|
Introducción
|
Las tecnologías de información
(TI) constituyen uno de los principales instrumentos que apoyan la gestión de
las organizaciones mediante el manejo de grandes volúmenes de datos
necesarios para la toma de decisiones y la implementación de soluciones para
la prestación de servicios ágiles y de gran alcance.
Su uso ha implicado, al menos,
tres situaciones relevantes: la dedicación de porciones importantes del
presupuesto de las organizaciones, con el costo de oportunidad que ello
conlleva, principalmente en organizaciones con recursos limitados y
actividades sustantivas esenciales para la sociedad; un marco jurídico
cambiante tendente a buscar su paralelismo con las nuevas relaciones que se
dan a raíz del uso de esas TI; y una presión importante de proveedores y
consumidores por la implementación de más y mejores servicios apoyados en
estas tecnologías.
Dado el impacto de dichas
situaciones, las TI deben gestionarse dentro de un marco de control que
procure el logro de los objetivos que se pretende
con ellas y que dichos
objetivos estén debidamente alineados con la
estrategia de la organización.
Con el propósito de coadyuvar
con ese marco de control y procurar una mejor gestión de dichas tecnologías
por parte de las organizaciones, esta Contraloría General sustituye el
"Manual sobre normas técnicas de control interno relativas a los
sistemas de información automatizados", mediante la promulgación de las
presentes "Normas técnicas para la gestión y el control de las
tecnologías de información", que se constituyen en una normativa más
ajustada a la realidad y necesidad de nuestro ámbito tecnológico actual.
En razón de que dicha normativa
establece criterios de control que deben ser observados como parte de la
gestión institucional de las TI, el jerarca y los titulares subordinados,
como responsables de esa gestión, deben establecer, mantener, evaluar y
perfeccionar ese marco de control de conformidad con lo establecido en la Ley
General de Control Interno Nro. 8292. Asimismo, la Función de TI debe contribuir
con ello cumpliendo con dicho marco de control y facilitando la labor
estratégica del jerarca.
Esta normativa es de
acatamiento obligatorio para la Contraloría General de la República y las
instituciones y órganos sujetos a su fiscalización, y su inobservancia
generará las responsabilidades que correspondan de conformidad con el marco
jurídico que resulte aplicable.
|
|
Capítulo I Normas de aplicación
general
|
|
1.1 Marco estratégico de TI
|
El jerarca debe traducir sus aspiraciones
en materia de TI en prácticas cotidianas de la organización, mediante un
proceso continuo de promulgación y divulgación de un marco estratégico
constituido por políticas organizacionales que el personal comprenda y con
las que esté
comprometido.
|
|
1.2 Gestión de la calidad
|
La organización debe generar
los productos y servicios de TI de conformidad con los requerimientos de sus
usuarios con base en un enfoque de eficiencia y mejoramiento continuo.
|
|
1.3 Gestión de riesgos
|
La organización debe responder
adecuadamente a las amenazas que puedan afectar la gestión de las TI,
mediante una gestión continua de riesgos que esté integrada al sistema
específico de valoración del riesgo institucional y considere el marco
normativo que le resulte aplicable.
|
|
1.4 Gestión de la seguridad de
la información
|
La organización debe
garantizar, de manera razonable, la confidencialidad, integridad y
disponibilidad de la información, lo que implica protegerla contra uso, divulgación
o modificación no autorizados, daño o pérdida u otros factores
disfuncionales.
Para ello debe documentar e
implementar una política de seguridad de la información y los procedimientos
correspondientes, asignar los recursos necesarios para lograr los niveles de
seguridad requeridos y considerar lo que establece la presente normativa en
relación con los siguientes aspectos:
- La
implementación de un marco de seguridad de la información.
- El
compromiso del personal con la seguridad de la información.
- La
seguridad física y ambiental.
- La
seguridad en las operaciones y comunicaciones.
- El
control de acceso.
- La
seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica.
- La
continuidad de los servicios de TI.
Además debe establecer las
medidas de seguridad relacionadas con:
- El acceso a la información
por parte de terceros y la contratación de servicios prestados por éstos.
- El manejo de la
documentación.
- La terminación normal de
contratos, su rescisión o resolución.
- La salud y seguridad del
personal.
Las medidas o mecanismos de
protección que se establezcan deben mantener una proporción razonable entre
su costo y los riesgos asociados.
|
|
1.4.1 Implementación de un
marco de seguridad de la información
|
La organización debe
implementar un marco de seguridad de la información, para lo cual debe:
a.
Establecer un marco metodológico que incluya la clasificación de los recursos
de TI, según su criticidad, la identificación y evaluación de riesgos, la
elaboración e implementación de un plan para el establecimiento de medidas de
seguridad, la evaluación periódica del impacto de esas medidas y la ejecución
de procesos de concienciación y capacitación del personal.
b.
Mantener una vigilancia constante sobre todo el marco de seguridad y definir
y ejecutar periódicamente acciones para su actualización.
c.
Documentar y mantener actualizadas las responsabilidades tanto del personal
de la organización como de terceros relacionados.
|
|
1.4.2 Compromiso del personal
con la seguridad de la información
|
El personal de la organización
debe conocer y estar comprometido con las regulaciones sobre seguridad y
confidencialidad, con el fin de reducir los riesgos de error humano, robo,
fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, debe:
a.
Informar y capacitar a los empleados sobre sus responsabilidades en materia
de seguridad, confidencialidad y riesgos asociados con el uso de las TI.
b.
Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades.
c.
Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de
seguridad específicas relacionadas con el manejo de la documentación y
rescisión de contratos.
|
|
1.4.3 Seguridad física y
ambiental
|
La organización debe proteger los
recursos de TI estableciendo un ambiente físico seguro y controlado, con
medidas de protección suficientemente fundamentadas en políticas vigentes y
análisis de riesgos.
Como parte de esa protección
debe considerar:
a.
Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos
de control de acceso a recintos o áreas de trabajo, protección de oficinas,
separación adecuada de áreas.
b.
La ubicación física segura de los recursos de TI.
c.
El ingreso y salida de equipos de la organización.
d.
El debido control de los servicios de mantenimiento.
e.
Los controles para el desecho y reutilización de recursos de TI.
f.
La continuidad, seguridad y control del suministro de energía eléctrica, del
cableado de datos y de las comunicaciones inalámbricas.
g.
El acceso de terceros.
h.
Los riesgos asociados con el ambiente.
|
|
1.4.4 Seguridad en las
operaciones y comunicaciones
|
La organización debe
implementar las medidas de seguridad relacionadas con la operación de los
recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger
la integridad del software y de la información.
Para ello debe:
a.
Implementar los mecanismos de control que permitan asegurar la no negación,
la autenticidad, la integridad y la confidencialidad de las transacciones y
de la transferencia o intercambio de información.
b.
Establecer procedimientos para proteger la información almacenada en
cualquier tipo de medio fijo o removible (papel, cintas, discos, otros
medios), incluso los relativos al manejo y desecho de esos medios.
c.
Establecer medidas preventivas, detectivas y correctivas con respecto a
software "malicioso" o virus.
|
|
1.4.5 Control de acceso
|
La organización debe proteger la
información de accesos no autorizados.
Para dicho propósito debe:
a.
Establecer un conjunto de políticas, reglas y procedimientos relacionados con
el acceso a la información, al software de base y de aplicación, a las bases
de datos y a las terminales y otros recursos de comunicación.
b.
Clasificar los recursos de TI en forma explícita, formal y uniforme de
acuerdo con términos de sensibilidad.
c.
Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d.
Establecer procedimientos para la definición de perfiles, roles y niveles de
privilegio, y para la identificación y autenticación para el acceso a la
información, tanto para usuarios como para recursos de TI.
e.
Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad
con las políticas de la organización bajo el principio de necesidad de
saber o menor privilegio. Los propietarios de la información son
responsables de definir quiénes tienen acceso a la información y con qué
limitaciones o restricciones.
f.
Implementar el uso y control de medios de autenticación (identificación de
usuario, contraseñas y otros medios) que permitan identificar y
responsabilizar a quienes utilizan los recursos de TI. Ello debe acompañarse
de un procedimiento que contemple la requisición, aprobación,
establecimiento, suspensión y desactivación de tales medios de autenticación,
así como para su revisión y actualización periódica y atención de usos
irregulares.
i.
Establecer controles de acceso a la información impresa, visible en pantallas
o almacenada en medios físicos y proteger adecuadamente dichos medios.
j.
Establecer los mecanismos necesarios (pistas de auditoría) que permitan un
adecuado y periódico seguimiento al acceso a las TI.
k.
Manejar de manera restringida y controlada la información sobre la seguridad
de las TI.
|
|
1.4.6 Seguridad en la
implementación y mantenimiento de software e infraestructura tecnológica
|
La organización debe mantener
la integridad de los procesos de implementación y mantenimiento de software e
infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida
de información.
Para ello debe:
a.
Definir previamente los requerimientos de seguridad que deben ser
considerados en la implementación y mantenimiento de software e
infraestructura.
b.
Contar con procedimientos claramente definidos para el mantenimiento y puesta
en producción del software e infraestructura.
c.
Mantener un acceso restringido y los controles necesarios sobre los ambientes
de desarrollo, mantenimiento y producción.
d.
Controlar el acceso a los programas fuente y a los datos de prueba.
|
|
1.4.7 Continuidad de los
servicios de TI
|
La organización debe mantener
una continuidad razonable de sus procesos y su interrupción no debe afectar
significativamente a sus usuarios.
Como parte de ese esfuerzo debe
documentar y poner en práctica, en forma efectiva y oportuna, las acciones
preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organización, la evaluación e impacto de los riesgos y la
clasificación de sus recursos de TI según su criticidad.
|
|
1.5 Gestión de proyectos
|
La organización debe
administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga
los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto
óptimos preestablecidos.
|
|
1.6 Decisiones sobre asuntos
estratégicos de TI
|
El jerarca debe apoyar sus
decisiones sobre asuntos estratégicos de TI en la asesoría de una
representación razonable de la organización que coadyuve a mantener la
concordancia con la estrategia institucional, a establecer las prioridades de
los proyectos de TI, a lograr un equilibrio en la asignación de recursos y a
la adecuada atención de los requerimientos de todas las unidades de la
organización.
|
|
1.7 Cumplimiento de obligaciones
relacionadas con la gestión de TI
|
La organización debe
identificar y velar por el cumplimiento del marco jurídico que tiene
incidencia sobre la gestión de TI con el propósito de evitar posibles
conflictos legales que pudieran ocasionar eventuales perjuicios económicos y
de otra naturaleza.
|