Download - Normas Téc en TI y Comunics
-
Contralora General de la RepblicaDivisin de Gestin de Apoyo
Unidad de Tecnologas de Informacin
Normas Tcnicas enTecnologas de Informacin y Comunicaciones
Informe final Versin 1.0.0Julio 2009
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3
Introduccin
Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI),
en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios bsicos de control que deben ser observados
en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la fiscalizacin.
De manera congruente con este objetivo, estos criterios bsicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009-
CO-2009, como lo consigna la norma No. 5.9:
5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus
competencias, deben propiciar el aprovechamiento de tecnologas de informacin
que apoyen la gestin institucional mediante el manejo apropiado de la informacin
y la implementacin de solu ciones giles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologas de informacin, emitida por
la CGR.
Conscientes de que las tecnologas de informacin constituyen un factor crtico y
estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de
soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuacin se emite un informe con los principales aspectos desarrollados en la
Contralora General, como Administracin Activa, en atencin de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos
a su fiscalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para
cumplir con la serie de criterios bsicos de gestin y control de las NT.
-
4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento
razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto
obste para ir profundizando y actualizando los resultados obtenidos, as como para
atender nuevos requerimientos derivados de la normativa y del entorno.
Metodologa
Para atender la normativa se inici con el trabajo de preparacin delineado en el
artculo 6 de la Resolucin No. R-CO-26-2007, a saber:
La constitucin de un equipo de trabajo.
La designacin de un responsable del proceso de implementacin,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan definido.
El estudio detallado de las normas tcnicas referidas, para identificar las que
apliquen a la entidad u rgano de conformidad con su realidad tecnolgica
y con base en ello establecer prioridades de implementacin.
Una planificacin debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos tcnicos.).
Para su implementacin, la seora Contralora, mediante oficio No. CO-0272 del 15 de
agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente,
que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas
de informacin y comunicacin de la Contralora, y que apoya en su implementacin
y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 5
El equipo de trabajo est coordinado por la seora Subcontralora.
La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura
de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin
distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio
de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de
la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en
general y sobre el componente funcional de Sistemas de Informacin en particular.
Se elabor un diagnstico institucional sobre el estado de TI con respecto a las
NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de
ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit
Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por
este comit y tomado como base para la implementacin de las NT. Ver minuta Nro.
3 del 12 de marzo de 2008, acuerdo 1, apartado 3.
Asimismo, se planific la implementacin de las NT con base al cronograma resultante
del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1
Cronograma de Implementacin.
El contenido del informe consigna en negrilla el texto de las normas y seguidamente,
se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los
cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su
versin digital.
-
Captulo INormas de Aplicacin GeneralCaptulo INormas de Aplicacin General
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 9
Captulo INormas de Aplicacin General
1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la
organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco
estratgico constituido por polticas organizacionales que el personal comprenda y con
las que est comprometido.
1.1.1 Con la representacin de las reas sustantivas y de apoyo de
la CGR, se elabor para su puesta en marcha y ejecucin el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC),
del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual
Operativo las Unidades han incorporado los proyectos correspondientes
para dar cumplimiento al dimensionamiento estratgico y tctico de
TI, todo debidamente alineado al Plan Estratgico Institucional. Ver
documentos PETIC y PETAC.
1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1
mediante charlas generales y especficas; as como por su publicacin en
la Intranet institucional, logrando el compromiso de los patrocinadores y
funcionarios en el desarrollo de soluciones tecnolgicas.
1.1.3 El CGTIC analiz la cartera de proyectos y estableci las
prioridades de ejecucin de los mismos, recomendando al Despacho
de las seoras Contraloras su incorporacin en el PTAC.
-
10 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
1.2 Gestin de la calidad
La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
1.2.1 Se elabor un manual para la gestin y aseguramiento de la
calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,
el cual ser aplicado a partir del segundo semestre del 2009. Ver
documento NTP8 Marco General para la Gestin de la Calidad en TIC.
1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de
decisiones relacionadas con el mejoramiento continuo, se desarroll e
implement un sistema de informacin dirigido al registro de solicitudes
de servicio y de su solucin, los tiempos empleados y el procedimiento
ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS),
disponible en la Intranet, permite la medicin y el control de calidad,
especialmente en el servicio de soporte tcnico que se brinda en la UTI.
1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo
de sistemas de informacin automatizados y la gua para el desarrollo de
proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante
una mayor participacin de los patrocinadores de proyectos en el
desarrollo y pruebas de las soluciones tecnolgicas. Ver documento
NPT7 Metodologa para el desarrollo de proyectos de TIC.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 11
1.3 Gestin de riesgos
La organizacin debe responder adecuadamente a las amenazas (ver este concepto con
respecto a la definicin , no son solo amenazas) que puedan afectar la gestin de las
TI, mediante una gestin continua de riesgos que est integrada al sistema especfico
de valoracin del riesgo institucional y considere el marco normativo que le resulte
aplicable.
1.3.1 Se definieron y valoraron los riesgos de TI integrados a la
valoracin de riesgos institucional, generando un manual de riesgos y
una seleccin de los principales riesgos a considerar. Ver documento
NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la
Gua para desarrollo de soluciones tecnolgicas.
1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.
1.4 Gestin de la seguridad de la informacin
La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin
o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para
ello debe documentar e implementar una poltica de seguridad de la informacin y
los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa en
relacin con los siguientes aspectos:
1.4.1 La implementacin de un marco de seguridad de la informacin.
La CGR elabor un Marco de Seguridad para su aplicacin en toda la
Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver
documento NTP10_Marco de Seguridad en Tecnologas de Informacin.
-
12 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
1.4.2 El compromiso del personal con la seguridad de la informacin.
Mediante la elaboracin, implementacin y divulgacin del manual
denominado Lineamientos y directrices de seguridad, toda la organizacin
se encuentra comprometida con el tema de la seguridad en general.
En adicin, se han impartido charlas especficas sobre seguridad
al personal, se ha insertado la seguridad va mensajes por correo
electrnico y mediante artculos en el sitio Web del Club de tecnologas
y enviados por e-mail. Ver documento Directrices sobre Seguridad y
Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de
seguridad perimetral que involucra control de acceso electrnico en
reas de seguridad, cmaras para vdeo vigilancia, sensores de humo,
alarma contra incendio, extintores, sistema de supresin de fuego
especializado para equipo de computo registro en cmara y fsico
de ingresos al Centro de Procesamiento de Datos y una ubicacin
estratgica del mismo.
1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad
en las operaciones se da en trminos de la ejecucin de procedimientos
elaborados con el fin de asistir al funcionario que realice estas actividades
y la supervisin de las mismas, as como de las comunicaciones. Se
incorporaron certificados digitales en los servicios sensitivos de acceso
al pblico; como declaraciones juradas, acorde con la autenticidad,
integridad y confidencialidad de las transacciones que requiere la
CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de
Informacin.
1.4.5 El control de acceso. Mediante un sistema de asignacin
de roles y privilegios en uso, no slo se controla el acceso lgico a
la informacin, sino que tambin se facilita el seguimiento de las
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 13
operaciones realizadas por los usuarios de los sistemas de informacin
operando. A lo interno los niveles gerenciales y de jefatura son los que
definen los roles y privilegios que sus funcionarios pueden tener para
acceder a determinada aplicacin; hacia lo externo es el mximo jerarca
de la entidad quien define estas asignaciones y en ambos casos deben
realizar solicitud formal para que sea aplicada. La asignacin de roles
y privilegios es una funcin que ha venido asumiendo el Centro de
Operaciones de la CGR y en casos muy calificados el Patrocinador del
sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de
Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.6 La seguridad en la implementacin y mantenimiento de software
e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo
de proyectos de TI, la UTI cuenta con un ambiente controlado e
independiente, destinado a la ejecucin de desarrollo de aplicaciones
que aseguren la no interferencia con las operaciones diarias y que
garanticen el cumplimiento de los requerimientos de usuario, un
ambiente para efectos de pruebas de usuario y capacitacin, as como
obviamente el ambiente para sistemas operando.
1.4.7 La continuidad de los servicios de TI. Se desarroll e implement
el Sistema de informacin para la continuidad de los servicios de TI
(SCS), disponible en la Intranet, que permite el registro y actualizacin
de eventos que afecten los servicios, su solucin, su criticidad y su
impacto, recursos, escalabilidad, procedimientos de recuperacin y
responsables.
1.4.8 El acceso a la informacin por parte de terceros y la contratacin
de servicios prestados por stos. Para efectos de acceso a la informacin
por parte de terceros, se requiere de convenios o contratos previamente
establecidos, o de la solicitud del jerarca de una institucin, para la
-
14 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
asignacin de un rol que le facilite la consulta controlada. De igual
manera, aplica para la contratacin de servicios a terceros, en donde
se establecen clusulas especficas sobre la confidencialidad de la
informacin. Ver DSUTIC.
1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema
Integrado de Gestin y Documentos (SIGYD). Los documentos se
clasifican por tipos documentales y estn disponibles de acuerdo con la
tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios
de informacin se responsabiliza por administrar eficientemente la
documentacin fsica y electrnica. Desde el punto de vista de TI, se
mantiene un estndar de documentacin para proyectos de tecnologa.
1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La
UTI mantiene como poltica la administracin de contratos relacionados
con TI, a travs de los coordinadores; segn especialidad y afinidad,
con el objetivo de un control peridico y directo sobre la ejecucin, su
continuidad, rescisin o la resolucin del mismo.
1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit
de Salud Ocupacional que se ocupa permanentemente de este tema y
con el cual se ha coordinado la ergonoma de los puestos de trabajo y
su entorno.
1.5 Gestin de proyectos
La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos,
satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto
ptimos preestablecidos.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 15
1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se
desarrollo. Ver documento NTP7 Metodologa para el desarrollo de
proyectos de TIC.
1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los
proyectos son liderados y administrados por los patrocinadores,
con la asesora e incorporacin de la UTI, quien busca mediante la
coordinacin de proyectos su integracin y la orientacin para satisfacer
las necesidades en cuanto a calidad, tiempo y presupuesto.
1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por
el Despacho de las seoras Contraloras y que se encuentra incorporado
en el PTAC, el cual es un documento viviente que se actualiza de
acuerdo con las nuevas necesidades y disposiciones. Ver minutas de
seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratgicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC
para la toma de decisiones relacionadas con aspectos estratgicos de
tecnologas de informacin, atendiendo sus recomendaciones sobre
prioridad de ejecucin de las inversiones en TI, asignacin de recursos
y ejecucin de proyectos.
1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin
tecnolgica y que se encarga de analizar en primera instancia los
-
16 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
requerimientos de las unidades y que estn relacionados con TI, para
posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,
PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI
La organizacin debe identificar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR,
el cual es de actualizacin permanente en trminos de leyes, normativa,
resoluciones y contratos, entre otros, con el propsito de evitar posibles
conflictos legales que lleguen a ocasionar eventuales perjuicios
econmicos y de otra naturaleza a la institucin. Ver documento NTP15
Marco Jurdico en Tecnologas de Informacin.
-
Captulo IIPlanificacin y organizacinCaptulo IIPlanificacin y organizacin
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 19
Captulo II Planificacin y organizacin
2.1 Planificacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes
y emergentes.
2.1.1 El funcionamiento de las TI es centralizado y opera con base al
Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC.
2.1.2 Los coordinadores patrocinadores de proyecto se renen
peridicamente, convocados por la UTI, para compartir avances e
integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio
en el contexto del seguimiento trimestral y la evaluacin semestral y
anual del PAO, en coordinacin con la UTI para establecer los ajustes
que sean necesarios de aprobacin en las instancias superiores. La
comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los
avances en los proyectos a efectos de recomendarle al CGTIC lo que
corresponda. De todo este trabajo se llevan minutas por parte de los
lderes y reportes de avance segn corresponda.
2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y
actualizacin de los planes de TI como apoyo a la gestin de TI.
-
20 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
2.2 Modelo de arquitectura de informacin
La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas
de informacin de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI)
tomando como insumo principal la nueva versin del manual general
de fiscalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo
MAGEFI y define el modelo a nivel de insumos, actividades y productos
de los procesos de la CGR. Se continuar con su evolucin integral
alineado al desarrollo de la documentacin de los procedimientos
derivados de estos mismos procesos. El modelo de Arquitectura de
Informacin sirve de base para actualizar el PTAC y ha sido divulgado para
su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura
de informacin y el Manual General de Fiscalizacin (MAGEFI).2.3 Infraestructura tecnolgica
La organizacin debe tener una perspectiva clara de su direccin y condiciones en
materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinmica y evolucin de las TI.
2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI definido en el PETIC.
Con base en este direccionamiento, anlisis de capacidad de TI, riesgos,
y al monitoreo del entorno, se elabora el presupuesto y se realizan las
compras relacionadas.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 21
2.4 Independencia y recurso humano de la Funcin de TI
El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario
para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente,
competente y a la que se le haya definido, de manera clara y formal, su responsabilidad,
autoridad y funciones.
2.4.1 El PETIC garantiza una visin institucional y promueve la
independencia funcional en el desarrollo de soluciones tecnolgicas.
Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su
independencia funcional se ve fortalecida por medio de una participacin
directa del Despacho en distintas comisiones ad hoc enfocadas a la
funcin de TI en la Institucin, por la existencia de una cartera de
proyectos a desarrollar y la existencia del CGTIC.
2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde
con la gestin estratgica de TI. Cada uno de sus integrantes conoce
muy bien sus obligaciones y responsabilidades. Su organizacin es
plana y especializada por reas.
2.4.3 El equipo de trabajo de la UTI es personal muy calificado,
competente, motivado y actualizado de acuerdo con el plan de
capacitacin.
-
22 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
2.5 Administracin de recursos financieros
La organizacin debe optimizar el uso de los recursos financieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,
se deriva del PTAC y es aprobado por el Despacho con base en las
recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento
al PETIC-PTAC.
-
Captulo IIIImplementacin de tecnologas de informacin
Captulo IIIImplementacin de tecnologas de informacin
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 25
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia con su
marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura
tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes de implementacin o mantenimiento de TI.
3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin
de una ficha que de manera simple indique sus alcances, objetivos,
recursos, relaciones, tiempos estimados y factores crticos de xito.
Esta solicitud representada por la ficha compite con otros proyectos de
inters de los patrocinadores. El ajuste de soluciones tecnolgicas por
solicitud del patrocinador, requiere de un formulario de requerimientos.
Ver documento NTP7 Metodologa para el desarrollo de proyectos de
TIC.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca como de las reas usuarias.
3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC;
debidamente aprobada, se establece que el patrocinador de la solucin
tecnolgica debe aportar los recursos necesarios para su desarrollo e
implementacin.
c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas.
3.1.3 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC se obliga al Patrocinador a participar
-
26 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
activamente y con responsabilidades en el desarrollo e implementacin
de la solucin.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad.
3.1.4 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar
un lder de proyecto con responsabilidades claras en el desarrollo e
implementacin de la solucin. Ver documentos (designacin de
patrocinadores de proyectos a partir del PTAC) en los archivos de la
UTI.
e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos.
3.1.5 La Metodologa para el desarrollo de proyectos establece como
fase inicial un diagnstico de la solucin con posibles alternativas a
evaluar para tomar la mejor decisin por parte del Patrocinador o bien
el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el
expediente de cada uno.
f. Contar con una definicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo beneficio.
3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren
partiendo de requerimientos claros segn se establece en la Metodologa
para el desarrollo de proyectos de TIC, considerando aspectos de
control, seguridad y auditora.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 27
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos.
3.1.7 Con base a la cartera de proyectos y las prioridades establecidas
por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o
asignacin de recursos adicionales de TI, que permitan cumplir con la
ejecucin del PTAC.
h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos.
3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos
con el objetivo de administrarlos, para ello la Gua para desarrollo de
proyectos de TI contempla los riesgos ms relevantes en materia de
TI con el fin de que sean valorados en cada proyecto. Ver documentos
Informe mensual sobre proyectos PTAC.
i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios.
3.1.9 Si bien es cierto es sumamente difcil independizarse de
proveedores de hardware y de software en trminos de que siempre
se tendr que acudir a ellos; aunque sea para aplicar actualizacin de
versiones, la CGR ha venido fortaleciendo a su personal de TI para que
en un alto porcentaje se desempee de la forma ms independiente
posible.
3.1.10 Nuestros estudios de capacidad, el anlisis del entorno,
el conocimiento y la capacidad del personal de UTI nos permite
seleccionar objetivamente la solucin tecnolgica ms adecuada para
suplir las necesidades de la CGR.
-
28 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
3.2 Implementacin de software
La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
3.2.1 Aplica prcticamente la totalidad de la norma indicada.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post implantacin de la satisfaccin de los requerimientos.
3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para
desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacin y mantenimiento de software.
3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se
encuentran productivos y operando, uno para desarrollo de aplicaciones
y otro para capacitacin y pruebas a realizar por los equipos de trabajo
que se encuentran implementando software. La administracin de los
permisos est bajo responsabilidad del administrador de base de datos
(DBA) y del administrador de sistemas operativos en ausencia del DBA,
segn se establece en la Metodologa para desarrollo de proyectos.
d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin.
3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de
Datos), con base al procedimiento establecido, debe contarse adems
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 29
con el Visto Bueno del patrocinador en todas sus fases y la asistencia
del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI.
Que es un DBA
e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos.
3.2.5 Generalmente los proveedores de software envan componentes
para actualizar sus productos con fines de cerrar vulnerabilidades o de
optimizar su producto, o se reciben va Internet. Estas actualizaciones son
revisadas, probadas cuando es factible, y aplicadas por los especialistas
en la materia. Respecto al software desarrollado localmente, previamente
se debe validar y probar su adecuada funcionalidad; por parte del Lder
Tcnico y los usuarios, en un ambiente de pruebas ya establecido.
En relacin con los datos, estos deben ser modificados por el usuario
autorizado en el sistema, la UTI no altera datos en sus sistemas.
f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.
3.2.6 Esta labor es compartida por el Coordinador de proyectos de
la UTI, por el desarrollador del sistema y por el DBA, apoyndose en
herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.
-
30 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
3.3 Implementacin de Infraestructura tecnolgica
La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de informacin
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI definido en el PETIC.
3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para
la actualizacin de la infraestructura necesaria para soportar el software,
con base a las necesidades que se generan de los diagnsticos para
desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y
del monitoreo del entorno. Ver plan en ejecucin y el proyectado para
el prximo ao, 2010.
3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura
La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos,
organizacin, controles y ambientes de trabajo, entre otros.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 31
b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura.
3.4.2 Producto del plan de capacidad, monitoreo del entorno,
obsolescencia tecnolgica y necesidades de TI, se somete a consideracin
del comit Ad hoc y del CGTIC la contratacin de productos; debidamente
justificados, as como el presupuesto necesario para su aprobacin y
ejecucin, todo con base al plan de compras anual de TI derivado del
PTAC.
c. Contar con la debida justificacin para contratar a terceros la implementacin y mantenimiento de software e infraestructura tecnolgica.
3.4.3 Para la contratacin se requiere la aprobacin de la jefatura
superior, quien a su vez debe tomar la decisin dependiendo de la
necesidad, la justificacin y el presupuesto disponible.
d. Establecer un procedimiento o gua para la definicin de los trminos de referencia que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas.
3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles,
en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos
(ejemplos de compras tpicas).
e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.
3.4.5 Para toda solucin tecnolgica se establece un documento de
requerimientos que deben satisfacerse para su aprobacin, mediante las
pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento
de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.
-
32 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia de la organizacin respecto de terceros contratados para la implementacin y mantenimiento de software e infraestructura tecnolgica.
3.4.6 En toda implementacin por tercerizacin, la UTI promueve
un equipo de trabajo con funcionarios de la Unidad que absorban el
conocimiento de la empresa contratada en esta materia, con fines de
mantener la solucin operando una vez terminado el contrato.
-
Captulo IVPrestacin de servicios y mantenimiento
Captulo IVPrestacin de servicios y mantenimiento
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 35
Captulo IV Prestacin de servicios y mantenimiento
4.1 Definicin y administracin de acuerdos de servicio
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la
Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo
cual deben documentar y considerar como un criterio de evaluacin del desempeo.
Para ello deben:
a. Tener una comprensin comn sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad
b. c. Contar con una determinacin clara y completa de los servicios y sus atributos, y
analizar su costo y beneficio.d. e. Definir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.f. g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin
de cambios en ellos.h. i. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.j. k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con
terceros.
4.1.1 Se definieron acuerdos de servicio a firmar con las distintas
Gerencias de Divisin, incorporando servicios que faciliten la evaluacin
de la funcin de TI y la delimitacin de responsabilidades hasta su
vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.
-
36 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
4.2 Administracin y operacin de la plataforma tecnolgica
La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y
minimizar su riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma.
4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se
encuentran registrados 221 procedimientos asociados con la operacin
de la plataforma y los responsables por recurso tecnolgico.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales fallas.
4.2.2 Se cuenta con herramientas para monitoreo de la capacidad
de TI en sus distintas funcionalidades y a partir de la implementacin
del Sistema de Contingencias se estn registrando electrnicamente
los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de
Capacidad en TI.
c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.
4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin
de la cartera de proyectos, se inician los procedimientos de contratacin
para la adquisicin de bienes y servicios informticos de acuerdo a la
planificacin de compras generada desde el PTAC e incluidas en el
PAO.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 37
d. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fsicas peridicas.
4.2.4 Se mantiene bajo control de la UTI el registro de licencias
adquiridas por la CGR, as como el medio fsico para su instalacin. En
el Sistema de Contingencias se encuentran actualizados los recursos
informticos disponibles en la infraestructura tecnolgica.
4.2.5 Se realiza peridicamente un control de inventarios de software
instalado total o parcial mediante un programa especializado. Ver
reportes electrnicos ms recientes con sus resultados.
e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro.
4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan
mediante cronogramas de trabajo supervisados por los coordinadores
de rea de la UTI; segn su especialidad, y mediante sesiones de
seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas
con corte al 30 de junio de 2009.
f. Mantener separados y controlados los ambientes de desarrollo y produccin.
4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente
separados y controlados.
g. Brindar el soporte requerido a los equipos principales y perifricos.
4.2.8 El soporte requerido se brinda mediante contratos de
mantenimiento preventivo y correctivo, garanta de funcionamiento,
mantenimiento interno y por medio de contratacin directa de un
proveedor si es necesario. Se utilizan como herramientas de apoyo los
sistemas SOS y SCS.
-
38 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin.
4.2.9 Se mantiene un plan de actividades para la generacin de
respaldos diarios, semanales y mensuales, y un procedimiento para
custodia interna y externa. Ver procedimientos registrados en el SCS.
i. Controlar los servicios e instalaciones externos.
4.2.10 Mediante la administracin de los contratos y el monitoreo de los
servicios contratados, se controla la buena ejecucin de los servicios e
instalaciones externas.
4.3 Administracin de los datos
La organizacin debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma ntegra y segura.
4.3.1 De acuerdo con los requerimientos de usuario se asegura la
validez de las transacciones mediante funciones tecnolgicas integradas
a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atencin de requerimientos de los usuarios de TI
La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin
de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales
requerimientos de manera eficaz, eficiente y oportuna; y dicha atencin debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 39
4.4.1 La UTI tiene implementado un sistema de control de cambios que
facilita al usuario la solicitud de ajustes o de incorporacin de nuevas
funcionalidades a los sistemas que estn operando en la Institucin y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en lnea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitacin dirigida.
4.5 Manejo de incidentes
La organizacin debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Adems, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
4.5.1 Todo tipo de situacin especial es analizada por funcionarios de
la UTI en aras de lograr la mejor solucin y tratndose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar el
riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de
que se materialice de nuevo.
4.6 Administracin de servicios prestados por terceros
La organizacin debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.
4.6.1 Los roles se establecen desde que se inicia el procedimiento de
contratacin y se verifican para efectos de establecer responsabilidades
con la confeccin del contrato y la reunin inicial de trabajo con el
proveedor de bienes y servicios de TI.
-
40 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros.
4.6.2 En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en clusulas especficas
o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de
contrato.
c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a calidad, seguridad y seguimiento establecidas por la organizacin.
4.6.3 La UTI mantiene coordinadores por rea funcional que se
encargan de administrar los contratos de sus respectivos proveedores,
asegurando la calidad del producto contratado y su congruencia con
los estndares manuales y lineamientos o directrices institucionales. Ver
asignacin de coordinaciones en expedientes de UTI.
d. Minimizar la dependencia de la organizacin respecto de los servicios contratados a un tercero.
4.6.4 La UTI logra este objetivo por medio de conformar equipos
de trabajo en donde se incluye la contraparte que absorber los
conocimientos necesarios para la continuidad de la solucin tecnolgica
contratada.
e. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados.
4.6.5 Se conforman grupos afines a la solucin tecnolgica para
que verifiquen la calidad del producto contratado y por medio del
administrador del contrato se le da seguimiento al cumplimiento y
calidad del mismo.
-
Captulo VSeguimientoCaptulo VSeguimiento
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 43
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la
gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar
la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo
de dicho proceso.
5.1.1 La organizacin cuenta con un marco de referencia que es el
Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Informacin, el Manual General de Fiscalizacin
(MAGEFI) como un marco de procesos, la Auditora Interna como
un elemento de advertencia y asesora y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la funcin de TI;
adems del CGTIC y la comisin Ad hoc.
5.2 Seguimiento y evaluacin del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC
y al PAO, adems de que todos los funcionarios de la institucin se
convierten en controladores de la buena operacin de la tecnologa en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al
cumplimiento del PTAC.
-
44 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
5.3 Participacin de la Auditora Interna
La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la
organizacin proporcione una garanta razonable del cumplimiento de los objetivos en
esa materia.
5.3.1 Esta es una labor que se mantiene muy bien ejecutada por
la Auditora Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno. Ver informes
recientes 2007-2009 y oficios de atencin de recomendaciones.
Productos elaborados
A continuacin se indican los productos elaborados durante la puesta en marcha de
las Normas Tcnicas.
Productos generados durante el proceso
Producto FechaNTP0-Diagnstico Inicial Dic. 2007
NTP1-Cronograma de implementacin Ene.2008
NTP2-Plan de Implementacin Ene.2008
NTP3-Evaluacin de riesgos en TI Mar.2008
NTP4-Instrumento metodolgico MAI Jun.2008
NTP5-Diagnstico Inicial MAI Jun.2008
NTP6-Informe de gestin 2008-01 Jul.2008
NTP7-Metodologa para el desarrollo de Proyectos en TI Jul. 2008
NTP8-Marco General para la gestin de calidad en TI Ene.2009
NTP9-Modelo de Arquitectura de informacin Mar.2009
NTP10-Marco de Seguridad en TI May.2009
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 45
NTP11-Mapeo Elctrico Jun.2009
NTP12-Plan continuo de capacitacin Jun.2009
NTP13-Plan de la Capacidad en TI Jun.2009
NTP14-Acuerdo de Nivel de Servicio Jun.2009
NTP15-Marco Jurdico en TI Jul.2009
NTP16-Informe de gestin 2009-01 Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contralora General de la Repblica
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirn de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del
Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; as como definir responsables de cada uno de ellos.
Finalmente, garantizar un adecuado seguimiento de la implementacin de estos
productos.
-
46 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
-
Anexo - NTP0Diagnostico InicialAnexo - NTP0Diagnostico Inicial
-
48 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 49
Normas tcnicas para la gestin y control de las tecnologas de informacinDiagnstico Inicial
Introduccin
Con base al anlisis grupal realizado por los coordinadores de las diferentes reas
de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las
normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha
que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas.
Cuando las acciones son de ndole normales; es decir operativas, se indica con la
frase: Labor Permanente y no se incluyen en el cronograma.
Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona),
Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores),
Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la
jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y
servicios tecnolgicos.
Este documento es la base para la elaboracin del cronograma plurianual que estar
siendo ejecutado hasta el 30 de junio del 2009.
-
50 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Captulo I Normas de Aplicacin General
1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas
de la organizacin, mediante un proceso continuo de promulgacin y divulgacin
de un marco estratgico constituido por polticas organizacionales que el personal
comprenda y con las que est comprometido.Situacin actual
Se reformul el campo de accin E.
Se elabor un nuevo Plan Estratgico (PETIC).
Se elabor un Plan Tctico con los proyectos a desarrollar.
Producto
Plan de divulgacin del campo de accin E, PETIC y PTAC.
Acciones
El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.
1.2 Gestin de riesgos
La organizacin debe responder adecuadamente a las amenazas que puedan afectar
la gestin de las TI mediante una gestin continua de riesgos que est integrada al
sistema especfico de valoracin del riesgo institucional y considere el marco normativo
que le resulte aplicable.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 51
Situacin actual
Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable
del seguimiento y rectora relacionado con la gestin de riesgos.
Producto
Unificacin de esfuerzos relacionados con la administracin de riesgos que puedan
afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos definido. Se recomienda la creacin de una oficina
rectora que dicte; institucionalmente, las polticas sobre riesgos.
Acciones
Capacitacin a coordinadores de la USTI.
Integrar reas relacionadas (Caso de administracin de planta elctrica y
UPS)
Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.
1.3 Gestin de la calidad
La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
Situacin actual
Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin
de que el usuario registre su calificacin sobre el servicio brindado para valorar la
gestin de la USTI y el mejoramiento continuo.
-
52 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y
generacin de mtricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planificar para el mejoramiento continuo de TI.
Acciones
Encuestas de satisfaccin, son permanentes producto del registro que
realiza el usuario. Labor permanente.
Definir parmetros y mtricas para evaluar calidad por cada tipo de servicio.
Aplicacin peridica de mtricas. Labor permanente.
Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de informacin. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.
1.4 Gestin de proyectos
La organizacin debe administrar sus proyectos de TI de manera que logre sus
objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y
presupuesto ptimos preestablecidos.
ProductoAplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.
Acciones
Aprobacin de la Gua Metodolgica actualizada.
Fortalecer la administracin de proyectos con los patrocinadores. Labor
permanente.
Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 53
1.5 Gestin de la Seguridad de la informacin
La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o
modificacin no autorizados, dao o prdida u otros factores disfuncionales.
Para ello debe documentar e implementar una poltica de seguridad de la informacin
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa
en relacin con los siguientes aspectos:
La implementacin de la seguridad de la informacin.
El compromiso del personal con la seguridad de la informacin.
La seguridad fsica y ambiental.
La seguridad en la operacin y comunicacin.
El control de acceso.
La seguridad en la implementacin y mantenimiento de software e
infraestructura tecnolgica.
La continuidad de los servicios de TI.
Adems debe establecer las medidas de seguridad relacionadas con:
El acceso a la informacin por parte de terceros y la contratacin de servicios
prestados por stos.
El manejo de la documentacin.
La terminacin normal de contratos, su rescisin o resolucin.
La salud y seguridad del personal.
Las medidas o mecanismos de proteccin que se establezcan deben mantener una
proporcin razonable entre su costo y los riesgos asociados.
-
54 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Situacin actual
La informacin se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso
del personal y de terceros, as como sobre la implementacin de software, y en el
manejo de la comunicacin.
Producto
Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.
Acciones
Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero,
cpsulas tecnolgicas)
1.5.1 Implementacin de la seguridad de la informacin
La organizacin debe implementar un marco de seguridad de la informacin, para lo
cual debe:
a. Establecer un marco metodolgico que incluya la clasificacin de los
recursos de TI, segn su criticidad, la identificacin y evaluacin de riesgos,
la elaboracin e implementacin de un plan para el establecimiento de
medidas de seguridad, la evaluacin peridica del impacto de esas medidas
y la ejecucin de procesos de concienciacin y capacitacin del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y,
definir y ejecutar peridicamente acciones para su actualizacin.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organizacin como de terceros relacionados.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 55
Situacin actual
Se tienen los recursos clasificados por criticidad, as como una evaluacin de riesgos, y
un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitacin del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas
de seguridad en tecnologas de informacin, y plan de capacitacin institucional
actualizados.
Acciones
Actualizar los niveles de criticidad por recurso de TI.
Actualizar plan de implementacin de las medidas de seguridad.
Actualizar plan de capacitacin interna en seguridad.
Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.
1.5.2 Compromiso del personal con la seguridad de la informacin
El personal de la organizacin debe conocer y estar comprometido con las regulaciones
sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano,
robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades en
materia de seguridad, confidencialidad y riesgos asociados con el uso de
las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.
-
56 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas
de seguridad especficas relacionadas con el manejo de la documentacin
y rescisin de contratos.
Situacin actual
Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est
planificando la divulgacin de su reciente actualizacin aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el
personal.
Acciones
Plan de divulgacin.
Impartir charlas.
1.5.3 Seguridad fsica y ambiental
La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico
seguro y controlado, con medidas de proteccin suficientemente fundamentadas en
polticas vigentes y anlisis de riesgos.
Como parte de esa proteccin debe considerar:
a. Los controles de acceso a las instalaciones: seguridad perimetral,
mecanismos de control de acceso a recintos o reas de trabajo, proteccin
de oficinas, separacin adecuada de reas.
b. La ubicacin fsica segura de los recursos de TI.
c. El ingreso y salida de equipos de la organizacin.
d. El debido control de los servicios de mantenimiento.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 57
e. Los controles para el desecho y reutilizacin de recursos de TI.
f. La continuidad, seguridad y control del suministro de energa elctrica y del
cableado de datos
g. El acceso de terceros.
h. Los riesgos asociados con el ambiente.
Situacin actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica
y unidades de poder para suministro de energa elctrica constante, y la definicin de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicacin de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
Documentar los procedimientos y controles.
Definir plan de accin.
1.5.4 Seguridad en la operacin y comunicacin
La organizacin debe implementar las medidas de seguridad relacionadas con la
operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y
proteger la integridad del software y de la informacin.
Para ello debe:
-
58 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
a. Implementar los mecanismos de control que permitan asegurar la no
negacin, la autenticidad, la integridad y la confidencialidad de las
transacciones y la transferencia o intercambio de informacin.
b. Establecer procedimientos para proteger la informacin almacenada en
cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios),
incluso los relativos al manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a
software malicioso o virus.
Situacin actual
Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas
con la puesta en marcha de la firma digital en coordinacin con el Banco Central. Se
tienen procedimientos para la proteccin de la informacin almacenada en los medios
magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus. Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
Continuar con la gestin que se viene realizando al respecto.
Implementar firma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso
La organizacin debe proteger la informacin de accesos no autorizados.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 59
Para dicho propsito debe:
a. Establecer un conjunto de polticas, reglas y procedimientos relacionados
con el acceso a la informacin, al software de base y de aplicacin, a las
bases de datos y a las terminales y otros recursos de comunicacin.
b. Clasificar los recursos de TI en forma explcita, formal y uniforme de acuerdo
con trminos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definicin de perfiles, roles y niveles
de privilegio, y para la identificacin y autenticacin para el acceso a la
informacin, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las polticas de la organizacin bajo el principio de
necesidad de saber o menor privilegio. Los propietarios de la informacin
son responsables de definir quines tienen acceso a la informacin y con
qu limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticacin (identificacin de
usuario, contraseas y otros medios) que permitan identificar y responsabilizar
a quienes utilizan los recursos de TI. Ello debe acompaarse de un
procedimiento que contemple la requisicin, aprobacin, establecimiento,
suspensin y desactivacin de tales medios de autenticacin, as como
para su revisin y actualizacin peridica y atencin de usos irregulares.
g. Establecer controles de acceso a la informacin impresa, visible en pantallas
o almacenada en medios fsicos y proteger adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditora) que permitan
un adecuado y peridico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la informacin sobre la
seguridad de las TI.
-
60 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Situacin actual
Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y
fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignacin de roles con sus
niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la
informacin.
Producto
Procedimientos y poltica de acceso a la informacin, actualizados.
Acciones
Centro de Operaciones con el control de roles y asignacin de passwords.
Oficializar responsables de la informacin (Sistemas).
Actualizar procedimientos de acceso a la informacin.
Activar Log Miner como herramienta para anlisis de manipulacin de datos
y modificaciones a programas fuente.
1.5.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica
La organizacin debe mantener la integridad de los procesos de implementacin
y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no
autorizado, dao o prdida de informacin.
Para ello debe:
a. Establecer obligatoriamente la definicin previa de requerimientos de
seguridad que deben ser implementados como parte del software e
infraestructura.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 61
b. Contar con procedimientos claramente definidos para el mantenimiento y
puesta en produccin del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los
ambientes de desarrollo o mantenimiento y de produccin.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situacin actual
Se tienen ms de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los prximos tres aos, as como ambientes separados para los
ambientes de desarrollo y produccin, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
Revisar documentacin, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI
La organizacin debe mantener una continuidad razonable de sus procesos y su
interrupcin no debe afectar significativamente a sus usuarios. Como parte de ese
esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasificacin
de sus recursos de TI segn su criticidad.
-
62 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Situacin actual
Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y definir los esquemas de continuidad.
Producto
Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos
documentados.Acciones
Mantener procedimientos actualizados y funcionales. Labor permanente.
Documentar eventos preventivos y correctivos, y cambios a la plataforma.
Definir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratgicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
Situacin actual
Se tiene un CGTIC que es convocado peridicamente.
Producto
Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 63
Acciones
Convocar peridicamente al CGTIC.
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI
La organizacin debe identificar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
Situacin actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, as como restricciones tcnicas para el uso de software no licenciado.
Producto
Marco Jurdico con incidencia en TI disponible y actualizado.
Acciones
ptima gestin de contratos. Labor permanente.
Uso institucional de slo las licencias contratadas. Labor permanente.
-
64 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Captulo II Planificacin y Organizacin
2.1 Planificacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planificacin que logren el balance ptimo entre sus
requerimientos, su capacidad presupuestaria y las oportunidades que brindan las
tecnologas existentes y emergentes.
Situacin actual
Se tienen planes muy bien definidos que facilitan la planificacin.
Producto
PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.
Acciones
Mantener actualizados los planes. Labor permanente.
2.2 Modelo de arquitectura de informacin
La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de
informacin de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
Situacin actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
informacin, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 65
Producto
Arquitectura de Informacin actualizada
Acciones
Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
Definir flujos de informacin.
Documentar las reglas de sintaxis de los datos.
Actualizar diccionario de datos con reglas de sintaxis.
Actualizar Arquitectura de Informacin.
2.3 Infraestructura tecnolgica
La organizacin debe tener una perspectiva clara de su direccin y condiciones en
materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinmica y evolucin de las TI.
Situacin actual
Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnolgica optimizada y actualizada.
Acciones
Mantener actualizada la infraestructura. Labor permanente.
-
66 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
2.4 Independencia y recurso humano de la Funcin de TI
El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas.
Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con
una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido,
de manera clara y formal, su responsabilidad, autoridad y funciones.
Situacin actual
Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
Definir independencia funcional de la USTI. Mantener independencia.
Ejecutar el plan de capacitacin. (DNC). Labor permanente.
2.5 Administracin de recursos financieros
La organizacin debe optimizar el uso de los recursos financieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 67
Situacin actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus
recomendaciones someterlo a la aprobacin del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
Someter el plan de inversiones a la aprobacin del Despacho por
recomendacin del CGTIC.
-
68 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia
con su marco estratgico, planificacin, modelo de arquitectura de informacin e
infraestructura tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de
solicitudes de la implementacin o mantenimiento de TI.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por
parte de las reas usuarias como del jerarca.
c. Garantizar la participacin activa de las unidades o reas usuarias, las
cuales deben tener una asignacin clara de responsabilidades y aprobar
formalmente las implementaciones realizadas.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y
documentada de su autoridad y responsabilidad.
e. Analizar alternativas de solucin de acuerdo con criterios tcnicos,
econmicos, operativos y jurdicos, y lineamientos previamente establecidos.
f. Contar con una definicin clara, completa y oportuna de los requerimientos,
como parte de los cuales debe incorporar aspectos de control, seguridad y
auditora bajo un contexto de costo beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de
los recursos econmicos, tcnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementacin que incluyan todas
las medidas para minimizar el riesgo de que los proyectos no logren sus
objetivos, no satisfagan los requerimientos o no cumplan con los trminos
de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software,
instalaciones y servicios.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 69
Situacin actual
Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.
Producto
Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.
Acciones
Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor
permanente.
Participacin muy activa de los patrocinadores. Labor permanente.
Capacitacin de funcionarios de USTI. Labor permanente.
3.2 Implementacin de software
La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de
implementacin y considere la definicin de requerimientos, los estudios
de factibilidad, la elaboracin de diseos, la programacin y pruebas,
el desarrollo de la documentacin, la conversin de datos y la puesta
en produccin, as como tambin la evaluacin post-implantacin de la
satisfaccin de requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y
permisos de acceso al personal a cargo de las labores de implementacin
y mantenimiento de software.
-
70 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
d. Controlar la implementacin del software en el ambiente de produccin y
garantizar la integridad de datos y programas en los procesos de conversin
y migracin.
e. Definir los criterios para determinar la procedencia de cambios y accesos
de emergencia al software y datos, y los procedimientos de autorizacin,
registro, supervisin y evaluacin tcnica, operativa y administrativa de los
resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como
parte de su mantenimiento.
Situacin actual
Se cuenta con ambientes de pruebas y produccin muy bien definidos, procedimientos
de instalacin de software y control de versiones, migracin de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institucin.
Acciones
Revisar y documentar los criterios de aplicacin de cambios.
3.3 Implementacin de infraestructura tecnolgica
La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de informacin
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 71
Situacin actual
La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las
tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnolgica ptima y actualizada.
Acciones
Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de informacin institucional, incluye plan vivo de actualizacin
y compras. Labor permanente.
3.4 Implementacin de software e infraestructura contratada a terceros
La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
b. Establecer una poltica relativa a la contratacin de productos de software
e infraestructura.
c. Contar con la debida justificacin para contratar a terceros.
d. Establecer un procedimiento o gua para la definicin de los trminos de
referencia que incluyan las especificaciones y requisitos o condiciones
requeridas o aplicables, as como para la evaluacin de ofertas.
e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto
de pruebas de aceptacin de lo contratado; sean instalaciones, hardware
o software.
-
72 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
f. Implementar un proceso de transferencia tecnolgica que minimice la
dependencia del tercero que presta el servicio.
Situacin actual
Para la contratacin de los bienes y servicios de TI se consideran las ltimas
especificaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnolgica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener poltica para contratacin de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnologa adquirida. Todas son labores permanentes.
j.
-
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 73
Captulo IV Prestacin de servicios y mantenimiento
4.1 Definicin y administracin de acuerdos de servicios
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades.
El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus
atributos, lo cual deben documentar y considerar como un criterio de evaluacin del
desempeo. Para ello deben:
a. Tener una comprensin comn sobre: exactitud, oportunidad,
confidencialidad, autenticidad, integridad y disponibilidad.
b. Contar con una determinacin clara y completa de los servicios y sus
atributos, y analizar su costo y beneficio.
c. Definir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.
d. Establecer los procedimientos para la formalizacin de los acuerdos y la
incorporacin de cambios en ellos.
e. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.
f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos
con terceros.
Situacin actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluacin que se estara
realizando para cada servicio.
-
74 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Producto
Polticas aplicadas en la contratacin de terceros.
Acciones
Actualizacin de polticas en los contratos que se celebren.
Documentar acuerdos de servicio y forma de evaluacin.
4.2 Administracin y operacin de la plataforma tecnolgica
La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones,
minimizar su riesgo de fallas y proteger la integridad del software y de la informacin.
Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades
asociados con la operacin de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso
de la plataforma, asegurar su correcta operacin, mantener un registro de sus
eventuales fallas, identificar eventuales requerimientos presentes y futuros,
establecer planes para su satisfaccin, garantizar la oportuna adquisicin
de recursos de TI requeridos tomando en cuenta la obsolescencia de la
plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.
c. Controlar la composicin y cambios de la plataforma y mantener un
registro actualizado de sus componentes (hardware y software), custodiar
adecuadamente las licencias de software y realizar verificaciones fsicas
peridicas.
d. Controlar la ejecucin de los trabajos mediante su programacin, supervi