NORMAS DE CONTROL INTERNO PARA LAS ENTIDADES, ORGANISMOS DEL SECTOR PBLICO Y DE LAS PERSONAS JURDICAS DE DERECHO PRIVADO

QUE DISPONGAN DE RECURSOS PBLICOS 410 TECNOLOGA DE LA INFORMACIN

410-11 Plan de Contingencias Corresponde la definicin, aprobacin e implementacin de las acciones a tomar en caso de emergencia o suspensin en el procesamiento de la informacin por problemas de equipos, programas o personal relacionado. Planes a considerar: Respuesta a los riesgos, escenarios de contingencias, seguridad de la informacin, seguridad fsica y su cumplimiento. Definicin y ejecucin de procedimientos de control de cambios para que el plan de continuidad se mantenga actualizado y refleje los requerimientos actuales de la organizacin. Puesta en marcha de un centro de cmputo alterno propio o de uso compartido en un data center. Recuperacin de desastres con actividades previas, durante y despus del desastre. Designar un comit con roles especficos y nombre de los encargados de ejecutar las funciones de contingencia. Ser documento de carcter confidencial, el mismo que permitir salvaguardar la integridad y seguridad de la informacin. Difundir entre el personal responsable de la ejecucin y ser sometido a pruebas, entrenamientos y evaluaciones peridicas. 410-12 Administracin de soporte de tecnologa de informacin Definir, aprobar y difundir procedimientos de operacin que facilite una adecuada administracin del soporte tecnolgico y garanticen la seguridad, integridad confiabilidad y disponibilidad de los recursos y datos. Aspectos a considerar: Revisiones peridicas para determinar si los recursos tecnolgicos son suficientes para cubrir los niveles de servicio acordados con los usuarios.

Identificacin nica a los usuarios internos, externos y temporales que interacten con los sistemas. Estandarizacin de la identificacin, revisiones regulares y administracin de las cuentas. Medidas de prevencin, deteccin y correccin de virus informtico. Definicin y manejo de niveles de servicio y de operacin para los procesos crticos. Alineacin de los servicios claves. Administracin de los incidentes, requerimientos de servicio a travs de mecanismos efectivos. Mantenimiento de un repositorio de diagramas y configuraciones de hardware y software actualizado. Administracin adecuada de la informacin, respaldo y recuperacin de datos. Incorporacin de mecanismos de seguridad y proteccin y conservacin de la informacin. 410-13 Monitoreo y evaluacin de los procesos y servicios Establecer un marco de trabajo de monitoreo y definir el alcance, as como la metodologa y el procesos a seguir Se definir y ejecutar procedimientos, mecanismos y la periodicidad para la medicin, anlisis y mejora del nivel de satisfaccin de clientes internos y externos. Presentar informes peridicos de gestin a la alta Direccin para que supervise el cumplimiento de los objetivos e implantar acciones correctivas y de mejoramiento del desempeo. 410-14 Sitio web, servicios de internet e intranet Elaborar las normas, procedimientos e instructivos de instalacin, configuracin y utilizacin de los servicios de internet, intranet, correo electrnico y sitio web de la entidad, en base a las normativas y requerimientos de los usuarios externos e internos.

410-15 Capacitacin informtica Ser identificada tanto para el personal de tecnologa de informacin como para los usuarios, en base a un plan de capacitacin informtico conjuntamente con Talento Humano, orientado a los puestos de trabajo.

410-16 Comit informtico Previo a la creacin del Comit se debe considerar el tamao y complejidad de la entidad, la definicin clara de los objetivos y las funciones del Comit.

410-17 Firmas electrnicas Se ajustarn al procedimiento y operaciones conforme con la Ley de Comercio Electrnico, Firmas y Mensajes de Datos y su Reglamento. Las servidoras y servidores autorizados en utilizar la firma electrnica deben ajustarse y ser responsables en: Verificar mediante procesos automatizados de validacin. Cordinar y definir los formatos y tipos de archivo digitales para facilitar su utilizacin. Manejar las polticas internas de conservar en estado original los archivos electrnicos en medios seguros. Notificar cualquier cambio, modificacin o variacin de los datos de los certificados de firmas electrnicas. Sern responsables de su buen uso y proteccin de las claves de acceso. Renovar el certificado de firma electrnica con la debida anticipacin. Capacitarse respecto de las medidas de seguridad, condiciones, alcances, limitaciones y responsabilidades que deben observar en el uso de los servicios contratados.