500 NORMAS DE CONTROL INTERNO PARA SISTEMAS COMPUTARIZADOS 500-01 ORGANIZACIN DEL REA INFORMTICA

500-02 PLAN DE SISTEMAS DE INFORMACIN

500-03 CONTROLES DE DATOS FUENTE, DE OPERACIN Y DE SALIDA

500-04 MANTENIMIENTO DE EQUIPOS DE COMPUTACIN

500-05 SEGURIDAD DE PROGRAMAS, DE DATOS Y EQUIPOS DE COMPUTO

500-06 PLAN DE CONTINGENCIAS

500-07 APLICACIN DE TCNICAS DE INTRANET

500-08 GESTIN PTIMA DE SOFTWARE ADQUIRIDO A MEDIDA POR ENTIDADES PUBLICAS

La estructura bsica del rea de Informtica debe estar constituida por reas que son importantes para su funcionamiento, de acuerdo a las necesidades de cada entidad. Dichas reas son: produccin, desarrollo y soporte tcnico. Cada entidad debe establecer las lneas que orienten el proceso de organizacin del rea de informtica, aspecto que implica la definicin de actividades a cumplir, las funciones y responsabilidades del personal, al igual que las interrelaciones de todos los elementos comprendidos en este sector con las Areas operativas de la entidad. Todos estos elementos deben formar parte del Manual de Organizacin y Funciones correspondiente. Toda entidad que disponga de un rea de informtica debe implementar un plan de sistemas de informacin con el objeto que prever que el desarrollo de sus actividades contribuya al logro de sus objetivos institucionales.

Deben disearse controles con el propsito de salvaguardar los datos fuente de origen, operaciones de proceso y salida de informacin, con la finalidad de preservar la integridad de la informacin procesada por la entidad. Para implementar los controles sobre datos fuente, es necesario que la entidad designe a los usuarios encargados de salvaguardar los datos. Para ello, deben establecerse polticas que definan las claves de acceso para los tres niveles: a) primer nivel: nicamente tiene opcin de consulta de datos, b) segundo nivel: captura, modifica y consulta datos, c) tercer nivel: captura, modifica, consulta y adems puede realizar bajas de los datos.

Los controles de operacin de los equipos de cmputo estn dados por procedimientos estandarizados y formales que se efectivizan de la siguiente forma: a)describen en forma clara y detallada los procedimientos; b)actualizan peridicamente los procedimientos; y c)asignan los trabajos con niveles efectivos de utilizacin de equipos.

Los controles de salida de datos deben proteger la integridad de la informacin, para cuyo efecto es necesario tener en cuenta aspectos tales como: copias de la informacin en otros locales, la identificacin de las personas que entregan el documento de salida y, la definicin de las personas que reciben la informacin.

La direccin de cada entidad debe establecer polticas respecto al mantenimiento de los equipos de computacin que permitan optimizar su rendimiento. Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la informacin procesada por la entidad, garantizando su integridad y exactitud, as como respecto de los equipos de computacin. El rea de Informtica debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operacin del sistema de cmputo.

La implementacin de las tcnicas de INTRANET dentro de las entidades debe efectuarse con el objeto de fortalecer el control interno e incrementar la eficiencia de las comunicaciones internas, previa evaluacin del costo-beneficio que reportara su aplicacin. Debe establecerse polticas sobre el software a medida adquirido por las entidades, a fin de que los derechos de propiedad se registren a nombre del Estado

RESOLUCION DE LA CONTRALORIA GENERAL N 320-2006-CG NORMAS DE CONTROL INTERNO 3.10. Controles para las Tecnologas de la Informacin y Comunicaciones Los principales controles deben establecerse en: - Sistemas de seguridad de planificacin y gestin de la entidad en los cuales los controles de los sistemas de informacin deben aplicarse en las secciones de desarrollo, produccin y soporte tcnico. La segregacin de funciones implica que las polticas, procedimientos y estructura organizacional estn establecidos para prevenir que una persona controle los aspectos clave de las operaciones de los sistemas, pudiendo as conducir a acciones no autorizadas u obtener acceso indebido a los recursos de informacin.

El control del desarrollo y mantenimiento de los sistemas de informacin provee la estructura para el desarrollo seguro de nuevos sistemas y la modificacin de los existentes. Se requiere definir mecanismos de autorizacin para la realizacin de proyectos, revisiones, pruebas y aprobaciones para actividades de desarrollo y modificaciones previas a la puesta en operacin de los sistemas.

Controles para el rea de desarrollo: Controles para el rea de produccin: empleados, creacin de usuarios con accesos propios (contraseas) y relacin de cada usuario con el perfil correspondiente.

- En el - En la

aseguramiento de datos fuente por medio de accesos a usuarios internos del rea de sistemas. seguridad lgica, por medio de la creacin de perfiles de acuerdo con las funciones de los - El control

especfico de las actividades incluye el cambio frecuente de contraseas y dems mecanismos de acceso que deben limitarse segn niveles predeterminados de autorizacin en funcin de las responsabilidades de los usuarios. Es importante el control sobre el uso de contraseas, cuidando la anulacin de las asignadas a personal que se desvincule de las funciones. Controles para el rea de soporte tcnico, en el mantenimiento de mquinas (hardware). Los controles de seguridad deben proteger al sistema en general.

Los controles de aplicacin incluyen la implementacin de controles para el ingreso de datos, proceso de transformacin y salida de informacin, ya sea por medios fsicos o electrnicos. Controles para el rea de desarrollo: En la

salida interna y externa de datos, por medio de documentacin en soporte fsico o electrnico o por medio de comunicaciones a travs de publicidad y pgina Web. Controles para el rea de soporte tcnico, en el mantenimiento de mquinas (hardware).

Controles de acceso general, es decir, seguridad fsica y lgica de los equipos centrales. Para el adecuado ambiente de control en los sistemas informticos, se requiere que stos sean preparados y programados con anticipacin para mantener la continuidad del servicio. Para ello se debe elaborar, mantener y actualizar peridicamente un plan de contingencia debidamente autorizado y aprobado por el titular o funcionario designado donde se estipule procedimientos previstos para la recuperacin de datos con el fin de afrontar situaciones de emergencia.

No Aplicable

No Aplicable