410-10 Seguridad de tecnologa de informacin

La Unidad de Tecnologa de Informacin, establecer mecanismos que

protejan y salvaguarden contra prdidas y fugas los medios fsicos y la
informacin que se procesa mediante sistemas informticos, para ello se
aplicarn al menos las siguientes medidas:
1. Ubicacin adecuada y control de acceso fsico a la Unidad de Tecnologa
de Informacin y en especial a las reas de: servidores, desarrollo y
bibliotecas.
2. Definicin de procedimientos de obtencin peridica de respaldos en
funcin a un cronograma definido y aprobado.
3. En los casos de actualizacin de tecnologas de soporte se migrar la
informacin a los medios fsicos adecuados y con estndares abiertos para
garantizar la perpetuidad de los datos y su recuperacin.
4. Almacenamiento de respaldos con informacin crtica y/o sensible en
lugares externos a la organizacin.
5. Implementacin y administracin de seguridades a nivel de software y
hardware, que se realizar con monitoreo de seguridad, pruebas peridicas
y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad
identificados.
6. Instalaciones fsicas adecuadas que incluyan mecanismos, dispositivos y
equipo especializado para monitorear y controlar fuego, mantener ambiente
con temperatura y humedad relativa del aire controlado, disponer de
energa acondicionada, esto es estabilizada y polarizada, entre otros;
7. Consideracin y disposicin de sitios de procesamiento alternativos.
8. Definicin de procedimientos de seguridad a observarse por parte del
personal que trabaja en turnos por la noche o en fin de semana.
Anlisis
Esta norma nos da pasos o pautas para prevalecer la integridad y seguridad
de los datos ante posibles prdidas o robos de informacin importante para
la organizacin, tomando en cuenta precauciones para obtener respaldos o
para el deterioro de los dispositivos que contienen dicha informacin.
Ejemplo de aplicacin de la Norma 410-10
Varios departamentos de una empresa cuentan con mecanismos para
asegurar el respaldo de la informacin histrica, pero las polticas y
procedimientos tecnolgicos de retencin de informacin respecto a la
perpetuidad y recuperacin de los datos, no han sido actualizados
documentadamente para asegurar su migracin a diferentes tipos de
medios y tecnologas actuales.
Problema
Los departamentos no han actualizado por escrito las polticas y
procedimientos tecnolgicos de retencin de informacin en lo relacionado a
la perpetuidad y recuperacin de los datos definidos por la Empresa, por lo

que algunos datos guardados en ciertos medios de almacenamiento podran

no ser accesibles cuando se necesiten, debido al deterioro fsico de los
medios y a los cambios de tecnologa.
Solucin
Establecer que se incorpore polticas y procedimientos tecnolgicos
referentes a la conservacin de informacin que aseguren la perpetuidad y
recuperacin de los datos definidos por la Empresa, tomando en cuenta un
anlisis de costo/beneficio.
410-11 Plan de contingencias
Corresponde a la Unidad de Tecnologa de Informacin la definicin,
aprobacin e implementacin de un plan de contingencias que describa las
acciones a tomar en caso de una emergencia o suspensin en el
procesamiento de la informacin por problemas en los equipos, programas o
personal relacionado.
Los aspectos a considerar son:
1. Plan de respuesta a los riesgos que incluir la definicin y asignacin de
roles crticos para administrar los riesgos de tecnologa de informacin,
escenarios de contingencias, la responsabilidad especfica de la seguridad
de la informacin, la seguridad fsica y su cumplimiento.
2. Definicin y ejecucin de procedimientos de control de cambios, para
asegurar que el plan de continuidad de tecnologa de informacin se
mantenga actualizado y refleje de manera permanente los requerimientos
actuales de la organizacin.
3. Plan de continuidad de las operaciones que contemplar la puesta en
marcha de un centro de cmputo alterno propio o de uso compartido en un
Data Center Estatal, mientras dure la contingencia con el restablecimiento
de las comunicaciones y recuperacin de la informacin de los respaldos.
4. Plan de recuperacin de desastres que comprender:
- Actividades previas al desastre (bitcora de operaciones).
- Actividades durante el desastre (plan de emergencias, entrenamiento).
- Actividades despus del desastre.
5. Es indispensable designar un comit con roles especficos y nombre de
los encargados de ejecutar las funciones de contingencia en caso de
suscitarse una emergencia.
6. El plan de contingencias ser un documento de carcter confidencial que
describa los procedimientos a seguir en caso de una emergencia o fallo
computacional que interrumpa la operatividad de los sistemas de
informacin. La aplicacin del plan permitir recuperar la operacin de los
sistemas en un nivel aceptable, adems de salvaguardar la integridad y
seguridad de la informacin.
7. El plan de contingencias aprobado, ser difundido entre el personal
responsable de su ejecucin y deber ser sometido a pruebas,

entrenamientos y evaluaciones peridicas, o cuando se haya efectuado

algn cambio en la configuracin de los equipos o el esquema de
procesamiento.
Anlisis
Esta norma nos da sugerencias para la creacin de plan de contingencia o
emergencia para los casos fortuitos que puedan suceder al momento de
manipular los dispositivos o software que contiene la informacin de la
empresa as como problemas o accidentes que pueden suscitarse con el
personal que trabaja en esta rea.
Ejemplo de aplicacin de la norma 410-11
El presidente de la empresa aprob el Estatuto Organizacional por Procesos
en donde se defini las atribuciones y responsabilidades de la Direccin de
Informtica, de igual manera se estableci la instancia de coordinacin de
las actividades que deba realizar. Las acciones que se desarrollaron en el
tema informtico no estuvieron enmarcadas en procesos de planes
estratgicos; tampoco se document los procedimientos existentes, ni se
ejecut acciones que deban ser coordinadas por la unidad.

Problema
Esta situacin se gener debido a que el Director de Informtica, no
consider todas las atribuciones y responsabilidades dispuestas en el
estatuto, as como no consider la aprobacin de los planes lo estipulado en
las normas de control interno relacionadas con la tecnologa de informacin
y comunicacin. Esto gener que la entidad no haya propiciado la utilizacin
masiva de las tecnologas de la informacin, ni haya generado espacios de
uso progresivo de servicios electrnicos.
Solucin
El Director de Informtica desarrollar un plan de implementacin de todas
las atribuciones y responsabilidades descritas en el Estatuto Orgnico por
Procesos de la entidad y en las Normas de Control Interno de la Contralora.
410-12 Administracin de soporte de tecnologa de informacin
La Unidad de Tecnologa de Informacin definir, aprobar y difundir
procedimientos de operacin que faciliten una adecuada administracin del
soporte tecnolgico y garanticen la seguridad, integridad, confiabilidad y
disponibilidad de los recursos y datos, tanto como la oportunidad de los
servicios tecnolgicos que se ofrecen.
Los aspectos a considerar son:
1. Revisiones peridicas para determinar si la capacidad y desempeo
actual y futuro de los recursos tecnolgicos son suficientes para cubrir los
niveles de servicio acordados con los usuarios.

2. Seguridad de los sistemas bajo el otorgamiento de una identificacin

nica a todos los usuarios internos, externos y temporales que interacten
con los sistemas y servicios de tecnologa de informacin de la entidad.
3. Estandarizacin de la identificacin, autenticacin y autorizacin de los
usuarios, as como la administracin de sus cuentas.
4. Revisiones regulares de todas las cuentas de usuarios y los privilegios
asociados a cargo de los dueos de los procesos y administradores de los
sistemas de tecnologa de informacin.
5. Medidas de prevencin, deteccin y correccin que protejan a los
sistemas de informacin y a la tecnologa de la organizacin de software
malicioso y virus informticos.
6. Definicin y manejo de niveles de servicio y de operacin para todos los
procesos crticos de tecnologa de informacin sobre la base de los
requerimientos de los usuarios o clientes internos y externos de la entidad y
a las capacidades tecnolgicas.
7. Alineacin de los servicios claves de tecnologa de informacin con los
requerimientos y las prioridades de la organizacin sustentados en la
revisin, monitoreo y notificacin de la efectividad y cumplimiento de dichos
acuerdos.
8. Administracin de los incidentes reportados, requerimientos de servicio y
solicitudes de informacin y de cambios que demandan los usuarios, a
travs de mecanismos efectivos y oportunos como mesas de ayuda o de
servicios, entre otros.
9. Mantenimiento de un repositorio de diagramas y configuraciones de
hardware y software actualizado que garantice su integridad, disponibilidad
y faciliten una rpida resolucin de los problemas de produccin.
10. Administracin adecuada de la informacin, libreras de software,
respaldos y recuperacin de datos.
11. Incorporacin de mecanismos de seguridad aplicables a la recepcin,
procesamiento, almacenamiento fsico y entrega de informacin y de
mensajes sensitivos, as como la proteccin y conservacin de informacin
utilizada para encriptacin y autenticacin.
Anlisis
La actual norma no guiara para el correcto desempeo y una adecuada
administracin del campo tecnolgico para dar garantas al momento de uso
de recursos y datos y mantener un correcto funcionamiento de los servicios
que ofrecen.
Ejemplo de Aplicacin de la Norma 410-12
No existe una poltica que regule el acceso remoto cuando se usa
herramientas como Virtual Network Computing (VNC) de computadoras
personales en la red, lo que se pudo evidenciar en una muestra revisada a
varios equipos del rea de Auditora, en los que no se encuentra configurada
la opcin de aceptacin de inicio del monitoreo o notificacin de conexin.

Problema
El que no exista una poltica que regule el acceso remoto cuando se usa
herramientas Virtual Network Computing (VNC), compromete la
confidencialidad y seguridad de la informacin de las computadoras
personales.
Solucin
Establecer polticas y procedimientos que regulen el acceso remoto
cuando se usa herramientas de monitoreo, para computadoras personales
en la red para no exponer la confidencialidad y seguridad de su informacin.
410-13 Monitoreo y evaluacin de los procesos y servicios
Es necesario establecer un marco de trabajo de monitoreo y definir el
alcance, la metodologa y el proceso a seguir para monitorear la
contribucin y el impacto de tecnologa de informacin en la entidad.
La Unidad de Tecnologa de Informacin definir sobre la base de las
operaciones de la entidad, indicadores de desempeo y mtricas del
proceso para monitorear la gestin y tomar los correctivos que se requieran.
La Unidad de Tecnologa de Informacin definir y ejecutar procedimientos,
mecanismos y la periodicidad para la medicin, anlisis y mejora del nivel
de satisfaccin de los clientes internos y externos por los servicios recibidos.
La Unidad de Tecnologa de Informacin presentar informes peridicos de
gestin a la alta direccin, para que sta supervise el cumplimiento de los
objetivos planteados y se identifiquen e implanten acciones correctivas y de
mejoramiento del desempeo.
Anlisis
Esta norma nos sugiere mantener un monitoreo de la informacin dentro de
la empresa, para con esto poder tomar los correctivos necesarios para
lograr la satisfaccin de los clientes.
Ejemplo de aplicacin de la norma 410-13
En varios casos de rectificaciones de tributos que se encontraban en estado
"Gestin de Cobro" no se emitieron las respectivas liquidaciones, situacin
presentada por la falta de control y monitoreo del sistema informtico al no
permitir el registro del recargo correspondiente sobre el valor rectificado.
Problema
Se determin que para varias rectificaciones de tributos, no se emitieron las
respectivas liquidaciones, permaneciendo en estado "Gestin de Cobro",
para el ingreso del recargo adicional en las rectificaciones de tributos;
situacin presentada por la falta de control y monitoreo del sistema
informtico por parte del Director Nacional de Mejora Continua y Tecnologas
de la Informacin al no permitir el registro del recargo adicional
correspondiente sobre el valor rectificado, ocasionando retrasos en la
recaudacin o el inicio de la accin coactiva.
Solucin

Se implementar en el sistema informtico un proceso que permita a la

Direccin Nacional de Intervencin, registrar la rectificacin de tributos, a fin
de generar automticamente la liquidacin, con el correspondiente detalle
de los rubros; considerando los intereses, posteriores al plazo estipulado
para el pago.