Informe NTI Doc.desbloqueado

Contralora General de la RepblicaDivisin de Gestin de Apoyo Unidad de Tecnologas de Informacin

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Informe final Versin 1.0.0 Julio 2009

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3

IntroduccinLas Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI), en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la cual se emitieron, constituyen los criterios bsicos de control que deben ser observados en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los recursos invertidos en ellas y a facilitar su control y la fiscalizacin. De manera congruente con este objetivo, estos criterios bsicos de control sobre las TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009CO-2009, como lo consigna la norma No. 5.9: 5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus competencias, deben propiciar el aprovechamiento de tecnologas de informacin que apoyen la gestin institucional mediante el manejo apropiado de la informacin y la implementacin de solu ciones giles y de amplio alcance. Para ello deben observar la normativa relacionada con las tecnologas de informacin, emitida por la CGR. Conscientes de que las tecnologas de informacin constituyen un factor crtico y estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo, a continuacin se emite un informe con los principales aspectos desarrollados en la Contralora General, como Administracin Activa, en atencin de estas NT.

AlcanceComo lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos a su fiscalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para cumplir con la serie de criterios bsicos de gestin y control de las NT.

4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto obste para ir profundizando y actualizando los resultados obtenidos, as como para atender nuevos requerimientos derivados de la normativa y del entorno.

MetodologaPara atender la normativa se inici con el trabajo de preparacin delineado en el artculo 6 de la Resolucin No. R-CO-26-2007, a saber: La constitucin de un equipo de trabajo. La designacin de un responsable del proceso de implementacin, coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar el plan definido. El estudio detallado de las normas tcnicas referidas, para identificar las que apliquen a la entidad u rgano de conformidad con su realidad tecnolgica y con base en ello establecer prioridades de implementacin. Una planificacin debidamente documentada, que considere actividades, plazos para cada una, responsables, costos estimados y cualquier otro requerimiento asociado (infraestructura, personal, recursos tcnicos.). Para su implementacin, la seora Contralora, mediante oficio No. CO-0272 del 15 de agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente, que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas de informacin y comunicacin de la Contralora, y que apoya en su implementacin y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.


El equipo de trabajo est coordinado por la seora Subcontralora. La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en general y sobre el componente funcional de Sistemas de Informacin en particular. Se elabor un diagnstico institucional sobre el estado de TI con respecto a las NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por este comit y tomado como base para la implementacin de las NT. Ver minuta Nro. 3 del 12 de marzo de 2008, acuerdo 1, apartado 3. Asimismo, se planific la implementacin de las NT con base al cronograma resultante del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1 Cronograma de Implementacin. El contenido del informe consigna en negrilla el texto de las normas y seguidamente, se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su versin digital.

Captulo I

Normas de Aplicacin General


Captulo I Normas de Aplicacin General1.1 Marco estratgico de TIEl jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco estratgico constituido por polticas organizacionales que el personal comprenda y con las que est comprometido. 1.1.1 Con la representacin de las reas sustantivas y de apoyo de la CGR, se elabor para su puesta en marcha y ejecucin el Plan Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual Operativo las Unidades han incorporado los proyectos correspondientes para dar cumplimiento al dimensionamiento estratgico y tctico de TI, todo debidamente alineado al Plan Estratgico Institucional. Ver documentos PETIC y PETAC. 1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1 mediante charlas generales y especficas; as como por su publicacin en la Intranet institucional, logrando el compromiso de los patrocinadores y funcionarios en el desarrollo de soluciones tecnolgicas. 1.1.3 El CGTIC analiz la cartera de proyectos y estableci las prioridades de ejecucin de los mismos, recomendando al Despacho de las seoras Contraloras su incorporacin en el PTAC.


1.2 Gestin de la calidadLa organizacin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo. 1.2.1 Se elabor un manual para la gestin y aseguramiento de la

calidad durante el desarrollo y evolucin de las soluciones tecnolgicas, el cual ser aplicado a partir del segundo semestre del 2009. Ver documento NTP8 Marco General para la Gestin de la Calidad en TIC. 1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de decisiones relacionadas con el mejoramiento continuo, se desarroll e implement un sistema de informacin dirigido al registro de solicitudes de servicio y de su solucin, los tiempos empleados y el procedimiento ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS), disponible en la Intranet, permite la medicin y el control de calidad, especialmente en el servicio de soporte tcnico que se brinda en la UTI. 1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo de sistemas de informacin automatizados y la gua para el desarrollo de proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante una mayor participacin de los patrocinadores de proyectos en el desarrollo y pruebas de las soluciones tecnolgicas. Ver documento NPT7 Metodologa para el desarrollo de proyectos de TIC.


1.3 Gestin de riesgosLa organizacin debe responder adecuadamente a las amenazas (ver este concepto con respecto a la definicin , no son solo amenazas) que puedan afectar la gestin de las TI, mediante una gestin continua de riesgos que est integrada al sistema especfico de valoracin del riesgo institucional y considere el marco normativo que le resulte aplicable. 1.3.1 Se definieron y valoraron los riesgos de TI integrados a la

valoracin de riesgos institucional, generando un manual de riesgos y una seleccin de los principales riesgos a considerar. Ver documento NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la Gua para desarrollo de soluciones tecnolgicas. 1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.

1.4 Gestin de la seguridad de la informacinLa organizacin debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para ello debe documentar e implementar una poltica de seguridad de la informacin y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relacin con los siguientes aspectos: 1.4.1 La implementacin de un marco de seguridad de la informacin. La CGR elabor un Marco de Seguridad para su aplicacin en toda la Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver documento NTP10_Marco de Seguridad en Tecnologas de Informacin.


1.4.2 El compromiso del personal con la seguridad de la informacin. Mediante la elaboracin, implementacin y divulgacin del manual denominado Lineamientos y directrices de seguridad, toda la organizacin se encuentra comprometida con el tema de la seguridad en general. En adicin, se han impartido charlas especficas sobre seguridad al personal, se ha insertado la seguridad va mensajes por correo electrnico y mediante artculos en el sitio Web del Club de tecnologas y enviados por e-mail. Ver documento Directrices sobre Seguridad y Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC). 1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de seguridad perimetral que involucra control de acceso electrnico en reas de seguridad, cmaras para vdeo vigilancia, sensores de humo, alarma contra incendio, extintores, sistema de supresin de fuego especializado para equipo de computo registro en cmara y fsico de ingresos al Centro de Procesamiento de Datos y una ubicacin estratgica del mismo. 1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad en las operaciones se da en trminos de la ejecucin de procedimientos elaborados con el fin de asistir al funcionario que realice estas actividades y la supervisin de las mismas, as como de las comunicaciones. Se incorporaron certificados digitales en los servicios sensitivos de acceso al pblico; como declaraciones juradas, acorde con la autenticidad, integridad y confidencialidad de las transacciones que requiere la CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de Informacin. 1.4.5 El control de acceso. Mediante un sistema de asignacin

de roles y privilegios en uso, no slo se controla el acceso lgico a la informacin, sino que tambin se facilita el seguimiento de las


operaciones realizadas por los usuarios de los sistemas de informacin operando. A lo interno los niveles gerenciales y de jefatura son los que definen los roles y privilegios que sus funcionarios pueden tener para acceder a determinada aplicacin; hacia lo externo es el mximo jerarca de la entidad quien define estas asignaciones y en ambos casos deben realizar solicitud formal para que sea aplicada. La asignacin de roles y privilegios es una funcin que ha venido asumiendo el Centro de Operaciones de la CGR y en casos muy calificados el Patrocinador del sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC). 1.4.6 La seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo de proyectos de TI, la UTI cuenta con un ambiente controlado e independiente, destinado a la ejecucin de desarrollo de aplicaciones que aseguren la no interferencia con las operaciones diarias y que garanticen el cumplimiento de los requerimientos de usuario, un ambiente para efectos de pruebas de usuario y capacitacin, as como obviamente el ambiente para sistemas operando. 1.4.7 La continuidad de los servicios de TI. Se desarroll e implement el Sistema de informacin para la continuidad de los servicios de TI (SCS), disponible en la Intranet, que permite el registro y actualizacin de eventos que afecten los servicios, su solucin, su criticidad y su impacto, recursos, escalabilidad, procedimientos de recuperacin y responsables. 1.4.8 El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos. Para efectos de acceso a la informacin por parte de terceros, se requiere de convenios o contratos previamente establecidos, o de la solicitud del jerarca de una institucin, para la


asignacin de un rol que le facilite la consulta controlada. De igual manera, aplica para la contratacin de servicios a terceros, en donde se establecen clusulas especficas sobre la confidencialidad de la informacin. Ver DSUTIC. 1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema Integrado de Gestin y Documentos (SIGYD). Los documentos se clasifican por tipos documentales y estn disponibles de acuerdo con la tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios de informacin se responsabiliza por administrar eficientemente la documentacin fsica y electrnica. Desde el punto de vista de TI, se mantiene un estndar de documentacin para proyectos de tecnologa. 1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La UTI mantiene como poltica la administracin de contratos relacionados con TI, a travs de los coordinadores; segn especialidad y afinidad, con el objetivo de un control peridico y directo sobre la ejecucin, su continuidad, rescisin o la resolucin del mismo. 1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit de Salud Ocupacional que se ocupa permanentemente de este tema y con el cual se ha coordinado la ergonoma de los puestos de trabajo y su entorno.

1.5 Gestin de proyectosLa organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto ptimos preestablecidos.


1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se desarrollo. Ver documento NTP7 Metodologa para el desarrollo de proyectos de TIC. 1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los proyectos son liderados y administrados por los patrocinadores, con la asesora e incorporacin de la UTI, quien busca mediante la coordinacin de proyectos su integracin y la orientacin para satisfacer las necesidades en cuanto a calidad, tiempo y presupuesto. 1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por el Despacho de las seoras Contraloras y que se encuentra incorporado en el PTAC, el cual es un documento viviente que se actualiza de acuerdo con las nuevas necesidades y disposiciones. Ver minutas de seguimiento en los expedientes respectivos.

1.6 Decisiones sobre asuntos estratgicos de TIEl jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora de una representacin razonable de la organizacin que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada atencin de los requerimientos de todas las unidades de la organizacin. 1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC para la toma de decisiones relacionadas con aspectos estratgicos de tecnologas de informacin, atendiendo sus recomendaciones sobre prioridad de ejecucin de las inversiones en TI, asignacin de recursos y ejecucin de proyectos. 1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin tecnolgica y que se encarga de analizar en primera instancia los


requerimientos de las unidades y que estn relacionados con TI, para posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC, PTAC.

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TILa organizacin debe identificar y velar por el cumplimiento del marco jurdico que tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza. 1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR, el cual es de actualizacin permanente en trminos de leyes, normativa, resoluciones y contratos, entre otros, con el propsito de evitar posibles conflictos legales que lleguen a ocasionar eventuales perjuicios econmicos y de otra naturaleza a la institucin. Ver documento NTP15 Marco Jurdico en Tecnologas de Informacin.

Captulo II

Planificacin y organizacin


Captulo II Planificacin y organizacin2.1 Planificacin de las tecnologas de informacinLa organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes y emergentes. 2.1.1 El funcionamiento de las TI es centralizado y opera con base al Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC. 2.1.2 Los coordinadores patrocinadores de proyecto se renen peridicamente, convocados por la UTI, para compartir avances e integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio en el contexto del seguimiento trimestral y la evaluacin semestral y anual del PAO, en coordinacin con la UTI para establecer los ajustes que sean necesarios de aprobacin en las instancias superiores. La comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los avances en los proyectos a efectos de recomendarle al CGTIC lo que corresponda. De todo este trabajo se llevan minutas por parte de los lderes y reportes de avance segn corresponda. 2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y actualizacin de los planes de TI como apoyo a la gestin de TI.


2.2 Modelo de arquitectura de informacinLa organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de informacin de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, slo la informacin que sus procesos requieren. 2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI) tomando como insumo principal la nueva versin del manual general de fiscalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo MAGEFI y define el modelo a nivel de insumos, actividades y productos de los procesos de la CGR. Se continuar con su evolucin integral alineado al desarrollo de la documentacin de los procedimientos derivados de estos mismos procesos. El modelo de Arquitectura de Informacin sirve de base para actualizar el PTAC y ha sido divulgado para su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura de informacin y el Manual General de Fiscalizacin (MAGEFI).

2.3 Infraestructura tecnolgicaLa organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI. 2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI definido en el PETIC. Con base en este direccionamiento, anlisis de capacidad de TI, riesgos, y al monitoreo del entorno, se elabora el presupuesto y se realizan las compras relacionadas.


2.4 Independencia y recurso humano de la Funcin de TIEl jerarca debe asegurar la independencia de la Funcin de TI respecto de las reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones. 2.4.1 El PETIC garantiza una visin institucional y promueve la independencia funcional en el desarrollo de soluciones tecnolgicas. Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su independencia funcional se ve fortalecida por medio de una participacin directa del Despacho en distintas comisiones ad hoc enfocadas a la funcin de TI en la Institucin, por la existencia de una cartera de proyectos a desarrollar y la existencia del CGTIC. 2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde con la gestin estratgica de TI. Cada uno de sus integrantes conoce muy bien sus obligaciones y responsabilidades. Su organizacin es plana y especializada por reas. 2.4.3 El equipo de trabajo de la UTI es personal muy calificado, competente, capacitacin. motivado y actualizado de acuerdo con el plan de


2.5 Administracin de recursos financierosLa organizacin debe optimizar el uso de los recursos financieros invertidos en la gestin de TI procurando el logro de los objetivos de esa inversin, controlando en forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte aplicable. 2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones, se deriva del PTAC y es aprobado por el Despacho con base en las recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento al PETIC-PTAC.

Captulo III

Implementacin de tecnologas de informacin


Captulo III Implementacin de tecnologas de informacin3.1 Consideraciones generales de la implementacin de TILa organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura tecnolgica. Para esa implementacin y mantenimiento debe: a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes de implementacin o mantenimiento de TI. 3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin de una ficha que de manera simple indique sus alcances, objetivos, recursos, relaciones, tiempos estimados y factores crticos de xito. Esta solicitud representada por la ficha compite con otros proyectos de inters de los patrocinadores. El ajuste de soluciones tecnolgicas por solicitud del patrocinador, requiere de un formulario de requerimientos. Ver documento NTP7 Metodologa para el desarrollo de proyectos de TIC. b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca como de las reas usuarias. 3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC; debidamente aprobada, se establece que el patrocinador de la solucin tecnolgica debe aportar los recursos necesarios para su desarrollo e implementacin. c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas. 3.1.3 Por medio de la implementacin de la Metodologa para el desarrollo de proyectos de TIC se obliga al Patrocinador a participar


activamente y con responsabilidades en el desarrollo e implementacin de la solucin. d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad. 3.1.4 Por medio de la implementacin de la Metodologa para el desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar un lder de proyecto con responsabilidades claras en el desarrollo e implementacin de la solucin. Ver documentos (designacin de patrocinadores de proyectos a partir del PTAC) en los archivos de la UTI. e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos. 3.1.5 La Metodologa para el desarrollo de proyectos establece como fase inicial un diagnstico de la solucin con posibles alternativas a evaluar para tomar la mejor decisin por parte del Patrocinador o bien el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el expediente de cada uno. f. Contar con una definicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo beneficio. 3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren partiendo de requerimientos claros segn se establece en la Metodologa para el desarrollo de proyectos de TIC, considerando aspectos de control, seguridad y auditora.


g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos. 3.1.7 Con base a la cartera de proyectos y las prioridades establecidas por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o asignacin de recursos adicionales de TI, que permitan cumplir con la ejecucin del PTAC. h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos. 3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos con el objetivo de administrarlos, para ello la Gua para desarrollo de proyectos de TI contempla los riesgos ms relevantes en materia de TI con el fin de que sean valorados en cada proyecto. Ver documentos Informe mensual sobre proyectos PTAC. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios. 3.1.9 Si bien es cierto es sumamente difcil independizarse de proveedores de hardware y de software en trminos de que siempre se tendr que acudir a ellos; aunque sea para aplicar actualizacin de versiones, la CGR ha venido fortaleciendo a su personal de TI para que en un alto porcentaje se desempee de la forma ms independiente posible. 3.1.10 Nuestros estudios de capacidad, el anlisis del entorno, el conocimiento y la capacidad del personal de UTI nos permite seleccionar objetivamente la solucin tecnolgica ms adecuada para suplir las necesidades de la CGR.


3.2 Implementacin de softwareLa organizacin debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3.1 anterior. 3.2.1 Aplica prcticamente la totalidad de la norma indicada. b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post implantacin de la satisfaccin de los requerimientos. 3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para desarrollo de proyectos de TI, la cual incluye todas las fases indicadas. c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacin y mantenimiento de software. 3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se encuentran productivos y operando, uno para desarrollo de aplicaciones y otro para capacitacin y pruebas a realizar por los equipos de trabajo que se encuentran implementando software. La administracin de los permisos est bajo responsabilidad del administrador de base de datos (DBA) y del administrador de sistemas operativos en ausencia del DBA, segn se establece en la Metodologa para desarrollo de proyectos. d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin. 3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de Datos), con base al procedimiento establecido, debe contarse adems


con el Visto Bueno del patrocinador en todas sus fases y la asistencia del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI. Que es un DBA e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos. 3.2.5 Generalmente los proveedores de software envan componentes para actualizar sus productos con fines de cerrar vulnerabilidades o de optimizar su producto, o se reciben va Internet. Estas actualizaciones son revisadas, probadas cuando es factible, y aplicadas por los especialistas en la materia. Respecto al software desarrollado localmente, previamente se debe validar y probar su adecuada funcionalidad; por parte del Lder Tcnico y los usuarios, en un ambiente de pruebas ya establecido. En relacin con los datos, estos deben ser modificados por el usuario autorizado en el sistema, la UTI no altera datos en sus sistemas. f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento. 3.2.6 Esta labor es compartida por el Coordinador de proyectos de la UTI, por el desarrollador del sistema y por el DBA, apoyndose en herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.


3.3 Implementacin de Infraestructura tecnolgicaLa organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual. 3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI definido en el PETIC. 3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para la actualizacin de la infraestructura necesaria para soportar el software, con base a las necesidades que se generan de los diagnsticos para desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y del monitoreo del entorno. Ver plan en ejecucin y el proyectado para el prximo ao, 2010.

3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructuraLa organizacin debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementacin o mantenimiento de software e infraestructura. Para lo anterior, debe: a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores. 3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos, organizacin, controles y ambientes de trabajo, entre otros.


b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura. 3.4.2 Producto del plan de capacidad, monitoreo del entorno, obsolescencia tecnolgica y necesidades de TI, se somete a consideracin del comit Ad hoc y del CGTIC la contratacin de productos; debidamente justificados, as como el presupuesto necesario para su aprobacin y ejecucin, todo con base al plan de compras anual de TI derivado del PTAC. c. Contar con la debida justificacin para contratar a terceros la implementacin y mantenimiento de software e infraestructura tecnolgica. 3.4.3 Para la contratacin se requiere la aprobacin de la jefatura superior, quien a su vez debe tomar la decisin dependiendo de la necesidad, la justificacin y el presupuesto disponible. d. Establecer un procedimiento o gua para la definicin de los trminos de referencia que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas. 3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles, en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos (ejemplos de compras tpicas). e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software. 3.4.5 Para toda solucin tecnolgica se establece un documento de requerimientos que deben satisfacerse para su aprobacin, mediante las pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.


f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia de la organizacin respecto de terceros contratados para la implementacin y mantenimiento de software e infraestructura tecnolgica. 3.4.6 En toda implementacin por tercerizacin, la UTI promueve un equipo de trabajo con funcionarios de la Unidad que absorban el conocimiento de la empresa contratada en esta materia, con fines de mantener la solucin operando una vez terminado el contrato.

Captulo IV

Prestacin de servicios y mantenimiento


Captulo IV Prestacin de servicios y mantenimiento4.1 Definicin y administracin de acuerdos de servicioLa organizacin debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluacin del desempeo. Para ello deben: a. Tener una comprensin comn sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad b. c. Contar con una determinacin clara y completa de los servicios y sus atributos, y analizar su costo y beneficio. d. e. Definir con claridad las responsabilidades de las partes y su sujecin a las condiciones establecidas. f. g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin de cambios en ellos. h. i. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos. j. k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con terceros. 4.1.1 Se definieron acuerdos de servicio a firmar con las distintas Gerencias de Divisin, incorporando servicios que faciliten la evaluacin de la funcin de TI y la delimitacin de responsabilidades hasta su vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.


4.2 Administracin y operacin de la plataforma tecnolgicaLa organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. 4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se encuentran registrados 221 procedimientos asociados con la operacin de la plataforma y los responsables por recurso tecnolgico. b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales fallas. 4.2.2 Se cuenta con herramientas para monitoreo de la capacidad de TI en sus distintas funcionalidades y a partir de la implementacin del Sistema de Contingencias se estn registrando electrnicamente los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de Capacidad en TI. c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. 4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin de la cartera de proyectos, se inician los procedimientos de contratacin para la adquisicin de bienes y servicios informticos de acuerdo a la planificacin de compras generada desde el PTAC e incluidas en el PAO.


d. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fsicas peridicas. 4.2.4 Se mantiene bajo control de la UTI el registro de licencias adquiridas por la CGR, as como el medio fsico para su instalacin. En el Sistema de Contingencias se encuentran actualizados los recursos informticos disponibles en la infraestructura tecnolgica. 4.2.5 Se realiza peridicamente un control de inventarios de software instalado total o parcial mediante un programa especializado. Ver reportes electrnicos ms recientes con sus resultados. e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. 4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan mediante cronogramas de trabajo supervisados por los coordinadores de rea de la UTI; segn su especialidad, y mediante sesiones de seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas con corte al 30 de junio de 2009. f. Mantener separados y controlados los ambientes de desarrollo y produccin. 4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente separados y controlados. g. Brindar el soporte requerido a los equipos principales y perifricos. 4.2.8 El soporte requerido se brinda mediante contratos de mantenimiento preventivo y correctivo, garanta de funcionamiento, mantenimiento interno y por medio de contratacin directa de un proveedor si es necesario. Se utilizan como herramientas de apoyo los sistemas SOS y SCS.


h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin. 4.2.9 Se mantiene un plan de actividades para la generacin de respaldos diarios, semanales y mensuales, y un procedimiento para custodia interna y externa. Ver procedimientos registrados en el SCS. i. Controlar los servicios e instalaciones externos. 4.2.10 Mediante la administracin de los contratos y el monitoreo de los servicios contratados, se controla la buena ejecucin de los servicios e instalaciones externas.

4.3 Administracin de los datosLa organizacin debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones vlidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma ntegra y segura. 4.3.1 De acuerdo con los requerimientos de usuario se asegura la validez de las transacciones mediante funciones tecnolgicas integradas a la base de datos; su integridad, almacenamiento y su vigencia.

4.4 Atencin de requerimientos de los usuarios de TILa organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atencin debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.


4.4.1 La UTI tiene implementado un sistema de control de cambios que facilita al usuario la solicitud de ajustes o de incorporacin de nuevas funcionalidades a los sistemas que estn operando en la Institucin y disponiendo un sistema para auto servirse o registrar su requerimiento (Ver SOS), o realizando una llamada para registro o servicio remoto en lnea. La UTI atiende estos requerimientos en orden de urgencia, importancia, prioridad y mediante capacitacin dirigida.

4.5 Manejo de incidentesLa organizacin debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Adems, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario. 4.5.1 Todo tipo de situacin especial es analizada por funcionarios de la UTI en aras de lograr la mejor solucin y tratndose de incidentes o eventos, estos son registrados en los SCS o de SOS, para minimizar el riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de que se materialice de nuevo.

4.6 Administracin de servicios prestados por tercerosLa organizacin debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe: a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. 4.6.1 Los roles se establecen desde que se inicia el procedimiento de contratacin y se verifican para efectos de establecer responsabilidades con la confeccin del contrato y la reunin inicial de trabajo con el proveedor de bienes y servicios de TI.


b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. 4.6.2 En lo que respecta a servicios de terceros, se establecen los requerimientos como parte del contrato, ya sea en clusulas especficas o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de contrato. c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a calidad, seguridad y seguimiento establecidas por la organizacin. 4.6.3 La UTI mantiene coordinadores por rea funcional que se encargan de administrar los contratos de sus respectivos proveedores, asegurando la calidad del producto contratado y su congruencia con los estndares manuales y lineamientos o directrices institucionales. Ver asignacin de coordinaciones en expedientes de UTI. d. Minimizar la dependencia de la organizacin respecto de los servicios contratados a un tercero. 4.6.4 La UTI logra este objetivo por medio de conformar equipos de trabajo en donde se incluye la contraparte que absorber los conocimientos necesarios para la continuidad de la solucin tecnolgica contratada. e. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados. 4.6.5 Se conforman grupos afines a la solucin tecnolgica para que verifiquen la calidad del producto contratado y por medio del administrador del contrato se le da seguimiento al cumplimiento y calidad del mismo.

Captulo V

Seguimiento


Captulo V Seguimiento5.1 Seguimiento de los procesos de TILa organizacin debe asegurar el logro de los objetivos propuestos como parte de la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso. 5.1.1 La organizacin cuenta con un marco de referencia que es el Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo de Arquitectura de Informacin, el Manual General de Fiscalizacin (MAGEFI) como un marco de procesos, la Auditora Interna como un elemento de advertencia y asesora y una Unidad de Gobierno Corporativo que se encarga de darle seguimiento a la funcin de TI; adems del CGTIC y la comisin Ad hoc.

5.2 Seguimiento y evaluacin del control interno en TIEl jerarca debe establecer y mantener el sistema de control interno asociado con la gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas. 5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC y al PAO, adems de que todos los funcionarios de la institucin se convierten en controladores de la buena operacin de la tecnologa en uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al cumplimiento del PTAC.


5.3 Participacin de la Auditora InternaLa actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organizacin proporcione una garanta razonable del cumplimiento de los objetivos en esa materia. 5.3.1 Esta es una labor que se mantiene muy bien ejecutada por la Auditora Interna de la CGR, suministrando recomendaciones de valor agregado para el fortalecimiento del control interno. Ver informes recientes 2007-2009 y oficios de atencin de recomendaciones.

Productos elaboradosA continuacin se indican los productos elaborados durante la puesta en marcha de las Normas Tcnicas.

Productos generados durante el procesoProducto NTP0-Diagnstico Inicial NTP1-Cronograma de implementacin NTP2-Plan de Implementacin NTP3-Evaluacin de riesgos en TI NTP4-Instrumento metodolgico MAI NTP5-Diagnstico Inicial MAI NTP6-Informe de gestin 2008-01 NTP7-Metodologa para el desarrollo de Proyectos en TI NTP8-Marco General para la gestin de calidad en TI NTP9-Modelo de Arquitectura de informacin NTP10-Marco de Seguridad en TI Fecha Dic. 2007 Ene.2008 Ene.2008 Mar.2008 Jun.2008 Jun.2008 Jul.2008 Jul. 2008 Ene.2009 Mar.2009 May.2009


NTP11-Mapeo Elctrico NTP12-Plan continuo de capacitacin NTP13-Plan de la Capacidad en TI NTP14-Acuerdo de Nivel de Servicio NTP15-Marco Jurdico en TI NTP16-Informe de gestin 2009-01

Jun.2009 Jun.2009 Jun.2009 Jun.2009 Jul.2009 Ago.2009

ConclusionesCon base a los resultados obtenidos es claro que la Contralora General de la Repblica ha logrado un cumplimiento razonable de la normativa, generando un conjunto de productos que le servirn de base para evolucionar a modelos de madurez superiores a los actuales. Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos, aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009, los productos obtenidos; as como definir responsables de cada uno de ellos. Finalmente, garantizar un adecuado seguimiento de la implementacin de estos productos.


Anexo - NTP0

Diagnostico Inicial



Normas tcnicas para la gestin y control de las tecnologas de informacin Diagnstico InicialIntroduccin Con base al anlisis grupal realizado por los coordinadores de las diferentes reas de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas. Cuando las acciones son de ndole normales; es decir operativas, se indica con la frase: Labor Permanente y no se incluyen en el cronograma. Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona), Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores), Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y servicios tecnolgicos. Este documento es la base para la elaboracin del cronograma plurianual que estar siendo ejecutado hasta el 30 de junio del 2009.


Captulo I Normas de Aplicacin General1.1 Marco estratgico de TIEl jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco estratgico constituido por polticas organizacionales que el personal comprenda y con las que est comprometido.

Situacin actual Se reformul el campo de accin E. Se elabor un nuevo Plan Estratgico (PETIC). Se elabor un Plan Tctico con los proyectos a desarrollar.

ProductoPlan de divulgacin del campo de accin E, PETIC y PTAC.

Acciones El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC) debe establecer o aprobar las prioridades para el desarrollo de proyectos recomendados en el PTAC. Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una para la USTI, y dos para funcionarios.

1.2 Gestin de riesgosLa organizacin debe responder adecuadamente a las amenazas que puedan afectar la gestin de las TI mediante una gestin continua de riesgos que est integrada al sistema especfico de valoracin del riesgo institucional y considere el marco normativo que le resulte aplicable.


Situacin actualAplicacin del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable del seguimiento y rectora relacionado con la gestin de riesgos.

ProductoUnificacin de esfuerzos relacionados con la administracin de riesgos que puedan afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base a un manual o sistema de riesgos definido. Se recomienda la creacin de una oficina rectora que dicte; institucionalmente, las polticas sobre riesgos.

Acciones Capacitacin a coordinadores de la USTI. Integrar reas relacionadas (Caso de administracin de planta elctrica y UPS) Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.

1.3 Gestin de la calidadLa organizacin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo.

Situacin actualSe realizan pruebas de calidad sobre los sistemas de informacin y se validan contra los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin de que el usuario registre su calificacin sobre el servicio brindado para valorar la gestin de la USTI y el mejoramiento continuo.


ProductoAplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y generacin de mtricas sobre la calidad de los productos y servicios brindados por la USTI, con el objetivo de planificar para el mejoramiento continuo de TI.

Acciones Encuestas de satisfaccin, son permanentes producto del registro que realiza el usuario. Labor permanente. Definir parmetros y mtricas para evaluar calidad por cada tipo de servicio. Aplicacin peridica de mtricas. Labor permanente. Fortalecer; institucionalmente, el registro de solicitudes de servicio en el sistema de informacin. (Charlas, circulares, registro obligado para atender solicitud). Labor permanente.

1.4 Gestin de proyectosLa organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto ptimos preestablecidos.

ProductoAplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.

Acciones Aprobacin de la Gua Metodolgica actualizada. Fortalecer la administracin de proyectos con los patrocinadores. Labor permanente. Seguimiento y control sobre los proyectos por parte de la USTI. Labor permanente.


1.5 Gestin de la Seguridad de la informacinLa organizacin debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para ello debe documentar e implementar una poltica de seguridad de la informacin y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relacin con los siguientes aspectos: La implementacin de la seguridad de la informacin. El compromiso del personal con la seguridad de la informacin. La seguridad fsica y ambiental. La seguridad en la operacin y comunicacin. El control de acceso. La seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica. La continuidad de los servicios de TI. Adems debe establecer las medidas de seguridad relacionadas con: El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos. El manejo de la documentacin. La terminacin normal de contratos, su rescisin o resolucin. La salud y seguridad del personal. Las medidas o mecanismos de proteccin que se establezcan deben mantener una proporcin razonable entre su costo y los riesgos asociados.


Situacin actualLa informacin se mantiene restringida para el acceso de aquellos debidamente autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso del personal y de terceros, as como sobre la implementacin de software, y en el manejo de la comunicacin.

ProductoManual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.

Acciones Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero, cpsulas tecnolgicas)

1.5.1 Implementacin de la seguridad de la informacinLa organizacin debe implementar un marco de seguridad de la informacin, para lo cual debe: a. Establecer un marco metodolgico que incluya la clasificacin de los recursos de TI, segn su criticidad, la identificacin y evaluacin de riesgos, la elaboracin e implementacin de un plan para el establecimiento de medidas de seguridad, la evaluacin peridica del impacto de esas medidas y la ejecucin de procesos de concienciacin y capacitacin del personal. b. Mantener una vigilancia constante sobre todo el marco de seguridad y, definir y ejecutar peridicamente acciones para su actualizacin. c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la organizacin como de terceros relacionados.


Situacin actualSe tienen los recursos clasificados por criticidad, as como una evaluacin de riesgos, y un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento de la seguridad constantemente y se debe fortalecer la capacitacin del personal.

ProductoNivel de criticidad de cada recurso de TI., plan de implementacin de las medidas de seguridad en tecnologas de informacin, y plan de capacitacin institucional actualizados.

Acciones Actualizar los niveles de criticidad por recurso de TI. Actualizar plan de implementacin de las medidas de seguridad. Actualizar plan de capacitacin interna en seguridad. Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.

1.5.2 Compromiso del personal con la seguridad de la informacinEl personal de la organizacin debe conocer y estar comprometido con las regulaciones sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano, robo, fraude o uso inadecuado de los recursos de TI. Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe: a. Informar y capacitar a los empleados sobre sus responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI. b. Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades.


c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad especficas relacionadas con el manejo de la documentacin y rescisin de contratos.

Situacin actualSe tiene un manual de directrices sobre tecnologas de informacin en uso, y se est planificando la divulgacin de su reciente actualizacin aprobada por el Despacho.

ProductoMonitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el personal.

Acciones Plan de divulgacin. Impartir charlas.

1.5.3 Seguridad fsica y ambientalLa organizacin debe proteger los recursos de TI estableciendo un ambiente fsico seguro y controlado, con medidas de proteccin suficientemente fundamentadas en polticas vigentes y anlisis de riesgos. Como parte de esa proteccin debe considerar: a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o reas de trabajo, proteccin de oficinas, separacin adecuada de reas. b. La ubicacin fsica segura de los recursos de TI. c. El ingreso y salida de equipos de la organizacin. d. El debido control de los servicios de mantenimiento.


e. Los controles para el desecho y reutilizacin de recursos de TI. f. La continuidad, seguridad y control del suministro de energa elctrica y del cableado de datos g. El acceso de terceros. h. Los riesgos asociados con el ambiente.

Situacin actualSe tienen mecanismos de control para el acceso a las instalaciones, los equipos se encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica y unidades de poder para suministro de energa elctrica constante, y la definicin de riesgos asociados con el ambiente.

ProductoProcedimientos y controles documentados, mecanismos para la aplicacin de los puntos anteriores, y un plan de compras si se requiere.

Acciones Documentar los procedimientos y controles. Definir plan de accin.

1.5.4 Seguridad en la operacin y comunicacinLa organizacin debe implementar las medidas de seguridad relacionadas con la operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacin. Para ello debe:


a. Implementar los mecanismos de control que permitan asegurar la no negacin, la autenticidad, la integridad y la confidencialidad de las transacciones y la transferencia o intercambio de informacin. b. Establecer procedimientos para proteger la informacin almacenada en cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios), incluso los relativos al manejo y desecho de esos medios. c. Establecer medidas preventivas, detectivas y correctivas con respecto a software malicioso o virus.

Situacin actualSe mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas con la puesta en marcha de la firma digital en coordinacin con el Banco Central. Se tienen procedimientos para la proteccin de la informacin almacenada en los medios magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente preventivas y correctivas contra software malicioso o virus.

ProductoElaborar los procedimientos y los mecanismos de control para el punto b, incluyendo el software necesario. Mantener software de seguridad actualizado.

Acciones Continuar con la gestin que se viene realizando al respecto. Implementar firma digital una vez que el Banco Central libere el servicio.

1.5.5 Control de accesoLa organizacin debe proteger la informacin de accesos no autorizados.


Para dicho propsito debe: a. Establecer un conjunto de polticas, reglas y procedimientos relacionados con el acceso a la informacin, al software de base y de aplicacin, a las bases de datos y a las terminales y otros recursos de comunicacin. b. Clasificar los recursos de TI en forma explcita, formal y uniforme de acuerdo con trminos de sensibilidad. c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI. d. Establecer procedimientos para la definicin de perfiles, roles y niveles de privilegio, y para la identificacin y autenticacin para el acceso a la informacin, tanto para usuarios como para recursos de TI. e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las polticas de la organizacin bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la informacin son responsables de definir quines tienen acceso a la informacin y con qu limitaciones o restricciones. f. Implementar el uso y control de medios de autenticacin (identificacin de usuario, contraseas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompaarse de un procedimiento que contemple la requisicin, aprobacin, establecimiento, suspensin y desactivacin de tales medios de autenticacin, as como para su revisin y actualizacin peridica y atencin de usos irregulares. g. Establecer controles de acceso a la informacin impresa, visible en pantallas o almacenada en medios fsicos y proteger adecuadamente dichos medios. h. Establecer los mecanismos necesarios (pistas de auditora) que permitan un adecuado y peridico seguimiento al acceso a las TI. i. Manejar de manera restringida y controlada la informacin sobre la seguridad de las TI.


Situacin actualSe tienen polticas sobre el acceso a la informacin pero deben ser documentadas y fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia de los recursos de TI, se tienen procedimientos para asignacin de roles con sus niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la informacin.

ProductoProcedimientos y poltica de acceso a la informacin, actualizados.

Acciones Centro de Operaciones con el control de roles y asignacin de passwords. Oficializar responsables de la informacin (Sistemas). Actualizar procedimientos de acceso a la informacin. Activar Log Miner como herramienta para anlisis de manipulacin de datos y modificaciones a programas fuente.

1.5.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgicaLa organizacin debe mantener la integridad de los procesos de implementacin y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no autorizado, dao o prdida de informacin. Para ello debe: a. Establecer obligatoriamente la definicin previa de requerimientos de seguridad que deben ser implementados como parte del software e infraestructura.


b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en produccin del software e infraestructura. c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de desarrollo o mantenimiento y de produccin. d. Controlar el acceso a los programas fuente y a los datos de prueba.

Situacin actualSe tienen ms de 150 procedimientos documentados y un plan de requerimientos de seguridad para los prximos tres aos, as como ambientes separados para los ambientes de desarrollo y produccin, y control sobre los programas fuentes y los datos.

ProductoProcedimientos y requerimientos actualizados.

Acciones Revisar documentacin, actualizarla y fortalecerla. Labor permanente.

1.5.7 Continuidad de los servicios de TILa organizacin debe mantener una continuidad razonable de sus procesos y su interrupcin no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasificacin de sus recursos de TI segn su criticidad.


Situacin actualSe tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los servicios, se deben documentar los eventos que se presenten para crear base de conocimientos, y definir los esquemas de continuidad.

ProductoProcedimientos de recuperacin e instalacin actualizados e integrados, y eventos documentados.

Acciones Mantener procedimientos actualizados y funcionales. Labor permanente. Documentar eventos preventivos y correctivos, y cambios a la plataforma. Definir esquemas de continuidad para cada servicio de TI.

1.6 Decisiones sobre asuntos estratgicos de TIEl jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora de una representacin razonable de la organizacin que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada atencin de los requerimientos de todas las unidades de la organizacin.

Situacin actualSe tiene un CGTIC que es convocado peridicamente.

ProductoComit Gerencial de Tecnologas de Informacin y Comunicacin activo.


Acciones Convocar peridicamente al CGTIC.

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TILa organizacin debe identificar y velar por el cumplimiento del marco jurdico que tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.

Situacin actualSe mantienen contratos muy bien establecidos sobre el software en uso y el soporte a equipos, as como restricciones tcnicas para el uso de software no licenciado.

ProductoMarco Jurdico con incidencia en TI disponible y actualizado.

Accionesptima gestin de contratos. Labor permanente. Uso institucional de slo las licencias contratadas. Labor permanente.


Captulo II Planificacin y Organizacin2.1 Planificacin de las tecnologas de informacinLa organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes y emergentes.

Situacin actualSe tienen planes muy bien definidos que facilitan la planificacin.

ProductoPETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.

Acciones Mantener actualizados los planes. Labor permanente.

2.2 Modelo de arquitectura de informacinLa organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de informacin de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, slo la informacin que sus procesos requieren.

Situacin actualSe tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de informacin, y se cuenta con un diccionario de datos al cual se le deben agregar reglas de sintaxis para cada dato.


ProductoArquitectura de Informacin actualizada

Acciones Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA). Definir flujos de informacin. Documentar las reglas de sintaxis de los datos. Actualizar diccionario de datos con reglas de sintaxis. Actualizar Arquitectura de Informacin.

2.3 Infraestructura tecnolgicaLa organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI.

Situacin actualSe tiene una infraestructura tecnolgica muy actualizada y optimizada para las funciones de la CGR.

ProductoInfraestructura tecnolgica optimizada y actualizada.

Acciones Mantener actualizada la infraestructura. Labor permanente.


2.4 Independencia y recurso humano de la Funcin de TIEl jerarca debe asegurar la independencia de la Funcin de TI respecto de las reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones.

Situacin actualAl depender en el ltimo ao directamente del Despacho, los logros han sido altamente satisfactorios, producto de mantener una independencia funcional que ha facilitado la puesta en marcha de TI en la CGR.

ProductoIndependencia funcional de la USTI, y personal capacitado adecuadamente.

Acciones Definir independencia funcional de la USTI. Mantener independencia. Ejecutar el plan de capacitacin. (DNC). Labor permanente.

2.5 Administracin de recursos financierosLa organizacin debe optimizar el uso de los recursos financieros invertidos en la gestin de TI procurando el logro de los objetivos de esa inversin, controlando en forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte aplicable.


Situacin actualEs norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus recomendaciones someterlo a la aprobacin del Despacho.

ProductoPresupuesto de Inversiones con base al PTAC, aprobado por el Despacho.

Acciones Someter el plan de inversiones a la aprobacin del Despacho por recomendacin del CGTIC.


Captulo III Implementacin de tecnologas de informacin3.1 Consideraciones generales de la implementacin de TILa organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura tecnolgica. Para esa implementacin y mantenimiento debe: a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes de la implementacin o mantenimiento de TI. b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por parte de las reas usuarias como del jerarca. c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas. d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad. e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos. f. Contar con una definicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo beneficio. g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos. h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios.


Situacin actualPara el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.

ProductoGua Metodolgica para desarrollo de sistemas aplicada institucionalmente.

Acciones Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor permanente. Participacin muy activa de los patrocinadores. Labor permanente. Capacitacin de funcionarios de USTI. Labor permanente.

3.2 Implementacin de softwareLa organizacin debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3.1 anterior. b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post-implantacin de la satisfaccin de requerimientos. c. Establecer los controles y asignar las funciones, responsabilidades y mantenimiento de software. y permisos de acceso al personal a cargo de las labores de implementacin


d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin. e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos. f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.

Situacin actualSe cuenta con ambientes de pruebas y produccin muy bien definidos, procedimientos de instalacin de software y control de versiones, migracin de datos, y la procedencia e importancia de los cambios. Se debe establecer un procedimiento para control de cambios.

ProductoSoftware en uso de acuerdo con las necesidades de la institucin.

Acciones Revisar y documentar los criterios de aplicacin de cambios.

3.3 Implementacin de infraestructura tecnolgicaLa organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual.


Situacin actualLa USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y acorde con las necesidades de la CGR.

ProductoInfraestructura tecnolgica ptima y actualizada.

Acciones Inversiones para mantener actualizada la infraestructura de soporte a la arquitectura de informacin institucional, incluye plan vivo de actualizacin y compras. Labor permanente.

3.4 Implementacin de software e infraestructura contratada a tercerosLa organizacin debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementacin o mantenimiento de software e infraestructura. Para lo anterior, debe: a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores. b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura. c. Contar con la debida justificacin para contratar a terceros. d. Establecer un procedimiento o gua para la definicin de los trminos de referencia que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas. e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.


f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia del tercero que presta el servicio.

Situacin actualPara la contratacin de los bienes y servicios de TI se consideran las ltimas especificaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es del conocimiento de los proveedores, y se considera la transferencia tecnolgica para mitigar la dependencia.

ProductoObjeto contratado debidamente implementado.

Accionesg. Mantener poltica para contratacin de bienes y servicios en TI. h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del proveedor. i. Continuar con el proceso de transferencia de conocimientos establecido para la tecnologa adquirida. Todas son labores permanentes. j.


Captulo IV Prestacin de servicios y mantenimiento4.1 Definicin y administracin de acuerdos de serviciosLa organizacin debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluacin del desempeo. Para ello deben:

a. Tener

una

comprensin

comn

sobre:

exactitud,

oportunidad,

confidencialidad, autenticidad, integridad y disponibilidad. b. Contar con una determinacin clara y completa de los servicios y sus atributos, y analizar su costo y beneficio. c. Definir con claridad las responsabilidades de las partes y su sujecin a las condiciones establecidas. d. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin de cambios en ellos. e. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos. f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con terceros.

Situacin actualLos servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos. Es conveniente documentar los acuerdos y la forma de evaluacin que se estara realizando para cada servicio.


ProductoPolticas aplicadas en la contratacin de terceros.

Acciones Actualizacin de polticas en los contratos que se celebren. Documentar acuerdos de servicio y forma de evaluacin.

4.2 Administracin y operacin de la plataforma tecnolgicaLa organizacin debe mantener la plataforma tecnolgica en ptimas condiciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacin. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin, mantener un registro de sus eventuales fallas, identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin, garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. c. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fsicas peridicas. d. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. e. Mantener separados y controlados los ambientes de desarrollo y produccin. f. Brindar el soporte requerido a los equipos principales y perifricos. g. Controlar los servicios e instalaciones externos.


h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin.

Situacin actualSe tienen documentados todos los procedimientos para el mantenimiento de la plataforma tecnolgica, excepto la solucin telefnica que se tiene parcial. La plataforma est siendo monitoreada constantemente y con base a su comportamiento se afina, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los componentes, ambiente separados para desarrollo y produccin, rutinas y polticas de respaldo, y control sobre la ejecucin de trabajos.

ProductoDiagnstico anual sobre la capacidad de las tecnologas en uso y el crecimiento proyectado.

Acciones Planificar y ejecutar un anlisis anual de capacidad en TI. Mantener procedimientos documentados y operativos. (Solucin telefnica) Efectuar gestin de tecnologas eficientemente. Todas son labores permanentes.

4.3 Administracin de los datosLa organizacin debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones vlidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma ntegra y segura.


Situacin actualLos datos procesados por TI se generan con base a transacciones autorizadas por cada una de las unidades relacionadas con los sistemas. Es necesario definir una poltica para desechar datos, de comn acuerdo con los patrocinadores de los sistemas, verificando la existencia de los procedimientos adecuados.

ProductoSistemas de informacin actualizados mediante procedimientos oficiales.

Acciones Definir poltica para desechar datos, asegurando la existencia de procedimientos oficiales para la actualizacin de sistemas de informacin. Mantener la bitcora para registro y control de acceso activa. Utilizar la herramienta de software Log Miner para anlisis de bitcoras.

4.4 Asistencia y asesoramiento a los usuarios de TILa organizacin debe resolver en forma centralizada, oportuna y eficiente las necesidades que enfrente el usuario al utilizar las TI. Su atencin debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.

Situacin actualSe imparte capacitacin para un mejor aprovechamiento de los sistemas en uso, y se capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.

ProductoUsuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de informacin.


Acciones Continuar con la capacitacin a usuarios en el uso de los sistemas. Fortalecer cultura en TICs va charlas, cpsulas tecnolgicas y cursos. Labor permanente.

4.5 Manejo de incidentesLa organizacin debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Adems, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.

Situacin actualEsta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento para la mejora continua.

ProductoMantener el registro y documentacin de incidentes actualizado.

Acciones Continuar con la resolucin de incidentes cada vez que se presenten, manteniendo un registro documentado de los mismos para minimizar el riesgo de incidencia y fortalecer los conocimientos. Labor permanente.

4.6 Administracin de servicios prestados por tercerosLa organizacin debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe:


a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. c. Vigilar que los servicios contratados sean congruentes con sus polticas relativas a calidad, seguridad y seguimiento. d. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados.

Situacin actualLos contratos son administrados; segn rea de trabajo, por los coordinadores respectivos.

ProductoAdministracin de contratos con nfasis en clusulas sobre responsabilidades, claras y aplicables.

Acciones Mantener la administracin efectiva de contratos, va coordinadores.


Captulo V Seguimiento5.1 Seguimiento de los procesos de TILa organizacin debe asegurar el logro de los objetivos propuestos como parte de la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso.

Situacin actualSe tiene un marco de referencia clara, siendo necesaria la definicin del proceso de seguimiento para vigilar la gestin de TI. Se propone una rendicin de cuentas peridica.

ProductoPETIC, PTAC, Compromisos de Gestin y PAO totalmente alineados.

Acciones Rendicin de cuentas peridica ante el CGTICS. Labor permanente.

5.2 Seguimiento y evaluacin del control interno en TIEl jerarca debe establecer y mantener el sistema de control interno asociado con la gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas.

Situacin actualEl sistema de control interno se aplica sobre la gestin de TI, y se aplican medidas correctivas en funcin de las excepciones que se presenten.


ProductoGestin de control interno en TICs asociado al sistema institucional.

Acciones Mantener la gestin de TI asociada al sistema institucional. Labor permanente.

5.3 Participacin de la Auditora InternaLa actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organizacin proporcione una garanta razonable del cumplimiento de los objetivos en esa materia.

Situacin actualSe solicita asesora a la AI cada vez que se considera de provecho para el desarrollo y ejecucin de proyectos.

ProductoAuditora interna con amplios conocimientos sobre la gestin de TI

Acciones Participacin consultora de la Auditora Interna en desarrollos de TI. Labor permanente.

ConclusinDe acuerdo con los anlisis realizados, es totalmente viable y factible cumplir con la normativa en el plazo establecido, siendo la actualizacin del modelo para la


Arquitectura de Informacin la actividad ms larga del proyecto y de finalizacin en el 2009. Las fechas recomendadas estaran influyendo en el desarrollo de sistemas y otros proyectos de TI. Es urgente la definicin de prioridades en el desarrollo de sistemas por parte del CGTIC.


Anexo - NTP2

Cronograma de Implementacin


Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 85Apndice #3 Cronograma estimado par al ejecucin del plan de implementacinEl siguiente cronograma muestra los plazos estimados de las actividades generales que permitirn obtener un nivel de

Informe NTI Doc.desbloqueado

Documents

Transcript of Informe NTI Doc.desbloqueado