NCI Procesos: Tecnología de la Información
Summary
TLDRThis session delves into internal control standards for information technology, focusing on processes. It highlights laws like data protection and electronic signature, and standards such as ISO 27001. The script discusses Colombian General Controller's Office's internal control norms, which guide public entities in organizing, managing IT projects, infrastructure, and security. It emphasizes the importance of these norms in ensuring information security, confidentiality, integrity, availability, and privacy, as well as the effectiveness and efficiency of security controls in both public and private organizations managing public resources.
Takeaways
- 📜 The session covers internal control standards with a focus on information technology processes, highlighting the importance of laws and regulations such as the Personal Data Protection Law and the Electronic Signature Law.
- 🔒 ISO 27001 is mentioned as a standard that sets requirements for an information security management system, providing a framework for managing and governing information and technology systems.
- 🏛 The General Comptroller's Office has issued internal control standards, specifically norms 410, which guide the organization, management, and operation of technological systems within public entities.
- 🛠️ The norms 4101 to 4105 define how public entities should organize, manage committees, segregate functions, and have a strategic plan, policies, and procedures applicable to information technology and communications.
- 🌐 Norms 4106 to 41014 refer to information architecture, technological projects, software development, maintenance, acquisition, and technological infrastructure, including their controls.
- 🔒 Norms 41011 to 410144 focus on information technology security, contingency plans, administration, support, monitoring, and evaluation of processes and services.
- 🌐 Norms 41015 to 41017 relate to interaction and communication, including web portals, telematic services, intranets, training, and electronic signature management.
- 🛡️ Internal control standards are a set of principles, policies, and procedures established to ensure the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls.
- 🏢 The organization of the Information and Communication Technology (ICT) unit is emphasized, requiring public sector entities to integrate a work framework for technology processes and involve senior management in decision-making.
- 📝 The implementation of internal control standards requires the acquisition of security software, intrusion detection systems, backup and recovery systems, and the incorporation of specialized professionals in cybersecurity to improve organizational efficiency and protect critical information assets.
- 📚 It's essential to have essential and key controls for the proper implementation of internal control standards for ICT, ensuring pre-authorization security through actions and verification methods aligned with institutional plans and budgets.
Q & A
What is the main focus of the session 4 of module 2?
-The main focus of the session is on internal control standards, specifically those related to information technology processes.
Which laws and regulations are mentioned in the script as applicable to information management?
-The script mentions the Personal Data Protection Law, the Electronic Signature Law, and standards such as ISO 27001.
What does ISO 27001 establish in terms of information security management?
-ISO 27001 establishes the requirements for an information security management system.
What is the purpose of the internal control standards issued by the General Comptroller's Office?
-The purpose of these standards is to guide the implementation, operation, and updating of technological systems within organizations.
How many internal control standards are there in the script's reference?
-There are 17 internal control standards, ranging from 4101 to 4105.
What do the standards from 4101 to 4105 define regarding public entities' organization and management?
-They define how public entities should organize, manage committees, segregate functions, have a strategic plan, and establish policies and procedures applicable to information technology and communications.
What is the significance of the internal control standards in ensuring the security and confidentiality of information?
-The internal control standards are a set of principles, policies, and procedures established to ensure the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls.
What are the key areas that the internal control standards cover in terms of information technology?
-The key areas include the organization of the information technology unit, risk management, security of information technology, contingency planning, support administration, monitoring, and evaluation of processes and services.
What is the importance of training and awareness in the implementation of internal control standards?
-Training and awareness are crucial to ensure that all employees and third parties with access to systems and information are trained in security controls and comply with established policies and procedures.
What are some of the technical and administrative controls that should be implemented to ensure compliance with policies and procedures?
-Some controls include firewalls, antivirus systems, intrusion detection systems, backup and recovery systems, and password policies.
How often should security controls be monitored and evaluated to identify potential weaknesses and improve them?
-Security controls should be regularly monitored and periodically evaluated to identify potential weaknesses and continuously improve the security controls.
What is the role of the Information Security Officer in the context of internal control standards?
-The Information Security Officer is responsible for ensuring the implementation and maintenance of information security controls to guarantee the security of the organization's critical information assets and reduce the risk of system interruptions.
Outlines
📜 Introduction to Internal Control Standards for IT
This paragraph introduces the session on internal control standards with a focus on information technology processes. Yael Ávila and Jorge Cortés highlight the importance of laws and regulations such as data protection and electronic signature laws, as well as standards like ISO 27001 and COBIT that provide a framework for information security management. The paragraph outlines the internal control standards issued by the General Comptroller of the State, specifically norms 410 which include 17 standards from 4101 to 4105. These standards guide public entities on how to organize, manage committees, segregate functions, and establish strategic plans and policies for information technology. The paragraph emphasizes the role of these standards in ensuring the security, confidentiality, integrity, availability, and privacy of information, as well as the effectiveness and efficiency of security controls in organizations managing public resources.
🛡️ Implementing and Evaluating IT Security Controls
The second paragraph delves into the implementation and evaluation of IT security controls as dictated by the internal control standards. It discusses the need for policies and procedures to identify and mitigate risks, including access controls, authentication, and ensuring the confidentiality, integrity, and availability of information. Technical and administrative controls such as firewalls, antivirus systems, intrusion detection systems, and backup and recovery policies are mentioned. The paragraph stresses the importance of training and awareness programs for personnel on the significance of security controls and the need for regular monitoring and periodic evaluations to improve security measures. It also touches on the necessity of acquiring security software, hiring IT security professionals, and understanding essential controls and key verification methods to ensure the proper authorization of processes and compliance with institutional plans and budgets related to information technology.
🔏 Concluding Remarks on IT Internal Control Standards
The final paragraph concludes the discussion on IT internal control standards, inviting participants to review the material on the platform and complete the session evaluation. It mentions the upcoming module three, which will focus on the weaknesses of internal controls and their effects. The paragraph also reminds participants of the obligation to protect personal access keys and the potential need to revoke electronic signature certificates if compromised, emphasizing the importance of confidentiality and security in IT management.
Mindmap
Keywords
💡Information Management
💡ISO 27001
💡Internal Control Norms
💡Information Technology Governance
💡Data Protection Law
💡Electronic Signature Law
💡Information Security
💡Risk Management
💡Contingency Plan
💡Training and Awareness
💡Compliance
Highlights
Introduction to session 4 of module 2 focusing on internal control standards for information technology processes.
Mention of applicable laws and regulations such as the Data Protection Law and the Electronic Signature Law.
Discussion of standards like ISO 27001 for information security management systems.
Explanation of the internal control standards issued by the General Comptroller's Office, specifically norms 410.
Norms 4101 to 4105 outline the organization and management of public entities in information technology.
Norms 41006 to 41010 relate to information architecture, technological projects, and software and infrastructure acquisition.
Norms 41011 to 410144 focus on information technology security, contingency plans, and process monitoring and evaluation.
Norms 41015 to 41017 pertain to interaction and communication, including web portals, telematic services, and electronic signatures.
Internal control standards ensure the security, confidentiality, integrity, availability, and privacy of information.
The importance of managing risks and threats associated with information technology use.
Emphasis on the organization of the information technology and communication unit within public entities.
The necessity of involving senior management in decision-making and establishing an IT organizational structure.
Highlighting the role of an information security officer in ensuring the implementation and maintenance of information security controls.
Requirement for organizations to apply IT and communication controls throughout the information lifecycle.
The importance of training and awareness for personnel on the use of security controls to prevent risks.
The need for regular monitoring and periodic evaluation of implemented security controls to identify weaknesses and improve them.
Implementation of these standards requires the acquisition of security software and systems, as well as specialized IT security professionals.
Essential controls and key actions for the correct implementation of internal control standards for IT.
The application of prior internal controls and their criteria for legality, truthfulness, convenience, opportunity, relevance, and conformity.
The verification of trainings through electronic files or signed electronic messages to ensure compliance with regulations.
The obligation not to divulge or share personal access keys to prevent the revocation of electronic signature certificates.
Conclusion of the review of internal control standards with an invitation to review material and complete the session evaluation.
Transcripts
Bienvenidos a la sesión 4 del módulo 2
donde abordaremos las normas de control
interno con enfoque a procesos para la
tecnología de la información soy Yael
Ávila y me acompaña Jorge Cortés
entrando en materia es importante
señalar que existen leyes y regulaciones
aplicables a la gestión de la
información como son la ley de
protección de datos personales y la ley
de firma electrónica Así también hay
algunas noras como la ISO
27001 que establecen los requisitos para
el sistema de gestión de seguridad de la
información y la Norma covid que
corresponde a los objetivos de control
para la información y tecnología
relacionada que proporciona un marco de
referencia para la gestión y gobierno de
los sistemas de información y tecnología
ahora bien las normas de control interno
emitidas por la contraloría general del
estado incluye en las normas 410 sobre
el componente de tecnología de la
información que sirven para dirigir
asegurar la implantación funcionamiento
y actualización de los sistemas
tecnológicos organizadas en 17 normas
así de la 4101 a la
4105 definen la manera en la cual las
entidades públicas deben organizarse
gestionar comités segregar funciones
contar con un plan estratégico est
políticas y procedimientos aplicables a
la tecnología de la información y
comunicaciones de la 410 06 a la 4101
hacen referencia a la arquitectura de la
información proyectos tecnológicos
desarrollos mantenimiento adquisición de
software e infraestructura tecnológica y
su control de la 41011 a la 410 144
hacen referencia a la seguridad de la
tecnología de la información plan de
contingencias administración de soporte
monitoreo y evaluación de los procesos y
servicios de la 41015 a la
41017 están relacionadas a la
interacción y comunicación como el
portal web servicios telemáticos e
intranet capacitación y manejo de firmas
electrónicas las normas en este
componente de control interno son un
conjunto de principios y políticas
procedimientos establecidos para
garantizar la seguridad
confidencialidad integridad
disponibilidad y privacidad de la
información así como la efectividad y
eficiencia de los controles de seguridad
en una organización o entidad pública o
privada que administre recursos públicos
se centran en la gestión de los riesgos
y amenazas asociados al uso de las
tecnologías de la información y la
comunicación y buscan asegurar que se
cumplan los objetivos institucionales de
manera segura y confiable En lo
particular la organización de la unidad
de tecnologías de la información y
comunicación Establece que las entidades
y organismos del sector público deben
acoplar un marco de trabajo para
procesos de tecnología involucrar a la
alta dirección en la toma de decisiones
generar una estructura organizacional de
tecnología de la información y la
comunicación establecer una unidad
posicionada dentro de la estructura
organizacional de la entidad y disponer
de áreas que cubran proyectos
tecnológicos infraestructura tecnológica
soporte interno y externo seguridad de
tecnologías de la información y
comunicación e incorporar un oficial de
seguridad de la
información por ello recordemos que las
normas de control interno permiten la
implementación y mantenimiento de los
controles de seguridad de la información
para garantizar que todos los empleados
y terceros que tienen acceso a los
sistemas y a la información de la
organización estén capacitados en cuanto
a los controles de seguridad y cumplan
con las políticas y procedimientos
establecidos es importante conocer que
las normas de control interno aseguran
que los controles orientados a las
tecnologías de la información y
comunicación se aplican en todas las
etapas del ciclo de vida de la
información desde la
recopilación hasta el almacenamiento
procesamiento uso y eliminación de la
información las normas de control
interno 410 realizan una evaluación de
los riesgos asociados a los sistemas de
información de la organización esto
implica identificar los activos críticos
vulnerabilidades existentes amenazas
potenciales e impactos que puede tener
sobre la organización en base a la
evaluación de riesgos se debe definir
políticas y procedimientos que permitan
identificarlos y mitigarlos estas
políticas y procedimientos deben incluir
controles de acceso autenticación
confidencialidad integridad y
disponibilidad de la información además
se debe implementar controles técnicos y
administrativos para garantizar el
cumplimiento de las políticas y
procedimientos estos controles pueden
incluir fireware antivirus sistema de
detección de intrusos sistema de
respaldos y recuperación políticas de
uso de contraseñas entre otros Cabe
señalar que las organizaciones deben
generar procesos de capacitación y
concientización a su personal sobre la
importancia de los controles de
seguridad la forma en que deben
utilizarse para prevenir los riesgos
asociados al uso de las tecnologías de
la información es necesario también
monitorear regularmente los controles de
seguridad implementados y realizar
evaluaciones periódicas para identificar
posibles debilidades y mejorar
continuamente los controles de
seguridad en general la implementación
de estas normas requiere la adquisición
de software de seguridad sistemas de
detección de intrusos sistemas de
respaldo y recuperación así como la
incorporación de profesionales
especializados en seguridad informática
lo que permitirá mejorar la eficiencia y
productividad de la organización al
proteger sus activos críticos de
información y reducir el riesgo de
interrupciones en los sistemas para
complementar es necesario conocer que
existen controles esenciales y claves
para la correcta implementación de las
normas de control interno para la
tecnología de de la información mediante
acciones y medios de verificación que
brinden una seguridad previo a la
autorización de los
procesos Así es ya la aplicación del
control interno previo y sus criterios
de legalidad veracidad conveniencia
oportunidad pertinencia y conformidad
deben alinearse con los planes y
presupuestos institucionales en lo
referente a las tecnologías de la
información por ello se
los procedimientos para controles de
idoneidad donde hay una calificación de
idoneidad del comité de tecnologías de
la información y Comunicaciones y otra
al oficial de seguridad de la
información controles de verificación de
evidencia documental donde debe
evidenciarse la asignación formal por la
autoridad competente de sus funciones y
responsabilidades del personal de tig la
existencia de un plan estratégico de tig
un diccionario de datos corporativo
actualizado con las reglas de validación
y los controles de integridad y
consistencia con la identificación de
los sistemas o
módulos regulaciones de los procesos de
desarrollo mantenimiento y adquisición
de software de aplicación y de usuario
final procedimientos que garanticen el
mantenimiento y uso adecuado de la
infraestructura tecnológica de las
entidades públicas métodos establecidos
para garantizar el cumplimiento de la
normativa de protección de
datos propiedad intelectual del Software
seguridad de la información utilización
de estándares sistemas o plataformas
establecidos para el sector
público un plan de contingencia en caso
de una emergencia o suspensión en el
procesamiento de la información por
problemas en los equipos programas o
personal
relacionado normas procedimientos e
instructivos de
instalación configuración y utilización
de los sistemas internos y externos de
la entidad medios tecnológicos
necesarios que permitan el uso de la
firma electrónica de conformidad con el
marco
legal cabe considerar también que se
debe efectuar el control de las
capacitaciones realizadas mediante la
verificación de un archivo electrónico o
mensaje de datos que se encuentre
firmado
electrónicamente condiciones
contractuales certificaciones emitidas
por una entidad acreditada en el país
conforme la normativa vigente
almacenamiento de archivos electrónicos
notificación a la entidad emisora en
todo este proceso recordaremos que que
es obligación no divulgar O compartir
las claves de acceso personales ya que
esto implicará la solicitud de la
revocación de su certificado de firma
electrónica cuando se presentare
cualquier circunstancia que pueda
comprometer su
utilización hemos concluido con la
revisión de las normas de control
interno con enfoque a la tecnología de
la información les invitamos a revisar
el material en la plataforma y realizar
la evaluación de la sesión para
continuar con el módulo tres sobre las
debilidades del control interno y sus
[Música]
efectos
5.0 / 5 (0 votes)