NORMAS DE CONTROL INTERNO DE LA CONTRALORIA GENERAL DEL ESTADO
Descripción
Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo para procesos de tecnología de información que aseguren la transparencia y el control.
La Unidad de Tecnología de Información, estará posicionada dentro de la estructura organizacional de la entidad.
Actividades de asesoría y apoyo a la alta dirección y unidades usuarias; así como participar en la toma de decisiones de la organización
NORMAS DE CONTROL INTERNO DE LA
CONTRALORIA GENERAL DEL ESTADO
410 – 01 Organización Informática.
Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo para procesos
de tecnología de información que aseguren la transparencia y el control. La Unidad de Tecnología de
Información, estará posicionada dentro de la estructura organizacional de la entidad. Actividades de
asesoría y apoyo a la alta dirección y unidades usuarias; así como participar en la toma de decisiones de la
organización
410 -02 Segregación de funciones
Las funciones y responsabilidades del personal de tecnología de información y de los usuarios de los
sistemas de información serán claramente definidas y formalmente comunicadas para permitir que los
roles y responsabilidades asignados
410 – 03 Plan informático estratégico de tecnología
Administrara y dirigirá todos los recursos tecnológicos, el mismo que estará alineado con el plan
estratégico institucional y éste con el Plan Nacional de Desarrollo y las políticas públicas de gobierno.
Análisis de la situación actual y las propuestas de mejora con la participación de todas las unidades de la
organización, se considerará la estructura interna, procesos, infraestructura, comunicaciones,
aplicaciones y servicios a brindar
410-08 Adquisiciones de Infraestructura Tecnológica
Las adquisiciones tecnológicas estarán alineadas a los objetivos de la organización, principios de calidad
de servicio, portafolios de proyectos y servicios La Unidad de Tecnología de Información planificará el
incremento de capacidades, evaluará los riesgos tecnológicos, los costos y la vida útil de la inversión
410-04 Políticas y procedimientos
La Unidad de Tecnología de Información definirá, documentará y difundirá las políticas, estándares y
procedimientos que regulen las actividades relacionadas con tecnología de información y
comunicaciones en la organización
Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión de riesgos, al igual que
directrices y estándares tecnológicos.
LaUnidad de Tecnología de Información deberá promover y establecer convenios con otras organizaciones
o terceros a fin d e promover y viabilizar el intercambio de información interinstitucional
410-05 Modelo de información organizacional La Unidad de Tecnología de Información definirá el
modelo de información de la organización a fin de que se facilite la creación, uso y compartición de la
misma; y se garantice su disponibilidad, integridad, exactitud y seguridad
Se deberá generar un proceso de clasificación de los datos para especificar y aplicar niveles de
seguridad y propiedad.
410-06 Administración de proyectos tecnológicos.
Descripción de la natural Cronograma de Actividades Costo Total del Proyecto Estructura/ Servidor
Responsable Documentos Electrónicos Digitalizados Aprobado/ Comunicado Monitoreo / Control
410-07 Desarrollo y adquisición de software aplicativo
La adquisición de software o soluciones tecnológicas se realizarán sobre la base del portafolio de
proyectos y servicios priorizados
En los contratos realizados con terceros para desarrollo de software deberá constar que el derecho de
autor La implementación de software aplicativo adquirido incluirá los procedimientos de configuración,
aceptación y prueba personalizados e implantados Los derechos de autor del software desarrollado a la
medida pertenecerán a la entidad y serán registrados en el organismo competente Formalización con
actas de aceptación por parte de los usuarios, del paso de los sistemas probados y aprobados
Elaboración de manuales técnicos, de instalación y configuración; así como de usuario, los cuales serán
difundidos, publicados y actualizados permanentemente
410-09 Mantenimiento y Control de la Infraestructura Tecnológica
Se elaborará un plan de mantenimiento preventivo y/o correctivo de la infraestructura tecnológica sustentado en
revisiones periódicas y monitoreo Control y registro de las versiones del software que ingresa a producción
410-10 Seguridad de Tecnología de Información
Ubicación adecuada y control de acceso físico a la Unidad de Tecnología Obtención periódica de
respaldos en función a un cronograma En los casos de actualización de tecnologías de soporte se
migrará la información
410-11 PLAN DE CONTINGENCIAS Describe las acciones a tomar en caso de una emergencia o
suspensión en el procesamiento de la información por problemas en los equipos, programas o personal
relacionado. Plan de respuesta a los riesgos que incluirá la definición y asignación de roles críticos para
administrar los riesgos Plan de continuidad de las operaciones que contemplará la puesta en marcha de
un centro de cómputo alterno propio o de uso compartido El plan de contingencias será un documento
de carácter confidencial que describa los procedimientos a seguir en caso de una emergencia o fallo
computacional que interrumpa la operatividad de los sistemas de información
410-12 Administración de Soporte de Tecnología de Información
Revisiones periódicas para determinar si la capacidad y desempeño actual y futuro Seguridad de los
sistemas bajo el otorgamiento de una identificación única a todos los usuarios internos
410-13 Monitoreo y Evaluación de los Procesos y Servicios
Es necesario establecer un marco de trabajo de monitoreo y definir el alcance, la metodología y el
proceso a seguir para monitorear la contribución y el impacto de tecnología de información en la
entidad. La Unidad de Tecnología de Información presentará informes periódicos de gestión a la alta
dirección, para que ésta supervise el cumplimiento de los objetivos planteados y se identifiquen e
implanten acciones correctivas y de mejoramiento del desempeño.
410-14 Sitio web, servicios de internet e intranet Elabora normas, procedimientos e instructivos de
instalación, configuración y utilización de los servicios de internet, correo electrónico y sitio web de la
entidad, a base de las disposiciones legales y normativas y los requerimientos de los usuarios externos e
internos
410-15 Capacitación informática Las necesidades de capacitación serán identificadas tanto para el
personal de tecnología de información como para los usuarios que utilizan los servicios de información,
las cuales constarán en un plan de capacitación informático, formulado conjuntamente con la Unidad de
Talento Humano
410- 16 Comité Informático Tamaño y complejidad de la entidad Definición clara de los objetivos que
persigue la creación de un Comité de Informática Conformación y funciones del comité
410-17 Firmas electrónicas Verificación de autenticidad de la firma electrónica Coordinación
interinstitucional de formatos Conservación de archivos electrónicos Actualización de datos de los
certificados de firmas electrónicas Seguridad de los certificados y dispositivos portables seguros
Renovación del certificado de firma electrónica Capacitación en el uso de las firmas electrónicas Plan de
Aseguramiento Aceptación Formal