servicio de auditorÍa interna sobre tecnologÍas de informaciÓn resultados de … ·...
TRANSCRIPT
SERVICIO DE AUDITORÍA INTERNA SOBRE
TECNOLOGÍAS DE INFORMACIÓN
Resultados de la Auditoría realizada para determinar si el Sistema SACI cumple con la normativa técnica de TI emitida por la Contraloría General de la República
CONTRATACIÓN DIRECTA No. 2013CD-000178-10100
OCTUBRE, 2013
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
2
San José, 11 de diciembre del 2013.
Licenciado
Henry Valerín Sandino
Auditor Interno
SERVICIO FITOSANITARIO DEL ESTADO (SFE)
Estimado Licenciado:
Según los términos de la “Contratación Directa No. 2013CD-000178-10100” se efectuó el servicio
de auditoría interna contratado, relativo a aspectos financiero contables y de tecnologías de
información. El presente informe contiene los resultados relacionados con la evaluación del Sistema
SACI (Sistema Automatizado de Control de Ingresos).
Con base en el examen efectuado, se observan ciertos aspectos referentes a hallazgos de TI, dentro del
marco de la normativa denominada “Normas técnicas para la gestión y el control de las tecnologías de
información (N-2-2007-CO-DFOE)”, emitidas por la Contraloría General de la República y los estándares
establecidos. Según los Objetivos de Control para Información y Tecnología Relacionada, Cobit®, los
cuales sometemos a consideración de ustedes en esta carta de gerencia.
Considerando el carácter de pruebas selectivas de tecnologías de información aplicadas en las oficinas
centrales del SFE situadas en Sabana Sur, en San José y en las diferentes estaciones de control
fitosanitario ubicadas en diferentes zonas del país (Peñas Blancas, Aeropuerto Internacional Daniel
Oduber Quirós, Aeropuerto Internacional Juan Santamaría, Paso Canoas, Los Chiles, Puerto
Caldera y Puerto Limón), la Administración Institucional puede apreciar que debe confiarse en métodos
adecuados de comprobación y de control interno de tecnologías de información, como principal protección
contra posibles irregularidades que un examen basado en pruebas selectivas puede no revelar, si es que
existiesen. Las observaciones no van dirigidas a funcionarios o empleados en particular, sino únicamente
tienden a fortalecer el control interno de tecnologías de información institucional.
Deseamos agradecer la atención dada por los funcionarios pertenecientes al SFE (oficinas centrales y
estaciones de control fitosanitario), que colaboraron activamente en facilitarnos la información solicitada,
y los cuales tomaron el tiempo necesario para atender nuestras entrevistas y ampliar sobre los temas
tratados para este estudio de tecnologías de información.
Atentamente,
DESPACHO DÍAZ & ZELEDON
CONTADORES PÚBLICOS AUTORIZADOS
Licda. Lorena Zeledón Sánchez
Contadora Pública Autorizada Número 1 718
Póliza de Fidelidad No. 0116 FIG0000007
Vence el 30 de setiembre del 2014
“Timbre de Ley 6 663, por ¢ 25 del Colegio de Contadores Públicos de Costa Rica, adherido y
cancelado en el original de este documento”.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
3
Tabla de contenidos
RESUMEN EJECUTIVO………………………………………………………………. …5
INTRODUCCIÓN……………………………………………………………….………...8
1.1 Origen del Estudio……………………………………………………………………..8
1.2 Objetivo……………………………………………………………….………… ……...8
1.3 Alcance ……………………………………………………………….……………. …..8
1.4 Período del Estudio …………………………………………………..………… ............. 11
1.5 Limitaciones del Estudio………………………………………………….………. ......... 11
1.6 Normas de Aplicación General……………………………………………………….. 11
1.7 Comunicación de Resultados…………………………………………………………. 11
2.1 NOMAS DE APLICACIÓN GENERAL .............................................................................. 12
2.1.1 Marco Estratégico de T.I. ...................................................................................................... 12
2.1.2 Gestión de la Calidad ............................................................................................................. 13
2.1.3 Gestión de Riesgos ................................................................................................................. 14
2.1.4 Gestión de la Seguridad de la Información .......................................................................... 16
2.1.4.1 Implementación de un Marco de Seguridad de la Información ..................................... 19
2.1.4.2 Compromiso del Personal con la Seguridad de la Información. .................................... 20
2.1.4.3 Seguridad Física y Ambiental ............................................................................................ 21
2.1.4.4 Seguridad en las Operaciones y Comunicaciones ........................................................... 23
2.1.4.5 Control de Acceso ............................................................................................................... 25
2.1.4.6 Seguridad en la Implementación y Mantenimiento de Software e Infraestructura
Tecnológica........................................................................................................................................ 27
2.1.4.7 Continuidad de los Servicios de T.I. ................................................................................... 30
2.1.5 Gestión de Proyectos .............................................................................................................. 32
2.1.6 Decisiones sobre Asuntos Estratégicos de TI .............................................................. 33
2.1.7 Cumplimiento de Obligaciones Relacionadas con la Gestión de TI ......................... 35
2.2 PLANIFICACIÓN Y ORGANIZACIÓN ............................................................................. 36
2.2.1 Planificación de las Tecnologías de Información................................................................ 36
2.2.2 Modelo de Arquitectura de Información ........................................................................... 38
2.2.3 Infraestructura Tecnológica ................................................................................................ 40
2.2.4 Independencia de Recursos Humanos de la Función de T.I. .......................................... 41
2.2.5 Administración de Recursos Financieros .......................................................................... 44
2.3 IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN ........................... 45
2.3.1 Consideraciones Generales de la Implementación de T.I. .............................................. 45
2.3.2 Implementación de Software.............................................................................................. 47
2.3.3 Implementación de Infraestructura Tecnológica .............................................................. 50
2.3.4 Contratación de Terceros para la Implementación y Mantenimiento de softwatre ...... 51
2.4 PRESTACIÓN DE SERVICIOS Y MANTENIMIENTO .......................................... 53
2.4.1 Definición y Administración de Acuerdos de Servicio ................................................... 53
2.4.2 Administración y Operación de la Plataforma Tecnológica ........................................... 56
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
4
2.4.3 Administración de los Datos ............................................................................................. .60
2.4.4 Atención de Requerimientos de los Usuarios de TI ......................................................... .63
2.4.5 Manejo de Incidentes .......................................................................................................... .64
2.4.6 Administración de Servicios Prestados por Terceros ...................................................... ,66
2.5 SEGUIMIENTO .................................................................................................................. 68
2.5.1 Seguimiento de los procesos de T.I .................................................................................... 68
2.5.2 Seguimiento y Evaluación del Control Interno en T.I ...................................................... 70
2.5.3 Participación de la Auditoría Interna .................................................................................. 72
3. Hallazgos (OPORTUNIDADES DE MEJORA) .................................................................. 73
3.1.1 Debilidades en el control de acceso respecto del sistema SACI……………………….74
3.1.2 Insuficiente capacitación impartida a los funcionarios que utilizan el sistema SACI ...... 76
3.1.3 Agotamiento del ciclo de vida útil del SACI ........................................................................ 78
4 Valoración del Nivel de satisfacción sobre la Calidad Funcional de los Sistemas de
Información (Encuesta de Opinión Personal Estaciones de Control Fitosanitario)…………...80
4.1 Resultados de la encuesta de opinión……………………………………………………80
4.2 Recomendación…………………………………………………………………………84
Glosario de Definiciones………………………………………………………………...84-91
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
5
RESUMEN EJECUTIVO
El estudio de auditoría se efectuó, según los términos de la “Contratación Directa
No. 2013CD-000178-10100”. Dicho servicio de auditoría interna fue realizado por el
Despacho Díaz & Zeledón.
El objetivo del estudio, estuvo direccionado a determinar si el Sistema Automatizado de
Control de Ingresos (SACI) fue diseñado, desarrollado y autorizada su entrada en
producción en apego a la normas de TI emitidas por la Contraloría General de la República
y normas técnicas de referencia internacional complementarias y aplicables.
Conforme el citado objetivo y el alcance definido, tales efectos se describen en forma resumida el
grado de avance en el cumplimiento de las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información, emitidas por la Contraloría General de la República
(N-2-2007-CO-DFOE), según se muestra a continuación:
Normas de Aplicación General
Evaluación de
cumplimiento
1.1 Marco estratégico de TI Implementada
1.2 Gestión de la calidad Implementada
1.3 Gestión de riesgos Avanzado
1.4 Gestión de la seguridad de la información Implementada
1.4.1 Implementación de un marco de seguridad de la información Implementada
1.4.2 Compromiso del personal con la seguridad de la información Implementada
1.4.3 Seguridad física y ambiental Implementada
1.4.4 Seguridad en las operaciones y comunicaciones Implementada
1.4.5 Control de acceso Implementada
1.4.6 Seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica Implementada
1.4.7 Continuidad de los servicios de TI Implementada
1.5 Gestión de proyectos Implementada
1.6 Decisiones sobre asuntos estratégicos de TI Implementada
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI Implementada
2.1 Planificación de las tecnologías de información Implementada
2.2 Modelo de arquitectura de información Avanzada
2.3 Infraestructura tecnológica Implementada
2.4 Independencia y recurso humano de la Función de TI Implementada
2.5 Administración de recursos financieros Implementada
3.1 Consideraciones generales de la implementación de TI Implementada
3.2 Implementación de software Implementada
3.3 Implementación de infraestructura tecnológica Implementada
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
6
3.4 Contratación de terceros para la implementación y mantenimiento de
software e infraestructura
Implementada
4.1 Definición y administración de acuerdos de servicio Implementada
4.2 Administración y operación de la plataforma tecnológica Implementada
4.3 Administración de los datos Implementada
4.4 Atención de requerimientos de los usuarios de TI Implementada
4.5 Manejo de incidentes Avanzada
4.6 Administración de servicios prestados por terceros Implementada
5.1 Seguimiento de los procesos de TI Implementada
5.2 Seguimiento y evaluación del control interno en TI Implementada
5.3 Participación de la Auditoría Interna Implementada
Por otra parte, como resultado de las pruebas realizadas se determinaron debilidades de control
interno que dieron origen a los siguientes hallazgos:
a) Existen debilidades en el control de acceso respecto del sistema SACI
b) La capacitación que se ha impartido a los funcionarios que utilizan el sistema SACI
es insuficiente
c) El sistema SACI ya agotó su ciclo de vida
En el informe se hacen las recomendaciones correspondientes para subsanar tales debilidades.
Finalmente, se realizó una valoración del nivel de satisfacción sobre la calidad funcional de los
sistemas de información, mediante una encuesta de opinión aplicada al personal de las Estaciones
de Control Fitosanitario.
Respecto de la valoración del cuadro anterior, se representan gráficamente, los resultados
respecto al nivel de madurez de TI del SFE relacionada con la Normativa (N-2-2007-CO-DFOE)
cuyo valor de cumplimiento es de 0 al 5. La Figura 1 se muestra en la página siguiente.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
7
Figura 1
Cumplimiento de los 32 objetivos de control SFE al 2013
De la Gráfica 1 se muestra las brechas de cumplimiento de los 32 objetivos:
Los resultados en color azul muestran el estado actual de cumplimiento del SFE, según
la Normativa N-2-CO-2007-DFOE para el 2011, el valor de la evaluación es de 0 a 3.
La línea de color rojo muestra nivel razonable de cumplimiento con la Normativa
N-2-CO-2007-DFOE.
La línea de color verde es el grado de madurez ideal establecido por la Normativa
N-2-CO-2007-DFOE.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
8
INFORME DE CUMPLIMIENTO Y CONTROL INTERNO DE TECNOLOGÍAS DE
INFORMACIÓN
1. INTRODUCCIÓN
1.1 ORIGEN DEL ESTUDIO
El estudio de auditoría se efectuó, según los términos de la “Contratación Directa No 2013CD-
000178-10100”, mediante la cual se contrató un servicio de auditoría interna relativo a aspectos
financieros contables y de tecnologías de información. El presente informe contiene los
resultados relacionados con la evaluación del Sistema SACI (Sistema Automatizado de Control
de Ingresos).
1.2 OBJETIVO
Determinar si el Sistema Automatizado de Control de Ingresos (SACI) fue diseñado,
desarrollado y autorizado su entrada en producción, en apego a las normas de TI, emitidas
por la Contraloría General de la República y normas técnicas de referencia internacional
complementarias y aplicables.
1.3 ALCANCE
El trabajo fue enfocado principalmente a los siguientes aspectos:
1.3.1 Evaluación del cumplimiento por parte del SFE de las Normas Técnicas para la
Gestión y el Control de las Tecnologías de Información, emitidas por la
Contraloría General de la República (N-2-2007-CO-DFOE), alineadas a los
Objetivos de Control de Tecnologías de Información (Cobit, por sus siglas en
inglés), emitidos por la “Information Systems Audit and Control Association”
(Isaca, por sus siglas en inglés) y, en general, con respecto a las mejores
prácticas de la industria de tecnología de información. Dicho alineamiento se
muestra en la siguiente figura:
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
9
FIGURA 2
1.3.2 Valoración de la implementación actual de las Normas Técnicas para la Gestión
y el Control de las Tecnologías de Información, emitidas por la Contraloría
General de la República (N-2-2007-CO-DFOE) en relación con el “Sistema
Automatizado de Control de Ingresos”, conocido por sus siglas en español
SACI. Dicha valoración consideró lo siguiente:
a) Para cada una de las normas técnicas para la gestión y control de tecnología de
información, se realizó un análisis detallado respecto a su cumplimiento.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
10
b) Con respecto al cumplimiento de las mencionadas Normas Técnicas se
estableció y aplicó una clasificación para determinar el nivel de cumplimiento
de cada una de las normas técnicas, la cual se presenta a continuación:
No Iniciada: La administración no ha realizado acción alguna para poder
implementar las normas técnicas.
Planificada: Existe evidencia formal de un plan de trabajo, cronograma de
trabajo, asignación de recursos, tiempos estimados, entre otras actividades
para poder planificar, adecuadamente, el cumplimiento de las normas.
Iniciada: Las actividades definidas en la etapa anterior se han empezado a
ejecutar y existe evidencia formal sobre el inicio de la implementación de
las normas técnicas.
Avanzada: Las actividades iniciadas en la etapa anterior presentan un
avance significativo y se evidencia un porcentaje alto de la implementación
y cumplimiento de las normas técnicas.
Implementada: La administración ha logrado ejecutar actividades
previamente definidas en forma exitosa, para poder cumplir con las
acciones mínimas de implementación según lo mencionado en las normas
técnicas de una manera aceptable, disminuyendo el riesgo asociado a la no
implementación de la normativa. Cabe mencionar que este estado no
excluye a la administración de poder llevar a cabo acciones de mejora
constante en la aplicación e implementación de las normas técnicas,1 y no
garantiza un adecuado nivel de madurez a nivel institucional.
c) Con respecto al impacto de cada una de las normas, la escala de calificación que se
utilizó fue la siguiente: alto, medio y bajo; según se muestra a continuación:
Escala Descripción del nivel
Alto
Requiere una atención inmediata por su impacto en
seguridad, integridad, efectividad, eficiencia,
confidencialidad, confiabilidad, disponibilidad y
continuidad de la plataforma tecnológica.
Medio
Requiere una atención intermedia, ya que su impacto
representaría riesgos sobre seguridad, integridad,
efectividad, eficiencia, confidencialidad, confiabilidad,
disponibilidad y continuidad de la plataforma
1 Según lo establecido en las mejores prácticas a nivel internacional en la materia (Cobit, ITIL, ISO 27001, PMBOOK,
VAL IT, CMMI, entre otros, ver figura 1).
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
11
tecnológica.
Bajo
Requiere una atención no prioritaria, ya que su impacto
no es directamente sobre seguridad, integridad,
efectividad, eficiencia, confidencialidad, confiabilidad,
disponibilidad y continuidad de la plataforma
tecnológica.
1.3.3 Realización de pruebas cuyo análisis de resultados permitieron visualizar
situaciones de mejora.
1.4 PERÍODO DEL ESTUDIO
El estudio se realizó durante en el período comprendido entre el 1º de agosto y el 30 de
setiembre del 2013.
1.5 LIMITACIONES DEL ESTUDIO
No se encontraron limitaciones que entorpecieran la ejecución del servicio de auditoría interna
contratado.
1.6 NORMATIVA TÉCNICA APLICADA AL ESTUDIO
En la ejecución del presente estudio de auditoría se observaron las regulaciones establecidas para
las Auditorías Internas en la Ley General de Control Interno No. 8 292, normas técnicas,
directrices y resoluciones emitidas por la Contraloría General de la República (CGR), así como lo
dispuesto en el Reglamento de Organización y Funcionamiento de la Auditoría Interna del
Servicio Fitosanitario del Estado (Decreto Ejecutivo No. 36 356-MAG).
1.7 COMUNICACIÓN DE RESULTADOS
Los resultados del estudio fueron comentados el día 09/12/2013, con el Lic. Didier Suárez
Chaves, Jefe de la Unidad de Tecnología de la Información del Servicio Fitosanitario del Estado;
y el día 11/12/2013 con los siguientes funcionarios:
Rocío Solano Cambronero, Jefa de la Unidad Financiera
Lilliana Pastor Ovares, Encargada Presupuesto
Virginia Gómez Solano, Encargada Contabilidad
Teresita Solano Solano, Contadora
Roberth Elizondo Oviedo, Encargado de Tesorería
Alejandro Quirós Ballestero, Encargado de Ingresos
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
12
2. RESULTADOS SOBRE EL CUMPLIMIENTO NORMAS TÉCNICAS TI
Los resultados de la evaluación de cada una de las normas técnicas para la gestión y control de
tecnología de información emitidas por la Contraloría General de la República (N-2-2007-CO-
DFOE), se muestran a continuación:
2.1 NORMAS DE APLICACIÓN GENERAL
2.1.1 Marco Estratégico de T.I.
Descripción de la norma técnica de la Contraloría General de la República
El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización,
mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por
políticas organizacionales que el personal comprenda y con las que esté comprometido.
Objetivo del punto de control
Este punto de control tiene como objetivo asegurar el conocimiento y comprensión de los usuarios
sobre las aspiraciones del alto nivel (gerencia y junta directiva), se concreta por medio de políticas
establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para
traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control de
tecnología de información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO6 Comunicar las
Aspiraciones y la Dirección de
la Gerencia
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Elaborar y mantener un ambiente y marco de control de T.I.
Elaborar y mantener políticas de T.I.
Comunicar el marco de control y los objetivos y dirección de T.I.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación en el SFE IMPLEMENTADA
Situación
encontrada
El SFE cuenta con el “Plan Estratégico de Tecnologías de Información
2010-2021” (su implementación se efectuó en acatamiento a las
recomendaciones emitidas en el informe de la Auditoría Interna presentado
en diciembre del 2009, mediante el oficio AI-SFE-197-2009).
El Plan Estratégico Institucional y el Plan Estratégico de Tecnologías de
Información están alineados en cuanto a objetivos (Generales en PEI y de
TI), acciones, gastos operativos y otros, según lo evaluado en el PETI
vigente.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
13
Hay una Comisión de Tecnologías de Información del SFE que efectúa
labores de control interno, el cual vela por la planeación y de los servicios
de TI institucionales, en cumplimiento de la “Ley General de Control
Interno No. 8 292”, la normativa denominada “Normas de Control Interno
para el Sector Público (N-2-2009-CO-DFOE) y la normativa de TI
denominada “Norma para la gestión de Tecnologías de Información (N-2-
2007-CO-DFOE), estas dos últimas emitidas por la Contraloría General de
la República.
Para el “Plan Anual Operativo de TI” se revisan los indicadores de control
de avance en forma semestral y se realiza una rendición de cuentas
(mediante un informe con exposición de resultados) en la que se evalúan
los logros y cumplimiento de los objetivos TI en el SFE.
Todos los funcionarios de TI rinden informes de avance sobre los objetivos
de control en las acciones a desarrollar.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre este
ítem.
2.1.2 Gestión de la Calidad
Descripción de la norma técnica de la Contraloría General de la República
La organización debe generar los productos y servicios de TI de conformidad con los requerimientos
de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo.
Objetivo del punto de control
Este punto de control tiene como objetivo satisfacer los requerimientos del cliente.
Impacto de la norma en la
gestión de tecnología de
información
BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Planear y Organizar
Objetivo de control específico PO8 Administrar la Calidad
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Definir un sistema de administración de calidad
Establecer y mantener un sistema de administración de calidad
Crear y comunicar estándares de calidad a toda la organización
Crear y administrar el plan de calidad para la mejora continua
Medir, monitorear y revisar el cumplimiento de las metas de calidad.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
14
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
IMPLEMENTADA
Situación
encontrada
Estándares y prácticas de calidad
Estándares de desarrollo y de adquisición
Mejora continua
“Política de calidad de Tecnologías de Información” (documento realizado
mediante servicio de terceros, según lo observado en la contratación directa
denominada “Informe de Contratación 2011CD-000083-1200)
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado: razón por la cual, no hay observaciones ni recomendaciones por realizar sobre este
ítem.
2.1.3 Gestión de Riesgos
Descripción de la norma técnica de la Contraloría General de la República
La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las
TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del
riesgo institucional y considere el marco normativo que le resulte aplicable.
Objetivo del punto de control
Este punto de control tiene como propósito asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI.
Impacto de la norma en la gestión de
tecnología de información MEDIO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO 9 Evaluar y Administrar
Riesgos de TI
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Determinar la alineación de la administración de riesgos
Entender los objetivos de negocio estratégicos relevantes
Entender los objetivos de los procesos de negocio relevantes
Identificar los objetivos internos y establecer el contexto del riesgo
Identificar eventos asociados con objetivos orientados a negocio
Asesorar el riesgo con los eventos
Evaluar y seleccionar respuestas a riesgos
Priorizar y planear actividades de control
Aprobar y asegurar fondos para planes de acción de riesgos
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
15
Mantener y monitorear un plan de acción de riesgos.
Establecer un proceso de evaluación para conocer el impacto de los riesgos, en caso de
incumplimiento, documentando los resultados.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según evaluación
AVANZADO
Situación
encontrada
Actualmente, el SFE cuenta con su primer escenario de riesgos; gestión
que se realizó como parte del proceso de implementación del “Sevri”.
Los procesos de TI se visualizan como parte de la primera valoración de
riesgos realizada por el SFE
Existe un establecimiento del contexto del riesgo en el documento
denominado “Plan de Continuidad de TI”, en el cual se establecen los
procedimientos de como mitigarlos considerando los aspectos de:
a) Estrategia de Recuperación de Desastres.
b) Plan de Activación.
c) Funciones y responsabilidades de funcionarios para recuperación de
funcionabilidad de TI
d) Información de proveedores de TI riesgos.
e) Sitio alterno para levantamiento de sistemas.
f) Plan de Recuperación de Desastres Interno del SFE.
g) Recuperación de sistemas administrativos del SFE (SACI y otros).
h) Valoración de riesgos, hallazgos y recomendaciones
Otros documentos que están soportando el proceso de implementación
del Sevri que se está llevando a cabo en la Institución son los siguientes:
1) Modelo de Control Interno (Versión Final).
2) PCCI-CI-DE-02 Declaración Política de Sevri.
3) PCCI- CI-G-02 Guía para la implementación del SEVRI.
4) PCCI-CI-MO-01 Modelo de implementación Control Interno SFE.
5) Sevri Matriz de riesgos – TI – 2013 – Aprobado.
6) Sevri Fitosanitario 2012.
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra en
proceso de consolidar la implementación del Sevri (mejora continua), tal y como está establecido en
el “Modelo de Control Interno”, por lo que una vez finalizado debe ser aprobado, oficializado y
comunicado por la Dirección del SFE.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
16
Recomendación:
Revisar los resultados de la valoración del riesgo que se efectuó a finales del año 2012; con el
propósito de validarlos o ajustar el nivel del riesgo respectivo, situación que debe permitir gestionar
dicho nivel de la mejor manera (apoyándose en los planes de acción que se emitan para tales efectos).
2.1.4 Gestión de la Seguridad de la Información
Descripción de la norma técnica de la Contraloría General de la República
La organización debe garantizar, de manera razonable, la confidencialidad, integridad y
disponibilidad de la información, lo que implica protegerla contra uso, divulgación o
modificación no autorizados, daño o pérdida u otros factores disfuncionales.
Para ello, debe documentar e implementar una política de seguridad de la información y los
procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de
seguridad requeridos y considerar lo que establece la presente normativa en relación con los
siguientes aspectos:
La implementación de un marco de seguridad de la información
El compromiso del personal con la seguridad de la información
La seguridad física y ambiental
La seguridad en las operaciones y comunicaciones
El control de acceso
La seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica
La continuidad de los servicios de TI
Además debe establecer las medidas de seguridad relacionadas con:
El acceso a la información por parte de terceros y la contratación de servicios prestados
por estos
El manejo de la documentación
La terminación normal de contratos, su rescisión o resolución
La salud y seguridad del personal
Las medidas o mecanismos de protección que se establezcan deben mantener una
proporción razonable entre su costo y los riesgos asociados
Impacto de la norma en la
gestión de tecnología de
información.
BAJO
Referencia a los objetivos de
control de tecnología de
Dominio Entregar y dar Soporte
Objetivo de control DS 5 Garantizar la Seguridad
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
17
información (Cobit). específico de los Sistemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Implementación de procedimientos administrativos de TI para mantener la integridad de la
información y de la infraestructura de procesamiento de datos para minimizar el impacto de
vulnerabilidades e incidentes de seguridad
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,
detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad
Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y
amenazas de seguridad
Implementación de procedimientos administración de identidades de cuentas de usuario y
autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de
información
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación.
IMPLEMENTADA
Situación
encontrada
Se evidenció la implementación del “Manual de Políticas de Seguridad”;
documento oficializado por la Administración y comunicado a todos los
funcionarios de la entidad por medio de la página web del SFE y por intermedio
de circular.
En dicho manual, se describen las siguientes políticas de seguridad, situación
que está en conformidad con la norma “1.4. Gestión de la Seguridad de la
información”:
PSI-001 POLÍTICA PARA LA MANIPULACIÓN Y CAMBIO
DE CONTRASEÑAS PARA LOS USUARIOS FINALES.
PSI-002 POLÍTICA PARA LA GESTIÓN DE CONTRASEÑAS
SEGURAS PARA USO DE LAS APLICACIONES EN RED.
PSI- 003 POLÍTICA PARA LA ADMINISTRACIÓN Y CONTROL
DE EQUIPOS DE CÓMPUTO.
PSI-004 POLÍTICA PARA LA ADMINISTRACIÓN DE UN
“STOCK” DE REPUESTOS EQUIPO DE CÓMPUTO.
PSI-005 POLÍTICA GESTIÓN MANIPULACIÓN PASSWORD DE
ADMINISTRADOR DE ESTACIONES DE TRABAJO.
PSI-006 POLÍTICA DE REALIZACIÓN DE RESPALDOS PARA
APLICACIONES.
PSI-007 POLÍTICA PARA LA NAVEGACIÓN EN INTERNET,
MEDIANTE EL SERVICIO BRINDADO POR EL SFE.
PSI-008 POLÍTICA PARA EL USO DE CORREO ELECTRÓNICO
INSTITUCIONAL.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
18
PSI-009 POLÍTICA PARA LA CONFIDENCIALIDAD DE LA
INFORMACIÓN INSTITUCIONAL Y TRATO CON TERCEROS.
PSI-010 POLÍTICA PARA LA CREACIÓN O EL MEJORAMENTO
DE ESPACIO FÍSICO EN LOS CENTROS DE CÓMPUTO.
PSI-012 POLÍTICA PARA EL USO ADECUADO DE LA RED DE
DATOS INSTITUCIONAL.
PSI-014 POLÍTICA PARA EL USO DE QUEMADORES DE CD O
DVD.
PSI-015 POLÍTICA PARA EL USO DE DISQUETES, CD, DVD,
LLAVES MAYAS.
PSI-016 POLÍTICA DE INSTALACIÓN DE SOFTWARE.
PSI-0017 POLÍTICA DEL SOFTWARE PROPIEDAD DE LA
INSTITUCIÓN.
PSI-0018 POLÍTICA DE MANTENIMIENTO AL EQUIPO DE
CÓMPUTO.
PSI-0019 POLÍTICA DE CONTROL CONTRA CÓDIGO
MALICIOSO.
Además de lo anterior, se cuenta con el software ASA y TMG que actúan con
las funcionales de “Muros de Fuego” más el antivirus “Panda End Point
Protection”, que se encuentra instalado en “La Nube” de internet; actuando en
forma interactiva y dinámica contra ataques y otros aspectos que puedan afectar
a la estructura de TI del SFE.
Otro aspecto relevante es que en la infraestructura de TI del SFE, se encuentra
instalado y en operación un servidor de actualizaciones de TI denominado
“WSUS”, el cual funciona en horarios alternos y no en horas hábiles de
funcionamiento de la institución, con el objetivo de no afectar el ancho de banda
y velocidad de comunicaciones en la entidad.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
19
2.1.4.1 Implementación de un Marco de Seguridad de la Información
Descripción de la norma técnica de la Contraloría General de la República
La organización debe implementar un marco de seguridad de la información, para lo cual debe:
a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su
criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un
plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de
esas medidas y la ejecución de procesos de concienciación y capacitación del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar
periódicamente acciones para su actualización.
c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la
organización como de terceros relacionados.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de Control
Específico
DS 5 Garantizar la Seguridad de
los Sistemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Implementación de procedimientos administrativos de TI para mantener la integridad de la
información y de la infraestructura de procesamiento de datos para minimizar el impacto de
vulnerabilidades e incidentes de seguridad.
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,
detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad
Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y amenazas de
seguridad.
Implementación de procedimientos administración de identidades de cuentas de usuario y
autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de información
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según evaluación
IMPLEMENTADA
Situación
encontrada
En la evaluación efectuada en el SFE, se evidenció la implementación del
“Manual de Políticas de Seguridad”; el cual cumple en forma razonable con
todos los aspectos de implementación de un marco de seguridad de la
información, porque se contemplaron los aspectos de:
Administración de la seguridad de TI
Plan de seguridad de TI
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
20
Administración de identidad
Administración de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definición de incidente de seguridad
Protección de la tecnología de seguridad
Prevención, detección y corrección de software malicioso
Seguridad de la red
Intercambio de datos sensitivos
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre este
ítem.
2.1.4.2 Compromiso del Personal con la Seguridad de la Información
Descripción de la norma técnica de la Contraloría General de la República
El personal de la organización debe conocer y estar comprometido con las regulaciones sobre
seguridad y confidencialidad, para reducir los riesgos de error humano, robo, fraude o uso
inadecuado de los recursos de TI. Para ello, el jerarca debe:
a) Informar y capacitar a los empleados sobre sus responsabilidades en materia de
seguridad, confidencialidad y riesgos asociados con el uso de las TI.
b) Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.
c) Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad
específicas relacionadas con el manejo de la documentación y rescisión de contratos.
Impacto de la norma en la
gestión de tecnología de
información
BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control específico DS 5 Garantizar la Seguridad
de los Sistemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Implementación de procedimientos administrativos de TI para mantener la integridad de la
información y de la infraestructura de procesamiento de datos para minimizar el impacto de
vulnerabilidades e incidentes de seguridad.
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,
detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad.
Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
21
amenazas de seguridad.
Implementación de procedimientos administración de identidades de cuentas de usuario y
autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de
información.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Se evidenció la implementación del “Manual de Políticas
de Seguridad”; mediante el cual se regulan los siguientes
aspectos:
Administración de cuentas del usuario.
Reporte de incidentes de seguridad.
Protección de la tecnología disponible de uso público
por parte de todos los funcionarios del SFE, en lo
relacionado con estaciones de trabajo (computadoras
de escritorio, Computadoras Portátiles (laptops),
Tabletas y otros equipos de procedencia electrónica
propiedad de la entidad. Además, se cuenta con
seguros con el INS para estos equipos.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.4.3 Seguridad Física y Ambiental
Descripción de la norma técnica de la Contraloría General de la República
La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y
controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y
análisis de riesgos. Como parte de esa protección debe considerar:
a) Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control
de acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de
áreas.
b) La ubicación física segura de los recursos de T.I.
c) El ingreso y salida de equipos de la organización.
d) El debido control de los servicios de mantenimiento.
e) Los controles para el desecho y reutilización de recursos de T.I.
f) La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
22
datos y de las comunicaciones inalámbricas.
g) El acceso de terceros.
h) Los riesgos asociados con el ambiente.
Objetivo del punto de control
Este punto de control tiene como objetivo proporcionar un ambiente físico conveniente que
proteja al equipo y al personal de T.I., contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas, lo cual se hace posible con la instalación de controles físicos y ambientales
adecuados que sean revisados regularmente para su funcionamiento apropiado, definiendo
procedimientos que provean control de acceso del personal a las instalaciones y contemplen su
seguridad física.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de Control
Específico
DS 12 Administrar el Ambiente
Físico
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Proteger los activos de cómputo y la información del negocio minimizando el riesgo de una
interrupción del servicio
Proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra
acceso, daño o robo
Implementación de procedimientos de medidas de seguridad física en el Centro de Datos
Establecimiento y selección de un sitio adecuado para el Centro de Datos
Frecuencia de revisión y evaluación de riesgos físicos en el Centro de Datos
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según evaluación
IMPLEMENTADA
Situación
encontrada
En el “Manual de Políticas de Seguridad”, se consigna en el punto 13 la
política denominada “PSI-010 POLÍTICA PARA LA CREACIÓN O
EL MEJORAMENTO DE ESPACIO FÍSICO EN LOS CENTROS DE
CÓMPUTO. Dicha política contempla en resumen los siguientes
aspectos relacionados con este objetivo de control, los cuales son:
o Selección y diseño del centro de datos
o Medidas de seguridad física
o Acceso físico (Bitácoras , Cámaras, Puertas de Acero)
o Protección contra factores ambientales. (Circuitos Eléctricos,
Aires Acondicionados redundantes y otros)
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
23
o Administración de instalaciones físicas
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.4.4 Seguridad en las Operaciones y Comunicaciones
Descripción de la norma técnica de la Contraloría General de la República
La organización debe implementar las medidas de seguridad relacionadas con la operación de los
recursos de TI y las comunicaciones, minimizar el riesgo de fallas y proteger la integridad del
software y de la información.
Para ello debe:
a. Implementar los mecanismos de control que permitan asegurar la no negación, la
autenticidad, la integridad y la confidencialidad de las transacciones y de la transferencia
o intercambio de información.
b. Establecer procedimientos para proteger la información almacenada en cualquier tipo de
medio fijo o removible (papel, cintas, discos, otros medios), incluso los relativos al
manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a software
“malicioso” o virus.
Objetivo del punto de control
Este punto de control tiene como objetivo salvaguardar la información contra uso no autorizado,
divulgación, modificación, daño o pérdida.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control
específico
DS 5 Garantizar la Seguridad
de los Sistemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Implementación de procedimientos administrativos de TI para mantener la integridad de la
información y de la infraestructura de procesamiento de datos para minimizar el impacto de
vulnerabilidades e incidentes de seguridad
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
24
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,
detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad
Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y
amenazas de seguridad
Implementación de procedimientos administración de identidades de cuentas de usuario y
autorizaciones de roles los usuarios de forma estandarizada en los sistemas de información
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según
evaluación
IMPLEMENTADA
Situación
encontrada
En el (“Manual de Políticas de Seguridad”) se regula lo relativo a la norma
“1.4.4. Seguridad en las operaciones y comunicaciones”; la cual contempla
los siguientes aspectos:
Definición y actualización de un plan de seguridad de T.I. con control de
cambios
Definición, e implementación de un proceso de administración de
identidad
Monitoreo de incidentes de seguridad, reales y potenciales
Revisión y validación por parte de los funcionarios de TI encargados de
la seguridad informática en el SFE en forma periódica de los privilegios
y derechos de acceso de los usuarios institucionales.
Implementación y actualización de controles técnicos y procedimientos
para proteger el flujo de información en la red por medio de software de
seguridad tales como los antivirus PANDA, END POINT
PROTECTION y TMG que operan en el SFE.
Controles de flujo de información por hardware como el ASA, para el
flujo de información de la red del SFE.
Lo anterior soportado por las siguientes políticas:
PSI-001 POLÍTICA PARA LA MANIPULACIÓN Y CAMBIO DE
CONTRASEÑAS PARA LOS USUARIOS FINALES.
PSI-002 POLÍTICA PARA LA GESTIÓN DE CONTRASEÑAS
SEGURAS PARA USO DE LAS APLICACIONES EN RED.
PSI- 003 POLÍTICA PARA LA ADMINISTRACIÓN Y CONTOL DE
EQUIPOS DE CÓMPUTO.
PSI-004 POLÍTICA PARA LA ADMINISTRACIÓN DE UN STOCK
DE REPUESTOS EQUIPO DE CÓMPUTO.
PSI-005 POLÍTICA GESTIÓN MANIPULACIÓN PASSWORD DE
ADMINISTRADOR ESTACIONES DE TRABAJO.
PSI-006 POLÍTICA DE REALIZACIÓN DE RESPALDOS PARA
APLICACIONES.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
25
PSI-007 POLÍTICA PARA LA NAVEGACIÓN EN INTERNET,
MEDIANTE EL SERVICIO BRINDADO POR EL SFE.
PSI-008 POLÍTICA PARA EL USO DE CORREO ELECTRÓNICO
INSTITUCIONAL.
PSI-009 POLÍTICA PARA LA CONFIDENCIALIDAD DE LA
INFORMACIÓN INSTITUCIONAL Y TRATO CON TERCEROS.
PSI-010 POLÍTICA PARA LA CREACIÓN O EL MEJORAMENTO
DE ESPACIO FÍSICO EN LOS CENTROS DE CÓMPUTO.
PSI-012 POLÍTICA PARA EL USO ADECUADO DE LA RED DE
DATOS INSTITUCIONAL.
PSI-014 POLÍTICA PARA EL USO DE QUEMADORES DE CD O
DVD.
PSI-015 POLÍTICA PARA EL USO DE DISQUETES, CD, DVD,
LLAVES MAYAS.
PSI-016 POLÍTICA DE INSTALACIÓN DE SOFTWARE.
PSI-0017 POLÍTICA DEL SOFTWARE PROPIEDAD DE LA
INSTITUCIÓN.
PSI-0018 POLÍTICA DE MANTENIMIENTO AL EQUIPO DE
CÓMPUTO.
PSI-0019 POLÍTICA DE CONTROL CONTRA CÓDIGO
MALICIOSO.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado; razón por la cual, no hay observaciones ni recomendaciones a realizar sobre este
ítem.
2.1.4.5 Control de Acceso
Descripción de la norma técnica de la Contraloría General de la República
La organización debe proteger la información de accesos no autorizados. Para dicho propósito
debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a
la información, al software de aplicación, a las bases de datos y a las terminales y otros
recursos de comunicación.
d. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con
términos de sensibilidad.
e. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
f. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y
para la identificación y autenticación para el acceso a la información, tanto para usuarios
como para recursos de TI.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
26
g. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con
las políticas de la organización bajo el principio de necesidad de saber o menor
privilegio. Los propietarios de la información son responsables de definir quiénes tienen
acceso a la información y con qué limitaciones o restricciones.
h. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan
los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la
requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de
autenticación, así como para su revisión y actualización periódica y atención de usos
irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o
almacenada en medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (COBIT)
Dominio Entregar y dar Soporte
Objetivo de control
específico
DS 5 Garantizar la Seguridad
de los Sistemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Implementación de procedimientos administrativos de TI para mantener la integridad de la
información y de la infraestructura de procesamiento de datos para minimizar el impacto de
vulnerabilidades e incidentes de seguridad
Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,
detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad
Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y
amenazas de seguridad
Implementación de procedimientos administración de identidades de cuentas de usuario y
autorizaciones de roles los usuarios de forma estandarizada en los sistemas de información
Resultado de la evaluación del objetivo de control del SFE:
Nivel de avance
según
IMPLEMENTADA
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
27
evaluación
Situación
encontrada
Por medio del “Manual de Políticas de Seguridad” y “Manual de
Procedimientos Final de TI 2012” el SFE reguló lo dispuesto en la norma
“1.4.4. Seguridad en las operaciones y comunicaciones”; la cual contempla
los siguientes aspectos:
Definición y actualización de un plan de seguridad de T.I. con control de
cambios
Definición, e implementación de un proceso de administración de
identidad
Monitoreo de incidentes de seguridad, reales y potenciales.
Revisión y validación por parte de los funcionarios de TI encargados de
la seguridad informática en el SFE en forma periódica de los privilegios y
derechos de acceso de los usuarios institucionales
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.4.6 Seguridad en la Implementación y Mantenimiento de Software e
Infraestructura Tecnológica
Descripción de la norma técnica de la Contraloría General de la República
La organización debe mantener la integridad de los procesos de implementación y
mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o
pérdida de información. Para ello debe:
a. Definir previamente los requerimientos de seguridad que deben ser considerados en la
implementación y mantenimiento de software e infraestructura.
b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en
producción del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de
desarrollo, mantenimiento y producción.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Objetivo del punto de control
Este proceso de control tiene como objetivos proporcionar funciones automatizadas que soporten
efectivamente al negocio y proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios.
Impacto de la norma en la gestión
de tecnología de información BAJO
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
28
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Adquirir e implementar
Objetivo de control
específico
AI 2 Adquirir y Mantener el
Software Aplicativo
AI 3 Adquirir y Mantener la
Infraestructura Tecnológica
Actividades que aconseja Cobit en la implementación de esta norma técnica:
AI 2 Adquirir y Mantener el Software Aplicativo
Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a
tiempo y a un costo razonable
Garantizar que exista un proceso de desarrollo oportuno y confiable
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para
desarrollo de software
Preparar el diseño detallado y los requerimientos técnicos del software de aplicación
Control y auditabilidad de las aplicaciones del SFE, asegurando que los controles del
negocio se traduzcan correctamente en controles de aplicación de manera que el
procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que
se consideran especialmente son: mecanismos de autorización, integridad de la
información, control de acceso, respaldo y diseño de pistas de auditoría.
Seguridad y disponibilidad de las aplicaciones
Configuración e implantación de software aplicativo adquirido
Actualizaciones importantes en sistemas existentes, en los cuales se debe seguir un
proceso de desarrollo similar al de desarrollo de sistemas nuevos, en el caso que se
presenten modificaciones importantes en los sistemas existentes que resulten en un
cambio significativo de los diseños y/o funcionalidad actuales. Los aspectos por
considerar incluyen análisis de impacto, justificación costo/beneficio y administración
de requerimientos
Desarrollo de software aplicativo que garantice que la funcionalidad de automatización,
se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo
y documentación y los requerimientos de calidad. Aprobar y autorizar cada etapa clave
del proceso de desarrollo de software aplicativo, dando seguimiento a la terminación
exitosa de revisiones de funcionalidad, desempeño y calidad
Aseguramiento de la calidad del Software del SFE con un procedimiento para
desarrollar, implantar recursos y ejecutar un plan de aseguramiento de calidad del
software, con el objetivo de obtener la calidad que se especifica en la definición de los
requerimientos y en las políticas y procedimientos de calidad del SFE. Los aspectos
por considerar en el plan de aseguramiento de calidad institucional incluyen especificar
el criterio de calidad y los procesos de validación y verificación, incluyendo inspección,
revisión de algoritmos y código fuente y pruebas
Administración de los requerimientos de las aplicaciones del SFE que garanticen que
durante el diseño, desarrollo e implantación, se da seguimiento al “status” de los
requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
29
modificaciones a los requerimientos se aprueban por medio de un proceso establecido
de administración de cambios
Mantenimiento del software aplicativo con el objetivo de desarrollar una estrategia y un
plan para el mantenimiento y liberación de aplicaciones de software en el SFE.
AI 3 Adquirir y Mantener la Infraestructura Tecnológica
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con
la arquitectura definida de TI y los estándares de tecnología
El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de
infraestructura tecnológica
La planeación de mantenimiento de la infraestructura
La implantación de medidas de control interno, seguridad y auditabilidad
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según
evaluación
IMPLEMENTADA
Situación
encontrada
Mediante los siguientes documentos se regularon los aspectos relacionados
con los requerimientos de seguridad, mantenimiento y puesta en producción
de sistema:
a. Estándares de Programación-2012.
b. Estándares de bases de datos-2012.
c. Metodología de Desarrollo y Mantenimiento de Sistemas.
d. TI-GES-MT-01 Metodología Administración de Proyectos TI-2011.
e. Informe MAG Fitosanitario de Contratación Directa 2011CD-000083-
1200 (IPL junio del 2011)-FINAL.
En los citados documentos y específicamente con relación a la norma “1.4.6.
Seguridad en la Implementación y Mantenimiento de Software e
Infraestructura Tecnológica”, se consideraron los siguientes aspectos:
Implementación de los requerimientos del negocio (SFE) en
especificaciones de diseño de alto nivel
Preparar el diseño detallado y los requerimientos técnicos del software
aplicativo
Especificar los controles de aplicación dentro del diseño
Personalizar e implementar la funcionalidad automatizada adquirida
Desarrollar las metodologías y procesos formales para administrar del
proceso de desarrollo de la aplicación
Control y auditabilidad de las aplicaciones
Seguridad y disponibilidad de las aplicaciones
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
30
Configuración e implantación de software aplicativo
Actualizaciones importantes en sistemas existentes
Desarrollo de software aplicativo
Aseguramiento de la Calidad del Software
Administración de los requerimientos de aplicaciones.
Mantenimiento de software aplicativo
Plan de adquisición de infraestructura tecnológica
Protección y disponibilidad del recurso de infraestructura
Mantenimiento de la infraestructura
Ambiente de prueba de factibilidad
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.4.7 Continuidad de los Servicios de T.I.
Descripción de la norma técnica de la Contraloría General de la República
La organización debe mantener una continuidad razonable de sus procesos y su interrupción no
debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y
poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias
con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de
los riesgos y la clasificación de sus recursos de TI, según su criticidad.
Objetivo del punto de control
Este punto de control tiene como objetivo mantener el servicio disponible de acuerdo con los
requerimientos y continuar su provisión en caso de interrupciones.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control
específico
DS 4 Garantizar la Continuidad
del Servicio
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Aseguramiento del mínimo impacto al SFE en caso de una interrupción de servicios de
TI
Desarrollo y mantenimiento de los planes de contingencia de TI
Pruebas de los planes de contingencia de TI
Resguardo de copias de los planes de contingencia y de los datos fuera de las
instalaciones de informática del SFE
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
31
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance
según evaluación
IMPLEMENTADA
Situación
encontrada
Se cuenta con el “Plan de Continuidad 2012”; el cual considera los
siguientes aspectos, orientados para dar continuidad en las operaciones de
TI del SFE:
Desarrollo de un marco de trabajo de continuidad de TI
Realización de un análisis de impacto de negocio y valoración de riesgo
en el Plan de Continuidad del SFE
Desarrollo y actualización de planes de continuidad de TI con control
de versiones
Identificación y categorización los recursos de TI con base en los
objetivos de recuperación
Definir y ejecutar procedimientos de control de cambios para asegurar
que el plan de continuidad sea vigente
Pruebas de regulares del plan de continuidad de TI
Desarrollo de un plan de acción a seguir con base en los resultados de
las pruebas en el SFE que están documentadas
Capacitación sobre los planes de continuidad de TI
Planeación de la recuperación y reanudación de los servicios de TI en el
SFE
Planeación e implementación de almacenamiento y la protección de
respaldos tanto internos en el SFE como externos (Sitio Alterno)
El 5 de setiembre del 2013, se realizó una visita de comprobación al sitio
alterno privado (situado en Saret, Alajuela). Los resultados obtenidos
fueron satisfactorios, porque el sitio es de clasificación TIAR-4 (la máxima
es TIAR 5).
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
32
2.1.5 Gestión de Proyectos
Descripción de la norma técnica de la Contraloría General de la República
La organización debe administrar sus proyectos de TI de manera que logre sus objetivos,
satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto óptimos
preestablecidos.
Objetivo del punto de control
Este punto de control tiene como objetivo establecer prioridades y entregar servicios
oportunamente y de acuerdo con el presupuesto de inversión.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (COBIT)
Dominio Planear y Organizar
Objetivo de Control
Específico
PO 10 Administrar Proyectos
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad
acordados
Programa y un enfoque de administración de proyectos definidos, el cual se aplica a
todos los proyectos de TI, lo cual facilita la participación de los interesados y el
monitoreo de los riesgos y los avances de los proyectos
Definición e implantación de marcos y enfoques de programas y de proyectos.
Emisión de directrices administrativas para proyectos
Planeación para todos los proyectos incluidos en el portafolio de proyectos
Resultado de la evaluación del objetivo de control en el SFE:
Nivel de
avance según
evaluación
IMPLEMENTADA
Situación
encontrada
Se cuenta con una metodología de administración de proyectos denominada
“TI-GES-MT-01 Metodología Administración de Proyectos TI-2011”; la cual
considera los siguientes aspectos:
Definir un marco de administración de programas/portafolio para
inversiones en T.I.
Establecer y mantener un marco de trabajo para la administración de
proyecto de T.I.
Establecer y mantener un sistema de monitoreo, medición y administración
de sistemas
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
33
Elaborar estatutos, calendarios, planes de calidad, presupuestos y planes de
comunicación y administración de riesgos
Asegurar la participación y compromiso de los interesados del proyecto
Asegurar el control efectivo de los proyectos y de los cambios a proyectos
Definir e implementar métodos de aseguramiento y revisión de proyectos
Recursos del proyecto
Medición del desempeño, reportes y monitoreo del proyecto
Cierre del proyecto
Adicionalmente, existen otros documentos de soporte para los proyectos como
lo es el denominado “Justificación de Requerimientos de Hardware y Software
2013” preparado por la Unidad de TI y la Comisión de Informática del SFE.
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.6 Decisiones sobre Asuntos Estratégicos de TI
Descripción de la norma técnica de la Contraloría General de la República
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría de una
representación razonable de la organización que coadyuve a mantener la concordancia con la
estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio
en la asignación de recursos y a la adecuada atención de los requerimientos de todas las unidades
de la organización.
Objetivo del punto de control
Este punto de control tiene como objetivo la prestación de servicios de T.I. eficientemente.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO 4 Definir Procesos,
Organización y Relaciones de
TI
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
34
Actividades que aconseja COBIT en la implementación de esta norma técnica:
Implementación de un marco de trabajo para los procesos de TI en el SFE con el objetivo de
ejecutar el “Plan Estratégico de TI” de la institución, el cual debe estar alineado con los
objetivos del “Plan Estratégico Institucional”
Establecimiento de un Comité Estratégico de TI a nivel de consejo directivo, con el objetivo
de asesorar la dirección estratégica y, a su vez, revisar las inversiones por realizar en
tecnologías de información para lograr un equilibrio en la asignación de recursos y a la
adecuada atención de los requerimientos de todas las unidades de la organización
Establecer una estructura organizacional de TI interna y externa que refleje las
necesidades del negocio
Implementación de procedimientos para definir y comunicar los roles y las
responsabilidades para todo el personal en la organización con respecto a los sistemas
de información para permitir que se ejerzan los roles y responsabilidades asignados con
suficiente autoridad
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
IMPLEMENTADA
Situación
encontrada
Ubicación organizacional de la función de TI y la estructura organizacional
Funciones y responsabilidades en calidad, riesgo, seguridad y
cumplimiento
Propiedad de datos y de sistemas.
Supervisión y relaciones externas
Personal y personal clave de TI: segregación de funciones
Políticas y procedimientos para personal contratado
Establecimiento de la estructura organizacional de TI, incluyendo comités
y ligas a los interesados y proveedores
Implementación y diseño de un marco de trabajo para el proceso de TI
Identificar de presupuestos de hardware y software con su justificación
para el período 2012-2013
Lo anterior está respaldado en el desempeño de la Comisión de Informática en
el SFE y en los siguientes documentos:
1. PAO TI 2013
2. Plan EstratégicoTI-2010-2021 aprobado por PCCI
3. Justificación de Requerimientos de Hardware y Software 2013
4. Manual de funciones Personal de TI
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
35
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.1.6 Cumplimiento de Obligaciones Relacionadas con la Gestión de TI
Descripción de la norma técnica de la Contraloría General de la República
La organización debe identificar y velar por el cumplimiento del marco jurídico que tiene
influencia sobre la gestión de TI con el propósito de evitar posibles conflictos legales que
pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.
Objetivo del punto de control
Establecimiento de un proceso independiente de revisión para garantizar el cumplimiento
de las leyes y regulaciones. Este proceso incluye la definición de un estatuto de auditoría,
independencia delos auditores, ética y estándares profesionales, planeación, desempeño del
trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de
este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de
las leyes y regulaciones.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Monitorear y Evaluar
Objetivo de control
específico
ME 3 Garantizar Cumplimiento
Regulatorio
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Definir y ejecutar un proceso para identificar requerimientos legales, contractuales de
políticas y regulatorios
Evaluar cumplimiento de actividades de TI con políticas, estándares y procedimientos de TI
Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las políticas,
planes y procedimientos de TI
Brindar realimentación para alinear las políticas, estándares y procedimientos de TI con los
requerimientos de cumplimiento
Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de
otras funciones del negocio
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación en el SFE IMPLEMENTADO
Se han implementados acciones tendentes a;
Identificar las leyes y regulaciones con impacto
potencial sobre TI
Optimizar la respuesta a requerimientos regulatorios
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
36
Situación encontrada Evaluar el cumplimiento de los requerimientos
regulatorios
Aseguramiento positivo del cumplimiento
Instaurar reportes integrados
Lo anterior, según la siguiente información suministrada
por TI:
a. Procedimientos para todas las áreas
b. Estándares de programación, bases de datos
c. Metodologías de desarrollo
d. SLAs para Contrataciones
e. Políticas de Seguridad en TI
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.2 PLANIFICACIÓN Y ORGANIZACIÓN
2.2.1 Planificación de las Tecnologías de Información
Descripción de la norma técnica de la Contraloría General de la República
La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su
capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y
emergentes.
Objetivo del punto de control
Este punto de control tiene como objetivo lograr un balance óptimo entre las oportunidades de
tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros
futuros.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO 1 Definir el Plan Estratégico
de TI
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
37
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Definición de un plan estratégico de TI para sostener o extender los requerimientos de
gobierno de TI y de la estrategia de la entidad para satisfacer en forma adecuada el
otorgamiento de servicios digitales de una forma transparente y rentable para la entidad.
Alineación de TI con los objetivos del plan estratégico institucional del SFE.
Evaluar el desempeño de los planes existentes y de los sistemas de información en
términos de su contribución a los objetivos de negocio, su funcionalidad, su estabilidad,
su complejidad, sus costos, sus fortalezas y debilidades.
Crear un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI.
Estos planes tácticos describen las iniciativas y los requerimientos de recursos
requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán
monitoreados y administrados.
Administrar de forma activa, junto con el negocio, el portafolio de programas de
inversión de TI requerido para lograr objetivos de negocio estratégicos y específicos por
medio de la identificación, definición, evaluación, asignación de prioridades, selección,
inicio, administración y control de los programas.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
IMPLEMENTADA
Situación
encontrada
El SFE ha implementado las siguientes actividades de control:
Administración del valor de TI
Alineación de TI con el negocio
Evaluación del desempeño actual
Planes tácticos de TI
Administración del portafolio de TI
Lo anterior soportado por los siguientes documentos:
1. MANUAL DE PROCEDIMIENTOS FINAL-TI2012-completo
2. Plan EstratégicoTI-2010-2021 aprobado por PCCI-2
3. Circular-Documento de la Dirección Ejecutiva del SFE, oficio número
DSFE-625-2013, fechado el 20 de setiembre del 2013
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
38
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.2.2 Modelo de Arquitectura de Información
Descripción de la norma técnica de la Contraloría General de la República
La organización debe optimizar la integración, uso y estandarización de sus sistemas de
información de manera que se identifique, capture y comunique, en forma completa, exacta y
oportuna, solo la información que sus procesos requieren.
Objetivo del punto de control
Este punto de control tiene como objetivo satisfacer los requerimientos de negocio, organizando
de la mejor manera posible los sistemas de información, por medio de la creación y
mantenimiento de un modelo de información de negocio, asegurándose que se definan los
sistemas apropiados para optimizar la utilización de la información.
Impacto de la norma en la gestión de
tecnología de información MEDIO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO 2 Definir la
Arquitectura de la Información
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Establecer y mantener un modelo de información empresarial que facilite el desarrollo
de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los
planes de TI
Mantener un diccionario de datos que incluya las reglas de sintaxis de datos de la
organización
Implementación de un esquema de clasificación de datos dirimiendo cual información
es pública y cual no se puede divulgar debido a su carácter confidencial
Definir e implantar procedimientos para garantizar la integridad y consistencia de todos
los datos almacenados en formato electrónico, tales como bases de datos, almacenes de
datos y archivos
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
AVANZADA
El SFE implementó acciones que le han permitido en términos generales
cumplir con los siguientes objetivos de control:
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
39
Situación
encontrada
Modelo de arquitectura de información institucional.
Diccionario de datos institucional del SFE y reglas de sintaxis de
datos.
Esquema de clasificación de datos.
Administración de la integridad.
Creación y mantenimiento de modelos de información del SFE.
Creación y mantenimiento de diccionario de datos en los diferentes sistemas
del SFE.
Lo anterior soportado en el documento denominado “Estándares de bases de
datos-2012”.
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
gestionado por la administración; no obstante, las acciones emprendidas no permiten visualizar en
forma integral el “Modelo de arquitectura de información institucional”.
Recomendación:
Adoptar las medidas que le permitan contar con un “Modelo de arquitectura de información
institucional” (mejora continua); a efecto de fortalecer el sistema de control interno de TI. En ese
sentido y como parte del proceso de mejora continua, el SFE debería (mejorar lo implementado y
adicionando lo que corresponda):
Implementación de un diccionario de datos
Definición de lenguaje o lenguajes de programación a utilizar en el SFE
Definición de base de datos a utilizar en el SFE
Establecimiento de reglas de sintaxis
Establecimiento de un modelo de entidad relación
Definición de un esquema de clasificación de los datos
Documentación del contexto en que se desarrolla toda la organización, de una manera
comprensible para la institución y la gestión de TI. (flujos de procesos)
Consistencia del modelo de arquitectura de la información con respecto a la estrategia
de la organización y sus planes tácticos
Comprobación del modelo de arquitectura de la información en forma periódica para
verificar su adecuación con respecto a la flexibilidad, funcionalidad, rentabilidad,
seguridad, el cumplimiento y satisfacción del usuario
Análisis de la posibilidad de estandarizar la arquitectura de la información del SFE y, en
caso contrario, detallar claramente las excepciones
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
40
2.2.3 Infraestructura Tecnológica
Descripción de la norma técnica de la Contraloría General de la República
La organización debe tener una perspectiva clara de su dirección y condiciones en materia
tecnológica, así como la tendencia de las TI para que conforme a ello, optimice el uso de su
infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y
la dinámica y evolución de las TI.
Objetivo del punto de control
Este punto de control tiene como objetivo aprovechar al máximo la tecnología disponible o
tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y
mantenimiento de un plan de infraestructura tecnológica.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
PO 3 Definir la Dirección
Tecnológica
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es
apropiado tomar para materializar la estrategia de TI y la arquitectura de sistemas del
negocio
Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los
planes estratégicos y tácticos de TI
Resultado de la evaluación del objetivo de control COBIT implementado en el SFE:
Nivel de avance
según
evaluación
IMPLEMENTADA
Situación
encontrada
Mediante el documento “Plan de Administración de la capacidad y
Desempeño de la Plataforma Tecnológica”, se regularon los siguientes
objetivos de control:
Rendimiento y utilización actual de los servidores que componen
la plataforma de TI
Rendimiento y utilización actual de dispositivos de
Almacenamiento que componen la plataforma de TI
Rendimiento y utilización actual de los equipos de
Telecomunicaciones que componen la plataforma de TI
Usuarios y Equipos dentro del dominio Intranet.protecnet.go.cr
Evaluación y Motivos de la Interrupción de Servicios
Tiempos de Respuesta Ante Fallos
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
41
Aspectos Generales de la Administración
Observaciones Finales
Adicionalmente, se encuentran implementados como soporte a la
infraestructura tecnológica del SFE, los siguientes procedimientos de
control de TI:
Planeación de la dirección tecnológica
Plan de infraestructura tecnológica
Monitoreo de tendencias y regulaciones futuras
Estándares tecnológicos
Consejo de arquitectura, por medio de un Comité de TI del SFE
Implementación y Mantenimiento de un plan de infraestructura
tecnológica en el SFE
Implementación y creación de estándares tecnológicos en el SFE
Monitoreo y evaluación de la evolución tecnológica en el SFE
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.2.4 Independencia de Recursos Humanos de la Función de T.I.
Descripción de la norma técnica de la Contraloría General de la República
El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que
ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y
como externas. Además, debe brindar el apoyo necesario para que dicha Función de TI cuente
con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de
manera clara y formal, su responsabilidad, autoridad y funciones.
Objetivo del punto de control
Este punto de control tiene como objetivos la prestación de servicios de TI y maximizar las
contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio,
por medio de técnicas sólidas para administración de personal.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Planear y Organizar
Objetivo de control
específico
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
42
PO 4, Definir Procesos,
Organización y Relaciones de
TI,
PO 7 Administrar Recursos
humanos de TI
Actividades que aconseja Cobit en la implementación de esta norma técnica:
PO 4. Definir Procesos, Organización y Relaciones de TI
Implementación de un marco de trabajo para los procesos de TI con el objetivo de ejecutar el
“Plan Estratégico de TI” de la entidad, el cual debe estar alineado con los objetivos del “Plan
Estratégico Institucional”
Establecimiento de un Comité Estratégico de TI a nivel de consejo directivo, con el objetivo
de asesorar la dirección estratégica y a su vez revisar las inversiones por realizar en
tecnologías de información para lograr un equilibrio en la asignación de recursos y a la
adecuada atención de los requerimientos de todas las unidades de la organización
Establecer una estructura organizacional de TI interna y externa que refleje las
necesidades del negocio
Implementación de procedimientos para definir y comunicar los roles y las
responsabilidades para todo el personal en la organización con respecto a los sistemas
de información para permitir que se ejerzan las funciones y responsabilidades asignados
con suficiente autoridad
PO 7 Administrar Recursos humanos de TI
Implementación de procesos de reclutamiento y retención de personal que estén de acuerdo a
las políticas y procedimientos generales del personal de la organización
Verificación de competencias del personal de tal forma que se sustente que el mismo tenga
las habilidades para cumplir sus roles con base en su educación, entrenamiento y/o
experiencia, a su vez, definir los requerimientos esenciales de habilidades para TI y
verificar que se les dé mantenimiento, usando programas de calificación y certificación,
según sea el caso
Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades
y compensación del personal, incluyendo el requisito de adherirse a las políticas y
procedimientos administrativos, así como al código de ética y prácticas profesionales.
Los términos y condiciones de empleo deben enfatizar la responsabilidad del
funcionario con respecto a la seguridad de la información, al control interno y al
cumplimiento regulatorio. El nivel de supervisión debe estar de acuerdo con la
sensibilidad del puesto y el grado de las responsabilidades asignadas en la entidad
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
43
En lo que respecta al personal de TI, se debe proporcionar a los funcionarios de TI la
orientación necesaria al momento de la contratación y entrenamiento continuo para
conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre
la seguridad, al nivel requerido para alcanzar las metas organizacionales
Realización de evaluaciones de desempeño periódicas las cuales tengan indicadores de
estándares de desempeño de acuerdo a las responsabilidades específicas del puesto
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
Implementado
Situación
encontrada
En el documento “Manual de Funciones de Tecnologías de Información”,
se encuentran definidas las funciones de los funcionarios de tecnologías de
información pertenecientes a la Unidad de TI. Dicho Manual se conforma de
los siguientes apartados:
1. Introducción
2. Objetivo Manual Funciones
3. Alcance
4. Abreviaturas
5. Organigrama
6. Funciones Jefatura
7. Funciones Analistas
8. Funciones Encargado Telecomunicaciones y Redes
9. Funciones Soporte Técnico
10. Funciones DBA
Adicionalmente, se encuentran implementados como soporte a la
independencia del recurso humano para los funcionarios del SFE,
pertenecientes a la Unidad de TI, los siguientes procedimientos de control:
Ubicación organizacional de la función de TI y estructura organizacional
Funciones y responsabilidades en calidad, riesgo, seguridad y cumplimiento
Propiedad de datos y de sistemas
Supervisión y relaciones externas
Personal y personal clave de TI: segregación de funciones
Políticas y procedimientos para personal contratado
Competencias del personal
Asignación de funciones
Entrenamiento del personal de TI
Dependencia sobre los individuos
Procedimientos de Investigación del personal con participación del
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
44
Servicio Civil
Evaluación del desempeño del empleado
Cambios y terminación de trabajo internos del SFE
Cumplimiento de los establecido en el “Reglamento de la Estructura
Organizativa del Servicio Fitosanitario del Estado No. 36 801-MAG”, según lo
indicado en la sección II, página 11, punto número 4 con incisos desde el “ a)
hasta inciso o)”.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.2.5 Administración de Recursos Financieros
Descripción de la norma técnica de la Contraloría General de la República
La organización debe optimizar el uso de los recursos financieros “invertidos” en la gestión de
TI, procurando el logro de los objetivos de esa inversión, controlando en forma efectiva dichos
recursos y observando el marco jurídico que al efecto le resulte aplicable.
Objetivo del punto de control
Este proceso tiene como objetivo la satisfacción de los requerimientos de negocio, asegurando el
financiamiento y el control de desembolsos de recursos financieros.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio
Objetivo de control
específico
PO 5 Administrar las
Inversiones en TI
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Establecimiento de un marco de trabajo financiero para TI que impulse el presupuesto y el
análisis de rentabilidad, con base en los portafolios de inversión, servicios y activos
Implementación de un proceso de toma de decisiones para dar prioridades a la asignación de
recursos a TI para operaciones, proyectos y mantenimiento, para maximizar la contribución
de TI a optimizar el retorno del portafolio de programas de inversión en TI y otros servicios y
activos de TI en la entidad
Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades
establecidas en el portafolio empresarial de programas de inversión en TI, incluyendo los
costos recurrentes de operar y mantener la infraestructura actual
Implementación de procedimientos de administración de costos que comparen los costos
reales con los presupuestados.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
45
Implementación de procedimientos de monitoreo de beneficio cuyos informes deben ser
soporte de decisiones administrativas de costo-beneficio
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según
evaluación en el SFE
IMPLEMENTADA
Situación encontrada
Marco de trabajo para la administración financiera
Prioridades dentro del presupuesto de TI
Proceso presupuestal
Administración de costos de TI
Administración de beneficios
Mantenimiento al portafolio de programas de inversión
Mantenimiento al portafolio de proyectos y servicios
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.3 IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN
2.3.1 Consideraciones Generales de la Implementación de T.I.
Descripción de la norma técnica de la Contraloría General de la República
La organización debe implementar y mantener las TI requeridas en concordancia con su marco
estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica:
a) Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de
implementación o mantenimiento de TI.
b) Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de
las áreas usuarias.
c) Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener
una asignación clara de responsabilidades y aprobar formalmente las implementaciones
realizadas.
d) Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su
autoridad y responsabilidad.
e) Analizar opciones de solución de acuerdo con criterios técnicos, económicos, operativos
y jurídicos, y lineamientos previamente establecidos.
f) Contar con una definición clara, completa y oportuna de los requerimientos, como parte
de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto
de costo-beneficio.
g) Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
46
económicos, técnicos y humanos requeridos.
h) Formular y ejecutar estrategias de implementación que incluyan todas las medidas para
minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los
requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.
i) Promover su independencia de proveedores de hardware, software, instalaciones y
servicios.
Objetivo del punto de control
Este punto de control tiene como objetivo proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Adquirir e Implementar
Objetivo de control
específico
AI 3 Adquirir y Mantener la
Infraestructura Tecnológica
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que
satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones
futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la
inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la
viabilidad comercial del proveedor y el producto al añadir una nueva capacidad técnica
Implantar medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para proteger
los recursos y garantizar su disponibilidad e integridad
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se
controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la
organización
Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las
pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases
del proceso de adquisición y desarrollo
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según
evaluación en el SFE
IMPLEMENTADA
Situación encontrada
El SFE ha gestionado la implementación de los siguientes aspectos:
AI3.1 Plan de adquisición de infraestructura tecnológica
AI3.2 Protección y disponibilidad del recurso de infraestructura
AI3.3 Mantenimiento de la Infraestructura
AI3.4 Ambiente de prueba de factibilidad
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
47
Lo anterior soportado por los documentos:
1. Justificación de Requerimientos de Hardware y Software,
SFE 2013
2. Manual de Políticas de Seguridad 2012
3. Plan de Continuidad 2012
Adicionalmente, se consideraron los siguientes controles funcionales:
Definición del procedimiento / proceso de adquisición en el SFE
Definición de estrategias y planeación para el mantenimiento de
infraestructura tecnológica actual del SFE
Configuración de componentes de la infraestructura de TI, para
suministrar los servicios informáticos en forma adecuada en el
SFE
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.3.2 Implementación de Software
Descripción de la norma técnica de la Contraloría General de la República
La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y
soporte efectivamente sus procesos, para lo cual debe:
a) Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y
considere la definición de requerimientos, los estudios de factibilidad, la elaboración de
diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de
datos y la puesta en producción, así como también la evaluación post-implantación de la
satisfacción de los requerimientos.
b) Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso
al personal a cargo de las labores de implementación y mantenimiento de software.
c) Controlar la implementación del software en el ambiente de producción y garantizar la
integridad de datos y programas en los procesos de conversión y migración.
d) Definir los criterios para determinar la procedencia de cambios y accesos de emergencia
al software y datos, y los procedimientos de autorización, registro, supervisión y
evaluación técnica, operativa y administrativa de los resultados de esos cambios y
accesos.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
48
e) Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.
Objetivo del punto de control
Este punto de control tiene como objetivo proporcionar funciones automatizadas que soporten
efectivamente al negocio.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Adquirir e Implementar
Objetivo de control
específico
AI 2 Adquirir y Mantener el
Software Aplicativo
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a
tiempo y a un costo razonable.
Garantizar que exista un proceso de desarrollo oportuno y confiable.
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para
desarrollo de software.
Preparar el diseño detallado y los requerimientos técnicos del software de aplicación
Control y auditabilidad de las aplicaciones del SFE, asegurando que los controles del
negocio se traduzcan correctamente en controles de aplicación de manera que el
procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que
se consideran especialmente son: mecanismos de autorización, integridad de la
información, control de acceso, respaldo y diseño de pistas de auditoría.
Seguridad y disponibilidad de las aplicaciones
Configuración e implantación de software aplicativo adquirido.
Actualizaciones importantes en sistemas existentes en el cual se debe seguir un proceso
de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten
modificaciones importantes en los sistemas existentes, que resulten en un cambio
significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar
incluyen análisis de impacto, justificación costo/beneficio y administración de
requerimientos
Desarrollo de software aplicativo que garantice que la funcionalidad de automatización
se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo
y documentación y los requerimientos de calidad. Aprobar y autorizar cada etapa clave
del proceso de desarrollo de software aplicativo, dando seguimiento a la terminación
exitosa de revisiones de funcionalidad, desempeño y calidad
Aseguramiento de la calidad del Software del SFE con un procedimiento para
desarrollar, implantar recursos y ejecutar un plan de aseguramiento de calidad del
software, con el objetivo de obtener la calidad que se especifica en la definición de los
requerimientos y en las políticas y procedimientos de calidad del SFE. Los aspectos a
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
49
considerar en el plan de aseguramiento de calidad Institucional incluyen especificar el
criterio de calidad y los procesos de validación y verificación, incluyendo inspección,
revisión de algoritmos y código fuente y pruebas
Administración de los requerimientos de las aplicaciones del SFE que garanticen que
durante el diseño, desarrollo e implantación, se da seguimiento al estatus de los
requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las
modificaciones a los requerimientos se aprueban a través de un proceso establecido de
administración de cambios
Mantenimiento del software aplicativo con el objetivo de desarrollar una estrategia y un
plan para el mantenimiento y liberación de aplicaciones de software en el SFE
Resultado de la evaluación del objetivo de control COBIT implementado en el SFE:
Nivel de avance según
evaluación
IMPLEMENTADA
Situación encontrada
Implementación de los requerimientos del SFE en
especificaciones de diseño de alto nivel
Diseño detallado y los requerimientos técnicos del software
aplicativo actual del SFE
Especificar de los controles de aplicación dentro del diseño de
los sistemas del SFE
Implementación de las metodologías y procesos formales para
administrar el proceso de desarrollo de la aplicación
Implementación de un plan de aseguramiento de calidad del
software para los proyectos de TI del SFE
Seguimiento y administración de los requerimientos de la
aplicación del SFE
Implementación de plan para el mantenimiento de aplicaciones
de software del SFE
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
50
2.3.3 Implementación de Infraestructura Tecnológica
Descripción de la norma técnica de la Contraloría General de la República
La organización debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el
software de conformidad con los modelos de arquitectura de información e infraestructura
tecnológica y demás criterios establecidos. Como parte de ello debe considerar lo que resulte
aplicable de la Norma 3.1 anterior y los ajustes necesarios a la infraestructura actual (referencia:
numeral 2.3.1 del presente informe)
Objetivo del punto de control
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la
arquitectura definida de TI y los estándares de tecnología.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Adquirir e Implementar
Objetivo de control
específico
AI 3 Adquirir y Mantener
la Infraestructura
Tecnológica
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que
satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones
futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la
inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la
viabilidad comercial del proveedor y el producto al añadir una nueva capacidad técnica
Implantar medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para proteger
los recursos y garantizar su disponibilidad e integridad
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se
controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la
organización
Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las
pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases
del proceso de adquisición y desarrollo
Resultado de la evaluación del objetivo de control COBIT implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Plan de adquisición de infraestructura
tecnológica.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
51
Situación encontrada Protección y disponibilidad del recurso de
infraestructura.
Mantenimiento de la infraestructura.
Ambiente de prueba de factibilidad.
Implementación de procedimiento / proceso de
adquisición
Implementación de análisis de mercado para
negociar la compra y adquirir la infraestructura
requerida con proveedores aprobados por
Proveeduría y la Unidad de TI.
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar.
2.3.4 Contratación de Terceros para la Implementación y Mantenimiento de
Software e Infraestructura
Descripción de la norma técnica de la Contraloría General de la República
La organización debe obtener satisfactoriamente el objeto contratado a terceros en procesos de
implementación o mantenimiento de software e infraestructura. Para lo anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2, y 3.3 anteriores (referencia:
numerales 2.3.1, 2.3.2 y 2.3.3 del presente informe).
b. Establecer una política relativa a la contratación de productos de software e
infraestructura.
c. Contar con la debida justificación para contratar a terceros la implementación y
mantenimiento de software e infraestructura tecnológica.
d. Establecer un procedimiento o guía para la definición de los “términos de referencia” que
incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, así como
para la evaluación de ofertas.
e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto de pruebas
de aceptación de lo contratado, sean instalaciones, hardware o software.
f. Implementar un proceso de transferencia tecnológica que minimice la dependencia de la
organización respecto de terceros contratados para la implementación y mantenimiento de
software e infraestructura tecnológica.
Objetivo del punto de control
Este punto de control tiene como objetivo asegurar que las tareas y responsabilidades de las
terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los
requerimientos.
Impacto de la norma en la gestión
BAJO
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
52
de tecnología de información
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control
específico
DS 2 Administrar Servicios de
Terceros
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de
proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones
técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas,
entregables esperados (productos de TI) y credenciales de los representantes de estos
proveedores
DS2.2 Administración de las relaciones con los proveedores
Formalizar el proceso de administración de relaciones con proveedores por cada proveedor.
Los responsables de las relaciones deben coordinar a los proveedores y los clientes y
asegurar la calidad de las relaciones con base en la confianza y la transparencia (por
ejemplo, a través de acuerdos de niveles de servicio).
DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para
mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de
continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del
negocio de conformidad con los requerimientos legales y regulatorios. La administración
del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de
garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de
seguridad, proveedores alternativos, penalizaciones e incentivos, etc.
DS2.4 Monitoreo del desempeño del proveedor
Establecer un proceso para monitorear la prestación del servicio para asegurar que el
proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de
manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que
el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del
mercado.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Identificación y categorización las relaciones
de los servicios de terceros con el SFE
Implementación y documentación de los
procesos de administración del proveedor, más
términos de referencia establecidos por la
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
53
Situación encontrada
Proveeduría del SFE
Implementación de políticas y procedimientos
de evaluación y suspensión de proveedores
por parte de la Unidad de TI, en caso de
incumplimiento de contratos
Implementación de procedimiento para
identificar, valorar y mitigar los riesgos del
proveedor
Implementación de procedimiento para
identificar, valorar y mitigar los riesgos del
proveedor
Monitoreo por parte de la Unidad de TI del
SFE, en la prestación del servicio del
proveedor
Evaluación por parte de la Unidad de TI del
SFE, para el cumplimiento de las metas de
largo plazo en la relación para todos los
interesados
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.4 PRESTACIÓN DE SERVICIOS Y MANTENIMIENTO
2.4.1 Definición y Administración de Acuerdos de Servicio
Descripción de la norma técnica de la Contraloría General de la República
La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los
prestados por la función de TI, según sus capacidades. El jerarca y la Función de TI deben acordar
los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar
como un criterio de evaluación del desempeño. Para ello deben:
a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad,
autenticidad, integridad y disponibilidad.
b. Contar con una determinación clara y completa de los servicios y sus atributos, y analizar
su costo y beneficio.
c. Definir con claridad las responsabilidades de las partes y su sujeción a las condiciones
establecidas.
d. Establecer los procedimientos para la formalización de los acuerdos y la incorporación de
cambios en ellos.
e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
54
f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con terceros.
Objetivo del punto de control
Este punto de control tiene como objetivo establecer una comprensión común del nivel de
servicio requerido.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control
específico
DS 1 Definir y Administrar
Niveles de Servicio
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS1.1 Marco de trabajo de la administración de los niveles de servicio
Definir un marco de trabajo que brinde un proceso formal de administración de niveles de
servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación
continua con los requerimientos y las prioridades de negocio y facilita el entendimiento común
entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la
creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio
(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos
están organizados en un catálogo de servicios. El marco de trabajo define la estructura
organizacional para la administración del nivel de servicio, incluyendo las funciones, tareas y
responsabilidades de los proveedores externos e internos y de los clientes.
DS1.2 Definición de servicios
Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos
de negocio, organizados y almacenados de manera centralizada por medio de la implantación de
un enfoque de catálogo/portafolio de servicios.
DS1.3 Acuerdos de niveles de servicio
Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base
en los requerimientos del cliente y las capacidades en TI. Esto incluye los compromisos del
cliente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la
medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y
de financiamiento, y las funciones y responsabilidades, incluyendo la revisión del SLA. Los
puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento,
niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda.
DS1.4 Acuerdos de niveles de operación
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
55
Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados
técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican
los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs.
DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio
Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los
reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea
entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar
tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.
DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos
Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio
y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han
tomado en cuenta los cambios en requerimientos.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de
avance según
evaluación
IMPLEMENTADA
Situación
encontrada
Implementación de un marco de trabajo para los servicios de TI
Implementación de un catálogo de servicios de TI
Implementación de los convenios de niveles de servicio
Implementación de los convenios en los niveles de operación
Implementación de monitoreo y evaluación del desempeño
Implementación de un plan de mejora del servicio
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
56
2.4.2 Administración y Operación de la Plataforma Tecnológica
Descripción de la norma técnica de la Contraloría General de la República
La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su
riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados con la
operación de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la
plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas.
c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su
satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos, tomando
en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias
tecnológicas.
d. Controlar la composición y cambios de la plataforma y mantener un registro actualizado
de sus componentes (hardware y software), custodiar adecuadamente las licencias de
software y realizar verificaciones físicas periódicas.
e. Controlar la ejecución de los trabajos mediante su programación, supervisión y registro.
f. Mantener separados y controlados los ambientes de desarrollo y producción.
g. Brindar el soporte requerido a los equipos principales y periféricos.
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en
ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de
control para los procesos de restauración.
i. Controlar los servicios e instalaciones externos.
Objetivo del punto de control
Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso
de ella para alcanzar el desempeño deseado.
Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar
la existencia física y proporcionar una base para el sano manejo de cambios.
Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo
regularmente y de una manera ordenada.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar soporte
Objetivo de
Control Específico
DS 3 Administrar Desempeño y
Capacidad,
DS 9 Administrar la
Configuración
DS 13 Administrar las operaciones
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
57
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS 3 Administrar Desempeño y Capacidad.
DS3.1 Planeación del desempeño y la capacidad
Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los
recursos de TI, para asegurar la disponibilidad de la capacidad y del desempeño, con costos
justificables, para procesar las cargas de trabajo acordadas tal como se determina en los
SLAs. Los planes de capacidad y desempeño deben hacer uso de técnicas de modelado
apropiadas para producir un modelo de desempeño, de capacidad y de rendimiento de los
recursos de TI, tanto actual como pronosticado.
DS3.2 Capacidad y desempeño actual
Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para
determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en
los niveles de servicio acordados.
DS3.3 Capacidad y desempeño futuros Llevar a cabo un pronóstico de desempeño y
capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de
interrupciones del servicio originadas por falta de capacidad o degradación del desempeño.
Identificar también el exceso de capacidad para una posible redistribución. Identificar las
tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los
planes de capacidad y de desempeño.
DS3.4 Disponibilidad de recursos de TI
Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de
trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los
recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el
nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y
prácticas de asignación de recursos. La gerencia debe garantizar que los planes de
contingencia consideran de forma apropiada la disponibilidad, capacidad y desempeño de
los recursos individuales de TI.
DS3.5 Monitoreo y reporte
Monitorear continuamente el desempeño y la capacidad de los recursos de TI. La
información reunida sirve para dos propósitos:
Mantener y poner a punto el desempeño actual dentro de TI y atender temas como
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
58
resiliencia (capacidad humana de asumir con flexibilidad situaciones límite y
sobreponerse a ellas), contingencia, cargas de trabajo actuales y proyectadas, planes de
almacenamiento y adquisición de recursos.
Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere
en los SLAs. Acompañar todos los reportes de excepción con recomendaciones para
llevar a cabo acciones correctivas.
DS 9 Administrar la Configuración
DS9.1 Repositorio de configuración y línea base
Establecer un repositorio central que contenga toda la información referente a los elementos
de configuración. Este repositorio incluye hardware, software aplicativo, midleware,
parámetros, documentación, procedimientos y herramientas para operar, acceder y utilizar
los sistemas y los servicios. La información importante por considerar es el nombre,
números de versión y detalles de licenciamiento. Una línea base de elementos de
configuración debe mantenerse para cada sistema y servicio, como un punto de control al
cual regresar después de realizar cambios.
DS9.2 Identificación y mantenimiento de elementos de configuración
Contar con procedimientos en orden para: • Identificar elementos de configuración y sus
atributos • Registrar elementos de configuración nuevos, modificados y eliminados •
Identificar y mantener las relaciones entre los elementos de configuración y el repositorio
de configuraciones. • Actualizar los elementos de configuración existentes en el repositorio
de configuraciones. • Prevenir la inclusión de software no-autorizado Estos procedimientos
deben brindar una adecuada autorización y registro de todas las acciones sobre el
repositorio de configuración y estar integrados de forma apropiada con los procedimientos
de administración de cambios y administración de problemas.
DS9.3 Revisión de integridad de la configuración
Revisar y verificar de manera regular, utilizando cuando sea necesario herramientas
apropiadas, el “status” de los elementos de configuración para confirmar la integridad de la
configuración de datos actual e histórica y para comparar con la situación actual. Revisar
periódicamente contra la política de uso de software, la existencia de cualquier software
personal o no autorizado de cualquier instancia de software por encima de los acuerdos de
licenciamiento actuales. Los errores y las desviaciones deben reportarse, atenderse y
corregirse.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
59
DS 13 Administrar las operaciones
DS13.1 Procedimientos e instrucciones de operación
Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que
el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos.
Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia
formal de la actividad, “status”, actualizaciones, problemas de operación, procedimientos de
escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las
operaciones.
DS13.2 Programación de tareas
Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente,
maximizando el rendimiento y la utilización para cumplir con los requerimientos del negocio.
Deben autorizarse los programas iniciales así como los cambios a estos programas. Los
procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los
programas estándar agendados.
DS13.3 Monitoreo de la infraestructura de TI
Definir e implementar procedimientos para monitorear la infraestructura de TI y los eventos
relacionados. Garantizar que en los registros de operación se almacena suficiente información
cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las
operaciones y de las otras actividades que soportan o que están alrededor de las operaciones.
DS13.4 Documentos sensitivos y dispositivos de salida. Establecer resguardos físicos, prácticas
de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos tales
como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad.
DS13.5 Mantenimiento preventivo del hardware
Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del
desempeño.
Resultado de la evaluación del objetivo de control COBIT implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Implementación de un proceso de planeación
para la revisión del desempeño y capacidad.
Realización de pronósticos de desempeño y
capacidad de recursos de TI.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
60
Situación encontrada Realización de análisis de brecha para
identificar la incompatibilidad de los recursos de
TI.
Implementación de un plan de contingencia en
el SFE, respecto a la falta potencial de
disponibilidad de recursos.
Monitoreo y reportar continuamente la
disponibilidad, desempeño y la capacidad.
Implementación en el SFE de procedimientos
de planeación de administración de la
configuración.
Recopilación de la información sobre la
configuración inicial y establecer líneas base.
Verificación y auditoraje de la información de
la configuración.
Actualización del repositorio de configuración,
tanto en el SFE como en el sitio alterno.
Implementación del nivel requerido de
protección física en el Centro de Datos del SFE.
Selección de Centro de Datos en el tercer piso
más implementación de medidas de ambiente
físico.
Administración de procesos de mantenimiento y
autorización del ambiente físico en Centro de
Datos del SFE.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.4.3 Administración de los Datos
Descripción de la norma técnica de la Contraloría General de la República
La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a
transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y
oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura.
Objetivo del punto de control
Este punto de control tiene como objetivo asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento.
Impacto de la norma en la gestión
de tecnología de información BAJO
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
61
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de control
específico DS 11 Administrar los Datos
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS11.1 Requerimientos del negocio para administración de datos
Establecer mecanismos para garantizar que el negocio reciba los documentos originales que
espera, que se procese toda la información recibida por parte del negocio, que se preparen y
entreguen todos los reportes de salida que requiere el negocio y que las necesidades de
reinicio y reproceso estén soportadas.
DS11.2 Acuerdos de almacenamiento y conservación
Definir e implementar procedimientos para el archivo y almacenamiento de los datos, de
manera que los datos permanezcan accesibles y utilizables. Los procedimientos deben
considerar los requerimientos de recuperación, la rentabilidad, la integridad continua y los
requerimientos de seguridad. Para cumplir con los requerimientos legales, regulatorios y de
negocio, establecer mecanismos de almacenamiento y conservación de documentos, datos,
archivos, programas, reportes y mensajes (entrantes y salientes), así como la información
(claves, certificados) utilizada para encripción y autenticación.
DS11.3 Sistema de administración de librerías de medios
Definir e implementar procedimientos para mantener un inventario de medios en sitio y
garantizar su integridad y su uso. Los procedimientos deben permitir la revisión oportuna y
el seguimiento de cualquier discrepancia que se perciba.
DS11.4 Eliminación
Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y al
software desde equipos o medios una vez que son eliminados o transferidos para otro uso.
Dichos procedimientos deben garantizar que los datos marcados como borrados o
desechados no puedan recuperarse.
DS11.5 Respaldo y restauración
Definir e implementar procedimientos de respaldo y restauración de los sistemas, datos y
configuraciones que estén alineados con los requerimientos del negocio y con el plan de
continuidad. Verificar el cumplimiento de los procedimientos de respaldo y verificar la
capacidad y el tiempo requerido para tener una restauración completa y exitosa. Probar los
medios de respaldo y el proceso de restauración.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
62
DS11.6 Requerimientos de seguridad para la administración de datos
Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a
la recepción, procesamiento, almacenamiento físico y entrega de información y de mensajes
sensitivos. Esto incluye registros físicos, transmisiones de datos y cualquier información
almacenada fuera del sitio.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Implementación de procedimiento con los
requerimientos de almacenamiento y conservación de
procedimientos, aplicaciones informáticas y bases de
datos del SFE
Implementación de mantenimiento para administrar
librerías de medios del SFE tanto en las oficinas
centrales como en el sitio alterno
Implementación de procedimientos para desechar de
forma segura medios y equipo en el SFE oficinas
centrales y estaciones regionales en el país
Respaldo de datos de acuerdo con los esquemas
definidos
Implementación de procedimientos para restauración
de datos
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
63
2.4.4 Atención de Requerimientos de los Usuarios de TI
Descripción de la norma técnica de la Contraloría General de la República
La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los
requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de
manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de
aprendizaje que permita minimizar los costos asociados y la recurrencia.
Objetivo del punto de control
Este punto de control tiene como objetivo minimizar la probabilidad de interrupciones,
alteraciones no autorizadas y errores.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Adquirir e Implementar
Objetivo de control
específico AI6 Administrar Cambios
Actividades que aconseja Cobit en la implementación de esta norma técnica:
AI6.1 Estándares y procedimientos para cambios Establecer procedimientos de administración de cambio formales para manejar de manera
estándar todas las solicitudes (incluyendo mantenimiento y “patches”) para cambios a
aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas
fundamentales.
AI6.2 Evaluación de impacto, priorización y autorización Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en
cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá
incluir categorización y priorización de los cambios. Previo a la migración hacia
producción, los interesados correspondientes autorizan los cambios.
AI6.3 Cambios de emergencia Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia
que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan,
posiblemente, después de la implantación del cambio de emergencia.
I6.4 Seguimiento y reporte del estatus de cambio Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes
de cambio y a los interesados relevantes, acerca del “status” del cambio a las aplicaciones, a
los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
64
AI6.5 Cierre y documentación del cambio
Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la
documentación de usuario y procedimientos correspondientes. Establecer un proceso de
revisión para garantizar la implantación completa de los cambios.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Implementación de procesos para registrar,
evaluar y dar prioridad en forma consistente a
las solicitudes de cambios
Implementación de procedimientos de impacto
y dar prioridad a cambios con base en las
necesidades de servicios de información en el
SFE
Implementación de procedimientos dirigidos a
cambios críticos y de emergencia de acuerdo a
los planes aprobados por la “Dirección del SFE”
Implementación de autorización de cambios
Implementación de procedimientos para
administración y comunicación de la
información relevante referente a cambios en
los “Sistemas de Información del SFE”
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.4.5 Manejo de Incidentes
Descripción de la norma técnica de la Contraloría General de la República
La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e
incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento
pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.
Objetivo del punto de control
Este punto de control tiene como objetivo asegurar que los problemas e incidentes sean resueltos
y que sus causas sean investigadas para prevenir que vuelvan a suceder.
Impacto de la norma en la gestión
de tecnología de información MEDIO
Referencia a los objetivos de Dominio Entregar y dar Soporte
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
65
control de tecnología de
información (Cobit)
Objetivo de control
específico
DS 10 Administrar los
Problemas
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS10.1 Identificación y clasificación de problemas
Implementar procesos para reportar y clasificar problemas que han sido identificados como
parte de la administración de incidentes. Los pasos involucrados en la clasificación de
problemas son similares a los pasos para clasificar incidentes; son determinar la categoría,
impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en
grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte).
Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de
usuarios y clientes, y son la base para asignar los problemas al personal de soporte.
DS10.2 Rastreo y resolución de problemas
El sistema de administración de problemas debe mantener pistas de auditoría adecuadas
que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados
considerando: • Todos los elementos de configuración asociados • Problemas e incidentes
sobresalientes • Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles
indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de
administración de cambios establecido. En todo el proceso de resolución, la administración
de problemas debe obtener reportes regulares de la administración de cambios sobre el
progreso en la resolución de problemas o errores. La administración de problemas debe
monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los
usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe
escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la
prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que
resulte más pertinente. El avance de la resolución de un problema debe ser monitoreado
contra los SLAs.
DS10.3 Cierre de problemas
Disponer de un procedimiento para cerrar registros de problemas, ya sea después de
confirmar la eliminación exitosa del error conocido o después de acordar con el negocio
cómo manejar el problema de manera opcional.
DS10.4 Integración de las administraciones de cambios, configuración y problemas
Para garantizar una adecuada administración de problemas e incidentes, integrar los
procesos relacionados de administración de cambios, configuración y problemas.
Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al
negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los
problemas.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
66
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación AVANZADA
Situación encontrada
Identificación y clasificación de incidente.
Implementación de procedimientos para
análisis de causa raíz.
Implementación de procedimientos para
resolver problemas.
Revisión de estatus de problemas.
Emisión de recomendaciones para mejorar y
crear una solicitud de cambio relacionada.
Procedimientos Automatizados para registros
de problemas.
En la evaluación efectuada el “Help desk
Institucional de la SFE” está implementado en
la “Intranet Institucional”, entre las funciones
del mismo permite la obtención de estadísticas
de servicio y resolución de casos.
Sin embargo, se determinó que el sistema actual no
tiene contemplado el requerimiento de
identificación de casos, los cuales deben estar
clasificados como: 1. Casos de Incidentes
Recurrentes y 2. Casos de Incidentes tratados como
problemas.
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
avanzado en cuanto a los tratamientos de incidentes; no obstante, como parte de la mejora
continua deberá desarrollarse los procedimientos que permitan gestionar aquellos incidentes
recurrentes, convirtiéndose y tratándose como problemas.
Recomendación:
Elaborar, aprobar y mantener actualizada el procedimiento que regule la administración de
problemas informáticos.
2.4.6 Administración de Servicios Prestados por Terceros
Descripción de la norma técnica de la Contraloría General de la República
La organización debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin debe:
a. Establecer las funciones y responsabilidades de terceros que le brinden servicios de TI.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
67
b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones
contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con las políticas relativas a calidad,
seguridad y seguimiento establecidas por la organización.
d. Minimizar la dependencia de la organización respecto de los servicios contratados a un
tercero.
e. Asignar a un responsable con las competencias necesarias que evalúe periódicamente la
calidad y cumplimiento oportuno de los servicios contratados.
Objetivo del punto de control
Este punto de control tiene como objetivo asegurar que las tareas y responsabilidades de las
terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los
requerimientos.
Impacto de la norma en la gestión de
tecnología de información BAJO
Referencia a los objetivos de control de
tecnología de información (Cobit)
Dominio Entregar y dar Soporte
Objetivo de
control
específico
DS 2 Administrar Servicios de
Terceros
Actividades que aconseja Cobit en la implementación de esta norma técnica:
DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de
proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones
técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas,
entregables esperados y credenciales de los representantes de estos proveedores.
DS2.2 Administración de las relaciones con los proveedores
Formalizar el proceso de administración de relaciones con proveedores por cada proveedor.
Los responsables de las relaciones deben coordinar a los proveedores y los clientes y
asegurar la calidad de las relaciones con base en la confianza y la transparencia (por
ejemplo, por medio de acuerdos de niveles de servicio).
DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para
mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de
continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del
negocio de conformidad con los requerimientos legales y regulatorios. La administración
del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de
garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de
seguridad, proveedores alternativos, penalizaciones e incentivos, etc.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
68
DS2.4 Monitoreo del desempeño del proveedor
Establecer un proceso para monitorear la prestación del servicio para asegurar que el
proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de
manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que
el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del
mercado.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Identificación y categorización de los
servicios de terceros
Definición y documentación de los procesos
administrativos del proveedor de TI.
Implementación de políticas y procedimientos
de evaluación y suspensión de proveedores
Procedimiento de identificación de valoración
y mitigación de los riesgos del proveedor
Seguimiento de la prestación del servicio del
proveedor
Evaluación de las metas de largo plazo de la
relación para todos los interesados
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.5 SEGUIMIENTO
2.5.1 Seguimiento de los procesos de T.I.
Descripción de la norma técnica de la Contraloría General de la República
La organización debe asegurar el logro de los objetivos propuestos como parte de la gestión de TI,
para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina
el alcance, la metodología y los mecanismos para vigilar la gestión de TI. Asimismo, debe
determinar las responsabilidades del personal a cargo de dicho proceso.
Objetivo del punto de control
Este punto de control tiene como propósito asegurar el logro de los objetivos establecidos para los
procesos de TI.
Impacto de la norma en la gestión de
tecnología de información BAJO
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
69
Referencia a los objetivos de control
de tecnología de información (Cobit)
Dominio Monitorear y Evaluar
Objetivo de control
específico
ME 1 Monitorear y Evaluar el
Desempeño de TI
Actividades que aconseja Cobit en la implementación de esta norma técnica:
ME1.3 Método de monitoreo
Garantizar que el proceso de monitoreo implante un método (ej.: Balanced Scorecard), que
brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al
sistema de monitoreo de la empresa.
ME1.4 Evaluación del desempeño
Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa
raíz e iniciar medidas correctivas para resolver las causas subyacentes.
ME1.5 Reportes al consejo directivo y a ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el
avance de la organización hacia metas identificadas, específicamente en términos del
desempeño del portafolio empresarial de programas de inversión habilitados por TI, niveles
de servicio de programas individuales y la contribución de TI a ese desempeño. Los
reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos
planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgos
mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al
desempeño esperado y se deben iniciar y reportar las medidas administrativas adecuadas.
ME1.6 Acciones correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación
y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las
evaluaciones con:
Revisión, negociación y establecimiento de respuestas administrativas
Asignación de responsabilidades por la corrección
Rastreo de los resultados de las acciones comprometidas
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Implementación de enfoque de monitoreo
Identificación de objetivos medibles que
apoyen a los objetivos del negocio
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
70
Situación encontrada
Implementación de cuadro de mandos en el
PETI del SFE
Implementación de procedimientos para
evaluación y reporte de desempeño
Implementación de procedimiento para
identificar y monitorear medidas de mejora del
desempeño de TI en el SFE
Conclusión
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.5.2 Seguimiento y Evaluación del Control Interno en T.I
Descripción de la norma técnica de la Contraloría General de la República
El jerarca debe establecer y mantener el sistema de control interno asociado con la gestión de las
TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se
presenten y de las medidas correctivas implementadas.
Objetivo del punto de control
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Monitorear y Evaluar
Objetivo de Control
Específico
ME 2 Administrar y
Evaluar el Control
Interno
Actividades que aconseja Cobit en la implementación de esta norma técnica:
ME2.2 Revisiones de Auditoría
Monitorear y reportar la efectividad de los controles internos sobre TI por medio de
revisiones de auditoría incluyendo, por ejemplo, el cumplimiento de políticas y estándares,
seguridad de la información, controles de cambios y controles establecidos en acuerdos de
niveles de servicio.
ME2.3 Excepciones de control
Registrar la información referente a todas las excepciones de control y garantizar que esto
conduzca al análisis de las causas subyacentes y a la toma de acciones correctivas. La
gerencia debería decidir cuáles excepciones deberían comunicarse al individuo responsable
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
71
de la función y cuáles excepciones deberían ser escaladas. La gerencia también es
responsable de informar a las partes afectadas.
ME2.4 Autoevaluación de control
Evaluar la completitud y efectividad de los controles internos de la administración de los
procesos, políticas y contratos de TI por medio de un programa continuo de autoevaluación.
ME2.5 Aseguramiento del control interno
Obtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de
los controles internos por medio de revisiones de terceros. Dichas revisiones pueden ser
realizadas por la función de cumplimiento corporativo o, a solicitud de la gerencia, por
auditoría interna o por auditores y consultores externos o por organismos de certificación.
ME2.6 Control interno para terceros
Determinar el estado de los controles internos de cada proveedor externo de servicios.
Confirmar que los proveedores externos de servicios cumplan con los requerimientos
legales y regulatorios y con las obligaciones contractuales. Esto puede ser provisto por una
auditoría externa o puede obtenerse de una revisión por parte de auditoría interna y por los
resultados de otras auditorias.
ME2.7 Acciones correctivas
Identificar e iniciar medidas correctivas basadas en las evaluaciones y en los reportes de
control. Esto incluye el seguimiento de todas las evaluaciones y los reportes con:
La revisión, negociación y establecimiento de respuestas administrativas
La asignación de responsabilidades para corrección (puede incluir la aceptación de
los riesgos)
El rastreo de los resultados de las acciones comprometidas
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Brindar seguimiento al marco de trabajo de
control interno
Revisiones de Auditoría
Excepciones de control
Autoevaluación de control
Aseguramiento del control interno
Control interno para terceros
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
72
Acciones correctivas
Informe de Labores Mensuales Help Desk,
monitoreo por parte de funcionarios de soporte
del SFE
Seguimiento y control de las actividades de
control interno de TI.
Monitoreo de los procesos de autoevaluación.
Implementación de cuadro de mandos en el
PETI de la SFE vigente
Implementación de procedimientos con el
objetivo de monitorear los procesos para
obtener aseguramiento sobre los controles
operados por terceros en el SFE (por ejemplo,
sitio alterno ADN Solutions, situado en Saret de
Alajuela).
Seguimiento de proceso para identificar y
evaluar las excepciones de control.
Reportar a los interesados clave (usuarios y
Dirección del SFE).
Conclusión:
El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre
este ítem.
2.5.3 Participación de la Auditoría Interna
Descripción de la norma técnica de la Contraloría General de la República
La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a coadyuvar,
de conformidad con sus competencias, a que el control interno en TI de la organización
proporcione una garantía razonable del cumplimiento de los objetivos en esa materia.
Objetivo del punto de control
Garantizar el cumplimiento regulatorio de todas las leyes y regulaciones aplicables en
tecnologías de información del Sector Público, según corresponda y, de esta manera, reducir el
riesgo de no cumplimiento de las normativas vigentes.
Impacto de la norma en la gestión
de tecnología de información BAJO
Referencia a los objetivos de
control de tecnología de
información (Cobit)
Dominio Brindar seguimiento y Evaluar
Objetivo de Control
Específico
ME 3 Garantizar el
cumplimiento regulatorio
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
73
Actividades que aconseja Cobit en la implementación de esta norma técnica:
Brindar seguimiento y controlar las actividades de control interno de TI.
Brindar seguimiento al proceso de autoevaluación (Auditorías de TI internas)
Reportar a la administración los resultados de las auditorías internas y externas que
constituyen oportunidades de mejora en los procesos de tecnologías de información
Procedimiento de seguimiento de recomendaciones de las auditorías internas y las contratadas
externamente en lo relacionado con tecnologías de información.
Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:
Nivel de avance según evaluación IMPLEMENTADA
Situación encontrada
Monitorear el marco de trabajo de control
interno.
Revisiones de Auditoría
Excepciones de control
Autoevaluación de control
Aseguramiento del control interno
Control interno para terceros
Acciones correctivas
Conclusiones
1. El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra
implementado, razón por la cual no existen observaciones ni recomendaciones por realizar
sobre este ítem.
2. A pesar de que no existe un funcionario en el SFE que desempeñe el puesto de Auditor de TI
en la Auditoría Interna; dicha dependencia gestiona con cargo a su presupuesto la
contratación de servicios de auditoría interna (contrataciones externas); con el propósito de
fiscalizar los procesos relacionados con tecnologías de información en la entidad.
3 HALLAZGOS (OPORTUNIDADES DE MEJORA) IDENTIFICADOS EN LA
EVALUACIÓN REALIZADA AL SISTEMA SACI
En esta sección se presentan las oportunidades de mejora identificadas como producto de la
evaluación efectuada al sistema SACI.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
74
3.1 ESTACIONES DE CONTROL FITOSANITARIO
3.1.1 Debilidades en el control de acceso respecto al sistema SACI.
3.1.1.1 CRITERIO
Norma 1.4.5 de la normativa N-2-2007-CO-DFOE
La organización debe proteger la información de accesos no autorizados.
Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos
relacionados con el acceso a la información, al software de
aplicación, a las bases de datos y a las terminales y otros recursos
de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y
uniforme de acuerdo con términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los
recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y
niveles de privilegio, y para la identificación y autenticación para
el acceso a la información, tanto para usuarios como para recursos
de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de
TI, de conformidad con las políticas de la organización bajo el
principio de necesidad de saber o menor privilegio. Los
propietarios de la información son responsables de definir quiénes
tienen acceso a la información y con qué limitaciones o
restricciones.
f. Implementar el uso y control de medios de autenticación
(identificación de usuario, contraseñas y otros medios) que
permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que
contemple la requisición, aprobación, establecimiento, suspensión
y desactivación de tales medios de autenticación, así como para
su revisión y actualización periódica y atención de usos
irregulares.
g. Establecer controles de acceso a la información impresa, visible
en pantallas o almacenada en medios físicos y proteger
adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditoría) que
permitan un adecuado y periódico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la información sobre
la seguridad de las TI.
3.1.1.2 CONDICIÓN
Como producto de la ejecución del estadio, se visitaron las estaciones de
control fitosanitario que forman parte de Departamento de Control
Fitosanitario, las cuales se ubican en;
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
75
Aeropuerto Internacional Daniel Oduber Quirós
Puerto Caldera
Puerto Limón
Aeropuerto Internacional Juan Santamaría
Peñas Blancas
Los Chiles
Paso Canoas
Al respecto, se determinó que la asignación de contraseña para el Sistema
SACI es permanente, por cuanto las mismas no tienen vencimiento.
Adicionalmente, no se evidenció un proceso formal para la activación,
desactivación o modificación de permisos de los usuarios en los sistemas;
esto en caso de renuncia, despido u otro tipo de situación en la cual el
usuario quede en condición inactiva, y que dicho funcionario ya no trabaje
más para la institución.
3.1.1.3 CAUSA
El sistema SACI no fue diseñado ni desarrollado para ejercer un
adecuado control respecto al acceso al mismo, como es lo relativo al
vencimiento periódico de las contraseñas asignadas a los usuarios.
3.1.1.4 EFECTO
De no ejercerse un adecuado control de acceso al sistema SACI, se
generan condiciones propicias para visualizar un riesgo real o potencial
sobre los siguientes aspectos:
Exceso de privilegios
Posibles fraudes con usuarios que permanecen activos, aun cuando ya
no laboran para las estaciones o del todo para el SFE
Fraudes con usuarios genéricos que no tienen establecidas las
responsabilidades
Fraudes por exceso de privilegios antiguos asignados a usuarios que
ahora ocupan otro puesto
3.1.1.5
CONCLUSIÓN
Las debilidades detectadas con respecto al control de acceso al sistema
SACI no contribuyen al fortalecimiento del sistema de control interno.
Dicha situación debe ser corregida en forma inmediata por la
administración, a efecto de eliminar riesgos que, de materializarse, podrían
tener una incidencia negativa y significativa en la organización
3.1.1.6
RECOMENDACIÓN
A la Unidad de TI
1. Implementar un proceso formal para la activación, desactivación o
modificación de permisos de los usuarios en los sistemas; esto en caso
de renuncia, despido u otro tipo de situación en la cual el usuario
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
76
quede en condición inactiva y que dicho funcionario ya no trabaje más
para la institución
2. Habilitar el vencimiento de cuentas de usuarios (se recomienda un
máximo de 1 mes)
Al Departamento Administrativo y Financiero
3. Elaborar, aprobar, divulgar e implementar el procedimiento que regule
las revisiones periódicas que el administrador del sistema en el
Departamento Administrativo y Financiero debe realizar de cada uno
de los usuarios que accesan el SACI, con el objetivo de valorar a qué
módulos tiene acceso cada uno. De esta manera se asegura que cada
usuario tiene acceso únicamente a lo que le corresponde.
Comentario de la Administración:
Se indica que periódicamente se realizan revisiones que incluyen lo relativo a los accesos de los
usuarios al sistema SACI; no obstante, no se cuenta con el procedimiento escrito que regule dicha
práctica administrativa.
3.1.2 Insuficiente capacitación impartida a los funcionarios que utilizan el sistema
SACI
3.1.2.1 CRITERIO
Norma 1.4.2 de la normativa N-2-2007-CO-DFOE
El personal de la organización debe conocer y estar comprometido con las
regulaciones sobre seguridad y confidencialidad, para reducir los riesgos
de error humano, robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades
en materia de seguridad, confidencialidad y riesgos asociados con
el uso de las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de
dichas responsabilidades.
c. Establecer, cuando corresponda, acuerdos de confidencialidad y
medidas de seguridad específicas relacionadas con el manejo de
la documentación y rescisión de contratos.
3.1.2.2 CONDICIÓN
Como producto de la ejecución del estudio, se visitaron las estaciones de
control fitosanitario que forman parte de Departamento de Control
Fitosanitario; las cuales se ubican en;
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
77
Aeropuerto Internacional Daniel Oduber
Puerto Caldera
Puerto Limón
Aeropuerto Internacional Juan Santamaría
Peñas Blancas
Los Chiles
Paso Canoas
Al respecto, se determinó que los funcionarios del SFE de las citadas
estaciones de control fitosanitarios no han recibido una capacitación
adecuada, situación que no ha permitido brindar un entrenamiento
continuo, orientado a que el personal refuerce y conserve sus
conocimientos, aptitudes y conciencia sobre la seguridad de la
información, aspectos que son necesarios para contribuir con el logro de
las metas organizacionales que forman parte integral de la planificación
establecida.
3.1.2.3 CAUSA
El entrenamiento continuo con respecto al sistema SACI no forma
parte de las necesidades prioritarias de capacitación identificadas,
programadas e implementadas por la organización.
3.1.2.4 EFECTO
Riesgo potencial de que se estén o se presenten dificultades en la
utilización del sistema SACI por parte de los usuarios, al no contar
con la capacitación requerida para hacer un uso eficiente de esa
herramienta tecnológica; situación que además podría generar una
inadecuada administración de la información almacenada en dicha
base de datos
3.1.2.5
CONCLUSIÓN
Las debilidades detectadas con respecto a la aparente insuficiencia de
capacitación al personal usuario del sistema SACI, podrían generar
inconvenientes en la administración del mismo, situación que debilitaría el
sistema de control interno, pues no se puede desconocer que el SFE, por
medio de ese sistema, controla y registra los ingresos percibidos por la
venta de servicios y esto es una actividad operativa sustantiva dentro del
quehacer de la organización.
3.1.2.6
RECOMENDACIÓN
Al Departamento Administrativo y Financiero
1. Adoptar las medidas necesarias a efecto de que la capacitación que
se programa e imparte a lo interno del SFE, considere lo relativo a
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
78
capacitar al personal usuario del sistema SACI (especialmente el
destacado en las estaciones de control fitosanitario); situación que
permitiría suministrar conocimiento o fortalecer el que ha sido
adquirido. En dicha gestión, la organización podría apoyarse en
el personal del Departamento Administrativo y Financiero y en la
Unidad de Tecnología de la Información.
3.1.3 Agotamiento del ciclo de vida útil del SACI
3.1.3.1 CRITERIO
Norma 2.3.2 de la normativa N-2-2007-CO-DFOE
La organización debe implementar el software que satisfaga los
requerimientos de sus usuarios y soporte efectivamente sus procesos, para
lo cual debe:
a) Desarrollar y aplicar un marco metodológico que guíe los
procesos de implementación y considere la definición de
requerimientos, los estudios de factibilidad, la elaboración de
diseños, la programación y pruebas, el desarrollo de la
documentación, la conversión de datos y la puesta en producción,
así como también la evaluación posimplantación de la
satisfacción de los requerimientos.
b) Establecer los controles y asignar las funciones, responsabilidades
y permisos de acceso al personal a cargo de las labores de
implementación y mantenimiento de software.
c) Controlar la implementación del software en el ambiente de
producción y garantizar la integridad de datos y programas en los
procesos de conversión y migración.
d) Definir los criterios para determinar la procedencia de cambios y
accesos de emergencia al software y datos, y los procedimientos
de autorización, registro, supervisión y evaluación técnica,
operativa y administrativa de los resultados de esos cambios y
accesos.
e) Controlar las distintas versiones de los programas que se generen
como parte de su mantenimiento.
3.1.3.2 CONDICIÓN
De acuerdo con los estándares actuales y a las mejores prácticas de
estandarización de sistemas, el sistema SACI, ya cumplió con el ciclo de
vida útil, por cuanto el mismo data de hace más de 10 años.
Una de los aspectos por señalar, es el hecho de que el sistema está
desarrollado en Visual Basic versión 6.0 y es importante señalar que
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
79
otras tecnologías de programación, ya superaron la plataforma en la cual
está basado el sistema SACI.
3.1.3.3 CAUSA
La organización no ha visualizado como una de sus prioridades en
relación con las tecnologías de la información, lo relativo al diseño,
desarrollo e implementación de un nuevo sistema.
3.1.3.4 EFECTO Que las condiciones actuales del sistema SACI, no permitan cubrir
cada una de las necesidades requeridas por la organización.
3.1.3.5
CONCLUSIÓN
Considerando en forma integral los resultados obtenidos producto de la
ejecución del estudio de auditoría; es nuestro criterio que el SFE debe
analizarse la situación actual del sistema SACI, a efecto de adoptar las
medidas que sean necesarias para que la organización cuente con el
sistema de información que realmente responda, tanto a las necesidades
del proceso de recaudación y control de los ingresos como al registro
contable y presupuestario. Lo anterior para fortalecer el sistema de control
interno, especialmente el componente funcional denominado sistemas de
información.
3.1.3.6
RECOMENDACIÓN
Al Departamento Administrativo y Financiero (Con el apoyo de la
Unidad de TI)
1. Realizar un estudio de factibilidad para el desarrollo de un nuevo
sistema de información que esté de acuerdo con el perfil tecnológico
actual y que cumpla con todos los lineamientos de la Unidad de TI del
SFE, las normas contables NICSP y las Normas Técnicas de Gestión y
Control de Tecnologías de Información (N-2-2007-CO-DFOE), emitidas
por la Contraloría General de la República.
De aprobarse el estudio mencionado, el mismo ameritaría entonces la
sustitución del sistema SACI.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
80
4 VALORACIÓN DEL NIVEL DE SATISFACCIÓN SOBRE LA CALIDAD
FUNCIONAL DE LOS SISTEMAS DE INFORMACIÓN (ENCUESTA DE
OPINIÓN PERSONAL ESTACIONES DE CONTROL FITOSANITARIO)
4.1 Resultados de la encuesta de opinión
Se realizó una encuesta de opinión entre el personal usuario del sistema SACI destacado a nivel
de estaciones de control fitosanitario (7 funcionarios); obteniéndose los siguientes resultados,
mismo que se muestran en forma porcentual:
INFORMACIÓN SOBRE EL SISTEMA DE INFORMACIÓN
1) Exactitud de los datos: (Indicar el grado de exactitud e
integridad de los datos provistos por la aplicación).
2) Contenido de la Información: (Indicar lo
adecuado del contenido de la información que
suministra el sistema. Está la información
completa o se requiere de información
adicional?)
3) Calidad de la Información: (Indicar lo
adecuado del formato de los reportes o salidas
de la aplicación. Son de fácil entendimiento o
requiere la manipulación de datos adicionales?)
4) Entrega de Resultados: (Indicar lo adecuado de la
velocidad en la que el programa ejecuta y el tiempo en
que la información es recibida)
5) Seguridad de los Datos: (Basado en la
sensitividad de la información producida por
esta aplicación, el nivel de control para la
seguridad que tiene definida la aplicación es
adecuada?)
6) Fiabilidad del Sistema: (Indicar el grado con el
que la aplicación opera confiablemente y está
disponible cuando se requiere)
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
14%
14%
43%
29%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
57%
43%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
57%
43%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
29%
13%
29%
29%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
14%
72%
14%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
29%
42%
29%
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
81
7) Facilidad de Uso: (Indicar el grado de
simplicidad en la utilización de la aplicación)
8) Documentación: (Indicar la disponibilidad,
actualización, utilización y claridad de la
documentación provista. Describe la utilización
de la aplicación, las funciones y operaciones en
una forma sencilla de entender?)
9) Reportes Especiales: (Indicar el grado de
simplicidad en que se pueden generar salidas
especiales (ej. gráficos, reportes, operaciones,
consultas) a través de la aplicación)
Los resultados anteriores se presentan en el siguiente gráfico.
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
86%
14%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
14%
14%
14%
44%
14%
No Sé
Pésimo
Malo
Regular
Bueno
Excelente
N/A
1
2
3
4
5
29%
57%
14%
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
82
Como resultado de la citada encuesta de opinión, los usuarios del sistema SACI con relación al
mismo, comentaron lo siguiente: Los usuarios del sistema no cuentan con una versión del Manual
de Usuario del SACI (electrónica y/o manual)
El sistema debería ser más flexible para introducir transferencias de información
Existe acceso a reportes que no son utilizados para la operación normal del sistema
En lo que se define como “hora pico” el sistema es lento
El sistema debe ser sometido a análisis para identificar las mejoras que requiere
Se requiere capacitación complementaria relativa a otros recursos tecnológicos que están
a la disposición de las estaciones (además de la requerida para el SACI)
Cuando se presenta la necesidad de modificar y/o anular un número de recibo en el SACI
y se solicita ayuda a nivel central; en ocasiones la solución tarda hasta 15 días
Se requiere plantas eléctricas como una medida de contingencia para no suspender el
proceso automatizado del SACI; situación que eliminaría la práctica de emitir recibos
manuales
El sistema SACI opera en forma local; razón por la cual las actualizaciones no son en
línea. Lo anterior, aun cuando dicha situación ha sido superada en las otras estaciones de
control fitosanitario
En ocasiones se tienen problemas de configuración con las impresoras
Como parte de esa encuesta de opinión, se le consultó a la misma población entrevistada (7
servidores) sobre los siguientes aspectos, obteniéndose los resultados que se muestran
seguidamente (en forma porcentual):
¿Considera que la Unidad
de Tecnología de la
Información y
Comunicación da los
resultados esperados?
SÍ NO
100% ----
¿Cómo considera usted,
en general, el servicio
proporcionado por la
Unidad de Tecnología de
la Información?
Deficiente Aceptable Satisfactorio Excelente
14% 14% 57% 29%
¿Cubre las necesidades
adecuadamente el sistema
que utiliza?
No las cubre Parcialmente La mayor
parte
Todas
---- ---- 43% 57%
¿Hay disponibilidad en la
Unidad de Tecnología de
la Información para
atender nuevos
requerimientos?
Generalmente
no existe
Hay
ocasionalmente
Regularmente Siempre
---- 14% 29% 57%
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
83
¿Son entregados con
puntualidad los
trabajos solicitados a
la Unidad de
Tecnología de la
Información?
Nunca Rara vez Ocasionalmente Generalmente Siempre
---- ---- ---- 43% 57%
¿Qué piensa de las
capacitaciones
recibidas en materia
informática?
No se
proporciona
Es
insuficiente
Satisfactoria Excelente
86% ---- 14% ----
Como consecuencia de la respuesta a las consultas anteriores, se emitieron los siguientes
comentarios:
a) La búsqueda de recibos no está implementada en el sistema SACI, tenemos que ir uno
por uno en pantalla para encontrarlos.
b) No hay un enlace entre el número del depósito y el número del recibo; por cuanto no está
implementado en el SACI.
c) La denominación en el sistema SACI de factura no es correcta, en realidad es un recibo
de dinero por un servicio prestado.
d) Hay tres sistemas que se ocupan particularmente, tales como: Control de Vuelo, Bitácora
de trabajo y Control de Rampa e Inspección. Lo anterior por cuanto ese tipo de registros
se lleva en hojas de Excel.
e) Se requiere un reporte de formularios vendidos, según la naturaleza de los mismos; no
obstante, aun cuando se ha solicitado no ha sido atendida la necesidad.
f) El sistema no suministra un reporte resumen relacionado con el servicio de inspección de
barcos; y otros reportes en ocasiones no se obtienen por cuanto presentan errores (por
ejemplo, reporte de proyecciones en barcos tarifas).
g) El sistema SACI debería estar en red.
h) Debería haber disponibilidad de servicio técnico los días sábados, domingos y feriados;
como una contingencia, porque el personal técnico trabaja los 365 días del año.
i) Como parte de las acciones de mejora, se debería considerar lo siguiente:
Mayor rapidez de respuesta de las comunicaciones.
Mejorar el ancho de banda de Internet.
Revisiones periódicas de la red y equipos; por cuanto el salitre del mar lo destruye
todo, especialmente lo electrónico.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
84
4.2 Recomendación
A la Unidad de TI y al Departamento Administrativo y Financiero, atender la
recomendación, según área de competencia:
4.2.1 Analizar los resultados descritos en el numeral 4.1, a efecto de adoptar las medidas que
pudiese corresponder con relación a la calidad funcional del sistema SACI y otros aspectos
vinculados con los servicios que brinda la Unidad de TI. Aun cuando los resultados obtenidos
respecto al nivel de satisfacción en términos generales fueron satisfactorios; la gestión que se
recomienda debe propiciar el fortalecimiento de las prácticas de mejora continua y visualizar la
implementación de mecanismos y prácticas de control que posibiliten un monitoreo periódico de
la satisfacción de los usuarios de los sistemas; resultados que deben suministrar información
valiosa para la toma de decisiones. Las acciones que se adopten con relación a la
implementación de la presente documentación deberán quedar documentadas.
Glosario de Definiciones
Para efectos de aplicación de la presente evaluación, deberán considerarse las siguientes
definiciones desde la perspectiva de la Normativa N-2-2007-CO-DFOE, la cual contiene el
siguiente glosario de definiciones:
Activos informáticos Véase “Recursos informáticos”
Acuerdos de
confidencialidad
Convenio suscrito entre la entidad y sus funcionarios, o bien, entre
instituciones que comparten datos o sistemas, para garantizar el manejo
discreto de la información. También, se utiliza el concepto “cláusulas de
confidencialidad”, que son aquellas que imponen una obligación
negativa: de no hacer o de abstenerse; es decir, de no utilizar la
información recibida con fines distintos a los estipuladas (Véanse el
artículo 71 y siguientes del Código de Trabajo).
Acuerdos de servicio Los acuerdos de servicios, mejor conocidos como convenios o acuerdos
de nivel de servicio (“SLAs” por sus siglas en inglés de “Service Level
Agreement”) son contratos escritos, formales, desarrollados
conjuntamente por el proveedor del servicio de TI y los usuarios
respectivos, en los que se define, en términos cuantitativos y cualitativos,
el servicio que brindará la dependencia responsable de TI y las
responsabilidades de la contraparte beneficiada por dichos servicios.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
85
Ambiente de
desarrollo
Conjunto de componentes de hardware y software donde se efectúan los
procesos de construcción, mantenimiento (v.gr.: ajustes, cambios y
correcciones) y pruebas de sistemas de información.
Ambiente de
producción
Conjunto de componentes de hardware y software donde se efectúan los
procesos normales de procesamiento de datos, con sistemas e información
reales.
Base de datos Colección de datos almacenados en un computador, los cuales pueden
ser accedidos de diversas formas para apoyar los sistemas de información
de la organización.
Calidad Propiedad o conjunto de propiedades inherentes a algo, que permiten
juzgar su valor. / Conjunto de características que posee un producto o
servicio obtenidos en un sistema productivo, así como su capacidad de
satisfacción de los requerimientos del usuario.
Confidencialidad de
la información
Protección de información sensible contra divulgación no autorizada.
Contingencia Riesgo que afecta la continuidad de los servicios y operaciones.
Continuidad de los
servicios y
operaciones
Implica la prevención, mitigación de las interrupciones operacionales y la
recuperación de las operaciones y servicios.
Contraseñas
Véase “password”.
Conversión de datos
Proceso mediante el cual se cambia el formato de los datos.
Cumplimiento
Proceso de respetar y aplicar las leyes, reglamentaciones y disposiciones
contractuales a las que está sujeta la organización.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
86
Datos Objetos en su sentido más amplio (es decir, internos y externos),
estructurados y no estructurados, gráficos, sonido, entre otros.
Desarrollo Etapa del ciclo de vida del desarrollo de sistemas que implica la
construcción de las aplicaciones.
Disponibilidad de la
información
Se vincula con el hecho de que la información se encuentre disponible
(v.gr. utilizable) cuando la necesite un proceso de la organización en el
presente y en el futuro. También se asocia con la protección de los
recursos necesarios y las capacidades asociadas. Implica que se cuente
con la información necesaria en el momento en que la organización la
requiere.
Efectividad de la
información
Que la información sea cierta, oportuna, relevante y pertinente para la
organización.
Eficiencia Provisión de información efectiva a la organización mediante el uso
óptimo (el más productivo y económico) de los recursos.
Función de TI Unidad organizacional o conjunto de componentes organizacionales
responsable de los principales procesos relacionados con la gestión de las
tecnologías de información en apoyo a la gestión de la organización.
Gestión de las TI Conjunto de acciones fundamentadas en políticas institucionales que, de
una manera global, intentan dirigir la gestión de las TI hacia el logro de
los objetivos de la organización. Para ello se procura, en principio, la
alineación entre los objetivos de TI y los de la organización, el balance
óptimo entre las necesidades de TI de la organización y las oportunidades
que sobre ello existen, la maximización de los beneficios y el uso
responsable de los recursos, la administración adecuada de los riesgos y el
valor agregado en la implementación de dichas TI. Tales acciones se
relacionan con los procesos (planificación, organización, implementación,
mantenimiento, entrega, soporte y seguimiento), recursos tecnológicos
(personas, sistemas, tecnologías, instalaciones y datos), y con el logro de
los criterios de fidelidad, calidad y seguridad de la información.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
87
También se entiende como “Gobernabilidad de TI”.
Hardware Todos los componentes electrónicos, eléctricos y mecánicos que integran
una computadora, en oposición a los programas que se escriben para ella
y la controlan (software).
Información Conjunto de datos que han sido capturados y procesados, que se
encuentran organizados y que tienen el potencial de confirmar o cambiar
el entendimiento sobre algo.
Infraestructura
tecnológica
Conjunto de componentes de hardware e instalaciones en los que se
soportan los sistemas de información de la organización.
Instalaciones Edificaciones y sus aditamentos utilizados para alojar los recursos
informáticos.
Integridad Precisión y suficiencia de la información, así como su validez de acuerdo
con los valores y expectativas del negocio.
Jerarca Superior jerárquico, unipersonal o colegiado del órgano o ente quien
ejerce la máxima autoridad.
Marco de seguridad
de la información
Conjunto de componentes asociados a la gestión de la seguridad dentro de
los cuales cuentan, entre otros: Principios y términos definidos para un
uso uniforme en la organización; un sistema de gestión que implica la
definición de actividades, productos y responsables del proceso de
definición, implementación y seguimiento de acciones para la seguridad
de la información; el conjunto de controles; las guías de implementación;
métricas para seguimiento y la consideración de riesgos.
Menor Privilegio Principio utilizado para la asignación de perfiles de usuario, según el cual
a este se le deben asignar, por defecto, únicamente los permisos
estrictamente necesarios para la realización de sus labores.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
88
Migración Proceso de traslado de datos o sistemas entre plataformas o entre
sistemas.
Cobit Objetivos de Control para Información y Tecnología Relacionada –
Cobit®
Modelo de
información
Representación de los procesos, sistemas y datos, y sus interrelaciones,
mediante los cuales fluye toda la información organizacional.
No negación Condición o atributo que tiene una transacción informática que permite
que las partes relacionadas con ella no puedan aducir que la misma
transacción no se realizó o que no se realizó en forma completa, correcta
u oportuna.
Necesidad de saber Principio utilizado para la definición de perfiles de usuario según el cual a
éste se le deben asignar los permisos estrictamente necesarios para tener
acceso a aquella información que resulte imprescindible para la
realización de su trabajo.
Pistas de auditoría Información que se registra como parte de la ejecución de una aplicación
o sistema de información y que puede ser utilizada posteriormente para
detectar incidencias o fallos. Esta información puede estar constituida por
atributos como: la fecha de creación, última modificación o eliminación
de un registro, los datos del responsable de dichos cambios o cualquier
otro dato relevante que permita dar seguimiento a las transacciones u
operaciones efectuadas. Las pistas de auditoría permiten el rastreo de
datos y procesos; pueden aplicarse progresivamente (de los datos fuente
hacia los resultados), o bien regresivamente (de los resultados hacia los
datos fuente).
Término que resume los componentes de hardware y software (software
de base, utilitarios y software de aplicación) utilizados en la organización.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
89
Prestación de
servicios de TI
Entrega o prestación eficaz de los servicios de TI requeridos por la
organización, que comprenden desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad, hasta la capacitación. Para prestar
los servicios, debe establecerse los procesos de soporte necesarios. Como
parte de esta prestación, se incluye el procesamiento real de los datos por
los sistemas de aplicación, a menudo clasificados como controles de
aplicaciones.
Propiedad de la
información
Tiene la propiedad de la información la unidad responsable o que puede
disponer sobre dicha información.
Recursos de TI Aplicaciones, información, infraestructura (tecnología e instalaciones) y
personas que interactúan en un ambiente de TI de una organización.
Recursos
informáticos
Véase “recursos de TI”.
Seguimiento de las
TI
Evaluación regular de todos los procesos de TI a medida que transcurre el
tiempo para determinar su calidad y el cumplimiento de los
requerimientos de control. Es parte de la vigilancia ejercida por la función
gerencial sobre los procesos de control de la organización y la garantía
independiente provista por la auditoría interna y externa u obtenida de
fuentes alternativas.
Seguridad Conjunto de controles para promover la confidencialidad, integridad y
disponibilidad de la información.
Seguridad física
Protección física del hardware, software, instalaciones y personal
relacionado con los sistemas de información.
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
90
Servicios prestados
por terceros
Servicios recibidos de una empresa externa a la organización. Por lo
general, requiere de una contraparte interna de la organización que
garantice que el producto desarrollado cumple con los estándares
establecidos por ésta. También, es conocido como “outsourcing”.
Software Los programas y documentación que los soporta que permiten y que
facilitan el uso de la computadora. El software controla la operación del
hardware.
Software de
aplicación
Programa de computadora con el que se automatiza un proceso de la
organización y que principalmente está diseñado para usuarios finales.
También conocido como sistemas de aplicación.
Software de base También, conocido como software de sistemas, que es la colección de
programas de computadora usados en el diseño, procesamiento y control
de todas las aplicaciones, los programas y rutinas de procesamiento que
controlan el hardware de computadora. Incluye el sistema operativo y los
programas utilitarios.
Tecnologías de
información (TI)
Conjunto de tecnologías dedicadas al manejo de la información
organizacional.
Término genérico que incluye los recursos de: información, software,
infraestructura y personas relacionadas.
Titular Subordinado Funcionario de la administración activa responsable de un proceso, con
autoridad para ordenar y tomar decisiones.
ASA Y TMG Software de seguridad que actúan como Firewall (Muros de Fuego).
Nuestra experiencia es su garantía
Teléfono: (506) 2248-3286, Fax: (506) 2248-4535
Email: [email protected] - http://www.diazzeledon.com/
91
TIAR 4 Clasificación actual de nivel de seguridad de sitio alterno de Centro de
Datos contratado por el SFE, la clasificación más alta es TIAR 5.
NDAs Acuerdos de confidencialidad de no divulgación de información.
OLAs Acuerdos de niveles de operación de infraestructura tecnológica.
WSUS Servidor de actualizaciones de TI instalado en Centro de Datos.
ASA Controles de flujo de Información de software.