El documento habla sobre los enfoques y criterios de auditoría de TI que utiliza el Tribunal de Cuentas de la Unión (TCU) en Brasil para auditar la gestión y uso de recursos de tecnología de la información en la administración pública federal brasileña. El TCU emplea diferentes abordajes como auditorías operacionales y de conformidad, y se basa en criterios como buenas prácticas internacionales como COBIT e ISO, así como la legislación brasileña sobre TI y contrataciones públicas. El TCU evalúa aspectos como gobi
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...RenatoBraga34
Este documento resume una presentación sobre la evaluación del outsourcing y gobierno de TI en el sector público brasileño realizada por el Tribunal de Cuentas de la Unión (TCU) de Brasil. La presentación describe el proceso de auditoría del TCU para evaluar el gobierno de TI y el outsourcing en 12 agencias gubernamentales brasileñas. El TCU desarrolló criterios de auditoría y matrices para evaluar la estructura, procesos de contratación y gestión de servicios de TI outsourcing en las agencias. El objetivo era mejorar el
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
El documento describe la creación de una unidad especializada en auditoría de TI en el Tribunal de Cuentas de la Unión de Brasil. Explica que la unidad se creó para auditar el uso de recursos de TI en el gobierno federal brasileño de manera especializada. Detalla los pasos iniciales para estructurar la unidad, incluyendo identificar requisitos legales, inversiones en TI, y evaluar el gobierno de TI en agencias gubernamentales. También resume algunos de los principales resultados obtenidos por la unidad desde su creación.
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
El documento describe los pasos iniciales para establecer una unidad especializada de auditoría de TI en el gobierno brasileño. Resume que la unidad identificó los requisitos legales aplicables a la TI gubernamental, mapeó las inversiones en TI en todo el gobierno federal, y evaluó la madurez del gobierno de TI en las agencias gubernamentales.
Este documento describe los objetivos y metodología para formular el Plan Operativo de Sistemas de Información (POSI) de un municipio. Los objetivos incluyen definir subcomités de sistemas de información a nivel municipal y departamental, establecer un marco de interoperabilidad, diagnosticar la situación actual de los sistemas de información, y describir la metodología para formular el POSI. La metodología propone identificar necesidades de información, recolectar datos, diseñar entrevistas, y establecer requisitos funcionales y no
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
El documento resume una presentación sobre la situación actual de la seguridad y la evolución del Esquema Nacional de Seguridad en España. Se discute el progreso en la adaptación al Esquema, señalando que el grado de avance debería ser mayor. También se proponen mejoras futuras como establecer normas técnicas de seguridad obligatorias, mecanismos para monitorear periódicamente el estado de seguridad de las agencias gubernamentales, y esquemas de certificación para profesionales de seguridad.
UNE 166006. Asignatura Desarrollo con Tecnologías Emergentes, Grado de Ingeniería Informática, Escuela Técnica Superior de Informática, Universidad de Alcalá
El documento describe los esfuerzos de la Comisión de Probidad y Transparencia para implementar la Ley N° 20.285 sobre transparencia en Chile, incluyendo una amplia difusión de la ley, el desarrollo de sistemas electrónicos como un sitio web de gobierno transparente y un sistema de gestión de solicitudes, y el monitoreo del cumplimiento de la ley a través de mecanismos internos de control.
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...COIICV
El documento describe el proyecto de la Diputación de Valencia para migrar su Sistema de Información de Gestión y Recaudación de Tributos (SIGTR) a un modelo basado en la nube. Esto permitirá mejorar la disponibilidad, escalabilidad y seguridad del sistema, así como cumplir con estrictos SLA. La Diputación ha contratado a una empresa pública para dirigir el proyecto y se está trabajando en la adjudicación de un contrato público para implementar la nueva solución. El documento también detalla los requisitos de
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...RenatoBraga34
Este documento resume una presentación sobre la evaluación del outsourcing y gobierno de TI en el sector público brasileño realizada por el Tribunal de Cuentas de la Unión (TCU) de Brasil. La presentación describe el proceso de auditoría del TCU para evaluar el gobierno de TI y el outsourcing en 12 agencias gubernamentales brasileñas. El TCU desarrolló criterios de auditoría y matrices para evaluar la estructura, procesos de contratación y gestión de servicios de TI outsourcing en las agencias. El objetivo era mejorar el
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
El documento describe la creación de una unidad especializada en auditoría de TI en el Tribunal de Cuentas de la Unión de Brasil. Explica que la unidad se creó para auditar el uso de recursos de TI en el gobierno federal brasileño de manera especializada. Detalla los pasos iniciales para estructurar la unidad, incluyendo identificar requisitos legales, inversiones en TI, y evaluar el gobierno de TI en agencias gubernamentales. También resume algunos de los principales resultados obtenidos por la unidad desde su creación.
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
El documento describe los pasos iniciales para establecer una unidad especializada de auditoría de TI en el gobierno brasileño. Resume que la unidad identificó los requisitos legales aplicables a la TI gubernamental, mapeó las inversiones en TI en todo el gobierno federal, y evaluó la madurez del gobierno de TI en las agencias gubernamentales.
Este documento describe los objetivos y metodología para formular el Plan Operativo de Sistemas de Información (POSI) de un municipio. Los objetivos incluyen definir subcomités de sistemas de información a nivel municipal y departamental, establecer un marco de interoperabilidad, diagnosticar la situación actual de los sistemas de información, y describir la metodología para formular el POSI. La metodología propone identificar necesidades de información, recolectar datos, diseñar entrevistas, y establecer requisitos funcionales y no
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
El documento resume una presentación sobre la situación actual de la seguridad y la evolución del Esquema Nacional de Seguridad en España. Se discute el progreso en la adaptación al Esquema, señalando que el grado de avance debería ser mayor. También se proponen mejoras futuras como establecer normas técnicas de seguridad obligatorias, mecanismos para monitorear periódicamente el estado de seguridad de las agencias gubernamentales, y esquemas de certificación para profesionales de seguridad.
UNE 166006. Asignatura Desarrollo con Tecnologías Emergentes, Grado de Ingeniería Informática, Escuela Técnica Superior de Informática, Universidad de Alcalá
El documento describe los esfuerzos de la Comisión de Probidad y Transparencia para implementar la Ley N° 20.285 sobre transparencia en Chile, incluyendo una amplia difusión de la ley, el desarrollo de sistemas electrónicos como un sitio web de gobierno transparente y un sistema de gestión de solicitudes, y el monitoreo del cumplimiento de la ley a través de mecanismos internos de control.
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...COIICV
El documento describe el proyecto de la Diputación de Valencia para migrar su Sistema de Información de Gestión y Recaudación de Tributos (SIGTR) a un modelo basado en la nube. Esto permitirá mejorar la disponibilidad, escalabilidad y seguridad del sistema, así como cumplir con estrictos SLA. La Diputación ha contratado a una empresa pública para dirigir el proyecto y se está trabajando en la adjudicación de un contrato público para implementar la nueva solución. El documento también detalla los requisitos de
La modernidad de los Registros Públicos de la PropiedadIsauro Rios
El documento describe los esfuerzos para modernizar los Registros Públicos de la Propiedad en México a través de la tecnología electrónica para mejorar el servicio, optimizar los tiempos y fomentar el desarrollo económico. Se propone un Modelo Integral que estandarice los procesos registrales a nivel nacional mediante la reingeniería de procesos, tecnologías de información y certificaciones de calidad. Asimismo, se cuenta con un Programa de Modernización y lineamientos para la aplicación de recursos que buscan profes
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdffiretv7
Este documento describe la Norma UNE 166006 sobre sistemas de vigilancia tecnológica. La norma establece los requisitos para la implementación de un sistema de vigilancia tecnológica en cualquier organización y tiene como objetivo facilitar la formalización y estructuración del proceso de observación del entorno tecnológico para apoyar la toma de decisiones. La norma cubre temas como la identificación de necesidades de información, los procesos de búsqueda, tratamiento y validación de información, y la medición y mejora contin
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y homologar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos agrupados en 5 áreas funcionales que componen el marco y ofrece un caso práctico de cómo aplicar el MAAG-TIC al Plan Estatal de Desarrollo de Michoacán para implementar una iniciativa tecnológica de redes estatales.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y homologar las regulaciones de las tecnologías de la información en la administración pública federal de México. Se describe el método de aplicación del MAAG-TIC a nivel estatal y municipal a través de los planes de desarrollo y las iniciativas tecnológicas, con énfasis en la gobernanza y supervisión para asegurar el valor de las inversiones en TIC. También incluye
Este documento describe cómo la Superintendencia de Casinos de Juego (SCJ) implementó un sistema de gestión de procesos de negocio (BPM) utilizando Oracle BPM para mejorar la atención ciudadana. El proyecto modeló los procesos clave de SCJ como la atención de consultas, reclamos y denuncias, y automatizó el flujo de trabajo. Esto permitió a SCJ mejorar la eficiencia, transparencia y cumplimiento en la atención de solicitudes ciudadanas.
El documento describe la metodología COBIT, incluyendo su historia, objetivo, características y usuarios. COBIT es una metodología creada en 1992 para el control adecuado de proyectos de tecnología y flujos de información, contribuyendo a reducir las brechas entre objetivos de negocio y aspectos técnicos. Incluye dominios, procesos y actividades para la gestión de recursos de tecnología de la información.
El documento resume los conceptos clave de una auditoría informática. Explica que una auditoría informática evalúa y controla los sistemas informáticos de una organización para verificar que cumplen con las normas y políticas establecidas. También describe los requisitos para ser auditor informático, los objetivos de una auditoría y las herramientas utilizadas.
Este documento presenta 10 aspectos clave para implantar la Ley 39/2015 en una organización. Explica los derechos de las personas en la administración electrónica, mecanismos de identificación y firma, documentos a presentar, oficinas de asistencia, tramitación electrónica, resoluciones administrativas, notificación electrónica, archivo electrónico, seguridad jurídica y gestión del cambio. El objetivo final es mejorar los servicios públicos mediante el uso de las tecnologías de la información y las comunicaciones.
Proyecto para la Homologación Normativa de las TIAMIPCI
Estudio Preliminar del marco regulatorio, legal y de políticas sectoriales a nivel nacional y por entidad federativa en materia de tecnologías de la información (Homologación Normativa de las TI en la República Mexicana).
El SIAF es un sistema de registro único que permite la formulación, ejecución y control del presupuesto público, así como la contabilización y elaboración de estados financieros. Abarca al gobierno nacional, regional y local, y otros organismos del estado. El objetivo del SIAF es mejorar la gestión financiera de los recursos públicos a través de un sistema integrado.
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...PAÍS DIGITAL
El documento presenta una agenda digital 2020-2030 para Chile, con 4 prioridades: 1) conectividad universal, educación en TIC y reducción de brechas digitales; 2) gobierno abierto y digitalización de servicios públicos; 3) estrategia de innovación tecnológica y productiva; y 4) ciberseguridad y protección de datos. Se proponen medidas como triplicar la inversión en infraestructura de internet, aumentar trámites digitales del Estado, promover software libre, y fortalecer leyes que protejan la privacidad frente
Este documento describe la empresa Contraloría General de la República del Perú. Incluye su misión, visión, objetivos estratégicos, productos y servicios, y organigrama. También describe brevemente el área de TI, la cual está compuesta por un Gerente del Departamento de Tecnologías de la Información y varios departamentos como Desarrollo y Tecnología de la Información.
IFAC esta adelantando un ciclo de seminarios web con la Asociación Interamericana de Contabilidad. La serie fue desarrollada con el objetivo de fortalecer la relevancia y la reputación de las organizaciones profesionales de contabilidad en América Latina. La serie incluirá orientación y mejores prácticas sobre la implementación de normas y mejores prácticas internacionales.
En este seminario, escucharemos al representante del Colegio de Contadores Publicos de Costa Rica (CCPCR) sobre el valor de tener un sistema eficaz de investigación y disciplina para los contadores profesionales para asegurar la confianza del público y como la profesión debe salvaguardar la reputación y el buen nombre de nuestra práctica.
Este documento presenta una introducción al curso de Gerencia de Tecnologías de la Información impartido por el MSC Héctor Montoya Tobar. Se explican conceptos clave como sistemas de información, tipos de sistemas, funcionalidades de los ERP, y desafíos comunes en proyectos de TI. El objetivo del curso es desarrollar la comprensión de estrategias de tecnología asociadas a negocios.
El documento presenta la Encuesta de Tecnologías de la Información y las Comunicaciones en Empresas (ENTIC Empresas) realizada por el DANE y el Ministerio TIC. El objetivo es medir el acceso y uso de TIC en empresas colombianas. La encuesta recopila información sobre tenencia de TIC, conectividad, comercio electrónico, seguridad digital, teletrabajo y transformación digital e inteligencia artificial en empresas de los sectores industrial, comercial y de servicios.
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...RedAlerta
La tercera sesión titulada “Grupos colaborativos para la vigilancia competitiva: la experiencia de Red Alerta” está dedicada a la actividad desarrollada en los grupos colaborativos de la Red. Para ello contaremos con la participación de dos administradores de grupos: Francisco Ricau González, responsable del grupo temático en Tecnologías de la Información y la Comunicación por parte del Instituto Tecnológico de Informática (ITI); y David Santos González, responsable del grupo especializado en Financiación por parte de la Fundación Prodintec.
Gálatas 6:7 7 No os engañéis; Dios no puede ser burlado: pues todo lo que el hombre sembrare, eso también segará.
El versículo de Gálatas 6:7 nos recuerda que nuestras acciones tienen consecuencias inevitables. La idea de "sembrar y cosechar" subraya la ley de causa y efecto en la vida espiritual y moral. No podemos engañar a Dios ni evitar las repercusiones de nuestros actos. Si sembramos bondad, cosecharemos beneficios; si sembramos maldad, enfrentaremos adversidades. Este principio nos insta a vivir con integridad y a actuar de manera justa y amorosa, sabiendo que cada decisión y acción tiene un impacto duradero en nuestra vida y en la de los demás. Es un llamado a la responsabilidad y a la reflexión sobre nuestro comportamiento diario.
La modernidad de los Registros Públicos de la PropiedadIsauro Rios
El documento describe los esfuerzos para modernizar los Registros Públicos de la Propiedad en México a través de la tecnología electrónica para mejorar el servicio, optimizar los tiempos y fomentar el desarrollo económico. Se propone un Modelo Integral que estandarice los procesos registrales a nivel nacional mediante la reingeniería de procesos, tecnologías de información y certificaciones de calidad. Asimismo, se cuenta con un Programa de Modernización y lineamientos para la aplicación de recursos que buscan profes
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdffiretv7
Este documento describe la Norma UNE 166006 sobre sistemas de vigilancia tecnológica. La norma establece los requisitos para la implementación de un sistema de vigilancia tecnológica en cualquier organización y tiene como objetivo facilitar la formalización y estructuración del proceso de observación del entorno tecnológico para apoyar la toma de decisiones. La norma cubre temas como la identificación de necesidades de información, los procesos de búsqueda, tratamiento y validación de información, y la medición y mejora contin
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y homologar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos agrupados en 5 áreas funcionales que componen el marco y ofrece un caso práctico de cómo aplicar el MAAG-TIC al Plan Estatal de Desarrollo de Michoacán para implementar una iniciativa tecnológica de redes estatales.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y unificar las regulaciones TIC en la administración pública federal de México. Describe los 14 procesos clave del MAAG-TIC para la gobernanza y gestión efectiva de las TIC, y ofrece un caso práctico de cómo aplicar este enfoque en el Plan Estatal de Desarrollo de Michoacán.
Este documento presenta el Marco Rector de Procesos del MAAG-TIC, un manual administrativo general en materia de TIC para estandarizar, actualizar y homologar las regulaciones de las tecnologías de la información en la administración pública federal de México. Se describe el método de aplicación del MAAG-TIC a nivel estatal y municipal a través de los planes de desarrollo y las iniciativas tecnológicas, con énfasis en la gobernanza y supervisión para asegurar el valor de las inversiones en TIC. También incluye
Este documento describe cómo la Superintendencia de Casinos de Juego (SCJ) implementó un sistema de gestión de procesos de negocio (BPM) utilizando Oracle BPM para mejorar la atención ciudadana. El proyecto modeló los procesos clave de SCJ como la atención de consultas, reclamos y denuncias, y automatizó el flujo de trabajo. Esto permitió a SCJ mejorar la eficiencia, transparencia y cumplimiento en la atención de solicitudes ciudadanas.
El documento describe la metodología COBIT, incluyendo su historia, objetivo, características y usuarios. COBIT es una metodología creada en 1992 para el control adecuado de proyectos de tecnología y flujos de información, contribuyendo a reducir las brechas entre objetivos de negocio y aspectos técnicos. Incluye dominios, procesos y actividades para la gestión de recursos de tecnología de la información.
El documento resume los conceptos clave de una auditoría informática. Explica que una auditoría informática evalúa y controla los sistemas informáticos de una organización para verificar que cumplen con las normas y políticas establecidas. También describe los requisitos para ser auditor informático, los objetivos de una auditoría y las herramientas utilizadas.
Este documento presenta 10 aspectos clave para implantar la Ley 39/2015 en una organización. Explica los derechos de las personas en la administración electrónica, mecanismos de identificación y firma, documentos a presentar, oficinas de asistencia, tramitación electrónica, resoluciones administrativas, notificación electrónica, archivo electrónico, seguridad jurídica y gestión del cambio. El objetivo final es mejorar los servicios públicos mediante el uso de las tecnologías de la información y las comunicaciones.
Proyecto para la Homologación Normativa de las TIAMIPCI
Estudio Preliminar del marco regulatorio, legal y de políticas sectoriales a nivel nacional y por entidad federativa en materia de tecnologías de la información (Homologación Normativa de las TI en la República Mexicana).
El SIAF es un sistema de registro único que permite la formulación, ejecución y control del presupuesto público, así como la contabilización y elaboración de estados financieros. Abarca al gobierno nacional, regional y local, y otros organismos del estado. El objetivo del SIAF es mejorar la gestión financiera de los recursos públicos a través de un sistema integrado.
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...PAÍS DIGITAL
El documento presenta una agenda digital 2020-2030 para Chile, con 4 prioridades: 1) conectividad universal, educación en TIC y reducción de brechas digitales; 2) gobierno abierto y digitalización de servicios públicos; 3) estrategia de innovación tecnológica y productiva; y 4) ciberseguridad y protección de datos. Se proponen medidas como triplicar la inversión en infraestructura de internet, aumentar trámites digitales del Estado, promover software libre, y fortalecer leyes que protejan la privacidad frente
Este documento describe la empresa Contraloría General de la República del Perú. Incluye su misión, visión, objetivos estratégicos, productos y servicios, y organigrama. También describe brevemente el área de TI, la cual está compuesta por un Gerente del Departamento de Tecnologías de la Información y varios departamentos como Desarrollo y Tecnología de la Información.
IFAC esta adelantando un ciclo de seminarios web con la Asociación Interamericana de Contabilidad. La serie fue desarrollada con el objetivo de fortalecer la relevancia y la reputación de las organizaciones profesionales de contabilidad en América Latina. La serie incluirá orientación y mejores prácticas sobre la implementación de normas y mejores prácticas internacionales.
En este seminario, escucharemos al representante del Colegio de Contadores Publicos de Costa Rica (CCPCR) sobre el valor de tener un sistema eficaz de investigación y disciplina para los contadores profesionales para asegurar la confianza del público y como la profesión debe salvaguardar la reputación y el buen nombre de nuestra práctica.
Este documento presenta una introducción al curso de Gerencia de Tecnologías de la Información impartido por el MSC Héctor Montoya Tobar. Se explican conceptos clave como sistemas de información, tipos de sistemas, funcionalidades de los ERP, y desafíos comunes en proyectos de TI. El objetivo del curso es desarrollar la comprensión de estrategias de tecnología asociadas a negocios.
El documento presenta la Encuesta de Tecnologías de la Información y las Comunicaciones en Empresas (ENTIC Empresas) realizada por el DANE y el Ministerio TIC. El objetivo es medir el acceso y uso de TIC en empresas colombianas. La encuesta recopila información sobre tenencia de TIC, conectividad, comercio electrónico, seguridad digital, teletrabajo y transformación digital e inteligencia artificial en empresas de los sectores industrial, comercial y de servicios.
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...RedAlerta
La tercera sesión titulada “Grupos colaborativos para la vigilancia competitiva: la experiencia de Red Alerta” está dedicada a la actividad desarrollada en los grupos colaborativos de la Red. Para ello contaremos con la participación de dos administradores de grupos: Francisco Ricau González, responsable del grupo temático en Tecnologías de la Información y la Comunicación por parte del Instituto Tecnológico de Informática (ITI); y David Santos González, responsable del grupo especializado en Financiación por parte de la Fundación Prodintec.
Similar a Enfoques y criterios de auditoría de TI en las Entidades Públicas (20)
Gálatas 6:7 7 No os engañéis; Dios no puede ser burlado: pues todo lo que el hombre sembrare, eso también segará.
El versículo de Gálatas 6:7 nos recuerda que nuestras acciones tienen consecuencias inevitables. La idea de "sembrar y cosechar" subraya la ley de causa y efecto en la vida espiritual y moral. No podemos engañar a Dios ni evitar las repercusiones de nuestros actos. Si sembramos bondad, cosecharemos beneficios; si sembramos maldad, enfrentaremos adversidades. Este principio nos insta a vivir con integridad y a actuar de manera justa y amorosa, sabiendo que cada decisión y acción tiene un impacto duradero en nuestra vida y en la de los demás. Es un llamado a la responsabilidad y a la reflexión sobre nuestro comportamiento diario.
Enfoques y criterios de auditoría de TI en las Entidades Públicas
1. Enfoques y criterios de auditoría
de TI en las Entidades Públicas
Renato Braga, CISA, CIA, CGAP
Gerente de Auditoría
Tribunal de Cuentas de la Unión
3. • Dado un conjunto de casos de estudio basados en
trabajos del TCU, el participante estará en capacidad
de reconocer su forma de actuación, hasta el punto en
que identifique los abordajes y criterios utilizados por la
EFS del Brasil en sus auditorías de Tecnología de la
Información (TI).
Objetivo de la presentación
4. • ¿Qué es el TCU?
• Abordajes de auditoría de TI
• Criterios de auditoría
Agenda
5. Tribunal de Cuentas de la Unión
(la EFS del Brasil)
Misión: asegurar que la gestión de los recursos públicos sea
legal, efectiva y en provecho de la sociedad.
6. • Perfeccionamiento de la Administración Pública
Federal.
• Combate al desvío de dinero público, al fraude y a la
corrupción.
La actuación del TCU ocurre en dos
frentes …
7. • ¿Dónde?
– ¡Dónde hay dinero federal!
• ¿En quién?
– Cualquiera que lo emplee o cobre.
• ¿Aplicado en qué?
– Todo: obras, medicinas, ..., y TI.
Actuación
8. 8
• En agosto de 2006 (“Resolução TCU nº 193/2006”)
– “La Secretaría de Fiscalización de la Tecnología de la
Información (Sefti) tiene por finalidad fiscalizar la gestión
y el uso de los recursos de tecnología de la información
por la Administración Pública Federal” (traducción libre).
Creación de la Sefti
8
9. • Negocio: Control Externo del Gobierno de Tecnología
de la Información en la Administración Pública Federal.
• Misión: Asegurar que la Tecnología de la Información
agregue valor al negocio de la Administración Pública
Federal en beneficio de la sociedad.
Referencial Estratégico de la Sefti
9
10. 1
Proceso decisorio en el TCU
Ministro
Relator
TCU
(9 ministros)
Sefti
Informe de
los auditores
Informe, Voto y
Propuesta de Sentencia ("Ácordão”)
JuicioSentencia (“Acórdão”)
11. Agenda
• ¿Qué es el TCU?
• Abordajes de auditoría de TI
• Criterios de auditoría
12. Gobierno de TI
Seguridad de la información
Sistemas de información
Datos
Infraestructura de TI
Contrataciones
Programas y políticas
Auditorías
operacionales
o de
conformidad
Fuente: Manual de auditoría de TI del TCU (en revisión)
Diferentes abordajes
14. • Informaciones criminales de varios estados de Brasil
– gestión de la seguridad, control de acceso y
consistencia de datos.
Sistema Infoseg
(“Acórdão 71/2007-Plenário”)
15. • Contabilización de la recaudación de tributos (varios
sistemas)
– integridad, consistencia y disponibilidad de los datos.
Recaudación
("Ácordão n° 2.697/2007-1ª Câmara - Relação nº 26/2007-
GP”)
1
5
Avadas Darf
Darf
Recolhimento
SPB
Siafi Ancora
CIDA,
ITR
Irregularidades
Siafi
Clacon
Tabelas de
Classificação
SIPAG
Darf
Pagamentos
Restituições
Retificações
Compensações
(SRF)
Fita 50
Siafi
Informações
de
recolhimento
Darf
Tabelas de
Conversão
Risco 1
Risco 3
Risco 4
Sistemas
da SRF
Risco 2
Agentes
da RARF
Informações
de recolhimento
Informações
de recolhimento
$200
2172 05200
= $600$300
5629
$480
05201
$120
05202
153
= $480
100
= $164,60
$100
1070
26500
$24,60
26500
$50
26501
102
$20
26502
$100
7498
$200
$300
$100
$100
$480
$120
$50
= $50
$24,60
$20
Código da
Receita
(SRF)
Código de
Destinação
Origem
(STN)
Destinação
da Receita
(STN)
Fonte
(SNT/SOF)
2172
2172
2172
2172
5629
7498
1070
DARF
5629
5629
5629
7498
7498
7498
1070
1070
1070
24,6%
50%
20%
20%
80%
112
$5,40
= $5,40
$5,40
26503
= $100
5,4%
16. • En el módulo de consignaciones
– gestión de la seguridad, control de acceso y fraude.
Sistema Siape
("Ácordão 1.505/2007-Plenário")
1
6
17. • Cuestionario electrónico con 39 preguntas para cerca
de 250 órganos, y las respuestas debían tener
evidencias en anexo.
Situación del Gobierno de TI
("Ácordão 1.603/2008-Plenário")
Deficiências em Governança de TI
0% 20% 40% 60% 80% 100%
Não aloca gastos de TI de acordo com planejamento (51%)
Não adota processo de trabalho p/ contratação de TI (46%)
Não há transferência de conhecimento (57%)
Não há planejamento estratégico em vigor (59%)
Não segue metodologia de desenvolvimento sistemas (51%)
Não é efetuada gestão de níveis de serviços (74%)
Não foi realizada auditoria de TI nos últimos 5 anos (60%)
Não há carreiras específicas para TI (57%)
Não há política de segurança de informação (64%)
Não faz análise de riscos de TI (75%)
Não faz classificação da informação (80%)
Não há plano de continuidade de negócios (88%)
18. • Cuestionario en “form PDF” con 30 preguntas (pero
152 ítems) para cerca de 320 órganos, con algunas
novedades:
– Niveles de madurez para algunos procesos
– Mapeo de sistemas a las acciones del gobierno
– …
Situación del Gobierno de TI
("Ácordão 2.308/2010-Plenário")
Índice de governança de TI
Inicial Intermediária Aprimorada
Governança de TI x Orçamento de TI
R$ 100.000
R$ 1.000.000
R$ 10.000.000
R$ 100.000.000
R$ 1.000.000.000
R$ 10.000.000.000
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Índice de governança de TI
Inicial Intermediária Aprimorada
Governança de TI x Orçamento de TI
R$ 100.000
R$ 1.000.000
R$ 10.000.000
R$ 100.000.000
R$ 1.000.000.000
R$ 10.000.000.000
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
19. • En 12 órganos, pruebas en controles previstos en el
Cobit y pruebas sustantivas en contratos de servicios
de TI.
Evaluación del gobierno de TI y
conformidad de las contrataciones
("Ácordão 2.471/2008-Plenário")
QUESTÕES ACHADOS Mapa MEC MF MJ MRE MT UFRO BEP Besc Chesf TRF
4ª
TRT
13ª
7- É efetuada análise de
riscos na área de TI?
Análise de riscos de TI –
inexistência/falhas
x x x x x x x x x x
11- Há um Plan de
Continuidade do Negócio -
PCN - compatível com as
necessidades operacionais
do ente?
Plan de Continuidade do
Negócio – inexistência/falhas
x x x x x x x x x x x x
12- Há controles que
assegurem a segurança da
informação no ente?
Segurança da informação -
PSI – inexistência/falhas
x x x x x x x x x x x
Segurança da informação –
PCA – inexistência/falhas
x x x x x x x x x
13- Há política de cópias de
segurança formalmente
definida?
Política de cópias de
segurança –
inexistência/falhas
x x x x x x x x x x
20. • Tres evaluaciones:
– Coordinación y articulación del programa
– Mecanismos de monitoreo y evaluación como medio
de perfeccionamiento de la prestación de los
servicios electrónicos,
– Prestación de servicios públicos electrónicos
orientados directamente al ciudadano que tiene
acceso a Internet.
Programa de
gobierno electrónico
21. Agenda
• ¿Qué es el TCU?
• Abordajes de auditoría de TI
• Criterios de auditoría
22. • Buenas prácticas nacionales e internacionales (ejemplos)
– Cobit
– Itil y NBR ISO/IEC 20.000
– Serie NBR ISO/IEC 27.000
• Nuestra legislación (ejemplos)
– Instrucción Normativa 04/2008 – SLTI
– Instrucción Normativa 01/2008 – GSI
– Resolución 90/2009 – CNJ
– Resolución 99/2009 – CNJ
– Ley 8.666/1993 (ley de licitaciones y contratos públicos)
Criterios de auditoría de TI usados por
el TCU
24. • Art. 11. El Tribunal debe elaborar y mantener un Plan
Estratégico de TIC - PETI, alineado a las directrices
estratégicas institucionales y nacionales.
– Párrafo único. Deberá ser elaborado, con base en el
PETI, el plan director de Tecnología de la Información
y Comunicación (PDTI).
"Resolução 90/2009-CNJ”
(traducción libre)
24
25. • Art. 12. El Tribunal deberá constituir comité o comisión
responsable por orientar las acciones e inversiones en
TIC, observado el plan de que trata el artículo anterior.
– Párrafo único. Se recomienda que la composición del
comité o comisión sea multidisciplinar.
"Resolução 90/2009-CNJ”
(traducción libre)
25
26. IN 04/2008-SLTI
(traducción libre)
• Art. 3º Las contrataciones de que trata esta Instrucción
Normativa deberán ser precedidas de planificación,
elaborada en armonía con el Plan Director de
Tecnología de la Información - PDTI, alineado a la
estrategia del órgano o entidad.
26
27. • Art. 4º ...
– Párrafo único. La Estrategia General de Tecnología de la
Información deberá contener, por lo menos, los siguientes
elementos:
– ...
– III - modelo para elaboración de los PDTI que contenga,
por lo menos, las siguientes áreas: necesidades de
información alineada a la estrategia del órgano o
entidad, plan de inversiones, contrataciones de servicios,
adquisición de equipos, cuantitativo y capacitación de
personal, gestión de riesgos;
IN 04/2008-SLTI
(traducción libre)
27
28. • Art. 5º A los otros órganos y entidades de la Administración
Pública Federal, directa e indirecta, en su ámbito de
actuación, compete:
– I - coordinar las acciones de seguridad de la información y
comunicación;
– II - aplicar las acciones correctivas y disciplinares en los
casos de quiebra de seguridad;
– III - proponer presupuesto específico para las acciones de
seguridad de la información y comunicación;
– IV – nombrar Gestor de seguridad de la información y
comunicación;
IN GSI/PR nº 01/2008
(traducción libre)
28
29. • Art. 5º A los otros órganos y entidades de la Administración
Pública Federal, directa e indirecta, en su ámbito de
actuación, compete:
– V - instituir e implementar equipo de tratamiento y
respuesta a incidentes en redes computacionales;
– VI - instituir Comité de seguridad de la información y
comunicación;
– VII - aprobar Política de seguridad de la información y
comunicación y otras normas de seguridad de la
información y comunicación;
– VIII - enviar los resultados consolidados de los trabajos de
auditoría de Gestión de seguridad de la información y
comunicación para el GSI.
IN GSI/PR nº 01/2008
(traducción libre)
29
30. • Hay varias normas complementares.
– Ejemplo: Norma Complementar 04/IN01/DSIC/GSIPR,
“Establece directrices para el proceso de gestión
riesgos de seguridad de la información y
comunicación en los órganos o entidades de la
administración pública federal, directa e indirecta –
APF” (traducción libre)
• Disponibles (inclusive en español) en la dirección
http://dsic.gsi.gov.br
IN GSI/PR nº 01/2008:
¿Cómo implementar los controles?
30
31. • Ley 8.666/1993, art. 6º, inciso IX, interpretado por el
TCU en casos concretos (e.g., "Ácordão 953/2009-
Plenário") conduce al entendimiento de la
obligatoriedad de definir un proceso de software
anterior a la contratación de servicios de desarrollo o
manutención de software (requisito indispensable a la
definición del objeto de la licitación)
Otro ejemplo de criterio en la
legislación
32. ¿Y cómo aparecen los
criterios en las sentencias
(“Acórdãos”)?
32
33. • 9.1. determinar [al órgano] que:
– 9.1.1. elabore y apruebe un Plan Director de
Tecnología de la Información – PDTI, con observación
a las directrices constantes de la IN SLTI/MPOG
04/2008, art. 4, III, y de las prácticas contenidas en el
Cobit 4.1, proceso PO1 – Planificación Estratégica de
TI;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
34. • 9.1. determinar [al órgano] que:
– …
– 9.1.2. implante Comité de Tecnología de la
Información que involucre las diversas áreas del
[órgano] y que se responsabilice por alinear las
inversiones de tecnología de la información con los
objetivos institucionales y por apoyar la priorización
de proyectos que serán implantados, en atención a la
IN SLTI/MPOG 04/2008, art. 4º, IV, y considerando
directrices del Cobit 4.1, PO4.2 – Comité estratégico
de TI e PO4.3 – Comité director de TI;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
35. • 9.1. determinar [al órgano] que:
– …
– 9.1.4. defina un proceso de software antes de
contratar servicios de desarrollo o manutención de
software, con vinculación del contracto con el proceso
de software, sin el cual el objeto no estará
precisamente definido, en atención a Ley
8.666/1993, art. 6º, inc. IX, e à IN SLTI/MPOG
04/2008, art. 12, II;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
36. • 9.1. determinar [al órgano] que:
– …
– 9.1.7. implante Política de Seguridad de la
Información y Comunicación, con observación de la
Norma Complementar 03/IN01/DSIC/GSIPR, en
atención a la IN GSI/PR 01/2008, art. 5º, VII;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
37. • 9.1. determinar [al órgano] que:
– …
– 9.1.9. cree criterios de clasificación de las
informaciones, para que puedan recibir tratamiento
diferenciado conforme su grado de importancia,
criticidad y sensibilidad, con observación del ítem 7.2
da NBR ISO/IEC 27.002, en atención al Decreto
4.553/2002, art. 6º, § 2º, inciso II, e art. 67;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
38. • 9.1. determinar [al órgano] que:
– …
– 9.1.12. planifique las contrataciones de servicios de
tecnología de la información con uso del proceso
previsto en la IN SLTI/MPOG 04/2008, con
observación de la secuencia lógico-temporal de las
tareas y ritos de aprobación de los artefactos
producidos a lo largo del proceso;
“Acórdão 2.476/2010-Plenário”
(traducción libre)
39. • “Acórdão 786/2006-Plenário”
• “Acórdão 1.603/2008-Plenário”
• “Acórdão 2.471/2008-Plenário”
• “Acórdão 2.079/2009-Plenário”
¿Y hubo participación del TCU en el
surgimiento de esta legislación?
Objetivo estratégico 2 del TCU:
Contribuir para el perfeccionamiento
de la Administración Pública Federal.
40. • Dado un conjunto de casos de estudio basados en
trabajos del TCU, el participante estará en capacidad
de reconocer su forma de actuación, hasta el punto en
que identifique los abordajes y criterios utilizados por la
EFS de Brasil en sus auditorías de Tecnología de la
Información (TI).
Objetivo de la presentación