¿Qué es?

Los sistemas de información computarizados, incluyendo equipos (hardware) , programas (software) y personal, se generarán a partir de los requerimientos formalmente establecidos por los usuarios. Su ejecución partirá de un Plan Integral de Sistemas aprobado por el ejecutivo máximo y se sujetará a las disposiciones de la Dirección Nacional de Informática de la Contraloría General del Estado y de otros organismos competentes.
El Plan Integral de Sistemas contendrá como mínimo :
1. La definición de los sistemas de información automatizados que necesita la institución .
2. La priorización de los mismos
3. La base tecnológica requerida para su implementación (equipos, programas y personal)
4. El presupuesto financiero
5. El cronograma de las actividades principales a desarrollar para la ejecución del plan.
Para la incorporación de nuevos sistemas y para la actualización o crecimiento de los existentes, se utilizará tecnología probada y actual, tanto en los equipos como en los programas de soporte computacional (software de base).
El proceso de desarrollo de sistema seguirá una metodología que comprenda al menos :
1. Un análisis de factibilidad
2. Una propuesta de desarrollo
3. Un diseño conceptual y físico
4. Una prueba de aceptación luego de una etapa de trabajo en paralelo
5. Un plan de implantación que considere :
5.1 Capacitación
5. 2 Adecuación a los nuevos sistemas
5.3 Mantenimiento.
Esta metodología incorporará en todas sus fases, la participación de todos los usuarios y de la Unidad de Auditoria Interna, donde esta exista, así como instancias de aprobación y aceptación escritas por parte de los usuarios directamente involucrados y la entrega obligatoria de la documentación detallada de cada fase, del sistema en general y de su operación o del usuario.
En caso de adquisición de programas computacionales (paquetes) se preverán tanto en el proceso como en los contratos respectivos, mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos del usuario, la obtención de la licencia de uso legalizada, la recepción de los programas, diseños, documentación en general y la garantía ofrecida por el proveedor.

PRODUCCIÓN, OPERACIÓN Y MANTENIMIENTO

Para los sistemas incorporados a su gestión, en cada entidad se elaborarán procedimientos formales y detallados del
funcionamiento y operación, tanto a nivel de usuarios como de la unidad de sistemas de información computarizados.
Los sistemas en producción se someterán a constantes pruebas y evaluaciones para identificar inconsistencias o inconformidades respecto a su funcionamiento. Para solucionar estas deficiencias se aplicarán los procedimientos de mantenimiento de los sistemas, los mismos que serán definidos por la entidad .
El mantenimiento comprenderá tanto a los equipos como a los programas, especialmente cuando se trate de programas comerciales de constante actualización .

ACCESO A LOS SISTEMAS Y MODIFICACIÓN DE LA INFORMACIÓN

El ejecutivo máximo de cada entidad pública o por su delegación los directivos y jefes de unidades administrativas, establecerán las medidas que permitan acceder y modificar los datos e información contenidos en los sistemas computarizados sólo a personal autorizado. Estas se concretarán en controles de acceso físico y lógico.
Entre los controles de acceso físico a los puntos terminales del sistema de información computarizado se tendrán a los siguientes:
1. Mantener los puntos terminales bajo llave
2. Mantener los puntos terminales bajo supervisión directa
3. Utilizar llaves para operar los puntos terminales.
Entre los controles de acceso lógico a los sistemas y la información contenida en el computador, se utilizará :
1. Claves de acceso (palabras secretas)
2. Rangos limitados de actividades (menúes restringidos)
3. Perfiles de acceso, de acuerdo a las funciones y jerarquías de los usuarios
4. Una bitácora de operación de los sistemas llevada en forma manual o computarizada, la misma que consistirá en al menos :
4.1 Un registro de utilización de cada uno de los sistemas por cada uno de los usuarios
4.2 Registro de los intentos de acceso no autorizados
4.3 Implantación de circuitos especiales que identifican al dispositivo terminal como autorizado para acceder a los sistemas.
Se entenderá por "puntos terminales" a los terminales de computación, los microcomputadores independientes y los conectados a otros equipos, ya sea en la modalidad de red o multiusuario, y todos aquellos dispositivos que permitan la intercomunicación directa del usuario con el computador.

INGRESO DE DATOS PARA PROCESAMIENTO

El ejecutivo máximo de cada entidad pública o por su delegación los directivos y jefes de las unidades administrativas serán responsables de asegurar que los sistemas tengan controles manuales o automáticos de validación de los datos a ser ingresados para procesamiento.
Una parte esencial de la validación serán los procedimientos para verificar que la información registrada en los documentos fuente sea pertinente y para identificar errores de formato, campos faltantes y el ajuste de valores dentro de límites de razonabilidad para ese proceso.
Otro aspecto importante constituirán los procedimientos que garanticen el ingreso al computador solo de datos válidos en el contexto del procesamiento al que van a ser sometidos; es decir, que sean consistentes con los archivos maestros, estén balanceados, sean íntegros, exactos, completos e ingresen una sola vez.

TRANSACCIONES RECHAZADAS

En sistemas computarizados que procesen transacciones, aquellas que no cumplan con las características establecidas para su ingreso al computador serán devueltas al usuario o incluidas en un archivo de transacciones en suspenso para su posterior corrección. Una vez corregidas serán sometidas a los mismos mecanismos de control establecidas para las transacciones originales.
El proceso de corrección de estas transacciones será definido de manera que se cumpla oportunamente y con eficiencia.
De acuerdo a las necesidades de información y al menos al fin de cada mes, el responsable final de la información revisará las transacciones rechazadas que se mantengan pendientes y tomará las acciones para su corrección.
Se mantendrá un registro u otro tipo d e control sobre las transacciones rechazadas y el estado en que se encuentra cada una.
Así mismo se realizarán periódicamente análisis estadísticos y de excepción de las transacciones rechazadas para detectar errores repetitivos y adoptar medidas que eviten su recurrencia.

PROCESAMIENTO Y ENTREGA DE DATOS

El ejecutivo máximo de cada entidad pública o por su delegación los ejecutivos y jefes de las unidades administrativas establecerán para los sistemas de carácter administrativo, financiero y técnico controles para asegurar que los datos procesados y la información obtenida sean consistentes, completos y correspondan al período correcto. Estos controles podrán ser manuales o automáticos y según el tipo de información procesada podrán consistir en :
1.- Totalización de valores críticos, antes y después del procesamiento.
2.- Verificación de compatibilidad de fechas y números de transacciones.
3.- Conciliación del número de movimientos y modificaciones de los datos.
4.- Balanceo de saldos o totales de conciliación.
5.- Utilización correcta de archivos para procesamiento.
6.- Verificación de que los datos trasmitidos hayan sido completos e íntegros.
7.- Consistencia en la recuperación de las transacciones, luego de una interrupción del procesamiento.
8.- Validez de los datos generados automáticamente.
9.- Generar rastros o pistas de auditoria.
La información procesada será entregada de forma oportuna y completa, a los usuarios autorizados, dejando constancia escrita de esta entrega.

SEGREGACIÓN DE FUNCIONES

El ejecutivo máximo de cada entidad pública definirá y aprobará la estructura organizativa y funcional de la unidad de Sistemas de Información Computarizados (SIC), separando las responsabilidades individuales de los usuarios internos y de los servidores de dicha unidad, de manera que se evite la concentración de funciones que creen riesgos de cometimiento de errores o irregularidades.
Así mismo definirá la estructura jerárquica necesaria para el adecuado funcionamiento de los sistemas de información computarizados, en lo que respecta a la dirección, supervisión y operación en la parte técnica y al enlace entre las unidades de sistemas de información computarizados y sus usuarios.
Para el adecuado funcionamiento de los sistemas de información computarizados, los usuarios generalmente asumirán la responsabilidad sobre la iniciación y aprobación de transacciones, así como sobre la idoneidad, consistencia y seguridad de los datos ingresados para procesamiento. Los servidores de la unidad de Sistemas de Información Computarizados serán responsables del procesamiento y distribución de la información obtenida como resultado, así como de la seguridad e integridad de los datos informados.
En los casos de los sistemas que funcionen independientemente de la unidad de Sistemas de Información Computarizados, se debe compensar la falta de segregación de funciones incorporando controles por parte del usuario que podrán consistir en :
1.- Mantener registros por tipo de transacción.
2.- Obtener totales de control de datos permanentes.
3.- Conciliar los datos ingresados con la información de salida.
4.- Revisar todos los datos de entrada y salida considerados significativos.
5.- Supervisar directamente la utilización de los sistemas.
Para garantizar la confiabilidad de la operación de la unidad de Sistemas de Información Computarizados, esta mantendrá una división funcional que permita segregar la administración de la unidad, el desarrollo de sistemas, el mantenimiento del software de base, la operación del computador (incluyendo biblioteca y archivos), el control y la seguridad de los datos.
Por unidad de Sistemas de Información Computarizados se entenderá al área responsable de desarrollar, actualizar y operar los sistemas computarizados, a nivel de toda la institución o de una parte de ella.

CAMBIOS A LOS PROGRAMAS

Las modificaciones a los programas de un sistema de información computarizado que no signifiquen desarrollo de nuevos sistemas o subsistemas, pero que impliquen cambios en los resultados generados por el computador, seguirán un procedimiento que se inicie con la petición formal de los usuarios y especifique las autorizaciones internas a obtener antes de su aplicación. Dichas modificaciones quedarán adecuada y completamente documentadas.

SEGURIDAD GENERAL EN LOS CENTROS DE PROCESAMIENTO DE DATOS

Los centro de procesamientos de datos de la institución establecerán mecanismos que protejan y salvaguarden, contra pérdidas y fugas, los medios físicos (equipos y programas) y la información. Con este fin aplicarán por lo menos las siguientes medidas :
1.- Procedimientos de acceso físico restringido al centro de procesamiento de datos, biblioteca magnética, documentos, datos y documentación de los programas.
2.- Obtención periódica de respaldos y ubicación física de los más importantes en lugares resguardados, fuera de los centros de procesamiento de datos.
3.- Seguridades e instalaciones físicas adecuadas.
4.- Un plan de contingencia que prevea las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas con los equipos, con los programas o con el personal.
5.- Procedimiento de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana.
Se entenderá por centro de procesamiento de datos al área física donde se ubiquen el o los computadores que almacenan la información.

UTILIZACIÓN DE LOS EQUIPOS, PROGRAMAS E INFORMACIÓN INSTITUCIONAL

El ejecutivo máximo de cada entidad pública o por su delegación los directivos y jefes de las unidades administrativas, establecerán procedimientos para asegurar el uso eficiente, efectivo y económico de los equipos, programas de computación e información computarizada, a través de :
1.- El registro y seguimiento de la operación de los mismos.
2.- La capacitación de los funcionarios en la utilización de los equipos y programas.
3.- La evaluación periódica de los objetivos cumplidos mediante la computarización.
Los equipos y programas serán utilizados exclusivamente en las actividades propias de la institución.
La información obtenida del proceso computarizado será de uso e intercambio entre las instituciones del sector público, con excepción de aquella considerada expresamente reservada o de uso restringido. En el caso de fijarse un precio para la información a proporcionar a estas entidades, el mismo considerará únicamente los costos de su obtención, procesamiento y transmisión que será materia del Reglamento pertinente.

APROVECHAMIENTO DE LOS RECURSOS COMPUTARIZADOS DEL SECTOR PÚBLICO

El ejecutivo máximo de la entidad pública establecerá mecanismos que aseguren eficiencia, efectividad y economía en el aprovechamiento de los recursos computarizados (equipos, programas e información) del sector público.
Estos mecanismos promoverá y viabilizarán el intercambio de información interinstitucional así como de programas de aplicación desarrollados al interior de las instituciones.
Complementariamente, la Dirección Nacional de Informática autorizará la adquisición de bienes y servicios para sistemas computarizados, tomando en cuenta la compatibilidad tanto en equipos como en programas que permita la interconexión de los sistemas y mantendrá un registro del Parque Informático del Sector Público. Esta última información será difundida periódicamente a las instituciones interesadas, a nivel nacional.
Cada entidad pública deberá mantener un registro de los equipos y programas que posee, para que puedan ser considerados en el Parque Informático del Sector Público.
El Parque Informático del Sector Público estará conformado por la suma de los equipos, programas e información computarizados (software y hardware) que posean las entidades gubernamentales.