso. El párrafo termina con una nota musical, indicando el fin de la presentación.

Mindmap

Keywords

💡Normas de control interno

Las 'Normas de control interno' son principios y políticas, procedimientos establecidos para garantizar la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información. En el video, estas normas son fundamentales para entender cómo se gestionan los riesgos y amenazas asociadas con las tecnologías de la información y la comunicación en organizaciones públicas o privadas.

💡ISO 27001

La 'ISO 27001' es una norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información. Es mencionada en el video como una de las normas clave que ayuda a organizar y evaluar la seguridad de la información en un entorno tecnológico.

💡Ley de protección de datos personales

La 'Ley de protección de datos personales' es una normativa que regulamente cómo se deben gestionar y proteger los datos personales. En el contexto del video, esta ley es crucial para garantizar la privacidad y seguridad de la información personal en las organizaciones.

💡Ley de firma electrónica

La 'Ley de firma electrónica' establece los requisitos legales para la firma digital de documentos y transacciones. En el video, se destaca como una de las leyes aplicables a la gestión de la información que asegura la validez y seguridad de las firmas en documentos electrónicos.

💡Norma COBIT

La 'Norma COBIT' es un marco de referencia para la gestión y gobierno de los sistemas de información y tecnología. Se menciona en el video como una guía para la implementación de controles de seguridad en el ámbito de la tecnología de la información.

💡Tecnología de la información y comunicación

La 'Tecnología de la información y comunicación' (TIC) se refiere a la utilización de sistemas de información para gestionar, procesar y comunicar datos. El video trata sobre cómo las normas de control interno son aplicadas a la TIC para mantener la seguridad y confiabilidad de los sistemas.

💡Gestión de riesgos

La 'Gestión de riesgos' es el proceso de identificación, evaluación y tratamiento de los riesgos potenciales en una organización. En el video, se discute cómo las normas de control interno se centran en la gestión de riesgos asociados con el uso de las TIC.

💡Controles de seguridad

Los 'Controles de seguridad' son medidas implementadas para proteger la información y los sistemas contra amenazas y vulnerabilidades. El video destaca la importancia de estos controles en el cumplimiento de las políticas y procedimientos de seguridad establecidos por las normas de control interno.

💡Capacitación y concientización

La 'Capacitación y concientización' se refiere a la formación y educación del personal sobre la importancia de seguir los controles de seguridad. En el video, se enfatiza la necesidad de que las organizaciones generen procesos de capacitación para prevenir riesgos asociados con las TIC.

💡Firma electrónica

La 'Firma electrónica' es una forma de autenticar documentos digitales. El video menciona la capacitación y manejo de firmas electrónicas como parte de las normas de control interno para garantizar la seguridad y autenticidad en las transacciones electrónicas.

💡Evaluación de riesgos

La 'Evaluación de riesgos' implica identificar y cuantificar los posibles riesgos en un sistema de información. En el video, se describe cómo, basándose en esta evaluación, se definen políticas y procedimientos para mitigar los riesgos y proteger la organización.

Highlights

La sesión 4 del módulo 2 se enfoca en las normas de control interno para la tecnología de la información.

Existen leyes y regulaciones aplicables a la gestión de la información, como la Ley de Protección de Datos Personales y la Ley de Firma Electrónica.

La ISO 27001 establece requisitos para el sistema de gestión de seguridad de la información.

La Norma COBIT proporciona un marco de referencia para la gestión y gobierno de sistemas de información y tecnología.

Las normas 410 de la Contraloría General del Estado incluyen 17 normas para la organización y gestión de tecnologías de la información.

Las normas 4101 a 4105 definen cómo las entidades públicas deben organizarse y gestionar la tecnología de la información.

Las normas 41006 a 41010 se refieren a la arquitectura de la información y proyectos tecnológicos.

Las normas 41011 a 410144 abordan la seguridad de la tecnología de la información y plan de contingencias.

Las normas 41015 a 41017 están relacionadas con la interacción y comunicación tecnológica.

Las normas de control interno aseguran la seguridad, confidencialidad, integridad, disponibilidad y privacidad de la información.

Las normas de control interno permiten la implementación y mantenimiento de controles de seguridad de la información.

Es importante que los empleados y terceros estén capacitados en controles de seguridad y cumplan con las políticas y procedimientos.

Las normas de control interno evalúan los riesgos asociados a los sistemas de información y definen políticas y procedimientos para mitigarlos.

Las organizaciones deben generar procesos de capacitación y concientización sobre la importancia de los controles de seguridad.

Se requiere monitorear regularmente los controles de seguridad y realizar evaluaciones periódicas para mejorarlos.

La implementación de normas de control interno requiere adquisición de software de seguridad y especialistas en seguridad informática.

Existen controles esenciales y claves para la correcta implementación de las normas de control interno en tecnología de la información.

El control de capacitaciones se verifica mediante archivos electrónicos o mensajes de datos firmados electrónicamente.

No divulgar o compartir claves de acceso personales es una obligación para evitar la revocación del certificado de firma electrónica.

Transcripts

play00:03

Bienvenidos a la sesión 4 del módulo 2

play00:06

donde abordaremos las normas de control

play00:08

interno con enfoque a procesos para la

play00:10

tecnología de la información soy Yael

play00:13

Ávila y me acompaña Jorge Cortés

play00:15

entrando en materia es importante

play00:17

señalar que existen leyes y regulaciones

play00:20

aplicables a la gestión de la

play00:22

información como son la ley de

play00:24

protección de datos personales y la ley

play00:26

de firma electrónica Así también hay

play00:29

algunas noras como la ISO

play00:31

27001 que establecen los requisitos para

play00:34

el sistema de gestión de seguridad de la

play00:37

información y la Norma covid que

play00:39

corresponde a los objetivos de control

play00:41

para la información y tecnología

play00:43

relacionada que proporciona un marco de

play00:46

referencia para la gestión y gobierno de

play00:49

los sistemas de información y tecnología

play00:53

ahora bien las normas de control interno

play00:56

emitidas por la contraloría general del

play00:58

estado incluye en las normas 410 sobre

play01:02

el componente de tecnología de la

play01:04

información que sirven para dirigir

play01:07

asegurar la implantación funcionamiento

play01:09

y actualización de los sistemas

play01:12

tecnológicos organizadas en 17 normas

play01:15

así de la 4101 a la

play01:19

4105 definen la manera en la cual las

play01:21

entidades públicas deben organizarse

play01:24

gestionar comités segregar funciones

play01:27

contar con un plan estratégico est

play01:30

políticas y procedimientos aplicables a

play01:32

la tecnología de la información y

play01:34

comunicaciones de la 410 06 a la 4101

play01:40

hacen referencia a la arquitectura de la

play01:42

información proyectos tecnológicos

play01:45

desarrollos mantenimiento adquisición de

play01:47

software e infraestructura tecnológica y

play01:50

su control de la 41011 a la 410 144

play01:55

hacen referencia a la seguridad de la

play01:57

tecnología de la información plan de

play01:59

contingencias administración de soporte

play02:02

monitoreo y evaluación de los procesos y

play02:05

servicios de la 41015 a la

play02:08

41017 están relacionadas a la

play02:11

interacción y comunicación como el

play02:13

portal web servicios telemáticos e

play02:15

intranet capacitación y manejo de firmas

play02:19

electrónicas las normas en este

play02:21

componente de control interno son un

play02:23

conjunto de principios y políticas

play02:26

procedimientos establecidos para

play02:28

garantizar la seguridad

play02:30

confidencialidad integridad

play02:32

disponibilidad y privacidad de la

play02:35

información así como la efectividad y

play02:38

eficiencia de los controles de seguridad

play02:40

en una organización o entidad pública o

play02:43

privada que administre recursos públicos

play02:46

se centran en la gestión de los riesgos

play02:48

y amenazas asociados al uso de las

play02:50

tecnologías de la información y la

play02:53

comunicación y buscan asegurar que se

play02:55

cumplan los objetivos institucionales de

play02:58

manera segura y confiable En lo

play03:02

particular la organización de la unidad

play03:04

de tecnologías de la información y

play03:07

comunicación Establece que las entidades

play03:10

y organismos del sector público deben

play03:13

acoplar un marco de trabajo para

play03:15

procesos de tecnología involucrar a la

play03:18

alta dirección en la toma de decisiones

play03:21

generar una estructura organizacional de

play03:24

tecnología de la información y la

play03:27

comunicación establecer una unidad

play03:30

posicionada dentro de la estructura

play03:32

organizacional de la entidad y disponer

play03:35

de áreas que cubran proyectos

play03:37

tecnológicos infraestructura tecnológica

play03:41

soporte interno y externo seguridad de

play03:44

tecnologías de la información y

play03:46

comunicación e incorporar un oficial de

play03:49

seguridad de la

play03:52

información por ello recordemos que las

play03:55

normas de control interno permiten la

play03:58

implementación y mantenimiento de los

play04:01

controles de seguridad de la información

play04:03

para garantizar que todos los empleados

play04:06

y terceros que tienen acceso a los

play04:08

sistemas y a la información de la

play04:10

organización estén capacitados en cuanto

play04:13

a los controles de seguridad y cumplan

play04:16

con las políticas y procedimientos

play04:18

establecidos es importante conocer que

play04:21

las normas de control interno aseguran

play04:24

que los controles orientados a las

play04:26

tecnologías de la información y

play04:28

comunicación se aplican en todas las

play04:31

etapas del ciclo de vida de la

play04:33

información desde la

play04:35

recopilación hasta el almacenamiento

play04:38

procesamiento uso y eliminación de la

play04:41

información las normas de control

play04:43

interno 410 realizan una evaluación de

play04:46

los riesgos asociados a los sistemas de

play04:49

información de la organización esto

play04:51

implica identificar los activos críticos

play04:55

vulnerabilidades existentes amenazas

play04:57

potenciales e impactos que puede tener

play05:00

sobre la organización en base a la

play05:02

evaluación de riesgos se debe definir

play05:05

políticas y procedimientos que permitan

play05:07

identificarlos y mitigarlos estas

play05:10

políticas y procedimientos deben incluir

play05:13

controles de acceso autenticación

play05:16

confidencialidad integridad y

play05:18

disponibilidad de la información además

play05:21

se debe implementar controles técnicos y

play05:24

administrativos para garantizar el

play05:26

cumplimiento de las políticas y

play05:30

procedimientos estos controles pueden

play05:32

incluir fireware antivirus sistema de

play05:35

detección de intrusos sistema de

play05:37

respaldos y recuperación políticas de

play05:40

uso de contraseñas entre otros Cabe

play05:43

señalar que las organizaciones deben

play05:45

generar procesos de capacitación y

play05:48

concientización a su personal sobre la

play05:51

importancia de los controles de

play05:53

seguridad la forma en que deben

play05:55

utilizarse para prevenir los riesgos

play05:57

asociados al uso de las tecnologías de

play06:00

la información es necesario también

play06:03

monitorear regularmente los controles de

play06:06

seguridad implementados y realizar

play06:08

evaluaciones periódicas para identificar

play06:11

posibles debilidades y mejorar

play06:13

continuamente los controles de

play06:17

seguridad en general la implementación

play06:20

de estas normas requiere la adquisición

play06:23

de software de seguridad sistemas de

play06:26

detección de intrusos sistemas de

play06:28

respaldo y recuperación así como la

play06:31

incorporación de profesionales

play06:33

especializados en seguridad informática

play06:36

lo que permitirá mejorar la eficiencia y

play06:39

productividad de la organización al

play06:41

proteger sus activos críticos de

play06:44

información y reducir el riesgo de

play06:46

interrupciones en los sistemas para

play06:48

complementar es necesario conocer que

play06:51

existen controles esenciales y claves

play06:54

para la correcta implementación de las

play06:56

normas de control interno para la

play06:58

tecnología de de la información mediante

play07:01

acciones y medios de verificación que

play07:04

brinden una seguridad previo a la

play07:06

autorización de los

play07:08

procesos Así es ya la aplicación del

play07:11

control interno previo y sus criterios

play07:14

de legalidad veracidad conveniencia

play07:17

oportunidad pertinencia y conformidad

play07:20

deben alinearse con los planes y

play07:22

presupuestos institucionales en lo

play07:24

referente a las tecnologías de la

play07:27

información por ello se

play07:30

los procedimientos para controles de

play07:33

idoneidad donde hay una calificación de

play07:37

idoneidad del comité de tecnologías de

play07:40

la información y Comunicaciones y otra

play07:43

al oficial de seguridad de la

play07:46

información controles de verificación de

play07:49

evidencia documental donde debe

play07:52

evidenciarse la asignación formal por la

play07:55

autoridad competente de sus funciones y

play07:59

responsabilidades del personal de tig la

play08:02

existencia de un plan estratégico de tig

play08:04

un diccionario de datos corporativo

play08:07

actualizado con las reglas de validación

play08:09

y los controles de integridad y

play08:12

consistencia con la identificación de

play08:14

los sistemas o

play08:16

módulos regulaciones de los procesos de

play08:19

desarrollo mantenimiento y adquisición

play08:21

de software de aplicación y de usuario

play08:24

final procedimientos que garanticen el

play08:27

mantenimiento y uso adecuado de la

play08:30

infraestructura tecnológica de las

play08:32

entidades públicas métodos establecidos

play08:36

para garantizar el cumplimiento de la

play08:39

normativa de protección de

play08:42

datos propiedad intelectual del Software

play08:45

seguridad de la información utilización

play08:48

de estándares sistemas o plataformas

play08:51

establecidos para el sector

play08:53

público un plan de contingencia en caso

play08:56

de una emergencia o suspensión en el

play08:59

procesamiento de la información por

play09:02

problemas en los equipos programas o

play09:04

personal

play09:07

relacionado normas procedimientos e

play09:10

instructivos de

play09:11

instalación configuración y utilización

play09:14

de los sistemas internos y externos de

play09:17

la entidad medios tecnológicos

play09:19

necesarios que permitan el uso de la

play09:21

firma electrónica de conformidad con el

play09:24

marco

play09:26

legal cabe considerar también que se

play09:29

debe efectuar el control de las

play09:31

capacitaciones realizadas mediante la

play09:34

verificación de un archivo electrónico o

play09:37

mensaje de datos que se encuentre

play09:39

firmado

play09:41

electrónicamente condiciones

play09:43

contractuales certificaciones emitidas

play09:46

por una entidad acreditada en el país

play09:49

conforme la normativa vigente

play09:51

almacenamiento de archivos electrónicos

play09:54

notificación a la entidad emisora en

play09:57

todo este proceso recordaremos que que

play09:59

es obligación no divulgar O compartir

play10:01

las claves de acceso personales ya que

play10:04

esto implicará la solicitud de la

play10:06

revocación de su certificado de firma

play10:08

electrónica cuando se presentare

play10:10

cualquier circunstancia que pueda

play10:13

comprometer su

play10:15

utilización hemos concluido con la

play10:17

revisión de las normas de control

play10:19

interno con enfoque a la tecnología de

play10:22

la información les invitamos a revisar

play10:25

el material en la plataforma y realizar

play10:28

la evaluación de la sesión para

play10:30

continuar con el módulo tres sobre las

play10:32

debilidades del control interno y sus

play10:37

[Música]

play10:52

efectos

Ver Más Videos Relacionados

ISO 27001 - Seguridad de la Información

NCI Procesos: Contratación Pública y Proyectos de Inversión y Obra Pública

NCI Procesos: Control Interno

NORMAS ISO ¿Qué son y para qué sirven?

¿Cuáles son las normas y leyes que regulan la seguridad y salud en el trabajo en el Perú?

NCI Procesos: Administración Financiera y Bienes

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Etiquetas Relacionadas
Normas de ControlTecnología de la InformaciónSeguridad de DatosISO 27001Normativa COVIDControl InternoGestión de RiesgoPolíticas de SeguridadCapacitación en SeguridadCiberseguridadGobierno de TI