MARCO DE REFERENCIA - mintic.gov.co · 2018-09-21 · • Las tendencias del mercado al que...

MARCO DE REFERENCIAPARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

ESTRATEGIA DE TIENTENDIMIENTO ESTRATÉGICO DE AE

1. Entendimiento estratégico:

Las entidades y el sector deben formular una estrategia de TI de la entidad y el sectorrespectivamente a partir del entendimiento de:

• El contexto de negocio de la entidad y el sector que incluye, entre otros.

• La postura estratégica de la entidad: misión, visión, principios, valores.

• Los procesos que se desarrollan a nivel sectorial e institucional.

• Los servicios e interacciones que el sector tiene con todas las comunidades ypersonas naturales y jurídicas.

• El portafolio de productos y servicios que cada entidad presta.

• La organización de la entidad.

• El entorno normativo de la entidad y sus políticas internas.

• El Plan Nacional de Desarrollo, el Plan Estratégico del Sector y el Plan EstratégicoInstitucional.

• Las tendencias del mercado al que pertenece el sector así como las tendencias enTI.

• La Gestión y el Gobierno de TI, incluye, entre otros, la gestión y la dirección de:

• El Portafolio y Catálogo de Servicios de TI.

• El Portafolio de Planes, Programas y Proyectos de TI.

• El modelo de organización de TI.

• El modelo de procesos de TI.

• El modelo de indicadores de seguimiento al cumplimiento de la Estrategia de TI, consu alineación con el negocio y el desempeño de los procesos de TI.

• Los planes programas y proyectos de TI que viene adelantando la UGITI y sualineación con planes, programas y proyectos de la entidad.

• La integración y alineación con el negocio de la entidad de:

• La Arquitectura de Información.

• La Arquitectura de Sistemas de Información.

• La Arquitectura de Servicios Tecnológicos.

• El Modelo de Operación, Gestión y Gobierno de TI.

• La estrategia de Uso y Apropiación de las TI.

INSTRUMENTO RELACIONADO: Entendimiento estratégico

2. Analizar DOFA

La Unidad Digital deberá realizar un análisis DOFA de la situación actual de TI en laentidad, para todos los dominios de la AE de TI.

El análisis DOFA debe recibir el visto bueno de los directores de la entidad.

La Unidad Digital debe asegurar la conformidad y dar el visto bueno de los directoresde la entidad y de la instancia de Gobierno de TI, donde se presente este análisis dela DOFA de TI.

INSTRUMENTO RELACIONADO: Transformación empresarial

3. Definir la arquitectura

Cada sector, mediante un trabajo articulado de sus entidades, debe definir laestrategia de desarrollo de la Arquitectura Empresarial (AE), que permita materializar

la visión estratégica del sector en las entidades, utilizando la tecnología como agentede transformación.

Cada entidad, a partir de la estrategia de desarrollo de la AE del sector, mediante untrabajo articulado de sus áreas de negocio, debe definir la AE de la entidad.

La AE de la entidad debe adoptar el Marco de Referencia de Arquitectura Empresarialpara la Gestión de TI, y adicionalmente debe definir, desarrollar y detallar loscomponentes del Marco en lo específico de la entidad.

• La estrategia de desarrollo de la AE del sector debe quedar consignada en undocumento llamado Estrategia de Transformación de AE Sector.

• La definición de la estrategia de desarrollo de la AE de la entidad debe quedarconsignada en el documento Plan de Transformación e Implementación de AE de laEntidad.

• Estos planes deben ser elaborados para un período definido entre 4 y 6 años,dependiendo del tamaño de la entidad y del sector. Estos planes deben tenercontinuidad de manera que los cambios de Gobierno no afecten el desarrollo de la AEde la entidad. Lo anterior no significa que no se deban considerar las estrategiasprovistas por el Gobierno de turno y que contribuyen a la evolución de la AE de laentidad.


4. Implementación de la arquitectura

Cada entidad debe tener un plan de Transformación e implementación de suArquitectura Empresarial de acuerdo a las iniciativas definidas en la Estrategia deTransformación de AE del sector y de la estrategia de negocio de la entidad.

El Plan de Transformación e Implementación de la AE de la entidad, deberá estaralineado con la normatividad vigente, las políticas, procesos y servicios del modelointegral de gestión de la entidad.


5. Mantenimiento de la arquitectura

Cada sector y entidad debe contar con un proceso que permita trimestralmenteevaluar y mantener actualizada la AE, acorde con los cambios estratégicos,organizacionales y tecnológicos de la entidad, el sector y el entorno. Estos cambios sedeben reflejar en los documentos:

• Estrategia de Transformación de AE del Sector.

• Plan de Transformación e Implementación de la AE de la entidad.

Desde la operación continua de la entidad, cada una de ellas debe reportartrimestralmente al sector la completitud de la implementación de la AE en la entidadque permita hacerle mantenimiento a la AE.


6. Evolución de la arquitectura

La Arquitectura de la entidad y del sector debe tener una mirada prospectiva hacia laadopción de nuevas tendencias, identificación e incorporación de nuevasoportunidades y el logro de un nivel de madurez superior como consecuencia de suimplementación.

Desde la operación continua de la entidad, cada una de ellas debe considerar laevolución de la AE con TI, y para esto podrá generar iniciativas de evolución.


DIRECCIÓN ESTRATÉGICA DE TI

7. Portafolio de servicios

Las entidades deben contar con un portafolio de servicios de negocio, apoyados porTI, de tal manera que el servicio atienda las necesidades de los usuarios externos einternos.

Debe existir un Portafolio de Servicios de TI en el que se registre como proyectos, lasiniciativas que han sido aprobadas por la instancia de gobierno de TI que se defina.

Este registro debe permitir la trazabilidad de proyectos que contribuyen a evolucionarel Portafolio de Servicios de la entidad.

Debe existir una correlación entre el Portafolio de Servicios de TI en la entidad y suCatálogo de Servicios de TI. El catálogo es una herramienta de gestión operativa deTI, que entre otros permite garantizar que los servicios vigentes de TI se estánprestando con los acuerdos de servicio definidos con el usuario de la entidad y losterceros proveedores de esta y de TI.

INSTRUMENTO RELACIONADO: Alineación de capacidades, recursos y portafolio TIcon el negocio.

8. Demanda y capacidad de servicios

La entidad debe seleccionar, evaluar y priorizar las tecnologías y las aproximaciones alas soluciones TI que dan respuesta a las necesidades (demanda) de los procesos yestrategia de TI a la luz de las capacidades y recursos con que cuenta la Unidad TI.De esta forma se asegura el cubrimiento efectivo y eficiente de las problemáticas delnegocio.

Cada entidad debe identificar y estimar las capacidades y recursos requeridos para laimplementación de las iniciativas TI.

Definición de apoyo tecnológico a los procesos. La definición de las necesidades desistematización y apoyo tecnológico a los procesos de la entidad, deben realizarsecon base en el mapa de procesos que las entidades deben implementar en el sistemade gestión de calidad según la norma SGP1000.


9. Recursos financieros

La Unidad Digital debe en equipo con el área de Planeación de la e entidad, aseguraruna correspondencia directa entre las cifras financieras del Portafolio de Planes,Programas y Proyectos de TI; con las del Plan de Acción y de Compras de TI, yéstas con las del l presupuesto destinado a gestión de TI; para lograr una mirada

completa de planeación y ejecución financiera., tanto en los rubros de inversión comoen los de funcionamiento.


10. Iniciativas TI

• La Unidad Digital debe, en equipo con funcionarios dueños de procesos y/o serviciosde la entidad, identificar iniciativas estratégicas de TI para las combinaciones desituaciones DO, DA, FO y FA de TI. Las iniciativas estratégicas de TI: DO, DA, FO yFA deberán surtir el mismo proceso de revisión y aprobación del análisis DOFA, porparte de los directivos y la instancia de gobierno de TI definida para este efecto en laentidad.

• La Unidad Digital debe participar en el diseño y/o mejoramiento de los procesos denegocio de tal manera que pueda identificar iniciativas TI a incorporar en estos y quecontribuyan a lograr transversalidad, coordinación, articulación, mayor eficiencia yoportunidad; menores costos, mejores servicios, menores riesgos y mayor seguridadpara el negocio de la entidad. La definición de apoyo tecnológico a los procesos laorganización, debe realizarse de manera alineada con el sistema de gestión decalidad de la entidad, al Plan de Transformación e implementación de la AE de laentidad,

• Las iniciativas TI deberán garantizar la trazabilidad con:

Las metas de negocio

Los planes, programas y proyectos de negocio

Los procesos de negocio

Las metas de TI

El portafolio de planes, programas y proyectos de TI. Una iniciativa deja de seriniciativa cuando la instancia de gobierno de la entidad, el sector o el país le asigne unpresupuesto para su ejecución.

INSTRUMENTO RELACIONADO: Iniciativas estratégicas de TI y existencia del PETI

11. PETI

La Unidad Digital debe elaborar un Plan de Implementación de la estrategia de TI dela entidad (PETI) en él que consigne de manera muy precisa (tipo ficha), ladescripción de cada iniciativa en términos de: su objetivo, valor para el negocio, fasesy entregables, inversión total requerida, riesgos, impacto para el negocio y usuariosbeneficiados.

El PETI debe hacer parte (Sección o Anexo) del Plan de Transformación eImplementación de la AE de la entidad,

El PETI debe incluir la definición de los criterios de priorización de las iniciativas en elescenario de tiempo definido en el Plan de Transformación e Implementación de la AEde la entidad y por consiguiente debe ser revisado y/o actualizado anualmente sinperjuicio del seguimiento que se hace a su implementación trimestralmente. Estoscriterios de priorización deben ser definidos en equipo con los directivos de la entidad.

El PETI es entonces la herramienta estratégica de gestión que define el norte deacción estratégico en materia de TI de la entidad.

INSTRUMENTO RELACIONADO: Iniciativas estratégicas de TI y existencia del PETI

12. Definición de políticas TI, continuidad, privacidad y seguridad de lainformación

Cada entidad debe definir las Políticas TI para que sean aprobadas por la instancia degobierno de TI definida por la entidad, con el fin de tener como mínimo un ambientecontrolado de:

• Arquitectura Empresarial para gobernar su desarrollo, implementación ymantenimiento.

• Seguridad, privacidad y gestión de la información; la cual deberá incluir laimplementación de un Sistema de Gestión de la Seguridad de la Información,conforme al Marco de Referencia de AE. Este sistema debe facilitar la organización,liderazgo y control sobre las decisiones de seguridad de la información, y garantizar laalineación con la normatividad vigente, las políticas, procesos y servicios del modelointegral de gestión y el modelo de gobernabilidad de la entidad, desde la definición de

las necesidades, requerimientos de apoyo tecnológico y recursos, hasta laimplementación de las soluciones.

• Continuidad de negocio para gobernar el diseño y pruebas de los planes decontinuidad y recuperación del negocio.

• Sistemas de información que permitan gobernar el desarrollo e implantación desistemas de información.

• Acceso a la tecnología y uso de las facilidades por parte de los usuarios.

INSTRUMENTO RELACIONADO: Política TI continuidad, privacidad y seguridad de lainformación.

13. Mantenimiento de políticas TI continuidad, privacidad y seguridad de lainformación

El sector y sus entidades deben contar con un proceso integrado que permita evaluarla aplicación y los resultados de las políticas TI, la continuidad, privacidad y seguridadde la información; de acuerdo con los cambios estratégicos, organizacionales ytecnológicos, y su replanteamiento o mejoramiento de ser necesario

INSTRUMENTO RELACIONADO: Política TI continuidad, privacidad y seguridad de lainformación.

14. Estrategia de Comunicación TI

Cada entidad debe definir una estrategia de gestión del cambio organizacional paraasegurar la implementación de las iniciativas TI del PETI, que asegure su apropiaciónde todos los niveles de la organización.

La estrategia de comunicación TI se debe preparar a partir del análisis de:

• La postura estratégica de TI.

• Los servicios de TI.

• Las políticas de TI, de continuidad de negocio, de privacidad y seguridad de lainformación.

• Las iniciativas TI documentadas en el PETI que apoyan la transformación de la AEdel sector.

• El plan de transformación e Implementación de la AE de la entidad.

• El valor que entrega la estrategia de TI al negocio de la entidad.

Adicionalmente debe contemplar:

• La estrategia de comunicación.

• Los tipos de mensajes a comunicar, los medios de publicación.

• Los públicos a los que están dirigidos y los mecanismos de retroalimentación.

• La definición de los indicadores de medición del impacto y ejecución de la estrategiade TI.

INSTRUMENTO RELACIONADO: Transición

15. Modelo de transición

La Unidad Digital en coordinación con las áreas de negocio de la entidad, debediseñar e implementar un modelo de transición que garantice la estabilidad de laoperación del negocio de la entidad durante la implementación y paso a producción delas iniciativas consignadas en el PETI.

El modelo de transición debe estructurarse a partir de análisis de brecha de lasiniciativas TI. Esto para garantizar un esquema controlado de las entregas a laoperación de productos y/o servicios de TI planeados en el PETI.

El modelo de transición de las iniciativas TI debe considerar las acciones necesariaspara no desestabilizar la operación de negocio de la entidad, mientras se hace laimplementación de estas y su paso a producción. Este modelo al igual que el PETI,hacer parte del documento Plan de Implementación de la estrategia de TI y debe estarperfectamente alineado con lo presentado en el PETI.

INSTRUMENTO RELACIONADO: Transición

IMPLEMENTACIÓN ESTRATÉGICA DE TI

16. Hoja de ruta de Transformación e implementación de AE de la entidad

La entidad debe definir una hoja de ruta en la que mediante grafos se pueda visualizarla evolución del Plan de Transformación e Implementación de la AE de la entidad.

Esta hoja de ruta deberá ser preparada con base en las iniciativas presentadas en elPETI, y deberá ser actualizada anualmente, producto del seguimiento al PETI.

17. Gobierno de la Implementación de la Estrategia de TI

Cada entidad debe implementar un proceso de gobierno de TI que facilite laevaluación, selección y priorización de iniciativas TI como respuesta a lasproblemáticas y necesidades de los procesos y estrategias de la entidad y del sector.

18. Recursos financieros

La Unidad Digital debe ser la responsable de formular, administrar, ejecutar y hacerseguimiento de las fichas de los proyectos de inversión requeridos para llevar a cabola implementación de la estrategia de TI.

El proceso de gestión de proyectos de inversión debe cumplir con los lineamientosque para este efecto establezca el Departamento Nacional de Planeación.

19. Portafolio de planes, programas y proyectos TIC

La entidad debe contar con un portafolio de planes, programas y proyectos de TI quepermita la ejecución de las iniciativas TI definidas en el PETI.

Los proyectos de TI deben diferenciar sus componentes asociados a:

• Sistemas de información

• Servicios tecnológicos.

• Gestión de TI

Al portafolio se le debe hacer seguimiento periódico acordado en el gobierno de TI,teniendo en cuenta un responsable para su gestión y actualización de avance, de talforma que se puedan tomar acciones correctivas o de mejoramiento tendientes acumplir con las metas estratégicas.

SEGUIMIENTO Y EVALUACIÓN DE LA ESTRATEGIA DE TI

20. Seguimiento al desempeño y cumplimiento

La Unidad Digital debe:

• Definir los indicadores de desempeño y cumplimiento de la estrategia de TI.

• Realizar trimestralmente, el seguimiento a los indicadores de desempeño ycumplimiento de la estrategia de TI. El proceso de seguimiento deberá contemplaruna carga mínima para los funcionarios en el reporte de información de seguimiento,que deberá apoyarse principalmente en procesos automáticos y semiautomáticos;información veraz que refleje el estado real de avance de la entidad.

• Con los resultados del análisis de estos indicadores, deberá preparar un informe deanálisis y definición de iniciativas de mejora a los servicios de TI. Este análisis deberealizarse por diferentes criterios como son entre otros: dominios TI, impacto enproceso de negocio y estrategias de negocio.

• Realizar el seguimiento de la ejecución presupuestal del periodo actual, teniendo encuenta los diferentes estados de las asignaciones presupuestales, a saber:apropiación, compromisos y ejecución.

• Tomar acciones para lograr una exitosa ejecución de los planes y proyectos de TI,definidos para la vigencia.

• Realizar un seguimiento cruzado del Portafolio de Planes, Programas y Proyectos deTI; con el Plan de Acción y de Compras de TI, y éste con el presupuesto destinado agestión de TI; para lograr una mirada completa de planeación y ejecución financiera.

21. Tablero de indicadores

La entidad debe contar con un tablero de indicadores TI, que permita tener una visiónintegral de los avances y resultados en el desarrollo de la Estrategia TI.

El Tablero de Indicadores TI debe contemplar indicadores de:

• Cumplimiento.

• Impacto.

• Avance según la Hoja de Ruta de AE.

• Desempeño de la gestión de TI.

GOBIERNO DE TICUMPLIMIENTO Y ALINEACIÓN CON EL NEGOCIO

22. Alineación

La entidad en sus instancias de relacionamiento, debe monitorear, evaluar ydireccionar el cumplimiento de la propuesta de valor del portafolio de servicios de TI, yel portafolio de planes, programas y proyectos de TI.

La Unidad Digital debe participar en las instancias de gobierno de la entidad, en dondese tomen decisiones relacionadas con los procesos de negocio, que incorporensoluciones y/o servicios tecnológicos, para contribuir al logro de una visión transversal,y por ende obtener la coordinación, articulación, mayor eficiencia y oportunidad conmenores costos, mejores servicios, menores riesgos y mayor seguridad.

INSTRUMENTO RELACIONADO: Beneficio de TI para el negocio

23. Claridad

La entidad debe definir criterios específicos para la determinación del valor de TI.Entre otros se consideran criterios a tener en cuenta los siguientes:

• Valor financiero que establece el costo - beneficio que tiene para la entidad, laimplementación de la iniciativa, proyecto o servicio.

• Valor tecnológico que cuantifica los niveles de incertidumbre o riesgo existente parala implementación.

• Valor del negocio que cuantifica la alineación con la estrategia de la entidad.


24. Seguridad de la información

La entidad debe velar porque el modelo de gestión de seguridad de la informacióngenere un valor agregado, representado en niveles de riesgos a un nivel aceptable y aun costo razonable. La Unidad de TIC de la entidad debe identificar los riesgos,elaborar el mapa de riesgos y gestionar los mismos, basados en el apetito del riesgodefinido por el gobierno del negocio.


25. Formalidad

Las políticas de TI definidas desde la estrategia deben ser emitidas y publicadasprevia aprobación del gobierno de la entidad. Se publicarán como actosadministrativos mediante los mecanismos normativos que disponga la entidad(decreto, resolución, circular o guía).

INSTRUMENTO RELACIONADO: Incorporación de políticas de TIC

26. Cumplimiento

El Gobierno de TI identificará y velará para que la normatividad externa que se debetener en cuenta en la proporción de servicios y soluciones de TI, se cumpla.

INSTRUMENTO RELACIONADO: Regulación externa

SEGUIMIENTO DE PLANES, PROGRAMAS Y PROYECTOS DE TI

27. Liderazgo

La Unidad de Gestión de Información y las Tecnologías de Información deberá liderarel proceso de planeación, ejecución y seguimiento de los planes, programas yproyectos que correspondan al ámbito tecnológico e involucren TI. En aquellos casosen los que los planes, programas y proyectos respondan a objetivos funcionales denegocio y sean liderados por otras áreas, la Unidad deberá liderar la definiciónconceptual y técnica para que se asegure que la tecnología apoya correctamente lasolución planteada para el negocio.

INSTRUMENTO RELACIONADO: Planes, programas y proyectos de TI

28. Planeación, ejecución y seguimiento

En todos los proyectos de TI se debe evaluar, direccionar y monitorear como mínimo,las siguientes áreas de conocimiento de los proyectos:

1. Alcance.

2. Costos.

3. Tiempo.

4. Equipo humano.

5. Compras.

6. Calidad.

7. Comunicación.

8. Manejo de los interesados.

9. Integración.

Los proyectos deberán tener una relación directa con el portafolio, planes y programasdefinidos en la entidad y el sector.

Durante la ejecución del proyecto, se deben generar espacios de transferencia deconocimiento, que faciliten el entendimiento y la futura operación de los productos yservicios intermedios y finales que serán generados.


29. Indicadores de gestión de los proyectos

Para establecer el avance y la ejecución normal de los proyectos, se debe contar conun conjunto de indicadores que permitan registrar y monitorear el estado de losmismos.

Se deben definir los indicadores estrictamente necesarios y suficientes, a fin de medirel avance de los entregables, el gasto que se ha causado, el valor ganado y losresultados obtenidos. De esta manera se adelantará el proceso de control que permitamedir la eficiencia y la efectividad del proyecto.


30. Oficina de proyectos

En los casos en los que el volumen e importancia de proyectos así lo amerite, se debeestablecer una oficina de Proyectos (en la entidad o sector), que le permita a laentidad contar con un modelo de gobierno centralizado de proyectos y proporcionarfunciones de apoyo, control y dirección que generen el respectivo seguimiento yoptimización de los recursos y capacidades.


RELACIONAMIENTO Y ORGANIZACIÓN DE TI

31. Definición de la cadena de valor de TIC

La entidad debe incluir en su cadena de valor un macroproceso para la gestión deTecnología y Sistemas de Información, que genere mérito a la entidad y en el cual seincorporen como mínimo los procesos reglamentados por el Decreto por el cual secrea el Sistema de Gestión de Información y las Tecnologías de la Información.

En la especificación del macroproceso se debe tener la definición de losprocedimientos, resultados, indicadores y mecanismos de control; para garantizar quese desarrolle normalmente la función según los criterios de calidad.

INSTRUMENTO RELACIONADO: Procesos y calidad de TI

32. Implementación de los procesos de TIC

La Unidad de Gestión de Información y las Tecnologías de la Información tiene laresponsabilidad de implementar su modelo de organización y de operación. A partir delas definiciones hechas en la estrategia, se debe incluir como mínimo los siguientesprocesos:

• Planeación y Dirección. Corresponde al desarrollo de actividades tendientes a ladefinición de las políticas, objetivos y metas a alcanzar durante los períodos legalescorrespondientes para la gestión estratégica de la información y de las tecnologías dela información [4].

• Gestión de la Información. Corresponde al desarrollo de las actividades tendientes acolectar, almacenar, analizar y explotar la información a fin de apoyar el proceso de latoma de decisiones, divulgar y proteger la información misional de cada entidad, asícomo la seguridad y privacidad de la información [4].

• Gestión de TI. Implica el desarrollo de las actividades para el aprovechamiento delas Tecnologías de la Información, de tal manera que permitan cumplir con la misiónde cada entidad [4].

• Seguimiento y Control. Implica el desarrollo de actividades tendientes a laverificación y seguimiento a la gestión de la información y de las Tecnologías deInformación, facilitando la realimentación continua al desempeño, resultados eimpactos producidos por las actividades, la toma de decisiones y la reorientación delas acciones para garantizar el logro de los resultados previstos [4].

Los procesos definidos deben cubrir de manera transversal las actividadesrelacionadas con:

• Gestión del Modelo de Seguridad de la Información que garantice el cumplimiento ylogro de sus objetivos y su mejora continua.

• Mejoramiento continuo de los servicios de TI.

• Optimización del riesgo.

Teniendo en cuenta el Sistema de Gestión de Calidad de la entidad, se deberá definirlas cargas de trabajo, las responsabilidades, los roles, los mecanismos deseguimiento y adelantar las capacitaciones y actividades de entrenamiento ydivulgación necesarias para la apropiación de los procesos al interior del área y en laentidad.


33. Evaluación de gestión TIC

En virtud de lo establecido dentro del Modelo Integral de Gestión de la Entidad, laUnidad Digital debe realizar el monitoreo y evaluación de desempeño de la gestión, apartir de las mediciones de los indicadores del macroproceso y de los acuerdos deniveles de servicio. Se debe también, determinar el nivel de avance y cumplimiento delos procesos, estableciendo oportunidades y acciones de mejoramiento. Se deberámonitorear el cumplimiento de las metas establecidas en el PETI de la entidad.


34. Mejoramiento continuo TIC

Como parte del ciclo de mejoramiento de la calidad del Sistema de Gestión deInformación y las Tecnologías de la Información, la entidad deberá buscar sumejoramiento en el cumplimiento de las metas y en un mayor control de losindicadores de desempeño de los procesos y de su impacto y cubrimiento de laestrategia de TI.


35. Definición de capacidades

Cada entidad debe definir, direccionar, evaluar y monitorear los recursos ycapacidades necesarias y suficientes para prestar los servicios de TI, mediante loscuales se implementa la estrategia de TI.

• Los recursos se deberán definir en términos de servicios tecnológicos, sistemas deinformación, personal y recursos financieros.

• Las capacidades deben estar definidas en términos de organización, conocimiento yprocesos.

INSTRUMENTO RELACIONADO: Recursos y capacidades de TI

36. Responsable

El responsable de la Unidad Digital debe estar en capacidad de:

• Proveer la visión tecnológica y el liderazgo para desarrollar e implementar todas lasiniciativas de TI definidas en la estrategia.

• Es patrocinador de la AE y es quien debe lograr el compromiso de todos losinteresados de la entidad, para desarrollarla (esto mientras que el concepto y laimportancia no se encuentren arraigados en la entidad, momento en el cual la AltaGerencia será quien tome el rol).

• Lidera el desarrollo de la AE, apoyado en los lineamientos del Marco de Referencia yel concurso del MinTIC.

• Tiene presencia en las instancias de relacionamiento y toma de decisiones a fin deimpulsar su desarrollo.


37. Estructura de organización

De acuerdo con la definición de procesos de la cadena de valor de TI, se debeestablecer una estructura organizacional de TI que garantice la entrega de valor de losservicios a la entidad por medio de:

• La implementación de los procesos.

• La gobernabilidad y la gestión de TI.

• El gerenciamiento de los proyectos con calidad y oportunidad.

La estructura organizacional de TI que se defina, debe considerar los siguientescriterios:

• Complejidad del sector y de la entidad.

• Complejidad de la operación de la entidad y cobertura geográfica.

• Volúmenes y criticidad de información.

• Nivel de madurez de los dominios de Información, Sistemas de Información yServicios Tecnológicos.

Debe existir un equipo de trabajo interno que apoyará a las definiciones ymantenimiento de la AE, el cual se establezca mediante el instrumento administrativoque corresponda.


38. Definición de perfiles

La Unidad Digital debe contar en su equipo de trabajo con personal idóneo, conhabilidades técnicas especializadas y conocimientos necesarios para desarrollar losproyectos y gestionar los procesos de la cadena de valor de TI.

Los perfiles y habilidades requeridos para el personal de TI, se deben establecer enfunción de los procesos definidos en el macroproceso de TI.

La estructura de organización de TI en caso de ser requerido, debe contemplar losequipos de recursos técnicos especializados de terceros, e incorporarlos en la gestiónde los procesos y gobernabilidad de TI.

INSTRUMENTO RELACIONADO: Relaciones y toma de decisiones

39. Definición de instancias

En la Unidad Digital debe existir un Modelo de Relacionamiento debidamenteformalizado, que determine los principales actores de relacionamiento (internos yexternos), y que contenga:

• Definición de instancias (comités) de relacionamiento y participación en la toma dedecisiones.

• Procedimientos bajo los cuales se ejecutan instancias de relacionamiento.

• Responsabilidades de quienes participan en las instancias de relacionamiento.

• Liderazgo y líneas de reporte.


40. Responsable modelo de relacionamiento

El responsable de la Unidad Digital, debe liderar y controlar el Modelo deRelacionamiento que conduzca a impulsar el desarrollo de la AE en la entidad, para locual se apoya en el Comité Asesor de Gestión de Información y las Tecnologías deInformación, y en el Comité Interno de Gestión de Información y las Tecnologías deInformación; que tienen una cobertura sectorial e institucional respectivamente.

Lo anterior conducirá a apoyar las acciones requeridas y definidas en el ComitéSectorial de Desarrollo Administrativo y/o su instancia de preparación; y el ComitéInstitucional de Desarrollo Administrativo y/o su instancia de preparación.


SEGUIMIENTO DE LA GESTIÓN DE TI

41. Gestión de servicios

La gestión de servicios debe realizarse siguiendo un enfoque de procesos que facilitensu definición, evaluación y control.

El esquema de procesos se realizará teniendo en cuenta lo definido por IT4+®.

INSTRUMENTO RELACIONADO: Servicios de TI

42. Gestión de proveedores de TI

Todos los proveedores y contratos para el desarrollo de las iniciativas de TI deben seradministrados por la UGITI. Durante el proceso pre-contractual se debe establecer unesquema claro de direccionamiento, supervisión, seguimiento y control. Es la UGITI,quien define los criterios técnicos para la selección, la metodología de supervisióntécnica, los criterios de calidad para la recepción de los bienes o servicioscontratados. Todo lo anterior en el marco de los procedimientos establecidos para lacontratación pública.

INSTRUMENTO RELACIONADO: Proveedores de TI

43. Alineación de proveedores

La Unidad Digital debe dar a conocer a los proveedores las iniciativas de la Estrategiade TI, la contribución al negocio y el rol de su participación en la implementación delas mismas.


44. Traspaso de información

La Unidad Digital debe identificar los momentos y/o puntos en donde es necesariogenerar dinámicas de traspaso de información de los proveedores, a fin de garantizarla permanencia de conocimiento en la entidad.


45. Optimización de las compras de TI

La entidad debe dar prioridad a aquellos esquemas que brinden beneficio colectivo alas entidades estatales tales como: Acuerdos Marco de Precios y adquisiciones enmodalidad de servicio y/o por demanda.


46. Criterios de adopción y compra

La entidad debe identificar criterios y/o métodos claros (DOFA, retorno de inversión,TCO) que le faciliten tomar objetivamente la decisión de adquirir y/o optar por otrosmodelos de negocio, buscando el beneficio económico y de servicio de la entidad. Porlo anterior, para los proyectos en los que se involucren Tecnologías de Información, sedebe realizar un análisis del costo total de propiedad de la inversión. En los casos deadquisiciones, cuyo objetivo es el área de Seguridad Informática, la adquisición debeser precedida por la respectiva evaluación de riesgos y beneficios esperados.


INFORMACIÓNPLANEACIÓN Y GOBIERNO DE COM-INF

47. Responsabilidad y gestión del proceso de COM-INF

La Unidad Digital es la responsable de liderar el proceso de Gestión de los COM-INF.Este proceso debe tener en cuenta los diferentes ámbitos del Dominio de Información(Planeación y Gobierno, Diseño, Gestión del Ciclo de Vida, Análisis yAprovechamiento y Gestión de la Calidad y Seguridad de COM-INF). Así mismo, laUGITI debe trabajar en conjunto con las áreas misionales y de apoyo que se requieranpara establecer acuerdos que garanticen la calidad los de COM-INF construidos.

48. Acuerdos de intercambio de información

La entidad debe contar con acuerdos formales, tanto a nivel de entidad como desector, con los productores y consumidores de sus Componentes de Información queasegure a través de Acuerdos de Niveles de Servicio (ANS), las características deoportunidad y disponibilidad que requieren los Flujos de Información involucrados (ydefinidos en su Catálogo), su vigencia, así como la trazabilidad de los intercambios.

49. Arquitectura de los COM-INF

La entidad debe disponer de una Arquitectura de COM-INF que establezca, para cadauno de ellos, su definición funcional y técnica, su ciclo de vida, el Gobierno de laArquitectura así como su Proceso de Gestión. La arquitectura debe incluir lasdiferentes vistas que definan los COM-INF, incluyendo vistas de negocio, lógicas y deinteroperabilidad.

50. Modelo de Gestión de Documentos Electrónicos y Cero Papel

La entidad debe contar en su Arquitectura de sus COM-INF con un Modelo de Gestiónde Documentos Electrónicos que guíe la transición de su información No-Electrónica amodelos de manejo electrónico. Este modelo debe seguir las políticas de gestióndocumental vigentes en la entidad y en el sector, incluyendo Políticas de Cero Papel,Archivística y Gestión documental. El Modelo debe asegurar principios deautenticidad, fiabilidad, trazabilidad, accesibilidad y cobertura de todo el ciclo de vidade los documentos de la entidad.

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE COM-INF

51. Plan de calidad de los COM-INF

La entidad debe contar con un Plan de Calidad de los COM-INF que incluya etapas deaseguramiento, control e inspección y tenga en cuenta tanto actividades de mediciónde indicadores de calidad (a través de un Tablero de Control disponible en elDirectorio de Servicios) como actividades preventivas, correctivas y de mejoramiento

que incluyan depuración, perfilado, validación y auditoría de sus repositorios tanto enámbitos técnicos (ej. tipos de datos, longitud, entre otros) como funcionales (ej. reglase integridad de negocio).

DISEÑO DE COM-INF

52. Protección y privacidad de COM-INF

La entidad debe complementar su Taxonomía de Componentes de Información conlos responsables y políticas de la protección y privacidad de la información conforme ala normativa de protección de datos de tipo personal. Por defecto, el nivel derestricción para cualquier Componente de Información de tipo público es inexistente.Por defecto, el nivel de restricción para cualquier Componente de tipo clasificado oreservado es el máximo. Los responsables designados sólo podrán modificar ese nivelde manera explícita.

53. Taxonomía y diccionario de los COM-INF

La entidad debe clasificar y mantener actualizada un conjunto de taxonomías de susCOM-INF considerando atributos de criticidad, nivel de acceso, nivel de relevancia,mecanismos de intercambio, privacidad, consideraciones de uso, apertura y accesopúblico. De manera complementaria, se debe contar con un Diccionario de COM-INFque describa los metadatos de los mismos (tipos de datos, definición semántica,reglas de negocio, valor operativo/táctico o estratégico).

54. Directorio de servicios de COM-INF

La entidad debe habilitar un directorio con los servicios que dispone sobre sus COM-INF. Este directorio debe estar clasificado teniendo en cuenta categoría, temática ytipo de servicio. Cada servicio debe incluir una descripción, la vigencia, canales deacceso, formatos, roles de acceso así como operaciones permitidas a través de unaGuía de Uso del COM-INF disponible en el propio directorio. La entidad esresponsable de definir el nivel de acceso de este directorio teniendo en cuenta lanormatividad asociada. Este directorio se consolida, a nivel sectorial, a través de lacabeza de sector, como un Directorio de Servicios de COM-INF sectorial.

ANÁLISIS Y APROVECHAMIENTO DE COM-INF

55. Análisis y toma de decisiones sobre COM-INF

La entidad debe contar con mecanismos que apoyen el análisis y la toma dedecisiones partiendo de los COM-INF y tomando como base las Fuentes Únicas deInformación de la entidad. Estos mecanismos se relacionan también con los procesosde consolidación de los COM-INF con el fin de facilitar los procesos de localización deinformación de relevancia en las fuentes únicas.

56. Acceso a los reportes de COM-INF

La entidad debe facilitar el acceso a sus reportes predefinidos (disponibles comoservicios de Componentes de Información en el Directorio de Servicios) utilizandoformatos estándar, abiertos y transformables (por ejemplo CSV, XML o PDF, entreotros). Los reportes deben ser auto-descriptivos, incluyendo no sólo la informaciónpropia del reporte sino una descripción de su estructura que sea única y completatanto a nivel funcional como técnico.

CICLO DE VIDA DE COM-INF

57. Lenguaje Común de Intercambio de COM-INF

La entidad debe utilizar un lenguaje común para el intercambio de un COM-INF conotras entidades. Este lenguaje común debe contar con una definición acordada ybasada en una especificación técnica o en estándares de industria con carácternacional y/o internacional que estén incluidas en el Marco de Referencia de AE,siendo la cabeza del sector responsable de liderar este acuerdo entre entidades asícomo la inclusión en el Marco. La definición deberá ser pública y disponible en elPortal de Lenguaje Común de Intercambio de Información del Estado colombiano.

58. Publicación de los servicios de intercambio de COM-INF

La entidad debe publicar sus servicios de intercambio de información para que esténdisponibles a través de la Plataforma de Interoperabilidad del Estado colombiano.

59. Consolidación y Análisis de Componentes de Información Sectorial

La entidad cabeza del sector es la responsable de la creación y mantenimiento de unrepositorio unificado de Componentes de Información bajo algún mecanismo deconsolidación definido (ej. propagación, replicación o federación de datos, entre otros),permitiendo realizar análisis de tendencias, relaciones y descubrimiento de patronesen los COM-INF con el fin de apoyar la toma de decisiones a nivel sectorial, siendofuente única de información en estos ámbitos de análisis.

60. Catálogo de flujos de información

La entidad debe mantener un Catálogo de Flujos de Información que describa cuálesson los Componentes de Información usados por sus procesos y/o que seintercambian con otras entidades. Cada flujo debe identificar al productor, consumidor(en caso que la entidad sea productora de la información), periodicidad o frecuenciade intercambio así como su prioridad o relevancia.

DISEÑO

61. Canales de Acceso a los COM-INF

La entidad debe asegurar los mecanismos necesarios que permitan el acceso a losservicios de información por parte de los diferentes grupos de interés, contemplandocaracterísticas de accesibilidad y usabilidad.

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE COM-INF

62. Auditoría y trazabilidad de COM-INF

La entidad debe asegurar que todos sus COM-INF incluyen los mecanismosnecesarios para asegurar la trazabilidad y auditoría sobre las acciones de creación,actualización, modificación o borrado de los mismos. Estos mecanismos deben serconsiderados en el Proceso de Gestión de los COM-INF.

PLANEACIÓN ESTRATÉGICA

63. Gobierno de la Arquitectura de los COM-INF

La entidad debe contar con un Gobierno de la Arquitectura de los Componentes deInformación que establezca métricas e indicadores relacionados con los mismos,cuáles son los productores y consumidores dentro de la Entidad así como losmecanismos de aseguramiento de su calidad, transparencia y seguridad mediantemecanismos de control, seguimiento, entre otros. Adicionalmente, el Gobierno debeapoyar el Proceso de Gestión de los COM-INF definiendo cuáles son los roles yhabilidades requeridas en la organización así como la estructura organizacional quelos soporte.

DISEÑO DE COM-INF

64. Fuente Única de Información

La entidad debe diseñar, mantener y evolucionar las Fuentes Únicas de Información apartir de los diferentes repositorios de Componentes de Información para que elacceso a estos COM-INF sea oportuno, relevante, completo, veraz y comparable.Estas fuentes de información deben permitir realizar análisis de tendencias ydescubrimiento de patrones con el fin de apoyar la toma de decisiones.

SERVICIOS TECNOLÓGICOSARQUITECTURA DE INFRAESTRUCTURA TECNOLÓGICA

65. Aplicar mejores prácticas para infraestructura tecnológica

La entidad debe definir un Plan de Arquitectura de Servicios Tecnológicos que, confoco en la capa física, incorpore las características técnicas de los elementosnecesarios para cubrir la demanda tecnológica actual de la entidad así como losrequerimientos proyectados a futuro de los sistemas de información y los servicios dela entidad. Este Plan debe derivar en un Diseño de Arquitectura de ServiciosTecnológicos y debe tener en cuenta acciones de mantenimiento periódico.

INSTRUMENTO RELACIONADO: Diseño de Arquitectura Tecnológica

66. Disposición de un centro de servicios tecnológicos

La entidad debe contar con un Centro de Servicios Tecnológicos por medio del cual segestione:

• Las iniciativas tecnológicas de la entidad de acuerdo al Plan de Arquitectura deServicios Tecnológicos

• Las estrategias tecnológicas para que sean rentables y de calidad.

• La innovación tecnológica.

• Los requerimientos de Capacidad, Disponibilidad y Adaptabilidad, Estandarizaciónde los servicios tecnológicos.

• La adquisición y/o re-utilización de la tecnología requerida por la entidad de acuerdocon principios de Racionalización y Optimización.

• La administración y operación de los servicios tecnológicos.

Los anteriores deben cubrir las características de conectividad, software base,infraestructura, plataformas y aplicaciones; considerando las modalidades deprestación de servicios tecnológicos On Premise y On Demand.


67. Intercambio de Información

La entidad debe incluir dentro de su Arquitectura de Servicios Tecnológicos loselementos necesarios para realizar el intercambio de información entre las áreas de laentidad, las entidades externas del nivel sectorial y del nivel nacional. La estrategia deintercambio debe ser identificada, analizada, diseñada e implementada considerandolas necesidades de interoperabilidad actuales y proyectadas a futuro, tomando encuenta la Plataforma de Interoperabilidad disponible en el Estado colombiano.


68. Continuidad y disponibilidad de servicios tecnológicos

La infraestructura tecnológica debe contar con sistemas de alimentación eléctrica,mecanismos de refrigeración, soluciones de detección de incendios, sistemas decontrol de acceso, y sistemas de monitorización de componentes físicos que asegurela continuidad y disponibilidad del servicio así como la capacidad de atención yresolución de incidentes.


69. Monitoreo de la seguridad de los Servicios Tecnológicos.

La entidad debe contar con herramientas de administración de seguridad paraimplementar, mantener, controlar y monitorear elementos de seguridad que incluyaperfiles del usuario, privilegios, grupos de usuarios y sus recursos, redes, tanto a nivelinterno como externo. Las herramientas deben registrar como mínimo los intentos deingreso, las modificaciones de los privilegios, las creaciones de nuevos perfiles,usuarios y localización desde la cual se realiza el evento.

INSTRUMENTO RELACIONADO: Seguridad de la infraestructura y servicios

70. Definición y Seguimiento de Acuerdos de Nivel de Servicio

La entidad debe definir y realizar el seguimiento de los Acuerdos de Niveles deServicio (ANS) para los servicios tecnológicos (incluyendo aquellos soportados porterceros), con el fin de cumplir sus Criterios de Calidad (ver Características de Calidadde Servicios Tecnológicos). Cada entidad deberá determinar cuál es el nivel decalidad mínimo requerido (ver Especificación Técnica).

INSTRUMENTO RELACIONADO: Catálogo de servicios

71. Acceso a servicios en la nube

La entidad debe evaluar la prestación de sus servicios tecnológicos a través de lanube pública privada o hibrida según sea el caso para atender a los usuarios,entidades y ciudadanos que requieran de los servicios.


72. Control del Consumo de los recursos compartidos por ServiciosTecnológicos

La entidad debe identificar, monitorear y controlar el nivel de consumo de los recursoscríticos que son compartidos por los servicios tecnológicos y administrar sudisponibilidad en consecuencia.


GESTIÓN DE LA CAPACIDAD DE SERVICIOS

73. Alta disponibilidad de servicios tecnológicos

La entidad debe implementar capacidades de alta disponibilidad que incluyanbalanceo de carga y redundancia para los servicios tecnológicos que esténinvolucrados en la continuidad del servicio de entidad, las cuales deben ser puestas aprueba periódicamente.

INSTRUMENTO RELACIONADO: Capacidad para proveer servicios e infraestructura.

74. Reusabilidad a través de un Catálogo de Servicios Tecnológicos

La entidad debe contar con un catálogo de su infraestructura tecnológica para validarla posibilidad de implementar y reutilizar los servicios existentes considerando lasnecesidades actuales de las áreas de negocio y sistemas de información de laentidad. El catalogo debe contar con la información licencias, versiones, cantidades,capacidades, restricciones y las demás necesarias para decidir la viabilidad dereutilizarla o adquirir un nuevo servicio tecnológico.

INSTRUMENTO RELACIONADO: Reutilización de servicios e infraestructura

GESTIÓN DE LA OPERACIÓN

75. Proceso de copias de seguridad y restauración

La entidad debe contar con un proceso periódico de respaldo de la configuración desus servicios tecnológicos así como de la información almacenada en lainfraestructura tecnológica. Este proceso debe ser probado periódicamente (endiferentes niveles de agregación) y debe permitir la recuperación íntegra de losservicios tecnológicos.

INSTRUMENTO RELACIONADO: Gestión de la operación y continuidad de losservicios

76. Gestión preventiva de los Servicios Tecnológicos

La infraestructura que soporta los servicios tecnológicos de la entidad deben contarcon mecanismos de monitoreo para generar alertas tempranas ligadas los umbralesde operación que tenga definidos. En aquellos casos en los que las alertasrepresentan la interrupción de un servicio, esta debe ser notificada a los usuariosafectados.


77. Análisis de vulnerabilidades

La entidad debe definir un proceso homologado y de ejecución periódica para elanálisis de vulnerabilidades de la infraestructura tecnológica a través de un Plan dePruebas que permita identificar y mitigar las brechas que puedan comprometer laseguridad de la información o puedan afectar la prestación de un servicio.


GESTIÓN DE SOPORTE

78. Mesa de ayuda única

La entidad debe definir el procedimiento para atender los requerimientos de soportede primer, segundo y tercer nivel para sus servicios tecnológicos a través de unamesa de ayuda única.

INSTRUMENTO RELACIONADO: Gestión, soporte y mantenimiento de servicios

79. Planes de mantenimiento

La entidad debe contar con un Plan de Mantenimiento Preventivo sobre toda lainfraestructura y sus servicios tecnológicos para asegurar una operación estable delos servicios. Este plan debe contar como mínimo con información de periodicidad,prerrequisitos, condiciones técnicas y verificaciones necesarias para asegurar elcumplimiento de los resultados de los mantenimientos preventivos.

INSTRUMENTO RELACIONADO: Gestión, soporte y mantenimiento de servicios

SISTEMAS DE INFORMACIÓNPLANEACIÓN Y GESTIÓN DE SIS-INF

80. Definición Estratégica de los SIS-INF

Las entidades deben, en la Arquitectura de cada uno de sus SIS-INF, en primer lugarplantear una Arquitectura del Sistema de Información que aborde los diferentesdominios del Marco de Referencia de AE. A partir de esta arquitectura, debeestablecer la Arquitectura de Solución que defina los diferentes componentes softwareque la implementan. Esta Arquitectura de Solución debe estar basada en unaArquitectura de Referencia.

81. Hoja de Ruta de SIS-INF

Las entidades deben contar, para todas las soluciones de software de sus Sistemasde Información, con una Hoja de Ruta que permita establecer un plan demantenimiento, soporte y evolución hasta su potencial reemplazo u obsolescencia,considerando tanto los aspectos normativos que los regulan la vigencia de sussoportes tecnológicos, así como los cambios de estrategia y modelo operativo de laentidad.

82. Metodología de Referencia para desarrollo de SIS-INF

La entidad debe contar con una Metodología de Referencia que defina loscomponentes principales de un Proceso de Desarrollo del Software que considere susfases o etapas (ciclo de vida), las actividades principales y de soporte involucradas (ej.Gestión de la Configuración, Gestión de la Calidad, entre otros), roles yresponsabilidades así como herramientas de apoyo al ciclo de vida. Esta metodologíade referencia debe dar cobertura a todos las soluciones de software de los SIS-INFque la entidad construya o adapte, independientemente de su tecnología. Así mismo,debe ser común a nivel sectorial y es responsabilidad de la entidad cabeza de sectorconseguir los acuerdos necesarios para ello. Esta metodología debe incorporar

mejores prácticas de las metodologías de la industria, incluyendo el uso de métodoságiles.

83. Directorio de SIS-INF

La entidad debe habilitar un directorio con los SIS-INF de que dispone. Este directoriodebe estar clasificado teniendo en cuenta categoría, temática y tipo de SIS-INF(incluyendo si es de infraestructura crítica). Cada SIS-INF debe incluir unadescripción, si es el sistema es de interés de la entidad, sectorial o de interésnacional, la vigencia, canales de acceso, roles de acceso así como operacionespermitidas a través de una Guía de Uso del SIS-INF disponible en el propio directorio.La entidad es responsable de definir el nivel de acceso de este directorio teniendo encuenta la normatividad asociada. Este directorio se consolida, a nivel sectorial, através de la cabeza de sector, como un Directorio de SIS-INF sectorial. Este Directoriodebe permitir realizar un análisis de reutilización ante la necesidad de construir oadquirir un nuevo sistema de información por parte de una entidad.

84. Licencia abierta de uso de los SIS-INF

Aquellos elementos de software de los SIS-INF de interés sectorial o nacional debentener una licencia de uso abierta para entidades del Estado colombiano. Esta licenciaestablece que la entidad debe habilitar las capacidades necesarias para que loselementos de software puedan ser prestados como servicio o cedidos a otrasentidades, así mismo, establece que en aquellos casos donde las entidades realicenadaptaciones o mejoras de los elementos de software que también sean de interéssectorial o nacional, estas son responsables de distribuirlas a la entidad cabeza desector y/o a la entidad desarrolladora del componente referido.

85. Activos de Arquitectura de Referencia de los SIS-INF

La entidad debe contar con componentes de software reutilizables que hagan parte desus Arquitecturas de Referencia tales como: Componentes de autenticación yautorización única a través de un Servicio de Directorio, de trazabilidad de laejecución, de registro de errores, de acceso a la capa de datos, de gestión de la

integridad transaccional, entre otros. La entidad debe asegurar el uso de estoscomponentes en sus SIS-INF.

86. Guía de Estilo y Usabilidad de los SIS-INF

La entidad debe contar con una Guía de Estilo y Usabilidad única que establezca losprincipios para el estilo de los componentes de presentación, estructura para lavisualización de la información, procesos de navegación entre pantallas, entre otros.Esta Guía de Estilo y Usabilidad debe estar particularizada por cada mediotecnológico o canal utilizado por los SIS-INF, y así mismo debe estar alineada con losprincipios de Usabilidad definidos por el Estado colombiano. La entidad debeasegurarse de la aplicación de esta Guía en todos sus SIS-INF, y es la UGITI laresponsable de coordinar su elaboración.

87. Ambientes para los SIS-INF

La entidad debe contar con una línea de producción para sus SIS-INF con diferentesambientes que puedan alinearse con actividades o etapas del ciclo de vidaestablecidas por el Proceso de Desarrollo de Software (ej. Desarrollo, Integración,Pruebas, Aceptación de Usuario o de Certificación, Capacitación, Puesta enProducción, entre otros).

DISEÑO DE SIS-INF

88. Arquitecturas de Referencia de SIS-INF

Las entidades deben contar con Arquitecturas de Referencia, por medio de la cualesse establezcan aquellos patrones de diseño, mejores prácticas tecnológicas,recomendaciones de desarrollo, herramientas específicas de apoyo a la construcciónasí como componentes tecnológicos reutilizables que aseguren el diseño de cualquierArquitectura de Solución de manera eficiente, homogénea y de calidad. La UGITI es launidad responsable de definir y evolucionar estas Arquitecturas de Referencia.

89. Arquitecturas de Solución de SIS-INF

La entidad debe contar, para las soluciones software de sus SIS-INF, con una diseñode Arquitectura de Solución que, vigente a través de las etapas del ciclo de vida eincluya la definición de vistas de contexto, funcional, de despliegue y de informaciónpara representar todos sus componentes, principios y patrones de diseño así comoactores involucrados.

90. Implementación de COM-INF a través de SIS-INF

Los SIS-INF de la entidad deben soportar la Arquitectura de los COM-INF definida,considerando la Taxonomía, el Diccionario de Datos establecido, el Catálogo de Flujosde Información, el Directorio de Servicios así como las necesidades de Análisis yToma de Decisiones de los COM-INF.

91. Apertura de Datos en los SIS-INF

La entidad debe habilitar en sus SIS-INF aquellas características técnicas, funcionalesy no funcionales necesarias para la apertura de sus datos de acuerdo a la normativadel Estado colombiano. Estas características deben permitir que la apertura se realicede un mismo modo tanto hacia el Portal de Datos de Abiertos del Estado colombianocomo hacia portales propios de la entidad.

92. Interoperabilidad de SIS-INF

La entidad debe habilitar en sus SIS-INF aquellas características técnicas, funcionalesy no funcionales necesarias para interactuar con la Plataforma de Interoperabilidad delEstado colombiano, partiendo para ello del Catálogo de Flujos de Información y lasnecesidades de intercambio de información con otras entidades que de este sederivan.

CICLO DE VIDA DE SIS-INF

93. Plan de Pruebas de los SIS-INF

La entidad debe contar con un Plan de Pruebas en la construcción de loscomponentes software de su SIS-INF que incluya etapas para pruebas unitarias, deintegración, de aceptación de usuario, de rendimiento y estrés, de despliegue y deseguridad. La aceptación de cada una de las etapas del Plan de Pruebas debe estarvinculada a la transición del Sistema de Información a través de los diferentesambientes. Este Plan de Pruebas debe formar parte del Proceso de Desarrollo deSoftware.

SOPORTES DE SIS-INF

94. Servicios de Mantenimiento de SIS-INF

La entidad debe establecer Acuerdos de Nivel de Servicio para sus servicios demantenimiento de SIS-INF establecidos con terceros. Estos debe tener en cuenta lasetapas de transición, prestación y devolución del mismo para asegurar la continuidadde los SIS-INF involucrados.

95. Actualización y requerimientos de cambio de los SIS-INF

La entidad, en los servicios de soporte de sus SIS-INF, debe formalizar la petición denuevas funcionalidades o de cambios a las existentes a través de un procedimiento deGestión de Solicitudes de Cambio.

96. Análisis de Impacto de SIS-INF

La entidad debe disponer de mecanismos para realizar análisis de impacto ante uncambio o modificación de alguno de los componentes de software de sus SIS-INF.

97. Plan de Capacitación y Entrenamiento de los SIS-INF

La entidad debe contar, para cada SIS-INF, con un Plan de Capacitación yEntrenamiento que facilite el uso y apropiación durante todo el ciclo de vida delsistema. La entidad debe considerar para la ejecución del plan los métodos másadecuados según las características del SIS-INF (ej. autoformación, guías, sesionespresenciales, formación a formadores, entre otros).

98. Manual de Usuario, Técnico y de Operación de SIS-INF

La entidad debe asegurar que todos sus SIS-INF, en su etapa de entrega, cuentencon un Manual de Usuario, un Manual Técnico y un Manual de Operación vigentesque asegure la transferencia de conocimiento para el uso del sistema hacia losusuarios, hacia la UGITI, y hacia servicios de soporte tecnológico, respectivamente.

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE SIS-INF

99. Plan de Calidad de los SIS-INF

La entidad debe contar con un Plan de Calidad de los componentes software de susSIS-INF que incluya etapas de aseguramiento, control e inspección y tenga en cuentatanto actividades de medición de indicadores de calidad (a través de un Tablero deControl) como actividades preventivas, correctivas y de mejoramiento tanto enámbitos técnicos, funcionales y no funcionales. Este Plan de Calidad debe formarparte del Proceso de Desarrollo de Software.

100. Criterios no funcionales y de calidad de los SIS-INF

La entidad debe asegurar que el diseño de sus SIS-INF cumple con los Criterios NoFuncionales y de Calidad definidos, incluyendo Escalabilidad, Interoperabilidad,Multicanalidad, Funcionalidad, Fiabilidad, Usabilidad, Eficiencia, Mantenibilidad yPortabilidad.

101. Seguridad y Privacidad de los SIS-INF

La entidad debe incorporar, en el diseño de sus SIS-INF, aquellos componentes deseguridad alineados con la normativa establecida que incluyan, como mínimo: eltratamiento de la privacidad de la información, la implementación de controles deacceso (autorización y autenticación) así como los mecanismos de integridad y cifradode la información.

102. Auditoría y trazabilidad de SIS-INF

Las entidades deben incluir, en el diseño de sus Sistemas de Información,mecanismos que aseguren el registro histórico para la trazabilidad de las accionesrealizadas por los usuarios. Por cada acción, el registro debe incluir la fecha y hora, elusuario y la acción o evento involucrado.

USO Y APROPIACIÓNMOVILIZACIÓN DE LOS GRUPOS DE INTERÉS

103. Identificación de stakeholders

La estrategia de uso y apropiación está basada principalmente por los grupos deinterés, los cuales deben ser identificados, priorizados, categorizados y clasificados.Se deben tener en cuenta los diferentes públicos involucrados por la oferta desistemas y servicios de información.

INSTRUMENTO RELACIONADO: Redes de involucramiento

104. Involucramiento en cascada

El involucramiento de los grupos de interés debe ser convocado desde la AltaDirección en cascada hacia el resto de los niveles organizacionales.

INSTRUMENTO RELACIONADO: Redes de involucramiento

105. Liderazgo visible

La Alta Dirección debe ser modelo a seguir en el uso y apropiación de las TI en lasorganizaciones.

106. Visión compartida

Las entidades podrán impulsar el compromiso hacia la adopción y uso de las TImediante el alineamiento y el desarrollo de una identidad común con los propósitosestratégicos de la gestión de TI. De esta manera se establecen vínculos comunes queconllevan al compromiso.

FORMACIÓN Y DESARROLLO DE CAPACIDADES

107. Plan de formación

El desarrollo de capacidades en TI debe hacer parte del plan de formación de laEntidad.

INSTRUMENTO RELACIONADO: Competencias TI

108. Toma de decisiones

Las competencias en TI deben generar un entorno de conocimiento para la toma dedecisiones de la Entidad.

INSTRUMENTO RELACIONADO: Competencias TI

109. Prácticas TI

La cultura organizacional de la Entidad debe reflejar buenas prácticas de TI.

INSTRUMENTO RELACIONADO: Prácticas TI

DESARROLLO DE PROGRAMAS DE GESTIÓN DEL CAMBIO

110. Lógicas del cambio

La Entidad debe analizar sus propias lógicas de cambio y gestionar los impactospriorizando su nivel, de manera anticipada.

INSTRUMENTO RELACIONADO: Gestión de impactos de cambio

111. Herramientas de cambio

La Entidad debe desarrollar herramientas gerenciales y de aprendizaje queapalanquen el uso y la apropiación de las TI.

INSTRUMENTO RELACIONADO: Alistamiento hacia el cambio

112. Dotación y acceso

Las entidades deben asegurar el uso y la apropiación de los sistemas de informacióny servicios tecnológicos desde la identificación de iniciativas estratégicas de TI para elnegocio, hasta facilitar la dotación de tecnología y fomentar su acceso.

INSTRUMENTO RELACIONADO: Alistamiento hacia el cambio

113. Sostenibilidad del cambio

Las iniciativas de TI se enmarcan en una estrategia de transformación que le décontinuidad de largo plazo en la entidad, superando estadios de estabilización hastaapropiar las TI como parte de las prácticas organizacionales.

INSTRUMENTO RELACIONADO: Sostenibilidad del cambio

ASEGURAMIENTO DE USO Y APROPIACIÓN

114. Cultura TI

La Entidad debe diseñar, aplicar y monitorear indicadores de impacto del uso yapropiación de las TI alineados a los de la cultura organizacional.

INSTRUMENTO RELACIONADO: Medición de impactos, uso y apropiación

115. Adopción de TI

Los indicadores de Uso y Apropiación deben evaluar el nivel de adopción detecnología y la satisfacción en el uso.

INSTRUMENTO RELACIONADO: Medición de impactos, uso y apropiación

MARCO DE REFERENCIA - mintic.gov.co · 2018-09-21 · • Las tendencias del mercado al que...

Documents

Transcript of MARCO DE REFERENCIA - mintic.gov.co · 2018-09-21 · • Las tendencias del mercado al que...