Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Diagnostico Inicial Diagnostico Inicial

Anuncio 
Anexo - NTP0
Diagnostico Inicial
48 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Normas Técnicas en Tecnologías de Información y Comunicaciones / 49
Normas técnicas para la gestión y control
de las tecnologías de información
Diagnóstico Inicial
Introducción
Con base al análisis grupal realizado por los coordinadores de las diferentes áreas
de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las
normas técnicas el producto esperado y las acciones a realizar para cerrar la brecha
que pudiese existir entre la situación actual y lo requerido por las normas técnicas.
Cuando las acciones son de índole normales; es decir operativas, se indica con la
frase: “Labor Permanente” y no se incluyen en el cronograma.
Los coordinadores de la USTI son: Joaquín Gutiérrez (Seguridad, redes, telefonía),
Maureen Peña (Plataforma de micros), Johnny Umaña (Plataforma de Servidores),
Jorge León (Desarrollo y Evolución de Sistemas). En adición, Maureen asiste a la
jefatura de Unidad en la elaboración de carteles, seguimiento, y compra de bienes y
servicios tecnológicos.
Este documento es la base para la elaboración del cronograma plurianual que estará
siendo ejecutado hasta el 30 de junio del 2009.
50 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Capítulo I Normas de Aplicación General
1.1 Marco estratégico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas
de la organización, mediante un proceso continuo de promulgación y divulgación
de un marco estratégico constituido por políticas organizacionales que el personal
comprenda y con las que esté comprometido.
Situación actual
• Se reformuló el campo de acción E.
• Se elaboró un nuevo Plan Estratégico (PETIC).
• Se elaboró un Plan Táctico con los proyectos a desarrollar.
Producto
Plan de divulgación del campo de acción E, PETIC y PTAC.
Acciones
• El Comité Gerencial de Tecnologías de Información y Comunicación (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
• Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.
1.2 Gestión de riesgos
La organización debe responder adecuadamente a las amenazas que puedan afectar
la gestión de las TI mediante una gestión continua de riesgos que esté integrada al
sistema específico de valoración del riesgo institucional y considere el marco normativo
que le resulte aplicable.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 51
Situación actual
Aplicación del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable
del seguimiento y rectoría relacionado con la gestión de riesgos.
Producto
Unificación de esfuerzos relacionados con la administración de riesgos que puedan
afectar las TICs, divulgar aún más el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos definido. Se recomienda la creación de una oficina
rectora que dicte; institucionalmente, las políticas sobre riesgos.
Acciones
• Capacitación a coordinadores de la USTI.
• Integrar áreas relacionadas (Caso de administración de planta eléctrica y
UPS)
• Evaluación y actualización trimestral de riesgos que afecten las TICs.
1.3 Gestión de la calidad
La organización debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
Situación actual
Se realizan pruebas de calidad sobre los sistemas de información y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opción
de que el usuario registre su calificación sobre el servicio brindado para valorar la
gestión de la USTI y el mejoramiento continuo.
52 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Producto
Aplicación institucional de la Guía Metodológica para desarrollo de sistemas y
generación de métricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planificar para el mejoramiento continuo de TI.
Acciones
• Encuestas de satisfacción, son permanentes producto del registro que
realiza el usuario. Labor permanente.
• Definir parámetros y métricas para evaluar calidad por cada tipo de servicio.
• Aplicación periódica de métricas. Labor permanente.
• Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de información. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.
1.4 Gestión de proyectos
La organización debe administrar sus proyectos de TI de manera que logre sus
objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y
presupuesto óptimos preestablecidos.
Producto
Aplicación institucional de la Guía Metodológica para desarrollo de sistemas.
Acciones
• Aprobación de la Guía Metodológica actualizada.
• Fortalecer la administración de proyectos con los patrocinadores. Labor
permanente.
• Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 53
1.5 Gestión de la Seguridad de la información
La organización debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o
modificación no autorizados, daño o pérdida u otros factores disfuncionales.
Para ello debe documentar e implementar una política de seguridad de la información
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa
en relación con los siguientes aspectos:
• La implementación de la seguridad de la información.
• El compromiso del personal con la seguridad de la información.
• La seguridad física y ambiental.
• La seguridad en la operación y comunicación.
• El control de acceso.
• La seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica.
• La continuidad de los servicios de TI.
Además debe establecer las medidas de seguridad relacionadas con:
• El acceso a la información por parte de terceros y la contratación de servicios
prestados por éstos.
• El manejo de la documentación.
• La terminación normal de contratos, su rescisión o resolución.
• La salud y seguridad del personal.
Las medidas o mecanismos de protección que se establezcan deben mantener una
proporción razonable entre su costo y los riesgos asociados.
54 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Situación actual
La información se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad física y ambiental, control sobre el acceso
del personal y de terceros, así como sobre la implementación de software, y en el
manejo de la comunicación.
Producto
Manual de seguridad y utilización de las TIC, recién aprobado por el Consejo Consultivo.
Acciones
• Divulgación del Manual de Seguridad. (Correos, dos charlas en febrero,
cápsulas tecnológicas)
1.5.1 Implementación de la seguridad de la información
La organización debe implementar un marco de seguridad de la información, para lo
cual debe:
a. Establecer un marco metodológico que incluya la clasificación de los
recursos de TI, según su criticidad, la identificación y evaluación de riesgos,
la elaboración e implementación de un plan para el establecimiento de
medidas de seguridad, la evaluación periódica del impacto de esas medidas
y la ejecución de procesos de concienciación y capacitación del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y,
definir y ejecutar periódicamente acciones para su actualización.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organización como de terceros relacionados.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 55
Situación actual
Se tienen los recursos clasificados por criticidad, así como una evaluación de riesgos, y
un plan de implementación de la seguridad. Se realizan los análisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitación del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementación de las medidas
de seguridad en tecnologías de información, y plan de capacitación institucional
actualizados.
Acciones
• Actualizar los niveles de criticidad por recurso de TI.
• Actualizar plan de implementación de las medidas de seguridad.
• Actualizar plan de capacitación interna en seguridad.
• Incorporar seguridad en TI como parte de la Inducción a nuevos funcionarios.
1.5.2 Compromiso del personal con la seguridad de la información
El personal de la organización debe conocer y estar comprometido con las regulaciones
sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano,
robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, por sí o mediante el funcionario que designe al efecto, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades en
materia de seguridad, confidencialidad y riesgos asociados con el uso de
las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.
56 / Normas Técnicas en Tecnologías de Información y Comunicaciones
c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas
de seguridad específicas relacionadas con el manejo de la documentación
y rescisión de contratos.
Situación actual
Se tiene un manual de directrices sobre tecnologías de información en uso, y se está
planificando la divulgación de su reciente actualización aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas periódicas, y cápsulas tecnológicas a todo el
personal.
Acciones
• Plan de divulgación.
• Impartir charlas.
1.5.3 Seguridad física y ambiental
La organización debe proteger los recursos de TI estableciendo un ambiente físico
seguro y controlado, con medidas de protección suficientemente fundamentadas en
políticas vigentes y análisis de riesgos.
Como parte de esa protección debe considerar:
a. Los controles de acceso a las instalaciones: seguridad perimetral,
mecanismos de control de acceso a recintos o áreas de trabajo, protección
de oficinas, separación adecuada de áreas.
b. La ubicación física segura de los recursos de TI.
c. El ingreso y salida de equipos de la organización.
d. El debido control de los servicios de mantenimiento.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 57
e. Los controles para el desecho y reutilización de recursos de TI.
f. La continuidad, seguridad y control del suministro de energía eléctrica y del
cableado de datos
g. El acceso de terceros.
h. Los riesgos asociados con el ambiente.
Situación actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta eléctrica
y unidades de poder para suministro de energía eléctrica constante, y la definición de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicación de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
• Documentar los procedimientos y controles.
• Definir plan de acción.
1.5.4 Seguridad en la operación y comunicación
La organización debe implementar las medidas de seguridad relacionadas con la
operación de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y
proteger la integridad del software y de la información.
Para ello debe:
58 / Normas Técnicas en Tecnologías de Información y Comunicaciones
a. Implementar los mecanismos de control que permitan asegurar la “no
negación”, la autenticidad, la integridad y la confidencialidad de las
transacciones y la transferencia o intercambio de información.
b. Establecer procedimientos para proteger la información almacenada en
cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios),
incluso los relativos al manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a
software “malicioso” o virus.
Situación actual
Se mantienen medidas de seguridad muy efectivas, las cuales podrían ser fortalecidas
con la puesta en marcha de la firma digital en coordinación con el Banco Central. Se
tienen procedimientos para la protección de la información almacenada en los medios
magnéticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus.
Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
• Continuar con la gestión que se viene realizando al respecto.
• Implementar firma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso
La organización debe proteger la información de accesos no autorizados.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 59
Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados
con el acceso a la información, al software de base y de aplicación, a las
bases de datos y a las terminales y otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo
con términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles
de privilegio, y para la identificación y autenticación para el acceso a la
información, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las políticas de la organización bajo el principio de
“necesidad de saber” o “menor privilegio”. Los propietarios de la información
son responsables de definir quiénes tienen acceso a la información y con
qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de
usuario, contraseñas y otros medios) que permitan identificar y responsabilizar
a quienes utilizan los recursos de TI.
Ello debe acompañarse de un
procedimiento que contemple la requisición, aprobación, establecimiento,
suspensión y desactivación de tales medios de autenticación, así como
para su revisión y actualización periódica y atención de usos irregulares.
g. Establecer controles de acceso a la información impresa, visible en pantallas
o almacenada en medios físicos y proteger adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditoría) que permitan
un adecuado y periódico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la información sobre la
seguridad de las TI.
60 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Situación actual
Se tienen políticas sobre el acceso a la información pero deben ser documentadas y
fortalecidas en función de las normas técnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignación de roles con sus
niveles de privilegios y la autenticación de los usuarios, y los controles de acceso a la
información.
Producto
Procedimientos y política de acceso a la información, actualizados.
Acciones
• Centro de Operaciones con el control de roles y asignación de passwords.
• Oficializar responsables de la información (Sistemas).
• Actualizar procedimientos de acceso a la información.
• Activar Log Miner como herramienta para análisis de manipulación de datos
y modificaciones a programas fuente.
1.5.6 Seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica
La organización debe mantener la integridad de los procesos de implementación
y mantenimiento de software e infraestructura tecnológica y evitar el acceso no
autorizado, daño o pérdida de información.
Para ello debe:
a. Establecer obligatoriamente la definición previa de requerimientos de
seguridad que deben ser implementados como parte del software e
infraestructura.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 61
b. Contar con procedimientos claramente definidos para el mantenimiento y
puesta en producción del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los
ambientes de desarrollo o mantenimiento y de producción.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situación actual
Se tienen más de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los próximos tres años, así como ambientes separados para los
ambientes de desarrollo y producción, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
• Revisar documentación, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI
La organización debe mantener una continuidad razonable de sus procesos y su
interrupción no debe afectar significativamente a sus usuarios. Como parte de ese
esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organización, la valoración e impacto de los riesgos y la clasificación
de sus recursos de TI según su criticidad.
62 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Situación actual
Se tiene más de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y definir los esquemas de continuidad.
Producto
Procedimientos de recuperación e instalación actualizados e integrados, y eventos
documentados.
Acciones
• Mantener procedimientos actualizados y funcionales. Labor permanente.
• Documentar eventos preventivos y correctivos, y cambios a la plataforma.
• Definir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratégicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría
de una representación razonable de la organización que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada
atención de los requerimientos de todas las unidades de la organización.
Situación actual
Se tiene un CGTIC que es convocado periódicamente.
Producto
Comité Gerencial de Tecnologías de Información y Comunicación activo.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 63
Acciones
• Convocar periódicamente al CGTIC.
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI
La organización debe identificar y velar por el cumplimiento del marco jurídico que
tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.
Situación actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, así como restricciones técnicas para el uso de software no licenciado.
Producto
Marco Jurídico con incidencia en TI disponible y actualizado.
Acciones
Óptima gestión de contratos. Labor permanente.
Uso institucional de sólo las licencias contratadas. Labor permanente.
64 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Capítulo II Planificación y Organización
2.1 Planificación de las tecnologías de información
La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus
requerimientos, su capacidad presupuestaria y las oportunidades que brindan las
tecnologías existentes y emergentes.
Situación actual
Se tienen planes muy bien definidos que facilitan la planificación.
Producto
PETIC, PTAC, Compromisos de gestión y PAO alineados a la estrategia.
Acciones
• Mantener actualizados los planes. Labor permanente.
2.2 Modelo de arquitectura de información
La organización debe optimizar la integración, uso y estandarización de sus sistemas de
información de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, sólo la información que sus procesos requieren.
Situación actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
información, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 65
Producto
Arquitectura de Información actualizada
Acciones
• Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
• Definir flujos de información.
• Documentar las reglas de sintaxis de los datos.
• Actualizar diccionario de datos con reglas de sintaxis.
• Actualizar Arquitectura de Información.
2.3 Infraestructura tecnológica
La organización debe tener una perspectiva clara de su dirección y condiciones en
materia tecnológica, así como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinámica y evolución de las TI.
Situación actual
Se tiene una infraestructura tecnológica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnológica optimizada y actualizada.
Acciones
• Mantener actualizada la infraestructura. Labor permanente.
66 / Normas Técnicas en Tecnologías de Información y Comunicaciones
2.4 Independencia y recurso humano de la Función de TI
El jerarca debe asegurar la independencia de la Función de TI respecto de las
áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás
dependencias tanto internas y como externas.
Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con
una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido,
de manera clara y formal, su responsabilidad, autoridad y funciones.
Situación actual
Al depender en el último año directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
• Definir independencia funcional de la USTI. Mantener independencia.
• Ejecutar el plan de capacitación. (DNC). Labor permanente.
2.5 Administración de recursos financieros
La organización debe optimizar el uso de los recursos financieros invertidos en la
gestión de TI procurando el logro de los objetivos de esa inversión, controlando en
forma efectiva dichos recursos y observando el marco jurídico que al efecto le resulte
aplicable.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 67
Situación actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnológicas de la institución; someter a la consideración del CGTIC, y con base a sus
recomendaciones someterlo a la aprobación del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
• Someter el plan de inversiones a la aprobación del Despacho por
recomendación del CGTIC.
68 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Capítulo III Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación de TI
La organización debe implementar y mantener las TI requeridas en concordancia
con su marco estratégico, planificación, modelo de arquitectura de información e
infraestructura tecnológica. Para esa implementación y mantenimiento debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de
solicitudes de la implementación o mantenimiento de TI.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto por
parte de las áreas usuarias como del jerarca.
c. Garantizar la participación activa de las unidades o áreas usuarias, las
cuales deben tener una asignación clara de responsabilidades y aprobar
formalmente las implementaciones realizadas.
d. Instaurar líderes de proyecto con una asignación clara, detallada y
documentada de su autoridad y responsabilidad.
e. Analizar alternativas de solución de acuerdo con
criterios técnicos,
económicos, operativos y jurídicos, y lineamientos previamente establecidos.
f. Contar con una definición clara, completa y oportuna de los requerimientos,
como parte de los cuales debe incorporar aspectos de control, seguridad y
auditoría bajo un contexto de costo – beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de
los recursos económicos, técnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementación que incluyan todas
las medidas para minimizar el riesgo de que los proyectos no logren sus
objetivos, no satisfagan los requerimientos o no cumplan con los términos
de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software,
instalaciones y servicios.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 69
Situación actual
Para el desarrollo de proyectos se utiliza la Guía Metodológica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparación de equipos, lo cual se cubre vía contratos de mantenimiento.
Producto
Guía Metodológica para desarrollo de sistemas aplicada institucionalmente.
Acciones
• Aplicación de la Guía Metodológica para desarrollo de sistemas. Labor
permanente.
• Participación muy activa de los patrocinadores. Labor permanente.
• Capacitación de funcionarios de USTI. Labor permanente.
3.2 Implementación de software
La organización debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de
implementación y considere la definición de requerimientos, los estudios
de factibilidad, la elaboración de diseños, la programación y pruebas,
el desarrollo de la documentación, la conversión de datos y la puesta
en producción, así como también la evaluación post-implantación de la
satisfacción de requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades
y
permisos de acceso al personal a cargo de las labores de implementación
y mantenimiento de software.
70 / Normas Técnicas en Tecnologías de Información y Comunicaciones
d. Controlar la implementación del software en el ambiente de producción y
garantizar la integridad de datos y programas en los procesos de conversión
y migración.
e. Definir los criterios para determinar la procedencia de cambios y accesos
de emergencia al software y datos, y los procedimientos de autorización,
registro, supervisión y evaluación técnica, operativa y administrativa de los
resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como
parte de su mantenimiento.
Situación actual
Se cuenta con ambientes de pruebas y producción muy bien definidos, procedimientos
de instalación de software y control de versiones, migración de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institución.
Acciones
• Revisar y documentar los criterios de aplicación de cambios.
3.3 Implementación de infraestructura tecnológica
La organización debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de información
e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 71
Situación actual
La USTI ha contado con el apoyo del Despacho para la adquisición razonable de las
tecnologías necesarias para mantener una infraestructura tecnológica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnológica óptima y actualizada.
Acciones
• Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de información institucional, incluye plan vivo de actualización
y compras. Labor permanente.
3.4 Implementación de software e infraestructura contratada a terceros
La organización debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementación o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
b. Establecer una política relativa a la contratación de productos de software
e infraestructura.
c. Contar con la debida justificación para contratar a terceros.
d. Establecer un procedimiento o guía para la definición de los “términos de
referencia” que incluyan las especificaciones y requisitos o condiciones
requeridas o aplicables, así como para la evaluación de ofertas.
e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto
de pruebas de aceptación de lo contratado; sean instalaciones, hardware
o software.
72 / Normas Técnicas en Tecnologías de Información y Comunicaciones
f. Implementar un proceso de transferencia tecnológica que minimice la
dependencia del tercero que presta el servicio.
Situación actual
Para la contratación de los bienes y servicios de TI se consideran las últimas
especificaciones, los cambios tecnológicos, las necesidades de la CGR y las experiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptación del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnológica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener política para contratación de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnología adquirida. Todas son labores permanentes.
j.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 73
Capítulo IV Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos de servicios
La organización debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Función de TI según sus capacidades.
El jerarca y la Función de TI deben acordar los servicios requeridos, los ofrecidos y sus
atributos, lo cual deben documentar y considerar como un criterio de evaluación del
desempeño. Para ello deben:
a. Tener
una
comprensión
común
sobre:
exactitud,
oportunidad,
confidencialidad, autenticidad, integridad y disponibilidad.
b. Contar con una determinación clara y completa de los servicios y sus
atributos, y analizar su costo y beneficio.
c. Definir con claridad las responsabilidades de las partes y su sujeción a las
condiciones establecidas.
d. Establecer los procedimientos para la formalización de los acuerdos y la
incorporación de cambios en ellos.
e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.
f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos
con terceros.
Situación actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluación que se estaría
realizando para cada servicio.
74 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Producto
Políticas aplicadas en la contratación de terceros.
Acciones
• Actualización de políticas en los contratos que se celebren.
• Documentar acuerdos de servicio y forma de evaluación.
4.2 Administración y operación de la plataforma tecnológica
La organización debe mantener la plataforma tecnológica en óptimas condiciones,
minimizar su riesgo de fallas y proteger la integridad del software y de la información.
Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades
asociados con la operación de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso
de la plataforma, asegurar su correcta operación, mantener un registro de sus
eventuales fallas, identificar eventuales requerimientos presentes y futuros,
establecer planes para su satisfacción, garantizar la oportuna adquisición
de recursos de TI requeridos tomando en cuenta la obsolescencia de la
plataforma, contingencias, cargas de trabajo y tendencias tecnológicas.
c. Controlar la composición y cambios de la plataforma y mantener un
registro actualizado de sus componentes (hardware y software), custodiar
adecuadamente las licencias de software y realizar verificaciones físicas
periódicas.
d. Controlar la ejecución de los trabajos mediante su programación, supervisión
y registro.
e. Mantener separados y controlados los ambientes de desarrollo y producción.
f. Brindar el soporte requerido a los equipos principales y periféricos.
g. Controlar los servicios e instalaciones externos.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 75
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios
de respaldo en ambientes adecuados, controlar el acceso a dichos medios
y establecer procedimientos de control para los procesos de restauración.
Situación actual
Se tienen documentados todos los procedimientos para el mantenimiento de la
plataforma tecnológica, excepto la solución telefónica que se tiene parcial. La
plataforma está siendo monitoreada constantemente y con base a su comportamiento
se afina, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los
componentes, ambiente separados para desarrollo y producción, rutinas y políticas de
respaldo, y control sobre la ejecución de trabajos.
Producto
Diagnóstico anual sobre la capacidad de las tecnologías en uso y el crecimiento
proyectado.
Acciones
• Planificar y ejecutar un análisis anual de capacidad en TI.
• Mantener procedimientos documentados y operativos. (Solución telefónica)
• Efectuar gestión de tecnologías eficientemente. Todas son labores
permanentes.
4.3 Administración de los datos
La organización debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones válidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma íntegra y segura.
76 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Situación actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada
una de las unidades relacionadas con los sistemas. Es necesario definir una política
para desechar datos, de común acuerdo con los patrocinadores de los sistemas,
verificando la existencia de los procedimientos adecuados.
Producto
Sistemas de información actualizados mediante procedimientos oficiales.
Acciones
• Definir política para desechar datos, asegurando la existencia de
procedimientos oficiales para la actualización de sistemas de información.
• Mantener la bitácora para registro y control de acceso activa.
• Utilizar la herramienta de software Log Miner para análisis de bitácoras.
4.4 Asistencia y asesoramiento a los usuarios de TI
La organización debe resolver en forma centralizada, oportuna y eficiente las
necesidades que enfrente el usuario al utilizar las TI. Su atención debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
Situación actual
Se imparte capacitación para un mejor aprovechamiento de los sistemas en uso, y se
capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de
información.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 77
Acciones
• Continuar con la capacitación a usuarios en el uso de los sistemas.
• Fortalecer cultura en TICs vía charlas, cápsulas tecnológicas y cursos.
Labor permanente.
4.5 Manejo de incidentes
La organización debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Además, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
Situación actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento
para la mejora continua.
Producto
Mantener el registro y documentación de incidentes actualizado.
Acciones
• Continuar con la resolución de incidentes cada vez que se presenten,
manteniendo un registro documentado de los mismos para minimizar el
riesgo de incidencia y fortalecer los conocimientos. Labor permanente.
4.6 Administración de servicios prestados por terceros
La organización debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:
78 / Normas Técnicas en Tecnologías de Información y Comunicaciones
a. Establecer los roles y responsabilidades de terceros que le brinden servicios
de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con sus políticas
relativas a calidad, seguridad y seguimiento.
d. Asignar a un responsable con las competencias necesarias que evalúe
periódicamente la calidad y cumplimiento oportuno de los servicios
contratados.
Situación actual
Los contratos son administrados; según área de trabajo, por los coordinadores
respectivos.
Producto
Administración de contratos con énfasis en cláusulas sobre responsabilidades, claras
y aplicables.
Acciones
• Mantener la administración efectiva de contratos, vía coordinadores.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 79
Capítulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organización debe asegurar el logro de los objetivos propuestos como parte de
la gestión de TI, para lo cual debe establecer un marco de referencia y un proceso
de seguimiento en los que defina el alcance, la metodología y los mecanismos para
vigilar la gestión de TI. Asimismo, debe determinar las responsabilidades del personal
a cargo de dicho proceso.
Situación actual
Se tiene un marco de referencia clara, siendo necesaria la definición del proceso
de seguimiento para vigilar la gestión de TI. Se propone una rendición de cuentas
periódica.
Producto
PETIC, PTAC, Compromisos de Gestión y PAO totalmente alineados.
Acciones
• Rendición de cuentas periódica ante el CGTICS. Labor permanente.
5.2 Seguimiento y evaluación del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
Situación actual
El sistema de control interno se aplica sobre la gestión de TI, y se aplican medidas
correctivas en función de las excepciones que se presenten.
80 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Producto
Gestión de control interno en TICs asociado al sistema institucional.
Acciones
• Mantener la gestión de TI asociada al sistema institucional. Labor
permanente.
5.3 Participación de la Auditoría Interna
La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de
la organización proporcione una garantía razonable del cumplimiento de los objetivos
en esa materia.
Situación actual
Se solicita asesoría a la AI cada vez que se considera de provecho para el desarrollo y
ejecución de proyectos.
Producto
Auditoría interna con amplios conocimientos sobre la gestión de TI
Acciones
• Participación consultora de la Auditoría Interna en desarrollos de TI. Labor
permanente.
Conclusión
De acuerdo con los análisis realizados, es totalmente viable y factible cumplir con
la normativa en el plazo establecido, siendo la actualización del modelo para la
Normas Técnicas en Tecnologías de Información y Comunicaciones / 81
Arquitectura de Información la actividad más larga del proyecto y de finalización en el
2009.
Las fechas recomendadas estarían influyendo en el desarrollo de sistemas y otros
proyectos de TI. Es urgente la definición de prioridades en el desarrollo de sistemas
por parte del CGTIC.
82 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Documentos relacionados
Para : Gerentes, Jefes de Unidad
Para : Gerentes, Jefes de Unidad
Informaci n del Taller Como Documentar Proyectos de Innovaci n y Desarrollo Tecnol gico para Acceder a Fondos Gubernamentales: sus diferentes prop sitos y aplicaciones
Informaci n del Taller Como Documentar Proyectos de Innovaci n y Desarrollo Tecnol gico para Acceder a Fondos Gubernamentales: sus diferentes prop sitos y aplicaciones
Artículo 2.2.4.6.14. Comunicación. El empleador debe establecer
Artículo 2.2.4.6.14. Comunicación. El empleador debe establecer
Cómo observar y documentar
Cómo observar y documentar
PRINCIPIOS DEL CONECTIVISMO11
PRINCIPIOS DEL CONECTIVISMO11
De la Resolución 127/07 del MIC - Expo
De la Resolución 127/07 del MIC - Expo
Guía para documentar experiencias educativas
Guía para documentar experiencias educativas
Descargar
Anuncio
Anuncio