normas téc en ti y comunics

Contralora General de la RepblicaDivisin de Gestin de Apoyo

Unidad de Tecnologas de Informacin

Normas Tcnicas enTecnologas de Informacin y Comunicaciones

Informe final Versin 1.0.0Julio 2009

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3

Introduccin

Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI),

en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la

cual se emitieron, constituyen los criterios bsicos de control que deben ser observados

en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los

recursos invertidos en ellas y a facilitar su control y la fiscalizacin.

De manera congruente con este objetivo, estos criterios bsicos de control sobre las

TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009-

CO-2009, como lo consigna la norma No. 5.9:

5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus

competencias, deben propiciar el aprovechamiento de tecnologas de informacin

que apoyen la gestin institucional mediante el manejo apropiado de la informacin

y la implementacin de solu ciones giles y de amplio alcance. Para ello deben

observar la normativa relacionada con las tecnologas de informacin, emitida por

la CGR.

Conscientes de que las tecnologas de informacin constituyen un factor crtico y

estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de

soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo,

a continuacin se emite un informe con los principales aspectos desarrollados en la

Contralora General, como Administracin Activa, en atencin de estas NT.

Alcance

Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos

a su fiscalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para

cumplir con la serie de criterios bsicos de gestin y control de las NT.

4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento

razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto

obste para ir profundizando y actualizando los resultados obtenidos, as como para

atender nuevos requerimientos derivados de la normativa y del entorno.

Metodologa

Para atender la normativa se inici con el trabajo de preparacin delineado en el

artculo 6 de la Resolucin No. R-CO-26-2007, a saber:

La constitucin de un equipo de trabajo.

La designacin de un responsable del proceso de implementacin,

coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar

el plan definido.

El estudio detallado de las normas tcnicas referidas, para identificar las que

apliquen a la entidad u rgano de conformidad con su realidad tecnolgica

y con base en ello establecer prioridades de implementacin.

Una planificacin debidamente documentada, que considere actividades,

plazos para cada una, responsables, costos estimados y cualquier otro

requerimiento asociado (infraestructura, personal, recursos tcnicos.).

Para su implementacin, la seora Contralora, mediante oficio No. CO-0272 del 15 de

agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente,

que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas

de informacin y comunicacin de la Contralora, y que apoya en su implementacin

y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de

trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.


El equipo de trabajo est coordinado por la seora Subcontralora.

La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura

de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin

distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio

de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de

la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en

general y sobre el componente funcional de Sistemas de Informacin en particular.

Se elabor un diagnstico institucional sobre el estado de TI con respecto a las

NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de

ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit

Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por

este comit y tomado como base para la implementacin de las NT. Ver minuta Nro.

3 del 12 de marzo de 2008, acuerdo 1, apartado 3.

Asimismo, se planific la implementacin de las NT con base al cronograma resultante

del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1

Cronograma de Implementacin.

El contenido del informe consigna en negrilla el texto de las normas y seguidamente,

se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los

cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su

versin digital.

Captulo INormas de Aplicacin GeneralCaptulo INormas de Aplicacin General


Captulo INormas de Aplicacin General

1.1 Marco estratgico de TI

El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la

organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco

estratgico constituido por polticas organizacionales que el personal comprenda y con

las que est comprometido.

1.1.1 Con la representacin de las reas sustantivas y de apoyo de

la CGR, se elabor para su puesta en marcha y ejecucin el Plan

Estratgico en Tecnologas de Informacin y Comunicacin (PETIC),

del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual

Operativo las Unidades han incorporado los proyectos correspondientes

para dar cumplimiento al dimensionamiento estratgico y tctico de

TI, todo debidamente alineado al Plan Estratgico Institucional. Ver

documentos PETIC y PETAC.

1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1

mediante charlas generales y especficas; as como por su publicacin en

la Intranet institucional, logrando el compromiso de los patrocinadores y

funcionarios en el desarrollo de soluciones tecnolgicas.

1.1.3 El CGTIC analiz la cartera de proyectos y estableci las

prioridades de ejecucin de los mismos, recomendando al Despacho

de las seoras Contraloras su incorporacin en el PTAC.


1.2 Gestin de la calidad

La organizacin debe generar los productos y servicios de TI de conformidad con los

requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento

continuo.

1.2.1 Se elabor un manual para la gestin y aseguramiento de la

calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,

el cual ser aplicado a partir del segundo semestre del 2009. Ver

documento NTP8 Marco General para la Gestin de la Calidad en TIC.

1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de

decisiones relacionadas con el mejoramiento continuo, se desarroll e

implement un sistema de informacin dirigido al registro de solicitudes

de servicio y de su solucin, los tiempos empleados y el procedimiento

ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS),

disponible en la Intranet, permite la medicin y el control de calidad,

especialmente en el servicio de soporte tcnico que se brinda en la UTI.

1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo

de sistemas de informacin automatizados y la gua para el desarrollo de

proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante

una mayor participacin de los patrocinadores de proyectos en el

desarrollo y pruebas de las soluciones tecnolgicas. Ver documento

NPT7 Metodologa para el desarrollo de proyectos de TIC.


1.3 Gestin de riesgos

La organizacin debe responder adecuadamente a las amenazas (ver este concepto con

respecto a la definicin , no son solo amenazas) que puedan afectar la gestin de las

TI, mediante una gestin continua de riesgos que est integrada al sistema especfico

de valoracin del riesgo institucional y considere el marco normativo que le resulte

aplicable.

1.3.1 Se definieron y valoraron los riesgos de TI integrados a la

valoracin de riesgos institucional, generando un manual de riesgos y

una seleccin de los principales riesgos a considerar. Ver documento

NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la

Gua para desarrollo de soluciones tecnolgicas.

1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.

1.4 Gestin de la seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad

y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin

o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para

ello debe documentar e implementar una poltica de seguridad de la informacin y

los procedimientos correspondientes, asignar los recursos necesarios para lograr los

niveles de seguridad requeridos y considerar lo que establece la presente normativa en

relacin con los siguientes aspectos:

1.4.1 La implementacin de un marco de seguridad de la informacin.

La CGR elabor un Marco de Seguridad para su aplicacin en toda la

Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver

documento NTP10_Marco de Seguridad en Tecnologas de Informacin.


1.4.2 El compromiso del personal con la seguridad de la informacin.

Mediante la elaboracin, implementacin y divulgacin del manual

denominado Lineamientos y directrices de seguridad, toda la organizacin

se encuentra comprometida con el tema de la seguridad en general.

En adicin, se han impartido charlas especficas sobre seguridad

al personal, se ha insertado la seguridad va mensajes por correo

electrnico y mediante artculos en el sitio Web del Club de tecnologas

y enviados por e-mail. Ver documento Directrices sobre Seguridad y

Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC).

1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de

seguridad perimetral que involucra control de acceso electrnico en

reas de seguridad, cmaras para vdeo vigilancia, sensores de humo,

alarma contra incendio, extintores, sistema de supresin de fuego

especializado para equipo de computo registro en cmara y fsico

de ingresos al Centro de Procesamiento de Datos y una ubicacin

estratgica del mismo.

1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad

en las operaciones se da en trminos de la ejecucin de procedimientos

elaborados con el fin de asistir al funcionario que realice estas actividades

y la supervisin de las mismas, as como de las comunicaciones. Se

incorporaron certificados digitales en los servicios sensitivos de acceso

al pblico; como declaraciones juradas, acorde con la autenticidad,

integridad y confidencialidad de las transacciones que requiere la

CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de

Informacin.

1.4.5 El control de acceso. Mediante un sistema de asignacin

de roles y privilegios en uso, no slo se controla el acceso lgico a

la informacin, sino que tambin se facilita el seguimiento de las


operaciones realizadas por los usuarios de los sistemas de informacin

operando. A lo interno los niveles gerenciales y de jefatura son los que

definen los roles y privilegios que sus funcionarios pueden tener para

acceder a determinada aplicacin; hacia lo externo es el mximo jerarca

de la entidad quien define estas asignaciones y en ambos casos deben

realizar solicitud formal para que sea aplicada. La asignacin de roles

y privilegios es una funcin que ha venido asumiendo el Centro de

Operaciones de la CGR y en casos muy calificados el Patrocinador del

sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de

Tecnologas de Informacin y Comunicaciones (DSUTIC).

1.4.6 La seguridad en la implementacin y mantenimiento de software

e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo

de proyectos de TI, la UTI cuenta con un ambiente controlado e

independiente, destinado a la ejecucin de desarrollo de aplicaciones

que aseguren la no interferencia con las operaciones diarias y que

garanticen el cumplimiento de los requerimientos de usuario, un

ambiente para efectos de pruebas de usuario y capacitacin, as como

obviamente el ambiente para sistemas operando.

1.4.7 La continuidad de los servicios de TI. Se desarroll e implement

el Sistema de informacin para la continuidad de los servicios de TI

(SCS), disponible en la Intranet, que permite el registro y actualizacin

de eventos que afecten los servicios, su solucin, su criticidad y su

impacto, recursos, escalabilidad, procedimientos de recuperacin y

responsables.

1.4.8 El acceso a la informacin por parte de terceros y la contratacin

de servicios prestados por stos. Para efectos de acceso a la informacin

por parte de terceros, se requiere de convenios o contratos previamente

establecidos, o de la solicitud del jerarca de una institucin, para la


asignacin de un rol que le facilite la consulta controlada. De igual

manera, aplica para la contratacin de servicios a terceros, en donde

se establecen clusulas especficas sobre la confidencialidad de la

informacin. Ver DSUTIC.

1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema

Integrado de Gestin y Documentos (SIGYD). Los documentos se

clasifican por tipos documentales y estn disponibles de acuerdo con la

tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios

de informacin se responsabiliza por administrar eficientemente la

documentacin fsica y electrnica. Desde el punto de vista de TI, se

mantiene un estndar de documentacin para proyectos de tecnologa.

1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La

UTI mantiene como poltica la administracin de contratos relacionados

con TI, a travs de los coordinadores; segn especialidad y afinidad,

con el objetivo de un control peridico y directo sobre la ejecucin, su

continuidad, rescisin o la resolucin del mismo.

1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit

de Salud Ocupacional que se ocupa permanentemente de este tema y

con el cual se ha coordinado la ergonoma de los puestos de trabajo y

su entorno.

1.5 Gestin de proyectos

La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos,

satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto

ptimos preestablecidos.


1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se

desarrollo. Ver documento NTP7 Metodologa para el desarrollo de

proyectos de TIC.

1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los

proyectos son liderados y administrados por los patrocinadores,

con la asesora e incorporacin de la UTI, quien busca mediante la

coordinacin de proyectos su integracin y la orientacin para satisfacer

las necesidades en cuanto a calidad, tiempo y presupuesto.

1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por

el Despacho de las seoras Contraloras y que se encuentra incorporado

en el PTAC, el cual es un documento viviente que se actualiza de

acuerdo con las nuevas necesidades y disposiciones. Ver minutas de

seguimiento en los expedientes respectivos.

1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora

de una representacin razonable de la organizacin que coadyuve a mantener

la concordancia con la estrategia institucional, a establecer las prioridades de los

proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada

atencin de los requerimientos de todas las unidades de la organizacin.

1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC

para la toma de decisiones relacionadas con aspectos estratgicos de

tecnologas de informacin, atendiendo sus recomendaciones sobre

prioridad de ejecucin de las inversiones en TI, asignacin de recursos

y ejecucin de proyectos.

1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin

tecnolgica y que se encarga de analizar en primera instancia los


requerimientos de las unidades y que estn relacionados con TI, para

posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,

PTAC.

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

La organizacin debe identificar y velar por el cumplimiento del marco jurdico que

tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos

legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.

1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR,

el cual es de actualizacin permanente en trminos de leyes, normativa,

resoluciones y contratos, entre otros, con el propsito de evitar posibles

conflictos legales que lleguen a ocasionar eventuales perjuicios

econmicos y de otra naturaleza a la institucin. Ver documento NTP15

Marco Jurdico en Tecnologas de Informacin.

Captulo IIPlanificacin y organizacinCaptulo IIPlanificacin y organizacin


Captulo II Planificacin y organizacin

2.1 Planificacin de las tecnologas de informacin

La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos

mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos,

su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes

y emergentes.

2.1.1 El funcionamiento de las TI es centralizado y opera con base al

Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC.

2.1.2 Los coordinadores patrocinadores de proyecto se renen

peridicamente, convocados por la UTI, para compartir avances e

integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio

en el contexto del seguimiento trimestral y la evaluacin semestral y

anual del PAO, en coordinacin con la UTI para establecer los ajustes

que sean necesarios de aprobacin en las instancias superiores. La

comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los

avances en los proyectos a efectos de recomendarle al CGTIC lo que

corresponda. De todo este trabajo se llevan minutas por parte de los

lderes y reportes de avance segn corresponda.

2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y

actualizacin de los planes de TI como apoyo a la gestin de TI.


2.2 Modelo de arquitectura de informacin

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas

de informacin de manera que se identifique, capture y comunique, en forma completa,

exacta y oportuna, slo la informacin que sus procesos requieren.

2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI)

tomando como insumo principal la nueva versin del manual general

de fiscalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo

MAGEFI y define el modelo a nivel de insumos, actividades y productos

de los procesos de la CGR. Se continuar con su evolucin integral

alineado al desarrollo de la documentacin de los procedimientos

derivados de estos mismos procesos. El modelo de Arquitectura de

Informacin sirve de base para actualizar el PTAC y ha sido divulgado para

su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura

de informacin y el Manual General de Fiscalizacin (MAGEFI).2.3 Infraestructura tecnolgica

La organizacin debe tener una perspectiva clara de su direccin y condiciones en

materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,

optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe

existir entre sus requerimientos y la dinmica y evolucin de las TI.

2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,

alineada y actualizada a las necesidades sustantivas y de apoyo,

producto de un direccionamiento estratgico en TI definido en el PETIC.

Con base en este direccionamiento, anlisis de capacidad de TI, riesgos,

y al monitoreo del entorno, se elabora el presupuesto y se realizan las

compras relacionadas.


2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las

reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems

dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario

para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente,

competente y a la que se le haya definido, de manera clara y formal, su responsabilidad,

autoridad y funciones.

2.4.1 El PETIC garantiza una visin institucional y promueve la

independencia funcional en el desarrollo de soluciones tecnolgicas.

Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su

independencia funcional se ve fortalecida por medio de una participacin

directa del Despacho en distintas comisiones ad hoc enfocadas a la

funcin de TI en la Institucin, por la existencia de una cartera de

proyectos a desarrollar y la existencia del CGTIC.

2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde

con la gestin estratgica de TI. Cada uno de sus integrantes conoce

muy bien sus obligaciones y responsabilidades. Su organizacin es

plana y especializada por reas.

2.4.3 El equipo de trabajo de la UTI es personal muy calificado,

competente, motivado y actualizado de acuerdo con el plan de

capacitacin.


2.5 Administracin de recursos financieros

La organizacin debe optimizar el uso de los recursos financieros invertidos en la

gestin de TI procurando el logro de los objetivos de esa inversin, controlando en

forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte

aplicable.

2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,

se deriva del PTAC y es aprobado por el Despacho con base en las

recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento

al PETIC-PTAC.

Captulo IIIImplementacin de tecnologas de informacin

Captulo IIIImplementacin de tecnologas de informacin


Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI

La organizacin debe implementar y mantener las TI requeridas en concordancia con su

marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura

tecnolgica. Para esa implementacin y mantenimiento debe:

a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes de implementacin o mantenimiento de TI.

3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin

de una ficha que de manera simple indique sus alcances, objetivos,

recursos, relaciones, tiempos estimados y factores crticos de xito.

Esta solicitud representada por la ficha compite con otros proyectos de

inters de los patrocinadores. El ajuste de soluciones tecnolgicas por

solicitud del patrocinador, requiere de un formulario de requerimientos.

Ver documento NTP7 Metodologa para el desarrollo de proyectos de

TIC.

b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca como de las reas usuarias.

3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC;

debidamente aprobada, se establece que el patrocinador de la solucin

tecnolgica debe aportar los recursos necesarios para su desarrollo e

implementacin.

c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas.

3.1.3 Por medio de la implementacin de la Metodologa para el

desarrollo de proyectos de TIC se obliga al Patrocinador a participar


activamente y con responsabilidades en el desarrollo e implementacin

de la solucin.

d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad.

3.1.4 Por medio de la implementacin de la Metodologa para el

desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar

un lder de proyecto con responsabilidades claras en el desarrollo e

implementacin de la solucin. Ver documentos (designacin de

patrocinadores de proyectos a partir del PTAC) en los archivos de la

UTI.

e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos.

3.1.5 La Metodologa para el desarrollo de proyectos establece como

fase inicial un diagnstico de la solucin con posibles alternativas a

evaluar para tomar la mejor decisin por parte del Patrocinador o bien

el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el

expediente de cada uno.

f. Contar con una definicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo beneficio.

3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren

partiendo de requerimientos claros segn se establece en la Metodologa

para el desarrollo de proyectos de TIC, considerando aspectos de

control, seguridad y auditora.


g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos.

3.1.7 Con base a la cartera de proyectos y las prioridades establecidas

por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o

asignacin de recursos adicionales de TI, que permitan cumplir con la

ejecucin del PTAC.

h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos.

3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos

con el objetivo de administrarlos, para ello la Gua para desarrollo de

proyectos de TI contempla los riesgos ms relevantes en materia de

TI con el fin de que sean valorados en cada proyecto. Ver documentos

Informe mensual sobre proyectos PTAC.

i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios.

3.1.9 Si bien es cierto es sumamente difcil independizarse de

proveedores de hardware y de software en trminos de que siempre

se tendr que acudir a ellos; aunque sea para aplicar actualizacin de

versiones, la CGR ha venido fortaleciendo a su personal de TI para que

en un alto porcentaje se desempee de la forma ms independiente

posible.

3.1.10 Nuestros estudios de capacidad, el anlisis del entorno,

el conocimiento y la capacidad del personal de UTI nos permite

seleccionar objetivamente la solucin tecnolgica ms adecuada para

suplir las necesidades de la CGR.


3.2 Implementacin de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus

usuarios y soporte efectivamente sus procesos, para lo cual debe:

a. Observar lo que resulte aplicable de la norma 3.1 anterior.

3.2.1 Aplica prcticamente la totalidad de la norma indicada.

b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post implantacin de la satisfaccin de los requerimientos.

3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para

desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.

c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacin y mantenimiento de software.

3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se

encuentran productivos y operando, uno para desarrollo de aplicaciones

y otro para capacitacin y pruebas a realizar por los equipos de trabajo

que se encuentran implementando software. La administracin de los

permisos est bajo responsabilidad del administrador de base de datos

(DBA) y del administrador de sistemas operativos en ausencia del DBA,

segn se establece en la Metodologa para desarrollo de proyectos.

d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin.

3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de

Datos), con base al procedimiento establecido, debe contarse adems


con el Visto Bueno del patrocinador en todas sus fases y la asistencia

del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI.

Que es un DBA

e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos.

3.2.5 Generalmente los proveedores de software envan componentes

para actualizar sus productos con fines de cerrar vulnerabilidades o de

optimizar su producto, o se reciben va Internet. Estas actualizaciones son

revisadas, probadas cuando es factible, y aplicadas por los especialistas

en la materia. Respecto al software desarrollado localmente, previamente

se debe validar y probar su adecuada funcionalidad; por parte del Lder

Tcnico y los usuarios, en un ambiente de pruebas ya establecido.

En relacin con los datos, estos deben ser modificados por el usuario

autorizado en el sistema, la UTI no altera datos en sus sistemas.

f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.

3.2.6 Esta labor es compartida por el Coordinador de proyectos de

la UTI, por el desarrollador del sistema y por el DBA, apoyndose en

herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.


3.3 Implementacin de Infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para

soportar el software de conformidad con los modelos de arquitectura de informacin

e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe

considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a

la infraestructura actual.

3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,

alineada y actualizada a las necesidades sustantivas y de apoyo,

producto de un direccionamiento estratgico en TI definido en el PETIC.

3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para

la actualizacin de la infraestructura necesaria para soportar el software,

con base a las necesidades que se generan de los diagnsticos para

desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y

del monitoreo del entorno. Ver plan en ejecucin y el proyectado para

el prximo ao, 2010.

3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en

procesos de implementacin o mantenimiento de software e infraestructura. Para lo

anterior, debe:

a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.

3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos,

organizacin, controles y ambientes de trabajo, entre otros.


b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura.

3.4.2 Producto del plan de capacidad, monitoreo del entorno,

obsolescencia tecnolgica y necesidades de TI, se somete a consideracin

del comit Ad hoc y del CGTIC la contratacin de productos; debidamente

justificados, as como el presupuesto necesario para su aprobacin y

ejecucin, todo con base al plan de compras anual de TI derivado del

PTAC.

c. Contar con la debida justificacin para contratar a terceros la implementacin y mantenimiento de software e infraestructura tecnolgica.

3.4.3 Para la contratacin se requiere la aprobacin de la jefatura

superior, quien a su vez debe tomar la decisin dependiendo de la

necesidad, la justificacin y el presupuesto disponible.

d. Establecer un procedimiento o gua para la definicin de los trminos de referencia que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas.

3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles,

en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos

(ejemplos de compras tpicas).

e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.

3.4.5 Para toda solucin tecnolgica se establece un documento de

requerimientos que deben satisfacerse para su aprobacin, mediante las

pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento

de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.


f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia de la organizacin respecto de terceros contratados para la implementacin y mantenimiento de software e infraestructura tecnolgica.

3.4.6 En toda implementacin por tercerizacin, la UTI promueve

un equipo de trabajo con funcionarios de la Unidad que absorban el

conocimiento de la empresa contratada en esta materia, con fines de

mantener la solucin operando una vez terminado el contrato.

Captulo IVPrestacin de servicios y mantenimiento

Captulo IVPrestacin de servicios y mantenimiento


Captulo IV Prestacin de servicios y mantenimiento

4.1 Definicin y administracin de acuerdos de servicio

La organizacin debe tener claridad respecto de los servicios que requiere y sus

atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la

Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo

cual deben documentar y considerar como un criterio de evaluacin del desempeo.

Para ello deben:

a. Tener una comprensin comn sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad

b. c. Contar con una determinacin clara y completa de los servicios y sus atributos, y

analizar su costo y beneficio.d. e. Definir con claridad las responsabilidades de las partes y su sujecin a las

condiciones establecidas.f. g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin

de cambios en ellos.h. i. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.j. k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con

terceros.

4.1.1 Se definieron acuerdos de servicio a firmar con las distintas

Gerencias de Divisin, incorporando servicios que faciliten la evaluacin

de la funcin de TI y la delimitacin de responsabilidades hasta su

vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.


4.2 Administracin y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y

minimizar su riesgo de fallas. Para ello debe:

a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma.

4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se

encuentran registrados 221 procedimientos asociados con la operacin

de la plataforma y los responsables por recurso tecnolgico.

b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales fallas.

4.2.2 Se cuenta con herramientas para monitoreo de la capacidad

de TI en sus distintas funcionalidades y a partir de la implementacin

del Sistema de Contingencias se estn registrando electrnicamente

los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de

Capacidad en TI.

c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.

4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin

de la cartera de proyectos, se inician los procedimientos de contratacin

para la adquisicin de bienes y servicios informticos de acuerdo a la

planificacin de compras generada desde el PTAC e incluidas en el

PAO.


d. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fsicas peridicas.

4.2.4 Se mantiene bajo control de la UTI el registro de licencias

adquiridas por la CGR, as como el medio fsico para su instalacin. En

el Sistema de Contingencias se encuentran actualizados los recursos

informticos disponibles en la infraestructura tecnolgica.

4.2.5 Se realiza peridicamente un control de inventarios de software

instalado total o parcial mediante un programa especializado. Ver

reportes electrnicos ms recientes con sus resultados.

e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro.

4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan

mediante cronogramas de trabajo supervisados por los coordinadores

de rea de la UTI; segn su especialidad, y mediante sesiones de

seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas

con corte al 30 de junio de 2009.

f. Mantener separados y controlados los ambientes de desarrollo y produccin.

4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente

separados y controlados.

g. Brindar el soporte requerido a los equipos principales y perifricos.

4.2.8 El soporte requerido se brinda mediante contratos de

mantenimiento preventivo y correctivo, garanta de funcionamiento,

mantenimiento interno y por medio de contratacin directa de un

proveedor si es necesario. Se utilizan como herramientas de apoyo los

sistemas SOS y SCS.


h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin.

4.2.9 Se mantiene un plan de actividades para la generacin de

respaldos diarios, semanales y mensuales, y un procedimiento para

custodia interna y externa. Ver procedimientos registrados en el SCS.

i. Controlar los servicios e instalaciones externos.

4.2.10 Mediante la administracin de los contratos y el monitoreo de los

servicios contratados, se controla la buena ejecucin de los servicios e

instalaciones externas.

4.3 Administracin de los datos

La organizacin debe asegurarse de que los datos que son procesados mediante TI

corresponden a transacciones vlidas y debidamente autorizadas, que son procesados

en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en

forma ntegra y segura.

4.3.1 De acuerdo con los requerimientos de usuario se asegura la

validez de las transacciones mediante funciones tecnolgicas integradas

a la base de datos; su integridad, almacenamiento y su vigencia.

4.4 Atencin de requerimientos de los usuarios de TI

La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin

de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales

requerimientos de manera eficaz, eficiente y oportuna; y dicha atencin debe constituir un

mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.


4.4.1 La UTI tiene implementado un sistema de control de cambios que

facilita al usuario la solicitud de ajustes o de incorporacin de nuevas

funcionalidades a los sistemas que estn operando en la Institucin y

disponiendo un sistema para auto servirse o registrar su requerimiento

(Ver SOS), o realizando una llamada para registro o servicio remoto

en lnea. La UTI atiende estos requerimientos en orden de urgencia,

importancia, prioridad y mediante capacitacin dirigida.

4.5 Manejo de incidentes

La organizacin debe identificar, analizar y resolver de manera oportuna los problemas,

errores e incidentes significativos que se susciten con las TI. Adems, debe darles el

seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje

necesario.

4.5.1 Todo tipo de situacin especial es analizada por funcionarios de

la UTI en aras de lograr la mejor solucin y tratndose de incidentes o

eventos, estos son registrados en los SCS o de SOS, para minimizar el

riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de

que se materialice de nuevo.

4.6 Administracin de servicios prestados por terceros

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los

requerimientos en forma eficiente. Con ese fin, debe:

a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.

4.6.1 Los roles se establecen desde que se inicia el procedimiento de

contratacin y se verifican para efectos de establecer responsabilidades

con la confeccin del contrato y la reunin inicial de trabajo con el

proveedor de bienes y servicios de TI.


b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros.

4.6.2 En lo que respecta a servicios de terceros, se establecen los

requerimientos como parte del contrato, ya sea en clusulas especficas

o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de

contrato.

c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a calidad, seguridad y seguimiento establecidas por la organizacin.

4.6.3 La UTI mantiene coordinadores por rea funcional que se

encargan de administrar los contratos de sus respectivos proveedores,

asegurando la calidad del producto contratado y su congruencia con

los estndares manuales y lineamientos o directrices institucionales. Ver

asignacin de coordinaciones en expedientes de UTI.

d. Minimizar la dependencia de la organizacin respecto de los servicios contratados a un tercero.

4.6.4 La UTI logra este objetivo por medio de conformar equipos

de trabajo en donde se incluye la contraparte que absorber los

conocimientos necesarios para la continuidad de la solucin tecnolgica

contratada.

e. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados.

4.6.5 Se conforman grupos afines a la solucin tecnolgica para

que verifiquen la calidad del producto contratado y por medio del

administrador del contrato se le da seguimiento al cumplimiento y

calidad del mismo.

Captulo VSeguimientoCaptulo VSeguimiento


Captulo V Seguimiento

5.1 Seguimiento de los procesos de TI

La organizacin debe asegurar el logro de los objetivos propuestos como parte de la

gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de

seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar

la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo

de dicho proceso.

5.1.1 La organizacin cuenta con un marco de referencia que es el

Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo

de Arquitectura de Informacin, el Manual General de Fiscalizacin

(MAGEFI) como un marco de procesos, la Auditora Interna como

un elemento de advertencia y asesora y una Unidad de Gobierno

Corporativo que se encarga de darle seguimiento a la funcin de TI;

adems del CGTIC y la comisin Ad hoc.

5.2 Seguimiento y evaluacin del control interno en TI

El jerarca debe establecer y mantener el sistema de control interno asociado con la

gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las

excepciones que se presenten y de las medidas correctivas implementadas.

5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC

y al PAO, adems de que todos los funcionarios de la institucin se

convierten en controladores de la buena operacin de la tecnologa en

uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al

cumplimiento del PTAC.


5.3 Participacin de la Auditora Interna

La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a

coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la

organizacin proporcione una garanta razonable del cumplimiento de los objetivos en

esa materia.

5.3.1 Esta es una labor que se mantiene muy bien ejecutada por

la Auditora Interna de la CGR, suministrando recomendaciones de

valor agregado para el fortalecimiento del control interno. Ver informes

recientes 2007-2009 y oficios de atencin de recomendaciones.

Productos elaborados

A continuacin se indican los productos elaborados durante la puesta en marcha de

las Normas Tcnicas.

Productos generados durante el proceso

Producto FechaNTP0-Diagnstico Inicial Dic. 2007

NTP1-Cronograma de implementacin Ene.2008

NTP2-Plan de Implementacin Ene.2008

NTP3-Evaluacin de riesgos en TI Mar.2008

NTP4-Instrumento metodolgico MAI Jun.2008

NTP5-Diagnstico Inicial MAI Jun.2008

NTP6-Informe de gestin 2008-01 Jul.2008

NTP7-Metodologa para el desarrollo de Proyectos en TI Jul. 2008

NTP8-Marco General para la gestin de calidad en TI Ene.2009

NTP9-Modelo de Arquitectura de informacin Mar.2009

NTP10-Marco de Seguridad en TI May.2009


NTP11-Mapeo Elctrico Jun.2009

NTP12-Plan continuo de capacitacin Jun.2009

NTP13-Plan de la Capacidad en TI Jun.2009

NTP14-Acuerdo de Nivel de Servicio Jun.2009

NTP15-Marco Jurdico en TI Jul.2009

NTP16-Informe de gestin 2009-01 Ago.2009

Conclusiones

Con base a los resultados obtenidos es claro que la Contralora General de la Repblica

ha logrado un cumplimiento razonable de la normativa, generando un conjunto de

productos que le servirn de base para evolucionar a modelos de madurez superiores

a los actuales.

Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y

lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del

Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el

Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,

aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,

los productos obtenidos; as como definir responsables de cada uno de ellos.

Finalmente, garantizar un adecuado seguimiento de la implementacin de estos

productos.

Anexo - NTP0Diagnostico InicialAnexo - NTP0Diagnostico Inicial


Normas tcnicas para la gestin y control de las tecnologas de informacinDiagnstico Inicial

Introduccin

Con base al anlisis grupal realizado por los coordinadores de las diferentes reas

de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las

normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha

que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas.

Cuando las acciones son de ndole normales; es decir operativas, se indica con la

frase: Labor Permanente y no se incluyen en el cronograma.

Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona),

Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores),

Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la

jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y

servicios tecnolgicos.

Este documento es la base para la elaboracin del cronograma plurianual que estar

siendo ejecutado hasta el 30 de junio del 2009.


Captulo I Normas de Aplicacin General

1.1 Marco estratgico de TI

El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas

de la organizacin, mediante un proceso continuo de promulgacin y divulgacin

de un marco estratgico constituido por polticas organizacionales que el personal

comprenda y con las que est comprometido.Situacin actual

Se reformul el campo de accin E.

Se elabor un nuevo Plan Estratgico (PETIC).

Se elabor un Plan Tctico con los proyectos a desarrollar.

Producto

Plan de divulgacin del campo de accin E, PETIC y PTAC.

Acciones

El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC)

debe establecer o aprobar las prioridades para el desarrollo de proyectos

recomendados en el PTAC.

Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una

para la USTI, y dos para funcionarios.

1.2 Gestin de riesgos

La organizacin debe responder adecuadamente a las amenazas que puedan afectar

la gestin de las TI mediante una gestin continua de riesgos que est integrada al

sistema especfico de valoracin del riesgo institucional y considere el marco normativo

que le resulte aplicable.


Situacin actual

Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable

del seguimiento y rectora relacionado con la gestin de riesgos.

Producto

Unificacin de esfuerzos relacionados con la administracin de riesgos que puedan

afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base

a un manual o sistema de riesgos definido. Se recomienda la creacin de una oficina

rectora que dicte; institucionalmente, las polticas sobre riesgos.

Acciones

Capacitacin a coordinadores de la USTI.

Integrar reas relacionadas (Caso de administracin de planta elctrica y

UPS)

Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.

1.3 Gestin de la calidad

La organizacin debe generar los productos y servicios de TI de conformidad con los

requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento

continuo.

Situacin actual

Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra

los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin

de que el usuario registre su calificacin sobre el servicio brindado para valorar la

gestin de la USTI y el mejoramiento continuo.


Producto

Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y

generacin de mtricas sobre la calidad de los productos y servicios brindados por la

USTI, con el objetivo de planificar para el mejoramiento continuo de TI.

Acciones

Encuestas de satisfaccin, son permanentes producto del registro que

realiza el usuario. Labor permanente.

Definir parmetros y mtricas para evaluar calidad por cada tipo de servicio.

Aplicacin peridica de mtricas. Labor permanente.

Fortalecer; institucionalmente, el registro de solicitudes de servicio en el

sistema de informacin. (Charlas, circulares, registro obligado para atender

solicitud). Labor permanente.

1.4 Gestin de proyectos

La organizacin debe administrar sus proyectos de TI de manera que logre sus

objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y

presupuesto ptimos preestablecidos.

ProductoAplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.

Acciones

Aprobacin de la Gua Metodolgica actualizada.

Fortalecer la administracin de proyectos con los patrocinadores. Labor

permanente.

Seguimiento y control sobre los proyectos por parte de la USTI. Labor

permanente.


1.5 Gestin de la Seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad

y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o

modificacin no autorizados, dao o prdida u otros factores disfuncionales.

Para ello debe documentar e implementar una poltica de seguridad de la informacin

y los procedimientos correspondientes, asignar los recursos necesarios para lograr los

niveles de seguridad requeridos y considerar lo que establece la presente normativa

en relacin con los siguientes aspectos:

La implementacin de la seguridad de la informacin.

El compromiso del personal con la seguridad de la informacin.

La seguridad fsica y ambiental.

La seguridad en la operacin y comunicacin.

El control de acceso.

La seguridad en la implementacin y mantenimiento de software e

infraestructura tecnolgica.

La continuidad de los servicios de TI.

Adems debe establecer las medidas de seguridad relacionadas con:

El acceso a la informacin por parte de terceros y la contratacin de servicios

prestados por stos.

El manejo de la documentacin.

La terminacin normal de contratos, su rescisin o resolucin.

La salud y seguridad del personal.

Las medidas o mecanismos de proteccin que se establezcan deben mantener una

proporcin razonable entre su costo y los riesgos asociados.


Situacin actual

La informacin se mantiene restringida para el acceso de aquellos debidamente

autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso

del personal y de terceros, as como sobre la implementacin de software, y en el

manejo de la comunicacin.

Producto

Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.

Acciones

Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero,

cpsulas tecnolgicas)

1.5.1 Implementacin de la seguridad de la informacin

La organizacin debe implementar un marco de seguridad de la informacin, para lo

cual debe:

a. Establecer un marco metodolgico que incluya la clasificacin de los

recursos de TI, segn su criticidad, la identificacin y evaluacin de riesgos,

la elaboracin e implementacin de un plan para el establecimiento de

medidas de seguridad, la evaluacin peridica del impacto de esas medidas

y la ejecucin de procesos de concienciacin y capacitacin del personal.

b. Mantener una vigilancia constante sobre todo el marco de seguridad y,

definir y ejecutar peridicamente acciones para su actualizacin.

c. Documentar y mantener actualizadas las responsabilidades tanto del

personal de la organizacin como de terceros relacionados.


Situacin actual

Se tienen los recursos clasificados por criticidad, as como una evaluacin de riesgos, y

un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento

de la seguridad constantemente y se debe fortalecer la capacitacin del personal.

Producto

Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas

de seguridad en tecnologas de informacin, y plan de capacitacin institucional

actualizados.

Acciones

Actualizar los niveles de criticidad por recurso de TI.

Actualizar plan de implementacin de las medidas de seguridad.

Actualizar plan de capacitacin interna en seguridad.

Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.

1.5.2 Compromiso del personal con la seguridad de la informacin

El personal de la organizacin debe conocer y estar comprometido con las regulaciones

sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano,

robo, fraude o uso inadecuado de los recursos de TI.

Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe:

a. Informar y capacitar a los empleados sobre sus responsabilidades en

materia de seguridad, confidencialidad y riesgos asociados con el uso de

las TI.

b. Implementar mecanismos para vigilar el debido cumplimiento de dichas

responsabilidades.


c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas

de seguridad especficas relacionadas con el manejo de la documentacin

y rescisin de contratos.

Situacin actual

Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est

planificando la divulgacin de su reciente actualizacin aprobada por el Despacho.

Producto

Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el

personal.

Acciones

Plan de divulgacin.

Impartir charlas.

1.5.3 Seguridad fsica y ambiental

La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico

seguro y controlado, con medidas de proteccin suficientemente fundamentadas en

polticas vigentes y anlisis de riesgos.

Como parte de esa proteccin debe considerar:

a. Los controles de acceso a las instalaciones: seguridad perimetral,

mecanismos de control de acceso a recintos o reas de trabajo, proteccin

de oficinas, separacin adecuada de reas.

b. La ubicacin fsica segura de los recursos de TI.

c. El ingreso y salida de equipos de la organizacin.

d. El debido control de los servicios de mantenimiento.


e. Los controles para el desecho y reutilizacin de recursos de TI.

f. La continuidad, seguridad y control del suministro de energa elctrica y del

cableado de datos

g. El acceso de terceros.

h. Los riesgos asociados con el ambiente.

Situacin actual

Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se

encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica

y unidades de poder para suministro de energa elctrica constante, y la definicin de

riesgos asociados con el ambiente.

Producto

Procedimientos y controles documentados, mecanismos para la aplicacin de los

puntos anteriores, y un plan de compras si se requiere.

Acciones

Documentar los procedimientos y controles.

Definir plan de accin.

1.5.4 Seguridad en la operacin y comunicacin

La organizacin debe implementar las medidas de seguridad relacionadas con la

operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y

proteger la integridad del software y de la informacin.

Para ello debe:


a. Implementar los mecanismos de control que permitan asegurar la no

negacin, la autenticidad, la integridad y la confidencialidad de las

transacciones y la transferencia o intercambio de informacin.

b. Establecer procedimientos para proteger la informacin almacenada en

cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios),

incluso los relativos al manejo y desecho de esos medios.

c. Establecer medidas preventivas, detectivas y correctivas con respecto a

software malicioso o virus.

Situacin actual

Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas

con la puesta en marcha de la firma digital en coordinacin con el Banco Central. Se

tienen procedimientos para la proteccin de la informacin almacenada en los medios

magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente

preventivas y correctivas contra software malicioso o virus. Producto

Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo

el software necesario. Mantener software de seguridad actualizado.

Acciones

Continuar con la gestin que se viene realizando al respecto.

Implementar firma digital una vez que el Banco Central libere el servicio.

1.5.5 Control de acceso

La organizacin debe proteger la informacin de accesos no autorizados.


Para dicho propsito debe:

a. Establecer un conjunto de polticas, reglas y procedimientos relacionados

con el acceso a la informacin, al software de base y de aplicacin, a las

bases de datos y a las terminales y otros recursos de comunicacin.

b. Clasificar los recursos de TI en forma explcita, formal y uniforme de acuerdo

con trminos de sensibilidad.

c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.

d. Establecer procedimientos para la definicin de perfiles, roles y niveles

de privilegio, y para la identificacin y autenticacin para el acceso a la

informacin, tanto para usuarios como para recursos de TI.

e. Asignar los derechos de acceso a los usuarios de los recursos de TI,

de conformidad con las polticas de la organizacin bajo el principio de

necesidad de saber o menor privilegio. Los propietarios de la informacin

son responsables de definir quines tienen acceso a la informacin y con

qu limitaciones o restricciones.

f. Implementar el uso y control de medios de autenticacin (identificacin de

usuario, contraseas y otros medios) que permitan identificar y responsabilizar

a quienes utilizan los recursos de TI. Ello debe acompaarse de un

procedimiento que contemple la requisicin, aprobacin, establecimiento,

suspensin y desactivacin de tales medios de autenticacin, as como

para su revisin y actualizacin peridica y atencin de usos irregulares.

g. Establecer controles de acceso a la informacin impresa, visible en pantallas

o almacenada en medios fsicos y proteger adecuadamente dichos medios.

h. Establecer los mecanismos necesarios (pistas de auditora) que permitan

un adecuado y peridico seguimiento al acceso a las TI.

i. Manejar de manera restringida y controlada la informacin sobre la

seguridad de las TI.


Situacin actual

Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y

fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia

de los recursos de TI, se tienen procedimientos para asignacin de roles con sus

niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la

informacin.

Producto

Procedimientos y poltica de acceso a la informacin, actualizados.

Acciones

Centro de Operaciones con el control de roles y asignacin de passwords.

Oficializar responsables de la informacin (Sistemas).

Actualizar procedimientos de acceso a la informacin.

Activar Log Miner como herramienta para anlisis de manipulacin de datos

y modificaciones a programas fuente.

1.5.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica

La organizacin debe mantener la integridad de los procesos de implementacin

y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no

autorizado, dao o prdida de informacin.

Para ello debe:

a. Establecer obligatoriamente la definicin previa de requerimientos de

seguridad que deben ser implementados como parte del software e

infraestructura.


b. Contar con procedimientos claramente definidos para el mantenimiento y

puesta en produccin del software e infraestructura.

c. Mantener un acceso restringido y los controles necesarios sobre los

ambientes de desarrollo o mantenimiento y de produccin.

d. Controlar el acceso a los programas fuente y a los datos de prueba.

Situacin actual

Se tienen ms de 150 procedimientos documentados y un plan de requerimientos

de seguridad para los prximos tres aos, as como ambientes separados para los

ambientes de desarrollo y produccin, y control sobre los programas fuentes y los

datos.

Producto

Procedimientos y requerimientos actualizados.

Acciones

Revisar documentacin, actualizarla y fortalecerla. Labor permanente.

1.5.7 Continuidad de los servicios de TI

La organizacin debe mantener una continuidad razonable de sus procesos y su

interrupcin no debe afectar significativamente a sus usuarios. Como parte de ese

esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las

acciones preventivas y correctivas necesarias con base en los planes de mediano y

largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasificacin

de sus recursos de TI segn su criticidad.


Situacin actual

Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los

servicios, se deben documentar los eventos que se presenten para crear base de

conocimientos, y definir los esquemas de continuidad.

Producto

Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos

documentados.Acciones

Mantener procedimientos actualizados y funcionales. Labor permanente.

Documentar eventos preventivos y correctivos, y cambios a la plataforma.

Definir esquemas de continuidad para cada servicio de TI.

1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora

de una representacin razonable de la organizacin que coadyuve a mantener

la concordancia con la estrategia institucional, a establecer las prioridades de los

proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada

atencin de los requerimientos de todas las unidades de la organizacin.

Situacin actual

Se tiene un CGTIC que es convocado peridicamente.

Producto

Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.


Acciones

Convocar peridicamente al CGTIC.

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

La organizacin debe identificar y velar por el cumplimiento del marco jurdico que

tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos

legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.

Situacin actual

Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a

equipos, as como restricciones tcnicas para el uso de software no licenciado.

Producto

Marco Jurdico con incidencia en TI disponible y actualizado.

Acciones

ptima gestin de contratos. Labor permanente.

Uso institucional de slo las licencias contratadas. Labor permanente.


Captulo II Planificacin y Organizacin

2.1 Planificacin de las tecnologas de informacin

La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos

mediante procesos de planificacin que logren el balance ptimo entre sus

requerimientos, su capacidad presupuestaria y las oportunidades que brindan las

tecnologas existentes y emergentes.

Situacin actual

Se tienen planes muy bien definidos que facilitan la planificacin.

Producto

PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.

Acciones

Mantener actualizados los planes. Labor permanente.

2.2 Modelo de arquitectura de informacin

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de

informacin de manera que se identifique, capture y comunique, en forma completa,

exacta y oportuna, slo la informacin que sus procesos requieren.

Situacin actual

Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de

informacin, y se cuenta con un diccionario de datos al cual se le deben agregar

reglas de sintaxis para cada dato.


Producto

Arquitectura de Informacin actualizada

Acciones

Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).

Definir flujos de informacin.

Documentar las reglas de sintaxis de los datos.

Actualizar diccionario de datos con reglas de sintaxis.

Actualizar Arquitectura de Informacin.

2.3 Infraestructura tecnolgica

La organizacin debe tener una perspectiva clara de su direccin y condiciones en

materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,

optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe

existir entre sus requerimientos y la dinmica y evolucin de las TI.

Situacin actual

Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las

funciones de la CGR.

Producto

Infraestructura tecnolgica optimizada y actualizada.

Acciones

Mantener actualizada la infraestructura. Labor permanente.


2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las

reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems

dependencias tanto internas y como externas.

Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con

una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido,

de manera clara y formal, su responsabilidad, autoridad y funciones.

Situacin actual

Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente

satisfactorios, producto de mantener una independencia funcional que ha facilitado la

puesta en marcha de TI en la CGR.

Producto

Independencia funcional de la USTI, y personal capacitado adecuadamente.

Acciones

Definir independencia funcional de la USTI. Mantener independencia.

Ejecutar el plan de capacitacin. (DNC). Labor permanente.

2.5 Administracin de recursos financieros

La organizacin debe optimizar el uso de los recursos financieros invertidos en la

gestin de TI procurando el logro de los objetivos de esa inversin, controlando en

forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte

aplicable.


Situacin actual

Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades

tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus

recomendaciones someterlo a la aprobacin del Despacho.

Producto

Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.

Acciones

Someter el plan de inversiones a la aprobacin del Despacho por

recomendacin del CGTIC.


Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI

La organizacin debe implementar y mantener las TI requeridas en concordancia

con su marco estratgico, planificacin, modelo de arquitectura de informacin e

infraestructura tecnolgica. Para esa implementacin y mantenimiento debe:

a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de

solicitudes de la implementacin o mantenimiento de TI.

b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por

parte de las reas usuarias como del jerarca.

c. Garantizar la participacin activa de las unidades o reas usuarias, las

cuales deben tener una asignacin clara de responsabilidades y aprobar

formalmente las implementaciones realizadas.

d. Instaurar lderes de proyecto con una asignacin clara, detallada y

documentada de su autoridad y responsabilidad.

e. Analizar alternativas de solucin de acuerdo con criterios tcnicos,

econmicos, operativos y jurdicos, y lineamientos previamente establecidos.

f. Contar con una definicin clara, completa y oportuna de los requerimientos,

como parte de los cuales debe incorporar aspectos de control, seguridad y

auditora bajo un contexto de costo beneficio.

g. Tomar las previsiones correspondientes para garantizar la disponibilidad de

los recursos econmicos, tcnicos y humanos requeridos.

h. Formular y ejecutar estrategias de implementacin que incluyan todas

las medidas para minimizar el riesgo de que los proyectos no logren sus

objetivos, no satisfagan los requerimientos o no cumplan con los trminos

de tiempo y costo preestablecidos.

i. Promover su independencia de proveedores de hardware, software,

instalaciones y servicios.


Situacin actual

Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos

de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne

a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.

Producto

Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.

Acciones

Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor

permanente.

Participacin muy activa de los patrocinadores. Labor permanente.

Capacitacin de funcionarios de USTI. Labor permanente.

3.2 Implementacin de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus

usuarios y soporte efectivamente sus procesos, para lo cual debe:

a. Observar lo que resulte aplicable de la norma 3.1 anterior.

b. Desarrollar y aplicar un marco metodolgico que gue los procesos de

implementacin y considere la definicin de requerimientos, los estudios

de factibilidad, la elaboracin de diseos, la programacin y pruebas,

el desarrollo de la documentacin, la conversin de datos y la puesta

en produccin, as como tambin la evaluacin post-implantacin de la

satisfaccin de requerimientos.

c. Establecer los controles y asignar las funciones, responsabilidades y

permisos de acceso al personal a cargo de las labores de implementacin

y mantenimiento de software.


d. Controlar la implementacin del software en el ambiente de produccin y

garantizar la integridad de datos y programas en los procesos de conversin

y migracin.

e. Definir los criterios para determinar la procedencia de cambios y accesos

de emergencia al software y datos, y los procedimientos de autorizacin,

registro, supervisin y evaluacin tcnica, operativa y administrativa de los

resultados de esos cambios y accesos.

f. Controlar las distintas versiones de los programas que se generen como

parte de su mantenimiento.

Situacin actual

Se cuenta con ambientes de pruebas y produccin muy bien definidos, procedimientos

de instalacin de software y control de versiones, migracin de datos, y la procedencia

e importancia de los cambios. Se debe establecer un procedimiento para control de

cambios.

Producto

Software en uso de acuerdo con las necesidades de la institucin.

Acciones

Revisar y documentar los criterios de aplicacin de cambios.

3.3 Implementacin de infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para

soportar el software de conformidad con los modelos de arquitectura de informacin

e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe

considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a

la infraestructura actual.


Situacin actual

La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las

tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y

acorde con las necesidades de la CGR.

Producto

Infraestructura tecnolgica ptima y actualizada.

Acciones

Inversiones para mantener actualizada la infraestructura de soporte a la

arquitectura de informacin institucional, incluye plan vivo de actualizacin

y compras. Labor permanente.

3.4 Implementacin de software e infraestructura contratada a terceros

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en

procesos de implementacin o mantenimiento de software e infraestructura. Para lo

anterior, debe:

a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.

b. Establecer una poltica relativa a la contratacin de productos de software

e infraestructura.

c. Contar con la debida justificacin para contratar a terceros.

d. Establecer un procedimiento o gua para la definicin de los trminos de

referencia que incluyan las especificaciones y requisitos o condiciones

requeridas o aplicables, as como para la evaluacin de ofertas.

e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto

de pruebas de aceptacin de lo contratado; sean instalaciones, hardware

o software.


f. Implementar un proceso de transferencia tecnolgica que minimice la

dependencia del tercero que presta el servicio.

Situacin actual

Para la contratacin de los bienes y servicios de TI se consideran las ltimas

especificaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias

que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto

contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es

del conocimiento de los proveedores, y se considera la transferencia tecnolgica para

mitigar la dependencia.

Producto

Objeto contratado debidamente implementado.

Acciones

g. Mantener poltica para contratacin de bienes y servicios en TI.

h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del

proveedor.

i. Continuar con el proceso de transferencia de conocimientos establecido

para la tecnologa adquirida. Todas son labores permanentes.

j.


Captulo IV Prestacin de servicios y mantenimiento

4.1 Definicin y administracin de acuerdos de servicios

La organizacin debe tener claridad respecto de los servicios que requiere y sus

atributos, y los prestados por la Funcin de TI segn sus capacidades.

El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus

atributos, lo cual deben documentar y considerar como un criterio de evaluacin del

desempeo. Para ello deben:

a. Tener una comprensin comn sobre: exactitud, oportunidad,

confidencialidad, autenticidad, integridad y disponibilidad.

b. Contar con una determinacin clara y completa de los servicios y sus

atributos, y analizar su costo y beneficio.

c. Definir con claridad las responsabilidades de las partes y su sujecin a las

condiciones establecidas.

d. Establecer los procedimientos para la formalizacin de los acuerdos y la

incorporacin de cambios en ellos.

e. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.

f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos

con terceros.

Situacin actual

Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene

claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.

Es conveniente documentar los acuerdos y la forma de evaluacin que se estara

realizando para cada servicio.


Producto

Polticas aplicadas en la contratacin de terceros.

Acciones

Actualizacin de polticas en los contratos que se celebren.

Documentar acuerdos de servicio y forma de evaluacin.

4.2 Administracin y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones,

minimizar su riesgo de fallas y proteger la integridad del software y de la informacin.

Para ello debe:

a. Establecer y documentar los procedimientos y las responsabilidades

asociados con la operacin de la plataforma.

b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso

de la plataforma, asegurar su correcta operacin, mantener un registro de sus

eventuales fallas, identificar eventuales requerimientos presentes y futuros,

establecer planes para su satisfaccin, garantizar la oportuna adquisicin

de recursos de TI requeridos tomando en cuenta la obsolescencia de la

plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.

c. Controlar la composicin y cambios de la plataforma y mantener un

registro actualizado de sus componentes (hardware y software), custodiar

adecuadamente las licencias de software y realizar verificaciones fsicas

peridicas.

d. Controlar la ejecucin de los trabajos mediante su programacin, supervi

normas téc en ti y comunics

Documents