normas para la administración - instituto federal de ...tener la iniciativa de tic en cuestión a...

ift INSTITUTO FEDERAL DE TELECOMUNICACIONES

UNIDAD DE ADMINISTRACIÓN DIRECCIÓN GENERAL DE TECNOLOGfAS

DE LA INFORMACIÓN Y COMUNICACIONES

NORMAS PARA LA ADMINISTRACIÓN, OPERACIÓN Y MANTENIMIENTO DE SOLUCIONES DE TECNOLOGfAS DE LA INFORMACIÓN Y COMUNICACIONES DEL

INSTITUTO FEDERAL DE TELECOMUNICACIONES

Administración

Director General de Tecnologías de la Información y Comunicaciones

Lic. Guillermo Fernández Martínez

Director de Seguridad de la Informac ión

lng. Abraham Adán Orduña Cortés

Director de Infraestructura Tecnológica

lng. José Javier Ulises Miranda Nieto Director de Desarrollo de Sistemas

Lic. Roberto Rolando Reséndiz Sánchez

- -


BITÁCORA DE ACTUALIZACIONES

~~~~lslón ·¡ - Fecha de entradaMotivo

1 en vigor

Emisión del documento 09 Febrero 2016


fNDICE

Capítulo l . Disposiciones Generales......... .. ...... ... ........... ... .. ..... ............ .. .............. 4

Capítulo 11. Programación de Proyectos de TIC ................... ................... ......4

Capítulo 111. Clclo de Vida de Soluciones Tecnológicas .................. ..........5

Capítulo IV. Normas específicas aplicables a la Fase "Modelado del Negocio" .... .... .......................... ............... .. .......................... .... ....... ...10

Capítulo V. Normas específicas aplicables a la Fase "Análisis y Diseño" .... ........................... .. ........... .. ........ ........................................ ... ....... 12

Capítulo VI. Normas específicas aplicables a la Fase "Construcción" ....... ................................. ..... .. ............. ........................... 25

Capítulo VII. Normas específicas aplicables a la Fase "Pruebas" ...... 27

Capítulo VIII.

:::s:~11:~~~· Normas específicas aplicables a la Fase

-~I~~ : ::: :::::: :: ::\c~~~;~~;~~;~~~~~l~Disposiciones Transitorias ............................ ......... ......... ............ .......... ...... .. .... .. ........... ..... 35

f;.

3


Mario Alberto Fócil Ortega, Titular de la Unidad de Administración del Instituto Federal de Telecomunicaciones, con fundamento en lo dispuesto los artículos 57, primer párrafo y 61 fracción IV, del Estatuto Orgánico del Instituto Federal de Telecomunicaciones, emite las siguientes:

"Normas para la administración, operación y mantenimiento de soluciones de tecnologías de la Información y comunicaciones del

Instituto Federal de Telecomunlcaclones"

Capítulo l. Disposiciones Generales

Artículo 1. Objeto Las presentes normas tienen por objeto instrumentar las medidas que las Unidades Administrativas (UA) del IFT deberán considerar para la ejecución de proyectos que incluyan en su alcance total o parcial el uso o aplicación de tecnologías de la información y comunicaciones (en lo sucesivo TIC), así como aquellas que aseguren la correcta transición e implementación de las soluciones tecnológicas a la operación y mantenimiento por parte de la Dirección General de Tecnologías de la Información y Comunicaciones (DGTIC) del Instituto.

Artículo 2. Ámbito de aplicación Las presentes normas son de observancia general y obligatoria para todas las UA que integran el Instituto Federal de Telecomunicaciones.

Artículo 3. Glosarlo de términos Los términos y definiciones utilizados en las presentes normas forman parte del documento "Glosario de Términos" adjunto al presente como Anexo 1.

Capítulo 11. Programación de Proyectos de TIC

Con la finalidad de dimensionar los esfuerzos necesarios para satisfacer las necesidades tecnológicas de las UA del Instituto para cada ejercicio fiscal, la DGTIC realizará un levantamiento de información con las UA acerca de los proyectos que en su alcance total o parcial incluyan TIC. Dicho levantamiento será la base para estructurar el "Programa anual de proyectos de TIC", el cual deberá

realizarse durante el último trimestre del ejercicio fiscal anterior al año del que se )\

trate. __ ri}~ La información obtenida del levantamiento será analizada por la DGTIC ~~ coordinación con las Direcciones Generales de Finanzas, Presupuesto Contabilidad y de Adquisiciones, Recursos Materiales y Servicios Generales, verificando que cada UA tenga capacidad financiera para ejecutar los proyectos,

4

• • • • •


haciendo para ello el análisis de información contra el Presupuesto de Egresos del IFT y el Programa Anual de Adquisiciones, Arrendamientos y Servicios (PAAAS.

El Programa anual de proyectos de TIC, será presentado al Coordinador Ejecutivo y al Coordinador General de Planeación Estratégica a efectos de que conozcan los esfuerzos y proyectos de TIC que serán ejecutados y validen en su caso la alineación de los mismos al cumplimiento de los objetivos institucionales. Ésta información también será compartida a las UA solicitantes de proyectos de TIC con el fin de dar el seguimiento correspondiente a cada uno de ellos.

Capítulo 111. Clclo de Vida de Soluciones Tecnológicas

Estas normas se basan en un modelo ordenado por fases que facilitan el seguimiento a l ciclo de vida de una solución tecnológica, considerando desde su concepción hasta su posterior operación y mantenimiento en condiciones óptimas para los usuarios del Instituto.

Los productos generados en cada una de las fases del ciclo de vida deberán observar los elementos técnicos y administrativos que se describen en este documento.

o e e e o Modeladode Análisis y

Construcción Pruebas DespliegueNegocio Diseño

Fase l. Modelado del Negocio. Se integra por actividades de levantamiento de información para traducir las necesidades tecnológicas de las UA en requerimientos funcionales y no funcionales que permitan conceptualizar soluciones tecnológicas que las satisfagan.

Esta fase opera a través del acompañamiento a las UA con la finalidad de:

1 . Incrementar los beneficios al invertir en TIC como herramientas para eficientar las funciones de las UA;

2. Alinear las necesidades tecnológicas de las UA con los beneficios esperados a través de la solución tecnológica a adquirir, contratar o desarrollar;

3 . que se puedan aprovechar a fin de solventar de forma total o parcial las necesidades de las UA;

5


4. Asegurar que desde el dimensionamiento inicial, se consideren los procedimientos, estándares y políticas vigentes establecidos por la DGTIC;

5. Prevenir y proyectar las necesidades de TIC del Instituto; 6. Fortalecer técnicamente la documentación de la solución tecnológica

requerida (Documento de Entendimiento de Solución Tecnológica "Anexo 2" y/o Anexo Técnico, formato vigente emitido por la Unidad de Administración), y

7. Recomendar los estándares apropiados en materia de TIC aplicables a la solución tecnológica.

El procedimiento a través del cual se deberá solicitar el acompañamiento, realizar el análisis técnico y emitir las recomendaciones técnicas aplicables hasta obtener el modelado del negocio que traduce la necesidad tecnológica, se describe en el "Proceso para el modelado de negocio de necesidades de TIC" (Anexo 3). Como resultado de este proceso se determina si la solución tecnológica será provista por la DGTIC, o en su defecto, por el proveedor que tenga contratado el Instituto para prestar el servicio de fábrica de software. En caso contrario, la UA podrá iniciar, un procedimiento de contratación conforme a lo dispuesto por las Normas y Lineamientos en materia adquisiciones, arrendamientos y servicios del Instituto Federal de Telecomunicaciones.

En caso de que una iniciativa de solución tecnológica coincida con otra respecto al tiempo en que se requiere iniciar o tener en operación o bien que no cuenten con recursos financieros para ejecutarla, la DGTIC evaluará la viabilidad de atenderla observando las cargas de trabajo y asignación de recursos (humanos, técnicos o financieros) en los proyectos que se encuentren en ejecución. En caso de no contar con la capacidad instalada para dar atención a las iniciativas que se empalmen, la DGTIC notificará a la Coordinación Ejecutiva y a la Coordinación General de Planeación Estratégica la necesidad de determinar la prioridad de atención de las iniciativas, para analizar y determinar en conjunto el orden de atención de las mismas; para este fin, se convocará a las UA involucradas.

Con el objeto de Identificar la prioridad de una solución tecnológica se utilizará el formato "Hoja de Evaluación de Iniciativas de TIC" (Anexo 4), que considera la evaluación de dicha Iniciativa a partir de criterios de impacto al interior y exterior del Instituto, lo que permitirá asignar una calificación y con base en el resultado ~ más alto se tomará la decisión de atención. El resultado deberá ser documentado .,.-....~

formalmente y aceptado por todos los asistentes a las reuniones de evaluación. ~

Los criterios que se consideran en la herramienta mencionada son los siguientes:\ ro(_ 1. Cobertura Institucional. Este factor involucra la identificación del\

universo al que impactará la ejecución y puesta en marcha de la iniciati~

6


en evaluación, es decir, cuántas áreas del Instituto se impactan o son beneficiadas con la existencia de la iniciativa de TIC y a cuántos concesionarios, usuarios o, en general, terceros beneficia. Se considera que las iniciativas que tienen una cobertura al exterior del Instituto tendrán mayor peso ya que el propio Instituto basa sus operaciones en la atención y satisfacción de necesidades del país.

2. Impacto y alineación con los objetivos estratégicos del Instituto. Se trata de determinar si la iniciativa impacta de forma directa al logro de los objetivos estratégicos del Instituto. Dichos objetivos se encuentran descritos en la "Planeación Estratégica" del Instituto Federal de Telecomunicaciones. Se deberá considerar la versión más actualizada de la documentación en la que se presenten.

3. Riesgos. Este criterio busca validar que se haya llevado a cabo un ejercicio de Identificación de riesgos inherentes a la iniciativa y que se tenga planeado para cada riesgo un tratamiento o acción que lleve a su mitigación, eliminación o bien a la transferencia del mismo. La intención de evaluar este factor es darle un peso mayor a las iniciativas que han tenido un mayor análisis y por ende se tiene más capacidad de responder para evitar impactos por riesgos no identificados. El análisis de riesgos realizado a las iniciativas se puede realizar a través de la metodología de análisis de riesgos institucional emitida como parte del Sistema de Control Interno Institucional vigente.

4. Urgencia. Este factor considera aspectos del tiempo en que se requiere tener la iniciativa de TIC en cuestión a disposición de la UA o bien de los entes externos al Instituto y determinar si la misma deriva de una disposición normativa que delimite un tiempo específico de entrega. En éste último caso, la inic iativa tendrá un mayor peso y por lo tanto, cobra mayor prioridad.

5. Mejora Tecnológica. Este factor evalúa el impacto que tendrá la iniciativa en la optimización del uso de los recursos involucrados en la ejecución de los procesos de las UA (tecnológicos, financieros, materiales y humanos). Adicionalmente, considera la alineación a políticas de conversión digital de los trámites y servicios que ofrece el Instituto a sus áreas internas y a los entes externos al mismo.

El alcance y la forma en que se atenderá la solución tecnológica por la DGTIC bien por un tercero, deberá documentarse y ser aprobada por la UA solicitante, asegurándose que la descripción general de la soluc ión tecnológica y el trabajo a

el caso de los proyectos de ejecución interna o por el proveedor del seNicio de /J

7


fábrica de software se deberá usar el formato "Propuesta de Solución Tecnológica" (Anexo 5). En el caso de los proyectos con terceros, éstos podrán entregar su propuesta en formato libre, alineándose en todo momento a lo indicado en el Anexo Técnico correspondiente.

Las propuestas de terceros, serán revisadas y validadas por la DGTIC, con la finalidad de asegurar su alineación a lo estipulado en las normas específicas aplicables que se citan en los capítulos siguientes.

Las soluciones tecnológicas que serán adquiridas como un producto listo para ser instalado y que, por ende, no serán sometidas a las fases de Análisis y Diseño y de Construcción, deberán respetar la plataforma tecnológica estándar definida, en caso contrario, contar con la revisión y aprobación por parte de la DGTIC. Deberá también someterse a las pruebas de calidad y seguridad necesarias para garantizar su buen funcionamiento y considerar la programación de despliegues y los planes y documentación de soporte necesaria para su administración, operación y mantenimiento.

Fase 2. Análisis y Diseño. En esta fase se deberán ejecutar todas las acciones necesarias para identificar y documentar de forma detallada los requerimientos funcionales y no funcionales alrededor de la solución tecnológica, así como las reglas de operación y de negocio que deberán considerarse para cada uno de los requerimientos.

Esta fase considera también la traducción de los requerimientos a diagramas, procesos, gráficos, prototipos, o cualquier otro medio de presentación, los cuales deberán presentarse a la UA solicitante quien deberá validar que los requerimientos han sido comprendidos en su totalidad por parte de los proveedores o por la DGTIC.

Otro factor importante además de delimitar el alcance de la solución tecnológica, son los criterios bajo los cuales se considera que los requerimientos cumplen con las expectativas de la UA que las solicita, indicando por cada requerimiento el criterio mediante el cual se dará por aceptado cada uno de los requerimientos solicitados y acordados.

Tocios los productos generados deben ser validados y firmados por las UA para mantener la evidencia necesaria de los acuerdos y la conformidad de su ~

entendimiento. ~~

Fase 3. Construcción. Realiza las acciones necesarias para desarrollar ~ l"2>( implementar la solución tecnológica, preparar los ambientes de pruebas y producción, así como los recursos tecnológicos necesarios (infraestructura, comunicaciones y seguridad) bajo las condiciones (requerimientos, reglas de

8

conocimientos y


operación y lineamientos técnicos) acordadas entre la UA y la DGTIC o un tercero en cuestión.

En esta fase, el administrador del proyecto (si es realizado por un tercero) o el líder técnico de la solución (si es creada por la DGTIC), deberá dar seguimiento puntual a los avances en la construcción conforme a lo establecido en el plan de trabajo y demás documentación administrativa del proyecto. Los avances de cada etapa deberán hacerse de conocimiento de las áreas involucradas con el fin de que éstas realicen las actividades que les correspondan y en su caso puedan identificar riesgos potenciales que afecten el alcance o tiempo de proyecto acordados y tomar las medidas preventivas o correctivas necesarias.

Fase 4. Pruebas. Son las acciones necesarias para realizar el aseguramiento y control de calidad, lo que considera el cumplimiento de cada uno de los requerimientos y sus criterios de aceptación. Asimismo, se validará que se hayan implementado los requerimientos de seguridad de la información acordados.

Cabe mencionar que ésta fase es de suma importancia para un proyecto de cualquier índole, por lo que se deben considerar los tiempos, personas y herramientas necesarias para ejecutar los ciclos de pruebas que permitan dictaminar el estado en el que una solución tecnológica entra a la operación diaria de las funciones del Instituto.

Fase 5. Despllegue. Realizar las acciones necesarias para transferir la solución tecnológica a la operación diaria del Instituto o bien de la UA solicitante.

Como parte de la planeación de la transición, se deben considerar y documentar las actividades a realizar en caso de una afectación a la operación del Instituto, asegurando con ello la recuperación de la operación normal a un punto estable.

Es importante considerar acciones de transferencia de capacitación para el personal que usará la solución tecnológica, así como las necesarias para la correcta operación, administración y mantenimiento de las mismas.

En el caso de proyectos con terceros los puntos de inicio del soporte o bien de las

presente fase.

9


Capítulo IV. Normas específicas aplicables a la Fase "Modelado del Negocio"

Durante la fase de Modelado de Negocio se deberán observar las siguientes normas específica s:

Norma específica Descripción

Considerar a la DGTIC desde la concepción de la solución tecnológica

Identificar y documentar los requerimientos (de alto nivel)

Clasificación del tipo de información

Se deberá inc luir a la DGTIC desde la concepción d e la soluc ión tecnológica con la fina lida d de identificar buenas prácticas y recomendaciones que minimicen los riesgos técnicos y d e segurida d de la información del Instituto.

Lo anterior podrá realizarse a través de una reunión entre la DGTIC y la UA solic itante, en la que se expongan los objetivos de la soluc ión, los requerimientos y reglas de negocio de alto nivel del área usuaria, los b enefic ios que esperan de la soluc ión, actores involuc rados y toda aquella información necesaria para delimitar el alcance general de la misma . En su defecto, se podrá revisar un documento inic ial (Documento de Entendimiento o borrador d e Anexo Técnico) en donde se haya registrado todo lo antes c itad o. Posteriormente, se deberán ejecutar reuniones y /o revisiones periódicas entre los responsables de la soluc ión tecnológica a construir y la DGTIC, para asegurar la implementac ión d e buenas práctica s técnicas y de seguridad aplic ables a la soluc ión tecnológica de que se trate, así como conocer los avances generales del proyecto.

Se deberán identificar y documentar los requerimientos func iona les y no funciona les que atiendan la necesidad d e la UA solicitante, involucrando c uando sea necesario al equipo técnico de la DGTIC.

Debe inc luir los requerimientos de alto nivel con su especificación o c rite rio de aceptac ión.

Se deberá identificar el tipo de informac ión que se gestionará a través de la solución tecnológica, clasificándola de ~ acuerdo a la Ley Fed eral d e Transparenc ia y Acceso a la Informac ión Pública Gubernamental (LGTAIPG) y/o la Ley General de Transparencia y Acceso a la Información (LGTAI).

En caso d e que el sistema maneje datos personales, es de suma importanc ia que le sea comunicad o a la DGTI C, con la finalidad de prevenir las acciones necesarias para asegurar la

10



Clasificación de volumen de Información

Asegurar soporte y mantenimiento desde el dimensionamiento de la solución

Validación de propuestas de proveedores

Integrar acuerdos con base en las necesidades de cada fase

informac ión y c umplir con la normatividad aplicable a la información.

La definic ión de la solución tecnológica que satisfa ce las necesidad es del área solic itante requiere de la identificación de alto nivel de las transacciones gene rad as p or el sistema, sus características de procesamiento, la estimación de c recimiento e ind icar si la informac ión electrónica se a lmacenará como archivos históricos o se deberá mantener en línea para consulta o aná lisis.

Desd e la concepc ión de la soluc ión tecnológica se deben considerar tod os los planes de sop orte, mantenimiento y/o garantía necesarios, ya sea durante el c ic lo d e vida de la solución o bien posterior a su liberación. Dichos planes deberán acordarse d esd e el inicio y quedar establecidos en el documento d e "Entendimiento d e Soluc ión Tecnológica ", como un requerimiento no funciona l y/o en el Anexo Técnico d el proyecto.

La UA solic itante deberá asegurarse de q ue todo lo que ha solicitado a través de su documento de Entendimiento de Soluc ión Tecnológica" y/o en el Anexo Técnico d el proyecto ha sido inc luido como parte de la propuesta de cad a uno d e los proveedores que pa rtic ipen para su realiza ción.

Asimismo, deberá info rmar y compartir a la DGTIC cada una de las propuestas de los proveedores, para asegurar que contengan las necesidades y lineamientos técnicos establecidos por la misma.

Es obligación de los líderes de la soluc ión tecnológica ( de p royecto, de negocio y técnico) incluir las acciones necesarias para definir, ejecutar o implementar las normas esp ecíficas c itadas en todas las fases d el Ciclo de Vida de Soluc iones Tecnológicas (descritas en los capítulos siguientes).

Dichas acciones deben mantenerse asentadas en 1\ documentac ión contractua l o donde se acuerde el alcance del proyecto a fin de delimitar las estimaciones d e esfuerzos y costos asociados.

11


Capítulo V. Normas específicas aplicables a la Fase "Anállsls y Diseño"

Durante la fase de Análisis y Diseño se deberán considerar las siguientes normas específicas:


Arquitectura de la solución tecnológica

Comunicación con otras soluciones tecnológicas

Ambientes independientes: desarrollo, pruebas y producción

Se deberá considerar como parte de la arquitectura de la solución tecnológica, la conceptualización de al menos una capa de presentac ión (servidores de aplicación Web), una capa de negoc io (servidores de contenido y reglas de negocio) y una capa de datos (almacenamiento en base de datos), tal y como se ilustra en el diagrama anexo.

Cluste , deServldotes de Servldort:.s- de Contenido Apt/cad ooe sWeb (Regjas de Negodo) e ase de Datos

8

Cap• deCapa de Presentación Capa de DatosNegodo

La distribución de los componentes a nivel red, así como el número de servidores que formarán parte de la arquitectura tecnológica deberá acordarse entre el administrador del proyecto o líder técnico y la DGTIC. Es obligatorio identificar la interoperabilidad de la solución tecnológica requerida con otras soluciones tecnológicas existentes en el Instituto o en otras organizaciones. Se deben describir todos los parámetros de configuración y conexión e incluir un diagrama detallado de interoperabilidad en donde se visualicen todos los componentes de TIC involucrados y su interrelación.

Deberán existir ambientes independientes de producción, ~ pruebas y desarrollo de software de tal forma que no IYl"'1, compartan recursos tecnológicos entre sí. Las versiones de ~ sistema operativo, base de datos, servidores de aplicación\ ejecutables y cualquier otro software instalado deberán ser idénticos en todos los ambientes que formen parte de la solución tecnológica. ~

12

Sistema Operativo:

RedHat Enterprise Linux 6.7 o superior

Base de Datos: MySQL

Servidor de Aplicaciones

Apache Web Server

Lenguaje de Programación:

• PHP

• HTML5 • CSS3

• JQuery • Bootstrap



Plataformas tecnológicas soportadas

Para el caso de desarrollos tercerizados, será responsabi lidad del proveedor proporcionar todos los elementos correspondientes al ambiente de desarrollo así como su Instalación y configuración. Dicho ambiente podrá ubicarse en las instalaciones del proveedor o en cualquier otra ubicación que al mismo le convenga.

La DGTIC proporcionará los ambientes de pruebas y producción acordes a la arquitectura de la solución definida (servidores y sistema operativo). La instalación y configurac ión de estos ambientes será responsabilidad del proveedor.

Los servidores proporcionados por la DGTIC cuentan con las siguientes características:

l . Servidores virtualizados bajo la plataforma VMWare. 2. Unidad de almacenamiento para el sistema operativo

de 80 GB. 3. Memoria instalada 4GB en RAM. 4. Procesador de 2 cores.

En caso de requerir características adicionales de almacenamiento, de hardware o software, la UA solicitante o bien el responsable técnico de la solución deberá presentar la justificación técnica de la solicitud, la cual será revisada por la DGTIC para verificar la disponibilidad de recursos existentes y la viabilidad técnica del requerimiento.

Con la finalidad de estandarizar las p lataformas tecnológicas utilizadas en el Instituto, la DGTIC ha aprobado el uso de lo siguiente:

Portales WEB

~ ~

13

ift INSTITUTO FEDERAL DE TELECOMUN ICACIONES


• CMS Drup al

Modelado de Oracle BPM

Procesos

Aplicaciones WEB internas

Microsoft Open Source

Sistema Operativo:

Windows Server 2008 R2 EE o superior

RedHat Enterprise Linux 6.7 o superior

1

Base de Datos: SQLServer MySQL

Servidor de Mic rosoft Apache Web Aplicaciones SharePoint Server

Lenguaje de Programación:

• Visual Studio 201 3,

• PHP • HTML 5

Framework 4.5 • HTML

• css • JQuery

• CSS3 • JQ uery • Bootstrap • CMS Drupal

Siste mas Transaccionales

Oracle

Sistema RedHat Enterp rise

Operativo: Linux 6.7 o superior

Base de Datos: Oracle 12c o superior

Servidor de Oracle WebLogic

Aplicaciones

Lenguaje de •JAVA Programación:

• Vista

HTML5 - css 3

Microsoft

Windows Server 2008 R2 EE o superior

SQLServer

Internet lnformation Services (IIS)

• C# última versión

• .NET última versión



Cifrado y comunicación segura

Identificar y documentar la trazabilldad de los

. requerimientos detallados

- JQuery - JSF 2.0

• Modelo

JPA 2.0

• Controlador

Modelado de Procesos

EJB 3.1

Oracle 8PM

lnteroperabilidad entre sistemas

Los protocolos de interoperabilidad se deberán validar con la DGTIC para cada uno de los sistemas con los que se pretenda comunicar la soluc ión tecnológica.

Nota: Las herramientas y p lataformas sobre las que se desarrolle y ponga en operación el sistema deberán ser las versiones más actua les y estables de acuerdo a l fabricante. Dichas versiones d eberán ser establecidas en conjunto con e l administrador del proyecto o líder técnico y la DGTIC y deberán corresponder con la plataforma tecnológica aceptada en el Instituto.

El intercambio de información sensitiva entre la solución tecnológica y los usuarios (credenciales de usuario, datos personales, información confidencial, informac ión reservada, etc.) deberá realizarse a través de medios seguros, utilizando mecanismos de c ifrado SSLde al menos 128 b its y un algoritmo de cifrado SHA-2.

Será responsabilidad d el proveedor facilitar e implementar los certificados SSL necesarios para el funcionamiento del sistema, los certificados deberán ser expedidos por una autoridad certificadora de confianza y tener una vigencia de

3años. \

Se deberán identificar y documentar los requerimientos de forma detallada, incluyendo información específica de los mismos, involucrando a la UA solicitante y en su cas~, a l equipo técnico necesario de la DGTIC.

15

I



Los elementos mínimos a considerar para documentar los requerimientos son:

ID: Número identificador único de requerimiento.

Requerimiento: Descripción de la necesidad del cliente. (Identificar si es requerimiento es funcional o no funcional).

Criterio de aceptación: Descripción de la funcionalidad esperada.

Clasificación del Requerimiento: Indicar si se trata de un requerimiento funcional o no funcional.

ID requerimiento (s) relacionado (s): ID de los requerimientos relacionados.

Descripción de la relación: Especificar las relaciones con otros requerimientos.

Módulos del Sistema: Indicar los módulos del sistema vinculados a l requerimiento.

Sub-módulos del Sistema: Indicar los sub-módulos del sistema vinculados al requerimiento (si aplica).

Se deberá asegurar la trazabilidad de los requerimientos detectados a lo largo del ciclo de desarrollo con la finalidad de identificar los requerimientos que han sido cubiertos por la solución tecnológica.

Nota: El proveedor o bien líder técnico de la DGTIC será responsable de la creación, actualización y entrega de la matriz de trazabilidad de requerimientos.

Para asegurar la correcta comprensión de los requerimientos se deberá utilizar el estándar para la representac ión de procesos o esquemas de software (UML) que permita identificar los componentes y posibles escenarios en los que operará el sistema.

Para cada requerimiento se deberá identificar el modelo UML ~ .Modelado UML

correspondiente en la "Matriz de trazabilidad de yr) ~:q:::~~::::" será responsablede entregar lodo la~ -~ documentación necesaria conforme a UML 2.0, como: ~

• Caso de Uso*,que al menos deber incluir: o Diagrama de Caso de Uso

16



Términos relacionados al negocio

Enlistar Reglas de Negocio

Interfaz Gráfica

Modelo Entidad Relación

(Modelo Lógico)

o Precondiciones o Post-condiciones o Reglas de Negoc io o Validaciones o Actores o Excepciones del Caso de Uso o Flujo Primario o Flujos Alternos

• Diagrama de Clases** • Diagrama de Objetos** • Diagrama de Estados** • Diagrama de Secuenc ias** • Diagrama de Actividades** • Diagrama de Colaboraciones** • Diagrama de Componentes** • Diagrama de Distribuc ión** • Diagrama de Interfaces**

*Obligatorio

**En caso de que alguno de los anteriores no aplique, se deberá justificar técnicamente.

Para la elaboración de la documentación UML aplicable, e l Instituto cuenta con Guías de apoyo para la elaboración de los mismos.

Es de carácter obligatorio realizar la descripción de los términos y palabras utilizadas en el negocio.

Se debe estipular un listado de todas las reglas de negocio recopiladas en el análisis, se concentran en un documento para evitar redundancias en las reglas.

Deberán especificarse los requerimientos gráficos aplicables, entre estos:

• Alineación a la norma de accesibilidad emitida por la W3C

• Manual de Identidad vigente en el Instituto • Visualización en diferentes navegadores web • Compatibilidad con dispositivos móviles (sistema\

responsivos)

El proveedor deberá alinear la solución tec nológica al estándar de modelo entidad definido por la DGTIC en el /1}/ documento de "Estándares de Base de Datos". ¿lf

17



Modelo entidad - relación

(Modelo Físico)

Diccionario de Datos

Proyección del crecimiento de la base de datos

Para el caso de la imp lementac ión, gestión, administración y/o almacenamiento de información el proveedor debe ajustarse a las p lataformas de base de datos establecidas por la DGTIC, e implementar los esquemas y/o bases de datos generales (Catálogos comunes a los sistemas, ejemplo : catálogo de municipios, estados, etc .) que ponga a su disposición el área de Bases de Datos.

Un diseño correcto de una base de datos debe considerar el tipo de información que se requiere a lmacenar, asegurando la consistencia e integridad de las tablas y los registros.

El modelo entidad relación debe explicar gráficamente por lo menos la interacción existente entre los objetos de la base de datos como; entidad, atributo, relación, conjunto de relac iones, restricciones y llaves. Se deberá inc luir un d iagrama de tablas, con el deta lle de todos sus elementos.

Para definir un modelo de datos deberá consultarse el documento anexo "Estándares de Bases de Datos".

El diccionario de datos inc luye las reglas de por lo menos la estandarización de nomenclaturas, tipo y longitud, lo anterio r fac ilita la identificación y administrac ión de sus componentes.

• Descripción de la nomenclatura utilizada. • Detalles de los datos. • Nombre. • Descripción. • Tipo de dato. • Longitud. • Valor por defecto. • Estructura. • Restricciones.

Para definir un modelo de datos deberá consultarse el documento anexo "Estándares de Bases de Datos".

El c recimiento de la base de datos debe de ser previsto para ~ A

evitar una degradación en el servicio tomando en c uenta la ~~ cantidad de transacciones de las tablas más usadas \ concurrentes en función del tiempo de acceso proporcionadas por la UA.

El proveedor deberá entregar la descripción del método ')r) _,,,.,.usado, así como los resultados de la proyección de¿.),-';?]

18



crecimiento en RAM y en Disco Duro (con base a la información proporcionada por la UA).

• Tipos de base de datos. • Tamaño inicial. • Modelo de crecimiento. • Proyección a l y 2 años.

Como parte del Diseño de la Solución Tecnológica se deberá considerar la creación de Casos de Prueba, a través de éstos se deberán definir y documentar las variables o condiciones que serán revisadas por el equipo de Calidad para determinar que el requerimiento ha sido cubierto de forma satisfactoria y cumpla los criterios de aceptación definidos.

En el caso de soluciones tecnológicas creadas por la DGTIC, el equipo de Calidad será el responsable de generar dicha documentación y validarla con la UA solicitante.

Para proyectos creados por terceros, es responsabilidad del administrador de proyecto identificar y documentar el total de variaciones que se deberán validar. Asimismo, que éstos han sido aprobados por la UA solicitante.

Dicha documentación deberá contener por lo menos la siguiente información:

Documentar Casos de • Nombre del sistema o proyecto

Prueba • ID del caso de prueba • Nombre del caso de prueba • Aplicación/ Módulo • Descripción de la prueba • Privilegios • Pre-requisitos • Scripts y herramientas de ejecución de la prueba • Secuencia de la prueba (orden de ejecución, pasos a

ejecutar y resultados esperados) • Nombre del desarrollador (cuando se conoce)

Nota: Para la ejecución de las pruebas y seguimiento de defectos se podrá hacer uso de una herramient~ automatizada, que haya sido acordada entre la DGTIC y el proveedor o Líder Técnico del IFT, pudiendo ser ésta provista por el propio Instituto a través de accesos autorizados a la misma o bien acceder a una herramienta propiedad del /7/ proveedor. ¿Y

p 1 19



La soluc ión tecnológica deberá conte ner un módulo de administración de usuarios (alta, baja, cambios) que permita validar la identidad de los usuarios a través de un mecanismo de autenticación basado en contraseñas.

El acceso a dicho módulo deberá estar limitado a la red de datos interna del Instituto, de tal forma que ningún usuario pueda acceder al módulo desde Internet a menos que utilice una VPN configurada por el área responsable en el Instituto.

El módulo de administración de usuarios deberá permitir la administración de contraseñas considerando:

• Reglas configurables para asignar la complejidad de las contraseñas (longitud mínima de caracteres, uso de mayúsculas, minúsculas,

Administración y números y símbolos). autenticación de usuarios • Cambio periódico de contraseñas.

• Bloqueo automático del acceso a la cuenta de usuario después de un número determinado de intentos fallidos.

• Reinicio de cont raseñas por parte del administrador del sistema a solicitud de un usuario.

• Almacenamiento seguro de contraseñas a través de los a lgo ritmos de cifrado SHA2 o AES 128 o 256 bits.

En caso de que el módulo de autenticación se encuentre expuesto a Internet se deberán implementar mecanismos orientados al control de acceso seguro a través de una prueba desafío - respuesta (captcha) que minimice los riegos de ataque de diccionario por sistemas automatizados o robots.

El módulo de administración de usuarios de la solución tecnológica deberá contar con un mecanismo de autorización basado en roles o perfiles que permita al sistema verificar qué ro les tienen permisos sobre qué recursos; qué ~ opciones de menú configurar; o q ué informació n mostrar en

Matriz de roles y privilegios tiempo de ejecución. ~ El proveedor deberá documentar en una matriz los roles que pueden acceder a los distintos recursos que provee el sistema"\ y con qué privilegios pueden hacerlo. ~

La matriz deberá presentar de forma c lara los perfiles c reados _4}~ para los usuarios, los módulos a los que tienen acceso y los ?""?' ¡

20



Uso de credenciales de acceso a sistema (BD/OS)

Manejo de datos personales

Manejo de cookles

permisos sobre cada objeto del sistema, así como una breve descripción de cada uno de estos elementos.

La solución tecnológica deberá asegurar que los recursos puedan ser accedidos sólo por los usuarios autorizados.

El uso de contraseñas vacías o "harcodeadas" hace posible su obtención con el desensamblado de la aplicación, por lo que un usuario ma licioso podría acceder a las mismas.

Se recomienda almacenar la información sensitiva en lugares a los que solo el aplicativo pueda acceder, y preferentemente, cifrar dicha información. Los algoritmos para el cifrado de la información deberán ser acordados entre el á rea de seguridad y el proveedor de tal fo rma que no impacte el rendimiento de la plataforma del sistema.

En caso de que la soluc ión tecnológica recolecte o gestione información c lasificada como datos personales, entiéndase por datos personales c ualquier información concerniente a una persona física identificada o identificable, e l proveedor o líder técnico del IFT deberán Integrar a la inte rfaz gráfica del usuario el aviso de privacidad correspondiente en el que se consideren los elementos establecidos por la LFTAIPG y/o LGTAIP.

El administrador del proyecto o líder técnico del IFT y el área de seguridad generarán una versión preliminar del aviso de privacidad y deberá contener el visto bueno del área juríd ica del Instituto.

Entiéndase por cookie como cualquier tipo de archivo o dispositivo que se descarga en el equipo de cómputo de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación.

Almacenar el nombre y la contraseña de un usuario en una cookie no es una buena práctica de seguridad ya que permite que cualquier persona que use el equipo de cómputo pueda tener acceso a esos datos.

El proveedor de la soluc ión tecnológica (interno o extern~ deberá asegurar que el uso de cookies, para identificar a u usuario, no permita la lectura de cookies desde el lado del usuario, sólo desde el servidor y preferentemente utilizando un ¡}/ identificador único temporal asociado con el usua)¡,,1 ¿,Y

/// r 21



En caso de que la solución tecnológica utilice cookies para recabar información concerniente a los usuarios, se deberá notificar.

La validación de los datos de entrada deberá realizarse y parametrizarse en los diferentes módulos que conformen este sistema de tal forma que se mitiguen ataques tales como inyección de código (SQL, LDAP o XPath), así como ataques de sitios cruzados (XSS).

Ataque por sistemas automatizados o robots. Con la finalidad de evitar la inserción de datos inválidos provenientes de sistemas automatizados o robots, cualquier formulario expuesto a Internet deberá contener una prueba de validación desafío - respuesta, también conocida como Captcha.

SQL lnjection. Se recomienda validar todos los campos por medio de listas blancas. De esta forma, sólo se a ceptarán caracteres no peligrosos. Es Importante normalizar la entrada para evitar las evasiones por medio de codificaciones en los parámetros. De ser posible, se recomienda el uso de "prepared statements", ya que resulta la opción más segura Validación de datos de hasta la fecha, para construir sentencias SQL con parámetrosentrada externos.

Cross Site Scripting. Como regla general, no se debe confiar en información recibida por el usuario. Resulta peligroso utilizar, en la generación de páginas de respuesta, datos recibidos directamente del usuario sin realizar la codificación adecuada según el caso.

Buffer Overflow. Por norma general, cualquier operación que conlleve copia de datos sobre un área de memoria, debe de ser realizada con especial cuidado a fin de garantizar que el área de memoria destino reservada será suficiente para albergar los datos que se quieren copiar.

Path Manipulation. Se recomienda no utilizar datos provenientes del usuario para construir el nombre de los ~ . ficheros. En caso de ser necesario, se recomienda aplicar filtrado sobre los dalos recibidos, preferentemente en base q"Yn:fJ' uso de listas blancas. \ , ~ La solución tecnológica deberá ser capaz de generar

Bitácoras de eventos bitácoras de todos los eventos que suceden~ con este. Se entiende por evento, las acciones que realizan los usuarios, lo

22



sistemas de forma automática y otros sistemas al interactuar con e l sistema, así como los intentos no autorizad os de acceder a c ua lquiera de los elementos que lo componen.

Las bitácoras deberán contener a l menos la siguiente información: ¿Quién lo hizo? ¿Qué hizo? ¿Cuándo lo hizo? ¿Dónde lo hizo? y una breve descripción del evento. La soluc ión tecnológica deberá resguardar las bitácoras preferentemente en una instancia independiente a la base de datos del sistema. En caso de q ue la plataforma tecno lógica no lo permita, podrá optarse por resguardar las bitácoras en formato de texto plano. Será responsabilidad d el Proveedor proponer las medidas para mantener la integridad y confidencialidad de las bitácoras en texto pla no.

El borrado de los registros deberá realizarse a nivel lógico, se recomienda contemplar un campo "estatus " en el cual se determine e l estado como cancelado cuando se haya e liminado un registro. Se deberá justificar ante la DGTIC cualquier borrado físico de los registros.

La solución tecnológica deberá proveer los mecanismos necesarios para garantizar que e l contenido de las bitácoras no ha sido a lterado a nivel de registro. Esto es, deberá garantizar que están registrados todos los eventos y que estos eventos no han sido alterados, inc luso por el administrador del Sistema.

La solución tecnológica deberá mantener los archivos de la bitácora disponibles por a l menos un determinado periodo de tiempo y deberá mantener separadas las bitácoras de eventos de acuerdo a los componentes q ue lo integran (Al menos: sistema operativo, base de datos, aplicativo).

El periodo de tiempo que deberán mantenerse disponibles las bitácoras será establecido entre el administrador del proyecto del proveedor o líder técnico del IFT, el á rea de seguridad y la UA solicitante, tomando como base la c riticidad de la información contenida en e l sistema.

Las bitácoras deberán estar consideradas como parte de 1~ . información que deberá respaldarse . ~

Las respuestas ante un error en la solución tecnológica no

Manejo de errores / deberán entregar información que pudiera revelar detalle 1). / acerca de cómo está hecha o funcionan los procedimientosJ íJ de la misma, por lo que se deberán utilizar siempre que sea

23



Validación de datos de salida

Sincronización de tiempo del sistema

Finalizar sesión por Inactividad

posible controles d e error (try - catc h) para el manejo de excepc iones o errores inesperad os.

Será resp onsabilidad del proveedor la c reac ión de una página personalizada que se despliegue cada vez que el sistema genere un error, por ejemplo los típicos errores 404, y

que elimine la divulgación de info rmación rela tiva a la arquitectura d el sistema .

Los mensajes d e errores deberán almacenarse (bitácora de eventos) d e tal forma que permitan la corrección de los errores sin esperar que un usuario los reporte, además de que podrán utilizarse para la resoluc ión de problemas.

Se deberán asegurar que los mensajes de salid a devueltos a los usuarios a l momento de la autenticación o interacción con la soluc ión tecno lógica no especifiquen mayor información sobre la existenc ia de usuarios o valores válidos, por ejemplo : "Error de ingreso: La combinación de usuario y clave proporc ionados no es válida".

Asimismo, el proveedor deberá asegurarse de enmascarar el direccionamiento del sistema para evitar la publica c ión de la s direcciones IP homologadas de los servidores d e aplicación Web .

El proveedor deberá desarrollar un mecanismo configurable que permita la sinc ronización del sistema con un servic io de Network Time Protocol "NTP" definido por el IFT.

Dic ho servicio de reloj deberá utilizarse como insumo de las bitácoras de eventos, inactividad d e sesión y limitación del tiempo de conexión al sistema.

La soluc ión tecnológica deberá contar con un mecanism configurable que permita la terminación de la sesión de un usuario d espués de un determinado tiempo de inactividad.

Una vez cerrada la sesión, se deberá notificar al usuario que su sesión ha expirado por inactividad.

ift INSTITUTO FEDERAL DE TELECOMUNIC AC IONES


Previo a la validación d el requerimiento, la soluc ión tecnológica deberá ser capaz d e limitar e l acceso a los usuarios en hora rios específicos definidos por el administrador

Limitación del tiempo de del proyecto en conjunto con el á rea usuaria.

conexión al sistema Es responsabilidad del proveedor desarrollar un mecanismo configurable que permita al Instituto limitar el horario de conexión al sistema de acuerdo a una fecha en específica o a un rango de tiempo d efinido por el Instituto .

Para el caso de una solución tecnológica planteada por un tercero contratado por el Instituto, que no estuviera a lineada a lo establecido en a lguna(s) de las normas esp ecífica s d e este capítulo, el proveedor deberá justificar y documentar dicha(s) excepclón(es) p ara ser revisada(s) y en su caso aprobada(s) por la DGTIC.

Capítulo VI. Normas específicas aplicables a la Fase "Construcción"

Durante la fase de Construcción se deberán considerar las siguientes normas específicas:


La soluc ión tecnológica debe c umplir cuando menos con las siguientes buenas prácticas de programación:

• Ajustar código a mejores prácticas d e programación Implementar Buenas d efinidas por el área d e desarro llo. Prácticas de Programación • Utilizar repositorio d e Subversión dentro del IFT.

DGTIC se reserva el d erecho d e realizar las comprobac iones necesarias para el cumplimiento de buenas práctica s y estándares solic itados.

El sistema operativo deberá pasar por un proceso de fortalecimiento que permita minimizar el número d e vulnerabilidades contenidas.

Fortalecimiento de Sistemas El sistema operativo deberá tener instaladas todas la~Operativos actualizac iones y parc hes que se enc uentren d isponibles, p~~~ parte del fab ricante, al momento d e la implementación y deberá ap licar para cada uno de los servidores que formarán~ parte d el sistema . La aplicación d e parc hes y 9ctualizaciones .·

25



sobre el sistema operativo deberá acordarse en conjunto con la DGTIC.

Las guías de endurecimiento serán proporcionadas por el área de seguridad para su implementac ión por el proveedor o responsable del proyecto, las cuales están orientadas a la eliminación, desactivación o cierre de software, usuarios, puertos TCP/IP y servicios Innecesarios para el funcionamiento del sistema.

El servidor de aplicaciones web deberá pasar por un proceso de fortalecimiento que permita minimizar el número de vulnerabilidades contenidas.

El servidor de aplicaciones, para los ambientes de pruebas, desarrollo y producción, deberá tener instaladas todas las actualizaciones y parches que se encuentren disponibles por parte del fabricante al momento de la instalac ión, considerando que los ambientes de pruebas, desarrollo y producción deberán ser idénticos en versiones y parches instaladas.

Los parches y actualizaciones posteriores a la implementac ión Fortalecimiento de Servidor de los ambientes deberán considerarse como una fase de de Aplicaciones actualización posterior a la liberación del sistema en

producción.

La instalac ión, implementación y actualizac ión de los servidores de aplicación será responsabilidad del proveedor o área técnica responsable del proyecto. La aplicación de parches y actualizaciones sobre el sistema operativo deberá acordarse en conjunto con la DGTIC.

Las guías de endurecimiento serán proporcionadas por el á rea de seguridad para su implementac ión por el proveedor, las c uales están orientadas a la eliminación, desactivac ión o cierre de software, usuarios, puertos TCP/IP y servic ios innecesarios para el func ionamiento del sistema.

La instalac ión inicial y configurac ión básica del Sistema ~ Instalación del motor de Manejador de Base de Datos, en cada uno de los diversos Base de Datos ambientes donde será utilizado deberá realizarse por el

proveedor en conjunto con la DGTIC. \

El proveedor deberá realizar pruebas unitarias a los módulos ~ Pruebas unitarias d esarrollados que conforman la soluc ión tecnológic/V

.<.:--'

26

ift INSTITUTO FEDERA L DE TELECOMUNICACIONES


generando las evidencias necesarias para verificar su correcta realización.

Capítulo VII. Normas específicas apllcables a la Fase "Pruebas"

Durante la fase de Pruebas se deberán considerar las siguientes normas específicas:


Protección de los datos de prueba del sistema

Ambiente de Pruebas

Ejecución de Pruebas funcionales

El administrador del proyecto del proveedor o líder técnico del IFT en conjunto con el á rea usuaria y la Dirección de Seguridad de la Información deberá seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas del sistema, asegurándose de que la Información confidenc ial y reservada d el Instituto no sea divulgada a personal no autorizado.

Deberán apoyarse del área de Base de Datos del Instituto para generar informac ión aleatoria que pueda utilizarse en las pruebas func ionales del sistema en los ambientes de desarrollo y de pruebas. ·

El proveedor deberá realizar una primera implementación de la solución tecnológica en el ambiente de pruebas, de tal forma que se valide el manua l d e instalación y configuración, así como el manual de usuario.

Previo a esta fase es necesario que el responsable de la construcción de la soluc ión tecnológica, realice por lo menos las pruebas unitarias de integración y funcionales, presentando evidenc ia documental de su ejecuc ión. En caso d e detectar algún defecto o desviación deberá inc luir la documentación de la resoluc ión de estos.

Se deberán ejecutar las pruebas que buscan determinar la satisfacción del requerimiento solicitado, considerando todas las variables que hayan sido documentadas para cada un\ en los Casos de Prueba.

Para inic iar con la ejecución de las pruebas es mandatorio considerar los siguientes documentos:

~ 27



• Matriz de Trazabilidad de Requerimientos

• Casos de Prueba

• Credenciales d e acceso a la solución tecnológica

• Matriz de Pruebas

La severidad de los hallazgos identificados durante las pruebas se c lasificarán de acuerdo a la siguiente ponderación:

• Crítico: Obstaculiza o imposibilita la operación del sistema.

• Alto: No cumple con la func iona lidad esperada o regla de negocio.

• Medio: El requerimiento no está codificad o correctamente o envía errores aleato rios.

• Bajo: Se detectan fallas en el d iseño o errores gramaticales en los mensajes.

Para aquellas soluc iones tecnológicas desarrolladas por el Instituto a través de la Dirección de Desarrollo de Software (desarrollos internos o desarrollos gestionados por la fábrica de software contratada por la DGTIC), las pruebas de calidad serán realizadas por el área de calidad de la DGTIC. Es responsabilidad del líder técnico asegurarse de que han sido estimados y programados los tiempos de ejecución de pruebas, siendo la base de cálculo, un 25% con respecto al tiempo programado de la Fase de "Construcción", considerando por lo menos dos ciclos de revisión.

Para las soluciones tec nológicas desarrolladas por terceros, las pruebas de calidad serán responsabilidad del proveedor, quien deberá generar la evidenc ia suficiente (matriz de pruebas) para comprobar su ejecuc ión, considerando al menos:

• Identificad or de la prueba ~ •

• Descripción del proceso de la prueba ~-~ • Versión de la solución tecnológica sobre la que se

realiza la prueba \ • Ruta de trazabilidad donde se ejecutó la prueba

• Tipo de defecto: Mejora / Defecto

• Severidad: Crítico / Alto / Medio / Bajo

• Estatus: Abierto / Cerrado / Rechazado

28



La DGTIC se reseNa el derecho de verificar la correcta atención de los defectos reportados en la matriz de pruebas por parte del proveedor a través de la ejecuc ión de pruebas exploratorias a la solución

La totalidad de los Casos de Pruebas deben de cumplir con los c riterios de aceptación definidos por la UA.

Para solicitar la validac ión para liberar en ambientes productivos del IFT, será necesario haber atendido los hallazgos reportados durante la ejecución de las pruebas. No Resultados de la ejecución podrán ser liberad os a producción sistemas o módulos que node la matriz de pruebas hayan atendido los hallazgos clasificados como "Críticos" o "Altos".

Para poder liberar la solución tecnológica a un ambiente productivo, se deberá contar con el visto bueno del líder de proyecto, líder técnico, de la UA solicitante y de la DGTIC.

La DGTIC será la responsable de realizar pruebas func ionales de seguridad sobre la soluc ión tecnológica desarrollada, con la finalidad de verificar la correcta implementac ión d e las recomendaciones de seguridad establecidas y acordadas por el área de seguridad y el proveedor de la solución. Será responsabilidad de la DGTIC reportar los hallazgos Pruebas funcionales de encontrados, anexando la evidenc ia del incumplimiento

seguridad detectado.

Para la liberación del sistema en un ambiente productivo, será responsabilidad del proveedor o líder téc nico del IFT atender los defectos de seguridad funcional del sistema que hayan sido encontrados por la DGTIC.

Antes de que la solución tecnológica sea implementada en un ambiente productivo, se deberá realizar un análisis de vulnerabilidades que permita identificar las vulnerabilidades de la solución y el nivel de riesgo que estas representan para los activos de informac ión del IFT.

Análisis de vulnerabilidades Será responsabilidad de la DGTIC la ejecución del análisis de vulnerabilidades sobre la aplicación e infraestruc tura, as'\ como clasificarlas de acuerdo a su posibilidad de explotación e impacto a los activos de informac ión del IFT; estas pueden ser: Críticas, Altas, Medias, Bajas o Informativas.

Será responsabilidad del proveedor o líder téc nico del IFT ~ atender las vulnerabilidades identificadas sobre la solucióv ( t6'

29

U

ift INSTITUTO FEDERAL DE TELEC OMUNICACIO NES


considerando que el sistema no podrá liberarse a producción con vulnerabilidades c lasificadas con un nivel c rítico o a lto. Para las vulnerabilidades de nivel Medio o inferior, el proveedor o líder técnico del IFT, deberá establecer un plan de mitigación para corregir d ichas vulnerabilidades que deberá ser ejecutado satisfactoriamente para dar por finalizado el desarrollo del sistema.

La atención de las vulnerabilidades detectadas no deberá tener un costo adicional para el Instituto .

Capítulo VIII. Normas específicas aplicables a la Fase "Despliegue"

Durante la fase de Despliegue se deberán considerar las siguientes normas específicas:


Ambiente para liberación a producción

Resguardo del código fuente del sistema

Resguardo de llaves criptográficas

Plan de Instalación / Retorno

Consiste en la preparación y entrega del ambiente productivo de la soluc ión tecnológica, el proveedor o Líder Técnico del IFT deberá validar la correcta instalac ión y configuración del ambiente.

El proveedor deberá proporcionar a la DGTIC el código fuente de la solución tecnológica, d ic ho código deberá estar documentado de tal forma que permita identificar al menos: los requerimientos del negocio, variables, funciones y componentes de la solución tecnológica.

El proveedor deberá los parámetrbs de configuración, licenciamiento, contraseñas, archivos y llaves correspondientes a los certificados SSL o cualquier otro mecanismo de c ifrado. Toda la información concerniente deberá ser entregada a la Dirección de Seguridad de la Información.

Como parte de las acciones que se deberán considera antes de la liberación de una nueva versión o soluc ión tecnológica, se deberán identificar las actividades, tiempos, actores y recursos para lograr de forma exitosa su liberaciór0 a producción. ¿

30



Plan de migración de la Informac ión

Reglas de transformación de datos

/

/

Manual de instalación y configuración

El líder técnico de la DGTIC -tratándose de proyectos internos- o el administrador del proyecto del proveedor deberá identificar los posibles escenarios y sus riesgos asociados, generando por cada escenario los procedimientos a ejecutar para regresar la operación a un punto estable anterior. El plan deberá ser validado por todos los involucrados antes de proceder a la liberación a producción.

Es fundamental coordinar los recursos necesarios para la migración de datos a l identificar correctamente los componentes a ser migrados evitando problemas que afecten la operación.

El líder técnico, deberá de establecer los tiempos, recursos humanos, técnicos y administrativos (procesos) de los componentes a ser migrados con base en los requerimientos.

• Información a migrar . • Tamaño . • Fecha de migración . • Equipo de trabajo. • Afectaciones. • Método de migración . • Roll back / Controles .

Es un conjunto de pasos que aseguran que las tablas, y datos sean migrados completamente con sus relaciones y atributos correspondientes, con el fin de mantener la consistenc ia e integridad de los registros.

El líder técnico del proveedor o del IFT, deberá de incluir un reporte detallado que contenga el resultado de las reglas de transformación de datos; estas se identificarán en una matriz que contenga el nombre del objeto, ruta origen y ruta destino, reglas aplicadas y atributos, así mismo incluirá c ifras de control, identificación de volúmenes y tipos de datos.

• Método de transformación. • Reglas aplicadas. • Matriz de migración. • Controles de supervisión. • Aceptación de la información migrada.

Es mandatorio que el proveedor proporcione la descripción ~ , completa y a detalle del proceso de instalación,¿;Y ~ ~·

31

-----------

32



Políticas de respaldos

Documento de Mantenimiento de la Base de Datos

configuración, encendido y apagado, de la solución tecnológica.

Se deberán describir los procesos para la Instalación de la solución tecnológica, dicha información deberá contener al menos: números de licencias, números de serie, elementos de hardware, elementos de software y cualquier otra información relativa al licenciamiento y operación del sistema.

El proveedor deberá entregar un inventario de los componentes de software identificados como necesarios para la operación del sistema.

Antes de la puesta a producción de la solución tecnológica, el proveedor deberá actualizar toda la documentación solicitada dentro de cada una de las fases de este documento.

Se debe de asegurar la continuidad de la operación por medio de ambientes tolerantes a fallos. El proveedor debe de llenar el documento de Políticas d e respaldo indicando periodos de retención y rutas a respaldar.

El proveedor deberá documentar los componentes (instancias de bases de datos, archivos ejecutables, carpetas de sistemas operativos, etcétera) del sistema que deberán respaldarse de forma periódica con la finalidad de:

• Permitir la restauración de información a un punto anterior.

• Garantizar su recuperación y/o replicación en un nuevo ambiente completamente independiente.

Adicionalmente. documentará la forma en que deberán realizarse dichos respaldos y la periodicidad con que deberán ejecutarse. Será responsabilidad del proveedor en colaboración con la DGTIC ejecutar pruebas de restauración de información a partir de los respaldos vr¿realizados, siguiendo los manuales entregados, de tal forma que demuestre que los respaldos y documentació\ generada funcionan de forma correcta.

Consiste en el conjunto de actividades de mantenimiento y optimización recomendadas para su aplicación en la BD,

ift INSTITUTO FEDERAL DE TELECOMUNIC ACIONES


Plan de recuperación de desastres

Manual de usuario

Planes de capacitación

Derechos de Autor

con el propósito de mejo rar el rendimiento y garantizar la Integridad y resguardo de los datos

• Optimización de índ ices • Revisión de integridad de la BD • Respaldos • Generación de estadísticas

El proveedor deberá d efinir y documentar las acciones que se llevarán a cabo durante una contingencia, con la fina lidad de minimizar el impacto de la interrupc ión y restaurar la operación del sistema en el periodo más breve de tiempo posible.

El plan de recuperación de las operaciones deberá incluir un p lan de respaldo, un plan de emergenc ia y un plan de recuperac ión d e desastres.

Cada uno d e los p lanes d eberá indicar el escenario para el que fue c reado, el orden secuenc ial d e actividades que deberá ejecutarse, el tiempo de recuperac ión aproximado y los recursos (humanos, técnicos y administrativos) requeridos para su implementación.

El proveedor deberá realizar una transferencia de conocimientos de los planes al personal designad o por el IFT que inc luya al menos la simula c ión teórico -práctica del p eor escenario documentad o .

Es d e carácter obligatorio fa c ilitar el manual d e usuario en el que se describa d e forma senc illa y entendible, las actividades que realizan los múltiples roles de usuario d entro de la soluc ión tecnológica, flujos de proceso, negocio y administración.

Se deberá considerar d entro de los tiempos y presupuesto del proyecto para el d esarrollo de la soluc ión tecnológica , la impartic ión de capacitación a usuarios finales y capacitación a usuarios que administren la herramienta.

Salvo que exista impedimento, la estipulación d e que los d erechos inherentes a la propiedad intelectua l, invariablemente se constituirán a favor d el Instituto, en\ términos de las d isp osic iones legales aplicables, así como que el proveedor se abstenga de distribuir, reproducir, decompilar, adaptar, traduc ir, o realizar c ualquier acción en A ~ perjuic io de los derechos cedidos al Instituto . ~ ( J,

33

ift INSTITUTO FEDERA L DE TELECOMUNIC ACIO NES


Será responsabilidad del proveed or proporc ionar el licenciamiento d e c ua lquier componente que sea utilizado en la construcción del sistema y que se encuentre protegido por las leyes federa les del derecho de auto r. El periodo d e la vigenc ia deberá ser determinado en conjunto con la UA solic itante y la DGTIC.

Documento en el cual la UA solic itante acepta a su entera Aceptación del usuario de la satisfacción la solución tecnológica y la liberación del solución tecnológica sistema a producción.

Documento en el cual la UA solic itante, el proveedor y la DGTIC indican el período d e garantía (inicio y fin) para el caso de los proyectos tercerizados, así como el proceso d e soporte y d e escalamiento Inc luyendo la información d e contac to para proveer d el soporte requerido.Carta de inicio de garantía

y/o soporte de la solución Es mandatorio que el proveed or o líder técnico d etermine a tecnológica través d e este documento los niveles de escalación, niveles

de servic io, tiempos d e respuesta, tiempos d e soluc ión, . : p ersona l a cargo de la a tenc ión y tipo de servicio (en sitio,

vía telefónica o de forma remota) para la atenc ión de las •• incidencias.

Poste rior a la p uesta en p roducción es necesario que el proveed or y / o líder técnico de la soluc ión tecnológica, lleve un control o registro de tod as las incidencias (vicios ocultos,

Reporte y control de cambios y actualizaciones), así como el control de: incidencias

• Errores • Causa • Soluc ión

Para los proyectos tercerizados se deberá considerar que al fina lizar el contrato, la informac ión propiedad del IFT d eberá

Borrado Seguro ser proporcionad a al Instituto y eliminada a travésde medios seguros d e cua lquier medio de almacenamiento ajeno al ~ J\

Instituto. .~

Capítulo IX. Consideraciones Finales \ ~

El contenido de las normas específic as previstas en los Capítulos IV, V, VI, VII y VIII ~ deberá n incluirse, en su caso, en los contratos a suscribir con los proveedores. r

p 34


Con el fin de vigilar el cumplimiento de las presentes Normas, la DGTIC realizará las actividades de monitoreo necesarias, conforme a las atribuciones que le confiere el Estatuto Orgánico del Instituto Federal de Telecomunicaciones, así mismo resolverá cualquier situación no prevista en las mismas.

Disposiciones Transitorias

Única. Las presentes Normas deberán publicarse en el Portal de Transparenc~1 Institucional, sin perjuicio de publicar el aviso correspondiente en el Diario Oficial de la Federación, y entrarán en vigor al día siguiente al de la publicación d~ __;--mencionado aviso. ~

Dado en la Ciudad de México, el 9 de febrero de 2016.

35

normas para la administración - instituto federal de ...tener la iniciativa de tic en cuestión a...

Documents