Informe NTI

Contralora General de la Repblica
Divisin de Gestin de Apoyo

Unidad de Tecnologas de Informacin
Normas Tcnicas en
Tecnologas de Informacin y
Comunicaciones
Informe nal Versin 1.0.0
Julio 2009
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3
Introduccin
Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI),
en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios bsicos de control que deben ser observados
en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la scalizacin.
De manera congruente con este objetivo, estos criterios bsicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009-
CO-2009, como lo consigna la norma No. 5.9:
5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus
competencias, deben propiciar el aprovechamiento de tecnologas de informacin
que apoyen la gestin institucional mediante el manejo apropiado de la informacin
y la implementacin de solu ciones giles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologas de informacin, emitida por
la CGR.
Conscientes de que las tecnologas de informacin constituyen un factor crtico y
estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de
soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuacin se emite un informe con los principales aspectos desarrollados en la
Contralora General, como Administracin Activa, en atencin de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos
a su scalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para
cumplir con la serie de criterios bsicos de gestin y control de las NT.
4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento
razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto
obste para ir profundizando y actualizando los resultados obtenidos, as como para
atender nuevos requerimientos derivados de la normativa y del entorno.
Metodologa
Para atender la normativa se inici con el trabajo de preparacin delineado en el
artculo 6 de la Resolucin No. R-CO-26-2007, a saber:
La constitucin de un equipo de trabajo.
La designacin de un responsable del proceso de implementacin,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan denido.
El estudio detallado de las normas tcnicas referidas, para identicar las que
apliquen a la entidad u rgano de conformidad con su realidad tecnolgica
y con base en ello establecer prioridades de implementacin.
Una planicacin debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos tcnicos.).
Para su implementacin, la seora Contralora, mediante ocio No. CO-0272 del 15 de
agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente,
que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas
de informacin y comunicacin de la Contralora, y que apoya en su implementacin
y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.
El equipo de trabajo est coordinado por la seora Subcontralora.
La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura
de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin
distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio
de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de
la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en
general y sobre el componente funcional de Sistemas de Informacin en particular.
Se elabor un diagnstico institucional sobre el estado de TI con respecto a las
NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de
ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit
Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por
este comit y tomado como base para la implementacin de las NT. Ver minuta Nro.
3 del 12 de marzo de 2008, acuerdo 1, apartado 3.
Asimismo, se planic la implementacin de las NT con base al cronograma resultante
del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1
Cronograma de Implementacin.
El contenido del informe consigna en negrilla el texto de las normas y seguidamente,
se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los
cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su
versin digital.
Captulo I
Normas de Aplicacin General
Captulo I
Captulo I
1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la
organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco
estratgico constituido por polticas organizacionales que el personal comprenda y con
las que est comprometido.
1.1.1 Con la representacin de las reas sustantivas y de apoyo de
la CGR, se elabor para su puesta en marcha y ejecucin el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC),
del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual
Operativo las Unidades han incorporado los proyectos correspondientes
para dar cumplimiento al dimensionamiento estratgico y tctico de
TI, todo debidamente alineado al Plan Estratgico Institucional. Ver
documentos PETIC y PETAC.
1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1
mediante charlas generales y especcas; as como por su publicacin en
la Intranet institucional, logrando el compromiso de los patrocinadores y
funcionarios en el desarrollo de soluciones tecnolgicas.
1.1.3 El CGTIC analiz la cartera de proyectos y estableci las
prioridades de ejecucin de los mismos, recomendando al Despacho
de las seoras Contraloras su incorporacin en el PTAC.
1.2 Gestin de la calidad
La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eciencia y mejoramiento
continuo.
1.2.1 Se elabor un manual para la gestin y aseguramiento de la
calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,
el cual ser aplicado a partir del segundo semestre del 2009. Ver
documento NTP8 Marco General para la Gestin de la Calidad en TIC.
1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de
decisiones relacionadas con el mejoramiento continuo, se desarroll e
implement un sistema de informacin dirigido al registro de solicitudes
de servicio y de su solucin, los tiempos empleados y el procedimiento
ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS),
disponible en la Intranet, permite la medicin y el control de calidad,
especialmente en el servicio de soporte tcnico que se brinda en la UTI.
1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo
de sistemas de informacin automatizados y la gua para el desarrollo de
proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante
una mayor participacin de los patrocinadores de proyectos en el
desarrollo y pruebas de las soluciones tecnolgicas. Ver documento
NPT7 Metodologa para el desarrollo de proyectos de TIC.
1.3 Gestin de riesgos
La organizacin debe responder adecuadamente a las amenazas (ver este concepto con
respecto a la denicin , no son solo amenazas) que puedan afectar la gestin de las
TI, mediante una gestin continua de riesgos que est integrada al sistema especco
de valoracin del riesgo institucional y considere el marco normativo que le resulte
aplicable.
1.3.1 Se denieron y valoraron los riesgos de TI integrados a la
valoracin de riesgos institucional, generando un manual de riesgos y
una seleccin de los principales riesgos a considerar. Ver documento
NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la
Gua para desarrollo de soluciones tecnolgicas.
1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.
1.4 Gestin de la seguridad de la informacin
La organizacin debe garantizar, de manera razonable, la condencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin
o modicacin no autorizados, dao o prdida u otros factores disfuncionales. Para
ello debe documentar e implementar una poltica de seguridad de la informacin y
los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa en
relacin con los siguientes aspectos:
1.4.1 La implementacin de un marco de seguridad de la informacin.
La CGR elabor un Marco de Seguridad para su aplicacin en toda la
Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver
documento NTP10_Marco de Seguridad en Tecnologas de Informacin.
1.4.2 El compromiso del personal con la seguridad de la informacin.
Mediante la elaboracin, implementacin y divulgacin del manual
denominado Lineamientos y directrices de seguridad, toda la organizacin
se encuentra comprometida con el tema de la seguridad en general.
En adicin, se han impartido charlas especcas sobre seguridad
al personal, se ha insertado la seguridad va mensajes por correo
electrnico y mediante artculos en el sitio Web del Club de tecnologas
y enviados por e-mail. Ver documento Directrices sobre Seguridad y
Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de
seguridad perimetral que involucra control de acceso electrnico en
reas de seguridad, cmaras para vdeo vigilancia, sensores de humo,
alarma contra incendio, extintores, sistema de supresin de fuego
especializado para equipo de computo registro en cmara y fsico
de ingresos al Centro de Procesamiento de Datos y una ubicacin
estratgica del mismo.
1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad
en las operaciones se da en trminos de la ejecucin de procedimientos
elaborados con el n de asistir al funcionario que realice estas actividades
y la supervisin de las mismas, as como de las comunicaciones. Se
incorporaron certicados digitales en los servicios sensitivos de acceso
al pblico; como declaraciones juradas, acorde con la autenticidad,
integridad y condencialidad de las transacciones que requiere la
CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de
Informacin.
1.4.5 El control de acceso. Mediante un sistema de asignacin
de roles y privilegios en uso, no slo se controla el acceso lgico a
la informacin, sino que tambin se facilita el seguimiento de las
operaciones realizadas por los usuarios de los sistemas de informacin
operando. A lo interno los niveles gerenciales y de jefatura son los que
denen los roles y privilegios que sus funcionarios pueden tener para
acceder a determinada aplicacin; hacia lo externo es el mximo jerarca
de la entidad quien dene estas asignaciones y en ambos casos deben
realizar solicitud formal para que sea aplicada. La asignacin de roles
y privilegios es una funcin que ha venido asumiendo el Centro de
Operaciones de la CGR y en casos muy calicados el Patrocinador del
sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de
Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.6 La seguridad en la implementacin y mantenimiento de software
e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo
de proyectos de TI, la UTI cuenta con un ambiente controlado e
independiente, destinado a la ejecucin de desarrollo de aplicaciones
que aseguren la no interferencia con las operaciones diarias y que
garanticen el cumplimiento de los requerimientos de usuario, un
ambiente para efectos de pruebas de usuario y capacitacin, as como
obviamente el ambiente para sistemas operando.
1.4.7 La continuidad de los servicios de TI. Se desarroll e implement
el Sistema de informacin para la continuidad de los servicios de TI
(SCS), disponible en la Intranet, que permite el registro y actualizacin
de eventos que afecten los servicios, su solucin, su criticidad y su
impacto, recursos, escalabilidad, procedimientos de recuperacin y
responsables.
1.4.8 El acceso a la informacin por parte de terceros y la contratacin
de servicios prestados por stos. Para efectos de acceso a la informacin
por parte de terceros, se requiere de convenios o contratos previamente
establecidos, o de la solicitud del jerarca de una institucin, para la
asignacin de un rol que le facilite la consulta controlada. De igual
manera, aplica para la contratacin de servicios a terceros, en donde
se establecen clusulas especcas sobre la condencialidad de la
informacin. Ver DSUTIC.
1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema
Integrado de Gestin y Documentos (SIGYD). Los documentos se
clasican por tipos documentales y estn disponibles de acuerdo con la
tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios
de informacin se responsabiliza por administrar ecientemente la
documentacin fsica y electrnica. Desde el punto de vista de TI, se
mantiene un estndar de documentacin para proyectos de tecnologa.
1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La
UTI mantiene como poltica la administracin de contratos relacionados
con TI, a travs de los coordinadores; segn especialidad y anidad,
con el objetivo de un control peridico y directo sobre la ejecucin, su
continuidad, rescisin o la resolucin del mismo.

1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit
de Salud Ocupacional que se ocupa permanentemente de este tema y
con el cual se ha coordinado la ergonoma de los puestos de trabajo y
su entorno.
1.5 Gestin de proyectos
La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos,
satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto
ptimos preestablecidos.
1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se
desarrollo. Ver documento NTP7 Metodologa para el desarrollo de
proyectos de TIC.
1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los
proyectos son liderados y administrados por los patrocinadores,
con la asesora e incorporacin de la UTI, quien busca mediante la
coordinacin de proyectos su integracin y la orientacin para satisfacer
las necesidades en cuanto a calidad, tiempo y presupuesto.
1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por
el Despacho de las seoras Contraloras y que se encuentra incorporado
en el PTAC, el cual es un documento viviente que se actualiza de
acuerdo con las nuevas necesidades y disposiciones. Ver minutas de
seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratgicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC
para la toma de decisiones relacionadas con aspectos estratgicos de
tecnologas de informacin, atendiendo sus recomendaciones sobre
prioridad de ejecucin de las inversiones en TI, asignacin de recursos
y ejecucin de proyectos.
1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin
tecnolgica y que se encarga de analizar en primera instancia los
requerimientos de las unidades y que estn relacionados con TI, para
posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,
PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI
La organizacin debe identicar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR,
el cual es de actualizacin permanente en trminos de leyes, normativa,
resoluciones y contratos, entre otros, con el propsito de evitar posibles
conictos legales que lleguen a ocasionar eventuales perjuicios
econmicos y de otra naturaleza a la institucin. Ver documento NTP15
Marco Jurdico en Tecnologas de Informacin.
Captulo II
Planicacin y organizacin
Captulo II
Planicacin y organizacin
Captulo II Planicacin y organizacin
2.1 Planicacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planicacin que logren el balance ptimo entre sus requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes
y emergentes.
2.1.1 El funcionamiento de las TI es centralizado y opera con base al
Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC.
2.1.2 Los coordinadores patrocinadores de proyecto se renen
peridicamente, convocados por la UTI, para compartir avances e
integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio
en el contexto del seguimiento trimestral y la evaluacin semestral y
anual del PAO, en coordinacin con la UTI para establecer los ajustes
que sean necesarios de aprobacin en las instancias superiores. La
comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los
avances en los proyectos a efectos de recomendarle al CGTIC lo que
corresponda. De todo este trabajo se llevan minutas por parte de los
lderes y reportes de avance segn corresponda.
2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y
actualizacin de los planes de TI como apoyo a la gestin de TI.
2.2 Modelo de arquitectura de informacin
La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas
de informacin de manera que se identique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI)
tomando como insumo principal la nueva versin del manual general
de scalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo
MAGEFI y dene el modelo a nivel de insumos, actividades y productos
de los procesos de la CGR. Se continuar con su evolucin integral
alineado al desarrollo de la documentacin de los procedimientos
derivados de estos mismos procesos. El modelo de Arquitectura de
Informacin sirve de base para actualizar el PTAC y ha sido divulgado para
su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura
de informacin y el Manual General de Fiscalizacin (MAGEFI).
2.3 Infraestructura tecnolgica
La organizacin debe tener una perspectiva clara de su direccin y condiciones en
materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinmica y evolucin de las TI.
2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI denido en el PETIC.
Con base en este direccionamiento, anlisis de capacidad de TI, riesgos,
y al monitoreo del entorno, se elabora el presupuesto y se realizan las
compras relacionadas.
2.4 Independencia y recurso humano de la Funcin de TI
El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario
para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suciente,
competente y a la que se le haya denido, de manera clara y formal, su responsabilidad,
autoridad y funciones.
2.4.1 El PETIC garantiza una visin institucional y promueve la
independencia funcional en el desarrollo de soluciones tecnolgicas.
Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su
independencia funcional se ve fortalecida por medio de una participacin
directa del Despacho en distintas comisiones ad hoc enfocadas a la
funcin de TI en la Institucin, por la existencia de una cartera de
proyectos a desarrollar y la existencia del CGTIC.
2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde
con la gestin estratgica de TI. Cada uno de sus integrantes conoce
muy bien sus obligaciones y responsabilidades. Su organizacin es
plana y especializada por reas.
2.4.3 El equipo de trabajo de la UTI es personal muy calicado,
competente, motivado y actualizado de acuerdo con el plan de
capacitacin.
2.5 Administracin de recursos nancieros
La organizacin debe optimizar el uso de los recursos nancieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
2.5.1 El presupuesto de inversiones de la UTI y sus modicaciones,
se deriva del PTAC y es aprobado por el Despacho con base en las
recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento
al PETIC-PTAC.
Captulo III
Implementacin de tecnologas
de informacin
Captulo III
Implementacin de tecnologas
de informacin
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia con su
marco estratgico, planicacin, modelo de arquitectura de informacin e infraestructura
tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justicacin, autorizacin y documentacin de solicitudes
de implementacin o mantenimiento de TI.
3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin
de una cha que de manera simple indique sus alcances, objetivos,
recursos, relaciones, tiempos estimados y factores crticos de xito.
Esta solicitud representada por la cha compite con otros proyectos de
inters de los patrocinadores. El ajuste de soluciones tecnolgicas por
solicitud del patrocinador, requiere de un formulario de requerimientos.
Ver documento NTP7 Metodologa para el desarrollo de proyectos de
TIC.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca
como de las reas usuarias.
3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC;
debidamente aprobada, se establece que el patrocinador de la solucin
tecnolgica debe aportar los recursos necesarios para su desarrollo e
implementacin.
c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales
deben tener una asignacin clara de responsabilidades y aprobar formalmente las
implementaciones realizadas.
3.1.3 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC se obliga al Patrocinador a participar
activamente y con responsabilidades en el desarrollo e implementacin
de la solucin.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de
su autoridad y responsabilidad.
3.1.4 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar
un lder de proyecto con responsabilidades claras en el desarrollo e
implementacin de la solucin. Ver documentos (designacin de
patrocinadores de proyectos a partir del PTAC) en los archivos de la
UTI.
e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos,
operativos y jurdicos, y lineamientos previamente establecidos.
3.1.5 La Metodologa para el desarrollo de proyectos establece como
fase inicial un diagnstico de la solucin con posibles alternativas a
evaluar para tomar la mejor decisin por parte del Patrocinador o bien
el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el
expediente de cada uno.
f. Contar con una denicin clara, completa y oportuna de los requerimientos, como
parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo
un contexto de costo benecio.
3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren
partiendo de requerimientos claros segn se establece en la Metodologa
para el desarrollo de proyectos de TIC, considerando aspectos de
control, seguridad y auditora.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los
recursos econmicos, tcnicos y humanos requeridos.
3.1.7 Con base a la cartera de proyectos y las prioridades establecidas
por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o
asignacin de recursos adicionales de TI, que permitan cumplir con la
ejecucin del PTAC.
h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas
para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan
los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos.
3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos
con el objetivo de administrarlos, para ello la Gua para desarrollo de
proyectos de TI contempla los riesgos ms relevantes en materia de
TI con el n de que sean valorados en cada proyecto. Ver documentos
Informe mensual sobre proyectos PTAC.
i. Promover su independencia de proveedores de hardware, software, instalaciones y
servicios.
3.1.9 Si bien es cierto es sumamente difcil independizarse de
proveedores de hardware y de software en trminos de que siempre
se tendr que acudir a ellos; aunque sea para aplicar actualizacin de
versiones, la CGR ha venido fortaleciendo a su personal de TI para que
en un alto porcentaje se desempee de la forma ms independiente
posible.
3.1.10 Nuestros estudios de capacidad, el anlisis del entorno,
el conocimiento y la capacidad del personal de UTI nos permite
seleccionar objetivamente la solucin tecnolgica ms adecuada para
suplir las necesidades de la CGR.
3.2 Implementacin de software
La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
3.2.1 Aplica prcticamente la totalidad de la norma indicada.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin
y considere la denicin de requerimientos, los estudios de factibilidad, la elaboracin
de diseos, la programacin y pruebas, el desarrollo de la documentacin, la
conversin de datos y la puesta en produccin, as como tambin la evaluacin post
implantacin de la satisfaccin de los requerimientos.
3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para
desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de
acceso al personal a cargo de las labores de implementacin y mantenimiento de
software.
3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se
encuentran productivos y operando, uno para desarrollo de aplicaciones
y otro para capacitacin y pruebas a realizar por los equipos de trabajo
que se encuentran implementando software. La administracin de los
permisos est bajo responsabilidad del administrador de base de datos
(DBA) y del administrador de sistemas operativos en ausencia del DBA,
segn se establece en la Metodologa para desarrollo de proyectos.
d. Controlar la implementacin del software en el ambiente de produccin y garantizar
la integridad de datos y programas en los procesos de conversin y migracin.
3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de
Datos), con base al procedimiento establecido, debe contarse adems
con el Visto Bueno del patrocinador en todas sus fases y la asistencia
del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI.
Que es un DBA
e. Denir los criterios para determinar la procedencia de cambios y accesos de
emergencia al software y datos, y los procedimientos de autorizacin, registro,
supervisin y evaluacin tcnica, operativa y administrativa de los resultados de
esos cambios y accesos.
3.2.5 Generalmente los proveedores de software envan componentes
para actualizar sus productos con nes de cerrar vulnerabilidades o de
optimizar su producto, o se reciben va Internet. Estas actualizaciones son
revisadas, probadas cuando es factible, y aplicadas por los especialistas
en la materia. Respecto al software desarrollado localmente, previamente
se debe validar y probar su adecuada funcionalidad; por parte del Lder
Tcnico y los usuarios, en un ambiente de pruebas ya establecido.
En relacin con los datos, estos deben ser modicados por el usuario
autorizado en el sistema, la UTI no altera datos en sus sistemas.
f. Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.
3.2.6 Esta labor es compartida por el Coordinador de proyectos de
la UTI, por el desarrollador del sistema y por el DBA, apoyndose en
herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.
3.3 Implementacin de Infraestructura tecnolgica
La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de informacin
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI denido en el PETIC.
3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para
la actualizacin de la infraestructura necesaria para soportar el software,
con base a las necesidades que se generan de los diagnsticos para
desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y
del monitoreo del entorno. Ver plan en ejecucin y el proyectado para
el prximo ao, 2010.
3.4 Contratacin de terceros para la implementacin y mantenimiento
de software e infraestructura
La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos,
organizacin, controles y ambientes de trabajo, entre otros.
b. Establecer una poltica relativa a la contratacin de productos de software e
infraestructura.
3.4.2 Producto del plan de capacidad, monitoreo del entorno,
obsolescencia tecnolgica y necesidades de TI, se somete a consideracin
del comit Ad hoc y del CGTIC la contratacin de productos; debidamente
justicados, as como el presupuesto necesario para su aprobacin y
ejecucin, todo con base al plan de compras anual de TI derivado del
PTAC.
c. Contar con la debida justicacin para contratar a terceros la implementacin y
mantenimiento de software e infraestructura tecnolgica.
3.4.3 Para la contratacin se requiere la aprobacin de la jefatura
superior, quien a su vez debe tomar la decisin dependiendo de la
necesidad, la justicacin y el presupuesto disponible.
d. Establecer un procedimiento o gua para la denicin de los trminos de referencia
que incluyan las especicaciones y requisitos o condiciones requeridas o aplicables,
as como para la evaluacin de ofertas.
3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles,
en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos
(ejemplos de compras tpicas).
e. Establecer, vericar y aprobar formalmente los criterios, trminos y conjunto de
pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.
3.4.5 Para toda solucin tecnolgica se establece un documento de
requerimientos que deben satisfacerse para su aprobacin, mediante las
pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento
de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.
f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia
de la organizacin respecto de terceros contratados para la implementacin y
mantenimiento de software e infraestructura tecnolgica.
3.4.6 En toda implementacin por tercerizacin, la UTI promueve
un equipo de trabajo con funcionarios de la Unidad que absorban el
conocimiento de la empresa contratada en esta materia, con nes de
mantener la solucin operando una vez terminado el contrato.
Captulo IV
Prestacin de servicios y
mantenimiento
Captulo IV
Prestacin de servicios y
mantenimiento
Captulo IV Prestacin de servicios y mantenimiento
4.1 Denicin y administracin de acuerdos de servicio
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la
Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo
cual deben documentar y considerar como un criterio de evaluacin del desempeo.
Para ello deben:
a. Tener una comprensin comn sobre: exactitud, oportunidad, condencialidad,
autenticidad, integridad y disponibilidad
b.
c. Contar con una determinacin clara y completa de los servicios y sus atributos, y
analizar su costo y benecio.
d.
e. Denir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.
f.
g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin
de cambios en ellos.
h.
i. Denir los criterios de evaluacin sobre el cumplimiento de los acuerdos.
j.
k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con
terceros.
4.1.1 Se denieron acuerdos de servicio a rmar con las distintas
Gerencias de Divisin, incorporando servicios que faciliten la evaluacin
de la funcin de TI y la delimitacin de responsabilidades hasta su
vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.
4.2 Administracin y operacin de la plataforma tecnolgica
La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y
minimizar su riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados con
la operacin de la plataforma.
4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se
encuentran registrados 221 procedimientos asociados con la operacin
de la plataforma y los responsables por recurso tecnolgico.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la
plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales
fallas.
4.2.2 Se cuenta con herramientas para monitoreo de la capacidad
de TI en sus distintas funcionalidades y a partir de la implementacin
del Sistema de Contingencias se estn registrando electrnicamente
los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de
Capacidad en TI.
c. Identicar eventuales requerimientos presentes y futuros, establecer planes para
su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos
tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de
trabajo y tendencias tecnolgicas.
4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin
de la cartera de proyectos, se inician los procedimientos de contratacin
para la adquisicin de bienes y servicios informticos de acuerdo a la
planicacin de compras generada desde el PTAC e incluidas en el
PAO.
d. Controlar la composicin y cambios de la plataforma y mantener un registro
actualizado de sus componentes (hardware y software), custodiar adecuadamente
las licencias de software y realizar vericaciones fsicas peridicas.
4.2.4 Se mantiene bajo control de la UTI el registro de licencias
adquiridas por la CGR, as como el medio fsico para su instalacin. En
el Sistema de Contingencias se encuentran actualizados los recursos
informticos disponibles en la infraestructura tecnolgica.
4.2.5 Se realiza peridicamente un control de inventarios de software
instalado total o parcial mediante un programa especializado. Ver
reportes electrnicos ms recientes con sus resultados.
e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y
registro.
4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan
mediante cronogramas de trabajo supervisados por los coordinadores
de rea de la UTI; segn su especialidad, y mediante sesiones de
seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas
con corte al 30 de junio de 2009.
f. Mantener separados y controlados los ambientes de desarrollo y produccin.
4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente
separados y controlados.
g. Brindar el soporte requerido a los equipos principales y perifricos.
4.2.8 El soporte requerido se brinda mediante contratos de
mantenimiento preventivo y correctivo, garanta de funcionamiento,
mantenimiento interno y por medio de contratacin directa de un
proveedor si es necesario. Se utilizan como herramientas de apoyo los
sistemas SOS y SCS.
h. Denir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo
en ambientes adecuados, controlar el acceso a dichos medios y establecer
procedimientos de control para los procesos de restauracin.
4.2.9 Se mantiene un plan de actividades para la generacin de
respaldos diarios, semanales y mensuales, y un procedimiento para
custodia interna y externa. Ver procedimientos registrados en el SCS.
i. Controlar los servicios e instalaciones externos.
4.2.10 Mediante la administracin de los contratos y el monitoreo de los
servicios contratados, se controla la buena ejecucin de los servicios e
instalaciones externas.
4.3 Administracin de los datos
La organizacin debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma ntegra y segura.
4.3.1 De acuerdo con los requerimientos de usuario se asegura la
validez de las transacciones mediante funciones tecnolgicas integradas
a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atencin de requerimientos de los usuarios de TI
La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin
de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales
requerimientos de manera ecaz, eciente y oportuna; y dicha atencin debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
4.4.1 La UTI tiene implementado un sistema de control de cambios que
facilita al usuario la solicitud de ajustes o de incorporacin de nuevas
funcionalidades a los sistemas que estn operando en la Institucin y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en lnea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitacin dirigida.
4.5 Manejo de incidentes
La organizacin debe identicar, analizar y resolver de manera oportuna los problemas,
errores e incidentes signicativos que se susciten con las TI. Adems, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
4.5.1 Todo tipo de situacin especial es analizada por funcionarios de
la UTI en aras de lograr la mejor solucin y tratndose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar el
riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de
que se materialice de nuevo.
4.6 Administracin de servicios prestados por terceros
La organizacin debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eciente. Con ese n, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.
4.6.1 Los roles se establecen desde que se inicia el procedimiento de
contratacin y se verican para efectos de establecer responsabilidades
con la confeccin del contrato y la reunin inicial de trabajo con el
proveedor de bienes y servicios de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
4.6.2 En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en clusulas especcas
o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de
contrato.
c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a
calidad, seguridad y seguimiento establecidas por la organizacin.
4.6.3 La UTI mantiene coordinadores por rea funcional que se
encargan de administrar los contratos de sus respectivos proveedores,
asegurando la calidad del producto contratado y su congruencia con
los estndares manuales y lineamientos o directrices institucionales. Ver
asignacin de coordinaciones en expedientes de UTI.
d. Minimizar la dependencia de la organizacin respecto de los servicios contratados
a un tercero.
4.6.4 La UTI logra este objetivo por medio de conformar equipos
de trabajo en donde se incluye la contraparte que absorber los
conocimientos necesarios para la continuidad de la solucin tecnolgica
contratada.
e. Asignar a un responsable con las competencias necesarias que evale peridicamente
la calidad y cumplimiento oportuno de los servicios contratados.
4.6.5 Se conforman grupos anes a la solucin tecnolgica para
que veriquen la calidad del producto contratado y por medio del
administrador del contrato se le da seguimiento al cumplimiento y
calidad del mismo.
Captulo V
Seguimiento
Captulo V
Seguimiento
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la
gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que dena el alcance, la metodologa y los mecanismos para vigilar
la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo
de dicho proceso.
5.1.1 La organizacin cuenta con un marco de referencia que es el
Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Informacin, el Manual General de Fiscalizacin
(MAGEFI) como un marco de procesos, la Auditora Interna como
un elemento de advertencia y asesora y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la funcin de TI;
adems del CGTIC y la comisin Ad hoc.
5.2 Seguimiento y evaluacin del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC
y al PAO, adems de que todos los funcionarios de la institucin se
convierten en controladores de la buena operacin de la tecnologa en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al
cumplimiento del PTAC.
5.3 Participacin de la Auditora Interna
La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la
organizacin proporcione una garanta razonable del cumplimiento de los objetivos en
esa materia.
5.3.1 Esta es una labor que se mantiene muy bien ejecutada por
la Auditora Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno. Ver informes
recientes 2007-2009 y ocios de atencin de recomendaciones.
Productos elaborados
A continuacin se indican los productos elaborados durante la puesta en marcha de
las Normas Tcnicas.
Productos generados durante el proceso
Producto Fecha
NTP0-Diagnstico Inicial Dic. 2007
NTP1-Cronograma de implementacin Ene.2008
NTP2-Plan de Implementacin Ene.2008
NTP3-Evaluacin de riesgos en TI Mar.2008
NTP4-Instrumento metodolgico MAI Jun.2008
NTP5-Diagnstico Inicial MAI Jun.2008
NTP6-Informe de gestin 2008-01 Jul.2008
NTP7-Metodologa para el desarrollo de Proyectos en TI Jul. 2008
NTP8-Marco General para la gestin de calidad en TI Ene.2009
NTP9-Modelo de Arquitectura de informacin Mar.2009
NTP10-Marco de Seguridad en TI May.2009
NTP11-Mapeo Elctrico Jun.2009
NTP12-Plan continuo de capacitacin Jun.2009
NTP13-Plan de la Capacidad en TI Jun.2009
NTP14-Acuerdo de Nivel de Servicio Jun.2009
NTP15-Marco Jurdico en TI Jul.2009
NTP16-Informe de gestin 2009-01 Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contralora General de la Repblica
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirn de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del
Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; as como denir responsables de cada uno de ellos.
Finalmente, garantizar un adecuado seguimiento de la implementacin de estos
productos.
Anexo - NTP0
Diagnostico Inicial
Anexo - NTP0
Diagnostico Inicial
Normas tcnicas para la gestin y control
de las tecnologas de informacin
Diagnstico Inicial
Introduccin
Con base al anlisis grupal realizado por los coordinadores de las diferentes reas
de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las
normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha
que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas.
Cuando las acciones son de ndole normales; es decir operativas, se indica con la
frase: Labor Permanente y no se incluyen en el cronograma.
Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona),
Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores),
Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la
jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y
servicios tecnolgicos.
Este documento es la base para la elaboracin del cronograma plurianual que estar
siendo ejecutado hasta el 30 de junio del 2009.
Captulo I Normas de Aplicacin General
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas
de la organizacin, mediante un proceso continuo de promulgacin y divulgacin
de un marco estratgico constituido por polticas organizacionales que el personal
comprenda y con las que est comprometido.
Situacin actual
Se reformul el campo de accin E.
Se elabor un nuevo Plan Estratgico (PETIC).
Se elabor un Plan Tctico con los proyectos a desarrollar.
Producto
Plan de divulgacin del campo de accin E, PETIC y PTAC.
Acciones
El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
Planicar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.
1.2 Gestin de riesgos
La organizacin debe responder adecuadamente a las amenazas que puedan afectar
la gestin de las TI mediante una gestin continua de riesgos que est integrada al
sistema especco de valoracin del riesgo institucional y considere el marco normativo
que le resulte aplicable.
Situacin actual
Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u ocina responsable
del seguimiento y rectora relacionado con la gestin de riesgos.
Producto
Unicacin de esfuerzos relacionados con la administracin de riesgos que puedan
afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos denido. Se recomienda la creacin de una ocina
rectora que dicte; institucionalmente, las polticas sobre riesgos.
Acciones
Capacitacin a coordinadores de la USTI.
Integrar reas relacionadas (Caso de administracin de planta elctrica y
UPS)
Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.
1.3 Gestin de la calidad
La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eciencia y mejoramiento
continuo.
Situacin actual
Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin
de que el usuario registre su calicacin sobre el servicio brindado para valorar la
gestin de la USTI y el mejoramiento continuo.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y
generacin de mtricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planicar para el mejoramiento continuo de TI.
Acciones
Encuestas de satisfaccin, son permanentes producto del registro que
realiza el usuario. Labor permanente.
Denir parmetros y mtricas para evaluar calidad por cada tipo de servicio.
Aplicacin peridica de mtricas. Labor permanente.
Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de informacin. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.
1.4 Gestin de proyectos
La organizacin debe administrar sus proyectos de TI de manera que logre sus
objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y
presupuesto ptimos preestablecidos.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.
Acciones
Aprobacin de la Gua Metodolgica actualizada.
Fortalecer la administracin de proyectos con los patrocinadores. Labor
permanente.
Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.
1.5 Gestin de la Seguridad de la informacin
La organizacin debe garantizar, de manera razonable, la condencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o
modicacin no autorizados, dao o prdida u otros factores disfuncionales.
Para ello debe documentar e implementar una poltica de seguridad de la informacin
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa
en relacin con los siguientes aspectos:
La implementacin de la seguridad de la informacin.
El compromiso del personal con la seguridad de la informacin.
La seguridad fsica y ambiental.
La seguridad en la operacin y comunicacin.
El control de acceso.
La seguridad en la implementacin y mantenimiento de software e
infraestructura tecnolgica.
La continuidad de los servicios de TI.
Adems debe establecer las medidas de seguridad relacionadas con:
El acceso a la informacin por parte de terceros y la contratacin de servicios
prestados por stos.
El manejo de la documentacin.
La terminacin normal de contratos, su rescisin o resolucin.
La salud y seguridad del personal.
Las medidas o mecanismos de proteccin que se establezcan deben mantener una
proporcin razonable entre su costo y los riesgos asociados.
Situacin actual
La informacin se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso
del personal y de terceros, as como sobre la implementacin de software, y en el
manejo de la comunicacin.
Producto
Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.
Acciones
Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero,
cpsulas tecnolgicas)
1.5.1 Implementacin de la seguridad de la informacin
La organizacin debe implementar un marco de seguridad de la informacin, para lo
cual debe:
a. Establecer un marco metodolgico que incluya la clasicacin de los
recursos de TI, segn su criticidad, la identicacin y evaluacin de riesgos,
la elaboracin e implementacin de un plan para el establecimiento de
medidas de seguridad, la evaluacin peridica del impacto de esas medidas
y la ejecucin de procesos de concienciacin y capacitacin del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y,
denir y ejecutar peridicamente acciones para su actualizacin.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organizacin como de terceros relacionados.
Situacin actual
Se tienen los recursos clasicados por criticidad, as como una evaluacin de riesgos, y
un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitacin del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas
de seguridad en tecnologas de informacin, y plan de capacitacin institucional
actualizados.
Acciones
Actualizar los niveles de criticidad por recurso de TI.
Actualizar plan de implementacin de las medidas de seguridad.
Actualizar plan de capacitacin interna en seguridad.
Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.
1.5.2 Compromiso del personal con la seguridad de la informacin
El personal de la organizacin debe conocer y estar comprometido con las regulaciones
sobre seguridad y condencialidad con el n de reducir los riesgos de error humano,
robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades en
materia de seguridad, condencialidad y riesgos asociados con el uso de
las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.
c. Establecer, cuando corresponda, acuerdos de condencialidad y medidas
de seguridad especcas relacionadas con el manejo de la documentacin
y rescisin de contratos.
Situacin actual
Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est
planicando la divulgacin de su reciente actualizacin aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el
personal.
Acciones
Plan de divulgacin.
Impartir charlas.
1.5.3 Seguridad fsica y ambiental
La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico
seguro y controlado, con medidas de proteccin sucientemente fundamentadas en
polticas vigentes y anlisis de riesgos.
Como parte de esa proteccin debe considerar:
a. Los controles de acceso a las instalaciones: seguridad perimetral,
mecanismos de control de acceso a recintos o reas de trabajo, proteccin
de ocinas, separacin adecuada de reas.
b. La ubicacin fsica segura de los recursos de TI.
c. El ingreso y salida de equipos de la organizacin.
d. El debido control de los servicios de mantenimiento.
e. Los controles para el desecho y reutilizacin de recursos de TI.
f. La continuidad, seguridad y control del suministro de energa elctrica y del
cableado de datos
g. El acceso de terceros.
h. Los riesgos asociados con el ambiente.
Situacin actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica
y unidades de poder para suministro de energa elctrica constante, y la denicin de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicacin de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
Documentar los procedimientos y controles.
Denir plan de accin.
1.5.4 Seguridad en la operacin y comunicacin
La organizacin debe implementar las medidas de seguridad relacionadas con la
operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y
proteger la integridad del software y de la informacin.
Para ello debe:
a. Implementar los mecanismos de control que permitan asegurar la no
negacin, la autenticidad, la integridad y la condencialidad de las
transacciones y la transferencia o intercambio de informacin.
b. Establecer procedimientos para proteger la informacin almacenada en
cualquier tipo de medio jo o removible (papel, cintas, discos, otros medios),
incluso los relativos al manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a
software malicioso o virus.
Situacin actual
Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas
con la puesta en marcha de la rma digital en coordinacin con el Banco Central. Se
tienen procedimientos para la proteccin de la informacin almacenada en los medios
magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus.

Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
Continuar con la gestin que se viene realizando al respecto.
Implementar rma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso
La organizacin debe proteger la informacin de accesos no autorizados.
Para dicho propsito debe:
a. Establecer un conjunto de polticas, reglas y procedimientos relacionados
con el acceso a la informacin, al software de base y de aplicacin, a las
bases de datos y a las terminales y otros recursos de comunicacin.
b. Clasicar los recursos de TI en forma explcita, formal y uniforme de acuerdo
con trminos de sensibilidad.
c. Denir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la denicin de perles, roles y niveles
de privilegio, y para la identicacin y autenticacin para el acceso a la
informacin, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las polticas de la organizacin bajo el principio de
necesidad de saber o menor privilegio. Los propietarios de la informacin
son responsables de denir quines tienen acceso a la informacin y con
qu limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticacin (identicacin de
usuario, contraseas y otros medios) que permitan identicar y responsabilizar
a quienes utilizan los recursos de TI. Ello debe acompaarse de un
procedimiento que contemple la requisicin, aprobacin, establecimiento,
suspensin y desactivacin de tales medios de autenticacin, as como
para su revisin y actualizacin peridica y atencin de usos irregulares.
g. Establecer controles de acceso a la informacin impresa, visible en pantallas
o almacenada en medios fsicos y proteger adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditora) que permitan
un adecuado y peridico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la informacin sobre la
seguridad de las TI.
Situacin actual
Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y
fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignacin de roles con sus
niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la
informacin.
Producto
Procedimientos y poltica de acceso a la informacin, actualizados.
Acciones
Centro de Operaciones con el control de roles y asignacin de passwords.
Ocializar responsables de la informacin (Sistemas).
Actualizar procedimientos de acceso a la informacin.
Activar Log Miner como herramienta para anlisis de manipulacin de datos
y modicaciones a programas fuente.
1.5.6 Seguridad en la implementacin y mantenimiento de software e
infraestructura tecnolgica
La organizacin debe mantener la integridad de los procesos de implementacin
y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no
autorizado, dao o prdida de informacin.
Para ello debe:
a. Establecer obligatoriamente la denicin previa de requerimientos de
seguridad que deben ser implementados como parte del software e
infraestructura.
b. Contar con procedimientos claramente denidos para el mantenimiento y
puesta en produccin del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los
ambientes de desarrollo o mantenimiento y de produccin.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situacin actual
Se tienen ms de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los prximos tres aos, as como ambientes separados para los
ambientes de desarrollo y produccin, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
Revisar documentacin, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI
La organizacin debe mantener una continuidad razonable de sus procesos y su
interrupcin no debe afectar signicativamente a sus usuarios. Como parte de ese
esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasicacin
de sus recursos de TI segn su criticidad.
Situacin actual
Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y denir los esquemas de continuidad.
Producto
Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos
documentados.
Acciones
Mantener procedimientos actualizados y funcionales. Labor permanente.
Documentar eventos preventivos y correctivos, y cambios a la plataforma.
Denir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratgicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
Situacin actual
Se tiene un CGTIC que es convocado peridicamente.
Producto
Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.
Acciones
Convocar peridicamente al CGTIC.
La organizacin debe identicar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
Situacin actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, as como restricciones tcnicas para el uso de software no licenciado.
Producto
Marco Jurdico con incidencia en TI disponible y actualizado.
Acciones
ptima gestin de contratos. Labor permanente.
Uso institucional de slo las licencias contratadas. Labor permanente.
Captulo II Planicacin y Organizacin
2.1 Planicacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planicacin que logren el balance ptimo entre sus
requerimientos, su capacidad presupuestaria y las oportunidades que brindan las
tecnologas existentes y emergentes.
Situacin actual
Se tienen planes muy bien denidos que facilitan la planicacin.
Producto
PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.
Acciones
Mantener actualizados los planes. Labor permanente.
2.2 Modelo de arquitectura de informacin
La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de
informacin de manera que se identique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
Situacin actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
informacin, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.
Producto
Arquitectura de Informacin actualizada
Acciones
Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
Denir ujos de informacin.
Documentar las reglas de sintaxis de los datos.
Actualizar diccionario de datos con reglas de sintaxis.
Actualizar Arquitectura de Informacin.
Situacin actual
Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnolgica optimizada y actualizada.
Acciones
Mantener actualizada la infraestructura. Labor permanente.
2.4 Independencia y recurso humano de la Funcin de TI
El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas.
Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con
una fuerza de trabajo motivada, suciente, competente y a la que se le haya denido,
de manera clara y formal, su responsabilidad, autoridad y funciones.
Situacin actual
Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
Denir independencia funcional de la USTI. Mantener independencia.
Ejecutar el plan de capacitacin. (DNC). Labor permanente.
2.5 Administracin de recursos nancieros
La organizacin debe optimizar el uso de los recursos nancieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
Situacin actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus
recomendaciones someterlo a la aprobacin del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
Someter el plan de inversiones a la aprobacin del Despacho por
recomendacin del CGTIC.
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia
con su marco estratgico, planicacin, modelo de arquitectura de informacin e
infraestructura tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justicacin, autorizacin y documentacin de
solicitudes de la implementacin o mantenimiento de TI.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por
parte de las reas usuarias como del jerarca.
c. Garantizar la participacin activa de las unidades o reas usuarias, las
cuales deben tener una asignacin clara de responsabilidades y aprobar
formalmente las implementaciones realizadas.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y
documentada de su autoridad y responsabilidad.
e. Analizar alternativas de solucin de acuerdo con criterios tcnicos,
econmicos, operativos y jurdicos, y lineamientos previamente establecidos.
f. Contar con una denicin clara, completa y oportuna de los requerimientos,
como parte de los cuales debe incorporar aspectos de control, seguridad y
auditora bajo un contexto de costo benecio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de
los recursos econmicos, tcnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementacin que incluyan todas
las medidas para minimizar el riesgo de que los proyectos no logren sus
objetivos, no satisfagan los requerimientos o no cumplan con los trminos
de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software,
instalaciones y servicios.
Situacin actual
Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.
Producto
Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.
Acciones
Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor
permanente.
Participacin muy activa de los patrocinadores. Labor permanente.
Capacitacin de funcionarios de USTI. Labor permanente.
La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de
implementacin y considere la denicin de requerimientos, los estudios
de factibilidad, la elaboracin de diseos, la programacin y pruebas,
el desarrollo de la documentacin, la conversin de datos y la puesta
en produccin, as como tambin la evaluacin post-implantacin de la
satisfaccin de requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y
permisos de acceso al personal a cargo de las labores de implementacin
y mantenimiento de software.
d. Controlar la implementacin del software en el ambiente de produccin y
garantizar la integridad de datos y programas en los procesos de conversin
y migracin.
e. Denir los criterios para determinar la procedencia de cambios y accesos
de emergencia al software y datos, y los procedimientos de autorizacin,
registro, supervisin y evaluacin tcnica, operativa y administrativa de los
resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como
parte de su mantenimiento.
Situacin actual
Se cuenta con ambientes de pruebas y produccin muy bien denidos, procedimientos
de instalacin de software y control de versiones, migracin de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institucin.
Acciones
Revisar y documentar los criterios de aplicacin de cambios.
3.3 Implementacin de infraestructura tecnolgica
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
Situacin actual
La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las
tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnolgica ptima y actualizada.
Acciones
Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de informacin institucional, incluye plan vivo de actualizacin
y compras. Labor permanente.
3.4 Implementacin de software e infraestructura contratada a terceros
La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
b. Establecer una poltica relativa a la contratacin de productos de software
e infraestructura.
c. Contar con la debida justicacin para contratar a terceros.
d. Establecer un procedimiento o gua para la denicin de los trminos de
referencia que incluyan las especicaciones y requisitos o condiciones
requeridas o aplicables, as como para la evaluacin de ofertas.
e. Establecer, vericar y aprobar formalmente los criterios, trminos y conjunto
de pruebas de aceptacin de lo contratado; sean instalaciones, hardware
o software.
f. Implementar un proceso de transferencia tecnolgica que minimice la
dependencia del tercero que presta el servicio.
Situacin actual
Para la contratacin de los bienes y servicios de TI se consideran las ltimas
especicaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnolgica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener poltica para contratacin de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnologa adquirida. Todas son labores permanentes.
j.
Captulo IV Prestacin de servicios y mantenimiento
4.1 Denicin y administracin de acuerdos de servicios
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades.
El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus
atributos, lo cual deben documentar y considerar como un criterio de evaluacin del
desempeo. Para ello deben:
a. Tener una comprensin comn sobre: exactitud, oportunidad,
condencialidad, autenticidad, integridad y disponibilidad.
b. Contar con una determinacin clara y completa de los servicios y sus
atributos, y analizar su costo y benecio.
c. Denir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.
d. Establecer los procedimientos para la formalizacin de los acuerdos y la
incorporacin de cambios en ellos.
e. Denir los criterios de evaluacin sobre el cumplimiento de los acuerdos.
f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos
con terceros.
Situacin actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, condencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluacin que se estara
realizando para cada servicio.
Producto
Polticas aplicadas en la contratacin de terceros.
Acciones
Actualizacin de polticas en los contratos que se celebren.
Documentar acuerdos de servicio y forma de evaluacin.
La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones,
minimizar su riesgo de fallas y proteger la integridad del software y de la informacin.
Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades
asociados con la operacin de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso
de la plataforma, asegurar su correcta operacin, mantener un registro de sus
eventuales fallas, identicar eventuales requerimientos presentes y futuros,
establecer planes para su satisfaccin, garantizar la oportuna adquisicin
de recursos de TI requeridos tomando en cuenta la obsolescencia de la
plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.
c. Controlar la composicin y cambios de la plataforma y mantener un
registro actualizado de sus componentes (hardware y software), custodiar
adecuadamente las licencias de software y realizar vericaciones fsicas
peridicas.
d. Controlar la ejecucin de los trabajos mediante su programacin, supervisin
y registro.
e. Mantener separados y controlados los ambientes de desarrollo y produccin.
f. Brindar el soporte requerido a los equipos principales y perifricos.
g. Controlar los servicios e instalaciones externos.
h. Denir formalmente y efectuar rutinas de respaldo, custodiar los medios
de respaldo en ambientes adecuados, controlar el acceso a dichos medios
y establecer procedimientos de control para los procesos de restauracin.
Situacin actual
Se tienen documentados todos los procedimientos para el mantenimiento de la
plataforma tecnolgica, excepto la solucin telefnica que se tiene parcial. La
plataforma est siendo monitoreada constantemente y con base a su comportamiento
se ana, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los
componentes, ambiente separados para desarrollo y produccin, rutinas y polticas de
respaldo, y control sobre la ejecucin de trabajos.
Producto
Diagnstico anual sobre la capacidad de las tecnologas en uso y el crecimiento
proyectado.
Acciones
Planicar y ejecutar un anlisis anual de capacidad en TI.
Mantener procedimientos documentados y operativos. (Solucin telefnica)
Efectuar gestin de tecnologas ecientemente. Todas son labores
permanentes.
4.3 Administracin de los datos
La organizacin debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma ntegra y segura.
Situacin actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada
una de las unidades relacionadas con los sistemas. Es necesario denir una poltica
para desechar datos, de comn acuerdo con los patrocinadores de los sistemas,
vericando la existencia de los procedimientos adecuados.
Producto
Sistemas de informacin actualizados mediante procedimientos ociales.
Acciones
Denir poltica para desechar datos, asegurando la existencia de
procedimientos ociales para la actualizacin de sistemas de informacin.
Mantener la bitcora para registro y control de acceso activa.
Utilizar la herramienta de software Log Miner para anlisis de bitcoras.
4.4 Asistencia y asesoramiento a los usuarios de TI
La organizacin debe resolver en forma centralizada, oportuna y eciente las
necesidades que enfrente el usuario al utilizar las TI. Su atencin debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
Situacin actual
Se imparte capacitacin para un mejor aprovechamiento de los sistemas en uso, y se
capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de
informacin.
Acciones
Continuar con la capacitacin a usuarios en el uso de los sistemas.
Fortalecer cultura en TICs va charlas, cpsulas tecnolgicas y cursos.
Labor permanente.
La organizacin debe identicar, analizar y resolver de manera oportuna los problemas,
errores e incidentes signicativos que se susciten con las TI. Adems, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
Situacin actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento
para la mejora continua.
Producto
Mantener el registro y documentacin de incidentes actualizado.
Acciones
Continuar con la resolucin de incidentes cada vez que se presenten,
manteniendo un registro documentado de los mismos para minimizar el
riesgo de incidencia y fortalecer los conocimientos. Labor permanente.
La organizacin debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eciente. Con ese n, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios
de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con sus polticas
relativas a calidad, seguridad y seguimiento.
d. Asignar a un responsable con las competencias necesarias que evale
peridicamente la calidad y cumplimiento oportuno de los servicios
contratados.
Situacin actual
Los contratos son administrados; segn rea de trabajo, por los coordinadores
respectivos.
Producto
Administracin de contratos con nfasis en clusulas sobre responsabilidades, claras
y aplicables.
Acciones
Mantener la administracin efectiva de contratos, va coordinadores.
Captulo V Seguimiento
La organizacin debe asegurar el logro de los objetivos propuestos como parte de
la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso
de seguimiento en los que dena el alcance, la metodologa y los mecanismos para
vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal
a cargo de dicho proceso.
Situacin actual
Se tiene un marco de referencia clara, siendo necesaria la denicin del proceso
de seguimiento para vigilar la gestin de TI. Se propone una rendicin de cuentas
peridica.
Producto
PETIC, PTAC, Compromisos de Gestin y PAO totalmente alineados.
Acciones
Rendicin de cuentas peridica ante el CGTICS. Labor permanente.
5.2 Seguimiento y evaluacin del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
Situacin actual
El sistema de control interno se aplica sobre la gestin de TI, y se aplican medidas
correctivas en funcin de las excepciones que se presenten.
Producto
Gestin de control interno en TICs asociado al sistema institucional.
Acciones
Mantener la gestin de TI asociada al sistema institucional. Labor
permanente.
5.3 Participacin de la Auditora Interna
La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de
la organizacin proporcione una garanta razonable del cumplimiento de los objetivos
en esa materia.
Situacin actual
Se solicita asesora a la AI cada vez que se considera de provecho para el desarrollo y
ejecucin de proyectos.
Producto
Auditora interna con amplios conocimientos sobre la gestin de TI
Acciones
Participacin consultora de la Auditora Interna en desarrollos de TI. Labor
permanente.
Conclusin
De acuerdo con los anlisis realizados, es totalmente viable y factible cumplir con
la normativa en el plazo establecido, siendo la actualizacin del modelo para la
Arquitectura de Informacin la actividad ms larga del proyecto y de nalizacin en el
2009.
Las fechas recomendadas estaran inuyendo en el desarrollo de sistemas y otros
proyectos de TI. Es urgente la denicin de prioridades en el desarrollo de sistemas
por parte del CGTIC.
Anexo - NTP2
Cronograma de Implementacin
Anexo - NTP2
Cronograma de Implementacin
Apndice #3 Cronograma estimado par al ejecucin del plan de implementacin
El siguiente cronograma muestra los plazos estimados de las actividades generales que permitirn obtener un nivel de cumplimiento razonable con las
normas tcnicas. Este instrumento detalla solamente las normas para las cuales la Comisin consider aplicar esfuerzos de mejoramiento.
Cronograma de implementacin de Normas Tcnicas TI
Acciones a realizar por cada norma 2008 2009
I Semestre II Semestre I Semestre
Plan de divulgacin PETIC y PTAC, Campo E.
1.2 Gestin de Riesgos
Definicin de riesgos tecnolgicos e institucionales
Valorar y actualizar los riesgos TIC
1.3 Gestin de la Calidad
Elaborar el manual de gestin de calidad
Desarrollar el sistema de registro, medicin y control
1.4 Gestin de Proyectos
Adaptar y aplicar la gua metodolgica
1.5 Gestin de la Seguridad
Aplicar las directrices de seguridad
Desarrollar directrices de seguridad complementarias
Divulgar el marco de seguridad de TIC
Coordinar las directrices con la valoracin de riesgos
1.6 Decisiones sobre asuntos estratgicos
Dar seguimiento al marco jurdico de TI
2.1 Planificacin de las tecnologas de informacin
Validar el plan tctico con el CGTIC
2.2 Modelo Arquitectura de Informacin
Desarrollar el modelo de arquitectura
Dar seguimiento al entorno tecnolgico
2.4 Independencia y recurso humano TIC
Integrar servicios y funciones de TIC
2.5 Administracin de recursos financieros
Aprobar el plan de inversiones (CGTIC)
3.1 Implementacin de TI
Aplicar gua metodolgica para proyectos
Capacitar en gestin de proyectos
Aplicar gua metodolgica para proyectos de desarrollo de sistemas
Revisar y documentar los criterios de aplicacin
3.3 Implementacin de la infraestructura tecnolgica
Dar seguimiento al entorno tecnolgico
3.4 Implementacin de software e infraestructura contratada a terceros
Agregar procedimientos de outsourcing a la gua de proyectos
Actualizar la poltica para contratacin
4.1 Definicin y administracin de acuerdos de servicio
Elaborar y actualizar el catlogo de servicios
Desarrollar diagnstico de capacidad
4.3 Administracin de los Datos
Elaborar procedimientos de procesamiento de transacciones
Implementar sistema de contingencias
4.4 Asistencia y asesoramiento a los usuarios de TI
Implementar plan de capacitacin de TI
Establecer la funcin de atencin de usuarios centralizada
Implantar los procedimientos para atencin usuarios
Mejorar los criterios de significancia
Agregar procedimientos de outsourcing a la gua de proyectos
Actualizar la poltica para contratacin
5.2 Seguimiento y evaluacin de control interno
Revisar y mejorar continuamente el CI
5.3 Participacin de la auditoria interna
Aprovechar oportunidades de asesora
Programar auditorias de TI
Anexo - NTP3
Evaluacin de Riesgos en
Tecnologas de Informacin
Anexo - NTP3
Evaluacin de Riesgos en
Tecnologas de Informacin
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de
proyectos, la proyeccin de la formacin y perl del personal de la CGR en los temas
tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado
con los objetivos de la institucin.
En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organizacin y en los grupos externos de scalizacin.
Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento
en red; conectadas con bra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupacin total cercana al 70% de su espacio total.
Adems, dispone de servidores para la ejecucin de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la insercin tecnolgica deseada.
Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de informacin automatizados, correo
electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnolgicas
en la gestin de la scalizacin.
Adems, se utiliza software especializado para administrar el ancho de banda y
ltrar el acceso a Internet, software de antivirus, administrador de las direcciones del
protocolo de Internet (IP), la administracin del rewall, los certicados privados, un
administrador de proyectos, software para registro de atencin de averas, el directorio
activo de todos los funcionarios de la CGR, la administracin de la central telefnica, el
software de capacitacin en lnea, y la vigilancia de la seguridad de las instalaciones.
Lo anterior, representa una base tecnolgica que requiere ser complementada con
software especializado para la scalizacin, y software colaborativo; entre otros, que
permitan una scalizacin ampliamente soportada en tecnologa de punta.
Finalmente, se cuenta con varios sistemas de informacin que soportan tanto las
tareas sustantivas como las de apoyo al nivel institucional; considerndose algunos
como muy crticos.
Modelo de anlisis de riesgos
Contexto estratgico
La CGR es un rgano de control de la Asamblea Legislativa y tiene bajo su scalizacin
472 instituciones pblicas, ms Juntas de Educacin, Asociaciones, y empresas
privadas que administren fondos pblicos, para que con base en los estudios realizados
se le permita a la ciudadana conocer, acerca de cmo sus gobernantes y funcionarios
pblicos estn utilizando los recursos que se les asignaron. Presupuestariamente
depende de un presupuesto aprobado por la Asamblea Legislativa.
Para transparentar la gestin pblica se basa en su ley orgnica, la ley de control
interno, en el sistema para evaluacin de riesgos, en resoluciones de cumplimiento
obligatorio, y en normas tcnicas sobre la gestin en tecnologas de informacin
comunicacin.
La clientela de la CGR la conforma prcticamente todo el pas: ciudadana, proveedores,
instituciones, empresas, y organismos internacionales; los cuales confan en la gestin
que lleva a cabo la Contralora para garantizarle a la ciudadana el buen manejo de la
Hacienda Pblica.
Adems de la transparencia hacia la ciudadana sobre la gestin de los funcionarios
pblicos, tambin es muy importante mantener el control poltico con el objetivo de
evaluar cualquier situacin que pueda afectar la estrategia.
Otro aspecto que es de importancia para la CGR es la imagen que se pueda reejar
a la ciudadana, con el objetivo de mantener y mejorar la conanza que se tiene en la
institucin como garante de la Hacienda Pblica.
Para dar cumplimiento al propsito de fortalecer el buen gobierno, todos los funcionarios
deben tener presentes aspectos importantes de nuestra gestin, como los siguientes:

Clasicacin de las instituciones pblicas con base en factores de riesgo.
Esto signica que el monto del presupuesto no va a ser la nica variable para
determinar hacia dnde dirigir la scalizacin, sino que tambin interesa
la calidad de la administracin y sus rganos de decisin, de la auditora
interna, la contratacin, la planicacin, las variables nancieras y otras.
Es necesario que denamos un conjunto de variables y no busquemos el
sistema perfecto para identicar las entidades de ms riesgo y a partir de
ah denir a dnde vamos a ir y qu vamos a hacer. Esto tambin signica
que no solo la institucin est clara hacia donde vamos, sino que los que
estn en el entorno tambin lo tengan claro, ya que lo ms operativo lo
debern asumir las auditoras internas y el mismo sistema de control de
cada institucin.
Aplicacin de los temas estratgicos para la scalizacin, segn las
particularidades de las reas de scalizacin y los resultados de la
clasicacin anterior, es decir, cada rea deber dedicarse prioritariamente
a algunos de los temas aqu planteados, no necesariamente a todos.
Seguimiento de disposiciones como elemento esencial para ir midiendo el
impacto de nuestra gestin.
Elaboracin de indicadores sencillos para medir los resultados propuestos
en el plan de trabajo.
Ejecucin efectiva de la agenda de mejoras internas, ya que los proyectos
que se denan darn el salto cualitativo que la institucin requiere para
tener un nivel mayor de incidencia en la gestin de las administraciones
pblicas.
Recurso humano y tecnologa. En relacin con las personas, stas deben
ser capaces, si existe una brecha frente a las necesidades de los procesos
de trabajo, esta debe cerrarse por medio de capacitacin u otras acciones
que les permitan desarrollar mejor sus competencias. El gerente tiene
una responsabilidad importante en materia de recurso humano, tiene una
responsabilidad en forma directa e inmediata en su manejo, buscando el
equilibrio para lograr un desarrollo integral de la gente y hacer converger
los objetivos de las personas con los de la institucin. Por su parte, la
tecnologa es fundamental para apoyar el trabajo no solo en la simplicacin
sino tambin siendo utilizada para almacenar y proporcionar informacin
que apoye la toma de decisiones.
Medicin del desempeo en funcin de resultados. Hay que darle un cambio
a la evaluacin del desempeo. Debe verse como una retroalimentacin.
Esta debe asociarse al logro de los objetivos de la unidad, ms los
compromisos personales. Es una evaluacin asociada con resultados de
proyectos tangibles.
Estos lineamientos contribuirn a la organizacin del trabajo y a la formulacin de los
planes de trabajo operativos de los prximos aos de las diferentes Divisiones, reas
y Unidades de la Contralora General, base fundamental sobre la cual, rendiremos
cuentas a la ciudadana.
De acuerdo con sanas prcticas de gestin, todo plan institucional en la Contralora
General, debe estar directamente relacionado con los objetivos estratgicos, estrategias,
factores clave de xito y las orientaciones del Plan Estratgico Institucional 2008-
2012, de ah que el plan estratgico en tecnologas de informacin y comunicacin
(PETIC) no es una excepcin, en este sentido, la gestin institucional de tecnologas de
informacin y comunicacin para el perodo 2008-2012, se debe realizar de acuerdo
con las siguientes orientaciones estratgicas:
a. Control como medio y no como n
b. No afectacin del inters pblico
c. No coadministrar
d. Mayor proactividad, presencia, impacto y oportunidad
e. Enfoque preventivo
f. nfasis en los resultados de la gestin pblica
g. Fiscalizacin y control sobre una base costo-benecio
h. Aplicacin de procesos con base en el Manual General de la Fiscalizacin
Integral
i. Cultura de medicin continua de la gestin
j. Mejora continua que fortalezca la autocrtica constructiva
Con base a las orientaciones estratgicas se pueden observar posibles riesgos
nancieros, sociales, operativos, tcnicos, legales, y humanos, sobre los cuales vamos
a estar trabajando en el presente anlisis y valoracin de riesgos, siempre que estn
relacionados con tecnologas de informacin.
Factores claves de xito
El cumplimiento de la estrategia institucional 2008-2012 est en funcin de lograr la
articulacin de esfuerzos institucionales alrededor de los siguientes elementos:
a. Desarrollo de las competencias de los funcionarios ajustadas a los
requerimientos de la CGR para enfrentar el entorno
b. Aprovechamiento de las tecnologas de informacin en las scalizacin y la
toma de decisiones
c. Integracin institucional que facilite la toma de decisiones y la consistencia
de los productos de scalizacin.
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que scaliza el uso
de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al
control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin
y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a
efecto de implementar la visin y misin institucionales:
Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo
diario.
Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus
derechos y deberes.
Integridad: Es realizar todas las acciones con rectitud.
Compromiso: Es sentirse identicado con la Contralora General y as dar el
mximo esfuerzo.
La CGR tiene cuatro macro procesos:
a. Fiscalizacin Integral
b. Gobierno Corporativo
c. Gestin del Conocimiento
d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro
procesos:
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Insercin Tecnolgica
Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales
estn expuestos, y el nivel de exposicin de los mismos.
La Unidad de Tecnologa de Informacin (UTI)
El Reglamento Orgnico de la Contralora General de la Repblica, emitido mediante
resolucin No. R-CO-34-2009 del 22 de mayo de 2009, en su Captulo II, Seccin
CUARTA, artculo 26, establece con respecto a la Unidad Tecnologas de Informacin:
Es la unidad encargada de implementar, desarrollar y evolucionar soluciones
tecnolgicas y de comunicacin, para apoyar y facilitar la ejecucin de los procesos
internos Para ello lidera el proceso de gestin de tecnologas de informacin y
comunicacin y participa del proceso de asesora interna en materia de su competencia.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato
a la informacin, con ecientes herramientas tecnolgicas de apoyo para realizar
scalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin
pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen
Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de
informacin y comunicacin para fortalecer la scalizacin superior, la transparencia,
la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada
en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI:
a. Contar con una infraestructura de Tecnologas de Informacin y
Comunicaciones (TICs) estable y adecuada a las necesidades de la
Institucin y del pas.
b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales,
integrada a procesos y actividades, y puesta al servicio de los usuarios
internos y externos.
c. Desarrollar la infoestructura de soluciones y servicios denidos y priorizados
en el Plan Institucional, en aras de impulsar la eciencia, la ecacia, la
transparencia, la participacin ciudadana y el combatir de la corrupcin.
d. Fortalecer el Gobierno Electrnico mediante transparentar la gestin pblica,
la simplicacin de procesos, la generacin de trmites electrnicos y la
participacin ciudadana.
e. Coordinar con el Centro de Capacitacin, la capacitacin de los funcionarios
de la Contralora General de la Repblica y de otras instituciones para mejor
uso y aprovechamiento de las TICs.
f. Mantener una organizacin actualizada con las tendencias modernas
de tecnologas de informacin y comunicaciones (TICs), y con los
requerimientos de informacin y tecnologa de la institucin.
Contexto de la administracin de riesgos
La administracin de riesgos se lleva a cabo considerando los procesos de USTI que
estn relacionados con las tecnologas de informacin y la Plan Estratgico 2008
2012, a efectos de establecer y fortalecimiento los controles necesarios en aquellos
que as lo requieran. En la identicacin de riesgos se consideran los efectos que
una mala gestin pueda tener en la imagen de la CGR, las prdidas producto de
inversiones que no generen rditos, y las orientaciones estratgicas.
En los anexos 1 y 2 se presentan los riesgos relacionados con los objetivos del Plan
Estratgico Institucional 2008-2012 y con los objetivos del Plan Tctico Institucional
2009-2011; riesgos que constituyen el fundamento para la valoracin de riesgos a nivel
operativo, y que estarn siendo aplicados y revisados en el contexto de la ejecucin y
seguimiento del PAO 2009 y de la formulacin detallada del PAO 2010.
La evaluacin de riesgos se llevar a cabo sobre los procesos de la USTI: Infraestructura,
Seguridad y Control, Suministro de Servicios, e Insercin tecnolgica, basados en
COBIT.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante denir claramente el marco de trabajo que ser utilizado para la gestin
de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestin de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institucin, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operacin tecnolgica
ms estable y conable.
La estrategia para la administracin de los riesgos est basada en los siguientes
aspectos:
Utilizar los sub procesos de COBIT por gua y referencia para la identicacin
de riesgos de gestin.
Complementar la identicacin de riesgos basndose en los procesos de la
Unidad, esto para identicar riesgos operativos.
Utilizar escalas de calicacin de los riesgos (impacto, probabilidad,
exposicin) de acuerdo con modelos internaciones.
El alcance de este ejercicio de anlisis de riesgos comprende lo siguiente:
Actividades de gestin de la UTI las cuales estn a cargo de la jefatura y de
los coordinadores.
Procesos de la UTI que incluyen las operaciones continuas y el desarrollo
de proyectos
Proyectos tecnolgicos de trascendencia institucional lo cuales inuyen en
la imagen que se proyecta a la ciudadana.
Riesgos relacionados con el recurso ms importante de la organizacin: el
recurso humano.
Criterios de evaluacin de riesgos
Para la evaluacin de riesgos se utilizarn, como valores primarios, la calicacin de
impacto y probabilidad de cada riesgo. Para ambos casos se utilizarn tablas de 5
valores con las equivalencias que se sealan a continuacin. A partir de esos valores
se calcular el nivel de exposicin y la severidad de los riesgos representndolos en el
mapa trmico.
Para clasicar los riesgos se utilizarn 5 categoras asociadas con el origen del riesgo.
Se utilizarn criterios de referencia especcos para cada categora con el propsito de
de facilitar la evaluacin de impacto para cada riesgo.
Calicacin de la probabilidad
Para la calicar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
Probabilidad
P Signicado
5 Casi seguro
4 Muy probable
3 Probable
2 Poco probable
1 Raro
Calicacin del impacto
Para calicar el impacto se utilizar una tabla general de referencia con 5 valores;
adicionalmente se utilizarn tablas especcas donde se describirn los criterios para
asignar la calicacin de impacto segn la categora de cada riesgo:
Impacto
I Signicado
5 Mayor
4 Importante
3 Signicativo
2 Regular
1 Menor
Severidad del riesgo
Para medir la severidad del riesgo se utilizarn 4 valores que se determina segn la
calicacin del impacto y la probabilidad, es decir el nivel de exposicin:
Severidad
S Signicado
4 Extrema
3 Alta
2 Moderada
1 Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la
calicacin de impacto y probabilidad el riesgo es calicado por corlo en su nivel de
severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta,
el color amarillo claro severidad moderada y el color verde claro severidad baja:
I
m
p
a
c
t
o
5 M A E E E
4 M A A E E
3 B M A A E
2 B M M A A
1 B B B M M
1 2 3 4 5
Probabilidad
Categoras de los riesgos
Las categoras utilizadas son las siguientes:
Categora Descripcin
Gestin
Riesgos relacionados con la ausencia o aplicacin
incorrecta de mtodos de gestin de las tecnologas de
informacin y comunicaciones.
Operacin
Incumplimiento de directrices, procedimientos y
metodologas y estndares en los procesos operativos
de la UTI.
Infraestructura
Riesgos relacionados con las fallas potenciales de la
infraestructura tecnolgica utilizada en la CGR.
Seguridad
Eventos que atentan contra la condencialidad,
integridad y disponibilidad de la informacin.
Recurso humano
Relacionados con el desempeo y regularidad de los
recursos humanos.
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo ser asociado a la categora que se
considere ms relevante o donde el impacto sea mayor.
Impacto de los riesgos segn su categora
Gestin
I Signicado Criterios de calicacin
5 Mayor Evento que impedir el logro de los objetivos institucionales.
4 Importante
El logro de objetivos institucionales se ve afectado de manera
importante.
3 Signicativo
Evento que representar un retraso signicativo en el logro de
objetivos institucionales.
2 Regular
El evento afecta levemente el logro de objetivos de la UTI y
de la CGR.
1 Menor
Evento que afecta la gestin de la UTI sin llegar a impactar en
el logro de los objetivos.
Operacin
5 Mayor
Evento que paraliza la prestacin de servicios por parte de
la unidad afectando a la institucin de manera considerable.
4 Importante Evento que provoca la interrupcin parcial de servicios.
3 Signicativo Evento que provoca interrupciones intermitentes.
2 Regular
Evento que provoca la interrupcin momentnea de los
servicios de la unidad, esta interrupcin es percibida por la
institucin.
Evento que provoca una disminucin en los tiempos de
respuesta que experimentan los usuarios.
1 Menor Evento que afecta slo las operaciones de la UTI.
Infraestructura
5 Mayor
Falla severa en un componente vital de la infraestructura
tecnolgica que impide la operacin normal de la institucin.
4 Importante
Falla en un componente de la infraestructura tecnolgica que
afecta parcialmente la prestacin de servicios.
3 Signicativo
Falla en un componente de la infraestructura tecnolgica que
afecta de manera intermitente la prestacin de servicios.
2 Regular
Falla en un equipo que afecta la prestacin de servicios slo
en la UTI.
1 Menor
Falla en un componente que puede ser sustituido de
inmediato por mantener equipo similar en inventario. Se
afecta la operacin de la institucin por minutos.
Seguridad
5 Mayor
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a informacin condencial.
Informacin total en la disponibilidad de informacin.
Los datos institucionales han sido alterados.
4 Importante
Un ente no autorizado tiene acceso a informacin sensitiva.
Interrupcin de ms de 1 da hbil en la disponibilidad de la
informacin.
3 Signicativo
Se reciben ataques masivos sobre la plataforma.
Un funcionario de la institucin tiene acceso a informacin a
la cual no est autorizado.
Interrupcin de 1 da hbil en la disponibilidad de la
informacin.
Prdida de datos que se pueden restaurar por medio de los
procesos de recuperacin.
2 Regular
Entes no autorizados tienen acceso a informacin parcial en
modo consulta.
Interrupcin de 4 horas en la disponibilidad de la informacin.
1 Menor
Hay intentos de acceso a la informacin.
Interrupcin momentnea en la disponibilidad de la
informacin.
Un ente no autorizado tiene la oportunidad de observar datos
que se estn utilizando en la operacin de la institucin.
Recurso humano (Revisar objetivos)
5 Mayor
Se prescinde de un funcionario importante para el logro de
los objetivos.
El evento imposibilita a todo el personal de la UTI para realizar
sus funciones de manera indenida.
Evento que provoca que un funcionario exceda en ms de un
40% el tiempo estimado para nalizar una actividad.
4 Importante
Los objetivos a lograr exceden las cargas de trabajo de los
recursos asignados a la UTI.
Evento que imposibilita que el personal de la UTI pueda
laborar durante un da hbil.
Evento que provoca que un funcionario exceda en un 40% el
tiempo estimado para nalizar una actividad.
3 Signicativo
No se tiene participacin del patrocinador para el logro de los
objetivos.
Evento que imposibilita a un funcionario de la UTI para
laborar durante cinco das hbiles en el lapso de un mes.
Situacin que provoca que un funcionario exceda en un 20%
el tiempo estimado para nalizar una actividad.
2 Regular
Evento que provoca que un funcionario exceda en un 10% el
tiempo estimado para nalizar una actividad.
Evento que afecta, de manera temporal y no mayor de 4
horas, que los funcionarios de la UTI puedan realizar sus
funciones.
1 Menor
Se asignan objetivos adicionales que afectan levemente la
carga de trabajo.
Evento que imposibilita a un funcionario de la UTI para
laborar durante un da hbil.
Criterios para la aceptacin de riesgos
Se aceptarn aquellos riesgos cuya severidad, la cual se obtiene del impacto del riesgo
y su probabilidad, est calicada como Baja y Moderada; estos valores se representan
en el mapa trmino con los colores verde claro y amarillo claro respectivamente.
Estructura de los riesgos
Como se indic anteriormente, la UTI apoya los macro procesos institucionales por
medio de cuatro procesos; stos son los siguientes:
Infraestructura
El proceso de infraestructura se reere al soporte tecnolgico brindado por medio
de la red de comunicaciones interna, conexiones inalmbricas, acceso va Internet a
la CGR, a las unidades para almacenamiento de datos en red, a los servidores, a la
plataforma de usuario nal, al software en uso debidamente autorizado y soportado
por la CGR, a la solucin telefnica en uso, y a todos los componentes necesarios para
mantener el ambiente necesario para su operacin.
Seguridad y Control
En este proceso estamos hablando de las cmaras de vdeo, acceso al Centro
de Cmputo y a la UTI en general, software y hardware necesario para fortalecer
la seguridad y el control, monitoreo en general, administracin de componentes o
funcionalidades.
Suministro de Servicios
El suministro de servicios abarca acuerdos de atencin de usuarios, niveles de
disponibilidad de la plataforma, atencin de averas, desarrollo y evolucin de sistemas,
operacin de equipos, continuidad de los servicios, mantenimiento y reparacin de
equipos, conexiones de red, y evacuacin de dudas.
Insercin Tecnolgica
Se pretende con este proceso que todos los funcionarios utilicen la tecnologa con
mucho entusiasmo, que le saquen todo el provecho posible, que producto de su
uso hagan aportes que faciliten el mejoramiento continuo de la plataforma, y que las
inversiones en TI permitan una mejor gestin y scalizacin.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizar la identicacin de los riesgos y el posterior anlisis. De este modo se
determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso.
El benecio de utilizar los procesos de la UTI, como elemento central en la estructura
de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin
ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el
ejercicio ms manejable.
Identicacin de riesgos
La identicacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:
Id Descripcin del Riesgo Categora
1
Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Gestin
2
Desarrollar productos que no cumplen con las
especicaciones.
Gestin
3
Desarrollar productos basados en requerimientos
incorrectos.
Gestin
4 Versiones de software desactualizadas. Gestin
5 Adquirir software sin programas fuentes. Gestin
6 Adquirir software que no tiene representacin en el pas. Gestin
7 Equipo daado no puede ser reparado. Operacin
8 Red inalmbrica insegura. Operacin
9 Dao fsico en los equipos de la plataforma tecnolgica. Operacin
10 Obsolescencia de la infraestructura tecnolgica. Gestin
11
Desarrollo de sistemas y servicios que son difciles de
utilizar para el usuario.
Gestin
12 No existe gua de usuario para el uso del sistema. Gestin
13 Retrasos en los procesos de contratacin administrativa. Gestin
14
Se adquiere equipo no compatible con la infraestructura
en uso.
Gestin
15
Se adquiere equipo sin que existan talleres para la
reparacin y mantenimiento de los mismos.
Gestin
16 Trabajar directamente en equipos de produccin. Operacin
17
Versiones de software para desarrollo y produccin
diferentes.
Operacin
18
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Operacin
19
Libertad en el uso de componentes tecnolgicos (software
libre).
Gestin
20
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Operacin
21
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
Gestin
22
Denicin de niveles de servicio que sobrepasan la
capacidad instalada de TI.
Gestin
23
No contar con los recursos necesarios para cumplir con los
niveles de servicio.
Gestin
24 No existe contrato de mantenimiento Gestin
25
Debilidad en la administracin de servicios de terceros
que implica que stos no cumplan satisfactoriamente los
requerimientos del negocio.
Gestin
26 Incumplimiento de las polticas denidas por las partes. Gestin
27 Tiempo de respuesta degradado. Operacin
28 No hacer planeamiento de la capacidad. Gestin
29
Los recursos de la infraestructura tecnolgica no son
sucientes para atender las demandas de servicios.
Gestin
30 Recuperacin de software no es factible Operacin
31 Suspensin de servicio de Internet Infraestructura
32 Fallas en los equipos de comunicaciones Infraestructura
33 Fallas en los servidores (computadores principales) Infraestructura
34 Equipo de usuario nal inseguro. Seguridad
35
Ausencia de controles cruzados que comprueben la
integridad de la informacin y el funcionamiento correcto
de las aplicaciones.
Seguridad
36
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Seguridad
37
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
Seguridad
38
No se conocen los costos asignados a los servicios
prestados por TI.
Gestin
39
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
Gestin
40
El personal no cuenta con el tiempo suciente para recibir,
de manera completa, la capacitacin correspondiente.
Gestin
41
El personal no cuenta con las actitudes y aptitudes
requeridas para hacer uso de la informacin por medio de
las soluciones automatizadas.
RRHH
42
La capacitacin que se brinda a los usuarios no es efectiva
para que puedan utilizar ecientemente los recursos
informticos disponibles.
Gestin
43
No se cuenta con presupuesto para disear e implementar
programas de capacitacin para los usuarios.
Gestin
44
No contar con una respuesta oportuna y efectiva para
las consultas de los usuarios de TI y a la atencin de los
incidentes.
Operacin
45
Las soluciones que se aplican, ante los incidentes
reportados por los usuarios, no son efectivas.
Operacin
46
Los usuarios no estn informados sobre los procedimientos
que se deben seguir para reportar los incidentes.
Gestin
47
No se cuenta o no se aplica el procedimiento denido para
la asignacin, atencin y seguimiento de los incidentes.
Operacin
48
No se realiza una adecuada gestin de mtricas sobre los
incidentes reportados y atendidos.
Gestin
49
Se realizan cambios operativos que no se reejan en la
documentacin.
Operacin
50
Se realizan cambios en la conguracin de componentes
de la infraestructura y no se reejan en la documentacin.
Operacin
51
No se conoce el impacto de hacer cambios en los
componentes de la conguracin.
Operacin
52
No se aplica el procedimiento ocializado para la gestin
de problemas.
Operacin
53 No se documentan las soluciones aplicadas a los problemas. Operacin
54
Hay dicultad para denir el mbito de accin de los
proveedores para la solucin de problemas.
Gestin
55
Alteracin o prdida de la informacin registrada en base
de datos o equipos.
Seguridad
56 Informacin desactualizada o incorrecta. Operacin
57 Acceso no autorizado a la informacin. Seguridad
58
Instalaciones fsicas mal diseas que pongan en peligro la
integridad del equipo de cmputo y del personal.
Gestin
59 Acceso no autorizado al centro de cmputo. Seguridad
60 Ausencia de detectores de humo. Seguridad
61
Fallas en los equipos que mantienen el medio ambiente
apropiado para la operacin de TI (UPS, Aire acondicionado)
Infraestructura
62
No aplicacin de las polticas para la generacin de
respaldos.
Operacin
63
No efectuar un monitoreo constante sobre la operacin de
la plataforma.
Operacin
64
Suspensin de servicios sin seguir el procedimiento
establecido.
Operacin
65
No contar con un proceso para revisar peridicamente el
desempeo actual y la capacidad de los recursos de TI.
Gestin
66 No percibir los cambios que se realizan en el entorno. Gestin
67
Utilizacin de indicadores sobre el desempeo de TI que
no son relevantes y que no colaboran en la identicacin
de oportunidades de mejora en los procesos importantes
de TI.
Gestin
68
No contar con un programa de control interno efectivo para
TI que incluya auto-evaluaciones y revisiones por parte de
terceros.
Gestin
69 No contar con la documentacin de los procesos de TI. Gestin
70 Uso de software no licenciado Seguridad
71
Exceder la cantidad de usuarios autorizados para utilizar
un producto licenciado.
Operacin
72
Facilitar los medios para la instalacin de software a
terceros.
Operacin
73
Contar con un plan estratgico no alineado a la estrategia
institucional.
Gestin
74 Se tiene Plan Estratgico desactualizado. Gestin
75
No contar con un modelo de informacin del negocio que
sea utilizado en la creacin y actualizacin de los sistemas
de informacin.
Gestin
76 Arquitectura de informacin desactualizada. Gestin
77
Arquitectura de informacin no responde a la cadena de
valor.
Gestin
78
Adquisicin de tecnologas que no aportan valor a la
organizacin.
Gestin
79
Contar con equipo costoso que no cuenta con contratos de
mantenimiento.
Gestin
80
No aplicacin de los canales de comunicacin establecidos
para informar sobre la gestin de TI.
Gestin
81 No se tienen documentados los canales de comunicacin. Gestin
82 No se tiene dominio sobre las herramientas en uso. RRHH
83
Equipo de trabajo con baja motivacin, poco creativo y no
comprometido con el logro de los objetivos.
RRHH
84
Contar con un sistema de administracin de la calidad
deciente en la denicin y aplicacin de procesos y
procedimientos para el desarrollo de las TIC en la institucin.
Operacin
85
Desarrollar productos que no cumplen con los
requerimientos de calidad.
Operacin
86 No administrar los riesgos de TI. Gestin
87
Utilizar un marco de trabajo deciente para la gestin de
riesgos, y no alineado con el apetito del riesgo institucional.
Gestin
88
El personal no est capacitado adecuadamente para
realizar una gestin efectiva de los riesgos.
Gestin
89
No contar con el contenido presupuestario para la ejecucin
de los proyectos.
Gestin
90 Inestabilidad en el equipo de proyecto. Gestin
91 Desarrollo de proyectos no alineados al Plan Estratgico Gestin
92 Los proyectos no estn documentados Gestin
93
No contar con un marco de referencia para la gestin
de los proyectos en cuanto a su iniciacin, planicacin,
ejecucin, control y cierre, o aplicar ese marco de referencia
decientemente.
Gestin
94
Exceder el tiempo planicado para la ejecucin de los
proyectos.
Gestin
95 Falta de apoyo del patrocinador del proyecto. Gestin
Identicacin de causas
Cada uno de los riesgos identicados est asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigacin y
contingencia as como para calicar los controles existentes. Las causas asociadas a
cada riesgo identicado son las siguientes:
Id Descripcin del riesgo Causas
1
Adquisicin de soluciones
automatizadas que no satisfagan las
necesidades de la institucin.
Especicacin de
requerimientos no adecuada.
No se valid el cumplimiento del
producto.
2
Desarrollar productos que no
cumplen con las especicaciones.
Errores de concepto al
analizar las especicaciones
No se validaron los componentes del
producto
3
Desarrollar productos basados en
requerimientos incorrectos.
Ausencia de validacin
de requerimientos
Patrocinador sin compromiso
4
Versiones de software
desactualizadas.
No hay contrato de mantenimiento.
Personal no est capacitado
para actualizar el software.
No est planicada la actualizacin.
5
Adquirir software sin programas
fuentes.
Mala gestin en la
adquisicin de software
Adquisicin de software es
imprescindible
6
Adquirir software que no tiene
representacin en el pas.
No se tiene otra opcin
7
Equipo daado no puede ser
reparado.
No hay contrato de mantenimiento.
No se tienen repuestos en el pas.
No hay repuestos para ese equipo.
No hay presupuesto para reparacin.
8 Red inalmbrica insegura.
La red es vulnerable
No se tiene la capacidad para
congurar adecuadamente la red
9
Dao fsico en los equipos de la
plataforma tecnolgica.
Impericia humana
Alteracin del sistema elctrico
Medio ambiente no apropiado
Sabotaje
10
Obsolescencia de la infraestructura
tecnolgica.
No se tiene la expertise
para actualizarla
Que no se renueven los contratos de
mantenimiento
11
Desarrollo de sistemas y servicios
que son difciles de utilizar para el
usuario.
Mentalidad compleja para
desarrollo de sistemas
No se piensa en las facilidades para
el cliente
12
No existe gua de usuario para el uso
del sistema.
Se omiti su elaboracin
El sistema es muy simple de usar
13
Retrasos en los procesos de
contratacin administrativa.
Se apela el cartel o la adjudicacin.
Negligencia administrativa.
14
Se adquiere equipo no compatible
con la infraestructura en uso.
Elaboracin de
especicaciones incorrectas
Aceptacin de un modelo diferente
15
Se adquiere equipo sin que existan
talleres para la reparacin y
mantenimiento de los mismos.
No se solicita en las
especicaciones de compra
El proveedor es representante nico
en el pas
16
Trabajar directamente en equipos de
produccin.
Se obtuvieron passwords
del ambiente de produccin
Se autoriza realizar trabajo en este
ambiente
17
Versiones de software para desarrollo
y produccin diferentes.
No se han actualizado
El soporte en Costa Rica no es el
mejor
18
No contar con la metodologa y
procedimientos necesarios para la
administracin de los cambios.
No ha sido prioritario su desarrollo.
19
Libertad en el uso de componentes
tecnolgicos (software libre).
No se respetan las polticas denidas
No se tienen las herramientas
necesarias para controlar su
instalacin
20
Instalacin de parches sin seguir las
recomendaciones del proveedor.
No se tiene control sobre
los parches autorizados
No se revisa la documentacin del
proveedor
21
Ausencia de niveles de servicio
aceptados que faciliten la gestin.
No hay acuerdos de servicios de
niveles.
22
Denicin de niveles de servicio que
sobrepasan la capacidad instalada
de TI.
No se realiza el anlisis de capacidades
No se considera el recurso humano
disponible
23
No contar con los recursos
necesarios para cumplir con los
Fallas de hardware y software
superan el estimado realizado
Se daan las herramientas
necesarias
24 No existe contrato de mantenimiento
No se tiene presupuesto.
Se encuentra en periodo de garanta.
Est en trmite.
25
Debilidad en la administracin de
servicios de terceros que implica que
stos no cumplan satisfactoriamente
los requerimientos del negocio.
No se han denido
responsables por contrato.
Administracin de contratos no
adecuada.
26
Incumplimiento de las polticas
denidas por las partes.
No se gestiona con base en las
polticas denidas
27 Tiempo de respuesta degradado.
Servidores ocasionalmente
d e g r a d a d o s
Servidores ocasionalmente saturados
Ataque a los componentes de la red
Sistema consume muchos recursos
(AB,CPU)
28
No hacer planeamiento de la
capacidad.
La actividad no es parte
del plan de gestin
No se tiene la capacidad para
realizarlo
29
Los recursos de la infraestructura
tecnolgica no son sucientes para
atender las demandas de servicios.
No se planicaron las compras
con base al crecimiento
de la infraestructura
Se da un crecimiento en recursos no
planicado
30
Recuperacin de software no es
factible
Procedimiento para
recuperacin incorrecto
No se cuenta con el recurso para
recuperarlo
31 Suspensin de servicio de Internet
Fallas en el equipo del
proveedor del servicio
Se dao un componente interno
Deciencias en la administracin
32
Fallas en los equipos de
comunicaciones
Impericia humana
Se dao el equipo
Sabotaje
33
Fallas en los servidores
(computadores principales)
Impericia humana
El equipo se dao
Se alter la conguracin
34 Equipo de usuario nal inseguro.
Se libera el equipo de algunas
polticas de seguridad cuando
se trasladan a una Institucin
La instalacin de componentes no
es controlada en algunos casos
35
Ausencia de controles cruzados
que comprueben la integridad de
la informacin y el funcionamiento
correcto de las aplicaciones.
No se programaron
Los controles programados son
dbiles
36
Errores en la creacin de usuarios
y en la asignacin de privilegios de
acceso.
No se tiene el conocimiento
necesario para realizar la funcin
Se desconoce la cobertura autorizada
para cada privilegio
37
Sistemas sin mecanismos de
trazabilidad de transacciones (pistas
de auditora).
No se realizaron las pruebas
completas sobre el sistema que se
puso en produccin
38
No se conocen los costos asignados
a los servicios prestados por TI.
No se tiene un modelo de costos
No se maneja contabilidad de costos
39
No se cuenta con un proceso de
anlisis para mejorar los costos que
estn asociados a los servicios de TI.
No se tienen los insumos necesarios
No ha sido prioritario
40
El personal no cuenta con el
tiempo suciente para recibir, de
manera completa, la capacitacin
correspondiente.
Las cargas de trabajo
no estn balanceadas
No se tiene un plan de capacitacin
autorizado
41
El personal no cuenta con las
actitudes y aptitudes requeridas
para hacer uso de la informacin
por medio de las soluciones
automatizadas.
La utilizacin del sistema es compleja
No se tiene cultura informatizada
42
La capacitacin que se brinda a los
usuarios no es efectiva para que
puedan utilizar ecientemente los
recursos informticos disponibles.
El instructor no tiene facilidad para
la transferencia de conocimientos
La capacitacin no fue prctica
43
No se cuenta con presupuesto para
disear e implementar programas
de capacitacin para los usuarios.
No se presupuestaron
las partidas necesarias
Se recort la partida presupuestaria
44
No contar con una respuesta
oportuna y efectiva para las consultas
de los usuarios de TI y a la atencin
de los incidentes.
Personal no capacitado.
Desinters por el usuario nal.
Saturacin de consultas.
45
Las soluciones que se aplican, ante
los incidentes reportados por los
usuarios, no son efectivas.
No se aprueba la solucin
por parte del usuario
El tcnico carece del conocimiento
necesario
46
Los usuarios no estn informados
sobre los procedimientos que se
deben seguir para reportar los
incidentes.
No se han divulgado
los procedimientos para
realizar los reportes
Los usuarios han estado fuera de la
institucin por meses
47
No se cuenta o no se aplica el
procedimiento denido para la
asignacin, atencin y seguimiento
de los incidentes.
Se presentan solicitudes
de un nivel superior
Se atienden incidentes no registrados
en el sistema
48
No se realiza una adecuada gestin
de mtricas sobre los incidentes
reportados y atendidos.
El sistema no genera la informacin
necesaria para generar las mtricas
No se dispone del tiempo necesario
49
Se realizan cambios operativos que
no se reejan en la documentacin.
No se tiene un sistema
para control de cambios
Se realizan cambios sin que exista la
documentacin formal
50
Se realizan cambios en la
conguracin de componentes de la
infraestructura y no se reejan en la
documentacin.
Los cambios se realizan bajo presin
No existe un sistema para control de
cambios
51
No se conoce el impacto de hacer
cambios en los componentes de la
conguracin.
No se tiene el ambiente completo
para pruebas preliminares
Urga la correccin de la
conguracin
52
No se aplica el procedimiento
ocializado para la gestin de
problemas.
Se brindan soluciones sin que
se realice la gestin requerida
Urge la solucin del problema
53
No se documentan las soluciones
aplicadas a los problemas.
No es costumbre del
informtico realizarlo
No se aplican sanciones por la
omisin
54
Hay dicultad para denir el mbito
de accin de los proveedores para la
solucin de problemas.
No se denieron reglas
contractuales claras
Los proveedores se trasladan el
problema
55
Alteracin o prdida de la
informacin registrada en base de
datos o equipos.
Violacin de la seguridad
Programa con fallas de lgica
Recuperacin de la base de datos
con un respaldo desactualizado
Fallas en disco no perceptibles
56
Informacin desactualizada o
incorrecta.
Registro de datos incorrecta
Falla en el Webservices
Desconocimiento del sistema por
parte del personal usuario
57
Acceso no autorizado a la
informacin.
Se comparte el
password entre usuarios
Violacin de la seguridad
58
Instalaciones fsicas mal diseas que
pongan en peligro la integridad del
equipo de cmputo y del personal.
Estructura vieja no pensada para TI.
No es importante para la
administracin.
59
Acceso no autorizado al centro de
cmputo.
Administrador del CC lo permite
Personal autorizado facilita el ingreso
de otros
60 Ausencia de detectores de humo.
No se tiene el presupuesto necesario
para comprarlo
61
Fallas en los equipos que mantienen
el medio ambiente apropiado
para la operacin de TI (UPS, Aire
acondicionado)
No existe contrato de
mantenimiento preventivo
Suministro de energa elctrica
inapropiado
62
No aplicacin de las polticas para la
generacin de respaldos.
Falta de cintas para
generar los respaldos
Dao en los equipos para toma de
respaldos
63
No efectuar un monitoreo constante
sobre la operacin de la plataforma.
Exceso de seguridad por
estabilidad de la plataforma
No se tienen todas las herramientas
64
Suspensin de servicios sin seguir el
procedimiento establecido.
Iniciativas para suspensin
de servicios sin colegiarlas
La suspensin es urgente
65
No contar con un proceso para revisar
peridicamente el desempeo actual
y la capacidad de los recursos de TI.
No existe sistema para evaluacin
del desempeo.
66
No percibir los cambios que se
realizan en el entorno.
Modicaciones legales que
inciden en el desarrollo
Cambios tecnolgicos en el entorno
que afectan el desarrollo
67
Utilizacin de indicadores sobre
el desempeo de TI que no son
relevantes y que no colaboran en la
identicacin de oportunidades de
mejora en los procesos importantes
de TI.
No se realiz un anlisis de los
indicadores que se requieren en TI
68
No contar con un programa de
control interno efectivo para TI
que incluya auto-evaluaciones y
revisiones por parte de terceros.
No se tienen directrices
No hay planicacin para llevar a
cabo el auto control
69
No contar con la documentacin de
los procesos de TI.
La documentacin no fue actualizada
No se tiene manual para Gobierno
Corporativo
70 Uso de software no licenciado
En equipo de usuario nal las
polticas no estaban aplicadas
Se emite una autorizacin temporal
para pruebas
71
Exceder la cantidad de usuarios
autorizados para utilizar un producto
licenciado.
El software permite exceder la cantidad
No se tiene control sobre los usuarios
instalados
72
Facilitar los medios para la instalacin
de software a terceros.
Se viol la seguridad para trasladar
medios de instalacin de software
Desconocimiento contractual
73
Contar con un plan estratgico no
alineado a la estrategia institucional.
Se modica la estrategia
y no se comunica
Se desarrollan sistemas que no
responden a la estrategia institucional
74
Se tiene Plan Estratgico
desactualizado.
No se tiene un administrador del
PETIC.
75
No contar con un modelo de
informacin del negocio que
sea utilizado en la creacin y
actualizacin de los sistemas de
informacin.
No se tienen los recursos para
elaborarlo
76
Arquitectura de informacin
desactualizada.
No se tiene un administrador de la
arquitectura
77
Arquitectura de informacin no
responde a la cadena de valor.
No se diseo la arquitectura
de informacin con base
a la cadena de valor
Se construy primero la arquitectura
de informacin
78
Adquisicin de tecnologas que no
aportan valor a la organizacin.
Se instalan tecnologas
con base a convenios
Se incluyen como parte del software
adquirido
79
Contar con equipo costoso que
no cuenta con contratos de
mantenimiento.
Se venci la garanta y no
se tiene presupuesto para
contratar el mantenimiento
No se autoriza el gasto
80
No aplicacin de los canales de
comunicacin establecidos para
informar sobre la gestin de TI.
Problemas de gestin
Facilidad de canales de
comunicacin no incluidos en los
canales formales
81
No se tienen documentados los
canales de comunicacin.
Funcionan muy bien
los canales informales
No se han documentado los canales
informales
82
No se tiene dominio sobre las
herramientas en uso.
El personal no fue capacitado
La transferencia tecnolgica no
funcion
83
Equipo de trabajo con baja
motivacin, poco creativo y no
comprometido con el logro de los
objetivos.
Clima laboral no adecuado
Se desconocen los objetivos
84
Contar con un sistema de
administracin de la calidad
deciente en la denicin y aplicacin
de procesos y procedimientos
para el desarrollo de las TIC en la
institucin.
Falta de experiencia en la
No existe existen directrices para
administrar la calidad
85
cumplen con los requerimientos de
calidad.
Ausencia de validacin
de requerimientos
Omisin de pruebas de calidad
Incumplimiento de plan de calidad
86 No administrar los riesgos de TI.
No existe la administracin
basada en riesgos
No se tienen los recursos necesarios
87
Utilizar un marco de trabajo
deciente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
No se ha brindado la
capacitacin necesaria.
No existe la administracin basada
en riesgos.
88
El personal no est capacitado
adecuadamente para realizar una
gestin efectiva de los riesgos.
No se ha brindado la capacitacin
necesaria.
89
No contar con el contenido
presupuestario para la ejecucin de
los proyectos.
Elaboracin de
presupuesto incorrecto.
No presupuestar proyectos.
Recorte presupuestario.
90
Inestabilidad en el equipo de
proyecto.
Reduccin de personal.
Clima laboral inadecuado.
91
Desarrollo de proyectos no alineados
al Plan Estratgico
Aceptar proyecto que no han sido
validados contra el Plan Estratgico.
D e s c o n o c i m i e n t o
del Plan Estratgico.
Es obligatorio desarrollarlo.
92
Los proyectos no estn
documentados
El personal omite la documentacin
La documentacin existente es
omisa
93
No contar con un marco de
referencia para la gestin de los
proyectos en cuanto a su iniciacin,
planicacin, ejecucin, control
y cierre, o aplicar ese marco de
referencia decientemente.
No hay metodologa ocial para la
gestin de proyectos.
94
Exceder el tiempo planicado para
la ejecucin de los proyectos.
Planicacin no adecuada
Modicacin en los requerimientos
Reduccin de recursos
95
Falta de apoyo del patrocinador del
proyecto.
No se tiene inters en el proyecto
No hay personal disponible
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente.
Como fue denido anteriormente, la calicacin se realiza utilizando dos criterios
primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
se deriva el nivel de exposicin (P * I) y la severidad de los riesgos (se utiliza la escala
de colores del mapa trmico para su representacin):
Id Riesgo P I S
1
3 3 9
2
especicaciones.
2 4 8
3 Desarrollar productos basados en requerimientos incorrectos. 2 4 8
4 Versiones de software desactualizadas. 3 4 12
5 Adquirir software sin programas fuentes. 1 4 4
6 Adquirir software que no tiene representacin en el pas. 1 4 4
7 Equipo daado no puede ser reparado. 3 3 9
8 Red inalmbrica insegura. 5 5 25
9 Dao fsico en los equipos de la plataforma tecnolgica. 3 4 12
10 Obsolescencia de la infraestructura tecnolgica. 3 4 12
11
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
3 3 9
12 No existe gua de usuario para el uso del sistema. 3 3 9
13 Retrasos en los procesos de contratacin administrativa. 3 3 9
14
Se adquiere equipo no compatible con la infraestructura en
uso.
2 3 6
15
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
4 3 12
16 Trabajar directamente en equipos de produccin. 3 4 12
17 Versiones de software para desarrollo y produccin diferentes. 4 4 16
18
3 4 12
19
libre).
3 3 9
20
proveedor.
3 3 9
21
gestin.
3 3 9
22
Denicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
2 3 6
23
2 3 6
24 No existe contrato de mantenimiento 3 4 12
25
3 3 9
26 Incumplimiento de las polticas denidas por las partes. 3 3 9
27 Tiempo de respuesta degradado. 3 3 9
28 No hacer planeamiento de la capacidad. 3 3 9
29
3 4 12
30 Recuperacin de software no es factible 2 4 8
31 Suspensin de servicio de Internet 3 4 12
32 Fallas en los equipos de comunicaciones 2 5 10
33 Fallas en los servidores (computadores principales) 2 5 10
34 Equipo de usuario nal inseguro. 4 3 12
35
integridad de la informacin y el funcionamiento correcto de
las aplicaciones.
2 4 8
36
3 4 12
37
3 4 12
38
No se conocen los costos asignados a los servicios prestados
por TI.
3 3 9
39
3 3 9
40
2 3 6
41
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
2 3 6
42
2 2 4
43
2 3 6
44
incidentes.
3 3 9
45
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
2 4 8
46
2 3 6
47
No se cuenta o no se aplica el procedimiento denido para la
asignacin, atencin y seguimiento de los incidentes.
2 3 6
48
3 3 9
49
documentacin.
3 4 12
50
Se realizan cambios en la conguracin de componentes de
la infraestructura y no se reejan en la documentacin.
3 4 12
51
3 4 12
52
No se aplica el procedimiento ocializado para la gestin de
problemas.
3 3 9
53 No se documentan las soluciones aplicadas a los problemas. 4 5 20
54
2 3 6
55
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
2 4 8
56 Informacin desactualizada o incorrecta. 3 4 12
57 Acceso no autorizado a la informacin. 3 5 15
58
2 3 6
59 Acceso no autorizado al centro de cmputo. 3 3 9
60 Ausencia de detectores de humo. 3 3 9
61
3 5 15
62 No aplicacin de las polticas para la generacin de respaldos. 3 4 12
63
la plataforma.
3 3 9
64
establecido.
3 3 9
65
3 3 9
66 No percibir los cambios que se realizan en el entorno. 2 3 6
67
no son relevantes y que no colaboran en la identicacin de
oportunidades de mejora en los procesos importantes de TI.
3 4 12
68
terceros.
2 3 6
69 No contar con la documentacin de los procesos de TI. 2 3 6
70 Uso de software no licenciado 2 3 6
71
Exceder la cantidad de usuarios autorizados para utilizar un
producto licenciado.
2 3 6
72 Facilitar los medios para la instalacin de software a terceros. 3 3 9
73
institucional.
4 4 16
74 Se tiene Plan Estratgico desactualizado. 4 4 16
75
de informacin.
3 3 9
76 Arquitectura de informacin desactualizada. 3 4 12
77
valor.
2 3 6
78
organizacin.
2 3 6
79
mantenimiento.
2 3 6
80
2 2 4
81 No se tienen documentados los canales de comunicacin. 2 2 4
82 No se tiene dominio sobre las herramientas en uso. 3 4 12
83
3 4 12
84
4 4 16
85
Desarrollar productos que no cumplen con los requerimientos
de calidad.
3 3 9
86 No administrar los riesgos de TI. 4 4 16
87
4 4 16
88
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
3 3 9
89
de los proyectos.
2 5 10
90 Inestabilidad en el equipo de proyecto. 2 3 6
91 Desarrollo de proyectos no alineados al Plan Estratgico 4 3 12
92 Los proyectos no estn documentados 4 4 16
93
No contar con un marco de referencia para la gestin de
los proyectos en cuanto a su iniciacin, planicacin,
decientemente.
4 4 16
94
proyectos.
4 3 12
95 Falta de apoyo del patrocinador del proyecto. 4 4 16
P = Probabilidad, I = Impacto, S = Severidad
Mapas trmicos riesgos absolutos
Infraestructura
I
m
p
a
c
t
o
5 32, 33 61
4
31, 49,
50, 51
3 14 7, 27 10
2
1
1 2 3 4 5
Probabilidad
Seguridad y control
I
m
p
a
c
t
o
5 57 53 8
4 5, 6, 30, 35, 55
4, 9, 18, 36,
37, 56, 62
17, 84, 86,
87
3
47, 54, 58,
68, 70, 71
16, 19, 20,
26, 52, 59,
60, 63, 72,
15, 34
2
1
1 2 3 4 5
Probabilidad
Suministro de servicios
I
m
p
a
c
t
o
5
4 45 29, 82, 83 92, 93
3
23, 40, 41,
43, 46
11, 12, 21,
38, 44, 64
94
2 42
1
1 2 3 4 5
Probabilidad
Insercin tecnolgica (Gestin)
I
m
p
a
c
t
o
5 89
4 2, 3, 67, 76 73, 74,95
3
22, 66, 69,
77, 78, 79,
1, 13, 25,
28, 39, 48,
91,
2 81
1
1 2 3 4 5
Probabilidad
Identicacin de controles
Id Descripcin del riesgo Controles
1
Adquisicin de soluciones
automatizadas que no satisfagan
Se realiza un diagnstico sobre
las necesidades y factibilidad
de adquirir la solucin.
Se le da participacin del usuario
para validar las necesidades.
2
cumplen con las especicaciones.
Pruebas de productos
basadas en casos de uso.
Aprobacin de fases de anlisis y
diseo para comprobar el alcance.
3
Desarrollar productos basados en
requerimientos incorrectos.
Utilizar casos de uso para
especicar los requerimientos.
Validacin y aprobacin de los
requerimientos por el patrocinador.
4
desactualizadas.
Por medio de los contratos de
mantenimiento se planican y
aplican actualizaciones del software.
Se estableci la directriz para
que todos los equipos estn
estandarizados en cuanto a las
versiones del software.
5
Adquirir software sin programas
fuentes.
Como parte de los carteles de
licitacin se solicitan todos los
programas fuente.
6
Adquirir software que no tiene
representacin en el pas.
La presentacin del software en el
pas es requisito de admisibilidad
de los procesos de contratacin
administrativa.
7
Equipo daado no puede ser
reparado.
Mantener vigentes los contratos de
mantenimiento para los equipos.
Contar con equipos de respaldos.
8 Red inalmbrica insegura.
Se utiliza un esquema de
seguridad para restringir el
acceso a la red inalmbrica.
La red inalmbrica existente entre
el estacionamiento y el edicio
principal est totalmente separada
de la red institucional.
9
Dao fsico en los equipos de la
plataforma tecnolgica.
Se cuenta con planta de diesel y UPS.
Est restringido el acceso al Centro
de Cmputo. Se ha dispuesto una
cmara de seguridad en la puerta.
Se cuenta con sensores de
temperatura y humedad.
10
Obsolescencia de la infraestructura
tecnolgica.
Plan de renovacin y fortalecimiento
de la infraestructura tecnolgica.
Planicacin de adquisiciones con
anticipacin.
11
Desarrollo de sistemas y servicios
que son difciles de utilizar para el
usuario.
Supervisin constante de
los productos desarrollados.
Revisiones de los productos por
parte de los clientes.
12
No existe gua de usuario para el
uso del sistema.
Se incluye informacin en lnea para
cada opcin del sistema de modo
que el usuario no necesite el manual.
Se desarrollan tutores virtuales sobre
la utilizacin de los sistemas.
13
Retrasos en los procesos de
contratacin administrativa.
Se revisan previamente los carteles
para validar que estn redactados
de forma clara y precisa.
14
Se adquiere equipo no compatible
con la infraestructura en uso.
Revisin de los carteles. Adquisicin
de tecnologa de arquitectura abierta.
15
Se adquiere equipo sin que existan
talleres para la reparacin y
mantenimiento de los mismos.
Es un requisito de admisibilidad,
dentro de los procedimientos de
contratacin administrativa, que los
potenciales oferentes cuenten con el
respectivo taller de servicio.
16
Trabajar directamente en equipos
de produccin.
Se cuenta con un
servidor de desarrollo.
Aplicacin del procedimiento para la
puesta en produccin de los nuevos
programas.
17
Versiones de software para
desarrollo y produccin diferentes.
Aplicacin del procedimiento para
la puesta en produccin de los
programas nuevos y modicados.
18
Se han denido
responsabilidades y funciones.
Se cuenta con un procedimiento
para aplicar los cambios en los
sistemas de informacin.
19
Libertad en el uso de componentes
tecnolgicos (software libre).
Denicin y aplicacin de
polticas institucionales sobre
el uso de software autorizado
y estndar para la institucin.
Los perles de usuario no tienen
autorizacin para instalar software.
20
Instalacin de parches sin seguir las
recomendaciones del proveedor.
Se revisan las indicaciones
de los proveedores.
Los parches se aplican primero en
equipo de prueba.
21
Ausencia de niveles de servicio
aceptados que faciliten la gestin.
Se utiliza un software para gestionar
las solicitudes de servicio pero los
tiempos de respuesta esperados no
estn acordados.
22
Denicin de niveles de servicio que
sobrepasan la capacidad instalada
de TI.
Anlisis del PAO y portafolio de
proyecto en conjunto con la Gerencia
de Divisin tomando en cuenta
las cargas de trabajo y el personal
actual.
23
No contar con los recursos
necesarios para cumplir con los
Se cuenta con equipo renovado
que presenta niveles aceptables de
estabilidad.
24 No existe contrato de mantenimiento
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
Ejecucin del programa de
capacitacin (de acuerdo con el
disponible presupuestario).
25
Debilidad en la administracin de
servicios de terceros que implica que
stos no cumplan satisfactoriamente
los requerimientos del negocio.
En el rea de infraestructura se
realiza un seguimiento peridico
de los contratos para validar
el cumplimiento de derechos
adquiridos por la institucin.
26
Incumplimiento de las polticas
denidas por las partes.
Se analizan las clusulas de los
contratos y se giran las instrucciones
del caso.
27 Tiempo de respuesta degradado.
Monitoreo de los servicios para
determinar cargas de trabajo.
Balanceo de cargas de trabajo
(distribucin de funciones entre los
servidores).
28
No hacer planeamiento de la
capacidad.
Antes de liberar un nuevo
servicio se realizan proyecciones
sobre las capacidades
requeridas y disponibles.
Una vez al ao se realiza un ejercicio
para valorar la capacidad instalada
y las proyecciones de nuevos
requerimientos; esto se hace como
insumo para el Plan de Compras
Institucional.
29
Los recursos de la infraestructura
tecnolgica no son sucientes para
atender las demandas de servicios.
Se planica la adquisicin de
tecnologa para mantener la
capacidad de procesamiento de
informacin.
30
Recuperacin de software no es
factible
Revisin de los respaldos generados.
Se cuenta con equipos que se
pueden utilizar, ante contingencias,
para reestablecer los servicios.
31 Suspensin de servicio de Internet
Se cuenta con una red moderna
que da estabilidad en la operacin
interna.
32
Fallas en los equipos de
comunicaciones
Contratos de mantenimiento.
Equipo de contingencia y aplicacin
de respaldos de acuerdo con las
polticas denidas.
33
Fallas en los servidores
(computadores principales)
Contratos de mantenimiento.
Equipo de contingencia y aplicacin
de respaldos de acuerdo con las
polticas denidas.
34 Equipo de usuario nal inseguro.
Aplicacin automtica de
polticas de seguridad por
medio de Active Directory.
Perles de usuarios limitados
para instalar software y hacer
modicaciones en el equipo.
Los equipos se encuentran en garanta.
A los equipos se les ha aplicado el
Service Pack recomendado por el
proveedor.
35
Ausencia de controles cruzados
que comprueben la integridad de
la informacin y el funcionamiento
correcto de las aplicaciones.
Por medio del Centro de Operaciones
se revisa la calidad de la informacin
en sistemas clave.
36
Errores en la creacin de usuarios
y en la asignacin de privilegios de
acceso.
El personal que tiene a cargo la
implementacin de la seguridad est
capacitado para estas funciones.
Como parte del desarrollo de
proyectos se deben denir los roles
y una descripcin.
37
Sistemas sin mecanismos de
trazabilidad de transacciones
Se ha denido la utilizacin de pistas
como parte de los estndares de
programacin. Se utiliza el LogMiner.
38
Se debe mejorar el registro de costos
asociados a cada servicio para
contar con informacin precisa en
este sentido.
39
estn asociados a los servicios de
TI.
Se debe mejorar el registro de costos
asociados a cada servicio para
contar con informacin precisa en
este sentido.
40
El personal no cuenta con el
tiempo suciente para recibir, de
manera completa, la capacitacin
correspondiente.
Se informa con anticipacin a las
jefaturas sobre las actividades de
capacitacin para que se tome en
cuenta en la asignacin de trabajos.
41
El personal no cuenta con las
actitudes y aptitudes requeridas
para hacer uso de la informacin
por medio de las soluciones
automatizadas.
Peridicamente, por medio del
Centro de Capacitacin, se realizan
charlas para fomentar la cultura
informtica en la institucin.
42
La capacitacin que se brinda a los
usuarios no es efectiva para que
puedan utilizar ecientemente los
recursos informticos disponibles.
Se preparan guas para la
capacitacin que sirva de apoyo
a los estudiantes e instructores.
Se preparan tutores virtuales.
Se seleccionan los instructores
buscando personal con facilidad de
expresin.
43
No se cuenta con presupuesto para
disear e implementar programas
de capacitacin para los usuarios.
Se est fomentando el uso de
capacitacin virtual que reduce
signicativamente los costos. Para
esto se ha equipado al Centro de
Capacitacin.
44
No contar con una respuesta
oportuna y efectiva para las
consultas de los usuarios de TI y a
la atencin de los incidentes.
Utilizacin de un software para
automatizar la presentacin de
los incidentes, la asignacin y
el seguimiento correspondiente.
Manejo de niveles de prioridad por
procesos y usuarios crticos para la
institucin.
45
Las soluciones que se aplican, ante
los incidentes reportados por los
usuarios, no son efectivas.
Se da capacitacin a los tcnicos
en los nuevos productos.
Se solicita al usuario que rme
la solicitud de servicio cuando el
trabajo est concluido.
46
Los usuarios no estn informados
sobre los procedimientos que se
deben seguir para reportar los
incidentes.
Por medio del correo electrnico
frecuentemente se envan mensajes
a los funcionarios recordndoles
polticas y procedimientos en materia
de TI.
47
No se cuenta o no se aplica el
procedimiento denido para la
asignacin, atencin y seguimiento
de los incidentes.
Se cuenta con un software
para gestionar las solicitudes.
El personal de la USTI tiene
instrucciones claras sobre el
procedimiento. Se cuenta con
un funcionario responsable del
seguimiento.
48
No se realiza una adecuada gestin
de mtricas sobre los incidentes
reportados y atendidos.
Se aplican encuestas a los usuarios
para conocer su nivel de satisfaccin
y sus recomendaciones para mejorar
el servicio prestado.
49
Se realizan cambios operativos que
Documentacin de los
procesos operativos.
Actualizacin de guas de trabajo
cuando se realizan cambios.
50
conguracin de componentes de
la infraestructura y no se reejan en
la documentacin.
Se implement una bitcora donde
se registran todos los cambios
realizados en la conguracin de TI.
Parte del procedimiento, para la
aplicacin de los cambios, es la
actualizacin de la documentacin
correspondiente.
51
conguracin.
Se tiene documentada la relacin de
componentes de TI necesarios para
la implementacin y funcionamiento
de los servicios clave.
52
problemas.
Se tiene que ocializar y aplicar
el proceso para la gestin de
problemas.
53
Se est elaborando el documento
para la documentacin, el proveedor
si lo realiza por obligacin contractual
54
Hay dicultad para denir el mbito
de accin de los proveedores para
la solucin de problemas.
Se especica claramente, en los
carteles de los procedimientos, las
responsabilidades de los proveedores
y los servicios requeridos.
55
Alteracin o prdida de la
informacin registrada en base de
datos o equipos.
Peridicamente se
revisan los respaldos.
Se tienen denidos roles de acceso
por usuario y se revisa que no exista
conicto en los roles asignados.
Se revisan los programas, con
mucho detalle, antes de ponerlos en
produccin.
56
Informacin desactualizada o
incorrecta.
Se revisa la calidad
del cdigo generado.
Se cre una dependencia
de la CGR especializada en
la gestin de la informacin.
Se brinda asesora y capacitacin
constante a los usuarios.
57
Acceso no autorizado a la
informacin.
Se han denido polticas de TI con
responsabilidad para los usuarios.
Se ha implementado un
esquema automtico para que
los usuarios cambien sus claves.
No se gestionan claves por medios
informales de comunicacin.
58
Instalaciones fsicas mal diseas
que pongan en peligro la integridad
del equipo de cmputo y del
personal.
Las instalaciones tienen puertas
con control de acceso restringido.
En el ao 2005 se acondicionaron
los sitios de trabajo para tener ms
visibilidad y fomentar el trabajo en
equipo.
59
Acceso no autorizado al centro de
cmputo.
Se cuenta con acceso restringido
(por tarjeta) y cmaras de vigilancia.
Se tiene una bitcora de acceso.
Est pendiente por restricciones de
presupuesto.
61
el medio ambiente apropiado para
la operacin de TI (UPS, Aire
acondicionado)
Se han realizado revisiones de la
instalacin elctrica. Se cuenta con
planta y UPS.
62
No aplicacin de las polticas para
la generacin de respaldos.
Denicin de procedimiento
de contingencia para la
generacin de respaldos.
El personal responsable debe
informar cuando se presenta alguna
dicultad en la generacin de los
respaldos.
63
No efectuar un monitoreo constante
sobre la operacin de la plataforma.
Se cuenta con herramienta
para monitorear la red.
Se cuenta con software para
monitorear los servidores de
aplicaciones, bases de datos y
sistemas.
64
Suspensin de servicios sin seguir
el procedimiento establecido.
Bitcoras de cambios en la
conguracin y suspensin
de servicios. Se han denido
procedimientos e instruido al
personal.
65
No contar con un proceso
para revisar peridicamente el
desempeo actual y la capacidad
de los recursos de TI.
Est pendiente la denicin y
ocializacin del procedimiento para
realizar esta actividad.
66
No percibir los cambios que se
realizan en el entorno.
La institucin, por medio de
Estrategia Institucional, mantiene
un monitoreo constante sobre los
cambios en el entorno. Se encarga
de reejarlos en los planes de
trabajo.
67
de TI.
Se debe mejorar la denicin y
anlisis de indicadores de TI.
68
No contar con un programa de
control interno efectivo para TI
que incluya auto-evaluaciones y
revisiones por parte de terceros.
Se realizan las auto evaluaciones
solicitadas en la Ley General de
Control Interno.
69
No contar con la documentacin de
los procesos de TI.
Se cuenta con descripcin de
procesos y procedimientos.
Los procesos se describen en el plan
de TI.
70 Uso de software no licenciado
Los perles de usuario tienen
restriccin para la instalacin de
software.
71
Exceder la cantidad de usuarios
autorizados para utilizar un
Se lleva el inventario de licencias
adquiridas y licencias instaladas.
Los usuarios no tienen autorizacin
para instalar software (se restringe
por perl de usuario en Active
Directory).
72
Facilitar los medios para la
instalacin de software a terceros.
Se ha instruido, sobre el tema, al
personal de Servicio al Cliente que
tiene a cargo la gestin de medios.
73
Contar con un plan estratgico no
alineado a la estrategia institucional.
El ejercicio para la denicin del
Plan Estratgico y sus posteriores
revisiones se realizan con la
participacin de representantes
de todas las Divisiones.
Se cuenta con el apoyo y seguimiento
del Despacho de las Srs. Contraloras
sobre el uso de las tecnologas de
informacin.
74
Se tiene Plan Estratgico
desactualizado.
El Plan Estratgico se revisa
anualmente y se ajusta cuando se
realizan cambios en la planicacin
estratgica institucional.
75
No contar con un modelo de
informacin del negocio que
sea utilizado en la creacin y
actualizacin de los sistemas de
informacin.
El modelo de informacin est
documentado a nivel de las bases
de datos y se cuenta con una
aplicacin automatizada que genera
los informes.
76
desactualizada.
Se design un funcionario para
que conozca la informacin de la
institucin y valide los proyectos pero
no se han establecido los controles
documentales del caso.
77
Arquitectura de informacin no
responde a la cadena de valor.
Se deben mejorar la documentacin
de la arquitectura de la informacin
en funcin de la cadena de valor.
78
Adquisicin de tecnologas que no
aportan valor a la organizacin.
Se revisan las caractersticas de
los productos de acuerdo con las
necesidades de la institucin.
79
Contar con equipo costoso que
no cuenta con contratos de
mantenimiento.
Se tiene un plan de
renovacin de equipo.
Dentro del presupuesto se reservan
las partidas correspondientes.
80
No aplicacin de los canales de
comunicacin establecidos para
informar sobre la gestin de TI.
Peridicamente se realizan
reuniones informativas con todo el
personal de la USTI. Igualmente se
mantiene informado al Despacho
sobre la evolucin de los proyectos y
la operativa de TI.
81
No se tienen documentados los
canales de comunicacin.
Est pendiente de documentarse los
canales formales.
82
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
Ejecucin del programa de
capacitacin (de acuerdo con el
disponible presupuestario).
83
Equipo de trabajo con baja
motivacin, poco creativo y no
comprometido con el logro de los
objetivos.
Se realizan dos evaluaciones
de clima laboral por ao.
Comunicacin constante
sobre los planes de trabajo
y compromisos de gestin.
Gestin orientada al logro de los
objetivos.
84
Contar con un sistema de
deciente en la denicin
y aplicacin de procesos y
procedimientos para el desarrollo
de las TIC en la institucin.
Estn denidos los estndares y
procedimientos que se deben aplicar
en el desarrollo de los productos.
Se realizan revisiones de
cumplimiento de alcance.
Se aplican pruebas para identicar
errores antes de liberar versiones
nuevas o actualizadas de los
productos de software.
85
cumplen con los requerimientos de
calidad.
Aplicacin de estndares y
procedimientos de calidad.
Capacitacin del personal en
tcnicas de calidad.
Se cuenta con un plan
contra contingencias.
Anualmente se realiza un
ejercicio de valoracin de riesgos.
Se aplican los instrumentos denidos
para el cumplimiento del SEVRI
87
deciente para la gestin de
riesgos, y no alineado con el apetito
del riesgo institucional.
Se aplican las indicaciones del SEVRI.
Se realizan auto evaluaciones de
riesgos a nivel de procesos.
88
El personal no est capacitado
adecuadamente para realizar una
gestin efectiva de los riesgos.
Se utilizan las instrucciones denidas
dentro del marco orientador del
SEVRI.
89
los proyectos.
Exposicin de la importancia de
los proyectos en la Asamblea
Legislativa para darles prioridad.
Recurrir a cooperacin internacional.
90
Inestabilidad en el equipo de
proyecto.
Documentacin de los proyectos.
Divulgacin del proyecto
dentro del equipo.
Desarrollo de talleres
91
Desarrollo de proyectos no alineados
al Plan Estratgico
Planicacin de proyectos
de acuerdo con el PAO y la
aprobacin del Gerente de Divisin
Organizacional.
92
documentados
Vericacin de que los
proyectos cumplen con la
metodologa correspondiente.
Validar el cumplimiento de
estndares.
93
Se cuenta con una metodologa
ocializada para la gestin
de proyectos la cual es
de aplicacin obligatoria.
Capacitacin sobre el tema para
los directores de proyecto y los
ingenieros de la USTI.
94
Exceder el tiempo planicado para
la ejecucin de los proyectos.
Seguimiento frecuente de
los proyectos (por semana).
Reasignacin de recursos.
Fortalecer los ejercicios de
planicacin.
95
proyecto.
Establecimiento de
compromisos de gestin.
Vinculacin de Planes Anuales
Operativos entre la USTI y unidades
usuarias.
Evaluacin de riesgos controlados
Id Riesgo P I S
1
1 3 3
2
especicaciones.
1 4 4
3 Desarrollar productos basados en requerimientos incorrectos. 1 4 4
4 Versiones de software desactualizadas. 2 4 8
5 Adquirir software sin programas fuentes. 1 4 4
6 Adquirir software que no tiene representacin en el pas. 1 4 4
7 Equipo daado no puede ser reparado. 1 3 3
8 Red inalmbrica insegura. 2 3 6
9 Dao fsico en los equipos de la plataforma tecnolgica. 1 4 4
10 Obsolescencia de la infraestructura tecnolgica. 2 3 6
11
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
2 3 6
12 No existe gua de usuario para el uso del sistema. 2 2 4
13 Retrasos en los procesos de contratacin administrativa. 2 3 6
14
Se adquiere equipo no compatible con la infraestructura en
uso.
1 3 3
15
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
1 3 3
16 Trabajar directamente en equipos de produccin. 1 4 4
17 Versiones de software para desarrollo y produccin diferentes. 1 4 4
18
2 4 8
19
libre).
1 3 3
20
proveedor.
1 3 3
21
gestin.
2 3 6
22
Denicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
1 3 3
23
2 3 6
24 No existe contrato de mantenimiento 1 4 4
25
2 3 6
26 Incumplimiento de las polticas denidas por las partes. 1 3 3
27 Tiempo de respuesta degradado. 1 3 3
28 No hacer planeamiento de la capacidad. 2 3 6
29
1 4 4
30 Recuperacin de software no es factible 1 4 4
31 Suspensin de servicio de Internet 2 4 8
32 Fallas en los equipos de comunicaciones 2 3 6
33 Fallas en los servidores (computadores principales) 2 3 6
34 Equipo de usuario nal inseguro. 1 3 3
35
integridad de la informacin y el funcionamiento correcto de
las aplicaciones.
2 3 6
36
1 4 4
37
1 2 2
38
por TI.
3 3 9
39
3 3 9
40
1 3 3
41
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
1 3 3
42
1 2 2
43
1 3 3
44
incidentes.
1 3 3
45
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
1 4 4
46
1 3 3
47
No se cuenta o no se aplica el procedimiento denido para la
asignacin, atencin y seguimiento de los incidentes.
1 3 3
48
2 3 6
49
documentacin.
1 4 4
50
2 4 8
51
2 4 8
52
problemas.
3 3 9
53 No se documentan las soluciones aplicadas a los problemas. 4 5 20
54
1 3 3
55
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
1 4 4
56 Informacin desactualizada o incorrecta. 1 4 4
57 Acceso no autorizado a la informacin. 1 5 5
58
1 3 3
59 Acceso no autorizado al centro de cmputo. 2 3 6
60 Ausencia de detectores de humo. 3 3 9
61
3 3 9
62 No aplicacin de las polticas para la generacin de respaldos. 1 4 4
63
la plataforma.
2 3 6
64
establecido.
2 3 6
65
3 3 9
66 No percibir los cambios que se realizan en el entorno. 1 3 3
67
3 4 12
68
terceros.
2 3 6
69 No contar con la documentacin de los procesos de TI. 1 3 3
70 Uso de software no licenciado 1 3 3
71
Exceder la cantidad de usuarios autorizados para utilizar un
1 3 3
72 Facilitar los medios para la instalacin de software a terceros. 2 3 6
73
institucional.
1 4 4
74 Se tiene Plan Estratgico desactualizado. 1 4 4
75
de informacin.
2 3 6
76 Arquitectura de informacin desactualizada. 2 4 8
77
valor.
2 3 6
78
organizacin.
1 3 3
79
mantenimiento.
1 3 3
80
1 2 2
81 No se tienen documentados los canales de comunicacin. 2 2 4
82 No se tiene dominio sobre las herramientas en uso. 2 4 8
83
1 4 4
84
1 4 4
85
Desarrollar productos que no cumplen con los requerimientos
de calidad.
2 3 6
86 No administrar los riesgos de TI. 2 4 8
87
2 4 8
88
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
2 3 6
89
de los proyectos.
2 5 10
90 Inestabilidad en el equipo de proyecto. 1 3 3
91 Desarrollo de proyectos no alineados al Plan Estratgico 1 3 3
92 Los proyectos no estn documentados 2 4 8
93
decientemente.
2 4 8
94
proyectos.
2 3 6
95 Falta de apoyo del patrocinador del proyecto. 2 4 8
P = Probabilidad, I = Impacto, S = Severidad
Mapas trmicos riesgos controlados
Infraestructura
I
m
p
a
c
t
o
5
4 24, 49 31, 50, 51
3 7, 14, 27 10, 32, 33 61
2
1
1 2 3 4 5
Probabilidad
Seguridad y control
I
m
p
a
c
t
o
5 57 53
4
5, 6, 9, 16,
17, 30, 36,
55, 56, 62,
84
4, 18, 86,
87
3
15, 19, 20,
26, 34, 47,
54, 58, 70
8, 35, 59,
63, 68, 72,
88
52, 60
2 37
1
1 2 3 4 5
Probabilidad
I
m
p
a
c
t
o
5
4 29, 45, 83 82, 92, 93
3
40, 41, 43,
44, 46
11, 21, 23,
94
38
2 42 12, 64
1
1 2 3 4 5
Probabilidad
Insercin tecnolgica
I
m
p
a
c
t
o
5 76, 89
4 2, 3, 73, 74 95 67
3
1, 22, 66,
69, 78, 79,
90, 91
13, 25, 28,
48, 75, 77,
85
39, 65
2 80 81
1
1 2 3 4 5
Probabilidad
Para facilitar el anlisis del nivel de riesgo de los procesos de TI se presenta en
siguiente cuadro en el cual se presentan los valores totales de cantidad de riesgos,
por cada proceso, en las evaluaciones de riesgos absolutos y riesgos controlados.
Posteriormente esta informacin se presenta en grcos y cuadros de porcentajes:
Proceso de TI Severidad R. Absolutos R. Controlados
Infraestructura Extrema 1 0
Alta 10 4
Moderada 1 5
Baja 0 3
Total de riesgos 12 12
Seguridad y control Extrema 7 1
Alta 22 6
Moderada 8 19
Baja 0 11
Suministro de
servicios
Extrema 2 0
Alta 11 4
Moderada 6 9
Baja 0 6
I n s e r c i n
tecnolgica
Extrema 3 0
Alta 15 6
Moderada 9 12
Baja 0 9
En los siguientes grcos y cuadros se observa la evaluacin de los riesgos, segn
cada proceso de TI, tanto a nivel absoluto como a nivel controlado. De esta manera
se puede notar fcilmente el efecto de los controles en la distribucin de los riesgos
segn su severidad la cual est representada en lo grcos por los colores usados en
los mapas trmicos.
Riesgos de infraestructura
Riesgos absolutos Riesgos controlados
0 2 4 6 8 10
1
0 1 2 3 4 5
1
Severidad Riesgos absolutos Riesgos controlados
Extrema 8% 0%
Alta 84% 33%
Moderada 8% 42%
Baja 0% 25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos
identicados y relacionados con este proceso.
Riesgos se seguridad y control
0 5 10 15 20 25
1
0 5 10 15 20
1
Extrema 19% 3%
Alta 59% 16%
Moderada 22% 51%
Baja 0% 30%
La mayor cantidad de riesgos identicados estn asociados con el proceso de
seguridad y control, de los 37 riesgos 7 estn en las categoras de severidad extrema
y alta por lo cual deben ser gestionados. Esos 7 riesgos representan el 19% de los
riesgos identicados. Es importante notar que en la valoracin de riesgos absolutos
la cantidad el porcentaje de riesgos clasicados en esa categora es de 78% lo cual
signica que la aplicacin de los controles colabor, de manera muy importante, para
reducir la cantidad de riesgos cuya severidad es extrema y alta.
Riesgos de suministro de servicios
0 2 4 6 8 10 12
1
0 2 4 6 8 10
1
Extrema 11% 0%
Alta 57% 21%
Moderada 32% 47%
Baja 0% 32%
En la calicacin de riesgos absolutos el 78% de los riesgos identicados (en total
19 para el proceso de suministro de servicios) se encuentran con calicacin de
severidad extrema o alta. En la segunda calicacin, considerando la aplicacin de los
controles actuales, en la calicacin de riesgos con severidad extrema se tiene 4%,
eso representa el 21% de los riesgos identicados para el proceso.
Riesgos de insercin tecnolgica
0 2 4 6 8 10 12 14 16
1
0 2 4 6 8 10 12
1
Extrema 11% 0%
Alta 56% 22%
Moderada 33% 45%
Baja 0% 33%
En cuanto al proceso de insercin tecnolgica se identicaron 27 riesgos, es el segundo
proceso en cantidad de riesgos identicados. De estos riesgos el 67% tienen una
calicacin absoluta con severidad extrema y alta. Despus de calicarlos, tomando
en cuenta la aplicacin de los controles actuales, este porcentaje baja a 22% que
corresponde a 6 riesgos con calicacin de severidad alta.
Valoracin del nivel de riesgo de los procesos
Es importante conocer la calicacin global de riesgo que tiene cada proceso tanto a
nivel en la calicacin de riesgos absolutos como de riesgos controlados; este valor se
obtuvo con el promedio de la calicacin de exposicin (impacto * probabilidad) para
los riesgos en cada proceso. Los resultados son los siguientes:
Proceso de TI Riesgos absolutos Riesgos controlados
Infraestructura 10.9 5.7
Seguridad y control 10.6 5.2
Suministro de servicios 9.3 5.0
Insercin tecnolgica 8.9 5.4
En promedio
9.9 5.3
Se puede notar fcilmente que la calicacin de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura as como de seguridad y control
son los que tienen las calicaciones ms altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calicacin est entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados tambin la calicacin es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
insercin tecnolgica los que tienen las calicaciones mayores. Todos los procesos
tienen calicaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Segn ests calicaciones la situacin de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la
calicacin de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atencin:
Id Descripcin del riesgo Proceso de TI relacionado
4
desactualizadas.
Seguridad y control
18
Seguridad y control
31 Suspensin de servicio de Internet Infraestructura
38
39
estn asociados a los servicios de TI.
Insercin tecnolgica
50
conguracin de componentes de la
infraestructura y no se reejan en la
documentacin.
Infraestructura
51
conguracin.
Infraestructura
52
problemas.
Seguridad y control
53
Seguridad y control
60 Ausencia de detectores de humo. Seguridad y control
61
el medio ambiente apropiado
para la operacin de TI (UPS, Aire
acondicionado)
Infraestructura
65
peridicamente el desempeo actual
y la capacidad de los recursos de TI.
Insercin tecnolgica
67
de TI.
Insercin tecnolgica
76
desactualizada.
Insercin tecnolgica
82
86 No administrar los riesgos de TI. Seguridad y control
87
deciente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
Seguridad y control
89
los proyectos.
Insercin tecnolgica
92
documentados
93
95
proyecto.
Insercin tecnolgica
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya
evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id Descripcin del riesgo Planes de accin
4
desactualizadas.
Se presupuestaron las partidas
para contratar el mantenimiento
y se incluy en el PAO la actividad
para actualizacin de plataforma.
En el diagnstico de capacitacin se
incorpor la capacitacin necesaria.
18
procedimientos necesarios para
la administracin de los cambios.
Con base al manual de normas
tcnicas sobre tecnologas de
informacin, se revisar y actualizar
el mtodo para administracin de
los cambios
31
Suspensin de servicio de
Internet
En el presupuesto del 2008 se
incluy el alquiler de un canal alterno
al proveedor actual del servicio para
la solucin de fallas locales en el ISP
38
No se conocen los costos
asignados a los servicios
prestados por TI.
Se desarrollar un modelo de costos
para conocer el costo por servicios o
productos
39
No se cuenta con un proceso
de anlisis para mejorar los
costos que estn asociados a los
servicios de TI.
En paralelo al modelo de costos se
realizar el modelo para el anlisis
respectivo
50
conguracin de componentes
de la infraestructura y no se
reejan en la documentacin.
Se enfatizar en el personal
la obligacin de actualizar la
documentacin con los cambios
que se realicen a la infraestructura
51
cambios en los componentes de
la conguracin.
Se coordinarn los cambios previo
a realizarlos para proyectar el
impacto, incluyendo de ser posible
al proveedor
52
problemas.
Se realizar un taller para analizar las
razones por las cuales no se aplica
en algunos casos el procedimiento, y
para generar las acciones correctivas
53
Se incluy como parte del manual
para continuidad de la operacin, la
obligacin de documentar soluciones
aplicadas para el mejoramiento
continuo.
Sin incluy en el presupuesto del
2008 la adquisicin de la solucin
61
Fallas en los equipos que
mantienen el medio ambiente
apropiado para la operacin de
TI (UPS, Aire acondicionado)
El CC mantiene una UPS exclusiva
para equipos crticos y se compr
una adicional para respaldo de las
tres que soportan toda la institucin.
Se est elaborando el procedimiento
institucional para soporte de medio
ambiente.
65
No contar con un proceso
para revisar peridicamente el
desempeo actual y la capacidad
de los recursos de TI.
A partir del 2008 se aplicar un
nuevo mtodo de evaluacin del
desempeo basado en compromisos
de desempeo
67
relevantes y que no colaboran en
la identicacin de oportunidades
de mejora en los procesos
importantes de TI.
Con base a los planes tcticos y
la nueva cartera de proyectos se
redisearon los indicadores para
medir el desempeo
76
desactualizada.
Se tiene programada la revisin de
la arquitectura para ajustarla de
ser necesario, con base a la nueva
cartera de proyectos
82
Se desarrollar la capacitacin
necesaria para que el personal utilice
las herramientas adecuadamente
Se establecern administradores de
riesgos por rea de coordinacin, y
reuniones mensuales de seguimiento
para auto evaluacin y mejora
87
deciente para la gestin de
riesgos, y no alineado con el
apetito del riesgo institucional.
Se lleva a cabo estudio de auditora, se
desarrollo un sistema automatizado
para control de riesgos, y se est
realizando una evaluacin de
riesgos.
89
presupuestario para la ejecucin
de los proyectos.
Ajustar la cartera de proyectos al
presupuesto aprobado y elaborar
un presupuesto extraordinario para
reprogramar los proyectos en caso
de que este se apruebe
92
documentados
Se harn auditorias peridicas
para control de los expedientes de
sistemas
93
referencia para la gestin de
los proyectos en cuanto a
su iniciacin, planicacin,
ejecucin, control y cierre, o
aplicar ese marco de referencia
decientemente.
Se acord capacitar en el 2008 a
todos los gerentes sobre la necesidad
de aplicar la metodologa, e iniciar
cada proyecto capacitando a todo el
equipo de proyecto
95
proyecto.
A partir de la nueva cartera de proyectos,
los gerentes de Divisin tienen que
asegurar los recursos a los proyectos
en los cuales son patrocinadores; total o
compartido, e incluirlos como parte de
su PAO
Evaluacin de riesgos tratados
En la siguiente tabla se presenta la calicacin de los riesgos proyectando la aplicacin
de los planes de tratamiento (riesgos tratados):
Id Riesgo P I S
4
Versiones de software desactualizadas.
1 3 3
18
1 4 4
31
Suspensin de servicio de Internet
2 2 4
38
por TI.
1 3 3
39
1 3 3
50
1 4 4
51
1 4 4
52
problemas.
2 3 6
53 No se documentan las soluciones aplicadas a los problemas.
1 5 5
60
Ausencia de detectores de humo.
2 3 6
61
2 3 6
65
1 3 3
67
1 3 3
76
Arquitectura de informacin desactualizada.
1 4 4
82
No se tiene dominio sobre las herramientas en uso.
1 3 3
86
No administrar los riesgos de TI. 1 4 4
87
1 4 4
89
de los proyectos.
1 5 5
92
Los proyectos no estn documentados
1 4 4
93
decientemente.
1 3 3
95 Falta de apoyo del patrocinador del proyecto.
1 4 4
Es interesante observar la evolucin de los riesgos en cada uno de los niveles de
evaluacin (absoluto, controlado y tratado); seguidamente se presenta la calicacin
para los riesgos prioritarios.
ID Riesgo Absoluto Controlado Tratado
4 Versiones de software desactualizadas.
12 8 3
18
12
8 4
31
Suspensin de servicio de Internet
12 8 4
38
No se conocen los costos asignados a los
servicios prestados por TI.
9 9 3
39
No se cuenta con un proceso de anlisis
para mejorar los costos que estn
asociados a los servicios de TI.
9 9 3
50
Se realizan cambios en la conguracin
de componentes de la infraestructura y
12
8 4
51
No se conoce el impacto de hacer cambios
en los componentes de la conguracin.
12 8 4
52
No se aplica el procedimiento ocializado
para la gestin de problemas.
9 9 6
53
20 20 5
60
Ausencia de detectores de humo. 9
9 6
61
el medio ambiente apropiado para la
operacin de TI (UPS, Aire acondicionado)
15 9 6
65
peridicamente el desempeo actual y la
capacidad de los recursos de TI.
9 9 3
67
Utilizacin de indicadores sobre el
desempeo de TI que no son relevantes y
que no colaboran en la identicacin de
oportunidades de mejora en los procesos
importantes de TI.
12 12 3
76
desactualizada.
12
8 4
82
No se tiene dominio sobre las herramientas
en uso.
12 8 3
86
No administrar los riesgos de TI.
16 8 4
87
Utilizar un marco de trabajo deciente
para la gestin de riesgos, y no alineado
con el apetito del riesgo institucional.
16 8 4
89
No contar con el contenido presupuestario
para la ejecucin de los proyectos.
10 10 5
92
Los proyectos no estn documentados
16 8 4
93
No contar con un marco de referencia
para la gestin de los proyectos en cuanto
a su iniciacin, planicacin, ejecucin,
control y cierre, o aplicar ese marco de
16 8 3
95
proyecto.
16 8 4
Organizacin para la gestin de los riesgos
A efectos de mantener una organizacin adecuada para la Gestin de los Riesgos en
la USTI, y con el objetivo de mantener riesgos actualizados, controlados, y planes de
tratamiento para mitigarlos, se adecua la organizacin mediante asignar un asistente
de la jefatura que recopile riesgos en un nivel preliminar, los procese, y para que
actualice el mapa trmico para conocimiento de la jefatura y los coordinadores de
rea.
La identicacin y evaluacin de los riesgos debe ser sustentado por un sistema
participativo de planicacin que considere la misin y la visin institucionales, as
como objetivos, metas y polticas; por esa razn se estarn realizando reuniones una
vez al mes con los coordinadores de rea para considerar el tema.
Se reforzar la administracin basada en riesgos para los coordinadores de rea y
asistente de la jefatura, con el objetivo que darle robustez a la organizacin y a la UTI en
su gestin, siempre bajo el modelo de administracin de riesgos de la CGR, la poltica
de valoracin de riesgos emitida por el Despacho, la metodologa para valoracin de
riesgos, y los lineamientos generados por la Divisin de Estrategia Institucional.
Los insumos para la identicacin de riesgos estarn basados principalmente en los
que a continuacin se indican:
Planes institucionales, sectoriales y nacionales.
Anlisis del entorno interno y externo.
Evaluaciones institucionales.
Descripcin de la organizacin (procesos, presupuesto, sistema de control
interno).
Normativa externa e interna asociada con la proceso/proyecto e institucin.
Documentos de operacin diaria y de la evaluacin peridica.
A continuacin se incluye el organigrama de la UTI; segn la propuesta en donde se
identica al asistente de la jefatura, y a los coordinadores en su ltimo nivel.
Divisin de Desar r ollo I nstitucional
Unidad de Sistemas y T ecnologa de I nfor macin
(1)
Or ganizacin
Despacho
Contr alor a Gener al
Divisin
Gestin de Apoyo
Unidad
Tecnologas I nfor macin
Comit Ger encial
de T I Cs
Desar r ollo
Sistemas
Sopor te a
Clientes
Platafor ma de
R edes
Platafor ma
Tecnolgica
Centr o de
Cmputo
Pr esupuesto y
Compr as
Secr etar a
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que
se incorporan a continuacin en el presente documento.
a. Mantener un mapa trmico actualizado con los riesgos controlados que
estn identicados con una severidad alta o extrema.
b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de
la UTI evale con los coordinadores de rea los planes de tratamiento que
se estn aplicando a los riesgos del mapa trmico identicados como alto
o extremo, con el objetivo de actualizarlos si se considera que es factible
mejorarlos para mitigar el riesgo.
c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin,
mediante capacitacin peridica y con base en los anlisis que se realicen
en las reuniones los das lunes primero de mes.
d. Centralizar la actualizacin preliminar de los riesgos identicados,
controlados, y planes de tratamiento, en un asistente de la jefatura de UTI
que se encargar de preparar el material de la reunin de los lunes, y de
alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo
riesgo que clasique como alto o severo.
e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con
nes de clasicarlos, para alertar a la jefatura en caso de riesgos extremos
o altos.
f. Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos
controles que han sido aplicados, a n de mantener la administracin de
riesgos actualizada; sin importar para este caso el nivel de riesgo; todos
deben ser reportados para procesarlos.
g. Adquisicin de un software institucional que facilite la administracin
basada en riesgos.
Anexo - NTP4
Instrumento metodolgico MAI
Anexo - NTP4
Instrumento metodolgico MAI
Proyecto para el desarrollo de un
Modelo de Arquitectura de Informacin para la
Contralora General de la Repblica.
Instrumento metodolgico.
Descripcin de la metodologa a utilizar
La Arquitectura de Informacin (MAI) de la Contralora General de la Repblica ser
actualizada a partir de los procesos denidos o modicados en la ms reciente versin
ocializada del Manual General de Fiscalizacin (MAGEFI).
Para la denicin de dicha Arquitectura se utilizar la metodologa de Business System
Planning (BSP) (Planicacin de los Sistemas del Negocio), la cual implementa
un enfoque estructurado para ayudar a la organizacin a establecer los ujos de
informacin y el manejo de los datos que son utilizados por los procesos. Se utilizar
una versin simplicada de la metodologa BSP, dado que a la fecha se dispone
nicamente de la descripcin macro de todos los procesos de la organizacin.
El MAGEFI ser el marco conceptual general, a partir del cual se detallarn los ujos
de informacin y los datos involucrados.
Se plantea inicialmente aplicar BSP a manera de plan piloto (posiblemente aplicado a
por lo menos dos procesos representativos), para adaptar y anar el mtodo a nuestras
necesidades, para luego abarcar todos los procesos con el apoyo de los expertos
funcionales de cada una de las reas de la organizacin.
Para cada uno de los procesos se deber generar una tabla que incluya:
Nombre del proceso
rea(s) que lo ejecuta(n) deniendo responsables y participantes.
Detalle de los diferentes insumos y productos del proceso a nivel de entidad
de informacin
1
.
Clientes inmediatos de los productos (internos y externos).
Sistemas de informacin involucrados.
Necesidad de sistemas de informacin u otras soluciones.
Con dicha informacin se aplicarn cada uno de los pasos denidos en la tcnica del
BSP, a saber:
Paso 1: Denir los procesos del Negocio
Lista de procesos
Breve descripcin de cada proceso
reas responsables y participantes
Paso 2: Denir clases de datos
Clase de datos: grupo de datos categorizado lgicamente a nivel de entidad
de informacin.
Crear la Matriz de Proceso/Base de Datos Sujeto, indicando quin crea la
informacin y quin la usa.
Paso 3: Mapear como utiliza la organizacin los datos (a nivel de entidad de informacin)
Generar matriz de procesos y responsables
Generar matriz de procesos y sistemas
1
Una entidad es una cosa u objeto en el mundo real que es distinguible de todos los dems objetos. Una entidad tiene un
conjunto de propiedades y los valores para algn conjunto de estas propiedades pueden identicar a una entidad de forma
univoca. Un conjunto de entidades es la totalidad de las entidades de mismo tipo que comparten las mismas propiedades.
Paso 4: Denir la arquitectura de informacin
Ordenar las bases de datos sujeto por proceso
Agrupar procesos y datos en sistemas principales
Se trazan los ujos de datos de un sistema a otro, del que lo crea al que lo
utiliza.
Poner nombres (tentativos) a los subsistemas de informacin.
Paso 5: Elaborar la matriz de prerrequisitos para determinar la secuencia de desarrollo.
Paso 6: Identicacin bsica de macrosistemas y subsistemas.
Opciones para la recopilacin de la informacin
En la recopilacin de la informacin requerida por el BSP para la denicin de la Arquitectura
de Informacin, es fundamental la participacin de expertos funcionales para cada proceso
denido en la ltima versin del MAGEFI. Estos mismos expertos sern los que en su momento
debern documentar y detallar a nivel de procedimientos, todas las actividades denidas
para el proceso por ellos conocido. Para el xito de ambos proyectos es fundamental la
disponibilidad de tiempo y el compromiso de dichos expertos.
Teniendo presente que la fecha lmite, planteada para cumplir con lo que establece la norma
2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin, de contar con un modelo de Arquitectura de Informacin, est denida como
30 de junio del ao 2009, se hace necesario analizar las siguientes alternativas de accin:
Opcin 1: Realizar el levantamiento de informacin requerida para la denicin del MAI,
unindose al proceso de detallar los procesos denidos por el MAGEFI y documentar los
respectivos procedimientos.
Ventajas:
Se realiza un proceso coordinado mediante el cual los expertos funcionales
de cada proceso responden a un nico requerimiento de denicin de los
procesos, tanto para detallar el MAGEFI como para crear el MAI.
En el anlisis detallado de los procesos los expertos funcionales pueden
determinar de mejor manera las entidades y ujos de informacin inmersos
en el proceso.
Desventajas:
Se ve difcil lograr recabar toda la informacin requerida para crear el MAI,
con el suciente tiempo para tener dicho modelo bien documentado a
junio 2009; a no ser que la documentacin detallada de los procesos del
MAGEFI se logre enmarcar dentro de las mismas fechas y esto para todos
los procesos compilados en dicho manual.
En la denicin detallada de los procesos del MAGEFI podra suceder
que no todos los procesos puedan ser atendidos al mismo ritmo debido a
las mltiples ocupaciones de los expertos funcionales, lo cual afectara la
denicin del MAI debido al faltante de la informacin de esos procesos.
Opcin 2: Realizar el levantamiento de informacin requerida para la denicin
del MAI realizando una coordinacin directa entre el equipo de proyecto MAI y los
expertos funcionales conocedores de los procesos, adelantndose al levantamiento de
informacin que realizar el equipo MAGEFI.
Ventajas:
Se puede recopilar la informacin necesaria para crear el MAI con suciente
tiempo para cumplir con la fecha lmite planteada (junio 2009).
Se contara con el apoyo del Despacho para que los expertos funcionales
respondan primero a los requerimientos de informacin para crear el MAI,
los cuales son menores en cantidad respecto a lo requerido para detallar
los procesos del MAGEFI y documentar los procedimientos.
Se tendra una muy buena base para la denicin de procesos del MAGEFI.
Desventajas:
Los expertos funcionales debern responder inicialmente a lo que el
proyecto de creacin del MAI les demande, para luego trabajar en detallar
y documentar los procesos del MAGEFI.
Podra darse una duplicidad de esfuerzos, aunque este riesgo se puede
mitigar con la apropiada asesora a los expertos y la coordinacin respecto
a los requerimientos planteados por ambos proyectos (MAGEFI y MAI).
El levantamiento de informacin para crear el MAI se adelanta a la denicin
de los procesos y a la documentacin de los procedimientos, pudiendo
estos cambiar cuando se realice el correspondiente anlisis detallado.
Se corre el riesgo de denir un modelo de arquitectura de informacin que
reeja los datos y los ujos a como se hacen las cosas hoy y no a como
el MAGEFI lo plantea, esto por cuanto este manual introduce cambios de
visin respecto al cmo se hacen las cosas.
Recomendacin:
Teniendo como fecha lmite para contar con el Modelo de Arquitectura de Informacin el
30 de junio de 2009, recomendamos la aplicacin de la opcin 2, la cual permitir contar a
tiempo con los insumos requeridos para crear el MAI y dar as cumplimiento a lo establecido
por la norma 2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las
Tecnologas de Informacin.
Dado que el MAI es un modelo vivo dentro de la organizacin, todo cambio en los procesos
se puede y deber aplicar posteriormente. Es as como cualquier cambio que surja con
la posterior institucionalizacin de los procesos del nuevo MAGEFI, puede ser aplicado al
modelo de Arquitectura de Informacin sin ningn problema.
El equipo de proyecto MAI ve difcil lograr coordinar las fechas del proyecto MAGEFI con
la fecha lmite de 30 de junio de 2009, tomando en cuenta las mltiples ocupaciones
de los expertos en los procesos y las temporadas pico en procesos como lo son la
tramitacin de presupuestos ordinarios o los procesos de contratacin administrativa
que se incrementan conforme se acerca el n y principio del ao.
Adicionalmente, debe considerarse la dicultad de documentar un procedimiento por
cada actividad que conforma cada proceso; si se consideran entre 3 y 5 actividades
por proceso y en total se tienen 26 procesos, estamos hablando de que sern cerca
de 120 procedimientos por documentar.
Anexo - NTP5
Diagnostico inicial MAI
Anexo - NTP5
Diagnostico inicial MAI
Proyecto para el desarrollo de un
Documento de Diagnstico
Necesidad que atiende el presente documento
El presente documento expone los resultados de una investigacin de mejores
prcticas metodolgicas a tomar en consideracin para el desarrollo de un modelo de
arquitectura de informacin (MAI) para la Contralora General de la Repblica (CGR),
tomando en cuenta que est acorde con las ltimas orientaciones estratgicas y
tcticas, que la institucin se ha dictado para gestionar las tecnologas de informacin
y comunicacin.
Esta propuesta constituye el primer producto documental del proyecto a ser aprobado
formalmente, que conocer la jefatura de la Unidad de Sistemas y Tecnologa de
Informacin en primera instancia, para que la retroalimente y le d el trmite necesario
para su aprobacin. De esa forma el trabajo sucesivo del proyecto puede contar con
el respaldo superior necesario, para llevarlo a buen trmino en el mbito institucional.
Justicacin
La informacin y las comunicaciones son medios indispensables para el funcionamiento
de cualquier organizacin, ms an para organizaciones como la Contralora General,
que procesa informacin o datos, por medio del conocimiento, para generar y comunicar
nueva informacin (evaluaciones, refrendos, tasas, criterios tcnicos, lineamientos,
disposiciones, aprobaciones, etc.) En ese contexto, el manejo y aprovechamiento de
la informacin y de las comunicaciones requiere importantes esfuerzos y costos, que
deben verse compensados por el valor agregado que generan.
Asimismo, los esfuerzos y costos para gestionar la informacin y las comunicaciones
dependen, indiscutiblemente, de las tecnologas relacionadas (TIC). La inversin
en stas y en el conocimiento necesario para que las personas las aprovechen al
mximo, bien puede considerarse entre los principales rubros en los presupuestos de
las organizaciones modernas, para mantenerse actualizadas en la materia.
Es sumamente riesgoso que las organizaciones hagan altas inversiones en TIC sin
una idea clara de cmo debe ordenarse sistemticamente el ujo de datos y las
comunicaciones; para apoyar de manera intencionada la operacin de los procesos,
as como el cumplimiento de la estrategia y planes organizacionales.
La teora y prctica administrativa y del control interno, en virtud del carcter estratgico
e importancia relativa de estas inversiones, cada vez con ms urgencia llaman la
atencin sobre las mejores prcticas en esta materia. Es as como la Contralora
General, en las Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin, emitidas mediante la Resolucin del Despacho de la Contralora General
de la Repblica, Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta
Nro.119 del 21 de junio de ese mismo ao, incluye una norma referida al modelo de
arquitectura de informacin, en los siguientes trminos:
En efecto, un asunto trascendental en este contexto de alta dependencia de las TIC
para la gestin estratgica, tctica y operativa de la informacin y las comunicaciones;
es disponer de un Modelo de Arquitectura de Informacin (MAI), que soportado en el
modelado de los procesos de la organizacin, establezca cual es la informacin que
en stos uye, el manejo que debe drsele y la integracin entre los procesos a nivel
de ujos de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justicar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la abilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
La CGR emprende, actualmente, importantes esfuerzos para aplicar las referidas
Normas Tcnicas para la Gestin y el Control de las TIC, como mejores prcticas de
apoyo para la gestin estratgica institucional. El Modelo de Arquitectura de Informacin
(MAI), es una pieza fundamental para esos efectos, tal como lo han contemplado el
Plan Estratgico de TIC 2007-2010 (PETIC) y su correspondiente Plan Tctico 2008-
2010 (PTAC), que conforman el antecedente ms cercano en esta materia.
Con la elaboracin del MAI, la CGR cumple adems con el referido numeral que
especcamente regula este aspecto en las Normas Tcnicas para la Gestin y el
Control de las Tecnologas de Informacin, emitidas por este rgano Contralor.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identicarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, denir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y
Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de
informacin que, en buena medida, ha determinado el inventario de sistemas de
informacin y de soluciones tecnolgicas disponibles. Ese modelado, el conocimiento
y la experiencia generada al construirlos sern insumo importante para el presente
proyecto.
Ese modelado previo requiere ser actualizado para que responda a los aspectos
cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan
requisitos que aquel modelo no contempl en su momento. Esa realidad queda
evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha
dictado para gestionar las TIC institucionales, las cuales se resumen y presentan en el
anexo 1 del presente documento.
Estas orientaciones estratgicas y tcticas planteadas en el PETIC y en el PTAC
constituyen un insumo bsico para analizar y escoger el marco metodolgico para
desarrollar un modelo de arquitectura de informacin en la CGR. Este MAI deber
ser una herramienta a usar por el nivel estratgico de la organizacin, que ayude a
visualizar con base en prioridades y lineamientos del Plan Estratgico Institucional, el
aporte o apoyo que las TICs brindan al logro de objetivos institucionales. Es por ello
que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico de TIC
(PETIC). Se puede indicar que un buen PETIC incorpora un estado actual y futuro del
MAI y al mismo tiempo un buen MAI debe considerar los lineamientos o fundamentos
bsicos del PETIC.
Esquema metodolgico
El equipo de trabajo investig varias metodologas relacionadas con el desarrollo
de un Modelo de Arquitectura de Informacin, viendo este modelo como una pieza
importante dentro de un modelo mayor que le da sentido y utilidad. Ese modelo
mayor es el Modelo de Arquitectura Empresarial (MAE) el cual busca establecer la
forma en que los procesos de la organizacin se interrelacionan, apoyados por TICs
en cuanto al manejo y procesamiento de la informacin.
Este Modelo de Arquitectura Empresarial se divide en dos perspectivas: la perspectiva
orientada al negocio, en donde se ven los procesos, sus interrelaciones y los datos
involucrados (es aqu donde se tiene el MAI); y la perspectiva tcnica que establece
la forma en que se organiza y disponen las TIC para dar soporte a los procesos. El
MAE constituye una herramienta vital en orden a orientar toda inversin en tecnologa,
proveyendo elementos imparciales que sustenten no slo justicar dicha inversin,
sino tambin la medicin del impacto que se obtendr en el logro de los objetivos
institucionales.
Dentro de este modelo general el MAI es verdaderamente una herramienta de gestin
y toma de decisiones en materia de TIC, esto en la medida en que la perspectiva
tcnica responda a lo que el arquitecto plantea, en relacin a lo que los procesos de la
organizacin necesitan para el manejo de la informacin y los datos.
Este documento presenta el siguiente esquema metodolgico, tendiente a establecer
un marco de referencia que permita conocer la forma en que debe desarrollarse una
arquitectura de informacin, dentro de un enfoque incremental basado en un modelo
de madurez.
Para ello, a continuacin seala como puntos de referencia los componentes del modelo
de arquitectura empresarial (dentro del cual, una de las piezas es la arquitectura de la
informacin) y un esquema de madurez para denirla y guiar su implementacin en
la CGR, desde un nivel bsico hasta uno ptimo.
El modelo empresarial deber considerar los siguientes componentes:
1. Procesos del negocio de la CGR
a. Misin, visin, valores, objetivos estratgicos
b. Modelo de gestin de la CGR
c. Macroprocesos y procesos de la cadena de Valor de la CGR.
2. Informacin y comunicaciones
a. Flujos de datos basado en el modelo organizacional
b. Manejo operativo, plazos, responsables, propiedad y custodia, seguridad
sobre los datos
c. Denicin e integracin de los macrosistemas para la organizacin.
3. Aplicaciones
a. Inventario de sistemas y soluciones
b. Interfaces y relaciones, ujos de datos
c. Enlaces de telecomunicacin y servicios extendidos (Internet, extranet,
intranet)
4. Tecnologa
a. Plataformas fsicas
b. Conectividad
c. Seguridad de los datos
d. Sistemas de base
e. Gestores de bases de datos
f. Lenguajes y herramientas de desarrollo
El modelo empresarial describir los procesos de la CGR y la forma en que esos
procesos funcionan, los datos involucrados y el ujo que presentan; los recursos
tecnolgicos y de otras naturalezas que requieren para operar de manera ptima.
El MAI deber entonces establecer el diseo general de los sistemas de informacin
(no necesariamente ya automatizados), los datos y sus interrelaciones, documentar
un diccionario de datos del negocio (institucional) con su esquema de clasicacin,
estableciendo criticidad, sensitividad y propiedad de los datos. Finalmente deber
establecer los controles de seguridad apropiados para cada una de las clasicaciones.
Para la implementacin de un MAE es claro que debe considerarse un desarrollo
gradual por niveles, en el cual, ubicando la situacin de la organizacin respecto
de los diversos componentes del modelo, se establece un estado actual y se trabaja
ordenadamente para lograr alcanzar el nivel inmediato superior.
Para ello nuestra propuesta de niveles de capacidades asociados a cada componente
es la siguiente:
C: \Documents and
Settings\jleon\Escritorio\Trabajo Actual\MAI \ESQUEMA DE MADUREZ DE LOS COMPONENTES DEL MAI . doc
Evolucin segn modelo de madurez
La Contralora General procurar evolucionar su modelo de informacin desde una
perspectiva de madurez de capacidades. El equipo de trabajo aplicar un diagnstico
para determinar el estado actual de la CGR con respecto al modelo de referencia,
el cual puede ser objeto de mejoras conforme se vaya desarrollando el proyecto. El
horizonte de tiempo para ir alcanzando estados de madurez sucesivos, depender
de lo que el modelo de procesos establezca y de la dedicacin de recursos para
alcanzarlo, segn la relacin que debe existir entre el MAI y el MAE como se explic
en el enfoque metodolgico.
Alcances y limitaciones
Coma ya se indic la elaboracin de cualquier modelo de informacin deber partir de
la perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la denicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en el ms reciente Manual General de Fiscalizacin
(MAGEFI).
El nivel de desarrollo del MAI en la CGR ser hasta el nivel que lo permita el modelado
organizacional existente; inicialmente en trminos de insumo, actividades del proceso
y productos, que es lo denido en el nuevo MAGEFI.
Las personas con conocimiento experto en los procesos, mismas que debern
implementar en la organizacin lo que el MAGEFI plantea, sern las personas que
debern aportar la visin de datos asociada a los procesos, que servir como insumo
para desarrollar el MAI de la CGR.
Estrategia de desarrollo
El equipo del proyecto MAI realizar un diagnstico dirigido a ubicar la situacin actual
de la CGR en el modelo de capacidades planteado como punto de referencia. Una
vez ubicado el estado actual se trabajar para lograr las condiciones requeridas en el
siguiente nivel.
Para la recopilacin de la informacin relacionada con los datos que utilizan y
uyen por los diferentes procesos de la organizacin se recurrir a los expertos en
los diferentes procesos. Para orientar y estandarizar la forma en que estos expertos
documentan la visin del negocio desde la perspectiva de los datos, el equipo del
proyecto MAI desarrollar los instrumentos de captura de informacin apropiados.
Para ello este equipo aplicar antes los instrumentos desarrollados en un proceso
piloto para evaluarlos y ajustarlos.
Una vez que se cuente con dichos instrumentos para el levantamiento de la informacin
requerida para hacer el MAI, ser necesario desarrollar talleres con expertos funcionales
de las diversas divisiones operativas de la CGR, con el n de explicarles el trabajo a
realizar, el instrumento metodolgico a utilizar y los plazos sugeridos para recopilar la
informacin para cada uno de los procesos.
Se utilizar como referencia el ltimo modelado de procesos denido para la CGR,
con a las actividades all propuestas, sean stas vigentes o estn por implementarse,
conforme a la propuesta del MAGEFI.
Los expertos documentarn sobre la informacin que cada uno de sus procesos requiere
o genera y harn llegar al equipo del proyecto MAI los formularios debidamente llenos.
El equipo del proyecto MAI procesar la informacin que remitan los expertos funcionales
y elaborar el modelo de informacin que incluye el diseo de su representacin lgica,
el diccionario de datos institucional y el modelo de referencia para la clasicacin
de los datos. Deber considerar el uso compartido de la informacin, su integridad,
exibilidad, y la correcta, eciente y econmica, oportuna y segura operacin.
El modelo deber estar debidamente documentado, tanto en forma narrativa como
mediante una representacin grca que permita resumir y visualizar con suma claridad
los ujos de informacin y la forma en que interactan los procesos institucionales a
nivel de datos. Deber clasicar los datos a nivel institucional permitiendo identicar los
propietarios y responsables de los datos, catalogar los datos con base en su criticidad,
sensitividad, multimedios y ubicacin fsica. Deber facilitar la determinacin de
los privilegios de acceso de los usuarios, as como los requerimientos de respaldo y
disponibilidad, retencin (tiempo de almacenamiento), desecho, y necesidad relativa
de cifrado (encripcin). El modelo debe promover la seguridad informtica en todos
los alcances pertinentes.
A partir del MAI actualizado ser posible plantear los macro sistemas sustantivos y de
apoyo, as como los sistemas o soluciones adicionales que requiere la institucin para
operar. Esta propuesta de macrosistemas, unida al MAI ser el insumo indispensable
para que la USTI desarrolle una intensa actividad tendiente a inventariar las necesidades
de informacin, documentarlas y confrontarlas contra los sistemas actuales, para
luego identicar sistemas que requieren modicaciones, as como nuevos sistemas a
incluir dentro de un plan de sistemas.
Finalmente el proyecto de desarrollo del MAI establecer una actividad de evaluacin
de resultados, con el n de diagnosticar el cumplimiento del objetivo, as como del
logro de los productos previstos.
El anexo 2 contiene un cuadro de tareas a realizar estableciendo el plazo estimado y
los responsables de realizarlas.
Modelo sostenible en el tiempo
El modelo debe mantener vigencia, por lo que la organizacin deber desarrollar los
procedimientos de actualizacin y documentacin pertinentes.
El modelo deber ser la referencia para denir, estandarizar y habilitar la infraestructura
tecnolgica de la organizacin, de forma que sea tanto una herramienta de
administracin de la informacin, como la base para dirigir la inversin tecnolgica
con alineacin estratgica institucional.
Finalmente la organizacin deber revisar peridicamente el MAI para medir el alcance
de sus resultados y determinar las actividades que requieren seguimiento o mejora.
Asimismo el PETIC deber contemplar actividades tendientes a mantener vigente el
MAI y alinear la perspectiva de desarrollo tecnolgico a este modelo, tomando en
cuenta tanto los sistemas que ya estn operando, como la plataforma tecnolgica
instalada.
Objetivo del proyecto
Actualizar y mejorar el modelo de arquitectura de la informacin de la CGR, en el
transcurso de los prximos doce (12) meses, mediante la identicacin, denicin y
documentacin del conjunto de datos requeridos para apoyar la operacin y la toma
de decisiones en los diversos macro procesos y procesos de la CGR, y proponer un
modelo de macro sistemas que apoyen el manejo de esos macro procesos.
Productos
Modelo de arquitectura de informacin de la CGR (MAI)
Propuesta de modelo de macro sistemas que soporten los macro procesos
de Fiscalizacin Integral, Gobierno Corporativo, Gestin del Conocimiento y
Gestin de Recursos.
Subproductos
a. Representacin lgica del ujo de informacin institucional, totalmente
alineado al modelado organizacional planteado en el ltimo MAGEFI. Debe
considerar la creacin y uso compartido de la informacin institucional de
forma ntegra, exible, funcional, eciente y econmica, as como oportuna,
y con la debida seguridad.
b. Modelo de referencia para clasicar datos a nivel institucional, que permita
catalogar los datos con base en su criticidad y sensitividad, propiedad,
niveles de seguridad (acceso, respaldo y disponibilidad, as como
requerimientos de cifrado), retencin y desecho. El modelo de referencia
debe ser documentado.
c. Diccionario de datos institucional debidamente actualizado y documentado,
con las respectivas reglas de sintaxis, que identique y regule la utilizacin
de los datos en los procesos; los clasique y establezca la seguridad a
aplicar.
d. Procedimientos de actualizacin y documentacin del modelo de arquitectura
de informacin.
Factores crticos de xito del MAI y gestin de riesgos
Como parte del alineamiento del Plan Estratgico y del Plan Tctico de Tecnologas de
Informacin y Comunicacin (PETIC-PTAC), el proyecto de Modelo de Arquitectura de
Informacin depende de un conjunto de factores crticos de xito (FCE) consignados
en esos planes, respecto de los cuales se puede establecer una correspondencia para
el MAI, a saber:
FCE de PETIC y PTAC Correspondencia para el MAI
Potencial humano: La participacin del personal
a partir de un perl de competencias claramente
denido y adecuado a las tecnologas de
informacin facilitar el logro de las iniciativas
contenidas en este plan.
El equipo encargado del desarrollo del MAI debe
estar conformado por representantes de las
diversas unidades de la CGR, de manera que,
en conjunto, renan suciente conocimiento y
experiencia sobre la institucin, sus cometidos
estratgicos, sus procesos y adems sobre
metodologas ampliamente aceptadas para el
desarrollo de modelos de arquitectura.
Los funcionarios que se consulten en las diversas
fases de desarrollo del MAI deben tambin ser
de amplia experiencia en la institucin y en los
procesos respectivos.
Evolucin: Depuracin, documentacin
y desarrollo del modelo de informacin y
comunicacin institucional.
Reactivacin del comit gerencial de tecnologas
de informacin y comunicacin.
Los requisitos para el desarrollo del MAI deben
contemplar los aspectos de depuracin,
documentacin y desarrollo, partiendo de los
insumos disponibles en la CGR.
El Comit Gerencial de Tecnologas de informacin
y comunicacin debe conocer y aprobar el
modelo de arquitectura, para que en conjunto
con el modelo de infraestructura tecnolgica, sea
usado como base para la evolucin en materia de
tecnologas dentro de la organizacin.
Planicacin detallada: se reere al proceso
de planicacin tctica, el cual desarrollar el
portafolio de proyectos, y al grupo de indicadores
de gestin necesarios para gestionar las
actividades de ejecucin continua que resulten
pertinentes.
El PTAC en sus futuras revisiones y
reformulaciones deber tomar como referencia el
modelo de arquitectura de informacin y alinear
la cartera de proyectos para que dicho modelo
sea desarrollado, orientando las acciones hacia
el logro de los objetivos para los cuales el MAI
fue creado.
El MAI debe incluir una especicacin
de variables a medir u observar para dar
cuenta de en qu medida est logrando
un valor agregado al manejo de la
informacin y las comunicaciones en la
CGR.
Asimismo, el PETIC y PTAC estn expuestos a riesgos internos y externos que
requieren medidas de gestin para aprovechar las probables oportunidades y mitigar
las potenciales consecuencias negativas, segn lo establecen ambos planes, respecto
de lo cual tambin se puede establecer una correspondencia para el MAI:
reas generales de riesgo
en PETIC- PTAC
Correspondencia para el MAI
EXTERNOS
Contenido presupuestario: En vista de
que el presupuesto de la CGR depende
del presupuesto nacional, pueden ocurrir
recortes en algunos rubros que obliguen
a disminuir el alcance y cumplimiento del
portafolio de proyectos. O bien, puede
suceder que an existiendo el contenido
presupuestario, ste no haya sido
estimado de forma adecuada, de manera
que los recursos sean insucientes para
cumplir con los objetivos planteados.
Debe preverse oportunamente si el
desarrollo e implementacin del MAI va
a demandar recursos adicionales a la
dedicacin de los funcionarios de CGR
que participarn en su planteamiento,
tales como determinada disponibilidad
tecnolgica, asesoras, capacitacin y
referencias bibliogrcas.
No disponer de recursos externos,
alianzas y convenios con entidades que
tengan experiencia en el desarrollo de
modelos de arquitectura de informacin.
INTERNOS
Viabilidad de los proyectos: Los proyectos
requieren condiciones particulares para
realizarlos, segn sus caractersticas
tecnolgicas, jurdicas y de otra
naturaleza.
No contar con un marco de referencia
para la gestin del los proyectos en
cuanto a su iniciacin, planicacin,
ejecucin, control y cierre, o aplicar ese
marco de referencia decientemente.
Dependencia del proyecto MAGEFI: Que
el nivel de detalle de la documentacin
de los procesos que se requiere no sea
suciente para el desarrollo del MAI.
Potencial humano capacitado: Contar
con personal humano capacitado,
un perl apropiado y el proceso de
capacitacin facilitar an ms que el
personal pueda desarrollar sus tareas y
apoyar el cumplimiento de los objetivos
institucionales.
El personal no cuenta con el tiempo
suciente para dedicarse a las tareas
propias del desarrollo del modelo de
arquitectura de informacin.
Los expertos funcionales requeridos
para el desarrollo del proyecto MAI
tienen a su vez que dedicarse a las
exigencias del proyecto de MAGEFI,
en cuanto al desarrollo detallado de la
documentacin de los procesos de la
organizacin.
Referencias investigadas
a. Cuenca Gonzlez et al. Arquitectura de Empresa, Visin General. IX Congreso
de Ingeniera de Organizacin. Setiembre 2005.
b. Garrett, Jesse James. The elements of user experience. www.jjg.net/ia/
Marzo 30, 2000.
c. IT Governance Institute. COBIT 4.1. Rolling Meadows, Chicago, Illinois,
2007. www.itgi.org
d. Ofce of Management and Budget (OMB). Federal Enterprise Architecture.
http://www.whitehouse.gov/omb/egov/a-1-fea.html
e. The Open Group. The Open Group Architecture Framework (TOGAF), versin
8.1.1, enterprise edition. 2007.
f. United States Departament of Commerce. Enterprise Architecture Capability
Maturity Model (ACMM). Version 1.2. December 10, 2007.
g. Zachman, J.A. A framework for information systems architecture. IBM
Systems Journal, Vol. 26, No. 3, 1987.

Anexo 1
Orientaciones estratgicas para el modelo de arquitectura de informacin
y comunicacin institucional
El PETIC de la Contralora General establece una situacin deseada a mediano plazo
(2010), caracterizada en los siguientes trminos:
Gestin de TIC. La CGR contar con un marco de gestin basado en mejores
prcticas, con los mtodos, tcnicas, mtricas y herramientas respectivas
que permitan la eciencia, ecacia y economa de los servicios de TIC.
Infraestructura tecnolgica. En los prximos 5 aos, la CGR fortalecer
la infraestructura tecnolgica en trminos de capacidad, disponibilidad,
eciencia, y actualizacin. Para tal efecto, se considerar los equipos
principales, el software de apoyo y de seguridad, la capacidad de
almacenamiento masivo, el apoyo al usuario nal, y la creacin de capacidad
del recurso humano.
Comunicaciones. La CGR incrementar su capacidad de conectividad
externa e interna de forma til y eciente, segura y con alta disponibilidad.
Se procurar la incorporacin de tecnologas de comunicacin inalmbrica
y equipos mviles de computacin de alto desempeo, as como redes
convergentes (v.gr. datos, voz, vdeo) y telefona basada en servicios de
Internet.
Sistemas de informacin. La CGR desarrollar sistemas de informacin
mediante la integracin de los macro procesos institucionales. La
contratacin de servicios por outsourcing ser una opcin para el desarrollo
de soluciones, dependiendo del sistema y del personal disponible en la
CGR.
Suministro de servicios. Se facilitar el intercambio y el registro de la
informacin desde las instituciones y entidades privadas sujetas de
scalizacin, para que oportunamente la CGR analice, procese, y genere
productos soportados en tecnologas, tal como un almacn de datos
gubernamental, junto con sistemas aplicativos que permitan explotar tal
informacin. La CGR fortalecer su Centro de Llamadas con el objetivo que
nuestros clientes externos tengan un adecuado soporte para el mejor uso
de los sistemas de informacin y comunicacin.
Potencial humano. Se contar con un recurso humano entusiasta y dispuesto
a fundamentar la ejecucin de su trabajo en las tecnologas de informacin
y comunicacin que la Contralora le facilita. Lo anterior, requiere denir y
actualizar constantemente el perl del funcionario que rena las condiciones
que permitan implementar este plan.
Adems, el PETIC seala que esa situacin deseada responde a un modelo de
informacin y comunicacin institucional que, en un nivel preliminar de esbozo,
muestra:
Los macro procesos institucionales y su relacin sistmica apoyada en la
gestin estratgica de las TIC, expresada en cuatro lneas de accin denidas
como base para el alineamiento del PETIC con la Estrategia Institucional,
a saber:
Seguridad y Control,
Insercin tecnolgica,
Suministro de servicios e
Infraestructura Tecnolgica;
Ese funcionamiento integrado de los macroprocesos institucionales, soportado en
bases de datos para la gestin del conocimiento y el apoyo a la toma de decisiones,
con una orientacin hacia la administracin de riesgos, se esquematiza en el PETIC.
Orientaciones tcticas para el modelo de informacin y comunicacin
institucional
Por su parte, consecuentemente con el referido planteamiento del PETIC, el
correspondiente PTAC, en punto al referido esbozo del modelo de informacin y
comunicacin institucional, establece que:
Cada macro proceso institucional estar soportado por un macro sistema.
Cada macro sistema estar compuesto a su vez por una serie de soluciones
que solventan necesidades especcas de informacin, y
Los macro sistemas estarn integrados funcionalmente, para apoyar el
proceso de toma de decisiones.
El PTAC pregura esa orientacin de la siguiente manera:
Contralora General de
la R epblica
Macroproceso
Gobierno
Corporativo
Macroproceso
Fiscalizacin
Integral
Macroproceso
Gestin de
R ecurs os
Macroproceso
Gestn del
Conocimiento
Macrosistema Macrosistema Macrosistema Macrosistema
Infraestructura de Tecnologas de Informacin
I
m
p
l
i
c
a

a
n
l
i
s
i
s

d
e

s
i
s
t
e
m
a
s

l
e
g
a
d
o
s
I
m
p
l
i
c
a

m
a
p
e
o

d
e

l
o
s

p
r
o
c
e
s
o
s
Base de datos para la gestin del conocimiento
S
e
g
u
r
i
d
a
d

y

c
o
n
t
r
o
l

I
n
f
o
r
m
t
i
c
o
I
n
s
e
r
c
i
n

T
e
c
n
o
l
g
i
c
a
Contralora General de
la R epblica
Macroproceso
Gobierno
Corporativo
Macroproceso
Fiscalizacin
Integral
Macroproceso
Gestin de
R ecurs os
Macroproceso
Gestn del
Conocimiento
Macrosistema Macrosistema Macrosistema Macrosistema
Infraestructura de Tecnologas de Informacin
I
m
p
l
i
c
a

a
n
l
i
s
i
s

d
e

s
i
s
t
e
m
a
s

l
e
g
a
d
o
s
I
m
p
l
i
c
a

m
a
p
e
o

d
e

l
o
s

p
r
o
c
e
s
o
s
Base de datos para la gestin del conocimiento
S
e
g
u
r
i
d
a
d

y

c
o
n
t
r
o
l

I
n
f
o
r
m
t
i
c
o
I
n
s
e
r
c
i
n

T
e
c
n
o
l
g
i
c
a
Adicionalmente, el PTAC, al suministrar algunos elementos adicionales que ayuden a
construir ese modelo de informacin y comunicacin institucional, seala que:
La integracin de los macro sistemas y sus aplicaciones conllevar a la
creacin de un almacn de datos (datawarehouse) que depositar las
variables de datos ms importantes para apoyar el negocio institucional.
Los sistemas locales aportarn datos para la mayora de esas variables,
y en el caso de informacin no disponible internamente, la CGR tendr
que convenir con otras instituciones para que pueda extraer datos de sus
repositorios y bases de datos externas.
Este almacn de datos institucional debe facilitar la minera de datos, que
bsicamente consiste en el anlisis de tendencias, evaluacin de datos
comparativos y la generacin de alertas sobre condiciones de riesgo en la
administracin de la Hacienda Pblica.
Al efecto, si bien la Contralora General cuenta actualmente con un
nico repositorio de datos, no cuenta con las herramientas, experiencia,
y desarrollo necesario. ste carece de las funcionalidades de minera
descritas, no obstante representa un importante avance en las aspiraciones
de integracin mencionadas.
La integracin de la informacin implica un proceso de varias etapas. En
primer lugar, la coordinacin con la Divisin de Estrategia Institucional en
cuanto al mapeo y actualizacin de los macro procesos institucionales y la
visualizacin de las soluciones y servicios tecnolgicos que correspondan,
tales como acceso a tecnologas mviles, conectividad, telefona, y
seguridad, entre otros.
Posteriormente, se debe analizar y evaluar la vigencia y nivel de servicio de
los sistemas existentes y de aquellos que estn en desarrollo actualmente.
Por cuanto la institucin cuenta con un nico repositorio de informacin,
ser relativamente menos compleja la obtencin de datos para la generacin
de alertas y de informacin relevante para la scalizacin, lo que permitir
un trabajo ms eciente y de mejor calidad.
Este proceso de integracin sistemtica de la informacin debe estar
soportado por una infraestructura tecnolgica que garantice la seguridad y
el mximo aprovechamiento de la capacidad tecnolgica, a la cual la CGR
dar mantenimiento y actualizacin. Asimismo, para el desarrollo de los
macro sistemas y para la infraestructura tecnolgica, la CGR aplicar una
estrategia de seguridad y control basada en mejores prcticas.
Precisamente, por su importancia estratgica, la CGR planicar la
infraestructura de la tecnologa de informacin simultneamente con
el desarrollo de los procesos anteriores. La institucin desarrollar y
promover el uso de conexiones inalmbricas, la transmisin de voz
sobre Internet, la optimizacin de los canales de acceso a Internet y
otros servicios de conectividad, que permitan el acceso agilizado de los
scalizadores al repositorio de bases de datos institucional. Lo anterior
implica necesariamente el incremento de la capacidad de procesamiento,
almacenamiento y conectividad de los servidores institucionales.
Anexo 2
Tabla de actividades propuestas y estimacin de tiempo.
Actividad Responsable(s) Tiempo
estimado
Desarrollo de un diagnstico de la situacin
actual de la CGR respecto del modelo de
madurez propuesto.
Equipo MAI Junio 2008
Desarrollar instrumentos para la captura
de informacin que sirva de insumo
para crear el MAI. Coordinar con equipo
MAGEFI.
Equipo MAI Junio 2008
Realizar talleres con expertos en los
diversos procesos de la CGR.
Equipo MAI
Coordinacin con
Equipo MAGEFI
Julio 2008
Documentacin por parte de los expertos
de los datos asociados a cada proceso.
Expertos en los procesos Segundo
s e me s t r e
2008
Clasicacin de los datos de los procesos,
tipicar criticidad y seguridad.
Expertos en los procesos Segundo
s e me s t r e
2008
Reunir y tabular la informacin que los
expertos provean respecto a la informacin
que se utiliza en su proceso.
Equipo MAI Novi embre
2008
Enero 2009
Elaborar representacin lgica del MAI. Equipo MAI Primer
s e me s t r e
2009
Elaborar documentacin y diccionario del
MAI.
Equipo MAI Primer
s e me s t r e
2009
Plantear Macro-Sistemas que soporten los
macro-procesos.
Equipo MAI Mayo 2009
Plantear los procedimientos de
actualizacin futura del MAI.
DEI
Equipo MAI
Segundo
s e me s t r e
2009
Utilizacin del MAI como herramienta
para dirigir la inversin tecnolgica con
alineacin estratgica institucional.
DEI
USTI
Segundo
s e me s t r e
2009
Evaluacin de resultados y revisin de
logro de objetivos y productos previstos.
DEI
Equipo MAI
Segundo
semestre 2009
Anexo - NTP6
Informe de gestin 2008-01
Anexo - NTP6
Normas Tcnicas
Informe de seguimiento 2008-01
Introduccin
El propsito de este documento es informar sobre las actividades realizadas al 30 de
junio del 2008; en la Contralora General de la Repblica, con base al cronograma en
ejecucin establecido para cumplir con la implementacin de las normas tcnicas para
la gestin y el control de las tecnologas de informacin, de acuerdo con la resolucin
Nro. R-CO-26-2007 emitida por el Despacho de la Contralora General, en La Gaceta
Nro. 199 del 21/06/2007.
Actividades ejecutadas
a. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Licda. Marta Acosta,
y lo integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos
Alpzar, y Miguel Aguilar, en representacin de las diferentes unidades.
b. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones semanales con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; en esta actividad se
cuenta con la asesora de Jos Alpzar.
c. Se reactiv el Comit Gerencial de Tecnologas de Informacin y
Comunicacin (CGTIC), el cual est presidido por la Sub Contralora General.
Norma 1.6.
d. La comisin elabor un diagnstico de la situacin actual, el cual incluye
las acciones y productos esperados para cerrar la brecha existente, as
como el respectivo cronograma. Ambos documentos fueron validados por
el CGTIC.
e. Como parte de la promulgacin y divulgacin de un marco estratgico,
se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre
el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico
Institucional. Norma 1.1.
f. Se aprobaron en el CGTIC las prioridades y los proyectos a desarrollar,
de acuerdo con las recomendaciones del PTAC. Se crearon los equipos
de trabajo con sus respectivos lderes, y se les capacit en el uso de
herramientas para elaboracin y seguimiento de proyectos. Norma 1.1.
g. Se identicaron y denieron los riesgos generales en TI, se elabor un
manual de riesgos para la gestin y valoracin trimestral, y se capacitaron
dos funcionarios de USTI en SEVRI. Se est a la espera del estndar
institucional a generar por parte de la Divisin de Estrategia Institucional
(DEI), para integrar estos riesgos de T.I con los denidos a nivel de la
institucin. Norma 1.2.
h. Ya se tiene la estructura del Manual de Gestin de Calidad sobre las reas
de accin de TI; as como el diseo de un sistema de informacin que
permita el registro de solicitudes por servicios de TI, soluciones, y mtricas
para mejora continua y control de calidad; se iniciar con la construccin
del mismo. Norma 1.3.
i. Los proyectos de TI estn siendo fortalecidos por una participacin cada
vez ms comprometida de los patrocinadores, evidente en el aporte de
recurso humano. Buscando la estandarizacin en cada equipo, se les
brind la induccin necesaria para que apliquen la Gua Metodolgica para
desarrollo de proyectos. Norma 1.4.
j. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en
la USTI una revisin de sta, recopilando una serie de mejoras propuestas
por el mismo personal que desarrolla las aplicaciones. Se elabor la nueva
gua y se distribuy a todos los lderes de proyecto, los cuales quince
das despus emitieron sus observaciones y recomendaciones para ser
consideradas en a versin nal, generndose un nico instrumento
metodolgico para guiar el rumbo de accin de los proyectos de tecnologa
en la CGR, el cual se encuentra en su etapa nal. Norma 1.4, 3.2
k. Se elabor un Marco de Seguridad integral actualmente en borrador-, en
proceso de revisin, el cual incluye las Directrices de Seguridad aprobadas
y en ejecucin. Para efectos de divulgacin; entre otros, se coordin con
RH para que como parte de la induccin se incluya lo correspondiente a
seguridad en TI. Norma 1.5.
l. Sobre planicacin de la capacidad, se trabaja en la elaboracin de un
manual actualmente en borrador- para denir las unidades de medida,
mtricas e indicadores que sustenten las decisiones y orienten la evolucin
de la plataforma tecnolgica. Norma 4.2.
m. Los compromisos de gestin y el PAO estn alineados a la gestin estratgica
de TI. Norma 2.1.
n. Se tiene un equipo de trabajo actualizando el modelo de la Arquitectura
de Informacin, para lo cual elabor un diagnstico de situacin y un
instrumento metodolgico para su construccin. Este equipo ha realizado
una investigacin de mejores prcticas metodolgicas para el desarrollo de
dicho modelo, y se tom la decisin de utilizar la metodologa Bussiness
System Process (BSP). Norma 2.2.
o. El presupuesto de inversiones del 2009 est elaborado con base al PTAC.
Norma 2.5.
Al 30 de junio se considera que la implementacin de las normas tcnicas avanza
satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento de las
mismas en la fecha establecida.
Saludos cordiales,
Miguel Aguilar

Anexo - NTP7
Guia Metodolgica para
administracin Proyectos TI
Anexo - NTP7
Guia Metodolgica para
administracin Proyectos TI
1. Introduccin.
Con el n de establecer un lenguaje comn a nivel institucional; as como un estndar
en la ejecucin y documentacin de proyectos de tecnologas de informacin y
comunicacin, se dene en este documento la Gua Metodolgica que se debe aplicar
en la Contralora General de la Repblica (CGR).
La presente Gua Metodolgica, se elabora no slo para efectos de estandarizacin,
sino tambin en cumplimiento con lo establecido en el Manual de Normas Tcnicas
para la Gestin y el Control de las Tecnologas de Informacin, emitidos por la CGR.
Esta metodologa para la administracin de proyectos de TIC tiene como objetivo,
esbozar una serie de pasos comunes a seguir, con el n de mejorar las probabilidades
de xito de los proyectos, teniendo siempre presente que en ltima instancia el
xito de los mismos est en funcin del nivel de motivacin y mstica de que estn
impregnados en los integrantes del equipo de trabajo, de la disponibilidad de recursos
y del nivel de apoyo que brinde oportunamente la alta Gerencia.
Un proyecto en Tecnologas de Informacin y Comunicaciones (TIC) es todo aquel
que introduzca en la organizacin elementos tecnolgicos que soporten y hagan ms
eciente la ejecucin o el desarrollo de un proceso. Se consideran como proyectos de
este tipo, el desarrollo de un sistema automatizado, o la implantacin de una solucin
tecnolgica de hardware o de software, lo cual hace que el mismo proyecto sea muy
distinto y variado en cuanto a sus actividades se reere. Todo proyecto en TIC deber
estar siempre orientado al logro de los objetivos institucionales y obtiene su sentido
en la medida que aporta un valor agregado a la organizacin, respondiendo a sus
necesidades de manejo de la informacin y del conocimiento.
Para los efectos de esta metodologa, se dene un proyecto como:
Una secuencia de tareas con un principio y un nal, limitadas en el tiempo por
los recursos y los resultados deseados.
Esto signica que un proyecto tiene un resultado deseado especco, una fecha lmite
o fecha objetivo en la que el proyecto debe estar realizado y un presupuesto que limita
la cantidad de personal, suministros y dinero que pueden utilizarse para realizar el
proyecto.
Si el equipo a cargo del proyecto esta consciente de que su trabajo es importante y
necesario para la organizacin, estar en una mejor posicin para enfrentar y vencer,
la serie de obstculos que todo proyecto sin excepcin enfrenta.
En el desarrollo de todo proyecto existen diferentes actores cuyos roles sern
debidamente establecidos dentro de la presente gua metodolgica. En el anexo
1 se presentan cada uno de los diferentes roles involucrados, que sern partcipes
de las actividades planteadas en cada una de las etapas del proyecto. Como todo
instrumento metodolgico est sujeto a mejoras en el tiempo, aspecto que se explica
en el anexo 2.
Sin importar los objetivos que los proyectos busquen, se puede ver que todos presentan
etapas bsicas, con algunas pequeas variantes. Cada una de stas ser detallada en
la presente gua.
2. Objetivo
Denir la gua metodolgica para el desarrollo de proyectos en Tecnologas de
Informacin y Comunicaciones, que ser aplicada en la Contralora General de la
Repblica.
3. Objetivos especcos
a. Denir un marco de referencia comn para todos los proyectos de TIC,
uniformando tcnicas y mtodos de trabajo.
b. Establecer las etapas y actividades a realizar, as como los entregables en
cada una de ellas.
c. Denir para los proyectos que contemplen el desarrollo de un sistema
de informacin automatizado, las fases a cumplir con sus diferentes
entregables.
d. Sealar la organizacin, las funciones y las responsabilidades de los
involucrados en el proceso de desarrollo de un proyecto de TIC.
4. Etapas de los Proyectos de TIC
A continuacin se presentan las etapas de un proyecto, con un breve detalle de los
objetivos para cada una de ellas, en funcin de lograr los resultados deseados a tiempo
y dentro del presupuesto esperado. (Ver gura # 1)
4.1. Etapa 0. Anteproyecto.
La organizacin identica una serie de necesidades que pueden ser atendidas
mediante el desarrollo de un proyecto.
Se determinan las expectativas generales de los interesados, as como el
efecto y resultados esperados.
Identicar los actores involucrados en el proyecto a desarrollar.
Confeccionar la cha de anteproyecto.
Someter el anteproyecto a la evaluacin del Comit Gerencial de Tecnologas
de Informacin y Comunicacin (CGTIC), el cual valorar su viabilidad y
prioridad dentro de la organizacin.
4.2. Etapa 1. Iniciacin.
Corroborar las expectativas generales de los usuarios, gerentes y de
cualquier otro interesado, para establecer los resultados esperados y el
alcance del proyecto.
Denir la organizacin del proyecto y seleccionar el equipo de trabajo.
Realizar un informe de diagnstico que permita establecer las diferentes
opciones de solucin a ser evaluadas.
Elegir la alternativa de solucin a ser desarrollada.
4.3. Etapa 2. Planeacin.
Revisar los objetivos y alcances del proyecto en funcin de un adecuado
balance entre resultado, tiempo y recursos.
Listar las tareas y actividades que se deben ejecutar para lograr los alcances
denidos del proyecto.
Secuenciar u ordenar las actividades en funcin de las dependencias
tcnicas entre ellas y de los recursos disponibles.
Elaborar el calendario de requerimientos de recursos en el tiempo, para
lograr los alcances deseados.
Obtener la aprobacin para el plan de trabajo.
Mantener los planes de trabajo balanceados durante todo el desarrollo del
proyecto, en funcin de las variaciones que se produzcan en los alcances,
tiempos y recursos.
4.4. Etapa 3. Ejecucin.
Asignar, controlar, supervisar y liderar el desarrollo de las actividades
planeadas.
Efectuar reuniones de trabajo entre los integrantes del equipo de trabajo y
el lder del proyecto.
Comunicacin constante entre los diferentes participantes en el proyecto
y hacia la Unidad Ejecutora; comunicacin que debe ser promovida por el
lder del proyecto.
Gestionar la solucin de los problemas que puedan surgir durante la
ejecucin y asegurar la consecucin de recursos (dinero, gente, equipo),
para llevar a cabo el proyecto.
Si el proyecto tiene como objetivo el desarrollo de un sistema automatizado,
deber desarrollar las fases indicadas en el anexo 4.
4.5. Etapa 4. Control.
Monitorear las desviaciones del plan y determinar sus posibles causas.
Efectuar las acciones correctivas para lograr la ejecucin del plan.
Evaluar los requerimientos de cambios solicitados por los patrocinadores
y los miembros del grupo; determinando el impacto en los alcances, en el
tiempo o en los recursos.
Detectar variaciones en los alcances, en la asignacin de recursos o en el
tiempo en que se deseen lograr los resultados.
Retornar a la Etapa de planeacin para hacer ajustes a las metas del
proyecto y obtener aprobacin de los patrocinadores, si fuese necesario.
4.6. Etapa 5. Conclusin.
Documentar las lecciones aprendidas durante su ejecucin.
Informar sobre la terminacin y los alcances logrados.
Consolidar toda la documentacin generada.
Elaborar el informe nal de proyecto.
Liberar los recursos asignados.
Entregar el informe nal al Patrocinador.
Figura # 1. Fases de un Proyecto.
P
l
a
n
e
a
c
i
n
Control
E
j
e
c
u
c
i
n
I
n
i
c
i
o
C
i
e
r
r
e
A continuacin se presenta de forma detallada las acciones que se deben realizar en
cada una de las etapas.
6. Anteproyecto (Etapa 0)
Todo proyecto tecnolgico a desarrollar debe estar contemplado en el Plan Tctico de
TIC (PTAC), el cual responde a las orientaciones que plantea el Plan Estratgico de
Tecnologas de la Informacin y Comunicaciones (PETIC) de la Contralora General de
la Repblica (CGR).
El proceso de actualizacin del PTAC, que se realiza peridicamente; establece segn
las prioridades de la organizacin, cuales son los proyectos que se deben desarrollar con
el n de aportar el soporte tecnolgico que la organizacin necesita para mantenerse
actualizada y apoyada para el cumplimiento de sus metas y objetivos.
Todo proyecto a desarrollar debe tener su cha de anteproyecto, misma que ser
evaluada y priorizada por el Comit Gerencial de Tecnologas de Informacin y
Comunicaciones (CGTIC), a solicitud de la Unidad de Sistemas y Tecnologas de
Informacin (USTI). Este comit elige de los anteproyectos planteados, aquellos que
sern tomados en cuenta en la cartera de proyectos del PTAC.
Los anteproyectos que no sean incluidos en el PTAC debern ser re-evaluados en
sus alcances y objetivos, cada vez con un mayor nivel de detalle, hasta que llegue el
momento de incluirlo en una reformulacin del PTAC. Dados los procesos de planeacin
estratgica, el anteproyecto sobrevivir y llegar a ser un proyecto operativo, mientras
el mismo tenga como alcances una funcin estratgica dentro de la organizacin. Si
el mismo perdiera vigencia o dejara de ser importante para la organizacin, el mismo
proceso de planeacin se encargara de eliminarlo.
La organizacin como un todo y la USTI, realizarn cada ao el ejercicio de planeacin
operativa (PAO), con un horizonte de planeacin de dos aos. Tomando como insumo
la cartera de proyectos del PTAC, la USTI dene los alcances, se detallan los recursos
y se plantea un horizonte de tiempo esperado, para cada uno de los proyectos.
Para la estimacin del tiempo, se puede recurrir a diferentes tcnicas, como lo es el
juicio experto o la comparacin con proyectos ya concluidos.
Se debe tener claro que en esta etapa, an no se ha creado un equipo de trabajo
ni se ha realizado una evaluacin profunda, sobre las tres variables bsicas de todo
proyecto a saber: tiempo, recursos y alcances. Por lo tanto es de esperar, que al
crearse el equipo de trabajo y se entre a los niveles de detalle como en la etapa de
planeacin, los contenidos de dichas variables cambien.
5.1. Planteamiento de los anteproyectos
Todo anteproyecto de TIC intenta resolver una serie de necesidades que maniesta la
organizacin en el desarrollo o actualizacin de alguno de sus procesos.
En el proceso de planeacin estratgica de la CGR se determinarn dichas necesidades
y de un primer anlisis de stas se deber plantear ante la jefatura de la USTI, una
cha de anteproyecto. Dicha jefatura realizar un anlisis inicial de la propuesta
antes de someterla a evaluacin del CGTIC; el cual asignar una prioridad con la
cual determinar si debe permanecer en espera de ser atendido o si es contemplado
dentro de la siguiente revisin y reformulacin del PTAC; todo conforme al proceso de
planeacin explicado anteriormente.
El formato para la cha de anteproyecto se encuentra detallado en el anexo 7.
5.2. Ajustes a los anteproyectos
Cuando un anteproyecto requiera ajustes o replanteamientos, deber reformularse la
cha de proyecto y volver a someterlo ante la jefatura de la USTI, quien le realizar un
anlisis y lo someter a consideracin del CGTIC.
Cualquier cambio en cuanto a los resultados esperados, alcance planeado, efecto,
objetivos o productos, requiere de ser aprobado por el CGTIC antes de proceder con
la etapa de iniciacin del proyecto.
5.3. Productos de la etapa:
Ficha de anteproyecto
5.4. Punto de Control:
Evaluacin y priorizacin del anteproyecto por parte del CGTIC.
6. Iniciacin (Etapa 1)
En esta etapa se corroboran los alcances globales del proyecto y las expectativas
generales de los diferentes interesados. Adems se dene la organizacin del proyecto
estableciendo las funciones y responsabilidades de cada uno de los involucrados, as
como el perl deseable de los integrantes del equipo de trabajo. Ver anexo 1.
Una vez establecido formalmente quienes asumen las funciones de Patrocinador(es)
de Proyecto, Lder de Proyecto y Lder Tcnico de Proyecto; estos inicialmente
proceden a realizar un diagnstico de la situacin con el n de establecer estrategias
de solucin, para que el patrocinador del proyecto determine la forma en que se
desarrollar.
6.1. Organizacin para el proyecto
Es necesario que las personas a cargo del proyecto tengan una estructura organizativa
que garantice un formalismo operacional, que permita lograr los nes propuestos.
Esta estructura podra variar en funcin de la magnitud y complejidad de los proyectos
y puede ser matricial.
La organizacin del proyecto requiere la interaccin de personas de las diferentes
reas, segn la siguiente denicin de estructuras:
Unidad Ejecutora
Grupo de Apoyo
Equipo de Trabajo
Equipo de apoyo tcnico
Cada uno de los participantes tiene asignadas tareas y responsabilidades especcas,
para un adecuado desempeo de su funcin.
Los participantes en el proyecto que conforman la organizacin descrita, son
identicados como sigue:
Participantes por parte de la unidad(es) patrocinadora(s):
Patrocinador(es) del Proyecto
Lder del Proyecto
Equipo de Trabajo
Participantes por parte de la USTI:

Coordinador de Proyectos (Jefatura o funcionario asignado)
Lder Tcnico
Equipo de apoyo tecnolgico
Para la conformacin de la organizacin del proyecto de TIC se deber considerar el
siguiente organigrama:
Patrocinador
del proyecto
Lder
Tcnico
Coordinador de
proyectos
Lder de
proyecto
Equipo de trabajo
Equipo de apoyo
tcnico
Grupo de
apoyo
Unidad Ejecutora
Organigrama del proyecto
Patrocinador
del proyecto
Lder
Tcnico
Coordinador de
proyectos
Lder de
proyecto
Equipo de trabajo
Equipo de apoyo
tcnico
Grupo de
apoyo
Unidad Ejecutora
Organigrama del proyecto
Para un mayor detalle de los perles y de las responsabilidades de los miembros
permanentes ejecutores de un proyecto de TIC, rerase al anexo 3 de la presente
metodologa. A continuacin se presenta una explicacin de cada uno de estos
ejecutores del proyecto:
6.1.1. Unidad Ejecutora
La Unidad Ejecutora es el ente coordinador de los aspectos relacionados con el
desarrollo del proyecto de TIC.
Sus responsabilidades principales son:
Aprobar la organizacin, los recursos, y el cronograma del proyecto.
Velar por la calidad de los productos de cada una de las etapas y hacer las
recomendaciones necesarias.
Resolver las situaciones que puedan afectar el buen funcionamiento del
proyecto.
Aprobar los productos generados y ejercer los puntos de control establecidos
en cada etapa.
Est constituida por:
Patrocinador(es) del Proyecto (Coordinador)
Coordinador de Proyectos (Jefe de la USTI o a quien designe)
Lder del Proyecto.
Lder Tcnico.
6.1.2. Patrocinador del Proyecto

Es el jefe de la Unidad Organizacional para la cual se va a desarrollar un proyecto de
TIC. Segn sea el proyecto pueden verse involucrados ms de un patrocinador.
6.1.3. Grupo de Apoyo
Lo conforman funcionarios cuya experiencia y conocimientos son de gran ayuda a
nivel de asesora para el equipo de proyecto. Tambin lo pueden integrar grupos de
usuarios con inters en los resultados del proyecto.
6.1.4 Coordinador de proyectos
Esta funcin la lleva a cabo el Jefe de la USTI con nes de armonizar y asegurar
el aprovechamiento de componentes tecnolgicos, puede ser ejecutada por el
coordinador de proyectos de la USTI.
6.1.5. Lder del Proyecto
El Lder del Proyecto es un funcionario con gran conocimiento de su rea funcional,
aspecto por el cual se le ha conferido la capacidad de tomar decisiones y la
responsabilidad de participar activamente en la direccin del proyecto. Vela tanto por
los mejores intereses de su rea como por los de la Contralora General de la Repblica,
en lo que respecta al proyecto de TIC. Es el responsable directo del proyecto y de los
productos entregados.
En aquellos casos en donde el proyecto tenga un mayor componente tcnico en
materia de introduccin de nueva tecnologa, estar justicado que la direccin sea
asumida por un representante de la USTI, por su mayor experiencia en la materia
tecnolgica.
6.1.6. Lder Tcnico del Proyecto
Este es un funcionario al cual, por su formacin en el rea de informtica, experiencia
y capacidad, se le ha conferido la responsabilidad de administrar los aspectos
tecnolgicos de un proyecto de desarrollo informtico. Es el responsable directo del
desarrollo del proyecto en lo que corresponde a la parte tcnica, para ello aplica las
polticas, normas y procedimientos de trabajo aprobados.
6.1.7. Equipo de apoyo tecnolgico
Son los funcionarios especialistas en el rea de tecnologas de informacin que apoyan
la labor del Lder Tcnico, en materias tales como programacin, base de datos,
conguracin y operacin de equipos principales, y conectividad.
6.1.8. Equipo de trabajo
Son usuarios de los procesos funcionales involucrados en el proyecto de TIC a desarrollar,
conocedores de las necesidades a resolver e involucrados en la implementacin de la
solucin. Un aspecto de primer orden para garantizar el xito de un proyecto, estar
en la escogencia de un excelente equipo de trabajo.
6.1.9. Equipo de proyecto
Lo conforman el Lder de Proyecto, el Lder Tcnico, el equipo de trabajo y el equipo
de apoyo tecnolgico.
6.2. Organizacin del Proyecto
La informacin relacionada con la organizacin del proyecto debe quedar debidamente
formalizada y documentada, para lo cual en el anexo 8 encontrar el formato de
documento a utilizar.
6.3. Informe de diagnstico:
El informe de diagnstico especica los resultados de la valoracin efectuada sobre la
solicitud de desarrollo de un proyecto de TIC. Este documento es confeccionado en
conjunto por el Lder Tcnico y el Lder de Proyecto; debiendo contener las siguientes
secciones:
6.3.1. Situacin actual
El Lder Tcnico con la colaboracin del Lder de Proyecto debe realizar un anlisis
de la situacin actual donde se describa la forma como el proceso se est realizando;
ya sea con alguna herramienta tecnolgica existente o de forma totalmente manual.
En este anlisis se debe hacer nfasis en la bsqueda de oportunidades de mejorar los
procesos actuales, en procura de que la insercin de tecnologa permita la realizacin
de actividades de forma ms eciente y efectiva.
6.3.2. Alcances del proyecto
Los alcances establecen de manera clara, hasta dnde llegar el proyecto de TIC y
debern permitir el manejo de expectativas comunes entre todos los interesados y
participantes del proyecto.
Uno de los aspectos ms crticos de todo proyecto, es detallar y comunicar lo que cada
uno de los interesados (muchos de ellos patrocinadores) esperan. Por ello resulta
imprescindible que para cada interesado se establezca lo que espera obtener cuando
ste concluya.
Las expectativas de cada interesado debern ser conocidas por los dems y por
todos los integrantes del equipo de trabajo y debern quedar documentadas en este
apartado del diagnstico. Estas expectativas sern de referencia obligada para el
equipo de trabajo, con el n de mantener enfocado el proyecto. Si en algn momento
se determinase que alguna de las expectativas enumeradas no podr ser alcanzada, el
grupo de proyecto est en la obligacin de comunicar esta situacin al interesado con
las justicaciones del caso, no sin antes haber evaluado la posibilidad de modicar el
proyecto para su cumplimiento.
Si en algn momento, se determina que no es factible lograr alguna de las expectativas
enumeradas, se deben realizar las modicaciones sustanciales del proyecto, sin
descartar la posibilidad de cancelarlo, en caso de que fuese imposible lograr los
alcances esperados.
Si el proyecto lo que busca es el desarrollo de un sistema de informacin, en este
apartado deber incluir al menos una descripcin de lo que se pretende obtener y
hasta dnde se desea llegar con la automatizacin.
6.3.3. Objetivos del proyecto
Denicin de los objetivos generales y especcos esperados con el sistema o solucin
tecnolgica, con base en lo planteado en la cha de anteproyecto. Se reeren al nivel
de desempeo que se debe lograr para satisfacer una necesidad determinada.
En caso de requerir un cambio en los objetivos del proyecto, esto se ver como un
cambio a lo establecido en la cha de anteproyecto y deber atenderse como se
estableci en el punto 5.2 de esta gua metodolgica.
6.3.4. Anlisis de riesgo
El Lder de Proyecto y el Lder Tcnico debern hacer un anlisis de riesgos del
proyecto de acuerdo con la metodologa establecida institucionalmente, basndose
en los siguientes riesgos y otros que considere de relevancia:
a. El proyecto no est alineado con la Estrategia Institucional.
b. El proyecto no est incluido dentro de la cartera de proyectos del PTAC.
c. El proyecto no cuenta con un patrocinador comprometido.
d. No se tiene el recurso humano necesario y calicado para el desarrollo del
proyecto
e. El recurso humano asignado al proyecto no dispone del tiempo requerido
para el mismo.
f. No se tiene el presupuesto necesario para la ejecucin del proyecto.
g. No se tiene la infraestructura tecnolgica (interna y externa) apropiada para
la puesta en operacin de la solucin tecnolgica.
h. El personal no tiene la suciente capacitacin para utilizar las herramientas
tecnolgicas requeridas por el proyecto.
i. No se cuenta con el personal calicado en las materias relacionadas con
el proyecto.
j. Incumplimiento del plan de trabajo
k. Los objetivos y alcances del proyecto pueden ser modicados.
l. No se tiene la estructura administrativa (interna y externa) para soportar la
operacin de la solucin tecnolgica.
6.3.5. Identicacin de estrategias de solucin y su factibilidad
Establecer y explicar las diferentes estrategias de solucin para la construccin de la
solucin tecnolgica de acuerdo a los alcances denidos, considerando el anlisis de
factibilidad econmica, operativa y tcnica.
Cuando se planteen dos o ms estrategias de solucin se deber realizar un
anlisis comparativo entre ellas de ventajas y desventajas. Dentro de este anlisis
y en la medida de lo posible, se deber realizar un anlisis de costo/benecio de
las estrategias propuestas para hacer una evaluacin de su factibilidad econmica
denida en trminos de costos y ahorros. No slo tomando en cuenta los costos de
implementacin de la solucin sino tambin los costos asociados a su sostenibilidad
durante su operacin. Este anlisis econmico es fundamental para los proyectos
donde se tenga adquisicin de nueva tecnologa.
Para ello se sugiere tener en cuenta los costos administrativos, operativos, laborales,
tecnolgicos, y otros. Se deben considerar los benecios tangibles e intangibles que
se obtienen con el sistema, por ejemplo: tiempo requerido para la actualizacin o
conclusin del proceso, desplazamiento de personas, aprovechamiento de equipo y
las herramientas existentes, aprovechamiento de mejores prcticas en el mercado,
reduccin de gastos y simplicacin de trmites.
El nivel de detalle de esta evaluacin depender directamente de la complejidad del
proyecto y de los recursos disponibles para la elaboracin del estudio. En cualquier
caso deber contemplar las variables bsicas que determinen la viabilidad del proyecto
y su permanencia en el tiempo.
Si bien es cierto se cuenta con unas fechas de inicio y de n sugeridas, esta denicin
de tiempo para el desarrollo del proyecto se debe ir anando conforme el equipo de
trabajo conozca ms detalles del mismo. Con base en los alcances identicados del
proyecto, estudio de la situacin actual y el anlisis de riesgos se deber presentar
la estimacin inicial del tiempo que se requiere para cada una de las opciones de
las soluciones sealadas; acompaadas de los supuestos y restricciones que apoyan
dichas estimaciones.
Para cada una de las estrategias de solucin se deber identicar:
Ventajas y desventajas (Costo/Benecio)
Factibilidad operativa, tcnica, econmica y legal
Riesgos asociados
Complejidad tcnica en el desarrollo y en la implementacin
6.3.6. Recomendacin de una estrategia de solucin
Cuando se tengan dos o ms estrategias de solucin y basado en las consideraciones
anteriores; el equipo de proyecto recomendar una de las estrategias de solucin; o
segn sea el caso podra recomendar no continuar con el desarrollo del proyecto, al
no considerarlo factible desde el punto de vista econmico, operativo, legal o tcnico.
6.4. Seleccin de la estrategia de solucin:
La Unidad Ejecutora del proyecto deber indicar su criterio sobre la forma en que
debe desarrollarse, basado en los resultados obtenidos en el diagnstico realizado.
En la seleccin de la opcin la Unidad Ejecutora puede recomendar al CGTIC alguna
de las siguientes decisiones:
Seleccionar alguna de las opciones recomendadas.
Posponer el proyecto para un momento ms oportuno, esto de acuerdo con
los intereses y prioridades de la Institucin.
Cancelar el proyecto ya que el mismo no es viable desde el punto de vista
operativo, legal, econmico o tcnico; o porque las prioridades institucionales
as lo requieren.
Cuando la Unidad Ejecutora haya seleccionado el curso de accin para el proyecto
que considere ms adecuado, deber documentarlo utilizando el formulario que se
detalla en el anexo 9.
6.5. Insumos de la etapa:
Ficha de anteproyecto.
6.6. Productos de la Etapa:
Informe de diagnstico.
Descriptivo de la Organizacin del Proyecto.
Estrategia de solucin para el proyecto.
6.7. Puntos de Control:
El patrocinador (o patrocinadores) del proyecto ocializa(n) los nombramientos del
lder de proyecto, as como la conformacin de los equipos de trabajo, y la USTI la del
lder tcnico y la del equipo de apoyo tcnico.
La Unidad Ejecutora del proyecto dene la estrategia de solucin para el proyecto,
eligiendo el curso de accin a partir del anlisis de las diferentes opciones planteadas
en el informe de diagnstico.
7. Planeacin (Etapa 2)
El principal objetivo de esta etapa es especicar a un nivel detallado, las diferentes
actividades a realizar, reejadas en un plan de trabajo. Para ello el equipo de trabajo
deber empezar por analizar los objetivos y alcances del proyecto, deber identicar
los recursos requeridos y establecer un cronograma de proyecto. Se debe utilizar el
software institucional para administracin de proyectos.
Como requisito para iniciar con esta etapa, el equipo de trabajo debe ya estar
formalmente constituido y se debe tener una estrategia de solucin, establecida a
partir del anlisis de los resultados del diagnstico elaborado en la etapa anterior, la
cual determina el curso de accin para las tareas que deber realizar el equipo de
proyecto, con miras a lograr el objetivo propuesto.
Siendo la labor de planeacin cclica, como se muestra en la gura # 1, la misma
se debe realizar tanto para el inicio, como durante la realizacin del proyecto. Si el
proyecto mostrase atrasos considerables en alguna de sus etapas, que no pudiesen
ser absorbidos por las holguras de los proyectos, o bien por un esfuerzo adicional
que ubique de nuevo el proyecto en su planeacin inicial, se debe realizar un nuevo
plan de proyecto, para el resto de las actividades a cumplir. Esta nueva versin del
plan puede variar los alcances del proyecto, o bien la calidad y cantidad de recursos
asignados.
El elaborar el plan es una labor muy delicada y se debe realizar con la participacin
de todos los miembros del equipo. Como en toda actividad grupal surgirn una serie
de opciones sobre como realizar las cosas, por lo que ser habilidad del Lder de
Proyecto conciliar criterios, de modo tal que se llegue a un consenso sobre cuales son
las actividades a desarrollar, para llegar a cumplir las nalidades del proyecto.
7.1. Elaboracin del Plan de Trabajo:
Teniendo siempre presente cual es el objetivo que se pretende, se recomienda cumplir
con los siguientes pasos, en un trabajo grupal.
a. Se debe elaborar una lista o enumeracin de todas las actividades que se
deben realizar para cumplir la meta.
b. Por cada actividad se debe tener claro cual es su propsito y el producto a
lograr a su conclusin.
c. El producto a lograr por cada actividad debe ser claro y conciso, si no es as
se debe desglosar o partir la actividad, en tantas como sea necesario para
que cada actividad tenga un producto denido y claro.
d. Cuando se tengan las actividades debidamente enmarcadas en cuanto
al producto a lograr, se debe proceder a denir que recursos humanos o
tcnicos requiere cada una de ellas.
e. Ntese que hasta el momento no nos hemos preocupado por la duracin
de las actividades ni en que momento se han de ejecutar, nos hemos
preocupado por crear consenso sobre lo que se quiere lograr y como
lograrlo. El siguiente paso ser determinar cuanto tiempo tomaremos
en cumplir cada una de las actividades, en funcin de los recursos que
tendremos disponibles.
f. El siguiente paso consistir en agrupar aquellas actividades cuyo producto
intermedio o nal, sea un componente de un mismo resultado. Todas
estas actividades las podemos agrupar en una etapa o subproyecto, al
nal del cual siempre debe haber un producto claramente denido, al que
llamaremos entregable intermedio o nal, segn sea el caso. La denicin
de las etapas o subproyectos, depende del tamao del proyecto, del nivel
de control que es necesario tener y del nivel de conocimiento que el grupo
tenga sobre la materia.
g. Una vez agrupadas las actividades en etapas o subproyectos, se debe
proceder a determinar cual es el tipo de relacin que existe entre cada
actividad, pudiendo sta ser, predecesora inmediata o sucesora inmediata
o sin relacin. Predecesora inmediata ser aquella actividad que debe
haber sido concluida para que otra sucesora inmediata inicie.
h. Entre una actividad predecesora inmediata y otra sucesora inmediata,
puede haber un lapso de tiempo que llamaremos holgura, la cual puede
ser negativa, cero o positiva. Ser cero cuando una actividad de acuerdo al
plan debe iniciar de inmediato, tan pronto concluye su predecesora. Ser
positiva cuando entre el tiempo de conclusin de la predecesora y el inici
de la sucesora, pueden transcurrir n cantidad de das. Ser negativa
cuando la actividad sucesora, puede iniciar segn el plan, n cantidad de
das antes de que concluya la actividad antecesora.
i. Con toda la informacin anterior, se debe proceder a balancear las
actividades de manera tal que el entregable de la etapa o subproyecto se
logre en el menor tiempo posible. Entendemos como balanceo el agrupar
las actividades, de manera tal que muchas de ellas se puedan ejecutar
en paralelo, cuando los recursos y las dependencias entre actividades lo
permitan. Se debe evitar que un recurso quede sobrecargado ms all de lo
razonablemente aceptable. En el caso de los recursos humanos, se deben
considerar las ausencias planicables, programando por cada recurso el
tiempo formalmente comprometido al proyecto.
j. Todas aquellas actividades que al nal del proceso de planeacin presenten
una holgura de cero, formarn lo que conoceremos como la ruta crtica.
Estas son las actividades que no se deben retrasar, ya que su retrazo implica
un atraso de la etapa o subproyecto. Se debe tener presente que aquellas
actividades que presenten holguras positivas, una vez consumidas stas
entran a la ruta crtica y podra tambin retrazar el proyecto.
7.1.1. Fases para el desarrollo de un sistema de informacin automatizado
En el caso de que el proyecto tenga como objetivo el desarrollo de un sistema de
informacin automatizado, el plan de trabajo deber contemplar las actividades propias
de las fases explicadas ampliamente en el anexo 4. Para este caso el cronograma
deber detallar actividades agrupndolas por cada fase.
Cuando un sistema requiera de ajustes por la atencin de nuevos requerimientos, sin
que esto pueda ser calicado como un cambio de versin en dicho sistema, su atencin
deber cumplir con las fases propias del control de cambios para el mantenimiento de
sistemas, mismas que estn explicadas en el anexo 5.
Si los cambios que un sistema requiere son de tal impacto que realmente se estara
generando una nueva versin, el tratamiento de tales requerimientos deber atenderse
con la rigurosidad de un proyecto de desarrollo de sistemas normal.
7.2. Formulario de planeacin de recursos:
Para documentar los diferentes recursos que se necesitan en el proyecto y el momento
en que se requieren, deber utilizarse el formulario que se detalla en el anexo 10.
De ser necesario, durante el transcurso del proyecto se documentar en el mismo
formulario, cualquier variacin de los mismos.
Informe de diagnstico.
Estrategia de solucin para el proyecto.
Plan de trabajo para el proyecto (Cronograma).
Formulario de planeacin de recursos.
La Unidad Ejecutora del Proyecto revisa y da su visto bueno al plan de trabajo del
proyecto y a la planeacin de recursos, como requisito para poder continuar con la
etapa de ejecucin. Si el plan no satisface las expectativas de los integrantes de la
Unidad Ejecutora, sta puede solicitar al equipo de trabajo una reformulacin.
8. Ejecucin (Etapa 3)

El objetivo de esta etapa es propiamente desarrollar y cumplir el plan elaborado
en la etapa anterior. En reuniones peridicas el equipo de proyecto programa la
ejecucin de las acciones a realizar y las metas a alcanzar, acorde con las actividades
enumeradas en el plan general.
Durante esta etapa el Lder de Proyecto deber mantener informada a la Unidad
Ejecutora respecto del avance en el desarrollo de las actividades, situaciones no
planeadas que se presenten, actividades no programadas y resolucin de problemas.
Dependiendo del mismo plan de trabajo y del tipo de proyecto, durante la etapa de
ejecucin se crearn productos intermedios que debern ser revisados y aprobados
por la Unidad Ejecutora.
8.1. Minutas de reuniones:
No se debe menospreciar la importancia de las reuniones, por lo que es de suma
importancia el dejar documentados todos los asuntos y acuerdos tratados en las
reuniones, sean estas calendarizadas o no.
El Lder de Proyecto deber mantener como parte de la documentacin del proyecto,
las minutas de las reuniones que se realicen. Para la creacin de las minutas deber
utilizarse el formulario que se presenta en el anexo 6.
8.2. Informes de avance:
Los informes de avance debern emitirse con una periodicidad no mayor al mes,
estableciendo valoraciones sobre el desempeo general del proyecto, resaltando
aquellos aspectos que afectan el cumplimiento de los tiempos y de las metas planeadas.
El informe de avance deber ser corto y contener las siguientes secciones:
Tareas planeadas y completadas.
Tareas planeadas no completadas.
Tareas completadas no planeadas.
Grco de avance mensual y de avance acumulado.
Administracin del riesgo.
Acciones correctivas o preventivas ejecutadas.
Observaciones.
El informe de avance va dirigido a la Unidad Ejecutora del Proyecto y es responsabilidad
del Lder del Proyecto no solo entregarlo, sino asegurarse de que es comprendido.
8.3. Productos intermedios propios del proyecto de TIC.
Dependiendo del tipo de proyecto, durante su ejecucin se presentarn productos
intermedios (documentales o no) que debern ser evaluados y en algunos casos
aprobados por la Unidad Ejecutora. En el caso de un proyecto de desarrollo de
sistemas de informacin los productos intermedios estn debidamente identicados
en el anexo 4 para cada una de las fases.
Minutas de reuniones.
Informes de avance.
Productos intermedios propios del proyecto de TIC.
La Unidad Ejecutora del Proyecto revisa los informes de avance que emite el equipo de
proyecto, as como los ajustes y actualizaciones realizadas al cronograma de trabajo.
La Unidad Ejecutora del Proyecto revisa los productos intermedios propios del tipo de
proyecto de TIC que se desarrolla. En algunos casos el equipo de trabajo requerir
que se apruebe determinado producto intermedio, antes de continuar con el desarrollo
de tareas subsiguientes.
9. Control (Etapa 4)

Antes de ver el control como una etapa separada, se debe tener claro que ste es una
accin que siempre est presente durante el desarrollo del proyecto. Su n primordial
es detectar desviaciones del plan de ejecucin en forma oportuna, de manera que
permita tomar acciones correctivas y preventivas. De ser necesario se deber retomar
el proceso de planeacin, para ejecutar las acciones necesarias, reejndolas en una
nueva versin del plan.
La meta del control es lograr que los objetivos denidos en el plan de trabajo se
cumplan, a partir del seguimiento, ajuste y realimentacin de las acciones planeadas
y ejecutadas.
El proceso de control del proyecto valora como insumo los cambios en el entorno, los
cambios en los recursos, los cambios en las necesidades a solventar, las acciones
realizadas y el plan de trabajo; para emitir acciones correctivas y acciones preventivas.
9.1. Cronograma de proyecto actualizado:
El cronograma debe actualizarse peridicamente con el detalle de las actividades que
se han completado, el porcentaje de avance de las actividades que estn en proceso y
los ajustes propios de un proyecto en ejecucin donde se presentan nuevas tareas no
planeadas o la necesidad de ajustar fechas, producto de desfases que deben quedar
debidamente documentados.
Se debe hacer todo el esfuerzo porque el plan se cumpla, sin embargo todo plan
no es ms que una aproximacin del futuro y por ms cuidado y experiencia que
se haya puesto en la elaboracin del mismo, siempre existirn una serie de factores
que se pueden haber escapado durante la elaboracin del mismo. Otro aspecto muy
importante es que el plan esta enmarcado en una realidad de la organizacin, siendo
la misma un ente vivo y cambiante, y as lo ser el plan.
9.2. Control de avance por unidades de logro
El Lder de Proyecto y el Lder Tcnico deben llevar un control del avance del proyecto,
que no sea por estimacin o por algn criterio experto, sino que sea totalmente objetivo,
enfocando el logro real de cada tarea.
Para ello deben hacer uso de la asignacin de Unidades de Logro (UL) a las tareas
del plan de trabajo y crear un seguimiento de las unidades alcanzadas por el proyecto
de forma acumulada y mensual. A cada tarea planeada se le asigna una cantidad de
unidades de logro y para la contabilizacin de unidades deber tenerse en cuenta que
slo las tareas completas ofrecen logro y que el aporte al logro varia dependiendo de
si la tarea pertenece a la ruta crtica o no.
Para la aplicacin de unidades de logro debern seguirse los siguientes pasos:
Debe pasarse a una hoja electrnica la lista de tareas planeadas en el
proyecto
A partir del cronograma de trabajo deben identicarse cuales son las tareas
que pertenecen a la ruta crtica del proyecto.
A las tareas que son de ruta crtica se les asignar un aporte al logro de 1
UL por cada 2 das que se planea que dure la tarea. Por ejemplo: una
tarea de ruta crtica que dure 11 das aportar 5.5 UL.
A las tareas que no son de ruta crtica se les asignar un aporte al logro de
1 UL por cada 5 das que se planea que dure la tarea. Por ejemplo: una
tarea que no sea de ruta crtica que dura 11 das aportar 2.2 UL.
La tarea aportar sus UL al mes que corresponda con la fecha de nalizacin
planeada. Por ejemplo: Si la tarea inicia el 15/06/200X y naliza el
08/08/200X, las unidades de logro de esa tarea se acumularn para el mes
de agosto (por esto es importante dividir grandes tareas en tareas menores
que mejor contabilicen el logro por mes).
Se suman por mes las UL para tener el total general de UL del proyecto.
Se sumarizan los totales por mes en la tabla de Logro Planeado y Logro
Real, segn hoja electrnica presentada ms adelante. Ntese que de esta
forma se hace diferencia entre el logro alcanzado y el avance en el tiempo,
haciendo del manejo del porcentaje de avance una valoracin real y no una
estimacin por criterio personal.
Con dicha informacin se puede crear una hoja electrnica que calcule
de forma real el porcentaje de avance con relacin a lo planeado y a
lo ejecutado; que lo muestre por mes y por acumulado general para el
proyecto. A continuacin se presenta una hoja electrnica ejemplo que
puede ser ajustada para cualquier proyecto.
ControlAVP_Machote
. xls
9.3. Formularios de acciones correctivas y preventivas:
Cuando en el proceso de control se detecten o prevean desviaciones con respecto a
lo que establece el plan de trabajo, de manera oportuna debern ejecutarse acciones
correctivas y preventivas que vengan a mitigar el impacto de dichas desviaciones
sobre el logro de los objetivos y metas del proyecto.
Las acciones correctivas o preventivas deben estar claramente explicadas e indicar
el o los responsables de ejecutarlas. De ser necesario estas acciones deben quedar
incorporadas en el plan de trabajo para su futuro seguimiento y debidamente
documentadas en formularios cuyo formato se detalla en el anexo 11.
9.4. Control de cambios.
Durante la ejecucin de cualquier proyecto se pueden presentar cambios que afecten
directa o indirectamente el logro de los objetivos y de las metas. El proceso de control
del proyecto deber analizar; entre otros, los cambios en las condiciones del entorno,
los cambios en los recursos, los cambios en las necesidades a solventar, los cambios
en la tecnologa, cambios en los objetivos, y cambios en la estrategia de solucin.
Todo cambio que afecte el curso de accin, los alcances o la estrategia de solucin;
debe quedar documentado, sobre todo si dichos cambios impactan el cronograma de
proyecto. Adems el Lder del Proyecto deber hacer del conocimiento de la Unidad
Ejecutora todo cambio importante, la cual tiene que aprobar si se atiende o no dicho
cambio.
Para llevar el control de cambios del proyecto se debe usar el formulario que se detalla
en el anexo 12.
Informes de avance.
Cronograma de proyecto actualizado.
Control de avance por unidades de logro.
Grcos de avance acumulado y avance mensual.
Formularios de acciones correctivas.
Control de cambios.
La Unidad Ejecutora del Proyecto revisa los informes que emite el equipo de proyecto
y el control de avance; cuando identique tareas desfasadas aprobar acciones
correctivas o preventivas tendientes a mitigar el desfase. La Unidad Ejecutora puede
decidir retomar el proceso de planeacin y generar una nueva versin del plan.
10. Etapa 5: Conclusin

En esta etapa se debe revisar el cumplimiento de las metas iniciales a efectos de
realizar el cierre del proyecto.
Toda etapa de conclusin de un proyecto debe cumplir con las siguientes actividades
bsicas.
Enterar a los patrocinadores sobre los resultados del proyecto.
Entrega de productos con su respectiva aprobacin.
Liberar los recursos que an estn asignados al proyecto.
Documentar los procesos nales, entendiendo que el proceso de
documentacin fue un proceso rutinario durante toda la vida del proyecto;
por lo que en esta etapa deber dejarse actualizado el respectivo expediente
de proyecto.
10.1. Informe de conclusin del proyecto:
Todo Lder de Proyecto, con el apoyo del resto de los integrantes del equipo, tiene
que elaborar el informe nal de cierre del proyecto, el cual debe cubrir los siguientes
puntos:
Resumen ejecutivo con los principales logros, comparados con las metas
originales del proyecto.
Puntos o tareas que quedaron pendientes, ya sea porque requieren de una
mayor investigacin o elaboracin; o porque se debern retomar para una
segunda versin del proyecto.
Resumen de los asuntos conictivos y soluciones.
Recomendaciones para mejorar la administracin y ejecucin de proyectos
futuros.
Costo total del proyecto.
Explicacin de las variaciones en el presupuesto.
10.2. Aceptacin a satisfaccin de los productos nales del proyecto:
La Unidad Ejecutora debe revisar y dar por aceptados a satisfaccin los productos
nales del proyecto. Si algn producto no se considera como terminado el proyecto
no est en fase de conclusin.
Luego de la respectiva revisin, el coordinador de la Unidad Ejecutora debe dejar
constancia de la aceptacin de los productos mediante el formulario detallado en el
anexo 13.
10.3. Expediente actualizado del proyecto:
Es necesario recordar que toda la informacin relativa al proyecto que recin termina,
es de vital importancia para otros proyectos o trabajos futuros. Es por ello que el Lder
del Proyecto deber dejar debidamente actualizado el expediente. Este expediente
debe contener todos los entregables de cada fase del proyecto, y debe mantenerse en
formato digital de acuerdo al expediente electrnico denido en la CGR.
La Unidad de Sistemas y Tecnologas de Informacin ser la encargada de mantener
toda la documentacin almacenada en un solo expediente o carpeta y de facilitar los
medios para que todo funcionario interesado tenga acceso a dicha informacin.
Cronograma actualizado con ejecucin de tareas.
Documentos desarrollados durante el proyecto.
Informe de conclusin del proyecto
Formulario de aceptacin a satisfaccin de los productos.
Expediente actualizado del proyecto

La Unidad Ejecutora del Proyecto revisa el informe nal del proyecto y lo hace del
conocimiento de todos los interesados.
La Unidad Ejecutora da por aceptados los productos nales del proyecto.
Anexo 1
Denicin de roles
En el desarrollo de un proyecto de TIC se presentan diferentes actores con funciones
y responsabilidades que se describen a continuacin:
Comit Gerencial de Tecnologas de Informacin y Comunicaciones (CGTIC):
por delegacin del mximo jerarca (Contralor o Contralora General),
es el mximo ente en lo referente a recomendar sobre las directrices y
lineamientos a seguir en la planicacin y direccin de los procesos de
desarrollo tecnolgico. Est conformado por representantes de alto nivel
gerencial, por el Jefe de Auditoria Interna como asesor del Comit y por
el Jefe la Unidad de Sistema y Tecnologas de Informacin (USTI). Este
Comit reporta al mximo jerarca, quien lo preside.
Patrocinador del proyecto: es el mximo jerarca o en quien ste delegue, de
la Unidad Organizacional para la cual se va a desarrollar el proyecto de TIC.
Coordinador de proyectos: este rol es asumido por la jefatura de la USTI o
delegado en un funcionario de la misma Unidad, para velar por la adecuada
ejecucin de los proyectos de TIC observando aspectos como integracin,
calidad, logro de objetivos y eciencia en los diseos y desarrollo de las
soluciones.
Lder del proyecto: es un funcionario con gran conocimiento de su rea
funcional, aspecto por el cual se le ha conferido la capacidad de tomar
decisiones y la responsabilidad de liderar activamente el proyecto; vela tanto
por los mejores intereses de la Contralora General de la Repblica, como
por los de su rea en lo que al proyecto concierne. En casos justicados
y por recomendacin del CGTIC, la direccin puede ser asumida por un
representante de la USTI.
Lder Tcnico del proyecto: ste es un funcionario al cual, por su formacin
en el rea de informtica, experiencia y capacidad, se la ha conferido la
responsabilidad de administrar los aspectos tecnolgicos de un proyecto
de TIC.
Analista de sistemas: es el recurso profesional en informtica (funcionario o
no de la Contralora General de la Repblica) que trabaja bajo la coordinacin
y direccin del Lder Tcnico del proyecto para la realizacin de tareas
propias del proyecto de TIC, cuyas actividades entre otras son: anlisis,
diseo, desarrollo de los programas, pruebas, capacitacin de usuarios,
documentacin y apoyo tcnico a los usuarios en la puesta en operacin
de una solucin tecnolgica.
Programador de sistemas: es el recurso profesional en informtica
(funcionario o no de la Contralora General de la Repblica) que trabaja
bajo la coordinacin y direccin del Lder Tcnico del proyecto para la
realizacin del sistema y cuyas actividades entre otras son: el desarrollo de
los programas, pruebas y documentacin de los programas.
Usuario de TIC: se considera a todo aquel individuo (funcionario o no de
la Contralora General de la Repblica) que tenga acceso autorizado a
sistemas de Informacin, o que se benecie de alguna solucin tecnolgica.
Para efectos de la metodologa vamos a considerar usuarios registradores
y generadores de informacin, usuarios de consulta y usuarios expertos
de los sistemas o de la tecnologa, quienes adems de tener acceso o
interaccin con el sistema o solucin tecnolgica, son usuarios de amplio
dominio sobre el negocio que dicha tecnologa o sistema soporta.
Es posible que la misma persona desempee ms de un rol en el desarrollo del
proyecto, especialmente si pertenece a la USTI; pero en todo proyecto siempre se debe
contar con el apoyo de la contraparte usuaria que tiene las necesidades especcas de
manejo de la informacin y del conocimiento.
Anexo 2
Actualizacin de la Gua Metodolgica para el Desarrollo de Proyectos
de Tecnologa de Informacin y Comunicaciones.
Dado el ritmo acelerado que impone el entorno tecnolgico y los cambios que
toda organizacin debe realizar para mantenerse actualizada, se establece la
necesidad de realizar peridicamente las revisiones y los ajustes que corresponda
a la Gua Metodolgica para el desarrollo de Proyectos de TIC. El responsable de
esta actualizacin ser la Unidad de Sistemas y Tecnologas de Informacin, quien
podr pedir el apoyo y la asesora de otros funcionarios de la Contralora General de la
Repblica, que estime conveniente.
Esta Unidad adicionalmente deber considerar las solicitudes de modicacin
expresas y aportes hechos por Lderes de Proyectos, producto de experiencias previas
de aplicacin de la misma gua y sus respectivas lecciones aprendidas.
Una vez hechos los ajustes correspondientes, los puntos modicados o agregados debe
ser sometidos a consideracin del Comit Gerencial de Tecnologas de Informacin y
Comunicaciones quien debe recomendar su aplicacin para proceder a su publicacin
y a la divulgacin respectiva.
Anexo 3
Responsabilidades de los miembros del proyecto
Patrocinador del Proyecto
Entre sus responsabilidades se destacan las siguientes:
Aprobar formalmente la organizacin del proyecto.
Designar al Lder del Proyecto.
Aportar el personal de apoyo adecuado para llevar a cabo un anlisis integral
sobre la factibilidad tcnica, legal, funcional y econmica, del proyecto a
realizar.
Apoyar en la solucin de problemas y en la consecucin de los recursos.
Aprobar los productos de cada etapa en el proceso de desarrollo del
proyecto.
Evaluar, peridicamente, el progreso del proyecto, con base en los planes
y los informes de avance, y hacer las recomendaciones que correspondan.
Aprobar ajustes al cronograma, en caso de ser necesario.
Aprobar cualquier cambio en procedimientos de trabajo que requiera la
solucin tecnolgica para ser implementada.
En el caso de un nuevo sistema automatizado, debe aprobar el plan para
levantamiento de informacin, conversin y carga de datos.
Aprobar el plan para capacitacin de usuarios.
Aprobar la solucin tecnolgica y fecha para su entrada en operacin.
Coordinador de Proyectos de la USTI.
Entre sus responsabilidades se destacan las siguientes:
Actuar como un integrador de los alcances de los diferentes proyectos.
Balancear la utilizacin de los diferentes recursos de la USTI, sobre todo
aquellos que estn siendo utilizados en varios proyectos, tanto humanos
como tecnolgicos.
Velar porque en cada proyecto se tenga un expediente con la informacin
relevante.
Generar informacin histrica sobre el desarrollo de cada proyecto y ponerla
a disposicin de los grupos de trabajo de los nuevos proyectos, para ser
utilizada como referencia.
Detectar desviaciones en los diferentes planes de trabajo y velar porque se
tomen las medidas correctivas del caso.
Velar porque los diferentes proyectos en ejecucin mantengan las
orientaciones planteadas tanto en el Plan Estratgico de Tecnologas de
Informacin y Comunicaciones (PETIC), como en el correspondiente Plan
Tctico (PTAC).
Generar informacin operativa de los proyectos para el apoyo a la toma de
decisiones por parte de la Jefatura de la USTI.
Apoyar en todos los pasos necesarios para dar inicio a los nuevos proyectos,
desde las etapas preparatorias de conceptualizacin, hasta dejar constituidos
y funcionando los equipos de trabajo.
Preparar y motivar a los integrantes de los equipos de trabajo, para que
conozcan y cumplan el rol que se espera de ellos.
Mantener el equilibrio en el uso de los recursos asignados a los diferentes
proyectos.
Mantener una secuencia lgica entre los alcances de los diferentes
proyectos.
Brindar capacitacin al equipo de trabajo en el uso de la Gua metodolgica
para desarrollo de proyectos en TIC.
Jefe de la USTI.
El jefe de la USTI puede delegar algunas responsabilidades de coordinacin en un
funcionario que rena los requisitos necesarios. Entre sus responsabilidades respecto
a los proyectos de TIC se destacan las siguientes:
Coordinar la ejecucin de los proyectos aprobados por el CGTIC.
Velar porque el desarrollo de los proyectos de TIC estn de acuerdo con las
estrategias y orientaciones denidas en los planes.
Apoyar en la solucin de problemas y en la consecucin de los recursos.
Recibir, analizar y tramitar las solicitudes por nuevos proyectos de TIC.
Asignar al lder tcnico que trabajar en el proyecto.
Participar en las reuniones de la Unidad Ejecutora cuando sea requerido.
Aprobar las diferentes etapas de aquellos proyectos que as lo requieran.
Apoyar al Lder Tcnico en los asuntos del desarrollo del proyecto que lo
requieran.
Coordinar el cumplimiento del cronograma de trabajo, en conjunto con el
Lder del Proyecto y el Lder Tcnico.
Identicar situaciones que puedan afectar el cumplimiento de los objetivos,
y coordinar las acciones preventivas o correctivas necesarias.
Lder del Proyecto
Perl:
El Lder del Proyecto debe ser un representante, del rea funcional que
propone e impulsa el desarrollo de proyecto de TIC.
Debe coordinar estrechamente con el patrocinador del proyecto, por
cuanto sus responsabilidades incluyen la toma de decisiones, la resolucin
de problemas y el logro de la colaboracin necesaria de otras unidades
organizacionales, cuando sea requerida.
Debe tener las siguientes caractersticas:
Amplio conocimiento y dominio de las actividades y procesos involucrados
en el proyecto, as como de la problemtica y perspectivas futuras que
giren en torno a dichas actividades o procesos.
Disponer del tiempo suciente que le demande el proyecto para participar
muy activamente junto con el Lder Tcnico y su equipo de trabajo, en las
fases del proyecto donde su participacin es crtica.
Mostrar alto nivel de compromiso e identicacin con el proyecto en
desarrollo.
Estar familiarizado con los conceptos bsicos del desarrollo de proyectos de
TIC y preferiblemente tener alguna experiencia al respecto.
Habilidad para administracin de personal.
Facilidades para administrar proyectos.
Responsabilidades Principales
Administrar (planicar, dirigir, controlar, ejecutar y evaluar) las fases de un proyecto de
TIC con eciencia y ecacia.
Funciones
a. Comprobar la aplicacin de las actividades establecidas en la Gua
Metodolgica para el Desarrollo de Proyectos de TIC.
b. Elaborar, revisar y aprobar los planes del proyecto correspondientes a cada
una de las fases del desarrollo y velar por su cumplimiento.
c. Evaluar peridicamente el avance del proyecto, con base en lo planeado y
ajustarlo en caso de que sea necesario. Elaborar informes peridicos sobre
el desarrollo y cumplimiento del plan de trabajo.
d. Facilitar y promover el trabajo en equipo.
e. Atender los problemas administrativos (disponibilidad de recursos,
conictos, modicacin de procedimientos o procesos) que requieran su
atencin.
f. Mantener las vas de comunicacin adecuadas, para informar a todos los
interesados en el proyecto, sobre los detalles del mismo.
g. Lograr la colaboracin apropiada de otras unidades organizacionales, que se
vean afectadas o involucradas por el desarrollo del proyecto, con el objetivo
de implementar una solucin integral, ecaz y eciente al problema.
h. Denir los procedimientos administrativos en torno a la solucin tecnolgica
que se desarrolle o implante.
i. Denir las nuevas funciones y responsabilidades por puesto o la actualizacin
de stas, las cuales se deriven por el proyecto en desarrollo.
j. Participar activamente en la denicin de requerimientos y alcances del
proyecto, considerando las necesidades propias de su rea funcional, de
otras reas que por su funcin estn relacionadas con el proyecto, as
como de los niveles de decisin.
k. Participar en el estudio de paquetes de software, cuando sea requerido
para el proyecto y emitir las observaciones pertinentes.
l. Cuando el proyecto involucre un nuevo sistema de informacin deber:
revisar y aprobar, junto con el Lder Tcnico, el diseo funcional del
sistema.
Evaluar el prototipo del sistema de informacin, hacer las
recomendaciones pertinentes y aprobarlo formalmente.
Participar activamente en la denicin de volmenes de informacin,
aspectos operacionales del sistema, criticidad, usuarios del sistema,
procesos de entrada y salida, diseo de reportes, aspectos de
seguridad y controles, interfaces, y requerimientos de hardware.
Evaluar el diseo nal del sistema en sus apartados de seguridad y
controles, procesos de entrada y salida, e interfaces y funcionalidad
del sistema, emitir las recomendaciones pertinentes y aprobarlo
formalmente.
Participar y aprobar el plan de pruebas y del paralelo, y emitir, para
tal efecto, las recomendaciones pertinentes.
Coordinar el levantamiento de datos para las pruebas y para la
ejecucin del paralelo del sistema.
Asignar personal de su rea funcional para la digitacin de datos no
disponibles automticamente.
Coordinar y participar activamente en las pruebas integradas del
sistema, formular las recomendaciones pertinentes velando porque
ste se ajuste al prototipo y diseo nal aprobados, con exactitud y
completitud conforme a los resultados deseados.
Identicar a los funcionarios que debern recibir entrenamiento
para el paralelo.
Participar activamente en la ejecucin del paralelo, llevando registro
de las modicaciones requeridas.
Identicar al personal de su rea funcional, que requerir
entrenamiento en la operacin del sistema.
Coordinar el planeamiento y ejecucin del plan de capacitacin.
Revisar y aprobar los manuales del usuario, capacitacin, y operacin
del sistema.
Participar activamente en la planicacin e implantacin del sistema.
Hacer un seguimiento del sistema post-implantacin y emitir las
recomendaciones que procedan.
Participar en la evaluacin posterior a la implantacin de la solucin
desarrollada, llevando a cabo un anlisis de los benecios reales
contra los planeados.
Lder Tcnico del proyecto
Perl:
Ser un individuo con una preparacin acadmica adecuada que lo
faculte para llevar a cabo con xito, el seguimiento, y el desarrollo de un
proyecto de sistemas de informacin. A la vez, debe ser una persona
experimentada, segn lo que requiera el proyecto, en aspectos como el
desarrollo de sistemas de informacin o el manejo tcnico de herramientas
tecnolgicas especcas (bases de datos, redes, elementos de seguridad,
comunicaciones, paquetes, entre otros), o sobre la solucin tecnolgica a
desarrollar o implementar.
Tener capacidad de asimilar los procesos de las reas funcionales
relacionadas con su proyecto en desarrollo y aportar ideas creativas
que mejoren los procesos, al operar ste como agente de cambio en la
Organizacin.
Mantener una constante preocupacin por mantenerse actualizado acerca
de los ltimos avances en la tecnologa informtica en el entorno, con el
objetivo de analizarlos y determinar su aplicabilidad o adaptabilidad, si esto
fuese requerido para el logro de los objetivos del proyecto.
Responsabilidad principal
Colaborar con la Administracin en llevar a cabo las fases de un proyecto
de desarrollo tecnolgico, sea en forma interna o servicio contratado, con
eciencia y ecacia.
Funciones
a. Apoyar en la elaboracin de los planes del proyecto requeridos y
correspondientes a cada una de las etapas, de acuerdo con la metodologa
y estndares vigentes.
b. Revisar los planes propuestos por el contratista e identicar y sugerir las
modicaciones necesarias, para salvaguardar los intereses del usuario y
de la Contralora General de la Repblica, en caso de contratacin externa.
c. Llevar un control de toda la informacin (documentacin) que se genera en
torno al proyecto tanto formal como informal, con el objetivo de respaldar
cualquier incidente, debido a problemas de comunicacin.
d. Supervisar y controlar la ejecucin real del proyecto, de acuerdo con los
estndares vigentes, para vericar la observacin de los planes y etapas
especcas, con la nalidad de identicar oportunamente cualquier desfase
o incumplimiento, interno o externo, y tomar las medidas correctivas.
e. Detectar y analizar cualquier problema actual o potencial que ocasione
variacin sobre lo planeado, coordinando las medidas correctivas con el
usuario responsable.
f.
g. Identicar y gestionar cualquier intervencin o ayuda requerida, para el
desarrollo del proyecto.
h. El Lder Tcnico debe velar por la aplicacin de los cambios tecnolgicos
que llegue a conocer y que afecten el proyecto.
i. Resolver los problemas y conictos internos del proyecto que estn a su
alcance y elevar a los mandos superiores los que no pueda solucionar.
j. Presentar y justicar tcnicamente el proyecto tanto frente a los usuarios,
como ante otros coordinadores tcnicos y jefaturas.
k. Revisar y evaluar la calidad de los productos generados en las diferentes
etapas del proyecto, desarrollados en forma interna o por el contratista, de
acuerdo con los estndares vigentes y los planes. Por otra parte, identicar
las modicaciones necesarias y presentar las recomendaciones pertinentes
para su consideracin, por parte del usuario responsable, la jefatura de la
USTI y el contratista si lo hubiera.
l. Revisar y evaluar cualquier recomendacin hecha por un miembro del
proyecto antes de presentarla a otras personas o ante una eventual empresa
contratada.
m. Mantener una estrecha relacin con los otros Lderes Tcnicos de proyecto,
el Equipo de Apoyo Tecnolgico, y el coordinador de proyectos; con la
nalidad de determinar y facilitar los enlaces requeridos entre sistemas;
analizar la viabilidad tcnica de las propuestas y compartir las experiencias
del desarrollo de proyectos. Con esto se pretende identicar, entre otros
aspectos, los requerimientos en reas tales como: software, hardware,
interfaces, comunicacin y topologa.
n. Administrar con responsabilidad y discrecin toda aquella informacin que,
por su ndole, lo amerite.
o. Ofrecer continuos aportes y sugerencias de acuerdo con su conocimiento y
experiencia en el uso de metodologa, y estndares, que coadyuven en su
depuracin y mejoramiento, con la nalidad de ecientizar los mtodos
de trabajo.
p. Mantener informado al Lder del Proyecto, al coordinador de proyectos y a
la jefatura de la USTI, acerca de la ejecucin del proyecto.
En particular, si el proyecto se desarrolla bajo el esquema de contratacin, en lugar de
coordinar al equipo de apoyo tecnolgico, tendra las siguientes funciones:
a. Efectuar el control de calidad de los productos que entregue el proveedor
contratado.
b. Garantizar una transferencia tecnolgica adecuada, de tal forma que
inmediatamente que el proveedor entregue la herramienta pueda ser
administrada tcnicamente por la USTI.
c. Fungir como facilitador tcnico para el proveedor contratado, de tal forma
que suministre oportunamente la informacin tcnica que se requiera, para
que el proyecto se desarrolle sin contratiempos.
d. Velar por el cumplimiento de los tiempos de entrega de los productos,
segn lo acordado con el proveedor. Proponer acciones correctivas en
caso de desfases.
e. Fungir como contraparte tcnica por parte de la Contralora General en
defensa de los intereses institucionales, velando por el debido cumplimiento
de los compromisos suscritos por el proveedor contratado.
Equipo de apoyo tecnolgico
Entre sus responsabilidades est:
Asistir la labor del Lder Tcnico en materias como programacin, diseo y
optimizacin de bases de datos, operacin de equipos principales, paso a
produccin de un sistema, sistemas operativos, seguridad, comunicaciones
y denicin de perles de acceso.
Equipo de trabajo
Brindar toda la informacin y colaboracin necesaria al Lder de Proyecto y
al Lder Tcnico, en todas las etapas, actividades y tareas que lo requieran.
Atender las tareas que el Lder del Proyecto les asigne.
Grupo de Apoyo
Colaborar con el Lder de Proyecto en todas las etapas, actividades y tareas
que lo requiera.
Atender las tareas que el Lder del Proyecto les solicite.
Matriz de Responsabilidades
Anexo 4
Fases para el desarrollo de sistemas
1. Anlisis integral de requerimientos
1.1. Consideraciones
Con el anlisis integral de requerimientos del sistema a automatizar se espera:
Identicar, analizar y documentar los requerimientos funcionales y no-
funcionales que debe soportar el sistema o solucin propuesta. Los
requerimientos funcionales se reeren a las cosas que el sistema debe
realizar, por ejemplo que informacin se debe registrar y de que manera
se debe procesar; los requerimientos no funcionales se reeren a los
aspectos operativos del sistema como tiempos de respuesta, respaldos de
informacin y presencia en la Internet o en la Intranet de la Contralora.
Priorizar los requerimientos que ha de cubrir el nuevo sistema o solucin,
convirtindose en punto de referencia bsico para validar el sistema nal,
comprobando que se ajusta a las necesidades del usuario.
El proceso de anlisis de requerimientos se puede representar en la siguiente gura:
El usuario o usuarios del futuro sistema deben realizar la especicacin de los
requerimientos funcionales y no funcionales del nuevo sistema, los cuales debern
ser priorizados de acuerdo a su grado de aporte a la consecucin de los objetivos
del proyecto. Para ello tendr la colaboracin del personal informtico asignado al
proyecto.
Estos requerimientos sern analizados por los Analistas de Sistemas asignados al
proyecto con el apoyo del Lder Tcnico y si fuera necesario se podr solicitar a los
usuarios profundizar en la especicacin de uno o varios de los requerimientos con la
nalidad de que stos sean lo ms claros y especcos posibles.
Paralelamente en este proceso de anlisis se deben identicar posibles ajustes a la
planeacin de los recursos requeridos por el proyecto; as como los requerimientos
crticos para el xito del mismo. Con esta informacin se confeccionar el Documento
de Anlisis y se ajustar el cronograma para la conclusin del proyecto.
1.2. Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y
que formarn parte del expediente o archivo del proyecto.
En lo referente a la fase de anlisis integral de requerimientos para el Desarrollo de un
Sistema de Informacin se identican los siguientes entregables:
Especicacin de requerimientos: se entiende por especicacin de
requerimientos un documento con la descripcin precisa y detallada que
hace el usuario de las necesidades a ser resueltas con el sistema solicitado
y sus restricciones.
Documento de anlisis: en este documento se presentan los resultados
obtenidos en la fase de Anlisis y debe hacer referencia a la valoracin de
complejidad y prioridad preliminar de los requerimientos. Puede establecer
ajustes al formulario de recursos requeridos para la realizacin del proyecto
y presentar ajustes al cronograma para la completitud del proyecto.
1.2.1. Especicacin de requerimientos
La especicacin de requerimientos es la descripcin precisa y detallada que hace el
usuario de las necesidades a ser resueltas con el sistema solicitado y sus restricciones.
Para ello, el Lder Tcnico y el analista asignado deben trabajar en conjunto con el
grupo de usuarios, de manera que generen experiencia en traducir en requerimientos
(descripcin precisa y detallada de la funcionalidad del sistema), las necesidades que
poseen y que sean muy comprensibles. Para lograr este propsito el usuario experto
puede aportar la documentacin que considere pertinente, como boletas, formularios,
legislacin, normativa, documentos y tipos de reportes.
Los requerimientos se pueden agrupar en funcionales y no funcionales:
a. Requerimientos funcionales
Son las indicaciones de servicio que el sistema debe proveer en cuanto a actualizacin
de datos, opciones de consulta, reportes a generar, interaccin con otros sistemas,
bitcoras de seguimiento y pistas de Auditoria (en coordinacin con la Auditoria
Interna).
Entre las caractersticas que se espera que posean los requerimientos funcionales
estn las siguientes:
Correcto: Cada requerimiento debe describir con exactitud la funcionalidad
que se obtendr del sistema, de manera que no exista conicto entre ellos.
Debe tener una referencia a la fuente del requerimiento, sea este el cliente
o bien un requerimiento propio de la implementacin del sistema.
Factible: Se reere a la posibilidad tcnica, operativa, legal, econmica y
presupuestaria de implementar cada uno de los requerimientos dentro de
la capacidad y limitaciones del sistema y su ambiente de desarrollo. El
desarrollador debe chequear cada uno de los requerimientos y determinar
qu se puede desarrollar y qu no, y qu puede desarrollarse pero tiene un
costo excesivo.
Necesario: Cada uno de los requerimientos debe documentar una necesidad
del usuario o bien un requisito del sistema, interfase o estndar. Debe poder
indicarse el rastro del requerimiento desde su origen, de tal forma que sea
vlido y por ende necesario.
Claro: El lector del documento de requerimientos debe ser capaz de
interpretarlo de una nica forma. Para esto cada requerimiento debe
describirse en forma sucinta, simple, en un lenguaje comprensible por el
usuario. Para vericar la claridad de los requerimientos se pueden crear
escenarios que ilustren la funcionalidad de porciones especcas del
sistema.
Vericable: Un requerimiento es vericable si se puede utilizar algn tipo
de pruebas tales como inspeccin o demostracin para determinar si el
requerimiento satisface las necesidades de los usuarios. Si el requerimiento
no es vericable, determinar si se implement correctamente.
Para la especicacin de los requerimientos funcionales del sistema se utilizarn
los casos de uso del UML (Unied Modeling Language), lenguaje cuyo estndar es
promovido por el OMG (Object Management Group) y que permite modelar, construir
y documentar los elementos que forman un sistema de informacin, especialmente,
orientado a objetos.
Los casos de uso representan la funcionalidad que ofrece el sistema en lo que se
reere a su interaccin externa, desde el punto de vista del usuario y especicando
qu respuestas debe ofrecer el sistema a las diversas acciones de los usuarios o, en
general, los agentes externos al sistema.
En esta tarea se elabora el modelo de casos de uso identicando:
Actores y casos de uso.
Descripcin del escenario de cada caso de uso.
Para completar la descripcin del escenario, es preciso especicar el siguiente detalle:
Casos de uso de alto nivel:

Caso de Uso Nombre del caso de uso
Actores Lista de actores (agentes externos), indicando quin inicia el caso de
uso. Usualmente son roles, pero puede ser cualquier tipo de sistema
Tipo Primario: proceso principal
Secundario: casos de uso menores
Opcionales: proceso que puede no ser tomado en cuenta en el sistema
________________________________________________________
Esencial: denido a nivel abstracto, independiente de la tecnologa y
la implementacin
Real: describe concretamente el proceso en trminos del diseo real.
Descripcin Muy breve descripcin del caso de uso
Casos de uso expandidos:

Caso de Uso Nombre del caso de uso
Actores Lista de actores (agentes externos), indicando quin inicia
el caso de uso. Usualmente son roles, pero puede ser
cualquier tipo de sistema
Propsito Intencin del caso de uso
Tipo Primario: proceso principal
Secundario: casos de uso menores
Opcionales: proceso que puede no ser tomado en cuenta
en el sistema
Esencial: denido a nivel abstracto, independiente de la
tecnologa y la implementacin
Real: describe concretamente el proceso en
trminos del diseo real.
Referencias Casos de uso relacionados
Precondicin Condiciones dadas antes del proceso
Curso Tpico de
eventos
Descripcin de la interaccin entre los actores y el sistema
mediante las acciones numeradas de cada uno (se disponen
en forma columnar) Describe la secuencia ms comn de
eventos, bajo condiciones de normalidad y el proceso se
completa satisfactoriamente.
Poscondicin Condiciones resultantes despus del proceso
Cursos
Alternativos
Se describe la excepcin al caso normal y se seala el punto
en que se dara.
Los casos de uso se describen en forma detallada en el anexo 14.
a. Requerimientos no funcionales
Son las propiedades y restricciones del sistema, pueden ser de ndole organizacional,
como consecuencia de alguna poltica organizacional o de procedimiento, o pueden
ser de operabilidad como los son: conabilidad, tiempo de respuesta, almacenamiento,
capacidades de dispositivos de E/S, migracin de herramienta, y conversin de
archivos.
1.2.2. Documento de anlisis
Este documento rene los resultados del proceso de anlisis y ser la base, en conjunto
con la especicacin de requerimientos, para la planicacin de las fases posteriores
en lo referente a la construccin del sistema.
Debe contener, al menos, la siguiente informacin:
a. Identicacin de recursos para desarrollo
Teniendo ahora mayor claridad respecto a lo que el sistema debe resolver y el
trabajo a realizar, se debe ajustar el formulario de recursos del proyecto Identicando
requerimientos de recurso humano, hardware, software, comunicaciones,
ambiente fsico, volumen de datos, materiales, capacitacin y otros recursos que
sern requeridos para el desarrollo del proyecto. Si al ejecutar esta tarea se tiene un
estimado de los recursos requeridos para las etapas de Implantacin y operacin, esto
puede ser descrito en esta tarea, revisado y ajustado ms adelante.
b. Anlisis de requerimientos
Los requerimientos estudiados se analizan para identicar los siguientes elementos de
cada solicitud:
Identicacin del requerimiento: Debe ser una secuencia conformada por
las siglas o cdigo del sistema y un consecutivo que identique de manera
nica al requerimiento (en el proyecto o sistema actual)
Breve descripcin: Breve descripcin y propsito del requerimiento.
Prioridad: asignada por el Patrocinador o Lder del Proyecto. Se recomienda
utilizar tres valores posibles en concordancia con la priorizacin de
requerimientos, es decir, Alto, Medio y Bajo.
Complejidad: nivel de dicultad para la solucin de lo solicitado. Se
recomienda utilizar tres valores posibles: Alta, Media y Baja.
Tipo de requerimiento: Identicar si se trata de requerimiento funcional o de
un requerimiento no funcional.
Dependencia con otros requerimientos: Hacer referencia a los requerimientos
que estn relacionados y que de alguna manera representan una
dependencia; es decir, que para su atencin se requiera resolver previamente
otros requerimientos o que su atencin es obligatoria para el cumplimiento
de otros aspectos.
Tiempo estimado de construccin: estimacin preliminar del tiempo
requerido para la atencin del requerimiento. Se debe utilizar una unidad
de medida uniforme para cuanticar todos los requerimientos (horas, das,
semanas)
Seguidamente se presenta un ejemplo de la matriz de requerimientos:
ID Descripcin del req. Prioridad Complejidad Tipo Req. Dependencia Das const.
Con esta matriz se puede realizar un anlisis cuantitativo de los requerimientos que
permita identicar aquellos que son crticos para el xito y completitud del proyecto;
adems ofrece un elemento importante para la toma de decisiones por parte del Lder
de Proyecto y Lder Tcnico.
c. Denicin de infraestructura tecnolgica
Se debe detallar la infraestructura computacional que soportar el sistema cuando
est en operacin, a nivel de equipo principal y de usuarios, lenguaje de programacin
y especicacin de la base de datos; y cualquier otro aspecto requerido para el
funcionamiento del sistema. En trminos generales, el tipo de tecnologa a utilizar
dependiendo del tipo de sistema; incluyendo aquella que no est disponible en la CGR
y que se constituye en un riesgo tecnolgico.
d. Cronograma ajustado de las fases posteriores del proyecto
Con mayor claridad de lo que deber desarrollarse se puede ahora ajustar el cronograma
del proyecto para las siguientes etapas, indicando las fechas de inicio y nalizacin
para cada una de ellas as como los responsables de las actividades.
e. Aprobacin de los requerimientos
Se debe realizar una presentacin a la Unidad Ejecutora de los requerimientos
identicados, a efectos de efectuar los ajustes necesarios hasta obtener la aprobacin
por parte de la UE y continuar con la siguiente etapa.
2. Diseo conceptual de la solucin
Esta fase tiene el propsito de identicar los primeros elementos de diseo del nuevo
sistema. Los insumos principales de esta fase son: el documento de especicacin de
requerimientos y el documento de anlisis.
En la siguiente gura se diagraman las principales actividades de esta fase:
2.2. Entregables
En lo referente a la fase de diseo conceptual de la solucin para el Desarrollo de un
Sistema de Informacin se identican los siguientes entregables:
Documento de diseo conceptual: a travs de este documento se presentan
los resultados de la primera actividad de diseo como la descripcin general
de procesos, identicacin de relaciones de integracin de sistemas, la
identicacin de usuarios y roles. Tiene el propsito de mostrar, de manera
general, cmo estar constituido el nuevo sistema y ser la base, en
conjunto con la especicacin de requerimientos, para el diseo detallado
del sistema.
2.2.1. Documento de diseo conceptual
Este documento deber contener, al menos, la siguiente informacin:
a. Identicacin de mdulos
Un mdulo es una parte o divisin del sistema. Consiste en agrupar funcionalidad que
est relacionada y que soporta un eje o situacin especca del negocio sobre la cual
se est desarrollando el proyecto.
b. Descripcin de mdulos y sub-mdulos y su interaccin
Con base en el diseo conceptual de la solucin, se detalla la estructura modular
del sistema en cuanto a la jerarqua de los mdulos y la forma en la que interactan.
Adems de la descripcin de los mdulos se debe confeccionar el diagrama de contexto
y el diagrama de ujo de datos. El diagrama de contexto establece las relaciones que
el mdulo tiene con otros sistemas, otros mdulos o entidades externas. El diagrama
de ujo de datos es la representacin grca de las entradas, procesos y salidas de un
mdulo mostrando la interrelacin de los procesos.
c. Identicacin de interrelaciones con otros sistemas o mdulos
Se reere a la identicacin de sistemas o mdulos que estarn relacionados con el
sistema en construccin y la descripcin de estas relaciones en lo referente al tipo y
mtodo de comunicacin. Adems, se debe indicar si es requerida la modicacin de
algn sistema existente para ajustarlo a la solucin que se est diseando.
En esta actividad es importante que se analice la estructura de datos existente en los
sistemas que estarn relacionados para la creacin de un modelo lgico de datos en
la siguiente fase.
d. Identicar tipos de usuarios
Identicar los tipos de usuarios y el rol a cumplir por ellos dentro del sistema,
especicndose quines pueden ingresar, modicar, borrar o consultar informacin
y cul informacin. Qu tipos de usuarios utilizan cada uno de los mdulos y qu
funciones lleva a cabo.
3. Diseo detallado de la aplicacin
El diseo detallado de la solucin establece, con mayor detalle, las caractersticas
que tendr el nuevo sistema. Adems, ser la base para la fase de construccin o
programacin de los mdulos.
La base de informacin para las actividades del diseo detallado son los documentos
de especicacin de requerimientos, documento de anlisis y diseo conceptual.
El documento de diseo detallado debe especicar los mdulos que tendr el
sistema, caractersticas de validacin y restricciones sobre los elementos de datos,
especicacin de procesos, detalle de controles y seguridad, caractersticas de la
interfaz de usuario y principales reportes que ofrecer el sistema. Todos estos aspectos
sern identicados con base en los requerimientos funcionales del proyecto y, de ser
necesario, de las consultas efectuadas a los usuarios, Lder de Proyecto o contraparte
y Patrocinador del proyecto.
En la siguiente gura se muestra el esquema funcional de esta etapa en la construccin
de sistemas:
El diseo detallado de la aplicacin ser revisado y aprobado por la Jefatura de la USTI
o por quien ste designe para comprobar que el desarrollo propuesto est dentro de
los estndares de la Unidad y que es consistente con la planicacin de crecimiento
tecnolgico de la Institucin. Dicha revisin debe ser consignada como visto bueno
del documento.
3.2. Entregables
En lo referente a la fase de diseo detallado para el Desarrollo de un Sistema de
Informacin se identican los siguientes entregables:
Documento de diseo detallado: se reere al documento donde se describen,
con ms detalle los elementos del nuevo sistema como descripcin de
mdulos, modelado de datos, procesos, controles de acceso y seguridad,
interfaz de usuario y reportes.
Diseo de pruebas: se reere a un documento donde se estipulan los
aspectos a considerar en el proceso de pruebas, con el propsito de contar
con el suciente tiempo para su planicacin.
3.2.1. Documento de diseo detallado
Este documento deber contener, al menos, la siguiente informacin:
a. Descripcin de procesos
Consiste en desagregar los mdulos identicados en el diseo conceptual y describir
las entradas, los procesos y las salidas que considera el sistema de acuerdo con el
estndar jado. Para la realizacin de esta actividad se utilizar la herramienta de
software aprobada por la USTI.
b. Diagrama lgico del modelo de datos
Especicacin del modelo entidad-relacin del sistema, de la composicin fsica que
tendrn las tablas relacionales y su normalizacin. Este modelo debe ser validado por
el DBA.
c. Deniciones de dominios para los datos
Se reere a la especicacin de aspectos como:
Formato
Valor que asume por defecto
Rango de valores permisibles
Listas de valores
Mensajes informativos sobre los elementos
Adems se deben especicar las restricciones a nivel de bases de datos.
d. Estimacin del volumen de datos
Estimacin de la cantidad de registros que se ingresaran para cada tabla denida en el
modelo de datos lo cual se debe realizar con el apoyo del Administrador de las Bases
de Datos de acuerdo con el estndar respectivo.
e. Denicin de controles y seguridad a utilizar
Denir los puntos de control que garanticen la seguridad, integridad y condencialidad
de la informacin a nivel de roles en la base de datos y control de acceso a las
transacciones en la aplicacin. Se deben identicar los tipos de eventos que debern
dejar registros de auditoria, bitcoras y otros controles que se establezcan en la
denicin de estndares para el desarrollo de sistemas.
f. Disear la interfaz de usuario
Establecer la apariencia de las pantallas con base en los estndares establecidos.
Denir la estructuracin del men y los roles de usuario que tendrn acceso a cada
opcin del sistema.
g. Organizacin para la operacin del sistema
Identicar y denir los requerimientos operativos a nivel del ambiente administrativo
donde se implantara el nuevo sistema. Podran plantearse cambios en los
procedimientos actuales, necesidades de reubicar o de obtener nuevo personal,
cambios en los ujos de la informacin en los puntos de control de la misma.
3.2.2. Diseo de pruebas:
Con la nalidad de guiar el proceso de pruebas y realizar las tareas correspondientes
para esta actividad con la debida anticipacin, se debe efectuar un diseo de pruebas
basado en casos de uso y orientadas a:
Asegurar que el producto cumple con lo solicitado por los usuarios
Certicar que el aplicativo funciona correcta y ecientemente
El documento de diseo de pruebas debe contener los siguientes aspectos:
a. Especicacin de tipos de pruebas
Identicar los tipos de pruebas a realizar: pruebas unitarias, pruebas de mdulos,
pruebas de integracin, pruebas de esfuerzo, tiempos de respuesta y trco en la
infraestructura de comunicaciones.
Pruebas unitarias: son las pruebas que se realizan a cada programa del
sistema
Pruebas de mdulos: pruebas que se aplicarn a los mdulos o partes
funcionales del sistema, incluye a todos los programas del mdulo.
Pruebas de integracin: pruebas totales del sistema y de su integracin con
otros sistemas, incluye todos los programas.
Pruebas de esfuerzo: comprobacin de recursos computacionales para
soportar la aplicacin (servidor de bases de datos, servidor Web, recursos
de las mquinas de usuario, red)
Tiempo de respuesta: vericacin de que el tiempo de respuesta es aceptable
de acuerdo con los estndares de la industria
Trco en la infraestructura de comunicaciones: comprobacin de capacidad
de transmisin de datos (ancho de banda) para la operacin del sistema
b. Requerimientos para las pruebas
La plataforma de Hardware, Software, conectividad y base de datos requerida. Si
el sistema tendr integracin con otros sistemas o mdulos deber disponerse de un
ambiente de pruebas de dichos sistemas.
c. Casos y datos de prueba
Identicar todos los escenarios posibles con diversidad de datos de entrada y acciones
realizadas por el usuario, con el propsito de identicar posibles puntos de error en el
sistema.
Si se requiere la existencia de datos para la pruebas, se deber sealar el mtodo de
captura de stos en las estructuras de la base de datos.
d. Usuarios para las pruebas
Determinar las caractersticas y cantidad de los usuarios que sern requeridos en el
proceso de pruebas y el tiempo a invertir en dicho proceso. Esto es importante para
que las Unidades puedan efectuar la coordinacin correspondiente con la debida
anticipacin.
4. Programacin y pruebas
En esta fase se confeccionan los programas y se realizan las pruebas a partir de los
documentos de requerimientos, casos de uso, especicacin de programas, anlisis y
diseo. Como producto se tendrn los componentes de programacin, una constancia
de pruebas y de aceptacin del producto.
En la siguiente gura se muestra el ujo de procesos esperado en esta fase donde
es posible que se deban realizar ajustes en la programacin para cumplir con las
especicaciones del usuario:
Construccin
Construccin
Pruebas
Pruebas
Aceptacin
Aceptacin
Ajustes
Ajustes
Diseo detallado
Implementacin
Figura No. 5: Construccin y pruebas
Construccin
Construccin
Pruebas
Pruebas
Aceptacin
Aceptacin
Ajustes
Ajustes
Diseo detallado
Implementacin
Figura No. 5: Construccin y pruebas
4.2. Entregables
En lo referente a la fase de programacin para el Desarrollo de un Sistema de
Scripts de creacin de objetos en la BD: para la creacin de tablas, llaves
primarias y forneas, ndices, constraints, roles, usuarios y cualquier otro
componente de la base de datos.
Componentes de programacin: elementos de programacin como menes,
formas, reportes, procedimientos y funciones almacenados en la base de
datos, triggers de bases de datos y cualquier otro componente del nuevo
sistema.
Constancia de pruebas: documentacin de las pruebas donde se indiquen
los resultados obtenidos y los ajustes a realizar.
Aceptacin del sistema: nota del Lder del Proyecto donde se exprese que el
nuevo sistema cumple satisfactoriamente con lo solicitado y que se pueda
continuar con las actividades de capacitacin e implementacin.
4.2.1. Desarrollo o Construccin
a. Implementacin del modelo fsico de datos
Escribir las rutinas (scripts) para la creacin de objetos en la base de datos de acuerdo
con el modelo entidad relacin, especicando llaves primarias y llaves forneas.
Cuando el DBA reciba los scripts los completar con los parmetros de almacenamiento
adecuados de acuerdo con el tamao de los registros y de las tablas.
Estos scripts debern ser revisados por el Administrador de Bases de Datos y aplicados
en conjunto.
b. Creacin de roles y de usuarios
Se crean los roles y se asocian a los usuarios que se denan, segn las acciones que
les correspondan. Se debe implementar la seguridad en la base de datos.
c. Programacin
Durante el desarrollo de esta etapa se generan los programas que componen el
Sistema de Informacin.
Conforme se avanza en la programacin se debe documentar cada uno de los
componentes desarrollados de acuerdo con el estndar denido.
Adicionalmente, el desarrollador debe adoptar los estndares establecidos en la
nomenclatura, el manejo de versiones, y la documentacin de los programas que
establece el manual de estndares.
d. Conversin y levantamiento de datos
En caso de requerirse una migracin de datos desde una aplicacin anterior o bien
desde un ingreso masivo de informacin, se debe tomar en cuenta la depuracin
que requiera esta informacin. El Lder de Proyecto deber considerar este traspaso
como un subproyecto adicional, donde incluir los requerimientos de recurso
humano y tecnolgico para su ejecucin, asimismo deber negociar estos recursos.
Esta conversin o ingreso masivo de informacin se ejecutar durante la etapa de
implantacin.
Cada uno de los mdulos generados deber estar sujeto a una revisin de su
funcionalidad por parte del Lder de Proyecto o quien l designe y a una revisin de
tipo tcnico para garantizar su calidad.
4.2.2. Pruebas
a. Preparacin y levantamiento de informacin para las pruebas
Se debe retomar el documento de diseo de pruebas para comprobar que est acorde
con las caractersticas del sistema y que est vigente en cuanto a los casos de prueba
a realizar y a la denicin de usuarios que van a participar en este proceso. De ser
necesario se realizar la generacin de datos para las pruebas de los mdulos.
b. Ejecucin de pruebas especcas
Se debe probar el funcionamiento (cumplimiento de los requerimientos), facilidad de
uso por el usuario (interfaz con el usuario), dilogos con el usuario y su control, para
cada pantalla con la que debe interactuar el usuario.
c. Ejecucin de pruebas por el usuario nal
Esta actividad requiere que se pruebe la operacin integral de todos los componentes
del sistema y su interaccin con otros sistemas, de manera que se asegure el
cumplimiento de los requerimientos de integracin especicados. Estas pruebas
deben ser realizadas por el usuario nal con al apoyo y colaboracin del equipo de
desarrollo.

d. Documentacin de los resultados de las pruebas
Generar la documentacin que corresponda para dejar constancia de los resultados
del proceso de pruebas, incluyendo los casos en donde stos no fueron satisfactorios,
lo cual implica ajustes a los programas y la aplicacin de las pruebas correspondientes.
Es importante que quede documentado quines y cundo realizaron las pruebas, as
como sus observaciones.
4.2.3. Ajustes de programacin
Si en la realizacin de pruebas se identica la necesidad de efectuar ajustes en la
programacin, despus de llevarlos a cabo se deben realizar las pruebas especcas y
de integracin de manera interactiva con los usuarios; de tal forma que al nalizar las
modicaciones se realicen las pruebas correspondientes para que el sistema concluya
satisfactoriamente. Se debe actualizar la documentacin de los programas con base a
las modicaciones realizadas.
4.2.4. Aceptacin del sistema
Una vez concluido el proceso de pruebas y los ajustes a la programacin, el Patrocinador
del proyecto debe emitir una nota dirigida a la Jefatura de la USTI, mediante la cual
maniesta que est satisfecho con el sistema dndolo por aceptado y autorizando a
que se proceda con su implementacin.
5. Documentacin
La documentacin del sistema se genera durante el desarrollo de todas las fases del
proyecto; sin embargo, hay un conjunto de documentos especcos a generar: manual
de usuario, manual de operacin y manual tcnico.
La documentacin del proyecto se debe mantener actualizada en todo momento y
formar parte de un expediente o archivo por proyecto donde todos los documentos
producidos estn reunidos.
5.2. Entregables
En lo referente a la fase de documentacin para el Desarrollo de un Sistema de
Manual de usuario: gua para la utilizacin del sistema por los usuarios.
Manual tcnico: descripcin, a nivel tcnico, de todos los componentes del
sistema.
Manual de operacin: descripcin de procesos operativos del sistema.
5.2.1. Documentacin del proyecto
Son todos los documentos generados e identicados como entregables, en cada una
de las fases, y que deben formar parte del archivo del proyecto:
Documentos de organizacin del proyecto
Cronograma original
Cronograma ajustado
Correspondencia generada
Solicitud para el desarrollo de un sistema de informacin
Memorando de solicitud
Informe de diagnstico
Memorando de resultado del estudio
Seleccin de la solucin
Solicitud formal del proyecto
Anlisis integral de requerimientos
Especicacin de requerimientos
Priorizacin de requerimientos
Documento de anlisis
Diseo conceptual de la solucin
Documento conceptual de la solucin
Diseo detallado de la aplicacin
Documento de diseo detallado
Diseo de pruebas
Programacin y pruebas
Scripts de creacin de objetos
Inventario de componentes de programacin
Constancia de pruebas
Aceptacin del sistema
Capacitacin
Constancia de la capacitacin
Implementacin
Plan de implementacin
Aprobacin del inicio de operacin
Entrega del sistema
Manual de usuario
Manual tcnico
Manual de operacin
5.2.2. Manual de usuario
El manual del usuario debe ser conciso y prctico, sin dejar de ser exhaustivo,
de manera que los usuarios encuentren en l toda la informacin necesaria para
interactuar con el sistema. Se debe combinar la descripcin textual, con la grca, de
manera que al usuario se le facilite su uso.
El manual debe contener lo siguiente:
Introduccin
Estndares del Sistema
Requerimientos tecnolgicos
Cmo se ingresa al Sistema
Descripcin del Men Principal del Sistema
Descripcin textual y grca de cada pantalla (sea de registro o consulta)
Descripcin del uso e impresin de reportes
Cmo y a quin reportar errores del sistema
5.2.3. Manual tcnico
En este manual se deben describir, de manera detallada, todos los componentes del
sistema desde el punto de vista tcnico. En dicha documentacin deben explicarse
todos los aspectos necesarios para el posterior mantenimiento de la aplicacin.
5.2.4. Manual de operacin
Manual donde se describan todas las actividades operativas del sistema como
creacin de usuarios, procedimientos de respaldo y recuperacin, procesos diarios o
peridicos, generacin de datos para otros sistemas o entidades y la descripcin de
cualquier otro proceso.
6. Capacitacin
De acuerdo con la complejidad en el uso del sistema desarrollado y de la cantidad
de usuarios del sistema, se debe coordinar con el Centrro de Capacitacin y con
la Unidad de Recursos Humanos el lugar, hora y la cantidad de sesiones que va
a comprender la capacitacin. En caso de ser necesario se coordinar el uso del
laboratorio de microcomputadoras de manera que la capacitacin se lleve por medio
de una interaccin total sistema-usuario.
7. Implementacin
El Lder de Proyecto, siguiendo criterios de impacto, materialidad, riesgo asociado,
sensibilidad y criticidad de la informacin involucrada, deber considerar el tipo de
pruebas adicionales que requiera el proyecto, logrando un adecuado balance costo/
benecio. Entre otras podr considerar pruebas en paralelo cuyo objetivo ser vericar
que el sistema nuevo genera resultados similares al sistema que estuviera en ese
momento en funcionamiento manual o automatizado-, pruebas de esfuerzo cuyo
objetivo es poner a prueba el sistema y la plataforma frente a una fuerte demanda
de los servicios. Estas pruebas pueden ser reales o simuladas, dependiendo de la
disponibilidad de recursos humanos y tecnolgicos.
El proceso se muestra en la siguiente gura:
7.2. Entregables
En lo referente a la fase de implementacin para el Desarrollo de un Sistema de
Plan de implementacin: breve documento donde se describen las
actividades a realizar para la implementacin del sistema, desde el punto
de vista tcnico y organizacional.
Aprobacin del inicio de operacin: nota o acta del Patrocinador donde
autoriza el inicio de operacin en produccin del sistema en vista de que
fueron cumplidos todos los requerimientos funcionales y no funcionales.
Entrega del sistema: noticacin a los usuarios y a la , administracin en
general (si fuese necesario), de la culminacin del proyecto y sobre la fecha
del inicio de operacin del sistema.
7.2.1. Plan de implementacin
De acuerdo con la complejidad del sistema se debe generar un plan de implementacin
que incluya la calendarizacin de actividades, la ejecucin de pruebas en paralelo,
pruebas de esfuerzo y el traslado al ambiente de produccin.
a. Estrategia de implementacin
Denicin del mtodo de implementacin ms adecuado para el proyecto donde se
considera si se realiza un paralelo o no, mtodo de carga de datos a utilizar y cualquier
otra decisin estratgica para la nalizacin exitosa del proyecto. Esta estrategia debe
ser acordada con el Patrocinador del proyecto, el Lder del proyecto, el Lder Tcnico
y la Jefatura de la USTI.
b. Calendarizacin de actividades
Se reere a un cronograma especco para esta etapa. Se deben revisar las actividades,
recursos y tiempos programados en la planicacin inicial del proyecto para hacer las
modicaciones que se requieran. Estas modicaciones deben ser del conocimiento
del Patrocinador del proyecto, de la Jefatura de la USTI, de los usuarios y de los
analistas.
7.2.2. Instalacin del sistema
Las actividades a realizar son las siguientes:
Preparar los aspectos relacionados con el ambiente fsico y computacional
para dar inicio con la operacin del sistema
Para lo anterior y de acuerdo a las caractersticas del sistema, se recomienda lo
siguiente:
Activar los componentes de seguridad de acceso al sistema: identicacin
de usuarios, palabras de paso y atributos de usuario (roles), con la nalidad
de garantizar que el ingreso al sistema en operacin se realizar de forma
segura.
Vericar que los requerimientos de hardware, de software y de
comunicaciones se encuentran disponibles.
Vericar que se tenga el mobiliario, la instalacin elctrica (toma corrientes,
conexin a tierra, protectores de picos) y el espacio fsico necesario y
acondicionado para su operacin.
Vericar que los materiales que use el sistema se encuentren disponibles.
Por ejemplo formularios especiales, papelera, cintas para impresora,
medios de almacenamiento de datos y vdeos, cobertores para el equipo,
as como todos los otros materiales requeridos.
Realizar la instalacin del sistema en el ambiente de produccin en
coordinacin con el DBA.
7.2.3. Conversin y carga inicial automatizada de datos
En caso de requerirse una migracin de datos desde una aplicacin anterior o bien
mediante el ingreso masivo de informacin, el Lder de Proyecto deber considerar
este traspaso como un subproyecto, donde incluir los requerimientos de recurso
humano y tecnolgico para su ejecucin y sus respectivos controles de calidad y
completitud.
Conrmar que el ambiente computacional (software, hardware) y
personal, requerido para la carga o digitacin de los datos al sistema, se
encuentre disponible, segn lo indicado en el plan. De lo contrario, realizar
los ajustes necesarios para asegurar que la carga de los datos iniciales se
haga en una forma satisfactoria.
Ejecutar las aplicaciones desarrolladas para la conversin y carga inicial de
los datos al sistema.
Es recomendable realizar una depuracin de los datos por convertir, para
asegurar que no se incluyan datos errneos al sistema.
Vericar que los datos introducidos se encuentren correctos y completos.
Comprobacin por parte del Lder del Proyecto y del analista responsable,
que la conversin y carga de datos se realiz en una forma satisfactoria.
7.2.4. Ejecucin del paralelo
Justicar la necesidad de ejecucin de un procesamiento en paralelo. Esta decisin
la toma el Lder de Proyecto, considerando las caractersticas e impacto del sistema.
Determinar la duracin y forma en que se realizar el paralelo, de acuerdo
con la naturaleza y complejidad del sistema.
Determinar las funciones y responsabilidades del personal tcnico y del
usuario que participa en el paralelo.
Establecer los criterios de aceptacin esperados para evaluar los resultados
que se tengan al nal de la ejecucin del paralelo.
Iniciar el paralelo brindando asistencia al usuario en forma continua, para
asegurar que los procedimientos se realizan en la forma correcta. Asimismo,
identicar y corregir los problemas que se presenten.
Documentar los resultados de la ejecucin del paralelo, considerando
los criterios de evaluacin establecidos. Indicar el criterio de aceptacin
considerado y el nombre de la persona que aprueba.
Dar un visto bueno, por parte del Lder del Proyecto, haciendo constar que
el paralelo se concluy en forma satisfactoria.
7.2.5. Aprobacin formal del sistema para el inicio de su operacin.
Esta aprobacin la hace el Patrocinador, mediante un acta de aceptacin y puesta en
operacin del sistema.
Aqu se conrma que el sistema terminado cumple con los requisitos acordados y que
puede ser puesto en produccin.
7.2.6. Hacer la entrega del sistema al usuario.
El Patrocinador y el Jefe de la USTI noticarn formalmente acerca de la puesta en
operacin del sistema desarrollado
7.2.7. Hacer la entrega de programas fuente
Cuando el sistema cuenta con la aceptacin del Patrocinador o el Lder de Proyecto
y ya est instalado en los equipo de produccin, se debe entregar para su custodia,
todos los programas, fuente en su versin nal, generados en el desarrollo del sistema.
Estos programas deben ir acompaados de la documentacin especicada en el
procedimiento. Adems se debe depurar el inventario de programas de manera tal que
solo se haga entrega de los que realmente se requieren para la operacin del sistema
(borrar los programas temporales o transitorios, versiones de prueba y cualquier otro
programa que no es denitivo).
8. Evaluacin post-implantacin
Es necesario establecer el tiempo necesario (de una semana a 3 meses segn el
tamao del sistema), para que se realice una evaluacin durante su operacin, y para
que se hagan los ajustes necesarios, de manera que se satisfagan los requerimientos
previamente establecidos.
Esta etapa supone la realizacin de una sesin con el equipo de proyecto para discutir
las lecciones aprendidas en el proceso de desarrollo e implantacin, de donde incluso
pueden derivarse mejoras a ser incorporadas a esta Gua Metodolgica de acuerdo al
proceso establecido para su actualizacin. Adicionalmente se generar una rendicin
de cuentas nal y la relacin costo/benecio efectiva del proyecto.

Anexo 5.
Mantenimiento de sistemas.
1. Mantenimiento de sistemas
Para el mantenimiento de un sistema se tiene que elaborar la solicitud de modicacin
por escrito por parte del usuario administrador del sistema. Para ello la USTI tiene
denido un estndar de formulario para control de cambios que el interesado deber
llenar y enviar para su respectivo trmite.
Una vez aprobado el ajuste con base a lo establecido por el procedimiento de control
de cambios, se conforma el equipo de trabajo para el desarrollo correspondiente,
dndole tratamiento como un proyecto normal, ajustando todo al tamao y condiciones
del trabajo a realizar.
Durante la ejecucin del trabajo de mantenimiento se debern cumplir las siguientes
fases:
1.1. Planicacin del trabajo de mantenimiento
Es necesario que se asignen los recursos necesarios (humanos, tcnicos, y materiales),
as como establecer un calendario de seguimiento: fechas de reunin con los usuarios
y fechas de validacin con el Patrocinador.
Para llevar a cabo el mantenimiento se debe hacer una lista con las actividades por
medio de las cuales ste se realizar. Con esta lista de actividades, se determinar
si es necesario formular un cronograma para esta etapa, o simplemente efectuar un
acuerdo entre el Lder de Proyecto y el Lder Tcnico sobre cmo se realizar, y cul
ser el alcance que tendr.
1.2. Especicacin de los nuevos requerimientos
En la misma forma en que fueron especicados en la fase de anlisis de requerimientos,
deben ser especicadas las nuevas necesidades. Podra ser que obedezcan a
solicitudes que anteriormente tuvieran muy baja prioridad, por lo que no se les tom
en cuenta en esa oportunidad. De ser as debe quedar claro en el nuevo listado.
Para especicarlos debe existir una sesin de trabajo, en la cual el Lder Tcnico deje
claro qu se puede atender y qu no, de manera que todos los requerimientos que
sean viables se implementen en el mantenimiento, con el visto bueno del Lder de
proyecto.
1.3. Ajustes en programacin y pruebas
Realizar los ajustes correspondientes a la programacin y a la base de datos si fuera
necesario, para dar cumplimiento a lo solicitado. Adems, se debe valorar el tipo de
pruebas a realizar (pruebas funcionales y pruebas de integracin) segn el impacto de
los nuevos requerimientos en el sistema. Es importante que se asegure que las pruebas
aplicadas cubren todos los aspectos afectados por las recientes modicaciones en el
sistema para asegurar la estabilidad de la aplicacin.
1.4. Actualizacin de la documentacin y de los programas fuente
Realizar los ajustes que correspondan en la documentacin del sistema, en el manual
de usuario, en el manual de operacin y en el manual tcnico, con la nalidad de que
dichos documentos se mantengan vigentes en todo momento. Los cambios realizados
en la programacin y la base de datos deben manejarse como versiones de acuerdo
con lo establecido en el estndar respectivo.
1.5. Capacitacin
Dependiendo del tipo de ajuste realizado, se ver la conveniencia de comunicarlos
por medio de un correo o una pequea charla. De lo contrario se deber efectuar una
capacitacin de acuerdo a lo estipulado en la presente metodologa referente a este
tema.
1.6. Implementacin de los cambios
Con todos los ajustes aprobados y efectuada la capacitacin, se realizarn los ajustes
necesarios en el equipo de produccin (tanto en el equipo principal como en el equipo
perifrico, segn corresponda), implementando el sistema actualizado, de acuerdo
con los estndares denidos.

1.7. Evaluacin post-implantacin
Dependiendo del tipo de ajuste realizado, se deber realizar una etapa de post-
implantacin, segn lo establecido en esta Gua.
Anexo 6.
Formulario para documentacin de las reuniones del proyecto.
Proyecto: <<Nombre del proyecto>>
Memoria de Reunin No. XX-AO
Divisin/rea: Elaborado por:
Lugar: Fecha: Hora inicio: Hora nalizacin:
ASISTENCIA:
Invitado Dependencia Pre Aus
X
X
ASUNTOS PENDIENTES Y SEGUIMIENTO DE ACUERDOS:
Asunto Responsable Grado de avance / Finalizacin
prevista
ASUNTOS TRATADOS:
Asuntos tratados Comentarios Generales
1)
2)
ACUERDOS:
Acuerdos Responsable (s) F e c h a
prevista
1)
2)
3)
Anexo 7.
Ficha de Anteproyecto.
FICHA DE ANTEPROYECTO
Nombre del Proyecto ________________________________________________________
Resultado esperado _________________________________________________________
_________________________________________________________
Efecto _________________________________________________________
_________________________________________________________
Objetivo _________________________________________________________
_________________________________________________________
Productos _________________________________________________________
_________________________________________________________
Enfoque _________________________________________________________
_________________________________________________________
Alcance _________________________________________________________
_________________________________________________________
Relaciones de
Coordinacin _________________________________________________________
Responsable _________________________________________________________
Prioridad _________________________________________________________
Requerimientos _________________________________________________________
Iniciales _________________________________________________________
Fecha de inicio: ______________ Fecha de fnalizacin: _______________________
Elaborado por: ___________________________________ Fecha:_____________________
Explicacin Detallada
Nombre del proyecto:
Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas deseables al definir el nombre del proyecto son:
Identicar la naturaleza del proyecto.
Ubicar el contexto en el que se desarrollar.
Debe ser conciso.
Resultado esperado:
Deben establecerse los resultados esperados en los campos de accin de la Contralora
que aparecen en la estrategia institucional, con los cuales se considere que el proyecto
contribuye.
En este apartado debe anotarse tanto la numeracin como el resultado esperado tal y
como se consignan en el documento de la Estrategia Institucional. Lo anterior con el
objeto de interrelacionar ordenadamente la planicacin con la estrategia institucional.
En el caso de existir contribucin directa con ms de un resultado esperado, stos
deben incluirse respetando un criterio de mayor a menor contribucin.
Efecto:
Para que un proyecto sea viable dentro de la CGR, el mismo debe aportar un valor
agregado a la misma, o sea que el mismo coadyuve a que la organizacin cumpla sus
nes y objetivos. En estos trminos se deben aportar los razonamientos que muestren
como el proyecto ayudar a que la CGR sea ms eciente y productiva. Un proyecto
que no se pueda justicar en los trminos anteriores, simplemente no se debe realizar.
Objetivo:
Es el nivel de desempeo que se debe lograr para satisfacer una necesidad determinada.
Los objetivos deben tener una relacin directa con dicha necesidad, y es conveniente
que se estructuren segn los siguientes componentes:
Escala de medicin: La variable que indica la magnitud o avance del
objetivo, como pueden ser el porcentaje o el volumen.
Horizonte de tiempo: El periodo denido para lograr la consecucin del
objetivo, por ejemplo en seis meses.
El para qu: cuando sea necesario se puede indicar para qu se quiere
alcanzar el objetivo, lo cual est en funcin de la necesidad que se desea
satisfacer, de manera que el lector perciba expresamente esa necesidad
an cuando no tenga conocimiento en la materia.
Segn sea el caso puede denir un objetivo general y varios objetivos especcos.
Productos:
Los resultados inmediatos del proyecto que propiciarn el alcance del objetivo.
Enfoque:
Determina la(s) caracterstica(s) u orientacin particular con que se quiere desarrollar
el proyecto. Por ejemplo: participativo, consensuado, externalizacin, scalizacin
horizontal o unilateral.
Alcance:
mbito de accin propio del proyecto.
Relaciones de coordinacin:
Denen la interaccin del proyecto, deniendo en principio lo que se requiere
para su desarrollo (identica proveedores), y lo que debe aportar a otras unidades
organizacionales o a otros proyectos (identica clientes). En primer lugar se establecen
los clientes del proyecto, que llevan al producto deseado, lo cual conduce a los
proveedores que suministran los recursos para obtener los productos. En este aparte
se debe denir el rol que asume cada uno de los involucrados en el proyecto.
Responsable:
Unidad patrocinadora a la que se le asignar la responsabilidad de administrar el
proyecto, y en consecuencia la que debe rendir cuentas por el logro de los objetivos
planteados.
Prioridad:
El grado de urgencia del asunto. Debe estar relacionado con el impacto de los productos
y con la disponibilidad de tiempo para la ejecucin. Se dene en funcin del tiempo
con que se cuenta para tener los productos y de su impacto.
Requerimientos iniciales:
Indican en forma general los aspectos o acciones necesarias que deben desarrollarse
en el proyecto, con el propsito de que ste brinde los efectos y resultados esperados.
Dichos requerimientos deben analizarse segn los componentes del modelo gerencial
de esta Contralora General: Procesos Internos, Recursos Humanos y Sistemas de
Informacin.
Fecha de inicio y de nalizacin del proyecto:
Se establecen fechas de inicio y n propuestas que enmarquen el proyecto dentro de
un tiempo especco; estas fechas deben ser de comn acuerdo con todas las reas
involucradas. Podran estar determinadas por un periodo previamente asignado,
negociado, establecido por ley o se puede partir del hecho de que la administracin
requiere que el proyecto est para determinada fecha, en cumplimiento de objetivos
estratgicos.
Es muy importante para efectos de planeacin, realizar un estimado de la duracin
del proyecto; ya que las diferentes reas involucradas debern aportar los recursos
que sean necesarios para que la duracin del proyecto se cumpla. Los supuestos
en que se basa la estimacin de tiempos resultan fundamentales a efecto de crear
expectativas realistas y acordes con los recursos y alcances esperados.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 8.
DESCRIPTIVO DE LA ORGANIZACIN DEL PROYECTO
PROYECTO: Nombre del proyecto .
Cdigo de Proyecto: _____________
Siglas: _____________
Objetivo _________________________________________________________
_________________________________________________________
_________________________________________________________
Lder de Proyecto: _________________________________________________________
Lder Tcnico: _________________________________________________________
Integrantes del equipo de trabajo
Nombre Unidad
______________________________________ _____________________________
______________________________________ _____________________________
______________________________________ _____________________________
______________________________________ _____________________________
______________________________________ _____________________________
Integrantes del equipo de apoyo tcnico
Nombre Unidad
______________________________________ _____________________________
______________________________________ _____________________________
______________________________________ _____________________________
Patrocinador(es) del Proyecto
Nombre Puesto
________________________________________________ ____________________
________________________________________________ ____________________
________________________________________________ ____________________
Elaborado por: ___________________________________ Fecha : ____________________
Explicacin Detallada.
Nombre del Proyecto:
Es el ttulo o enunciado que identica al proyecto. Las principales caractersticas
deseables al denir el nombre del proyecto son:
Identicar la naturaleza del proyecto.
Ubica el contexto en el que se desarrollar.
Debe ser conciso.
Cdigo de Proyecto:
Para efectos prcticos y con el n de mejorar aspectos de documentacin y archivo,
todo sistema ser conocido por un cdigo asignado tomando como referencia el
nmero de gestin y proceso que tendr el proyecto en el Sistema de Gestin y
Documentos (SIGYD). Con dicho nmero se podr entonces revisar en el SIGYD toda
la correspondencia asociada, el detalle del equipo de trabajo, fechas importantes y las
horas dedicadas. Por ejemplo: 2008000123-5.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Lder de Proyecto y Lder Tcnico:
Nombres del lder de proyecto y del lder tcnico designados.
Integrantes del equipo de trabajo y del equipo de apoyo tcnico:
Se indicar en cada lnea el nombre y la unidad de la persona que integrar cada uno
de estos equipos. Para denir cada equipo deber coordinarse con las respectivas
reas involucradas para que asignen a cada recurso con el tiempo suciente para
atender las tareas propias de su participacin en el proyecto.
Patrocinadores del proyecto:
Todo proyecto debe tener uno o varios patrocinadores. Estos sern funcionarios que
no solo apoyan el proyecto sino que se involucran directamente en l. Por lo general
sern funcionarios ubicados en las ms altas posiciones de mando de la organizacin,
que no solo pedirn cuenta sobre el avance del mismo, sino que se encargaran de
nivelar cualquier obstculo que amenace al proyecto, y que promovern el mismo
ante las altas esferas de la CGR.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 9.
Ficha de Estrategia de Solucin del proyecto.
ESTRATEGIA DE SOLUCION
PROYECTO: Nombre del proyecto .
Cdigo de Proyecto: _____________
Siglas: _____________
Estrategia de solucin para el proyecto:
_________________________________________________________
_________________________________________________________
_________________________________________________________
Aprobado por: ___________________________________ Fecha: ____________________
Explicacin Detallada.
Es el ttulo o enunciado que identica al proyecto.
Cdigo de Proyecto:
Cdigo asignado tomando como referencia el nmero de gestin y proceso que tendr
el proyecto en el Sistema de Gestin y Documentos (SIGYD).
Siglas:
Estrategia de solucin para el proyecto:
Se detalla la estrategia de solucin que la Unidad Ejecutora eligi para el proyecto.
Aprobado por:
Es el nombre del coordinador de la Unidad Ejecutora.
Fecha:
Fecha en que se emite el documento.
Anexo 10.
Formulario para la Planeacin de Recursos.
PLANEACION DE RECURSOS
Nombre del proyecto: ___________________________________________________
Cdigo de proyecto: ________
Siglas: _________
Recursos Requeridos
Humanos: _________________________________________________________
____________
________________________________________________________________________
__________________________________________________________________
Tecnolgicos:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Materiales:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Financieros:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Elaborado por: ____________________________________ Fecha: ____________
Explicacin detallada.
En este campo se debe consignar el nombre con que ha venido siendo conocido el
proyecto.
Cdigo de Proyecto:
En este campo se consignar el cdigo que se le asign al proyecto.
Siglas: Se deben consignar las siglas que la USTI le asigne al proyecto.
Recursos Humanos:
En este campo se debe anotar cada una de las personas que se requerirn durante el
ciclo de vida del proyecto, con el n de que las mismas sean ubicadas a tiempo, segn
sea el caso. Adems deber indicarse para cada persona el grado de dedicacin al
proyecto, dentro de un periodo debidamente especicado en esta seccin.
Para que un proyecto sea exitoso cada integrante del equipo de trabajo debe
comprometer un nmero determinado de horas de su horario normal. De no ser as,
ese funcionario no debe estar integrando el equipo de trabajo y debe ser sustituido.
No existe una formula ja, sin embargo reglas basadas en la experiencia indican que
el lder de un proyecto de mediano a gran tamao, debe dedicarse a tiempo completo
al proyecto; los otros integrantes del equipo podran no estar a tiempo completo pero
su grado de dedicacin debe quedar claramente establecido para todos los miembros,
ya que esto incide directamente en el tiempo requerido para el logro de las metas y
objetivos del proyecto.
Segn sea el caso se debe anotar el perl requerido para el recurso; por ejemplo: se
requiere un programador en JAVA con basta experiencia, durante un lapso de cinco
meses, para laborar a medio tiempo. Se requiere los servicios de un experto en
instalacin de redes de bra ptica, para trabajar por tres meses a tiempo completo,
para laborar en las ocinas centrales de la CGR.
Recursos Tecnolgicos:
En este campo se deben anotar aquellos recursos tecnolgicos con que se debe contar
en un momento determinado, para la buena marcha del proyecto. Es necesario indicar
cantidades, tiempo y especicaciones tcnicas.
Por ejemplo:
se requiere contar con un servidor instalado en la red central de la CGR, a
partir del mes de octubre, con las siguientes caractersticas tcnicas.......
Se debe contar, a partir de julio, con un Sistema Administrador de Bases
de Datos, Oracle 11g, con 12 licencias de prueba, instalado en el servidor
de pruebas de la CGR.....
Recursos Materiales:
En este campo se deben anotar aquellos recursos materiales, necesarios para la buena
marcha del proyecto. Es necesario indicar cantidades, tiempo y caractersticas.
Ejemplos.
Se necesita una ocina de 60 m
2
, equipada con cuatro escritorios, .....
Se requiere contar con los servicios de un vehculo a disposicin del grupo
de trabajo, las 24 horas del da, a partir del mes de febrero y por 3 meses.
Recursos Financieros:
En este campo se debe hacer referencia a un presupuesto de gastos, lo mismo que
a un ujo de efectivo, dependiendo de la complejidad del proyecto, los presupuestos
sern ms o menos detallados. En algunos proyectos de la CGR, podran no tener
presupuesto o ujos de efectivo, sobre todo aquellos que lo nico que requieren es
el aporte del esfuerzo personal de su grupo de trabajo, para obtener un determinado
producto como lo es por ejemplo un desarrollo interno de sistemas, un ante-proyecto,
la redaccin de una poltica o lineamiento.
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 11.
Formulario para documentar Acciones Correctivas o Preventivas.
DOCUMENTACIN DE ACCIONES CORRECTIVAS O PREVENTIVAS
Nombre del Proyecto: ________________________________________________________
Cdigo de Proyecto: _______
Siglas: _______
Actividad desfasada(o que se podra desfasar) segn el Plan.
__________________________________________________________________________
Motivos:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acciones correctivas (o preventivas).
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Elaborado por: ___________________________________ Fecha: ___________________
En este campo se debe indicar el nombre del proyecto, tal y como el mismo es conocido
en toda la documentacin.
Cdigo del proyecto:
Nmero de cdigo asignado desde el inicio del proyecto.
Siglas:
Actividad desfasada segn el plan:
Se dice que una actividad esta desfasada cuando a travs del proceso de revisin se
determina que una actividad no esta logrando los alcances esperados, o bien los est
logrando en un tiempo mayor al planeado. En este campo se debe indicar el nombre
de todas aquellas actividades que el equipo de trabajo detectase como desfasadas.
Lo ideal es que el desfase sea detectado lo antes posible, para facilitar la toma de
acciones.
Motivos:
En este campo se deben documentar los motivos por los que, a criterio del equipo de
trabajo, la actividad tiende a estar o est desfasada.
Posibles acciones correctivas o preventivas para contrarrestar el desfase:
Dependiendo del tipo de desfase, el equipo de trabajo tomara diversas acciones para
contrarrestarlo. Por ejemplo si el desfase fuese en el tiempo, el equipo puede asignar
ms recursos a la actividad para acelerar su ejecucin. Si el desfase fuese en alcances,
el equipo buscar diversas alternativas para lograr los alcances iniciales. Si fuese
imposible lograrlos se debe hacer la comunicacin a la Unidad Ejecutora, para buscar
el consenso sobre unos nuevos alcances modicados o reducidos. Si las acciones
correctivas no lograsen, mantener vigente el plan del proyecto, se deber elaborar un
ajuste al plan, comunicndolo a todos los diferentes interesados o afectados por el
proyecto.
Elaborado por:
Fecha:
Anexo 12.
Formulario para llevar el Control de Cambios del Proyecto
CONTROL DE CAMBIOS EN EL PROYECTO
Siglas: _______
Cambio requerido:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Justifcacin:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Impacto del cambio:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Requiri de ajustes en el plan de trabajo. ____________________
Elaborado por: ___________________________________ Fecha: ___________________
Cdigo del proyecto:
Siglas:
Cambio requerido:
Debe detallar en que consisti el cambio dentro del proyecto.
Justicacin:
Asociado al cambio anterior debe indicar la justicacin o el por qu se present el
cambio.
Impacto del cambio:
Debe valorar el impacto como bajo, mediano y alto dependiendo de cuanto afecte el
plan de trabajo.
Requiri ajustes en el plan de trabajo:
Se indica con un si o con un no si la atencin de dicho cambio requiri que se
realizaran ajustes al plan de trabajo.

Elaborado por:
Fecha:
Anexo 13.
Formulario para la Aceptacin de Productos Finales del Proyecto
ACEPTACIN DE PRODUCTOS FINALES DEL PROYECTO
Siglas: ________
Productos entregados:
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
Observaciones:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acepta a satisfaccin: _______________________________ Firma: ___________________
Fecha: ___________________
Cdigo del proyecto:
Siglas:
Productos entregados:
Se listan todos los productos nales que deja el proyecto que concluye. Pueden ser;
entre otros, sistemas operando, documentacin, o tecnologa operando.
Observaciones:
El coordinador de la Unidad Ejecutora puede dejar constancia de puntos que considera
importantes en relacin a alguno de los productos, sobre todo si los requiere ser
retomado en futuras versiones del proyecto.
Acepta a satisfaccin:
En este campo se debe consignar el nombre del coordinador de la Unidad Ejecutora,
dando por aceptados los productos nales.
Firma:
Firma del coordinador de la Unidad Ejecutora.
Fecha:
Anexo 14.
Diagramas de Casos de Uso
Un Diagrama de Casos de Uso muestra la relacin entre los actores y los casos de uso
del sistema. Representa la funcionalidad que ofrece el sistema en lo que se reere
a su interaccin externa. En el diagrama de casos de uso se representa tambin el
sistema como una caja rectangular con el nombre en su interior. Los casos de uso
estn en el interior de la caja del sistema, y los actores fuera, y cada actor est unido
a los casos de uso en los que participa mediante una lnea. En la siguiente gura se
muestra un ejemplo de Diagrama de Casos de Uso para un cajero automtico.

1. Elementos
Los elementos que pueden aparecer en un Diagrama de Casos de Uso son: actores,
casos de uso y relaciones entre casos de uso.
1.1 Actores
Un actor es algo con comportamiento, como una persona (identicada por un rol), un
sistema informatizado u organizacin, y que realiza algn tipo de interaccin con el
sistema. Se representa mediante una gura humana. Esta representacin sirve tanto
para actores que son personas como para otro tipo de actores.
1.2 Casos de Uso
Un caso de uso es una descripcin de la secuencia de interacciones que se producen
entre un actor y el sistema, cuando el actor usa el sistema para llevar a cabo una tarea
especca. Expresa una unidad coherente de funcionalidad, y se representa en el
Diagrama de Casos de Uso mediante una elipse con el nombre del caso de uso en su
interior. El nombre del caso de uso debe reejar la tarea especca que el actor desea
llevar a cabo usando el sistema.

1.3 Relaciones entre Casos de Uso
Un caso de uso, en principio, debera describir una tarea que tiene un sentido completo
para el usuario. Sin embargo, hay ocasiones en las que es til describir una interaccin
con un alcance menor como caso de uso con nes de mejorar la comunicacin en
el equipo de desarrollo y en el manejo de la documentacin de casos de uso. Si
queremos utilizar casos de uso ms pequeos, las relaciones entre estos y los casos
de uso ordinarios pueden ser de los siguientes tres tipos:
Incluye (<>): Un caso de uso base incorpora explcitamente a otro caso de
uso en un lugar especicado dentro del caso base. Se suele utilizar para
encapsular un comportamiento parcial comn a varios casos de uso. En
la siguiente gura se muestra cmo el caso de uso Realizar Reintegro
puede incluir el comportamiento del caso de uso Identicacin.

Extiende (<>): Cuando un caso de uso base tiene ciertos puntos (puntos
de extensin) en los cuales, dependiendo de ciertos criterios, se va a
realizar una interaccin adicional. El caso de uso que extiende describe un
comportamiento opcional del sistema (a diferencia de la relacin Incluye que
se da siempre que se realiza la interaccin descrita) En la siguiente gura
se muestra como el caso de uso Comprar Producto permite explcitamente
extensiones en el siguiente punto de extensin: info regalo. La interaccin
correspondiente a establecer los detalles sobre un producto que se enva
como regalo estn descritos en el caso de uso Detalles Regalo.

Ambos tipos de relacin se representan como una dependencia etiquetada con el
estereotipo correspondiente (<<>> o <>), de tal forma que la echa indique el sentido
en el que debe leerse la etiqueta. Junto a la etiqueta <> se puede detallar el/los puntos
de extensin del caso de uso base en los que se aplica la extensin.
Generalizacin ( ): Cuando un caso de uso denido de forma abstracta se
particulariza por medio de otro caso de uso ms especco. Se representa
por una lnea continua entre los dos casos de uso, con el tringulo que
simboliza generalizacin en UML (usado tambin para denotar la herencia
entre clases) pegado al extremo del caso de uso ms general. Al igual que
en la herencia entre clases, el caso de uso hijo hereda las asociaciones y
caractersticas del caso de uso padre. El caso de uso padre se trata de un
caso de uso abstracto, que no est denido completamente. Este tipo de
relacin se utiliza mucho menos que las dos anteriores. El caso de uso hijo
hereda el comportamiento y signicado del caso de uso padre.
La generalizacin aplica tambin para los actores o agentes. Las funciones de un
actor pueden especializarse. Un actor puede heredar las funciones del actor padre y
a la vez tener funciones ms especcas que lo especialicen.
Trabajando con Casos de Uso
Un Caso de Uso es un documento narrativo que describe a los actores utilizando un
sistema para satisfacer un objetivo. Es una historia o una forma particular de usar un
sistema. Los casos de uso son requisitos, en particular requisitos funcionales.
UML no dene un formato para describir un caso de uso. Tan slo dene la manera
de representar la relacin entre actores y casos de uso en un diagrama: el Diagrama
de Casos de Uso. Sin embargo, un caso de uso individual no es un diagrama, es
un documento de texto. En la siguiente seccin se dene el formato textual para la
descripcin de un caso de uso que se va a utilizar en este documento.
Un escenario es un camino concreto a travs del caso de uso, una secuencia especca
de acciones e interacciones entre los actores y el sistema. En un primer momento
interesa abordar un caso de uso desde un nivel de abstraccin alto, utilizando el
formato de alto nivel. Cuando se quiere describir un caso de uso con ms detalle, se
usa el formato expandido.
1. Casos de Uso de Alto Nivel
El siguiente Caso de Uso de Alto Nivel describe el proceso de sacar dinero cuando se
est usando un cajero automtico:
Caso de Uso: Realizar Reintegro
Actores: Cliente
Tipo: primario
Descripcin: Un Cliente llega al cajero automtico, introduce la tarjeta, se
identica y solicita realizar una operacin de reintegro por una cantidad
especca. El cajero le da el dinero solicitado tras comprobar que la
operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va.
En un caso de uso descrito a alto nivel la descripcin es muy general, normalmente
se condensa en dos o tres frases. Es til para comprender el mbito y el grado de
complejidad del sistema.
2. Casos de Uso Expandidos
Los casos de uso que se consideren los ms importantes y que se considere que son
los que ms inuencian al resto, se describen a un nivel ms detallado en el formato
expandido.
La principal diferencia con un caso de uso de alto nivel est en que incluye un apartado
de Curso Tpico de Eventos, pero tambin incluye otros apartados como se ve en el
siguiente ejemplo:
Caso de Uso: Realizar Reintegro
Actores: Cliente (iniciador)
Propsito: Realizar una operacin de reintegro de una cuenta del banco
Visin General: Un Cliente llega al cajero automtico, introduce la tarjeta,
se identica y solicita realizar una operacin de reintegro por una cantidad
especca. El cajero le da el dinero solicitado tras comprobar que la
operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va.
Tipo: primario y esencial
Referencias: Funciones: R1.3, R1.7
Curso Tpico de Eventos:
Accin del Actor Respuesta del Sistema
1. Este caso de uso empieza cuando
un Cliente introduce una tarjeta en
el cajero.
2. Pide la clave de identicacin.
3. Introduce la clave. 4. Presenta las opciones de operaciones
disponibles.
5. Selecciona la operacin de
Reintegro.
6. Pide la cantidad a retirar.
7. Introduce la cantidad requerida. 8. Procesa la peticin y da el dinero solicitado.
Devuelve la tarjeta y genera un recibo.
9. Recoge la tarjeta.
10. Recoge el recibo.
11. Recoge el dinero y se va.
Cursos Alternativos:
Lnea 4: La clave es incorrecta. Se indica el error y se cancela la operacin.
Lnea 8: La cantidad solicitada supera el saldo. Se indica el error y se
cancela la operacin.
El signicado de cada apartado de este formato es como sigue:
Caso de Uso: Nombre del Caso de Uso
Actores: Lista de actores (agentes externos), indicando quin inicia el caso
de uso. Los actores son normalmente roles que un ser humano desempea,
pero puede ser cualquier tipo de sistema.
Propsito: Intencin del caso de uso.
Visin General: Repeticin del caso de uso de alto nivel, o un resumen
similar.
Tipo: primario, secundario u opcional (descritos ms adelante).
Esencial o real (descritos ms adelante).
Referencias: Casos de uso relacionados y funciones del sistema que
aparecen en los requisitos (si se levantaron previamente)
Curso Tpico de Eventos: Descripcin de la interaccin entre los actores
y el sistema mediante las acciones numeradas de cada uno. Describe
la secuencia ms comn de eventos, cuando todo va bien y el proceso
se completa satisfactoriamente. En caso de haber alternativas con grado
similar de probabilidad se pueden aadir secciones adicionales a la seccin
principal, como se ver ms adelante.
Cursos Alternativos: Puntos en los que puede surgir una alternativa, junto
con la descripcin de la excepcin.
3. Identicacin de Casos de Uso
La identicacin de casos de uso requiere un conocimiento medio acerca de los
requisitos del sistema, y se basa en la revisin de los documentos de requerimientos
(si los hay), y en el uso de la tcnica de lluvia de ideas entre los miembros del equipo
de trabajo y el lder tcnico.
Como gua para la identicacin inicial de casos de uso hay dos mtodos:
a. Basado en Actores
1. Identicar los actores relacionados con el sistema y/o la organizacin.
2. Para cada actor, identicar los procesos que inicia o en los que participa.
b. Basado en Eventos
1. Identicar los eventos externos a los que el sistema va a tener que responder.
2. Relacionar los eventos con actores y casos de uso.
Ejemplos de casos de uso:
Pedir un producto.
Matricularse en un curso de la facultad.
Comprobar la ortografa de un documento en un procesador de textos.
Comprar un libro en una tienda de libros en Internet

4. Identicacin de los Lmites del Sistema
En la descripcin de un caso de uso se hace referencia en todo momento al sistema.
Para que los casos de uso tengan un signicado completo es necesario que el sistema
est denido con precisin.

Al denir los lmites del sistema se establece una diferenciacin entre lo que es interno
y lo que es externo al sistema. El entorno exterior se representa mediante los actores.

Ejemplos de sistemas son:
El hardware y software de un sistema informtico.
Un departamento de una organizacin.
Una organizacin entera.
Si no se est haciendo reingeniera del proceso de negocio lo ms normal es escoger
como sistema el primero de los ejemplos: el hardware y el software del sistema que
se quiere construir.
5. Tipos de Casos de Uso
a. Segn Importancia

Para establecer una primera aproximacin a la priorizacin de casos de uso que
identiquemos, los vamos a distinguir entre:
Primarios: Representan los procesos principales, los ms comunes, como
Realizar Reintegro en el caso del cajero automtico.
Secundarios: Representan casos de uso menores, que van a necesitarse
espordicamente.
Opcionales: Representan procesos que pueden no ser abordados en el
presente proyecto.
b. Segn el Grado de Compromiso con el Diseo

En las descripciones que se han visto se han descrito los casos de uso a un nivel
abstracto, independientemente de la tecnologa y de la implementacin. Un caso de
uso denido a nivel abstracto se denomina esencial. Los casos de uso denidos a alto
nivel son siempre esenciales por naturaleza, debido a su brevedad y abstraccin.

Por el contrario, un caso de uso real describe concretamente el proceso en trminos
del diseo real, de la solucin especca que se va a llevar a cabo. Se ajusta a un tipo
de interfaz especca, y se baja a detalles como pantallas y objetos en las mismas.
Para el ejemplo de un Caso de Uso Real en el caso del reintegro en un cajero
automtico tenemos la siguiente descripcin del Curso Tpico de Eventos:
1. Este caso de uso empieza cuando un
Cliente introduce una tarjeta en la ranura
para tarjetas.
2. Pide el PIN (Personal Identication
Number).
3. Introduce el PIN a travs del teclado
numrico.
4. Presenta las opciones de
operaciones disponibles.
5. etc. 6. etc.
En principio, los casos de uso reales deberan ser creados en la fase de Diseo de
Bajo Nivel y no antes. Sin embargo, en algunos proyectos se plantea la denicin de
interfaces en fases tempranas del ciclo de desarrollo, en base a que son parte del
contrato. En este caso se pueden denir algunos o todos los casos de uso reales, a
pesar de que suponen tomar decisiones de diseo muy pronto en el ciclo de vida.

No hay una diferencia estricta entre un Caso de Uso Esencial y uno Real, el grado de
compromiso con el diseo es un continuo, y una descripcin especca de un caso de
uso estar situada en algn punto de la lnea entre Casos de Uso Esenciales y Reales,
normalmente ms cercano a un extremo que al otro, pero es raro encontrar Casos de
Uso Esenciales o Reales puros.

6. Consejos Relativos a Casos de Uso

a. Nombre
El nombre de un Caso de Uso debera ser un verbo, para enfatizar que se trata de un
proceso, por ejemplo: Comprar Artculos o Realizar Pedido.
b. Alternativas

Cuando se tiene una alternativa que ocurre de manera relativamente ocasional, se
indica en el apartado Cursos Alternativos. Pero cuando se tienen distintas opciones,
todas ellas consideradas normales se puede completar el Curso Tpico de Eventos con
secciones adicionales.

As, si en un determinado nmero de lnea hay una bifurcacin se pueden poner
opciones que dirigen el caso de uso a una seccin que se detalla al nal del Curso
Tpico de Eventos, en la siguiente forma:
- Curso Tpico de Eventos:
Seccin: Principal
1. Este caso de uso empieza cuando Actor
llega al sistema.
2. Pide la operacin a realizar.
3. Escoge la operacin A. 4. Presenta las opciones de pago.
5. Selecciona el tipo de pago:
Si se paga al contado ver seccin Pago
al Contado.
Si se paga con tarjeta ver seccin Pago
con Tarjeta.
6. Genera recibo.
7. Recoge el recibo y se va.
Lneas 3 y 5: Selecciona Cancelar. Se cancela la operacin.
Seccin: Pago al Contado
1. Mete los billetes correspondientes 2. Coge los billetes y sigue pidiendo dinero
hasta que la cantidad est satisfecha
3. Devuelve el cambio.
Lnea 3: No hay cambio suciente. Se cancela la operacin.
Seccin: Pago con Tarjeta

7. Construccin del Modelo de Casos de Uso
Para construir el Modelo de Casos de Uso se siguen los siguientes pasos:
f. Despus de listar las funciones del sistema, se denen los lmites del
sistema y se identican los actores y los casos de uso.
g. Se escriben todos los casos de uso en el formato de alto nivel. Se categorizan
como primarios, secundarios u opcionales.
h. Se dibuja el Diagrama de Casos de Uso.
i. Se detallan relaciones entre casos de uso, en caso de ser necesarias, y se
ilustran tales relaciones en el Diagrama de Casos de Uso.
j. Los casos de uso ms crticos, importantes y que conllevan un mayor
riesgo, se describen en el formato expandido esencial. Se deja la denicin
en formato expandido esencial del resto de casos de uso para cuando
sean tratados en posteriores ciclos de desarrollo, para no tratar toda la
complejidad del problema de una sola vez.
k. Se crean casos de uso reales slo cuando:
- Descripciones ms detalladas ayudan signicativamente a incrementar
la comprensin del problema.
- El cliente pide que los procesos se describan de esta forma.
l. Ordenar segn prioridad los casos de uso.
Anexo - NTP8
Marco General para Gestin de
la Calidad en TIC
Anexo - NTP8
Marco General para Gestin de
la Calidad en TIC
1. ALCANCE DEL SISTEMA DE GESTIN DE CALIDAD
1.1. Generalidades
La Unidad de Sistemas es la encargada de la gestin de tecnologas de informacin
y telecomunicaciones en la Contralora General de la Repblica, posee la siguiente
estructura:
Divisin de Desar r ollo I nstitucional
Unidad de Sistemas y T ecnologa de I nfor macin
(1)
Or ganizacin
Despacho
Contr alor a Gener al
Divisin
Gestin de Apoyo
Unidad
Tecnologas I nfor macin
Comit Ger encial
de T I Cs
Desar r ollo
Sistemas
Sopor te a
Clientes
Platafor ma de
R edes
Platafor ma
Tecnolgica
Centr o de
Cmputo
Pr esupuesto y
Compr as
Secr etar a
Jefatura de Unidad:
Es el responsable de la Unidad y coordina toda la gestin del desarrollo de proyectos
tecnolgicos. En el rol del proceso de calidad es el encargado de velar por el
cumplimiento de las polticas de calidad.
Soporte Administrativo:
Consiste en brindar servicios asistenciales relacionados con presupuesto y compras
en tecnologas de informacin.
Soporte a Clientes:
Este grupo brinda soporte tcnico a las computadoras, sus accesorios y programas
que tienen los usuarios internos de la CGR. Este soporte implica la atencin de fallas
en los equipos, instalacin de programas y recuperacin de datos.
Desarrollo de Sistemas:
Los funcionarios pertenecientes a este grupo se encargan de la gestin de desarrollo
y evolucin de sistemas y aplicaciones.
Plataforma Tecnolgica:
El grupo de plataforma tecnolgica es el encargado del buen funcionamiento y
desempeo de los servidores y bases de datos.
Plataforma de redes:
Es el grupo encargado de la gestin de las comunicaciones tanto digitales como
telefnicas, administrando la infraestructura de rewall, routers y switches para el
transporte de datos, voz y video, as como la seguridad relacionada con antivirus, ltro
de contenidos y perimetral.
Centro de Cmputo:
Administra la infraestructura tecnolgica centralizada en la sala del centro, supervisa
el buen funcionamiento y asegura la generacin de respaldos de bases de datos y
sistemas operativos.
1.1.1. Alcance del sistema de gestin de la calidad
El sistema de gestin de la calidad de Contralora General de la Repblica asegura
la estandarizacin de los procesos de diseo, construccin y mantenimiento de
soluciones tecnolgicas que satisfagan las especicaciones denidas por los clientes.
Este sistema es complementado con el aseguramiento de la calidad basado en la
Capacidad de los Modelos de Madurez (CMM), el cual tiene por alcance el desarrollo
mantenimiento de soluciones tecnolgicas, siendo entre ellos congruentes y formando
un solo sistema que se integra y complementa de buena manera.
El Sistema de Gestin de la Calidad de las soluciones tecnolgicas de la Contralora
General de la Repblica, permite:
Asegurar la conformidad con los requerimientos del usuario, legales,
vigentes y aplicables.
Aumentar la satisfaccin de los usuarios por medio de una efectiva
aplicacin del SGC y su mejoramiento continuo,
Vericar la capacidad que tienen las soluciones tecnolgicas en los procesos
de la organizacin para la satisfaccin de las necesidades de los usuarios.
1.2. Trminos y Deniciones
Para un mejor entendimiento del presente Manual, son aplicables los trminos y
deniciones de la norma internacional ISO 9000:2000 Sistemas de Gestin de la
Calidad Fundamentos y vocabulario.
1.3. Poltica de la calidad.
La poltica de la calidad de Contralora General de la Repblica es la siguiente:
En la Unidad de Tecnologas (UTI) de la Contralora General de la Repblica
nos comprometemos a realizar nuestros mejores esfuerzos para ofrecer
productos y servicios de calidad en el diseo, construccin y mantenimiento
de soluciones tecnolgicas, satisfaciendo las necesidades de nuestros
usuarios, cumpliendo todos los requisitos vigentes, ya sean tcnicos,
legales o especicados, incorporando en los productos y servicios, las ms
innovadoras herramientas tecnolgicas del mercado. En consecuencia, la
UTI tiene como objetivo, la mejora continua, asegurando la calidad de sus
productos con la participacin y apoyo de su personal, el cual se destaca por
su compromiso y profesionalismo
1.4. Diagrama de procesos
Segn el MAGEFI, el proceso PA-08-05 Gestin de las Tecnologas de Informacin,
tiene como objetivo el Aprovechar las tecnologas de informacin y de comunicacin
para impulsar el desarrollo de los procesos internos (pg. 53). Para dar cumplimiento
a este cometido se han identicado las siguientes actividades en el proceso:
Diagnstico de la necesidad de solucin tecnolgica
Anlisis de los requerimientos
Diseo de la solucin tecnolgica
Obtencin de la solucin tecnolgica
Implementacin de la solucin tecnolgica
Operacin de la solucin tecnolgica
Como su objetivo lo menciona, se trata de un proceso cuyo producto de solucin
tecnolgica que se orienta hacia lo interno de la institucin, por lo que se trata de un
proceso que apoya otros procesos organizacionales.
2. SISTEMA DE GESTIN DE CALIDAD
2.1. Requisitos Generales
El sistema de gestin de la calidad est conformado por el personal, su manera de
relacionarse, los procesos y su interaccin, los procedimientos e instructivos, as como
tambin, por los recursos que se utilizan para garantizar la calidad de los productos
y servicios, en donde se involucra cada paso, desde la compra de equipos, idear el
producto, hasta puesta en marcha y entrega del producto al cliente.
Los requisitos del sistema de gestin de la calidad implican que:
Se identican y determinan los procesos que intervienen en l
Se determina la secuencia e interaccin de stos.
Se determinan los criterios y mtodos que se requieren para asegurar la
efectiva operacin y control.
Se asegura la disponibilidad de la informacin necesaria para soportar su
operacin y seguimiento, as como su medicin.
Se proporciona seguimiento y anlisis y se implantan, cuando se requiere,
las acciones necesarias para alcanzar los resultados planeados y la mejora
continua.
Dependiendo del proyecto tecnolgico la UTI conformar un equipo especializado en
la materia para realizar la validacin del producto versus las especicaciones obtenidas
previamente, con el objetivo de asegurar la satisfaccin del cliente.
2.2. Requisitos de la documentacin.
2.2.1. Generalidades
Para que el sistema opere consistentemente, se mantenga y pueda mejorarse, se
deben establecer, documentar e implantar, documentos que incluyen:
a. Las declaraciones documentadas de una Poltica y objetivos de la calidad,
b. El presente Marco de Gestin de la Calidad,
c. Los documentos y procedimientos requeridos por la organizacin para
asegurar la planicacin, operacin y control efectivo de las actividades
propias del proceso de Gestin de tecnologas de informacin y
comunicacin.
2.2.2. Manual de calidad
Este manual de la calidad incluye el alcance del Sistema de Gestin de Calidad, sus
exclusiones y las consideraciones en materia de calidad que se contemplan en las
soluciones tecnolgicas.
2.2.3. Control de documentos
El control de Documentos est establecido en la Metodologa para el Desarrollo de
Proyectos de Tecnologas de Informacin y Comunicaciones, y en trminos generales
establece:
Aprobar documentos antes de su Emisin y/o Publicacin,
Revisar y actualizar los documentos,
Identicar las modicaciones y la condicin de la revisin vigente de los
documentos por medio de un adecuado control de versiones,
Asegurar que las revisiones vigentes estn disponibles en sus lugares de
uso,
Asegurar que los documentos se mantienen legibles e identicables,
Asegurar que los documentos de origen externo sean identicados y su
distribucin controlada, y
Evitar el uso de documentos obsoletos, planteando como sern
identicados apropiadamente cuando se retienen con algn propsito.
2.2.4. Control de registros
La CGR considera los registros como un tipo especial de documento por lo que se
establece y mantienen registros para proporcionar evidencia de la conformidad con los
requisitos as como del funcionamiento efectivo del producto o servicio. Los registros
permanecen legibles, fcilmente identicables y recuperables de conformidad con
las polticas establecidas para la retencin y desecho de documentos denidas por
Archivos Nacionales.
3. RESPONSABILIDAD DE LA DIRECCIN
3.1. Enfoque al cliente
Cada lder de proyecto contar con el apoyo del Coordinador de Proyectos, el lder
tcnico y el grupo de apoyo de manera que se pueda asegurar las necesidades y
expectativas de los usuarios que han sido convertidas en requisitos y son cumplidas con
la nalidad de lograr la satisfaccin de stos, considerando siempre las obligaciones
reglamentarias y legales.
Lo anterior, se mide a travs de la informacin que se proporciona acerca del desempeo
de los productos y servicios que se tienen, con respecto a sus requerimientos y
expectativas. Esta informacin se recopila por medio de la cha tcnica del proyecto
(ver Manual de Estndares, Anexo No.7).
3.2. Poltica de la Calidad
El lder de proyectos, se encarga de asegurar y vigilar que la Poltica de la Calidad
establecida en la seccin 1.3 de ste Manual sea:
Apropiada al propsito de la organizacin;
Incluya un compromiso para cumplir los requisitos y para la mejora continua;
Provea un marco de referencia para establecer y revisar los objetivos de
calidad;
Sea comunicada y entendida por todos los miembros de la organizacin;
Se ajuste continuamente a los cambios internos y del entorno.
3.3. Planicacin
3.3.1. Objetivos de la calidad
El lder de proyectos, asegura que los objetivos de calidad han sido establecidos para
todas las funciones y niveles relevantes dentro de la organizacin, y que son medidos
y consistentes con la poltica de la calidad.
3.3.2. Planicacin del Sistema de Gestin de la Calidad (SGC)
La CGR asegura que:
La planicacin del SGC se realiza cumpliendo con los requerimientos
citados en el punto 2.1 de este manual, as como con los objetivos de la
calidad, y
Se mantiene la integridad del SGC cuando se planica e implementa
cambios en ste.
La planicacin tambin se expresa en las actividades propuestas en cada
uno de los procedimientos de la organizacin.
3.4. Responsabilidad, autoridad y comunicacin
3.4.1. Responsabilidad y autoridad
Las responsabilidades de las personas que participan en cada uno de los proceso
de la Contralora General de la Repblica, estn regidos por: Manual de Actividades
Ocupacionales; Manual Descriptivo de Puestos y por el Estatuto Autnomo de
Servicios.

Adems existe un organigrama (Ver 1.1) donde se han denido las lneas de autoridad
de la institucin.
3.4.2. Representante de la calidad
El Coordinador de proyectos ha designado a cada lder de proyecto como Representante
de la UTI para la Calidad, y es quien independientemente de otras responsabilidades,
tiene la responsabilidad y autoridad que incluye:
a. Asegurar que se establecen, implantan y mantienen los procesos necesarios
para el sistema de gestin de la calidad en materia de TIC
b. Informar a la Gerencia de la UTI y al Patrocinador del proyecto sobre el
funcionamiento del sistema, incluyendo las necesidades para la mejora
c. Promover la toma de conciencia de los requisitos de los clientes en todos
los niveles de la organizacin.
La responsabilidad de cada lder de proyecto incluye las relaciones con partes externas
sobre asuntos relacionados con el Sistema de Gestin de la Calidad.
3.4.3. Comunicacin interna
El Coordinador de proyectos, utilizar los procesos apropiados de comunicacin
establecidos en la Metodologa para el Desarrollo de Proyectos de Tecnologas de
Informacin.
3.5. Revisin de la Gerencia
Las revisiones del SGC se realizan anualmente o cuando el Gerente de la UTI lo
determine. El gerente de la UTI planea la revisin del sistema para asegurar su
continua uniformidad, adecuacin y ecacia. Esta revisin incluye la evaluacin
de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema,
incluyendo la Poltica de la Calidad y los Objetivos de la Calidad, entre otros.
4. GESTIN DE RECURSOS
4.1. Provisin de recursos
A travs de las metas establecidas producto de los planes estratgicos, tcticos y
operativos, caractersticas y condiciones de equipo, son los insumos que son revisados
por la Jefatura de la UTI y determinan los recursos necesarios para implantar, mantener
y mejorar continuamente la ecacia de los procesos del sistema de gestin de la
calidad y para lograr la satisfaccin del cliente. Dentro de estos recursos se incluyen la
capacitacin y entrenamiento del personal involucrado en actividades de TIC, equipos
de cmputo o equipos especializados, programas de usuarios, sistemas operativos,
paquetes especializados de programas, bases de datos y otros implementos.
4.2. Recursos Humanos
4.2.1. Asignacin de personal
El personal con responsabilidades denidas en el Sistema de Gestin de la Calidad, es
competente con base en la educacin, formacin, habilidades, prcticas y experiencia
que son necesarias para la ejecucin de sus actividades, las cuales deben estar
denidas en el perl del funcionario que desempearn dichos cargos.
4.2.2. Competencia, toma de conciencia y formacin
Para mantener al personal actualizado en las competencias sobre calidad, se realizarn
las siguientes actividades:
Identicar necesidades de competencia del personal que ejecuta actividades
que afectan a la calidad;
Proporcionar capacitacin y entrenamiento para cubrir esas necesidades;
Evala la efectividad del entrenamiento provisto;
Institucionalmente asegurarse que los empleados estn conscientes de la
pertinencia e importancia de sus actividades y cmo ellas contribuyen al
logro de los objetivos de la calidad.
Se conservan las evidencias y registros correspondientes de la escolaridad o educacin,
formacin, calicacin y experiencia del personal. Lo anterior debido a la importancia
de poder detectar las carencias de conocimientos y formacin en todo mbito, y poder
cubrir tales necesidades mediante una correcta evaluacin de competencias, y dictar
programas de capacitacin adecuados.
El siguiente diagrama proporciona un modelo vlido para un programa de capacitacin.
4.2.3. Infraestructura
Identicar y mantener las instalaciones necesarias para lograr la conformidad de los
productos y servicios incluyendo el espacio de trabajo, hardware, software bsico y
utilitario, y los servicios de soporte.
4.2.4. Ambiente de trabajo
Por medio de las unidades de apoyo se administran los factores humanos y fsicos
(ambiente de trabajo), necesarios para lograr la conformidad de los productos y
servicios, tales como:
Temperatura del lugar de trabajo
Espacio de trabajo (Evitar interferencias)
Ergonoma
Iluminacin
5. CONSIDERACIONES EN EL DESARROLLO
El macro proceso Gestin de Tecnologas de Informacin y Comunicacin PA-08
que incorpora el MAGEFI y que involucra a la UTI, incorpora seis actividades que
deben realizarse, a saber: diagnstico, anlisis, diseo, obtencin, implementacin y
operacin.
Cada una de estas actividades conllevan tareas que consideran la planicacin de
la calidad, en la cual se pretende identicar las normas que son relevantes para el
proyecto y poder determinar cmo satisfacerlas; el aseguramiento de la calidad, que
consiste en aplicar las actividades planicadas y sistemticas relativas a la calidad,
para asegurar que el proyecto utilice todos los procesos necesarios para cumplir con
los requisitos; el control de la calidad, cuyo n es supervisar los resultados especcos
del proyecto para determinar si cumplen con las normas de calidad relevantes y si se
identican modos de eliminar las causas de un rendimiento no satisfactorio.
La gestin de la calidad del proyecto debe abordar tanto la gestin del proyecto
como el producto del mismo. Mientras que la gestin de la calidad del proyecto es
aplicable a todos los proyectos, independientemente de la naturaleza de su producto,
las medidas y tcnicas de calidad del producto son especcas del tipo de producto
producido por el proyecto.
Modelo de calidad congruente con el modelo de desarrollo de aplicaciones y estrategia
de desarrollo institucional
5.1. Etapa de Diagnstico y Anlisis
A lo largo de esta actividad, es un requisito que se emprenda la bsqueda de buenas
prcticas de calidad sobre el servicio o producto, que se encuentren en el mercado,
incluyendo instituciones o empresas que utilicen o brinden soluciones similares para
implementar un plan de visitas.
5.1.1. Planicacin
Elaborar la cha del proyecto de conformidad con lo establecido en la
Metodologa de Desarrollo de Proyectos en TIC.
Denir con el patrocinado el personal involucrado para documentar y
conciliar las expectativas sobre el proyecto.
Desarrollar capacidad en los equipos de proyecto en temas de manejo
de proyectos y procesos de documentacin as como para el control de
cambios.
Analizar los riesgos asociados con la implementacin del producto o servicio.
Conservar los estndares denidos en la Unidad de Tecnologas de
Informacin (UTI) durante el desarrollo del proyecto. En caso de ser
necesaria la denicin de un nuevo estndar, el gerente del proyecto debe
de realizar la justicacin del mismo a la jefatura de la UTI, documentando
el requerimiento y justicando su elaboracin.
Desarrollar un modelo conceptual con la misin por cumplir y sus objetivos
en donde se desglosen las funcionalidades del producto con respecto a
los objetivos del mismo. Este modelo debe ser revisado y aprobado por
el usuario, indicando de ser el caso, los comentarios relevantes de cada
funcionalidad.
Denir ndices de seguimiento del proyecto de acuerdo con la Metodologa
para el Desarrollo de Proyectos en TIC y el Manual de Estndares.
Crear un diccionario de trminos con las caractersticas de los mismos y los
rangos y niveles de tolerancia.
Denir los datos operativos y datos histricos para poder determinar niveles
de antigedad de esos datos y su tratamiento o archivo de conformidad con
la legislacin vigente.
5.1.2. Aseguramiento
El lder del proyecto se encargar de que todos los participantes del grupo de
desarrollo comprenda su labor y sus responsabilidades dentro del proyecto.
Se debe contar con un patrocinador del proyecto que participe y se
comprometa.
El lder del proyecto revisar mensualmente los productos obtenidos en el
mes y la documentacin relacionada con cada uno de ellos.
Cada proyecto debe tener un Libro de Proyecto en el Sistema de Expediente
Electrnico, al que se le debe de incorporar toda la documentacin
establecida en la Metodologa para el Desarrollo de Proyectos del mismo.
Se debe de establecer un grupo de proyecto que lo constituya como mnimo
un lder de proyecto y un lder tcnico.
Reporte mensual que se presentar al Gerente de Proyectos de acuerdo
con lo establecido en la Metodologa y el Manual de Estndares.
Elaboracin de listas de cotejo con las actividades de la etapa.
Presentacin del producto nal de la etapa en donde se encuentre el
Gerente de Proyectos, el Patrocinador y los involucrados directos.
5.1.3. Control
Posterior al cierre de la etapa, se realizar un anlisis del libro del proyecto
para determinar que se cumplieran los objetivos denidos y que la
documentacin se encuentre completa y no sea ambigua.
Cronograma de actividades del proyecto con su ruta crtica y responsables
de las actividades.
Lista de los participantes y su rol en el proyecto.
Plan de productos entregables con sus caractersticas y sus fechas.
Visto bueno de los entregables por parte del lder y del patrocinador del
proyecto.
Visto bueno de los plazos para los entregables por parte del Comit de
Apoyo.
Mapa de riesgos y administracin de los mismos.
Matriz de las formas de comunicacin que se utilizarn en el proyecto.
Reportes mensuales de avance.
Diagrama organizacional del proyecto con los roles establecidos.
Documentacin de anlisis realizado en internet, libros, referencias o visitas
realizadas.
Vericar la aceptacin de la etapa de Anlisis del proyecto por parte del
Patrocinador, del Gerente de Proyectos y del grupo de apoyo.
Vericacin de las minutas de reuniones.
Determinar los planes de contingencia de acuerdo con los riesgos
encontrados.
Conciliar y conrmar los supuestos establecidos de acuerdo con la
Metodologa para el Desarrollo (detallar qu implica y qu debe contener).
5.2. Etapa de Diseo
Durante esta etapa, se inicia la creacin de un modelo de solucin que cumpla con
los requisitos recopilados en las etapas anteriores. Al nal del proceso, se debe tener
un modelo que cumpla con las necesidades del cliente.
5.2.1. Planicacin
Luego del anlisis de los requerimientos del sistema, el lder tcnico
representar sus resultados en un diagrama de entidad-relacin (ER), en
el cual se deben de detallar los volmenes esperados de registros y pueda
detallar los requerimientos de capacidad de acuerdo con lo establecido en
la metodologa para el desarrollo de proyectos en TIC.
Se debe de incluir un diagrama de relaciones desde y hacia otros sistemas
o fuentes de datos; la manera en que esta comunicacin ser realizada
y la frecuencia en que debe ser realizado estos procesos. Adems de lo
anterior, se debe de indicar las consecuencias y acciones en caso de que
se presente una falla en esta comunicacin.
Basado en el diagrama ER, se desarrollar un diseo lgico de la base de
datos, el cual debe ser revisado por el equipo de trabajo para determinar
si cumple con los requerimientos funcionales solicitados y aprobado por el
administrador de las bases de datos (DBA).
Para todos los procesos de la aplicacin como para los procesos en lote,
se deben de denir los volmenes de informacin esperados, la frecuencia
de uso, los calendarios de ejecucin y las relaciones de estos procesos con
otras aplicaciones o sistemas, sean estas internas o externas.
Antes de la programacin de la aplicacin, el lder tcnico debe presentar
un prototipo de la aplicacin que se desea desarrollar, en la que se denirn
los objetivos de cada componente (pgina o forma por ejemplo), que sern
documentadas haciendo referencia a la Metodologa para el Desarrollo
de Proyectos en TIC y a las funcionalidades que la misma debe realizar.
Tambin debe indicarse las entradas, salidas y el perl de los usuarios que
harn uso de la aplicacin.
Antes de la programacin de los procesos en lote (batch), estos deben
ser diagramados e indicar con detalle el proceso que se debe de ejecutar.
Adems, debe de indicarse el proceso de recuperacin que debe ser
realizado en caso de presentarse una falla en el proceso. Tambin, se deben
de indicar las condiciones operacionales para su ejecucin, detallando los
datos de entrada, los datos de salida y el orden de ejecucin.
Es obligacin del grupo tcnico denir el grado de dicultad de cada
proceso, tiempo estimado de construccin y su importancia en el ujo del
sistema.
El lder tcnico deber de construir un mapa de la aplicacin en la cual
se debe de especicar la duracin estimada, el perl de seguridad de cada
pantalla.
La aplicacin debe contar con pantallas para el ingreso de parmetros
globales de la aplicacin, en las cuales los usuarios puedan modicar los
valores comunes que se utilicen a lo largo del sistema.
Participantes por unidad administrativa y la carga de trabajo esperada.
El lder del proyecto debe vericar que exista la actividad de revisin y
aceptacin del prototipo en el cronograma de actividades. Asimismo,
revisar que todas las formas de la aplicacin se encuentren aceptadas por
el patrocinador antes de que se inicie la etapa de construccin.
El lder del proyecto debe vericar que exista la actividad de revisin y
aceptacin del prototipo en el cronograma de actividades. Asimismo,
revisar que todas las formas de la aplicacin se encuentren aceptadas por
el patrocinador antes de que se inicie la etapa de construccin.
Reuniones con los participantes del proyecto con agenda previa y una
vez nalizada, la misma debe tener un resumen de acuerdos y estar
debidamente rmada por los participantes.
Nivel de seguridad en cada componente de acuerdo con el marco de
seguridad establecido.
Fuentes de datos consideradas para la cuanticacin de las ocurrencias de
los componentes (valores de inicio, crecimiento esperado).
5.2.3. Control
Cualquier requerimiento de ajuste o creacin de soluciones tecnolgicas,
debe ser aceptado y aprobado segn lo establecido en la metodologa
Asimismo, el lder del proyecto se encargar de revisar todos los documentos
y su aceptacin antes de ingresar a la etapa de construccin.
Revisin de las actas de las reuniones de acuerdo con lo establecido en la
Metodologa para el Desarrollo de Proyectos.
Estado de los productos entregables con un informe de avance y
observaciones generales.
Cotejar que se contemplen los procesos que permitan contabilizar y depurar
la informacin almacenada. Estos procesos deben de indicar las cifras de
control que permitan vericar cantidades.
Cotejar que para los datos sensitivos se tengan denidas las pistas de
auditoria y trazabilidad de los datos y procesos.
5.3. Etapa de Obtencin
En esta etapa, se realiza el proceso de obtener el producto o servicio. Se debe de
considerar que eso implica para un proceso de construccin, contratacin, compra, etc.
En cualquier caso, el proceso debe de garantizar que se cumplan los requerimientos
establecidos en las etapas anteriores.
5.3.1. Planicacin
Todo programa concluido ser documentado y trasladado al ambiente de
pruebas en donde se le aplicarn las pruebas necesarias y se examinar
funcionalidades, apariencia y facilidad de uso. Las pruebas sern realizadas
tanto por el personal tcnico, como por el personal del rea patrocinadora.
Toda prueba debe ser documentada con las observaciones pertinentes de
conformidad con los aspectos evaluados.
Desarrollo de un modelo conceptual en donde se desglosen las
funcionalidades del producto con respecto a los objetivos del mismo. Este
mapa debe ser revisado y aprobado por el usuario, indicando de ser el
caso, los comentarios relevantes de cada funcionalidad.
Vericar los requerimientos con cada participante y contar con su respectiva
rma de conocimiento y observaciones pertinentes.
Cotejar que los formularios de control de cambios se encuentren
debidamente completados y acorde con lo estipulado en la Metodologa
para el Desarrollo de Proyectos Informticos.
5.3.3. Control
Documentacin de cada componente detallando su participacin en el
proceso y su contenido.
Pruebas documentales de ejecucin de cada componente y resultados
obtenidos.
5.4. Implementacin
En esta etapa, se realizaran los procesos necesarios, principalmente la prueba de
la solucin seleccionada, para determinar que cumpla con los requerimientos y
expectativas, que permitan nalizar el proceso con la etapa de operacin.
5.4.1. Planicacin
La unidad patrocinadora del proyecto ser la responsable de analizar, probar
y aceptar los productos entregables de acuerdo con los requerimientos
establecidos en la Metodologa para el Desarrollo de Proyectos de TIC y
de conformidad con las necesidades y funcionalidades esperadas. Cada
prueba debe ser documentada segn lo establecido en la metodologa de
desarrollo.
Para la aceptacin de los programas, las consultas deben ser documentadas
con el respectivo plan de ejecucin y determinar posibles seguros o accesos
que afectan el tiempo de respuesta. Este plan debe estar aprobado por el
administrador de la base de datos (DBA) de la institucin o un profesional
asignado para tal n.
El plan de pruebas debe estar acorde con los requerimientos establecidos
por el patrocinador y recopilados en la etapa de anlisis.
Estrategia para la trazabilidad de los datos y su nivel se seguridad.
Procesos y programas para la reconstruccin del producto o servicio.
Documentacin adecuada sobre la operacin de los sistemas.
Denicin del plan de pruebas con fechas y responsables. Toda la
informacin debe ser documentada.
Las pruebas sern documentadas indiferentemente si fue o no exitosa.
Para todos los casos, se determinar quin es la persona responsable de
la prueba, los participantes, el objetivo de la prueba, el resultado esperado
y el resultado obtenido. Tambin se registrar el tiempo consumido para
cada prueba y los costos asociados.
Se realizarn pruebas de carga de proceso sobre el computador, sobre
cada uno de los componentes y en los casos de procesos sensitivos se
realizar un anlisis de sentencias para determinar si su plan de ejecucin
es el ms adecuado con respecto al rendimiento de la base de datos.
Al nalizar la etapa de pruebas, se debe de anexar a cada expediente de
programa, los documentos del plan de ejecucin y las observaciones del
DBA o profesional responsable.
5.4.3. Control
Se revisarn los resultados obtenidos y las rmas de aceptacin del
patrocinador del proyecto. Si algn documento no se encuentra aceptado,
el sistema o programa no podr ser trasladado a produccin.
Pruebas parciales e integrales de los componentes con la denicin de los
mrgenes de tolerancia permitidos.
5.5. Operacin
En esta etapa, el producto o servicio ingresar en un ambiente de produccin para
ser usado por los clientes. La idea fundamental es la de mantener el ciclo planicar-
hacer-revisar-actuar, que es la base para la mejora de la calidad.
5.5.1. Planicacin
Analizar los riesgos asociados con la implementacin del producto o servicio.
Formularios generales de comportamiento del sistema en los que se indique
si .el comportamiento del sistema es el esperado.
Coordinar con el proveedor de servicio o soporte del producto en caso de
tratarse de un producto externo, de lo contrario, coordinar con el lder del
proyecto y el patrocinador, para que pueda brindar soporte adicional en los
primeros das de operacin por si se requiere de una ayuda adicional (en
caso de ser necesario).
Denicin del personal que brindar soporte en caso de que se presenten
inconvenientes. Este personal debe tener una capacitacin previa a la
fecha del traslado a produccin as como tambin contar con un plan para
el manejo de contingencias, ingresado en el Sistema de Continuidad de
Servicio.
Completar los formularios para el reporte de problemas denidos tanto en
el Sistema de Solicitudes de Servicio (SSS) y en el Sistema de Continuidad
de Servicio.
Denir los protocolos para el seguimiento de problemas y atencin de
procesos sensitivos.
Preparar las medidas para la medicin del crecimiento de los datos desde
el momento de la primer carga y del crecimiento
Vericar que todas las tablas tengan denidos los procesos para purgar
datos o de tablas histricas para su migracin.
Preparar un plan de contingencia y los protocolos que deben de seguirse
para ser incorporados al Sistema de Continuidad de Servicio.
Denicin de los umbrales de tolerancia para detener la implementacin o
continuar con la misma.
Plan de recuperacin de datos en caso de una reversin.
Denicin del grupo encargado de realizar el seguimiento de la
implementacin del producto o del servicio.
Plan de divulgacin sobre la implementacin del producto o servicio.
Realizar una reunin semanal durante el primer mes de operacin para
analizar comportamiento y analizar los reportes de incidentes.
Seleccionar usuarios principales para medir el comportamiento de la
aplicacin y algunos de sus componentes.
Generar reportes diarios de comportamiento del producto o servicio y los
respectivos procesos de anlisis de datos, que debe ser analizado por el
patrocinador, el lder del proyecto y la Jefatura de la UTI.
5.5.3. Control
Realizar el seguimiento del registro de bitcoras por parte del lder del
proyecto.
Garantizar la bsqueda de soluciones a los problemas o inconvenientes
reportados.
Realizar reuniones de seguimiento con personal designado por el
patrocinador del sistema.
Preparar la documentacin para el cierre del proyecto de conformidad con
lo establecido en la Metodologa para el Desarrollo de Proyectos en TIC.
Realizar una comparacin de resultados y seguimiento de los riesgos
considerados y materializados en el proyecto, as como de las lecciones
aprendidas. Este informe debe ser realizado por el lder del proyecto.
6. MEDICIN, ANLISIS Y MEJORA
6.1. Generalidades
La Contralora General de la Repblica , ha establecido los lineamientos para planicar
e implementar los procesos de seguimiento, medicin, anlisis y mejora necesarios
para demostrar la conformidad del producto y asegurarnos de la conformidad del
sistema de gestin de la calidad, as como para mejorar continuamente la ecacia del
sistema de gestin de la calidad. Estos lineamientos se describen en la Metodologa
para el Desarrollo de Proyectos en TIC.
6.2. Seguimiento y Medicin
6.2.1. Satisfaccin del Usuario
Una parte fundamental del sistema de gestin de la calidad de la Contralora General
de la Repblica, es el de realizar el seguimiento de la informacin sobre la satisfaccin
del cliente con respecto al cumplimiento de los requisitos de los productos o servicios
adquiridos. Por ello se ha establecido como norma, que cada grupo de desarrollo de
proyecto elabore un procedimiento que permita conseguir y analizar la informacin
relacionada con respecto a la satisfaccin del cliente y los alcances de inicio del
proyecto. Este procedimiento se encuentra denido en el Manual de Estndares en
TIC.
6.2.2. Auditoria Interna
Es importante que el Jefe de UTI nombre a un funcionario de la unidad para que
realice auditorias a los procesos y procedimientos documentados que contemplen las
responsabilidades y requisitos de los lderes de proyecto con respecto a la aplicacin
del sistema de Gestin de la Calidad y que sus actividades estn conforme con
las disposiciones planeadas. El propsito principal es vericar que el sistema est
implantado y que es ecaz.
El Jefe de UTI debe de establecer los lineamientos para la realizacin de las auditorias
internas, desde la planeacin de los programas, tomando en consideracin el estado
y la importancia de los procesos y las reas a auditar, as como los resultados de
auditorias anteriores. Tambin debe denir los criterios de auditoria, el alcance de la
misma, su frecuencia y metodologa, as como la transmisin del informe de resultados
y la conservacin de los registros.
El personal de TIC que fungir como auditor interno debe ser seleccionado de tal
manera que se asegura que la ejecucin de las auditorias se lleven a cabo de manera
imparcial y objetiva, en otras palabras, los auditores no pueden auditar los procesos
en que estn involucrados.
Los responsables de cada una de las reas que se estn auditando conocen la
importancia de tomar acciones rpidas sin prdidas de tiempo, para eliminar las no
conformidades detectadas y sus causas.
6.2.3. Seguimiento y medicin de los procesos
La Metodologa para el Desarrollo de Proyectos de Informacin y Comunicaciones ha
establecido mtodos apropiados para el seguimiento de los resultados de los procesos
que forman parte del sistema de gestin de la calidad. A travs de dicho seguimiento
se demuestra la capacidad de stos para alcanzar los resultados planicados.
Cuando no se alcanza los resultados planicados, se lleva a toman acciones apropiadas,
segn sea conveniente, para asegurar la ecacia de los procesos.
Este proceso se enriquece con la entrega de informes mensuales sobre los incidentes
reportados, en los cuales se resumen la cantidad y su duracin de atencin. Estos
son recopilados por medio del Sistema de Solicitudes de Servicio, que se encuentra
en operacin en la UTI.
6.2.4. Seguimiento y medicin del producto o servicio
El lder del proyecto y su personal se encargan de medir las caractersticas del
producto para vericar que cumple con los requisitos establecidos. Esta actividad se
realiza en las etapas apropiadas del proceso de realizacin del producto de acuerdo
con las disposiciones planicadas y denidas en la Metodologa para el Desarrollo de
Proyectos Informticos.
La liberacin del producto y la prestacin del servicios no se lleva a cabo hasta que no
se haya completado satisfactoriamente las disposiciones planicadas, a menos que
sean aprobados de otra manera por el Gerente de la UTI y, cuando corresponda, por
el patrocinador del proyecto.
Las mediciones realizadas en cuanto al producto o servicio proveern los datos
necesarios para denir metas anuales de mejoramiento as como tambin establecer
adecuados planes de recuperacin.
6.3. Control del producto o servicio no conforme
El producto que no sea conforme con los requisitos se identica y controla por parte
del lder de proyecto, para prevenir su uso o entrega no intencional. Los controles,
las responsabilidades y autoridades relacionadas con el tratamiento del producto
no conforme estn denidos en la Metodologa para el Desarrollo de Proyectos de
Informacin y Comunicaciones.
Los productos no conformes son tratados mediante las siguientes maneras:
a. Tomando acciones para eliminar la no conformidad detectada;
b. Autorizando su uso, liberacin o aceptacin bajo concesin por una
autoridad pertinente y, cuando sea aplicable, por el usuario;
c. Tomando acciones para impedir su uso o aplicacin originalmente previsto.
En cualquiera de los casos anteriores, el lder de proyecto crear un acta de revisin
de prueba con las no conformidades, observaciones, descripcin de la naturaleza de
los defectos y cualquier accin tomada posteriormente, incluyendo las concesiones
que se hayan obtenido. En caso de haber corregido un producto no conforme, ste
se somete a una nueva vericacin para demostrar su conformidad con los requisitos.
Cuando se detecta un producto no conforme despus de la entrega o cuando ha
comenzado su uso, el lder de proyecto toma las acciones apropiadas respecto a los
efectos, o efectos potenciales, que ste pueda traer.
6.4. Anlisis de datos
Los responsables de cada una de las reas de la organizacin y de los procesos
relacionados con TIC, determinarn y recopilarn datos, ya sea por entrevista personal
o telefnica, encuestas u otro medio que se dena, que luego de procesarse sirva de
insumos para las reuniones con el personal de TIC que permitan analizar los datos
apropiados para demostrar la idoneidad y la ecacia del sistema de gestin de la
calidad y para evaluar dnde puede realizarse la mejora continua. El anlisis de datos
proporciona informacin sobre:
La satisfaccin del cliente.
La conformidad con los requisitos del producto.
El Compromiso con el Sistema de Gestin de Calidad.
El grado en que los procesos alcanzan los resultados planicados.
Otros considerados importantes
6.5. Mejora
6.5.1. Mejora Continua
Es obligatorio mejorar continuamente la ecacia del sistema de gestin de la calidad
mediante el uso de la poltica de la calidad, los objetivos de la calidad, los resultados de
las auditoras, el anlisis de datos, las acciones correctivas y preventivas y la revisin
por la gerencia, complementando con planes de mejora, y un continuo seguimiento
por medio de reuniones peridicas dentro del grupo de TIC, as como ampliarlo a otro
personal interno o externo que ayude a ir mejorando los procesos.
Se establecer bitcoras de seguimiento y evaluacin de resultados, que sern
analizados dos veces al ao por la Gerencia de Proyectos, con miras a establecer
metas de mejoramiento a nivel de producto y a nivel de servicio.
6.5.2. Accin Correctiva
La Contralora General de la Repblica, a travs de la Jefatura de Tecnologas de
Informacin, tomar las acciones pertinentes para determinar la(s) causa(s) que de
alguna manera, afecten el cumplimiento de no conformidades con objeto de prevenir
que vuelvan a ocurrir. Las acciones correctivas son apropiadas para los efectos de
las no conformidades encontradas. Para tales efectos, se seguir lo indicado en
la Metodologa para el Desarrollo de Proyectos en Tecnologas de Informacin y
Telecomunicaciones as como los procedimientos y formularios denidos en el Manual
de Estndares de TIC.
6.5.3. Accin Preventiva
Una vez al ao, la Jefatura de Tecnologas de Informacin de la Contralora General
de la Repblica a travs del Comit de Apoyo, revisar, el Manual de Calidad y los
elementos y sugerencias relacionadas, tanto a nivel interno como por conceptos de
evolucin externa de los conceptos de calidad.
Tambin, llegar a mantener toda la informacin que por aspecto de mediciones,
artculos, recomendaciones o estudios, se hayan recopilado durante el ao. La idea
bsica es la de establecer una base de datos en lo que respecta al tema de la calidad,
y tambin tener un historial del comportamiento de las aplicaciones en uso por parte
de la CGR. De esta manera, se podr tener un patrn de comportamiento y poder
medir las distorsiones estacionarias o permanentes de estos componentes para poder
as, denir acciones preventivas.
Anexo - NTP9
Modelo de Arquitectura de
Informacin
Anexo - NTP9
Modelo de Arquitectura de
Informacin
Versin 1.0 Ao 2008.
Introduccin
Este documento presenta una primera versin de modelado de una arquitectura
de informacin para la Contralora General de la Repblica; estructurada a partir
del anlisis de los macroprocesos y procesos denidos en el Manual General de
Fiscalizacin Integral denominado MAGEFI, en su versin resultante de la revisin
integral que se le dio en el ao 2008 con el propsito de actualizar y mejorar este
instrumento normativo. Esta versin del MAGEFI fue aprobada mediante resolucin
R-CO-54-2008 el 27 de octubre del 2008 y publicada en el Diario Ocial La Gaceta No
218 del martes 11 de noviembre del 2008.
Esta primera versin del Modelo de Arquitectura de Informacin (MAI) se sustenta
en la denicin de insumos y productos denidos para cada proceso en el MAGEFI y
hace una primera denicin de los ujos de informacin.
Necesidad
En el contexto de la alta dependencia de las TIC para la gestin estratgica, tctica y
operativa de la informacin y las comunicaciones; es un asunto trascendental disponer
de un Modelo de Arquitectura de Informacin (MAI), que soportado en el modelado
de los procesos de la organizacin, establezca cual es la informacin que en stos
uye, el manejo que debe drsele y la integracin entre los procesos a nivel de ujos
de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justicar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la abilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
Normativa tcnica
Las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin,
emitidas mediante la Resolucin del Despacho de la Contralora General de la Repblica,
Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro.119 del 21
de junio de ese mismo ao, incluye una norma referida al modelo de arquitectura de
informacin, en los siguientes trminos:
Con la denicin de esta primera versin del MAI la Contralora General de la Repblica
cumple con el referido numeral que especcamente regula este aspecto en dichas
Normas Tcnicas.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identicarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, denir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y
Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de
informacin que, en buena medida, ha determinado el inventario de sistemas de
informacin y de soluciones tecnolgicas disponibles.
Este modelado de arquitectura de informacin previo se sustent en la primera emisin
del MAGEFI que se promulg en el ao 1999 y que se elabor como parte de un
proceso de modernizacin que impuls la Contralora General a mediados de 1996;
orientado a denir un nuevo modelo de scalizacin superior de la Hacienda Pblica.
Con la reciente revisin integral del MAGEFI y la promulgacin de su nueva versin,
se requiere actualizar el modelo de arquitectura para que responda a los aspectos
cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan
requisitos que aquel modelo no contempl en su momento. Esta realidad queda
evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha
dictado para gestionar las TIC institucionales; planteadas en el Plan Estratgico de
Tecnologas de Informacin y Comunicaciones (PETIC); as como en su respectivo
Plan Tctico (PTAC).
Relacin entre el Plan Estratgico de TIC y el Modelo de Arquitectura
de Informacin
El MAI es una herramienta controlada y usada por el nivel estratgico de la organizacin,
que ayuda a visualizar con base en prioridades y lineamientos del Plan Estratgico
Institucional, el aporte o apoyo que las TICs brindan al alcance de objetivos. Es por
ello que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico
de TIC (PETIC). En ese sentido, se puede indicar que un buen PETIC incorpora un
estado actual y futuro del MAI y al mismo tiempo un buen MAI debe considerar los
lineamientos o fundamentos bsicos del PETIC.
Alcances y limitaciones
La elaboracin de un modelo de arquitectura de informacin debe partir de la
perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la denicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en la ms reciente versin del MAGEFI.
El nivel de desarrollo del MAI en esta primera versin se alinea al nivel que lo permite
el modelado organizacional existente; inicialmente en trminos de insumo, actividades
del proceso y productos, que es lo denido en el nuevo MAGEFI.
En su siguiente versin el MAI podr detallar an ms respecto a entidades de
informacin y ujos, en la medida que avance el proyecto institucional de documentacin
de segundo nivel del MAGEFI, relativo a los procedimientos que conforman cada
actividad de los procesos institucionales.
Al momento de denir esta primera versin del MAI la Institucin est iniciando con
la divulgacin del nuevo MAGEFI, que ser implementado paulatinamente por las
distintas unidades organizacionales que conforman la institucin y las que el modelo
de scalizacin requiera para su funcionamiento.
Enfoque metodolgico
La tcnica utilizada para denir el modelo de arquitectura de informacin fue Business
System Planning, BSP (Planeamiento de los Sistemas del Negocio) con un enfoque
simplicado.
La tcnica del BSP implementa un enfoque estructurado para ayudar a establecer
un plan de sistemas de informacin que pueda satisfacer las necesidades de la
organizacin, esto a partir del anlisis de los procesos del negocio y de la informacin
que uye en ellos. En el desarrollo de esta primera versin del MAI la tcnica BSP se
aplic en una versin simplicada, dado que se dispona nicamente de la descripcin
general de los procesos de la organizacin compilados en el MAGEFI.
En primera instancia el equipo de trabajo realiz una revisin general del MAGEFI en
su nueva versin. Posteriormente, para cada uno de los procesos gener las siguientes
tablas:
Procesos Unidades funcionales, indicando si la unidad tiene responsabilidad
primaria, mayor implicacin o menor implicacin en el proceso.
Clases de datos Unidades funcionales, indicando quien crea y quien usa
la informacin a partir de los insumos y productos denidos para cada
proceso.
Sistemas Unidades funcionales, asociando unidades con sistemas,
indicando para cada uno si actualmente existe, si est planeado, en
construccin o si es un sistema actual que requiere evolucin.
Sistemas Procesos, asociando procesos a sistemas, indicando para cada
uno si actualmente existe, si est planeado, en construccin o si es un
sistema actual que requiere evolucin.
Procesos Bases de datos sujeto asociando entidades de informacin con
procesos, indicando cual proceso crea y cual usa la informacin.
Luego, a partir del anlisis y procesamiento de la matriz de procesos Bases de datos
sujeto; se agrupan procesos y datos en sistemas principales a los cuales se les da un
nombre tentativo. De estos sistemas principales se trazan los ujos de datos de un
sistema a otro, del que crea la informacin al que la utiliza.
En el siguiente grco se presenta la arquitectura de informacin de la Contralora
General de la Repblica, condensando la informacin generada durante la aplicacin
de la tcnica del BSP.
Matriz BSP
Atencin de los sistemas actuales
Los sistemas que estn actualmente en operacin, as como los que estn en desarrollo
debern someterse a revisin a n de buscar una integracin, ya que estos sistemas
fueron concebidos para solventar necesidades puntuales de algn alcance de un
proceso determinado y deben ahora responder a un enfoque integral de procesos
como lo plantea el MAGEFI.
En la denicin de esta primera versin de MAI se tomaron en cuenta los sistemas
actuales, los que estn en desarrollo, los que se conoce que requieren de evolucin y los
que se tienen como sistemas planeados. Cada uno de ellos se asoci al macrosistema
con el que guardaba mayor anidad.
Descripcin de Macrosistemas y Sistemas asociados
A continuacin se presentan los macrosistemas identicados y para cada uno de ellos
la lista de sistemas asociados.
Macrosistema de Fiscalizacin Integral: Comprende los sistemas que principalmente
apoyan los procesos de Fiscalizacin Integral.
Sistemas:
Requerimientos de clientes externos (Planeado)
Pronunciamientos (en construccin)
Fiscalizacin Previa (Planeado)
Fiscalizacin Posterior (en construccin)
Procedimientos Administrativos (planeado)
Litigios (Planeado)
Asesora sobre hacienda pblica (Planeado)
Capacitacin Externa (Planeado)
Rectora (planeado)
Servicio al Cliente Externo (Planeado)
Macrosistemas de Gobierno Corporativo: Comprende los sistemas que principalmente
apoyan los procesos de Gobierno Corporativo.
Sistemas:
Monitoreo del Entorno (Planeado)
Planicacin y Evaluacin de la Gestin Institucional (Planeado)
Diseo Organizacional (Planeado)
Asesora interna (Planeado)
Mejora Continua (Planeado)
Macrosistema de Gestin del Conocimiento: Comprende los sistemas que principalmente
apoyan los procesos de Gestin del Conocimiento.
Sistemas:
Integrado de Recursos Humanos (actual)
Sistema de Gestin del Conocimiento Institucional (planeado)
BD soluciones TIC (en construccin)
Memoria Anual (planeado)
Macrosistema de Gestin de Recursos: Comprende los sistemas que principalmente
apoyan los procesos de Gestin de Recursos.
Sistemas:
Presupuesto Institucional (actual)
Contabilidad (actual)
Tesorera (requiere evolucin)
Bienes y Servicios (actual)
Sistema de pagos (actual)
Trmite de viticos (en construccin)
Descripcin de los sistemas
Para cada sistema identicado se presenta una descripcin general y en un siguiente
nivel se presenta un detalle con los sistemas actuales, planeados, en construccin o
existentes pero que requieren evolucin.
Para cada sistema se plantean las entradas, ujos de datos y salidas.
Nombre del Sistema
Requerimientos de clientes externos
Estado Planeado
Macrosistema Fiscalizacin Integral
Subsistemas asociados
CRM (planeado)
Help Desk (requiere evolucin)
Sistema de control de requerimientos de clientes externos (Planeado)
Sistema de Preguntas Frecuentes (requiere evolucin)
Entradas Flujo de datos
PP-01-I1 Requerimientos de los clientes
externos
Del cliente externo
PP-01-I2 Mejores prcticas sobre gestin
pblica
Del entorno
PP-01-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
PP-01-I4 Histrico de productos de
scalizacin integral
BD de Conocimiento
PP-01-I5 Informacin sistematizada
sobre los sujetos scalizados
Sistema de Monitoreo del Entorno
PP-01-I6 Marco jurdico y tcnico Del entorno
Salidas
PP-01-P1 Respuestas a los requerimientos de clientes externos.
PP-01-P2 Solicitud interna de servicio
PP-01-P3 Propuestas de diseo o rediseo de nuevos productos
PP-01-P4 Anlisis integral de requerimientos del cliente externo
Nombre del Sistema
Pronunciamientos
Estado En construccin
Registro de pronunciamientos de la CGR (actual)
PP-02-I1 Solicitud de Criterio Del cliente externo
PP-02-I2 Solicitud Interna de Servicio Sistema de requerimientos de clientes
externos
PP-02-I3 Productos de scalizacin
integral anteriores
BD de Conocimiento
PP-02-I4 Asesora interna escrita Sistema de Asesora Interna
PP-02-I4 Criterio de asesora externa Del entorno
PP-02-I5 Marco Jurdico Del entorno
PP-02-I6 Marco jurisprudencial y
doctrinal aplicable
Del entorno
Salidas
PP-02-P1 Criterio emitido
Nombre del Sistema Fiscalizacin Previa
Estado Planeado
Manejo de la participacin de la CGR en el proceso de contratacin administrativa
(SIAC para tareas de la CGR) (actual)
Manejo de nulidad de contratos (planeado)
Calicacin de Idoneidad (actual requiere evolucin)
Control de autorizaciones (planeado)
Control de legalizacin de libros (planeado)
Presupuestos pblicos (actual)
Planicacin de Instituciones (construccin)
Gestin Municipal (construccin)
Gastos de Partidos Polticos (Planeado)
Control de visado (planeado)
Tarifas, cnones, viticos, kilometraje y zonaje (planeado)
PP-03-I1 Solicitud interna de servicio Sistema de Requerimientos de clientes
externos
PP-03-I2 Ocios de solicitud de
autorizacin y aprobacin con sus anexos
Del cliente externo
PP-03-I3 Recursos de objecin o
apelacin en materia de contratacin
administrativa
Del cliente externo
PP-03-I4 Requerimiento de dictmenes
previos favorables de carcter vinculante
Del cliente externo
scalizacin integral
BD de Conocimiento
PP-03-I6 Marco jurdico Del entorno
doctrinal aplicable
Del entorno
PP-03-I8 Programacin macroeconmica
del Poder Ejecutivo
Del entorno
sobre el sujeto scalizado
Salidas
PP-03-P1 Ocio de respuesta a solicitudes de scalizacin previa
PP-03-P2 Resoluciones en materia de contratacin administrativa y levantamiento
de incompatibilidades
PP-03-P3 Certicacin de la Efectividad Fiscal
Nombre del Sistema
Fiscalizacin Posterior
Registro de la Actividad Contractual (actual)
Registro de Declaraciones Juradas de Bienes y Control de consistencia (actual)
Ejecucin presupuestaria (actual)
Seguimiento de Disposiciones (actual)
Manejo de las Denuncias (unido a Denuncia Electrnica) (actual)
Control de Riesgos para la Fiscalizacin (planeado)
PP-04-I1 Perl del proyecto de
scalizacin posterior
Sistema de Planicacin y Evaluacin de
la Gestin Institucional
scalizacin integral
BD de conocimiento
PP-04-I4 Marco doctrinal y
jurisprudencial aplicable
Del entorno
PP-04-I5 Criterios tcnicos externos Del entorno
PP-04-I6 Informes de Auditoras Internas
y Externas
Cliente Externo
sobre el sujeto scalizado
Salidas
PP-04-P1 Nota Informe
PP-04-P2 Informe
PP-04-P3 Relacin de hechos
PP-04-P4 Denuncia penal
PP-04-P5 Ocios de cierre de disposiciones
Nombre del Sistema
Procedimientos Administrativos
Estado Planeado
Registro de Sancionados (actual)
PP-05-I1 Relacin de hechos Sistema de Fiscalizacin Posterior
scalizacin integral
BD de Conocimiento
PP-05-I3 La defensa y las pruebas de las
partes
Cliente externo
Del entorno
Salidas
PP-05-P1 Resolucin nal del procedimiento administrativo
PP-05-P2 Registro de sancionados
PP-05-P3 Ttulo ejecutivo
Nombre del Sistema
Litigios
Estado Planeado
scalizacin integral
BD de conocimiento
Del entorno
PP-06-I4 La defensa y las pruebas de las
partes
Del cliente externo
PP-06-I5 Demanda/Contra demanda y
sus antecedentes cuando corresponda
Del cliente externo
Salidas
PP-06-P1 Escrito inicial del proceso
PP-06-P2 Ocios de atencin al proceso judicial
PP-06-P3 Atencin de audiencias en sede judicial
Nombre del Sistema
Asesora sobre hacienda pblica
Estado Planeado
PP-07-I1 Solicitud interna de servicio Sistema de Requerimientos de Clientes
Externos
PP-07-I2 Solicitudes de asesoras Del cliente externo
PP-07-I3 Perl de proyecto Sistema de Planicacin y Evaluacin de
scalizacin integral
BD de conocimiento
doctrinal aplicable
Del entorno
PP-07-I7 Informes del Ministerio de
Hacienda y de MIDEPLAN
Del cliente externo
PP-07-I8 Anlisis integral de
requerimientos del cliente externo
Sistema de Requerimientos de Clientes
Externos
Salidas
PP-07-P1 Documentos de anlisis u opinin sobre Hacienda Pblica
PP-07-P2 Asesoras escritas
PP-07-P3 Asesoras verbales
PP-07-P4 Memoria Anual
PP-07-P5 Documentos tcnicos de anlisis macro
PP-07-P6 Manuales o guas de buenas prcticas
Nombre del Sistema
Capacitacin Externa
Estado Planeado
Sitio Web
Campus Virtual
scalizacin integral
BD de Conocimiento
doctrinal aplicable
Del entorno
PP-08-I5 Marco tcnico Del entorno
Externos
Salidas
PP-08-P1 Datos de las actividades de capacitacin externa
Nombre del Sistema
Rectora
Estado Planeado
Ranking de Auditoras Internas (actual)
doctrinal aplicable
Del entorno
PP-09-I4 Criterios legales y tcnicos
externos
Del entorno
PP-09-I5 Estudios de diagnstico de
fuentes externas
Del entorno
sobre los sujetos pasivos
scalizacin integral
BD de Conocimiento
Salidas
PP-09-P1 Directrices
PP-09-P2 Polticas
PP-09-P3 Reglamento
PP-09-P4 Manual de normas
PP-09-P5 Orden
PP-09-P6 Solicitud de colaboracin obligada
Nombre del Sistema
Servicio al Cliente Externo
Estado Planeado
Externos
PP-10-I2 Productos de scalizacin
integral
BD de Conocimiento
PP-10-I3 Recursos de apelacin/
revocatoria contra productos de
scalizacin
Del cliente externo
PP-10-I4 Quejas de los clientes externos
sobre productos de scalizacin o el
servicio suministrado
Del cliente externo
PP-10-I5 Opinin de los clientes externos
sobre su percepcin de valor acerca de
los productos de scalizacin
Del cliente externo
Salidas
PP-10-P1 Productos de scalizacin entregados
PP-10-P2 Resolucin de los recursos o quejas sobre el producto y servicio
PP-10-P3 Productos de divulgacin
PP-10-P4 Ocios de respuesta a los solicitantes de servicios
PP-10-P5 Reportes de medicin de valor pblico
PP-10-P6 Reportes sobre sugerencias de los clientes externos
Nombre del Sistema
Monitoreo del Entorno
Estado Planeado
Macrosistema Gobierno Corporativo
Modelo Organizacional y Normativa
Interna
Sistema de Diseo Organizacional
PA-01-I1 Informacin difundida por los
medios de comunicacin colectiva
Del entorno
PA-01-I2 Opiniones rendidas sobre
proyectos de ley
Del entorno
PA-01-I3 Actas legislativas De la Asamblea Legislativa
PA-01-I4 Anlisis integral de
Externos
PA-01-I5 Jurisprudencia de los tribunales
nacionales y pronunciamientos de la
Procuradura General de la Repblica
Del entorno
PA-01-I6 Publicaciones e investigaciones Del entorno
PA-01-I7 Opinin de expertos Del entorno
PA-01-I7 Opinin de expertos internos Sistema de Asesora Interna
PA-01-I8 Histrico de productos de
scalizacin integral
BD de Conocimiento
PA-01-I9 Informacin sobre la gestin
institucional de los sujetos pasivos
Del cliente externo
PA-01-I10 Reportes sobre sugerencias
de los clientes externos
Sistema de Servicio al Cliente Externo
Salidas
PA-01-P1 Informes de anlisis del entorno
PA-01-P2 Inventario de riesgos externos
PA-01-P3 Informacin sistematizada sobre los sujetos scalizados
PA-01-P4 Informe de diagnstico de necesidades de los sujetos scalizados
PG-01-P1 Solicitudes de asesora interna
Nombre del Sistema
Planicacin y Evaluacin de la Gestin
Institucional
Estado Planeado
Sistema institucional de riesgos (Planeado)
Interna
PA-02-I1 Histrico de Informe de labores
de la Contralora General
Sistema del Conocimiento Institucional
PA-02-I2 Solicitud interna de servicio Sistema de Requerimientos de Clientes
Externos
PA-02-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
PA-02-I4 Informacin sistematizada
sobre los sujetos scalizados
Informe de diagnstico de necesidades
de los sujetos scalizados
PA-02-I5 Directrices tcnicas y
metodolgicas emitidas por la Direccin
General de Presupuesto Nacional del
Ministerio de Hacienda
De la Direccin General de Presupuesto
Nacional del Ministerio de Hacienda
PA-02-I6 Propuesta de Mejora Sistema de Mejora Continua
PA-02-I7 Informes de anlisis nanciero
contables
Sistema de Contabilidad
PA-02-I8 Informes de revisin interna y
externa
Sistema de Mejora Continua
PA-02-I9 Informes de anlisis integral de
Externos
PA-02-I10 Reportes de medicin de
valor pblico
Salidas
PA-02-P1 Planes Institucionales
PA-02-P2 Informe de evaluacin
PA-02-P3 Perl de proyecto
PA-02-P4 Lineamientos de planicacin institucional
PA-02-P5 Requerimientos presupuestarios para el perodo
Nombre del Sistema
Diseo Organizacional
Estado Planeado
Cuadro de Mando Integral (Planeado)
PA-03-I1 Perl de proyecto Sistema de Planicacin y Evaluacin de
PA-03-I2 Mejores prcticas sobre gestin
pblica o privada
Del entorno
PA-03-I3 Normativa externa Del entorno
Salidas
PA-03-P1 Modelo organizacional
PA-03-P2 Normativa interna CGR
Nombre del Sistema
Asesora interna
Estado Planeado
Interna
PA-04-I1 Solicitudes de asesora Del cliente interno
PA-04-I3 Informes de revisin interna o
externa
PA-04-I4 Criterios legales y tcnicos
externos
Del entorno
PA-04-I5 Histrico de asesoras internas BD de Conocimiento
PA-04-I6 Marco jurdico Del entorno
PA-04-I7 Marco jurisprudencial y
doctrinal aplicable
Del entorno
pblica
Del entorno
Salidas
PA-04-P1 Asesora interna escrita
PA-04-P2 Asesora interna verbal
PA-04-P3 Advertencias de la auditora interna
Nombre del Sistema
Mejora Continua
Estado Planeado
Modelo Organizacional Sistema de Diseo Organizacional
PA-05-I2 Propuestas de diseo o
rediseo de nuevos productos
Externos
PA-05-I4 Reportes sobre sugerencias de
los clientes externos
pblica o privada
Del entorno
PA-05-I6 Inventario de riesgos externos Sistema de Monitoreo del Entorno
PA-05-I7 Informes de evaluacin
institucional anteriores
PA-05-I8 Reportes de medicin de valor
pblico
PA-05-I9 Normativa interna Sistema de Diseo Organizacional
Salidas
PA-05-P1 Propuestas de proyectos de mejora
PA-05-P2 Propuestas de acciones de mejora
PA-05-P3 Informes de revisin interna y externa
Nombre del Sistema
Integrado de Recursos Humanos
Estado Actual
Macrosistema Gestin del Conocimiento
Prontuario (actual)
Acciones de personal y pago de funcionarios (actual)
Vacaciones (actual)
Plan de vacaciones de los funcionarios (planeado)
Control de Asistencia (actual)
Capacitacin interna (planeado)
Evaluacin del desempeo (requiere evolucin)
Registro de curriculums (actual)
Pizarras electrnicas para organizaciones de empleados (actual)
Gua telefnica de funcionarios (actual)
Normativa Interna Sistema de Diseo Organizacional
PA-06-I1 Solicitudes de empleo Del entorno
PA-06-I2 Perl de competencias vigente
de las funcionarias y funcionarios de la
CGR
Sistema Integrado de Recursos Humanos
PA-06-I3 Histrico de evaluaciones del
desempeo de funcionarios
Sistema de Evaluacin del Desempeo
PA-06-I4 Modelo organizacional Sistema de Diseo Organizacional
PA-06-I5 Solicitudes puntuales relativas
al personal.
Del cliente interno
PA-06-I6 Informacin del mercado sobre
benecios salariales y no salariales
Del entorno
PA-06-I7 Informes de revisin interna y
externa
Salidas
PA-06-P1 Datos del personal con experiencias de aprendizaje
PA-06-P2 Datos del personal contratado
PA-06-P3 Retroalimentacin del desempeo del personal
PA-06-P4 Mecanismos de promocin de valores y de ideas rectoras
PA-06-P5 Incentivos laborales aplicados
Perl de competencias vigente de las funcionarias y funcionarios de la CGR
Nombre del Sistema
BD de Conocimiento Institucional
Estado Planeado
BD del negocio, labores de extraccin y anlisis de datos (planeado)
Normativa para la Fiscalizacin (actual)
Sistema de gestin y documentos - MTD (actual)
Archivo Digital (requiere evolucin)
Expediente Electrnico (en construccin)
Consulta al Sistema de Pronunciamientos de la CGR (actual)
Sitio Web (actual)
Administracin de la Biblioteca y Servicios de Biblioteca Virtual (actual)
Marco jurdico de la Contralora General (requiere evolucin)
Bases de datos externas (planeado)
Requerimientos de Informacin Del cliente interno
PA-07-I1 Datos internos BD de Conocimiento
PA-07-I2 Datos externos Del entorno
de la informacin
Del entorno
Salidas
PA-07-P1 Informacin requerida disponible
Nombre del Sistema
BD soluciones TIC
Sistema de control de contingencias (en construccin)
Sistema de solicitudes de soporte (en construccin)
Administracin de roles y claves de acceso (en construccin)
Interna
PA-08-I1 Solicitudes de servicios de los
clientes internos
Del cliente interno
PA-08-I3 Informacin interna y externa Del entorno
PA-08-I3 Informacin interna y externa BD de conocimiento
PA-08-I4 Mejores prcticas de la
gestin de la informacin y tecnologas
relacionadas
Del entorno
PA-08-I5 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
Salidas
PA-08-P1 Datos de la solucin de tecnologa de informacin operando
Nombre del Sistema
Memoria Anual
Estado Planeado
Sitio Web
Herramientas de extraccin y anlisis de datos
Interna
PA-09-I1 Memoria organizacional Sistema de Memoria Anual
PA-09-I2 Informacin interna BD de Conocimiento
PA-09-I3 Mejores prcticas de la gestin
del conocimiento
Del entorno
Salidas
PA-09-P1 Memoria organizacional
Nombre del Sistema
Presupuesto Institucional
Estado Actual
Macrosistema Gestin de Recursos
Mdulo de Solicitudes de Pedido (En Construccin)
Interna
PA-10-I1 Presupuesto anual y sus
modicaciones, aprobado de aos
anteriores y del ao en ejercicio
Sistema de Presupuesto Institucional
PA-10-I2 Informes presupuestarios de
aos anteriores
Sistema de Presupuesto Institucional
PA-10-I3 Requerimientos
presupuestarios para el perodo
PA-10-I4 Informes de evaluacin
institucional
PA-10-I5 Planes institucionales Sistema de Planicacin y Evaluacin de
PA-10-I6 Solicitudes de los clientes
internos
Del cliente interno
PA-10-I7 Lineamientos de planicacin
institucional
Salidas
PA-10-P1 Datos de Recursos presupuestarios
PA-10-P2 Separacin de recursos
Nombre del Sistema
Contabilidad
Estado Actual
Interna
PA-11-I1 Lineamientos emitidos por el
rgano Rector
De Contabilidad Nacional
PA-11-I2 Marco jurdico, doctrinario,
jurisprudencial y tcnico
Del entorno
PA-11-I4 Estados nancieros de periodos
anteriores y del ejercicio
Sistema de Contabilidad
Del entorno
Salidas
PA-11-P1 Estados nancieros
PA-11-P2 Informes de anlisis nanciero contables
Nombre del Sistema
Tesorera
Estado Requiere evolucin
Sistema de pago de viticos (En construccin)
Interna
PA-12-I1 Solicitudes internas Del cliente interno
De la Asamblea Legislativa
PA-12-I3 Estados nancieros Sistema de Contabilidad
PA-12-I4 Marco jurdico, doctrinario,
jurisprudencial y tcnico
Del entorno
PA-12-I5 Informes presupuestarios Sistema de Presupuesto Institucional
PA-12-I6 Separacin de recursos Sistema de Presupuesto Institucional
PA-12-I7 Recibo a satisfaccin del bien Sistema de Bienes y Servicios
PA-12-I8 Factura Comercial Del entorno
Salidas
PA-12-P1 Datos sobre recursos nancieros ejecutados
PA-12-P2 Orden de pago
Nombre del Sistema
Bienes y Servicios
Estado Actual
Registro de proveedores (actual)
Compras (actual)
Suministros (requiere evolucin)
Activos jos (actual)
Trmites administrativos (requiere evolucin)
Interna
PA-13-I1 Presupuesto anual aprobado
del ao en ejercicio
De la Asamblea Legislativa
PA-13-I2 PA-14-I3 Marco jurdico Del entorno
PA-13-I3 Marco jurisprudencial y
doctrinario aplicable
Del entorno
PA-13-I4, PA-14-I1, PA-15-I1 Solicitudes
de los clientes internos
Del cliente interno
PA-13-I5 Separacin de recursos Sistema de Presupuesto Institucional
PA-14-I4 Marco jurisprudencial y tcnico
aplicable
Del entorno
PA-14-I5 Bienes recibidos Sistema de compras
pblica o privada
Del entorno
PA-15-I3 Servicios contratados Sistema de compras
Salidas
PA-13-P1 Recibo a satisfaccin del bien
PA-13-P2 Bienes recibidos
PA-13-P3 Servicios contratados
PA-13-P4 Resoluciones por incumplimientos contractuales
PA-13-P5 Interposicin de juicio para reclamo de daos y perjuicios
PA-14-P1 Datos de los bienes en operacin
PA-15-P1 Servicios auxiliares prestados
PA-15-P2 Informe de cumplimiento de servicios
ANEXO
Consideraciones relativas al documento MAGEFI analizadas al desarrollar el Modelo
de Arquitectura de Informacin.
Relacionado con
Magefi
Anexo - NTP10
Marco de Seguridad en
tecnologas de Informacin
Anexo - NTP10
Marco de Seguridad en
tecnologas de Informacin
A. Introduccin.
Este documento dene el marco de referencia de seguridad adecuado al nivel de las
tecnologas de informacin y comunicaciones (TIC), sobre el cual la Contralora General
de la Repblica (CGR) debe dirigir, implementar y administrar sus adquisiciones de
TIC para garantizar la continuidad, integridad y conabilidad de sus bases de datos
automatizadas.
El documento se sustenta en el conocimiento y la experiencia derivados del trabajo
realizado por funcionarios de la Unidad de Sistemas y Tecnologas de Informacin de
la CGR, y toma como referencia las siguientes normativas, como prcticas lderes:
La norma de referencia ISO 27001.
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este Marco de Seguridad se cumple con la normativa de la CGR,
especcamente en lo que corresponde al punto 1.4
B. POLTICA DE SEGURIDAD.
B.1. Poltica de seguridad.
Este acpite hace referencia al punto 1.4.1 de la Normativa de la CGR.
La poltica de seguridad en tecnologas de informacin de la Contralora General de la
Repblica se sustenta en los siguientes elementos:
Un marco de seguridad que dene los elementos necesarios que deben
considerarse a nivel institucional para el establecimiento de un esquema
adecuado de seguridad tecnolgica. Este documento se basa en las
recomendaciones de las Normas tcnicas para la gestin y el control de las
Tecnologas de Informacin (N-2-2007-CO-DFOE) y la ISO 27001.
Las directrices sobre seguridad y utilizacin de las tecnologas de informacin
y comunicaciones de la CGR; aprobadas mediante resolucin R-CO-61-
2007 del 7/12/2007, el cual es la gua de referencia institucional para el
uso adecuado de las TICS y que se constituye como un producto de este
Marco de Seguridad.
B2. Revisin de la poltica de seguridad.
El documento Directrices sobre seguridad y utilizacin de las tecnologas de informacin
y comunicaciones debe ser revisado por un comit de seguridad (ver ms adelante
la conformacin de este comit) al menos dos veces al ao, considerando dentro de
esto lo siguiente:
Una correcta aplicabilidad de las directrices que estn operando: Se reere
al hecho de determinar si las directrices que se hayan establecido son
aplicables para la Institucin, o si deben ser modicadas o eliminadas.
Incorporacin de nuevas directrices de acuerdo a requerimientos en
seguridad que puedan surgir producto de cambios en el ambiente o de
nuevas tecnologas o servicios incorporados dentro de la Contralora.
Requerimientos especcos de la Administracin Superior.
B3. Establecimiento de esquemas de sensibilizacin y capacitacin al
personal para el uso adecuado de las TICS a nivel institucional.
Se deben denir y revisar por parte del Ocial de Seguridad en Tecnologas de
Informacin (CSO)
1
, los procesos y planes necesarios de sensibilizacin y capacitacin
al personal, para la mejor utilizacin de las TICS. Este debe ser un proceso permanente y
debe evaluarse peridicamente con el propsito de garantizar su adecuada aplicacin.
1
Ms adelante se dene formalmente la gura del Ocial de Seguridad en TIC.
C. Organizacin de la seguridad de la informacin.
C1. Estructura funcional de la seguridad de la informacin.
La estructura necesaria para garantizar la vigencia y continuidad de la seguridad en
tecnologas de informacin es la siguiente:
1. El Despacho es el encargado de aprobar o improbar las directrices de seguridad
que sean consideradas como parte de la gestin de la seguridad y podr apoyarse
en las recomendaciones del Comit Gerencial de Tecnologas de Informacin y
Comunicacin (CGTIC).
2. Comit de seguridad en TIC. (CSTIC): Grupo interdisciplinario de funcionarios
destinado al mantenimiento de las directrices de seguridad a nivel institucional. El
CSTIC se rene semestralmente o cuando sea requerido por alguno de sus miembros
y dentro de sus funciones estn:
a. Analizar la incorporacin de nuevas directrices de seguridad acorde a
requerimientos especcos de la administracin superior, o requerimientos
producto de los monitoreos que sean realizados por el encargado de la
seguridad en TIC (Ocial de Seguridad).
b. Analizar la aplicacin de las directrices existentes y proponer medidas para
asegurar su cumplimiento.
c. Someter al Despacho de las seoras Contraloras las nuevas directrices con
el propsito de que sean aprobadas y ocializadas.
Como parte del grupo interdisciplinario de funcionarios que conforman el CS, debern
considerarse al menos las siguientes reas:
Despacho de las Contraloras Generales.
Unidad de Recursos Humanos.
Divisin de Contratacin Administrativa
Unidad de Servicios Generales.
Unidad de Sistemas y Tecnologas de Informacin.
Divisin de Fiscalizacin Operativa y Evaluativa.
La Auditoria interna, en casos de que se considere pertinente, debe participar en
calidad asesora con el propsito de fortalecer el sistema de control interno institucional.
1. El Ocial de Seguridad en TIC (CSO). Es el coordinador del CSTIC y dentro de sus
funciones estn:
a. Coordinar el CSTIC a nivel Institucional.
b. Analizar y recomendar la implementacin de directrices relacionadas con
la utilizacin de las TIC, en pro del mejoramiento de los niveles de seguridad
de la informacin en la CGR.
c. Coordinar con los encargados de los servicios y con los usuarios, la
implementacin de las medidas de seguridad.
d. Velar por el debido cumplimiento de las directrices denidas
institucionalmente respecto a la seguridad y utilizacin de las tecnologas
de informacin y comunicaciones.
e. Coordinar con la jefatura de la USTI para la aplicacin de medidas de
seguridad necesarias para minimizar posibles vulnerabilidades que puedan
poner en riesgo la informacin o recursos tecnolgicos.
f. Coordinar con la jefatura de la USTI la aplicacin adecuada y la vericacin
de la integridad de los respaldos, por parte de los responsables de las reas
funcionales.
g. Coordinar junto con la Jefatura de la USTI, la vigencia de la informacin
almacenada dentro del sistema de Contingencias.
h. Asesorar durante el desarrollo, adquisicin o implementacin de soluciones
tecnolgicas con el propsito de garantizar productos que cumplan con las
directrices de seguridad institucional.
i. Coordinar con las reas correspondientes de la organizacin, los procesos
necesarios de sensibilizacin y educacin a nivel de seguridad en las TIC
para todos los funcionarios.
j. Coordinar las acciones correspondientes cuando se suscite algn incidente
de seguridad que ponga en riesgo la informacin de la CGR
k. Participar en reuniones de diseo de los nuevos servicios o sistemas,
apoyando al grupo de trabajo para la elaboracin de un producto que
cumpla con los requerimientos de seguridad institucional. El punto de
referencia son las directrices institucionales en seguridad de informacin.
l. Determinar la presencia de eventos que puedan poner en riesgo la
seguridad o continuidad de las TIC, coordinar con los responsables y tomar
las medidas correctivas.
El CSO mantendr en coordinacin con la jefatura de la USTI, comunicacin
permanente con los responsables de las principales reas funcionales (Soporte a
usuarios, Servidores Principales, Redes y Telefona y Desarrollo de Sistemas) de la
USTI, para garantizar la aplicacin de las medidas de seguridad necesarias sobre las
TICS.
La vigilancia y aplicacin de las directrices relacionadas con la seguridad informtica
es responsabilidad de cada encargado de los servicios. As, por ejemplo, las directrices
relacionadas con la seguridad de la base de datos le corresponden en su aplicacin,
al encargado de esta rea. En el caso de directrices que ataen a las estaciones de
trabajo, deben ser denidas por la USTI y aplicadas por los usuarios.
C2. Auditorias respecto a la seguridad.
La CGR debe someter cada dos aos sus funciones de seguridad informtica a
procesos independientes de vericacin de su funcionamiento, aplicabilidad,
efectividad y eciencia.
Este proceso de vericacin debe contemplar:
Anlisis de vulnerabilidades sobre los servidores o recursos que se
determinen pertinentes por la USTI. (Recursos crticos).
Pruebas de penetracin sobre estos equipos.
Evaluacin de la poltica de seguridad institucional.
La revisin independiente debe rendir un informe con el detalle de los resultados
de las pruebas efectuadas, de la evaluacin de la poltica de seguridad, y las
recomendaciones para mejorar los puntos crticos detectados como parte del estudio.
D. Gestin de Activos.
D1. Inventario de activos.
Se debe contar con los mecanismos automatizados para el registro y control de
los activos institucionales. Especcamente todo lo relacionado a Tecnologas de
Informacin y Comunicaciones debe estar registrado dentro de un sistema de
informacin automatizado.
Los activos de TIC deben estar clasicados segn su nivel de criticidad, considerando
dentro de este inventario tanto los recursos fsicos (computadoras, servidores, equipos
de comunicaciones) como los recursos lgicos (sistemas, paquetes, licencias).
Los niveles de criticidad sern analizados y defnidos por los patrocinadores de las
soluciones tecnolgicas.
D2. Responsabilidad de los activos.
Cada activo de TI debe tener asociado un responsable de su custodia. La responsabilidad
sobre los activos incluye:
La asignacin de un responsable para cada activo que se adquiera.
La reasignacin de un responsable cuando el activo cambia de ubicacin.
La reasignacin de un responsable cuando el activo es devuelto o desechado.
El sistema de control de activos debe mantener la asignacin de los responsables de
los activos intangibles tales como sistemas, programas o informacin.
D3. Uso aceptable de los activos.
La USTI debe mantener directrices generales actualizadas para el uso adecuado
de los activos de TIC. Estas directrices deben estar aprobadas por las autoridades
superiores de la CGR y comunicados a todos los funcionarios. Debe contarse con los
procedimientos correspondientes para poner en aplicacin las directrices establecidas.
Estos procedimientos igualmente deben estar aprobados por la USTI y comunicados
por las vas que se establezcan a nivel institucional, a todos los funcionarios.
E. Compromiso del personal con la seguridad.
Este captulo corresponde al cumplimiento del punto 1.4.2 de la Normativa de la CGR.
E1. Informacin a los usuarios.
La CGR debe contar con los mecanismos necesarios para informar a todos los
funcionarios sobre sus responsabilidades en el uso de las Tecnologas de Informacin
y Comunicaciones. Para esto se deben realizar en coordinacin con la Unidad de
Recursos Humanos charlas de induccin y sensibilizacin
1
respecto a las TIC.
Se deben establecer los esquemas necesarios para garantizar la aceptacin,
entendimiento y aplicacin adecuada por parte de los funcionarios respecto a las
directrices existentes dentro de la institucin para el uso adecuado de las TIC.
1
Se entiende por sensibilizacin el proceso mediante el cual se pretende inculcar en los funcionarios la conciencia del uso
adecuado de las TIC para garantizar los niveles adecuados de seguridad que requiere la institucin.
La USTI debe denir un proceso de informacin a los usuarios respecto al uso de las
tecnologas. Este mecanismo debe considerar al menos:
Informacin sobre las directrices existentes en el uso de las TIC, debidamente
aprobados por las autoridades superiores de la institucin.
Informacin respecto a los procedimientos especcos del uso adecuado
de las tecnologas.
Mensajes informativos de sensibilizacin en el uso adecuado de las TIC.
Charlas peridicas relativas a la seguridad y utilizacin de las TIC.
E2. Seguimiento.
El CSO debe denir los mecanismos de revisin respecto a la aplicacin de las
directrices institucionales para la utilizacin de las TIC.
Las Unidades a las que le corresponda dentro de la Contralora, deben denir
claramente el esquema de sanciones que deben aplicar a nivel institucional por el
incumplimiento de las directrices. Ese esquema de sanciones debe ser aprobado por
las autoridades superiores de la Institucin y publicarse ocialmente por los medios
que corresponda.
F. Seguridad Fsica y del Entorno.
F1. Permetros de Seguridad Fsica.
El CSO debe denir los niveles de seguridad necesarios para garantizar las medidas
de proteccin a los activos tecnolgicos de la CGR. Estos niveles de seguridad deben
estar asociados al nivel de criticidad y seguridad que se le denan a los activos.
Se denen tres niveles de criticidad, los cuales estarn asociados a diferentes controles
segn el nivel. Los niveles son:
Activos crticos: Son aquellos que su ausencia provoca que se imposibiliten los
procesos bsicos de la Contralora, provocando problemas internos y externos.
Activo medianamente crticos: Son aquellos activos que son necesarios para el quehacer
de la CGR, sin embargo se puede disponer de un tiempo determinado para volverlo a
poner en operacin en caso de que falle.
Activos no crticos: Son aquellos que su ausencia temporal no presenta ningn riesgo
para el quehacer de la CGR. El recurso debe volver a ponerse en funcionamiento.
Para cada uno de estos tres tipos de criticidad, se asocian niveles de control y seguridad
sobre los activos. Estos niveles son:
Nivel 1: Nivel mximo. En este nivel se establecen controles sobre activos (equipos e
informacin) que sean considerados como crticos a nivel Institucional.

Nivel 2: Nivel intermedio. Este nivel debe contemplar controles sobre activos (equipos
e informacin) que sean menos crticos, y que no contemplen todas las medidas de
seguridad establecidas para el permetro Nivel 1-.
Nivel 3: Nivel bajo. Este nivel debe contemplar el resto de la plataforma de TIC, la cual
estar regida segn las directrices institucionales en el uso de las tecnologas, pero
no estar protegida por los esquemas de seguridad considerados en los niveles 1 y 2.
F2. Consideraciones de control de acceso fsico.
Para cada uno de los permetros de seguridad fsica denidos en el punto anterior, se
deben considerar condiciones bsicas de seguridad. Estas condiciones deben ser:
Nivel 1:
Recinto privado con acceso restringido.
Cmaras de vigilancia con capacidad de almacenamiento de la informacin
de al menos una semana de tiempo y transmisin en vivo de la imagen a
un centro de control.
Sensores de calor, humedad con conectividad a un centro de control para
el envo de alertas.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Administracin por parte de un encargado formalmente denido.
Control mediante bitcora del personal que acceda al recinto.
Control mediante bitcora de los ingresos y salidas de equipos al recinto.
Dispositivos de control de fuego.
Aires acondicionados acordes a la capacidad instalada de equipos y con
conexin a unidades alternas de energa. (Para garantizar su operacin
ante fallo del sistema elctrico).
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Registro, por medio de bitcoras de los accesos a los equipos por parte de
personal de mantenimiento externo.
Diagramas disponibles respecto a las fuentes de almacenamiento elctrico
de los equipos ubicados dentro del recinto.
Nivel 2:
Recinto privado con acceso restringido.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Dispositivos de control de fuego.
Si es necesario aires acondicionados.
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Nivel 3:
Existencia de un responsable del activo debidamente establecido.
Lineamientos existentes sobre el uso de los activos.
Proteccin mediante unidades ininterrumpidas de poder.
Ubicacin adecuada del activo dentro de zonas comunes con acceso
controlado.
Identicacin de activos mediante identicadores electrnicos.
F3. Controles de acceso a reas restringidas.
Segn el nivel establecido para los permetros de seguridad, la CGR debe considerar
la incorporacin de los siguientes elementos dentro de los esquemas de acceso a los
permetros:
Cmaras de video, con capacidad de grabacin y almacenamiento de los
videos de al menos una semana de antigedad. Deben tener conectividad
a un centro de monitoreo en donde se pueda estar vigilando la actividad
sobre los recintos protegidos.
Personal disponible para vigilar el video.
Acceso mediante tarjeta magntica a los recintos protegidos. Deben existir
los roles correspondientes dentro del sistema de acceso para el control de
autorizacin a los recintos.
Registro de bitcoras electrnicas respecto a los accesos realizados por
funcionarios en las zonas protegidas.
Identicacin de personal autorizado para el acceso a las zonas protegidas.
Asignacin de roles y permisos dependiendo de los niveles de autorizacin
de acceso del personal.
Bitcora de control de accesos a las zonas restringidas.
Sistemas de deteccin y control de fuego, humo y humedad.
Sistemas de aire acondicionado
Ubicacin adecuada de equipos dentro de los permetros de seguridad,
para facilitar las actividades de mantenimiento.
Procedimientos claramente establecidos respecto al ingreso, uso y
mantenimiento de los equipos ubicados dentro de las reas de seguridad.
Ubicacin fsica segura de dispositivos de almacenamiento secundario
donde se almacenen respaldos de informacin sensible. Control adecuado
mediante bitcoras de la manipulacin de esta informacin.
Sistemas adecuados de seguridad en las conexiones elctricas. (Tierra en
los tomas elctricos).
Sistemas de suministro ininterrumpido de poder para los equipos ubicados
dentro de los permetros de seguridad.
Distribucin de la alimentacin elctrica independiente para los equipos
que cuenten con fuentes de poder redundantes.
Registro de ingreso y salida de equipos a las reas restringidas. Control
sobre equipos en prueba mediante bitcoras.
Deben existir diagramas de las conexiones de red de los equipos ubicados
dentro de las reas restringidas que muestre claramente adonde se est
conectando cada uno de los equipos ubicados en las reas restringidas.
(Conexin equipo a switch, switch a switch, conexiones externas a switches,
etc). Esta documentacin deber estar disponible para ser accedida por las
personas que se denan dentro de los esquemas de acceso al centro de
cmputo:
Jefe de la Unidad de Sistemas
Encargado del Centro de cmputo
Encargado del rea de redes
Deben existir diagramas de las instalaciones elctricas, con n de determinar
la relacin entre equipo y fuente de alimentacin elctrica correspondiente.
F4. Mantenimiento de los equipos.
Para cada uno de los activos TIC considerados como crticos se tiene que contar con
un esquema de mantenimiento asociado, sea este preventivo o correctivo en donde
se identique:
Tipo de mantenimiento contratado.
Equipos de respaldo (stand by) que puedan ser utilizados en caso necesario.
Nombres, telfonos y correos electrnicos de contactos tcnicos (internos y
externos) para aplicar en caso de ser necesario.
Periodicidad del mantenimiento preventivo (si lo tuviera).
Condiciones del mantenimiento correctivo (horarios, costos adicionales,
horas mensuales).
Los responsables de cada uno de estos activos; en coordinacin con la jefatura de
la USTI, deben denir las condiciones en que se deben realizar las acciones de
mantenimiento preventivo a los mismos, garantizando:
Minimizacin del tiempo fuera de servicio del recurso.
Programacin de los servicios de mantenimiento en horas no laborables.
Esquemas de planicacin de los servicios de mantenimiento por anticipado.
Sistemas para informar a los usuarios respecto a los servicios de
mantenimiento programados.
Mapeo entre recursos y servicios, con el n de determinar la relacin entre
el mantenimiento de un recurso y los servicios que se vean afectados.
Vericacin previa de esquemas de respaldo y recuperacin en caso de
falla al retornar el servicio a produccin.
Disponibilidad del personal tcnico asociado al recurso para apoyar las
labores de mantenimiento.
F5. Seguridad de equipos fuera de las instalaciones principales de la
CGR.
La USTI debe establecer los procedimientos que aplican para los casos en donde
los funcionarios utilicen los equipos a su cargo en sitios externos al edicio principal.
Estos procedimientos deben contemplar:
La forma en que sern registrados dentro de las bitcoras de la USTI, los
equipos que salen de la institucin.
Consideraciones tcnicas a aplicar para los equipos que estaran saliendo
de las instalaciones de la CGR.
Programas necesarios que debe tener el equipo que est saliendo de la
institucin.
Forma de actualizacin de los programas (Ejemplo: antivirus) para los
equipos que se encuentren fuera de la Institucin.
Esquema de soporte tcnico para dar apoyo a los funcionarios que estn
ubicados fuera de la institucin.
F6. Seguridad en la reutilizacin de equipos.
Con el propsito de garantizar la privacidad de la informacin contenida dentro de los
equipos de los funcionarios, la USTI debe denir los procedimientos para los casos
de reubicacin de responsables de un equipo. Se debe garantizar:
La eliminacin de informacin sensible contenida en las unidades de
almacenamiento asociadas al equipo.
La eliminacin de programas que no sean necesarios.
La eliminacin de conguraciones particulares que no se vayan a utilizar
ms.
F7. Seguridad en equipos que ingresan a la Institucin.
La USTI debe denir la poltica que aplica para equipos externos (no-propiedad de
la CGR), que requieran conectarse a la red institucional prevaleciendo el inters de
garantizar la seguridad de la informacin almacenada dentro de las bases de datos
institucionales.
Se debe contar con un esquema fsico o lgico de separacin de redes garantizando
que equipos externos conectados a la red institucional pasen por sistemas de control
y proteccin distintos a los equipos internos.
G. Gestin de comunicaciones y operaciones
G1. Documentacin de los procedimientos de operacin.
Los responsables de las reas funcionales de la USTI, deben elaborar y darle
mantenimiento a los procedimientos de operacin, respaldo y recuperacin de los
recursos TIC a su cargo. Todos estos procedimientos debern estar almacenados y
accesibles a quien se disponga por parte de la USTI.
Los procedimientos deben estar registrados electrnicamente y contar con un respaldo
fsico que pueda ser accedido fcilmente sin necesidad de contar con un acceso a la
red de comunicacin institucional.
1
Trimestralmente cada responsable de recursos, deber proceder a validar la informacin
contenida en los procedimientos bajo su responsabilidad.
Se debe llevar dentro de cada procedimiento un registro para control de cambios
efectuados al mismo, contemplando la fecha de la modicacin del procedimiento, el
responsable de la modicacin y un detalle de la modicacin efectuada.
G2. Separacin de ambientes de trabajo.
El ambiente utilizado para el desarrollo de aplicaciones debe estar separado del
ambiente de produccin. Para esto se deber considerar una separacin fsica o
virtual, garantizando la independencia de estos ambientes. Los desarrolladores de
sistemas no deben tener acceso a los sistemas y datos en produccin, y las pruebas
que se efecten sobre sistemas en desarrollo se deben hacer sobre una plataforma
independiente a la de produccin, con un ambiente totalmente controlado.
G3. Controles contra cdigo malicioso.
La CGR debe contar con tecnologa adecuada para el control de software o actividades
maliciosas detectadas dentro de la red de datos institucional. En este sentido el CSO
debe vigilar el entorno respecto a programas y tcnicas dainas que puedan poner en
riesgo la seguridad interna de la CGR, y aplicar las medidas necesarias para minimizar
las posibilidades de ser vulnerada.
1
Esto se dene de esta manera considerando un evento en donde los sistemas y recursos tecnolgicos no estn disponibles.
La CGR dispondr continuamente de la tecnologa necesaria para poder vigilar en
forma centralizada, la actividad reportada por estos programas de control de software
malicioso.
Se debe supervisar en forma regular el comportamiento de la plataforma de TIC de la
institucin, para identicar y atender posibles incidentes de seguridad.
El CSO debe denir los procedimientos para actuar ante la aparicin de cdigo
malicioso dentro de la Plataforma de TIC Institucional. Estos procedimientos deben
indicar:
Forma de reporte de una propagacin de virus u otro software maliciosos.
Acciones para controlar la diseminacin de estos virus.
Procedimientos para volver a la normalidad un equipo daado.
La Unidad Tcnica (USTI) debe contar con mecanismos de sensibilizacin a los
usuarios sobre los riesgos sobre la informacin por una mala utilizacin de las TICS.
Se deben establecer mecanismos peridicos de informacin a los usuarios respecto a
programas maliciosos. Esta periodicidad debe ser de al menos una vez al mes.
Los canales utilizados para el proceso de sensibilizacin a los usuarios sern los que
se consideren ms apropiados, contemplando al menos:
Correo electrnico
Charlas.
Documentos tcnicos disponibles en forma electrnica.
intranet
Respecto al control de cdigo malicioso, se deben establecer los siguientes niveles de
seguridad:
A. En las estaciones de trabajo:
1. Antivirus instalado y debidamente actualizado.
2. Antispyware instalado y debidamente actualizado.
3. Bloqueo de puertos, mediante rewall y/o antivirus, para el control de
programas maliciosos que puedan utilizar vulnerabilidades sobre estos
puertos para tomar control del equipo.
4. Sistema de deteccin y prevencin de intrusos a nivel de estaciones
de trabajo, garantizando que el trco de informacin desde y hacia la
estacin de trabajo no sea daino, permitiendo bloquear cualquier intento
de intrusin al equipo por parte de conexiones externas.
5. Contar con tecnologa apropiada para proveer esquemas de cifrado a la
informacin que se considere necesaria dentro de las estaciones de trabajo.
6. Proceso automatizado de las actualizaciones de seguridad sobre aplicaciones
y sistema operativo.
7. Tecnologa para el manejo automatizado de respaldos de la informacin del
directorio de trabajo de las estaciones de trabajo.
8. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y
9. Manejo de respaldos automatizados para garantizar la restauracin completa
de la informacin a un momento determinado. (ver punto G4)
B. En los servidores:
1. Contar con rewall a nivel de servidores que permita lograr un nivel de
seguridad adicional al brindado por el rewall corporativo.
2. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y
3. Procesos regulares para aplicacin de actualizaciones de seguridad.
C. En la red:
1. Contar con sistemas de deteccin y prevencin de intrusos a nivel de
red que constantemente estn monitoreando el canal y determinando y
controlando posibles ataques que puedan estar ocurriendo.
2. Sistema de control sobre equipos que no cumplan con las directrices de
seguridad previamente establecidas a nivel institucional. (Control de acceso
al medio)
G4. Respaldo de la informacin
Los encargados de las distintas reas funcionales de la USTI, deben denir los
procedimientos de respaldo de la informacin almacenada tanto en los servidores
principales de la CGR como en los equipos de los usuarios nales, considerando:
Para servidores principales:
- Procedimientos de respaldo diario de la informacin
almacenada en las bases de datos.
- Procedimiento de respaldo semanal de la informacin.
Ubicacin distante de estos respaldos.
- Procedimientos de respaldo de conguraciones.
- Registro en bitcoras de los procesos de respaldo efectuados.
Se debe registrar en esta bitcora la informacin necesaria
para poder acceder a los registros en caso de que sea
necesario.
Para equipos de comunicacin u otros con menor cantidad de datos
almacenados.
- Procedimientos de respaldo de conguraciones.
- Procedimientos de respaldo de datos, en los casos en que
sea necesario.
Para estaciones de trabajo.
- Procedimientos de respaldo de la informacin de los usuarios.
Se debe suplir a los usuarios con la tecnologa necesaria
para el respaldo de la informacin contenida dentro de sus
equipos.
Los encargados de las distintas reas funcionales de la USTI deben establecer los
procedimientos de vericacin de la funcionalidad de los respaldos. Se deben efectuar
pruebas peridicas (al menos 1 vez cada tres meses) para garantizar la integridad de
estos respaldos.
G5. Seguridad de las redes de comunicacin.
Todos los equipos que se encuentran conectados a la red de datos institucional,
debern ser controlados mediante un sistema de seguridad,
Para garantizar esquemas adecuados de seguridad, se deben considerar esquemas
fsicos o lgicos de separacin de las redes internas de datos segn el tipo de equipo
que est ubicado en cada una de esas redes. Todos los accesos especcos a equipos
crticos deben estar controlados por un sistema de seguridad.
Se debe contar con tecnologa que permita detectar actividad anmala sobre las redes
de comunicacin de datos institucionales. Esta tecnologa debe tener la capacidad de
detectar, informar y corregir, si fuera necesario cualquier tipo de ataque sobre equipos
internos de la institucin.
Se debe contar con una documentacin clara y fcilmente accesible sobre la topologa
de la red Institucional. Esta documentacin debe contener con al menos informacin
respecto a:
Ubicacin fsica y lgica de equipos principales, equipos de comunicaciones
y equipo de seguridad.
Ubicacin fsica y lgica de la segmentacin de redes.
Mapeo de conexiones fsicas dentro del Centro de Cmputo.
Topologa general de las redes considerando:
- Direcciones IP
- Sistema Operativo de los equipos
- Conexiones existentes con otros equipos.
- Redes virtuales denidas (Vlans)
- Redes privadas virtuales existentes.
- Conexiones con sitios externos, velocidades y direccionamiento
IP.
G6. Seguridad en las conexiones inalmbricas.
Toda conexin que sea establecida desde dispositivos inalmbricos hacia la red interna
de la CGR debe contemplar esquemas de autenticacin, condencialidad e integridad.
La USTI debe mantener actualizadas y en funcionamiento las directrices especcas
para el uso y administracin de la red inalmbrica institucional.
Se deben tener las siguientes consideraciones respecto a la seguridad de las conexiones
inalmbricas:
a. Todo equipo inalmbrico que se conecte a la red institucional debe estar
claramente identicado por la unidad Tcnica de la CGR. (USTI).
b. Se deben identicar y manejar en forma separada dos tipos de conexiones
inalmbricas: las que requieren acceso a las redes internas institucionales y
las que solamente requieren acceso a la Internet. Para cualquiera de estos
accesos se deben utilizar esquemas de autenticacin, inclusive cualquier
red inalmbrica catalogada como no conable.
c. El acceso a la red institucional por parte de las conexiones inalmbricas
debe contar con los esquemas de control que sean establecidos para las
redes alambicas.
d. Los equipos concentradores de conexiones inalmbricas (access point) se
deben instalar considerando que el rea de cobertura de los mismos se
circunscriba a los lmites del edicio.
e. La solucin inalmbrica que se utilice debe contar con mecanismos de
seguridad tales como:
- Sistemas de deteccin de intrusos.
- Manejo de la autenticacin por medio de certicados digitales.
(A nivel de equipo y no de usuario).
- Manejo de esquemas de cifrado seguros para la transmisin
de la informacin por el medio inalmbrico.
f. Deben realizarse anlisis peridicos de la red inalmbrica con el propsito
de detectar equipos no autorizados. (Access point y/o clientes).
G7. Seguridad de la informacin disponible en servidores de acceso
pblico.
La USTI debe contar con los mecanismos necesarios para que la informacin que sea
puesta a disposicin de los usuarios externos de la CGR, cuente con los esquemas de
seguridad necesarios contra posibles accesos indebidos.
Un usuario que se conecte externamente, no podr acceder directamente a las Bases
de Datos institucionales, sino que su acceso lo debe hacer mediante una solicitud a
un servidor intermedio de la CGR, el cual se debe encontrar en la zona pblica, y este
servidor es el que realiza el acceso hacia las bases de datos, obtiene la informacin y
se la entrega al usuario nal.
Para los casos de registro por parte de usuarios de informacin sensible, se debe contar
con esquemas que garanticen la seguridad de la informacin transmitida (cifrado de
datos), y autenticidad del sitio (certicados digitales).
G8. Vigilancia de la actividad sobre la informacin almacenada en las
Bases de Datos Institucionales.
Se debe contar con tecnologa adecuada para la vigilancia de los accesos y manipulacin
de la informacin almacenada en las bases de datos institucionales (bitcoras).
Para ello es necesario considerar:
La informacin que ser sujeta a monitoreo.
La permanencia de los datos monitoreados.
Los esquemas de revisin de estas bitcoras (periodicidad y mtodo de
revisin).
Los responsables de la revisin de la informacin almacenada en las
bitcoras.
Los esquemas de seguridad (roles) para las personas que harn anlisis
sobre las bitcoras correspondientes.
Los servidores institucionales debern estar debidamente sincronizados con un
servidor de tiempo nico, de tal forma que la hora de los equipos sea congruente, esto
para efectos de los anlisis que se deban realizar sobre la actividad registrada en los
reportes correspondientes de los servidores.
Los responsables de las reas funcionales de la USTI deben realizar, para los casos en
donde se determine (producto de la vericacin de las bitcoras) las investigaciones
necesarias para cualquier incidente sobre los accesos a la informacin.
Puede ser el procedimiento actual, traslado a bodega con indicaciones
de deshecho o donacin, y la limpieza de los discos y memorias.
G9. Seguridad en el registro y transferencia de informacin.
Se deben establecer mecanismos para garantizar que los datos que sean considerados
como crticos se transeran en forma segura a travs de las redes internas de
comunicacin de la CGR.
Par tal efecto se deben implementar por parte de la USTI, los mecanismos necesarios
para garantizar no negacin, autenticidad, integridad y condencialidad de la
informacin.
H. Control de Acceso.
H1. Administracin de usuarios.
Deben establecerse los procedimientos para el registro de usuarios nuevos a los
sistemas institucionales. Estos procedimientos debern considerar:
Los responsables del registro,
Los servicios a los cuales los usuarios tendrn acceso y
Las razones del acceso.
Todo registro de un usuario debe ser producto de una solicitud formal en donde se
indiquen los roles y privilegios a los que este usuario tendr acceso.
Deben establecerse los mecanismos para la revisin peridica de los roles y privilegios
asignados a los usuarios y los procedimientos de revocacin de estos privilegios
cuando ya no se requieran.
Se deben garantizar los esquemas de seguridad necesarios para la identidad asignada
a un usuario (cdigo usuario y password) para el acceso a los servicios asociados a l
(usuario/password). Asociado a la asignacin de contraseas deben existir directrices
claramente establecidas a nivel institucional para su correcto uso. Deben considerarse:
Polticas de asignacin de password fuertes y difciles de robar.
Polticas de seguridad en el mantenimiento de estos password.
Sensibilizacin sobre las responsabilidades en el uso adecuado de los
password asignados.
Procedimientos para la renovacin peridica de los password.

H2. Accesos asociados al usuario.
Se deben establecer en forma clara los privilegios de acceso a los servicios de acuerdo
con el perl de seguridad asociado a cada usuario.
Cualquier acceso (interno o externo) a un servicio que requiere identicacin de
usuario, debe estar controlado con esquemas de autenticacin y autorizacin.
I. Seguridad en los sistemas de informacin.
I1. Anlisis de especicaciones y requisitos de seguridad.
El proceso de desarrollo e insercin de software considerar las directrices de
seguridad de TI, de forma tal que sus productos sean conformes con las directrices
de seguridad institucionales.
Debe existir una metodologa en el desarrollo de sistemas de informacin que garantice
los controles de seguridad necesarios en las aplicaciones o sistemas nuevos, as como
la calidad de los mismos. Dentro de esta metodologa se debe considerar:
La validez de los datos de entrada a las aplicaciones, evitando el ingreso
de registros incorrectos (que pongan en riesgo aspectos de integridad de
la informacin).
La autenticidad de la informacin que es registrada dentro de las bases
de datos. Para esto se deben establecer los mecanismos necesarios para
brindar los esquemas de seguridad en la autenticacin de los usuarios a las
aplicaciones o servicios.
Procedimientos denidos para los procesos de prueba de los sistemas o
soluciones que se vayan a poner en produccin.
Se deben denir, basado en los niveles de criticidad de la informacin, los esquemas
de privacidad requeridos para los datos. En este sentido se debe considerar la
implementacin de mecanismos de cifrado (utilizando la tecnologa que se considere
oportuna) tanto en los procesos de transmisin de la informacin por la red, como de
almacenamiento de datos, todo esto con el objetivo de garantizar la seguridad de la
informacin.
I2. Implementacin y actualizacin de soluciones tecnolgicas.
Cualquier cambio realizado sobre la infraestructura tecnolgica deber someterse a
un procedimiento de aprobacin previo y a una validacin integral de las implicaciones
del cambio ante el entorno.
Todo cambio realizado debe quedar registrado basado en un sistema de control de
cambios.
I3. Autorizacin de nuevos servicios en TIC.
Cualquier requerimiento en TIC debe ser canalizado por las unidades solicitantes a la
USTI utilizando un esquema jerrquico:
1. La unidad solicitar a la USTI el nuevo servicio que requiere. Esta solicitud
se debe hacer mediante nota dirigida al Jefe de la USTI.
2. El jefe de la USTI evaluar preliminarmente la solicitud y determinar si es
viable de realizar. En caso de que sea viable lo someter a consideracin
de la Comisin Ad Hoc coordinada por la Subcontralora, para que ah se
decida su elevacin al CGTIC de donde se emitir la recomendacin de
aprobacin o no de la solucin tecnolgica que ser comunicada a la
Unidad Solicitante.
3. Se excluyen del punto anterior soluciones que no impliquen mayores
recursos y que no requieran de un lder de proyecto asignado por el
Patrocinador.
I4. Acuerdos sobre condencialidad.
Se deben denir los criterios de privacidad respecto a la informacin institucional.
En este sentido es necesario establecer como parte del modelo de arquitectura de
informacin la identicacin de los datos, su nivel de criticidad y su nivel de privacidad.
Con base en el modelo se deben establecer por parte de la unidad de Recursos
Humanos los acuerdos de condencialidad y de no-divulgacin respecto a la utilizacin
de la informacin considerada como crtica.
Se deben contemplar los procedimientos para evaluar la vigencia de los acuerdos y
posibles cambios que deban considerarse en caso necesario.
J. Gestin de incidentes de la seguridad de la informacin.
J1. Manejo de los incidentes:
Se debe contar con una poltica claramente establecida respecto al manejo que se le
deba dar a los incidentes de seguridad presentados sobre la plataforma tecnolgica
de la CGR.
Los eventos de seguridad deben clasicarse segn su nivel de criticidad y el manejo
que se le d deber estar soportado por un sistema de informacin que permita apoyar
el tratamiento del evento, permitiendo registrar la informacin relativa al mismo.
Se deben tener denidos los procedimientos adecuados para la atencin de los
incidentes de seguridad, los cuales deben considerar:
La forma en que se debe atender el incidente.
El grupo de trabajo responsable de la atencin del incidente.
El acceso a informacin de localizacin de las personas responsables del
rea tcnica par atender el incidente. (internas y externas)
El uso de las bitcoras de informacin primaria para investigar.
La documentacin que se debe generar del incidente.
K. Continuidad del negocio.

K1. Manejo de la continuidad del negocio.
El manejo de cualquier incidente relacionado con la continuidad de los servicios
brindados por la CGR se debe tratar como una contingencia y debe ser canalizado segn
procedimientos claramente establecidos y accesibles por las personas responsables
de la operacin de los mismos.
Los planes de continuidad del negocio deben estar soportados por un sistema de
informacin que permita disponer, en forma eciente, de toda la informacin
relacionada con el tema de las contingencias.
ANEXO 1
El rol del CISO: Chief Information Security Ofcer
Tomado de Internet.
En la actualidad las empresas producen un 60% ms de informacin por ao y el
nmero de ataques a la misma se incrementa a pasos agigantados, sin embargo
en muchos casos se sigue sin implementar polticas acorde a este crecimiento.
Sin dudas, la informacin que genera una empresa es uno de los activos ms
importantes que esta posee. Tener control de las actividades que comprenden
uso y generacin de informacin requiere de polticas bien denidas en virtud de
garantizar disponibilidad, integridad y conabilidad de la misma as como contar con
una persona que pueda llevar a cabo la planicacin de las actividades necesarias
para lograr estos objetivos.
De acuerdo a la Encuesta Global 2007 de Seguridad & Privacidad de la consultora
Deloitte, el 80 % de los ataques que una organizacin recibe procede de errores humanos.
Al ranking de las brechas de seguridad lo lideran los ataques va e-mail con un 52%.
Luego ms abajo se encuentra las actividades vricas, un 40%, las actividades de
phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware
con 26% y la ingeniera social (17%). Es importante destacar que el informe menciona
que la efectividad de los ataques internos producidos por los propios empleados es de
un 39%.

El informe tambin menciona que ms empresas estn optando por tener entre sus las
el rol de CISO o Chief Information Security Ofcer. Si sumamos los datos enunciados
anteriormente, se puede comprender mucho mejor el porque de esta decisin ya que
viendo la seguridad de la informacin como proceso integral que comprende polticas,
procesos orientados al riesgo y enfocados al negocio de la empresa, se requiere que la
coordinacin, planicacin, organizacin y control de la informacin este en manos de
una persona encargada de velar por el cumplimiento de los objetivos de la organizacin
y que este rol tiene que estar en directa comunicacin con el Directorio para poder
realizar estas tareas.
Este rol que cumple el CISO tiene su actividad principal orientada a garantizar que
la informacin de la organizacin sea dedigna y accesible por los miembros de la
empresa que tengan que acceder a ella en base a sus objetivos. Para ello, tiene que
contar con la posibilidad de implementar las medidas de control que crea conveniente
as como coordinar actividades centrado en su misin.
Se pueden detallar las siguientes actividades que estarn bajo el control del CISO de
acuerdo a un revelamiento llevado a cabo entre las personas que estn ocupando
dichos cargos en latinoamrica durante el 1er CISOs Meeting 2005 y que estn
ordenadas por orden de criticidad.
1. concientizacin de usuarios internos y externos
2. anlisis de riesgos de negocio y tecnolgicos
3. business continuity plan
4. administracin de seguridad
5. control proactivo
6. monitoreo y reporting
7. anlisis de normativas y regulaciones
8. denicin de normativas internas
9. seguridad fsica de centros de cmputos
10. anlisis de contingencias legales, forensics
11. capacitacin / actualizacin permanente
12. gestin de mejoras en procesos
13. aplicacin de tecnologa para cumplir esquema disciplinario propuesto por
rr.hh.
14. administracin del rea
15. anlisis de riesgos en nuevas tecnologas
16. integracin con gestin de ti
17. interaccin con gerentes y usuarios diariamente
18. justicacin del presupuesto
19. soporte a terceros
20.
Durante mucho tiempo muchas de estas actividades estaban controladas
principalmente por el rea de sistemas (en el mejor de los casos), contando, en
ocasiones, con personal que tuviera conocimientos de seguridad informtica.

Las amenazas actuales as como la cantidad de informacin que se tiene que gestionar
ha aumentado tan drsticamente que requiere de una verdadera centralizacin de
las decisiones que garanticen lo mejor posible la proteccin de la informacin. Estas
decisiones principalmente polticas dentro de la organizacin no tendran que estar
supeditada a la disponibilidad de un rea que tiene mltiples actividades asociadas
como es el rea de sistemas.
Es importante entender que las actividades del CISO no son tcnicas totalmente y
tienen que ser comparadas con las actividades que puede desarrollar un CEO (Chief
Executive Ofcer) dentro de la empresa, pero orientada a la informacin de la misma.
Sus conocimientos si tienen que estar al alcance de comprender cuales son las
polticas y procesos necesarios para cumplir con sus tareas.
Como antes se menciono, su contacto con el Directorio es algo muy importante a n
de que la comunicacin sea directa y que se pueda contar con el apoyo necesario.
Este tipo de organizacin de actores est incluyndose actualmente como una de
las buenas prcticas de seguridad. De esta forma, el Directorio tambin podr estar
permanentemente informado de los riesgos que se estn incurriendo y as aplicar las
medidas adecuadas en caso de ser necesario.
El CISO podr contar, dependiendo de lo que entienda necesario, con un equipo a cargo de
hacer cumplir las polticas y/o tercerizar la partes tcnicas a empresas teniendo bajo su cargo
el cumplimiento de los objetivos que comprendan las implementaciones que se requieran.
Este tipo de relacin tiene virtudes muy importantes. Primeramente, la
organizacin contar con una persona que vele por la seguridad de la informacin
y segundo, reducir sus costos al tercerizar las actividades de implementacin
al tiempo que podr elegir los mejores actores para llevarlas a cabo.
Por el lado de la empresa que se haya contratado, esta contara con una persona
de contacto que tiene poder de decisin dentro de la organizacin as como la
informacin necesaria para poder realizar el trabajo en el menor tiempo posible y con
los mejores resultados dado que no perder recursos en tratar de dilucidar cuales son
los requerimientos.
Como se vio en la lista de tareas enunciadas anteriormente, otra de las reas que
estn a cargo del CISO son las referentes a la seguridad fsica (control de alarmas de
incendio o robo, guardias de seguridad, cmaras, etc) dado que no solo es a travs
de actividades lgicas que se puede comprometer la seguridad. Para ello podr contar
con herramientas que le permita en todo momento conocer el estado de las distintas
dependencias de la organizacin al tiempo que podr dirigir las actividades y recursos
fsicos de seguridad para lograr su objetivo.
A n de contar con toda la informacin requerida para cumplir con sus actividades,
se puede contar con la implementacin de herramientas como los tableros de control,
que permitirn tener una visualizacin general de las actividades y de los incidentes
reportados. Para poder mantener esta herramienta, es necesaria una concientizacin
del personal a n de que los mismos reporten las incidencias de seguridad. Por
supuesto, el personal tiene que poder ver el benecio de este tipo de reportes ya que
si no, solo se sentirn controlados lo que originara problemas internos al tiempo que
podra propender a tratar de saltar los controles instituidos.
Se podr observar que el rol del CISO es de extrema importancia en las decisiones
tomadas por el directorio y que su consulta se hace necesaria para poder cumplir
con los objetivos de la empresa al tiempo que se protegen sus activos. Siendo que
el directorio o la alta gerencia no necesariamente tiene que conocer los aspectos
fundamentales de la seguridad fsica y lgica, el contar con un actor como el CISO,
permitir concentrar sus esfuerzos en las actividades que permitan el crecimiento sin
comprometer a la seguridad de la organizacin por el simple desconocimiento.

Anexo - NTP11
Mapeo Elctrico
Anexo - NTP11
Mapeo Elctrico
Introduccin
En coordinacin con la Unidad de Servicios Generales se llevaron a cabo una serie
de actividades relaciones con energa elctrica, segn se identican en el siguiente
apartado, con el objetivo de aprovechar el conocimiento y la experiencia de su
personal para documentar los sistemas elctricos, sensores y alarmas relacionados
con la gestin de tecnologas de informacin; tomando como referencia la siguiente
normativa, como prctica lder:
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este documento se cumple con parte de la normativa de la CGR,
especcamente en lo que corresponde al punto 1.4, en los aspectos citados en el
siguiente apartado.
Requerimientos
Mapeo de conexiones elctricas
Documentacin clara de cada una de las conexiones elctricas que se encuentran
dentro del Centro de Cmputo, etiquetando tableros y los cables e identicndoles con
las fuentes de alimentacin elctrica correspondientes; as como de un mapeo de
cada conexin y su correspondiente fuente elctrica, con el propsito de conocer con
exactitud a qu est conectado cada uno de los equipos de tecnologa ubicados en el
rea de servidores del piso 10.
Distribucin de cargas por unidades de poder (UPS)
Identicar y documentar las cargas que est soportando cada una de las UPSs
que alimentan los equipos de tecnologas con el objetivo de asegurar una correcta
distribucin de las mismas, evitando que las fuentes de poder redundantes de
un equipo estn conectados a una misma UPS, y para evitar que una UPS est
sobrecargada con respecto a otra.
Procedimientos para resolver problemas elctricos
Como parte del plan de contingencias en Tecnologas de Informacin y Comunicaciones,
debemos tener documentados los procedimientos que se deben seguir para atender de
la mejor forma cualquier problema elctrico. Estos tienen que incluir los responsables
de su ejecucin, y las personas alternativas ante la ausencia del responsable principal,
sus nmeros de telfono o medios de localizacin, para incluirlos en un manual de
escalamiento.
Procedimientos de mantenimiento preventivo para el aire acondicionado
Tambin, se tienen que incluir en el plan de contingencias los procedimientos
documentados respecto al plan de mantenimiento preventivo y correctivo relacionado
con los aires acondicionados del Centro de Cmputo.
Lmparas de emergencia ante problemas elctricos
Se requiere contar con lmparas de emergencia que se activen automticamente dentro
del Centro de Cmputo cuando falle la corriente elctrica, para que los encargados de
tecnologas puedan desplazarse en forma segura en estas circunstancias.
.
Aseguramiento de los cuartos de comunicaciones
Segn el esquema de niveles de seguridad establecidos, los cuartos de
comunicaciones ubicados en los distintos pisos tanto del edicio principal como del
anexo tienen que estar asegurados e integrados al sistema de UPS.
Al igual que en el Centro de Cmputo, no se tiene que permitir el acceso directo del
pblico o funcionarios no autorizados a los equipos. Este aseguramiento debe ser fsico,
considerando el control de los mismos por parte de los funcionarios responsables de
los equipos.
Control de acceso
El control de acceso al piso 10 y a los cuartos de comunicacin tiene que estar
documentado, incluyendo los mecanismos en uso y los contactos en caso de fallas.
Extintores
El o los extintores en uso tienen que estar documentados, as como el protocolo de
uso y activacin, el tipo de elemento (gas u otro) utilizado para amortiguar o apagar
posibles conatos de incendio.
Alarmas
Documentar los parmetros de activacin de las alarmas por incendio, de sensores,
temperatura y otros en uso.
Actividades realizadas
En coordinacin con la Unidad de Gestin Administrativa se realizaron y calendarizarn
las actividades comentadas a continuacin.
1. Mapeo de conexiones elctricas
Se realiz una revisin de conexiones elctricas, logrando identicar los circuitos a los
cuales estn conectadas las regletas de cada uno de los equipos. Esto se muestra en
la gura No.1.
Se logr identicar que las cargas de los tableros A y B estn balanceadas, esto debido
a que la diferencia de las corrientes en cada fase de cada tablero de distribucin es
la normal.
Acciones correctivas
1. Cambio de posicin de dos interruptores que alimentan un equipo 220
voltios
2. Plazo de ejecucin: 15 de junio 2009
3. Reacomodo de la caja de interruptores A y B segn gura 2.
5. Etiquetar algunas salidas de toma corrientes con su respectivo interruptor
10-A-1
10-A-3
10-A-2
10-A-4
10-A-6
10-A-5
10-A-12
10-A-14
10-A-13
10-A-15
10-A-17
10-A-16
10-A-7
10-A-8
10- A-10
10-A-9
10-A-18
10-A-19
10-A-21
10-A-20
Tablero 10-A
3
10-B -1
10-B -1
10-B -3
10-B -2
10-B -4
10-B -6
10-B -5
10-B -9
10-B -11
10-B -10
10-B -12
10-B -14
10-B -13
10-B -7
10-B -8
10-B -10
10-B -9
10-B -15
10-B -16
Tablero 10-B
2
10-A-1
10-B -1
10-A-2
10-B-2
10-A-10
10-B-3
10-B-4
10-B-12 10-B -5 10-B-16 10-B-5
10-B -16 10-A-13 10-A-16
10-B -6 10-B-11
10-B-4
10-A-5
10-B -9
10-B-7
1
0
-
B
-
8
10-A-13
10-A-17
10-A-12
10-A-4
Ubicacin de s alidas elctricas
C uarto C mputo P is o 10
Fecha: 05-2009
10- A-11 10-A-22
Distribucin de salidas de c 1
Figura No.1 Distribucin de salidas de corriente segn interruptor correspondiente
10-A-1
Fase A
3, 7 amp
10-A-3
Fase C
5. 0 amp
10-A-2
Fase B
3. 6 amp
10-A-4
Fase A
0 amp
10-A-6
Fase C Fase A
2.2 amp 2. 4 amp
10-A-5
Fase B
0 amp
10-A-12
Fase A
0. 3 amp
10-A-14
Fase C
7. 0 amp
10-A-13
Fase B
1. 0 amp
10-A-15
Fase A
7. 0 amp
10-A-17
Fase C
0 amp
10-A-16
Fase B
0. 9 amp
10-A-7
Fase B
6. 0 amp
10-A-8
Fase C
0 amp
10-A-10
Fase B
LIBR E
10-A-9
Fase A
4. 0 amp
10-A-18
Fase A
2. 1 amp
10-A-19
Fase B
4. 7 amp
10-A-21
Fase A
0 amp
10-A-20
Fase C
2. 8 amp
Tablero 10-A
3
10-B -1
10-B -1
Fase A
3. 9 amp
10-B -3
Fase A
0. 3 amp
10-B -2
Fase B
4. 3 amp
10-B -4
Fase B
2. 3 amp
10-B -6
Fase B
4. 4 amp
10-B -5
Fase A
5. 4 amp
10-B -11
Fase B Fase A
3.5 amp 3. 8 amp
10-B -13
Fase A
2. 5 amp
10-B -12
Fase B
3. 7 amp
10-B -14
Fase B
6. 0 amp
10-B -16
Fase A
0. 4 amp
10-B -15
Fase A Fase B
2.4 amp 1. 6 amp
10-B -7
Fase A
2. 6 amp
10-B -8
Fase B
4. 2 amp
10-B -10
Fase B Fase A
3. 3 amp 3. 7 amp
10-B -9
Fase A
0. 4 amp
10-B -17
10-B -18
Tablero 10-B
2
10-A-11
Fase C
0. 5 amp
10-A-22
Fase B Fase C
5.1 amp 5. 5 amp
F ase A=20 amp
F ase B= 20 amp
F ase C= 23 amp
F ase A=29. 6 amp
F ase B= 27. 3 amp
Figura No.2 Ubicacin de los interruptores que alimentan las cargas de centro de cmputo
1. Procedimiento para resolver problemas elctricos
Se deni un esquema de deteccin y correccin de fallas elctricas en los sistemas
de cmputo para determinar el procedimiento a seguir en caso de ocurrencia de cada
una de las fallas principales. En la gura No.3 se muestra el esquema.
Figura No.3 Esquema de ocurrencia de fallas elctricas y su respectivo plan de accin
Procedimiento de mantenimiento preventivo para el aire
acondicionado
Plan de mantenimiento preventivo
Para los sistemas de aire acondicionado se realizan revisiones semanales y trimestrales,
las primeras son realizadas por el personal de la CGR y las semanales son realizadas
por una empresa subcontratada.
Las revisiones semanales incluyen lo siguiente:
VERIFICAR EL CORRECTO FUNCIONAMIENTO DE LAS UNIDADES DE AIRE
ACONDICIONADO DE USTI
ANOTAR TEMPERATURA DEL CUARTO DE CMPUTO (DIARIA)
MEDIR AMPERAJES DE COMPRESORES DE LOS DOS EQUIPOS PRINCIPALES
Mantenimiento correctivo
Hay un procedimiento de mantenimiento correctivo en caso de falla de los equipos:
Este proceso da inicio cuando se detecta una falla o el no funcionamiento de un
equipo de aire acondicionado en la institucin. Las formas de detectar una falla en el
sistema de airea condicionado son: a) La alarma ubicada en el puesto de ascensores
de seguridad se activa. B) Cualquier reporte de los funcionarios que laboran en la
Unidad de Servicios de Tecnologas e Informacin.
Se presentan dos vas por las cuales el/la usuario/a puede noticar la falla o el
no funcionamiento del equipo: a) llamando directamente a Mantenimiento b)
comunicando a la Unidad de Gestin Administrativa (UGA) el dao que presenta
en el equipo. En esta segunda opcin, la UGA comunica a Mantenimiento el reporte
recibido.
Si es un aire acondicionado ubicado en el piso 10, se da alta prioridad al requerimiento,
por encontrarse la Unidad de Sistemas y Tecnologa de Informacin en este piso y por
ende, los servidores de la institucin.
Si la alarma se diera en horario de ocinas el personal de seguridad procede a llamar
al centro de cmputo a la extensin 8134 para comunicarse con la persona que se
encuentre en el sitio. Si no contestara nadie, entonces llamar a USG o Mantenimiento.
Si la alarma se diera fuera de horario de ocinas, debe desplazarse al dcimo piso y
revisar cual es la temperatura del sensor ubicado en el cielo raso. Esta temperatura
debe estar entre 22C y 24C como mximo. Se debe anotar en bitcoras la temperatura
a la que se encontr el sensor.
Si la temperatura es superior a los 25C, revisar la unidad de aire acondicionado
principal est encendido. Esta debe de marcar la temperatura en la pantalla que se
ubica propiamente en la unidad. Si esta encendido entonces apagar con el control
esperar 15 segundos y volver a encender y esperar que la temperatura se ajuste al
valor permitido.
Si la unidad esta apagada apagar y encender como el en caso anterior. Si no enciende
la unidad se debe de se debe encender con el control la unidad de respaldo, (unidad
grande) y esperar que la temperatura se ajuste al valor permitido. Vericar que la
unidad este encendida. Esta debe de marcar la temperatura en la pantalla que se
ubica propiamente en la unidad. Si esta unidad no enciende entonces reportar a
Mantenimiento inmediatamente y abrir ventilas, puertas y colocar abanicos.
Si la temperatura no llega a su valor permitido en 15 minutos, se debe de se debe
encender con el control la unidad de respaldo, (unidad grande) y esperar que la
temperatura se ajuste al valor permitido. Vericar que la unidad este encendida. Esta
debe de marcar la temperatura en la pantalla que se ubica propiamente en la unidad.
Si esta unidad no enciende entonces reportar a Mantenimiento inmediatamente y
abrir ventilas, puertas y colocar abanicos.
Lmparas de emergencia ante problemas elctricos
Estas se estarn instalando en la siguiente fecha:
Plazo de ejecucin: 22 de junio 2009
Aseguramiento de los cuartos de telecomunicaciones
En estos momentos solamente 4 cuartos de telecomunicaciones que no se encuentran
totalmente cerrados, por los que se van a cerrar. Para esto se requiere colocar paneles
de madera y una puerta con llave para su aseguramiento.
Plazo de ejecucin: 30 de julio 2009
Sistema de extincin y alarmas
En estos momentos se cuenta con un sistema de deteccin de incendio activo. El
sistema de supresin se encuentra instalado pero inactivo ya que falta la capacitacin
del personal para su activacin. Esta capacitacin se tiene programada para la semana
del 01 al 05 de junio del 2009. Los procedimientos en caso de activacin de los
sistemas se tendrn para esa misma fecha.
Anexo - NTP12
Plan Continuo de Capacitacin
en TI
Anexo - NTP12
Plan Continuo de Capacitacin
en TI
Estudio para la elaboracin del plan de educacin continua en
tecnologas de informacin y comunicacin
Introduccin
El presente trabajo denominado Estudio para La Elaboracin del Plan De Educacin
Continua En Tecnologas De Informacin Y Comunicacin es un producto intermedio
del Proyecto Educacin Continua en Tecnologas de Informacin Y Comunicacin
(TICs) que a su vez forma parte de las iniciativas del Plan Estratgico de Tecnologas
de Informacin y Comunicacin (PETIC)
Para ubicar el estudio en el contexto que le dio creacin, a continuacin se citan
los resultados esperados del Proyecto de Educacin Continua en Tecnologas de
Informacin Y Comunicacin (TICs):
Personal capacitado y actualizado en el uso de las TICs para la gestin de
los procesos institucionales
Personal capacitado y actualizado para la gestin de TICs
Este Proyecto espera llegar a desarrollar un recurso humano entusiasta y dispuesto a
aprovechar las tecnologas de informacin y comunicacin que la CGR le facilita para
la ejecucin de su trabajo y por ello su objetivo principal es incrementar la capacidad
de todo el personal de la Contralora General de la Repblica en el tema de TICs..
Bajo ese enfoque el presente estudio pretende realizar un diagnstico de necesidades
de capacitacin en materia de TICs, que brinde los insumos sucientes para la
elaboracin del Plan de capacitacin continua que permita alcanzar los resultados del
proyecto.
Mediante la aplicacin de este Plan se espera disminuir sensiblemente la brecha
existente en las habilidades y destrezas requeridas para el mejor uso de las TICs, as
como mantener la competencia tcnica del personal dicha materia.
METODOLOGIA APLICADA EN EL ESTUDIO
Este estudio se realiz utilizando una serie de consultas por medio de instrumentos
como entrevistas, encuestas y algunos talleres de trabajo, asegurando la participacin
de la casi la totalidad de los funcionarios encuestados y adems la opinin funcionarios
expertos en el uso de las TICs y con un conocimiento amplio del quehacer de esta
Contralora General.
Luego de la aplicacin de los instrumentos, se procedi a la tabulacin de la informacin
recolectada, estandarizando las respuestas y manteniendo una clasicacin temtica
que permitiera una adecuada comprensin de los datos y una presentacin de
informacin relevante para seleccionar los temas que deben formar parte del Plan de
Capacitacin Continua en TICs.
Instrumentos aplicados
A continuacin se describen los principales instrumentos que se desarrollaron,
aplicaron y tabularon en el presente estudio:
Consulta sobre los Conocimientos, Destrezas y
Habilidades en materia de TICs
Se realiz una consulta a diferentes Unidades de la Contralora General de la Repblica
sobre los principales conocimientos, destrezas y habilidades que deben tener los
diferentes funcionarios que laboraran en la Institucin en materia de TICs.
A partir de dicha informacin se elaboraron y aplicaron diferentes instrumentos para
obtener la informacin necesaria para realizar un diagnstico de la situacin actual de
los funcionarios en cuanto a dichos temas.
Encuesta aplicada en la Divisin De Fiscalizacin Operativa Y
Evaluativa (DFOE)
Se aplic una encuesta en la DFOE, a todos los funcionarios de nivel de Fiscalizador,
Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar de Fiscalizador, donde se
obtuvo como resultado las necesidades de capacitacin requeridas en materia de
TICs, que son de tipo general. (Ver anexo 1).
Se obtuvo informacin sobre necesidades de capacitacin en TIC`s aplicables a
cualquier tipo de Fiscalizacin, as como para la Fiscalizacin de la Gestin y Control
de las TICs, esto principalmente por medio del Macroproyecto de Tecnologas de
Informacin y Comunicacin (Ver anexo 2). En este momento se encuentran asignados
21 funcionarios a dicho Macroproyecto, los cuales deben tener especial atencin en la
planicacin de la capacitacin relacionada con TICs (Ver anexo 3)
Parte de la encuesta consult sobre las competencias de los funcionarios, donde
se incluyeron algunas relacionadas con la utilizacin de TICs en las labores que les
corresponde ejecutar. (Ver anexo 4)
Encuesta aplicada en las Divisiones de Desarrollo Institucional (DDI),
Estrategia Institucional (DEI), Asesora y Gestin Jurdica (DAGJ) y en
Contratacin Administrativa (DCA)
Se aplic una encuesta en las Divisiones DDI, DEI, DAGJ Y DCA, a todos los funcionarios
de nivel de Fiscalizador, Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar
de Fiscalizador, donde se obtuvo como resultado las necesidades de capacitacin
requeridos en materia de TICs, tanto de nivel general como especco (Ver anexo 5).
Encuesta aplicada en la Unidad de Tecnologas de Informacin y
Comunicacin (USTI)
Por la naturaleza de las funciones que realiza la USTI, se realiz una encuesta
especca para los funcionarios de esta Unidad, ya que sus necesidades en materia
de capacitacin en TICs requieren conocimientos avanzados, orientados al desarrollo
de aplicaciones, gestin de bases de datos, soporte a usuarios, entre otras.
La encuesta se aplic a todos los funcionarios de la USTI, de los cuales se obtuvo la
informacin necesaria para determinar sus necesidades de capacitacin en materia
de TICs (Ver anexo 7).
Entrevista para determinacin de necesidades de capacitacin en
materia de TICs para los niveles de Jefatura de esta Contralora
General.
Para obtener informacin sobre las principales necesidades de las Jefaturas en materia
de TICs, se realiz una entrevista al Jefe de la USTI, quien desde su posicin de experto
en la materia y adems de homologo en sus labores de jefatura, nos dio sus valiosas
opiniones sobre lo consultado. Es meritorio sealar que se obtuvo informacin acorde
con el nivel de la poblacin meta y totalmente alineada con la Estrategia Institucional
(Ver anexo 9).
Entrevista para determinacin de necesidades de capacitacin en
materia de TICs para el nivel secretarial de esta Contralora General.
Se procedi a entrevistar a un selecto grupo de secretarias que por su nivel y
experiencia, como lo son las secretarias del Despacho, la Secretaria de Divisin de la
DFOE, de la Secretara Tcnica y de la USTI, las cuales poseen el expertiz necesario
para realizar aportes signicativos en relacin con las necesidades de sus colegas en
materia de TICs (Ver anexo 10)
ENTREVISTA-TALLER PARA DETERMINACIN DE NECESIDADES DE
CAPACITACIN EN MATERIA DE SISTEMAS DE INFORMACIN DE
LA CONTRALORA GENERAL DE LA REPBLICA
Para obtener informacin sobre las principales necesidades de los funcionarios en
materia de conocimiento y uso de los sistemas de informacin existentes en la Institucin,
se realiz una entrevista y a la vez un taller de trabajo con el coordinador de desarrollo
de sistemas de la USTI, quien desde su posicin de experto en la materia, nos dio
sus valiosas opiniones sobre lo consultado y conjuntamente con el entrevistador, se
realiz un trabajo de denicin de requerimientos de aprendizaje en esa materia (Ver
anexo 11). Al respecto, se determinaron los sistemas y las unidades que requieren
capacitacin tanto para efectos de registro como para efecto de consulta.
Coordinacin con el Proyecto de Maletn Electrnico
Se realizaron reuniones de coordinacin con los integrantes del proyecto de Maletn
Electrnico, para revisar los alcances de ambos proyectos y preveer que dichos
esfuerzos no se dupliquen, sino que por el contrario, se complementen. Cabe sealar
que un funcionario de la Unidad de Recursos Humanos, encargado de la planicacin
de la Capacitacin, est integrando actualmente ambos proyectos.
Anlisis de la Informacin recolectada
Se realiz un anlisis de la informacin recolectada mediante los instrumentos descritos
anteriormente, la cual consisti en comparar los conocimientos que requieren los
puestos en esta Contralora General de la Repblica, con los conocimientos que los
funcionarios perciben tener. De este anlisis se obtuvieron aquellos temas en que
mayormente se requiere aplicar actividades de aprendizaje para llevar a los funcionarios
al perl requerido.
Este listado de temas se sometieron al anlisis del criterio experto del Jefe de la USTI, a
partir del cual, se reclasicaron o conjuntaron algunos conocimientos que pertenecan
a un mismo tema, se eliminaron otros que ya estaban incluidos en otro tema y se
eliminaron algunos temas que ya deben estar superados debido a que se ha impartido
suciente capacitacin y adems se consideran como requisitos mnimos que los
funcionarios deben poseer.
Despus se aplic un criterio experto para aplicar una prioridad de 1 a 3 a todos los
temas, siendo 1 la mayor prioridad y 3 la menor, no obstante que todos los temas
incluidos en esta lista son los de mayor prioridad en la Institucin y por lo tanto deben
ser incluidos en el Plan de Capacitacin Continua en TICs.
En cuanto a la consulta sobre la aplicacin de las competencias relacionadas con
TI, se consult sobre tres comportamientos, uno correspondiente a la competencia
Liderazgo y dos sobre la competencia Innovacin.
Sobre la competencia Liderazgo, se consult sobre el comportamiento Toma
decisiones acertadas y consistentes apoyado en las TICs, y al respecto un 69%
acumula a los funcionarios que opinan que no aplican ese comportamiento o que lo
aplican en un nivel bajo y a un nivel medio. (Ver anexo 12)
Sobre la competencia Innovacin, se consult sobre dos comportamientos, Asimila
e incorpora fcilmente la aplicacin de nuevas TICs en los trabajos y Actualiza sus
conocimientos en temas de inters para la Institucin y en el uso de TICs, a los cual
respondieron, en el primer caso un 56% y en el segundo 62% de los funcionarios, que
no lo aplican, lo aplican a un nivel bajo y a nivel medio. (Ver anexo 12)
Con base en lo anterior, es importante rescatar que existe alto porcentaje de los
funcionarios encuestados que no aplican esos comportamientos o que los aplican
en forma baja o media. Esto muestra la existencia de una brecha u oportunidad
de desarrollo para subir el nivel de aplicacin y llevarlo a nivel alto, como es lo
esperado. En relacin con este punto, existen varias razones que propician que los
comportamientos en anlisis no se apliquen en un nivel alto, algunas veces se aduce
falta de conocimiento, dicultad para llevar a la prctica los conocimientos que poseen,
por falta de iniciativa y algunas veces se da que luego de la capacitacin, se le asignan
otros trabajos en los que no se presenta la oportunidad de aplicar lo aprendido en el
corto plazo lo que provoca algunas veces que los conocimientos se desactualicen o
se olviden. Sin embargo, por el momento, con el presente estudio, se espera que
se desarrolle un Plan de Capacitacin Continua en TICs que coadyuve al desarrollo
de los conocimientos en la materia, as como generar la motivacin suciente para
facilitar que los puedan llevar a la prctica en sus labores.
Como se mencion anteriormente, en el presente estudio tambin se investig y
coordin con el proyecto de Maletn Electrnico, el cual inici como un esfuerzo por
dotar de herramientas y conocimientos en materia de TICs a los funcionarios de la
DFOE. Por el alcance de los temas del Maletn, es necesario que el proyecto se
haga extensivo a todos los funcionarios de la Institucin. Al respecto, se puede
decir que los temas que est considerando el Maletn Electrnico, estn totalmente
comprendidos en el presente estudio, sin embargo, se han tomado las previsiones y
coordinacin necesarias para que ambos esfuerzos se complementen.
TEMAS DEL PLAN DE CAPACITACIN CONTINUA EN TECNOLOGAS DE
INFORMACIN
Luego del anlisis de la informacin que fue comentada en prrafos anteriores, como
resultado nal se presentan a continuacin los temas que forman parte del plan de
capacitacin continua en TICs para la Contralora General de la Repblica, los cuales
sern una gua para la planicacin e implementacin de los planes anuales de
capacitacin en dicha materia, del 2009 al 2012.
TEMAS PARA EL PLAN DE CAPACITACION
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
SOFTWARE APLICATIVO
Elaboracin de Presentaciones, manejo y edicin de
imgenes, fotografas, video y audio, cambio de formato
1 X X X
Manejo de Proyectos 2 X X
Software para la creacin de ujos de procesos 2 X
Cartografa 3 X
Estadstica 2 X
Mapas Mentales 3 X X
Manejo de GPS 3 X X
HERRAMIENTAS Y UTILITARIOS: el conocimiento para el uso
de este tipo de herramientas puede lograrse mediante la
utilizacin de guas virtuales
Investigacin en la Web, uso de buscadores, diccionarios y
traductores
3 X X
Reuniones virtuales y chat, mensajera unicada 3 X X X
Seguridad de la informacin, compresin y empaquetamiento
de archivos
2 X X X
CICLO DE CHARLAS SOBRE NORMATIVA, PLANEACIN,
MODELOS DE GESTIN Y CONTROL DE TICs
Normas tcnicas para gestin y control de TICs 1 X X
Plan Estratgico en Tecnologas de Informacin y
Comunicacin (PETIC)
1 X X
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
Plan Tctico (PETAC) 1 X X
Modelo de Arquitectura de Informacin (MAI) 1 X X
Proceso de valoracin del Riesgo (SEVRI y riesgos en TI) 1 X X
COSO (Committee of Sponsoring Organizations of the
Treadway Commission)
1 X X
COBIT (Control objectives for Information and related
Technology)
1 X X
ITIL (Information Technology Infrastructure Library) 1 X X
CONOCIMIENTOS GENERALES DE TI APLICABLES A
CUALQUIER TIPO DE FISCALIZACIN
Modelado de Datos 1 X
Extraccin y anlisis de datos con Excel 1 X X
Extraccin y anlisis de datos con ACL O IDEA 1 X
Pruebas de auditora sobre procesos de e informacin
electrnica y recopilacin de evidencia
1 X
CONOCIMIENTOS ESPECFICOS DE TICs APLICABLES
EN FISCALIZACION DE GESTION Y CONTROL DE LAS
TICs: Dirigido especcamente a los funcionarios del
Macroproyecto de TICs de la FOE, similar a la Maestra
sobre Auditora de TI de la UCR.
Conceptos fundamentales de auditora aplicables a la
scalizacin de TI
1 X
Proceso de auditora operativa y su aplicabilidad a la
evaluacin de la gestin y control de las TI
1 X
Modelos de gestin y control con TI 1 X
En qu consiste un sistema de gestin de calidad para los
procesos de TI (importancia de la emisin de polticas)
1 X
El proceso de valoracin de riesgos segn la normativa del
SEVRI y la vinculacin que tiene con ste la valoracin de
riesgos en TI.
1 X
Normas ISO 27001 e ISO 27002 y su aplicacin a la Gestin
de TI
1 X
Administracin de Proyectos (PMI y PMBoK) 1 X
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
Marco jurdico relacionado con las TI (Importancia y
seguimiento)
1 X
Planicacin estratgica de TI 1 X
Modelo de Arquitectura de Informacin y de infraestructura
tecnolgica
1 X
Desarrollo e implementacin de sistemas de informacin
(conceptos claves: o aplicaciones entiendo los siguientes
conceptos: teoras, etapas del CVDS, CMMi, Casos de uso,
capas, objetos, etc.
1 X
Administracin de la tercerizacin de TI 1 X
Plataforma Tecnolgica (Operaciones, Telecomunicaciones,
Seguridad, Base de Datos, otros)
1 X
Conceptos sobre administracin de datos 1 X
CICLO DE CHARLAS SOBRE LOS SISTEMAS
INSTITUCIONALES: Corresponde a charlas sobre todos los
sistemas Institucionales, como aprovecharlos al mximo,
utilizando la informacin
X X X X
CICLO DE CHARLAS SOBRE TI PARA LOS NIVELES DE
JEFATURA: Difundir todos los recursos que en materia de
TI posee la Institucin y como puede sacar provecho de
ellos
Modelo de Arquitectura de la Informacin (MAI) y su relacin
con los procesos Institucionales denidos en el MAGEFI
1 X
Infraestructura Tecnolgica (Redes, Telefona, Bases de
Datos, Seguridad, Servidores)
1 X
Metodologa de Gestin de Proyectos de TI 1 X
Herramientas de Software disponibles y su utilidad 1 X
Aprovechamiento de la Informacin para la toma de
decisiones
1 X
Rol del usuario en la Metodologa de Desarrollo de Sistemas 1 X
MAESTRAS
Maestra en Computacin del TEC 2 X
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
Maestra Profesional en Auditora de Tecnologas de la
Informacin
2 X
CERTIFICACIONES 1
Certied Information Systems Auditor (CISA) Certicacin
para auditores respaldada por la Asociacin ISACA
(Information Systems Audit and Control Association).
1 X
Certicacin en Gobierno de Tecnologas de la Informacin
en Empresas, Governance of Enterprise IT Certication
(CGEIT), creada por ISACA para apoyar las demandas
crecientes relacionadas con el gobierno de TI, promover
la buena prctica del mismo y reconocer profesionistas
talentosos en el rea
1 X
CISM (Certied Information Security Management) es
una certicacin para administradores de seguridad de la
informacin respaldada por la ISACA. Est enfocada en la
gerencia y dene los principales estndares de competencias
y desarrollo profesionales que un director de seguridad de
la informacin debe poseer, competencias necesarias para
dirigir, disear, revisar y asesorar un programa de seguridad
de la informacin.
1 X
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
Certicacin ISO/IEC 27000 son estndares de seguridad
publicados por la Organizacin Internacional para la
Estandarizacin (ISO) y la Comisin Electrotcnica
Internacional (IEC). La serie contiene las mejores prcticas
recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener Especicaciones para
los Sistemas de Gestin de la Seguridad de la Informacin
(SGSI).
1 X
Certicacin en La Biblioteca de Infraestructura de
Tecnologas de Informacin, ITIL (del ingls Information
Technology Infrastructure Library), es un marco de trabajo
de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin (TI). ITIL resume
un extenso conjunto de procedimientos de gestin ideados
para ayudar a las organizaciones a lograr calidad y eciencia
en las operaciones de TI.
1 X
Certicacin en Administracin de Proyectos (PMI) 2 X
Certicacin en Administracin de Bases de Datos ORACLE 2 X
Certicacin en Desarrollo bajo la herramienta ORACLE 1 X
Certicacin en Administracin de Servidores de Microsoft 1 X
Certicacin en redes para transmisin (Voz, datos, vdeo) 1 X
TEMAS ESPECFICOS PARA LA USTI
Casos Uso y Prueba (Metodologas) 1 X
XML / Webservises 1 X
JAVA / SQL/QUERY / HTML / XHTML / PHP / JAVA SCRIPT
/ CSS
1 X
ORACLE (Herramientas de Desarrollo/Bases de Datos) 1 X
Datawarehouse 1 X
Seguridad en TICs 1 X
Adm. de Redes 1 X
ATM Telefona 1 X
Sistemas operativo/soft Usuario Final 1 X
CONTINUA EN TICs
P
r
i
o
r
i
d
a
d
J
e
f
a
t
u
r
a
s
F
i
s
c
a
l
i
z
a
d
o
r
e
s
T
c
n
i
c
o
-
S
e
c
r
e
t
a
r
i
a
l
A
d
m
i
n
i
s
t
r
a
t
i
v
o
s
Adm. de Proyectos 2 X
Gestin de TICs 2 X
Gestin Calidad en TICs 2 X
Elementos de diseo de sitios Web 1 X
RECOMENDACIONES
A continuacin se exponen algunas sugerencias o recomendaciones que coadyuven a
fortalecer los efectos y alcances de los resultados este Plan de Capacitacin Continua
en TICs:
El presente Plan de Capacitacin Continua en TICs tiene una vigencia del 2009 al
2012, por lo que requiere de una implementacin paulatina en los diferentes planes
anuales de capacitacin, esto permitir que la inversin en tiempo de los participantes
y en el costo de los eventos quede prorrateada en los respectivos Planes Operativos y
Presupuestos Anuales de la Institucin.
Es recomendable la emisin de una poltica que promueva que se incluya en los
procedimientos de trabajo de la Institucin, la utilizacin intensiva las TICs y que la
supervisin de sus resultados asegure su buen uso, lo cual se pueda evidenciar en la
calidad y la oportunidad de los productos.
En la medida de lo posible, se recomienda que se realicen exmenes de ubicacin
antes de llevar los eventos, de forma que se pueda determinar el nivel de conocimiento
previo que tiene el participante, lo que brindar insumos para el instructor y tambin
permitir medir el nivel de aprendizaje logrado en el evento. En ese mismo sentido,
se recomienda que las actividades tengan mecanismos de evaluacin nal que
evidencien el conocimiento adquirido en el curso. De esta forma se podr sustentar
la aprobacin respectiva y se podr llevar un registro ms claro del nivel adquirido por
el participante.
Se deber hacer un uso intensivo de la plataforma tecnolgica existente para apoyar
los eventos de aprendizaje, a saber: la red institucional, el laboratorio de micros, el
campus virtual, entre otros), de forma que se potencie la efectividad y el alcance de
los eventos, as como la oportunidad de acceder a cursos no presenciales.
Se deber llevar un registro eciente de las actividades de aprendizaje recibidas por
los funcionarios, relacionadas con los temas del presente plan. Esto permitir llevar
el pulso del avance del proyecto y brindar informacin sobre los conocimientos
individuales de los participantes, lo cual podr ser utilizado para la toma de decisiones.
La evaluacin del desempeo debe incorporar informacin sobre la aplicacin de la
tecnologa en los trabajos y la disposicin a utilizarla por parte del funcionario de la
Contralora General de la Repblica y evidenciar las brechas que tiene con respecto
al perl del puesto. Asimismo, en cada evaluacin se deber proponer un plan de
accin para disminuir las brechas sealadas en el punto anterior, el cual ser un
insumo para la planicacin de las actividades de aprendizaje.
Se debern revisar los perles de puestos, para asegurar que contienen los
conocimientos necesarios en materia de TICs, de forma que se complementen
con las competencias que sobre sta materia han sido emitidos por la Unidad de
Recursos Humanos. Esto impulsar con mayor claridad, la bsqueda del desarrollo
de los funcionarios para dotarlos de los conocimientos, habilidades y destrezas que
los faculten para el ejercicio ecaz y eciente de las funciones que les corresponde
ejecutar en este rgano Contralor.
Se debe procurar la inclusin en los Planes Operativos Anuales de las diferentes
Unidades de la Institucin, el tiempo correspondiente a las actividades de aprendizaje
en materia de TICs, tanto para los funcionarios participantes como para aquellos
que funjan como profesores, facilitadores o expertos de contenido, para lo cual se
deber coordinar el respectivo apoyo institucional. Esto ayudar a solventar
las limitaciones presupuestarias actuales y adems permitir que los eventos sean
muy enfocados a las necesidades de la Contralora, dado el conocimiento que los
instructores tienen sobre la Institucin
Se deber gestionar la incorporacin de los recursos econmicos necesarios para
apoyar las actividades de aprendizaje del presente Plan de Capacitacin, para solventar
aquellas que deban ser contratadas externamente.
ANEXOS
ANEXO 1
Porcentaje de aplicacin de conocimientos de tipo general en materia
de TICs
Encuesta aplicada en la DFOE
R E S UME N DE R E S PUE S TAS Ninguno B ajo Ning y B ajo Medio Ning-B ajo-Medio
S oftware para proces amiento de palabras 3, 5% 5, 9% 9, 4% 27, 3% 36, 7%
S oftware para manejo de hojas electrnicas 4, 2% 14, 0% 18, 2% 41, 3% 59, 4%
S oftware para pres entaciones de diapos itivas 4, 5% 14, 3% 18, 9% 37, 4% 56, 3%
S oftware para la creacin de es quemas o mapas conceptuales 36, 7% 29, 0% 65, 7% 21, 7% 87, 4%
S oftware para creacin de bas es de datos 48, 3% 30, 4% 78, 7% 15, 0% 93, 7%
S oftware para la creacin de flujos de proces os 46, 9% 29, 0% 75, 9% 17, 5% 93, 4%
S oftware para la compres in de archivos 43, 0% 23, 1% 66, 1% 17, 1% 83, 2%
S oftware y equipo para res paldo de informacin (quemado de
datos ) 23, 4% 27, 6% 51, 0% 24, 5% 75, 5%
S oftware y equipo para es caneo de imgenes y texto 26, 9% 27, 6% 54, 5% 22, 7% 77, 3%
S oftware y equipo para la grabacin y edicin de audio 35, 0% 29, 0% 64, 0% 18, 9% 82, 9%
S oftware y equipo para tomar y editar fotografas 29, 4% 28, 3% 57, 7% 22, 4% 80, 1%
S oftware y equipo para grabacin y edicin de video 43, 4% 24, 8% 68, 2% 19, 9% 88, 1%
S oftware de correo electrnico 5, 9% 11, 2% 17, 1% 31, 8% 49, 0%
S oftware y equipo para la remis in de fax 21, 3% 22, 0% 43, 4% 27, 6% 71, 0%
Inves tigacin en Internet 4, 2% 11, 2% 15, 4% 30, 4% 45, 8%
S is tema ins titucional para control de trabajo (S IGYD) 1, 4% 9, 8% 11, 2% 34, 6% 45, 8%
S is tema ins titucional Mdulo de toma de decis iones (MTD) 2, 1% 6, 6% 8, 7% 35, 3% 44, 1%
S is tema ins titucional para s eguimiento de dis pos iciones 30, 4% 31, 8% 62, 2% 25, 2% 87, 4%
S is tema ins titucional para la actividad contractual de la
adminis tracin pblica (S IAC) 26, 2% 45, 5% 71, 7% 21, 0% 92, 7%
S is tema ins titucional de pres upues tos pblicos de la
adminis tracin pblica (S IPP) 30, 1% 32, 5% 62, 6% 20, 6% 83, 2%
S is tema ins titucional de normativa para la fis calizacin 9, 1% 24, 5% 33, 6% 40, 9% 74, 5%
S is tema ins titucional de archivo digital (S AD) 25, 9% 29, 0% 54, 9% 26, 6% 81, 5%
S is tema ins titucional para la recepcin de Declaraciones
J uradas 50, 3% 28, 7% 79, 0% 10, 8% 89, 9%
ANEXO 2
Resumen de Conocimientos Generales de TICs aplicables a cualquier
scalizacin y Especcos para la Fiscalizacin de la Gestin y Control
de las TICs.
Encuesta aplicada en la Divisin DFOE
S No S No
CONOCIMIE NTOS GE NE R ALE S DE TI APLICAB LE S A CUALQUIE R TIPO
DE FIS CALIZACIN
20,7% 79,3%
1. T engo conocimientos sobr e modelado de datos y como par te de ello
conozco, entiendo y se aplicar los conceptos de:
28,5% 71,5%
2. Puedo manej ar las opciones bsicas de her r amientas par a la extr accin y
anlisis de datos; entr e ellas:
18,1% 81,9%
3. E n cuanto a la ej ecucin de pr uebas de auditor a sobr e pr ocesos e
infor macin electr nica y la r ecopilacin de este tipo de evidencia, conozco
aspectos bsicos sobr e:
19,2% 80,8%
CONOCIMIE NTOS E S PE CFICOS DE TI APLICAB LE S E N
FIS CALIZACION DE GE S TION Y CONTR OL DE LAS TI
33,5% 66,5%
4. Cuento con conocimientos bsicos sobr e conceptos fundamentales de
auditor a aplicables a la fiscalizacin de T I
60,4% 39,6%
5. Conozco modelos de gestin y contr ol con T I :
14,8% 85,2%
6. Conozco la impor tancia y puedo poner ej emplos de polticas que una entidad
debe implementar en mater ia de T I .
34,6% 65,4%
7. Puedo descr ibir , en for ma gener al, en qu consiste un sistema de gestin de
calidad par a los pr ocesos de T I .
25,5% 74,5%
8. Conozco el pr oceso de valor acin de r iesgos segn la nor mativa del SE VR I y
la vinculacin que tiene con ste la valor acin de r iesgos en T I .
23,4% 76,6%
9. Con r especto a las nor mas I SO 27001 e I SO 27002, conozco a lo que se
r efier en los siguientes conceptos:
16,3% 83,7%
10. R especto a la administr acin de pr oyectos entiendo los siguientes conceptos:
42,7% 57,3%
11. E ntiendo la impor tancia de que la or ganizacin cuente con un pr oceso de
seguimiento del mar co j ur dico que afecta la gestin de las T I .
71,0% 29,0%
12. Sobr e el mar co j ur dico r elacionado con las T I conozco, en tr minos
gener ales, lo sealado por la siguiente nor mativa r especto a dicha mater ia:
49,0% 51,0%
13. Sobr e la planificacin estr atgica de T I conozco:
21,5% 78,5%
14. Se qu es un MAI y entiendo la impor tancia de que toda or ganizacin cuente
con su modelo de infor macin actualizado.
18,2% 81,8%
15. E ntiendo la impor tancia de que las or ganizaciones cuenten con una
descr ipcin gr fica de su infr aestr uctur a tecnolgica.
58,0% 42,0%
16. Conozco la r azn por la cual tanto el modelo de infor macin como de
infr aestr uctur a tecnolgica constituyen insumos de la planificacin de las T I .
39,2% 60,8%
17. E ntiendo el concepto de independencia cuando este se aplica a la funcin de
T I con r especto al r esto de la or ganizacin.
40,2% 59,8%
18. Cundo se habla del desar r ollo o de la implementacin de sistemas de
infor macin o aplicaciones entiendo los siguientes conceptos:
19,5% 80,5%
19. E ntiendo la impor tancia de establecer contr oles cuando se contr ata a ter cer os
par a implementar sistemas en la or ganizacin.
77,6% 22,4%
20. Con r especto a lo anter ior , entiendo la impor tancia de:
63,5% 36,5%
21. Conozco los siguientes conceptos r elacionados con platafor ma tecnolgica:
33,1% 66,9%
22. Sobr e la administr acin de datos entiendo a lo que se r efier en los siguientes
conceptos:
37,4% 62,6%
23. E ntiendo la aplicacin de her r amientas como el BSC en la evaluacin del
desempeo.
10,1% 89,9%
ANEXO 3
MACROPROYECTO DE FISCALIZACIN DE LA GESTIN DE LAS TICS
FUNCIONARIO PARTICIPANTES POR REA DE FISCALIZACIN
MACR OPR OY E CT O DE FI SCAL I ZACI N DE L A GE ST I N DE L AS T I Cs
FUNCI ONAR I OS PAR T I CI PANT E S POR R E A DE FI SCAL I ZACI N
rea / Funcionario Ins titucin Fis calizada
S is tema Adminis tracin Financiera
Oscar Phillips Murillo Ministerio de Hacienda
Guido Chavarra Naranjo
S ervicios S ociales
Max Oguilve Prez
Caja Costarricense de S eguro S ocial (C. C. S . S . ) y Patronato
Nacional de la Infancia (P. A. N. I. )
Gustavo Camacho Chaves
S onia Vega S ols
S ervicios Municipales
Mainor Lorenzo Lpez IFAM (FOMUDE )
Luis Fuentes Gamboa
Luis Fdo. Caldern S nchez
Pblicos Generales
Mario Prez Fonseca R egistro Nacional
Teresita Araya Brenes
Natalia R omero Lpez
R eynaldo R ivera Vargas Poder J udicial
Miguel Prez Montero
Obra Pblica y Trans porte
R onald R amrez Marn
Ministerio de Obras Pblicas y Transportes (MOPT) y
Consejo de S eguridad Vial (COS E VI)
S hirley S egura Corrales
S ervicios E conmicos
J orge Zamora S alguero R efinadora Costarricense de Petrleo (R E COPE )
Luis Fernndez E lizondo
Ileana Fernndez Cordero
William Harbottle Quirs Instituto Nacional de S eguros (I. N. S . )
Patricia Barrientos Barrientos
J enny Mora Lpez
ANEXO 4
Nivel de aplicacin del comportamiento o competencia
Encuesta aplicada en la DFOE
COMPE TE NCIA COMPOR TAMIE NTO NA B ajo NA-B ajo Medio NA-B ajo-Medio
Capacidad de Abs traccin 2, 4% 13, 6% 16, 1% 54, 9% 71, 0%
Pericia en el manejo de informacin 2, 4% 15, 4% 17, 8% 50, 7% 68, 5%
Propone curs os de accin en fn del ries go 6, 3% 12, 6% 18, 9% 51, 0% 69, 9%
Fis calizacin de Calidad, promueve y ens ea 15, 7% 17, 5% 33, 2% 38, 8% 72, 0%
Autonoma y res pons abilidad para alcanzar metas 23, 1% 11, 9% 35, 0% 36, 4% 71, 3%
Toma decis iones acertadas y cons is tentes apoyado en las
TIC's 12, 9% 8, 7% 21, 7% 46, 2% 67, 8%
S eguridad para proponer y defender ideas 4, 5% 7, 7% 12, 2% 40, 9% 53, 1%
Comunicacin es crita coherente, clara y precis a 1, 7% 7, 0% 8, 7% 52, 8% 61, 5%
Comunicacin oral de manera clara, as ertiva, oportuna y
efectiva 1, 7% 11, 5% 13, 3% 50, 7% 64, 0%
Comunica oportunamente as untos s ignificativos a s us
s uperiores y al equipo 3, 1% 5, 9% 9, 1% 44, 8% 53, 8%
S abe es cuchar y s e interes a autnticamente en es timular a
los compaeros 4, 5% 4, 2% 8, 7% 37, 4% 46, 2%
Interacta as ertivamente con s uperiores , equipo de trabajo y
con clientes 3, 1% 3, 1% 6, 3% 37, 8% 44, 1%
E s tablece y mantiene relaciones exitos as al interno y fuera
de la CGR 1, 7% 3, 8% 5, 6% 29, 7% 35, 3%
Trabaja de manera eficiente en equipos multidis ciplinarios y
tiene flexibilidad 5, 9% 5, 9% 11, 9% 34, 6% 46, 5%
B rinda apoyo a s uperiores y como miembro del equipo tiene
un nivel de trabajo elevado 4, 9% 2, 8% 7, 7% 35, 0% 42, 7%
Planifica y determina en forma realis ta los recurs os y el
tiempo neces arios 9, 8% 6, 6% 16, 4% 49, 0% 65, 4%
R ealiza una adecuada as ignacin del trabajo entre los
miembros del equipo 27, 6% 5, 2% 32, 9% 35, 3% 68, 2%
R es peta y cumple los plazos de ejecucin es tablecidos 3, 5% 6, 3% 9, 8% 47, 9% 57, 7%
S e organiza adecuadamente para atender con calidad y
prontitud las diferentes labores as ignadas 2, 4% 2, 4% 4, 9% 38, 5% 43, 4%
Habilidad para trabajar con autonoma e imparcialidad 1, 7% 3, 1% 4, 9% 30, 4% 35, 3%
L ogra que s u produccin y la del equipo tenga orden,
calidad, precis in y riguros idad 11, 2% 4, 2% 15, 4% 34, 6% 50, 0%
As imila e incorpora fcilmente la aplicacin de nuevas TIC's
en los trabajos 4, 9% 9, 1% 14, 0% 47, 2% 61, 2%
Actualiza s us conocimientos en temas de inters para la
Ins titucin y en el us o de TIC's 3, 1% 13, 6% 16, 8% 49, 3% 66, 1%
Mantiene un buen des empeo an en s ituaciones de mucha
pres in 1, 7% 5, 2% 7, 0% 46, 5% 53, 5%
R econoce fortalezas , identifica s us errores y limitaciones y
toma acciones para mejorar 1, 7% 3, 5% 5, 2% 34, 3% 39, 5%
COMUNICACIN
TR AB AJ O E N
E QUIP0
PE NS AMIE NTO
S IS T MICO
L IDE R AZGO
AUTOCONTR OL
INNOVACIN
ADMINIS TR ACION
DE R E CUR S OS Y
TIE MPO
L OGR O DE
R E S UL TADOS
S obre TI
S obre TI
S obre TI
ANEXO 5
Grado de Conocimientos sobre TICs
Encuesta Aplicada en DDI, DEI, DAGJ y en DCA
II PAR TE S obre el manejo de s oftware ins titucional B s ico
Las res pues tas indican el grado de conocimiento en el tema cons ultado
Acumulado Acumulado
Textos electrnicos 1, 6% 6, 3% 7, 9% 34, 9% 42, 9%
Hoja de Clculo 11, 1% 22, 2% 33, 3% 44, 4% 77, 8%
Pres entaciones 9, 5% 26, 2% 35, 7% 34, 9% 70, 6%
Manejo de imgenes 16, 7% 25, 4% 42, 1% 34, 1% 76, 2%
Manejo de video 45, 2% 27, 8% 73, 0% 20, 6% 93, 7%
Manejo de Audio 51, 6% 29, 4% 81, 0% 12, 7% 93, 7%
Cronogramas 43, 7% 27, 0% 70, 6% 20, 6% 91, 3%
S eguridad de la informacin
29, 4% 35, 7% 65, 1% 20, 6% 85, 7%
II PAR TE S obre el manejo de s oftware ins titucional E s pecializado
Acumulado Acumulado
Cartografa
72, 2% 25, 4% 97, 6% 2, 4% 100, 0%
E s tads tica
61, 1% 27, 0% 88, 1% 10, 3% 98, 4%
Mapas Mentales
43, 7% 33, 3% 77, 0% 15, 1% 92, 1%
E xtraccin y Anlis is de datos
46, 8% 29, 4% 76, 2% 19, 0% 95, 2%
Manejo de GPS
79, 4% 15, 9% 95, 2% 4, 8% 100, 0%
ANEXO 5 (Continuacin)
R E S UME N DE R E S PUE S TAS S No Total S No Total
Apoyo en labores de Oficina 122 4 126 96, 8% 3, 2% 100, 0%
Inves tigacin en la Web, us o de
bus cadores , diccionarios y
traductores 119 7 126 94, 4% 5, 6% 100, 0%
R euniones virtuales y chat,
mens ajera unificada 81 45 126 64, 3% 35, 7% 100, 0%
Digitalizacin de documentos 68 58 126 54, 0% 46, 0% 100, 0%
Us o de reconocimiento ptico de
caracteres 46 80 126 36, 5% 63, 5% 100, 0%
Acces o a s is temas de informacin
CGR 105 21 126 83, 3% 16, 7% 100, 0%
Cons ulta de bas es de datos o de
conocimiento 104 22 126 82, 5% 17, 5% 100, 0%
Compres in y empaquetamiento de
archivos
66 60 126 52, 4% 47, 6% 100, 0%
II PAR TE S obre herramientas web, cons ultas electrnicas , utilizacin de
E quipo de cmputo, unidades perifricas y otros equipos de oficina.
R E S UME N DE R E S PUE S TAS S No Total S No Total
Normas tcnicas para ges tin y
control de TIC's 42 84 126 33, 3% 66, 7% 100, 0%
PE TIC 30 96 126 23, 8% 76, 2% 100, 0%
PTAC 26 100 126 20, 6% 79, 4% 100, 0%
MAI (Modelo de Arquitectura de
Informacin) 15 111 126 11, 9% 88, 1% 100, 0%
Proces o de valoracin del R ies go
(S E VR I y ries gos en TI) 47 79 126 37, 3% 62, 7% 100, 0%
COS O (Committee of S pons oring
Organizations of the Treadway
Commis s ion) 21 105 126 16, 7% 83, 3% 100, 0%
COB IT (Control objectives for
Information and related
Technology) 16 110 126 12, 7% 87, 3% 100, 0%
ITIL (Information Technology
Infras tructure L ibrary)
9 117 126 7, 1% 92, 9% 100, 0%
II PAR TE S obre nomativa, planeacin, modelos de ges tin y control
relacionados con las TIC's (Nacionales e Internacionales )
ANEXO 6
Acumulado Acumulado
COMPE TE NCIA COMPOR TAMIE NTO NA B ajo NA y B ajo Medio NA-B ajo-Medio
Da orientacin y es tablece prioridades 72, 2% 1, 6% 73, 8% 8, 7% 82, 5%
TIC's 19, 0% 13, 5% 32, 5% 37, 3% 69, 8%
efectiva 1, 6% 7, 1% 8, 7% 42, 9% 51, 6%
S olicita oportunamente la ayuda o el as es oramiento de la
pers ona apropiada 1, 6% 2, 4% 4, 0% 20, 6% 24, 6%
los compaeros 4, 0% 2, 4% 6, 3% 29, 4% 35, 7%
Interacta as ertivamente con s uperiores , equipo de trabajo
y con clientes 1, 6% 4, 0% 5, 6% 29, 4% 34, 9%
de la CGR 2, 4% 1, 6% 4, 0% 26, 2% 30, 2%
Trabaja de manera eficiente en equipos multidis ciplinarios
y tiene flexibilidad 5, 6% 2, 4% 7, 9% 21, 4% 29, 4%
B rinda apoyo a s uperiores y como miembro del equipo
tiene un nivel de trabajo elevado 3, 2% 2, 4% 5, 6% 22, 2% 27, 8%
As imila e incorpora fcilmente la aplicacin de nuevas
TIC's en los trabajos 4, 8% 8, 7% 13, 5% 34, 9% 48, 4%
Mantiene un buen des empeo an en s ituaciones de
mucha pres in 2, 4% 2, 4% 4, 8% 28, 6% 33, 3%
AUTOCONTR OL
TR AB AJ O E N
E QUIP0
ADMINIS TR ACION
DE R E CUR S OS Y
TIE MPO
PE NS AMIE NTO
S IS T MICO
L IDE R AZGO
L OGR O DE
R E S UL TADOS
INNOVACIN
COMUNICACIN
S obre TI
S obre TI
S obre TI
ANEXO 7
Encuesta Aplicada en USTI
II PAR TE INFOR MACIN E S PE CFICA S OB R E CONOCIMIE NTOS E N TIC's
Cas os Us o y Prueba 30, 0% 35, 0% 65, 0% 15, 0% 80, 0%
PHP 65, 0% 10, 0% 75, 0% 15, 0% 90, 0%
J AVA 35, 0% 45, 0% 80, 0% 15, 0% 95, 0%
OR ACL E 20, 0% 5, 0% 25, 0% 20, 0% 45, 0%
Adm B as es de Datos 25, 0% 10, 0% 35, 0% 45, 0% 80, 0%
S eguridad en TIC's 15, 0% 35, 0% 50, 0% 40, 0% 90, 0%
Adm de R edes 20, 0% 40, 0% 60, 0% 40, 0% 100, 0%
E n R UP 65, 0% 25, 0% 90, 0% 10, 0% 100, 0%
Adm Telefona 60, 0% 35, 0% 95, 0% 5, 0% 100, 0%
S oft Us uario Final 5, 0% 10, 0% 15, 0% 50, 0% 65, 0%
Adm de Correo 40, 0% 20, 0% 60, 0% 25, 0% 85, 0%
Adm de Proyectos 15, 0% 15, 0% 30, 0% 55, 0% 85, 0%
Ges tin de TIC's 0, 0% 50, 0% 50, 0% 40, 0% 90, 0%
Ges tin Calidad en TIC's
5, 0% 45, 0% 50, 0% 40, 0% 90, 0%
ANEXO 8
COMPE TE NCIA COMPOR TAMIE NTO NA B ajo NA y B ajo Medio NA-B ajo-Medio
Da orientacin y es tablece prioridades 60, 0% 5, 0% 65, 0% 20, 0% 85, 0%
TIC's 10, 0% 0, 0% 10, 0% 65, 0% 75, 0%
efectiva 0, 0% 5, 0% 5, 0% 50, 0% 55, 0%
S olicita oportunamente la ayuda o el as es oramiento de la
pers ona apropiada 0, 0% 0, 0% 0, 0% 25, 0% 25, 0%
los compaeros 0, 0% 5, 0% 5, 0% 40, 0% 45, 0%
Interacta as ertivamente con s uperiores , equipo de trabajo
y con clientes 0, 0% 0, 0% 0, 0% 45, 0% 45, 0%
de la CGR 0, 0% 0, 0% 0, 0% 40, 0% 40, 0%
Trabaja de manera eficiente en equipos multidis ciplinarios
y tiene flexibilidad 10, 0% 0, 0% 10, 0% 35, 0% 45, 0%
B rinda apoyo a s uperiores y como miembro del equipo
tiene un nivel de trabajo elevado 0, 0% 0, 0% 0, 0% 30, 0% 30, 0%
As imila e incorpora fcilmente la aplicacin de nuevas
TIC's en los trabajos 0, 0% 0, 0% 0, 0% 30, 0% 30, 0%
Mantiene un buen des empeo an en s ituaciones de
mucha pres in 0, 0% 0, 0% 0, 0% 30, 0% 30, 0%
COMUNICACIN
TR AB AJ O E N
E QUIP0
PE NS AMIE NTO
S IS T MICO
L IDE R AZGO
INNOVACIN
AUTOCONTR OL
ADMINIS TR ACION
DE R E CUR S OS Y
TIE MPO
L OGR O DE
R E S UL TADOS
S obre TI
S obre TI
S obre TI
ANEXO 9
Conocimientos que deben tener las Jefaturas sobre las TICs
Segn entrevista realizada a la Jefatura de USTI
Modelo de Arquitectura de la Informacin (MAI) y su relacin con los procesos
Institucionales definidos en el MAGEFI
Infraestructura Tecnolgica (Redes, Telefona, Bases de Datos, Seguridad,
Servidores)
Metodologa de Gestin de Proyectos de TI
Herramientas de Software disponibles y su utilidad
Aprovechamiento de la Informacin para la toma de decisiones (que se tiene y
como le puedo sacar provecho):
Los sistemas existentes
Los sistemas por hacer
Uso de la informacin disponible en la Web
Rol del usuario en la Metodologa de Desarrollo de Sistemas
Uso del Software Institucional Bsico (a nivel bsico o intermedio)
Excel
Word
Power Point
Project
ANEXO 10
Conocimientos que deben tener las Secretarias en materia de TICs
Segn entrevista realizada a las secretarias del Despacho, la secretaria
de Divisin de la DFOE, de la Secretara Tcnica y de la USTI
Manejo electrnico de textos
Apoyo en labores de oficina
Necesidades de digitalizacin (paso a formato
electrnico) de documentos
Manejo de presentaciones ejecutivas.
Consulta de bases de datos o de conocimiento.
Acceso a sistemas de informacin
Manejo de hojas de clculo.
Manejo de imgenes
Manejo de videos.
Manejo de audio.
Manejo de archivos.
Manejo de la seguridad de la informacin.
Uso intensivo del correo, eliminar notas, compartir
agenda
PDF
Open Office
S IS TE MAS
S IAC
NOR MATIVA
S IS TE MA INFOR MACIN LE GIS LATIVO
E XPE DIE NTE DIGITAL
COMPR AS
COMPE NDIOS
S IGYD
S istemas de claves
Configuracin e instalacin de impresoras
S istemas para funcionarios
Documentacin y S ervicios de la Web
ANEXO 11
Conocimientos sobre los Sistemas de la CGR
Segn entrevista realizada al coordinador de desarrollo de sistemas de
la USTI
D
I
V
I
S
I
O
N
E
S
U
n
i
d
a
d
e
s

F
u
n
c
i
o
n
a
l
e
s

C

=

C
O
N
S
U
L
T
A
R
=

R
E
G
I
S
T
R
O
N
=

N
o

r
e
q
u
i
e
r
e
n

C
a
p
a
c
.
R
e
g
i s
t
r
o

d
e

l a

A
c
t
i v
i d
a
d

C
o
n
t
r
a
c
t
u
a
l
I
n
f
o
r
m
e
s

d
e

l a

A
c
t
i v
i d
a
d

C
o
n
t
r
a
c
t
u
a
l
P
r
e
s
u
p
u
e
s
t
o
s

P
b
l i c
o
s
I
n
f
o
r
m
e
s

s
o
b
r
e

P
r
e
s
u
p
u
e
s
t
o
s

P
b
l i c
o
s
R
e
g
i s
t
r
o

d
e

S
a
n
c
i o
n
a
d
o
s
N
o
r
m
a
t
i v
a

p
a
r
a

f
i s
c
a
l i z
a
c
i
n

(
n
d
i c
e

G
a
c
e
t
a
r
i o
)
G
e
s
t
i
n

y

D
o
c
u
m
e
n
t
o
s

S
I
G
Y
D

T
o
m
a

d
e

d
e
c
i s
i o
n
e
s

-

M
T
D
P
o
r
t
a
l
d
e

S
e
r
v
i c
i o
s
A
d
q
u
i s
i c
i
n

d
e

B
i e
n
e
s

y

S
e
r
v
i c
i o
s
A
c
t
i v
o
s

F
i j o
s
T
r
m
i t
e

d
e

V
i
t
i c
o
s
T
r
m
i t
e
s

A
d
m
i n
i s
t
r
a
t
i v
o
s
E
l a
b
o
r
a
c
i
n

d
e

e
n
c
u
e
s
t
a
s
P
r
i
o
r
.
A
A
A
A
A
A
C
C
A
C
C
B
C
B
S
e
c
r
e
t
a
r
a

T
c
n
i
c
a
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

d
e

A
d
m
i
n
i
s
t
r
a
c
i
n

F
i
n
a
n
c
i
e
r
a
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

M
u
n
i
c
i
p
a
l
e
s
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

E
c
o
n
m
i
c
o
s

p
a
r
a

e
l

D
e
s
a
r
r
o
l
l
o
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

d
e

O
b
r
a

P
b
l
i
c
a
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

P
b
l
i
c
o
s

G
e
n
e
r
a
l
e
s

A
m
b
i
e
n
t
a
l
e
s

y

A
g
r
o
p
.
C
C
C
C
C
C
R
R
C
R
R
R
R
R
D
e
n
u
n
c
i
a
s

y

D
e
c
l
a
r
a
c
i
o
n
e
s

J
u
r
a
d
a
s
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
g
u
i
m
i
e
n
t
o

d
e

D
i
s
p
o
s
i
c
i
o
n
e
s
C
C
C
C
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

S
o
c
i
a
l
e
s
C
C
C
C
C
C
R
R
C
R
R
R
R
R
A
s
e
s
o
r
i
a
y
G
e
s
t
i
n

J
u
r
i
d
i
c
a
A
s
e
s
o
r
i
a

y

G
e
s
t
i
n

J
u
r
i
d
i
c
a
R

C
R
R
C
R
R
R
R
R
C
o
n
t
r
a
t
a
c
i
n

A
d
m
i
n
i
s
t
r
a
t
i
v
a
C
o
n
t
r
a
t
a
c
i
n

A
d
m
i
n
i
s
t
r
a
t
i
v
a
R
C

C
C
R
R
C
R
R
R
R
R
R
e
c
u
r
s
o
s

H
u
m
a
n
o
s
R
R
C
R
R
R
R
R
C
e
n
t
r
o

d
e

C
a
p
a
c
i
t
a
c
i
n
R
R
C
R
R
R
R
R
U
n
i
d
a
d

d
e

P
r
e
n
s
a

y

C
o
m
u
n
i
c
a
c
i
n
R
R
C
R
R
R
R
R
U
n
i
d
a
d

d
e

D
e
s
a
r
r
o
l
l
o

O
r
g
a
n
i
z
a
c
i
o
n
a
l
C
C
R
R
C
R
R
R
R
R
S
e
r
v
i
c
i
o
s

d
e

I
n
f
o
r
m
a
c
i
n
R
R
C
R
R
R
R
R
S
i
s
t
e
m
a
s

y

T
e
c
n
o
l
o
g
a
s

d
e

I
n
f
o
r
m
a
c
i
n
R
R
C
R
R
R
R
R
U
n
i
d
a
d

d
e

S
e
r
v
i
c
i
o
s

F
i
n
a
n
c
i
e
r
o
s
C
R
R
C
R
R
R
R
R
U
n
i
d
a
d

d
e

S
e
r
v
i
c
i
o
s

d
e

P
r
o
v
e
e
d
u
r
a
C
R
R
C
R
R
R
R
R
U
n
i
d
a
d

d
e

S
e
r
v
i
c
i
o
s

G
e
n
e
r
a
l
e
s
R
R
C
R
R
R
R
R
D
e
s
p
a
c
h
o

C
o
n
t
r
a
l
o
r
a

y

S
u
b
c
o
n
t
r
a
l
o
r
a
C
C
C
C
C
R
R
C
R
R
R
R
R
G
e
r
e
n
c
i
a
s
C
C
C
C
C
R
R
C
R
R
R
R
R
A
u
d
i
t
o
r
a

I
n
t
e
r
n
a
C
C
C
C
R
R
R
R
R
F
i
s
c
a
l
i
z
a
c
i
n

O
p
e
r
a
t
i
v
a

y

E
v
a
l
u
a
t
i
v
a
G
e
r
e
n
c
i
a

d
e

E
s
t
r
a
t
e
g
i
a

I
n
s
t
i
t
u
c
i
o
n
a
l
G
e
r
e
n
c
i
a

d
e

D
e
s
a
r
r
o
l
l
o
G
e
r
e
n
c
i
a

A
d
m
i
n
i
s
t
r
a
t
i
v
a
ANEXO 12
Resumen de comportamientos relacionados con la aplicacin de TICs
Encuestas realizadas a la DFOE, DDI, DEI, DAGJ, DCA, USTI
COMPE TE NCIACOMPOR TAMIE NTO Divis in/Unidad NA B ajo NA-B ajo Medio NA-B ajo-Medio
DFOE 12, 9% 8, 7% 21, 7% 46, 2% 67, 8%
DDI, DE I, DAGJ , DCA 19, 0% 13, 5% 32, 5% 37, 3% 69, 8%
US TI 10, 0% 0, 0% 10, 0% 65, 0% 75, 0%
Totales
14, 6% 9, 7% 24, 3% 44, 4% 68, 8%
DFOE 4, 9% 9, 1% 14, 0% 47, 2% 61, 2%
DDI, DE I, DAGJ , DCA 4, 8% 8, 7% 13, 5% 34, 9% 48, 4%
US TI 0, 0% 0, 0% 0, 0% 30, 0% 30, 0%
Totales
4, 6% 8, 6% 13, 2% 42, 8% 56, 0%
DFOE 3, 1% 13, 6% 16, 8% 49, 3% 66, 1%
DDI, DE I, DAGJ , DCA 2, 4% 11, 9% 14, 3% 42, 1% 56, 3%
US TI 0, 0% 10, 0% 10, 0% 25, 0% 35, 0%
Totales
2, 8% 13, 0% 15, 7% 46, 1% 61, 8%
L IDE R AZGO
INNOVACIN
As imila e incorpora fcilmente la
aplicacin de nuevas TIC's en
los trabajos
INNOVACIN
Actualiza s us conocimientos en
temas de inters para la
Ins titucin y en el us o de TIC's
Toma decis iones acertadas y
cons is tentes apoyado en las
TIC's
Anexo - NTP13
Plan de la Capacidad en TI
Anexo - NTP13
Plan de la Capacidad en TI
PROCESO: GESTIN DE LA CAPACIDAD
1. Introduccin
El propsito de este documento es proporcionar una gua para la planeacin de la
capacidad de la tecnologa de informacin y comunicaciones de la Contralora General
de la Repblica (CGR), con el objetivo de aprovechar mejor los recursos institucionales
y permitir que se adquiera la tecnologa adecuada y con la capacidad para cubrir
ecientemente y con el mejor desempeo las necesidades y requerimientos reales,
presentes y futuros.
La Unidad de Tecnologas de Informacin (UTI) tiene la responsabilidad de mantener
as tecnologas de Informacin y comunicaciones (TIC) actualizadas y optimizadas
como herramientas para apoyar y facilitar la gestin de scalizacin y dems tareas
sustantivas de la institucin. Como consecuencia de la gestin de la informacin
automatizada y el cambio permanente en las TICs, la institucin se ha propuesto
mantener su infraestructura tecnolgica operando ecaz y ecientemente para el
cumplimiento de sus objetivos.
Como producto del aumento constante en la automatizacin de procesos en la CGR,
se requiere el estar gestionando nuevos requerimientos con miras a fortalecer las
necesidades de procesamiento, almacenamiento, consulta y extraccin de informacin.
Bajo esta perspectiva, es necesario administrar y planicar la capacidad requerida de
la infraestructura tecnolgica de la CGR.
Debido a lo anterior y para cumplir con las exigencias de las normas tcnicas emitidas
por la CGR en materia de tecnologas de informacin para las instituciones pblicas,
en este documento se establece un modelo para medir la capacidad para evaluar y
proyectar la infraestructura tecnolgica actual y requerida por la institucin.
Los componentes que se incluyen dentro de este plan consideran hardware, bases de
datos, sistemas operativos y telecomunicaciones.
Por ltimo, es importante recordar que la planicacin de la capacidad debe realizarse
peridicamente y debe llevarse a cabo por personal capacitado y con experiencia en
este campo.
Es importante mencionar que este documento facilita el cumplimiento de los puntos
2.3, 3.3 y 4.2 de las Normas Tcnicas emitidas por la CGR.
1.1. Infraestructura tecnolgica
1.2. Implementacin de infraestructura tecnolgica
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello
debe considerar lo que resulte aplicable de la norma 3.1 y los ajustes necesarios a la
infraestructura actual.
Norma 4.1
Administracin
y operacin de
la plataforma
tecnolgica
La organizacin debe mantener la plataforma tecnolgica en
ptimas condiciones, minimizar su riesgo de fallas y proteger la
integridad del software y de la informacin. Para ello debe:
Establecer y documentar los procedimientos y las responsabilidades
asociados con la operacin de la plataforma.
Vigilar de manera constante la disponibilidad, capacidad,
desempeo y uso de la plataforma, asegurar su correcta
operacin, mantener un registro de sus eventuales fallas,
identicar eventuales requerimientos presentes y futuros,
establecer planes para su satisfaccin, garantizar la oportuna
adquisicin de recursos de TI requeridos tomando en cuenta la
obsolescencia de la plataforma, contingencias, cargas de trabajo
y tendencias tecnolgicas.
Controlar la composicin y cambios de la plataforma y mantener
un registro actualizado de sus componentes (hardware y
software), custodiar adecuadamente las licencias de software y
realizar vericaciones fsicas peridicas.
Controlar la ejecucin de los trabajos mediante su programacin,
supervisin y registro.
Mantener separados y controlados los ambientes de desarrollo y
produccin.
Brindar el soporte requerido a los equipos principales y perifricos.
Controlar los servicios e instalaciones externos.
Denir formalmente y efectuar rutinas de respaldo, custodiar los
medios de respaldo en ambientes adecuados, controlar el acceso
a dichos medios y establecer procedimientos de control para los
procesos de restauracin.
1.3. Tareas de la Gestin de la Capacidad
Conocer el estado actual de la tecnologa en la CGR.
Analizar el entorno relacionado con TIC.
Alinear las TIC a los planes de la institucin; el plan estratgico en TIC.
Considerar los acuerdos de servicio establecidos.
Comparar el rendimiento de la infraestructura contra los parmetros
denidos.
Realizar modelos y simulaciones de capacidad para diferentes escenarios
futuros previsibles.
Dimensionar adecuadamente los servicios y aplicaciones alinendolos a los
procesos de la CGR y necesidades reales de los usuarios.
Gestionar la demanda de servicios tecnolgicos racionalizando su uso.
Considerar el recurso humano necesario.
La gestin de la capacidad de TIC facilita el dimensionamiento de la infraestructura a
utilizar para un mayor aprovechamiento de las inversiones necesarias en tecnologas.
Los principales benecios derivados de una correcta Gestin de la Capacidad son:
Se optimiza el rendimiento de los recursos humanos y tecnolgicos.
Se dispone de la capacidad necesaria en el momento oportuno, evitando
as que se pueda resentir la calidad del servicio.
Se evitan gastos innecesarios producidos por compras de ltima hora.
Se planica el crecimiento de la infraestructura adecundolo a las
necesidades reales.
Se reducen los gastos de mantenimiento y de administracin asociados a
equipos y aplicaciones obsoletos o innecesarios.
Se disminuye el riesgo de posibles incompatibilidades y fallos en la
infraestructura informtica.
En resumen, se racionaliza la gestin de las compras y el mantenimiento de los servicios
en TIC con la consiguiente reduccin de costos e incremento en el rendimiento.
Los principales problemas a los que se enfrenta la implementacin de una adecuada
poltica de Gestin de la Capacidad son:
Informacin insuciente para una planicacin realista de la capacidad.
Expectativas injusticadas sobre el ahorro de costos y mejoras del
rendimiento.
Insuciencia de recursos para el correcto monitoreo del rendimiento.
Infraestructuras informticas distribuidas y excesivamente complejas en las
que es difcil un correcto acceso a los datos.
No existe el compromiso suciente de los niveles superiores por implementar
rigurosamente los procesos asociados.
La rpida evolucin de las tecnologas puede obligar a una revisin
permanente de los planes y escenarios contemplados.
Un incorrecto dimensionamiento de la propia Gestin de la Capacidad.
2. Objetivos
1.1. Objetivo General:
El objetivo primordial de la Gestin de la Capacidad es poner a disposicin de clientes,
usuarios y la propia UTI, los recursos tecnolgicos necesarios para desempear de
una manera eciente sus tareas a un costo razonable.
En otras palabras, asegurar que la Infraestructura Tecnolgica satisfaga las necesidades
actuales y futuras de TIC para la operacin eciente de la CGR.
1.1. Objetivos especcos:
Minimizar cantidad e impacto de futuros incidentes que degraden la calidad
del servicio.
Racionalizar el uso de la capacidad de la infraestructura TI.
Administrar costos razonables en infraestructura de TI.
Aumentar la productividad y satisfaccin de los usuarios.
3. Alcance
Este documento dene las actividades necesarias para asegurar que las mejoras,
cambios y los nuevos servicios que afecten la infraestructura tecnolgica, proveern
un ambiente que cumple con los estndares de servicio acordados y las necesidades
de la CGR.
Los componentes a los que se aplicar la gestin de capacidad son los servidores de
bases de datos, aplicaciones, y correo institucional, la base de datos de produccin,
enrutadores, ancho de banda Internet, Firewall, programas protectores contra virus
informticos y cdigo malicioso, detectores de intrusos, switches de RED y la central
telefnica.
3.1. Responsables
Las personas encargadas de administrar cada uno de los componentes seleccionados,
sern los responsables de gestionar su capacidad.
4. Actividades por realizar para cada componentes
Con el n de generar la informacin requerida por el plan de la capacidad, en este
apartado se deben denir claramente los detalles de cmo y cundo se obtendr esta
informacin - por ejemplo, las previsiones de la CGR obtenidas a partir de los planes
PETIC y PETAC, las previsiones del volumen de trabajo de los usuarios (modelo o
arquitectura de informacin), o las proyecciones de nivel de servicio obtenido por el
uso de herramientas de modelacin-; as como las caractersticas de capacidad por
cada uno de los componentes para apoyar la toma de decisiones.
4.1. Identicar las herramientas de medicin
Identicar las herramientas de medicin a utilizar para evaluar el comportamiento
de un componente tecnolgico ante determinadas cargas de trabajo, as como para
establecer o realizar proyecciones de capacidad ante el cambio de los requerimientos
de TI.
4.2. Establecer las variables de medicin
Establecer las variables de medicin as como las mtricas y los parmetros sobre las
que se van a comparar y medir.

4.3. Tendencias de mercado y consecuencias
Al estudiar las tendencias y cambios tecnolgicos en el mercado y con base en los
acuerdos de servicio, los nuevos requerimientos y el anlisis de la infraestructura
tecnolgica actual se puede estimar que cambios o adquisiciones se deben realizar
en el futuro.
4.4. Denir procesos y calendario de medicin
La herramienta de medicin que se utilice para cada componente determinar la
frecuencia y los procesos que se requieren para realizar el anlisis, las mediciones y
la generacin de resultados. Por lo general se analizan datos histricos que permitan
establecer, variaciones importantes, problemas de infraestructura, capacidad excedida
o sobrestimada y tendencias o proyecciones.
4.5. Sustitucin
Evaluar si por obsolescencia tecnolgica, costos de mantenimiento, anlisis nanciero
o por incompatibilidad con la infraestructura tecnolgica en uso, se hace necesario la
sustitucin de alguno de los componentes de TICs.
4.6. Riesgos
Establecer cual sera la probabilidad y el impacto de una falla de un componente
tecnolgico en la infraestructura de TI, de tal forma que se pueda mitigar el riesgo
asociado. Asimismo, contemplar las oportunidades que pueda brindar el mercado en
el lanzamiento de nuevas tecnologas.
4.7. Prioridades
Como es bien entendido por la mayora de administradores de infraestructura
tecnolgica, se deben establecer cules componentes son prioritarios de conformidad
con el sistema de continuidad de servicio y tambin para cumplir con los acuerdos de
servicio y los requerimientos de TI.
4.8. Presupuesto
Finalmente, no se pueden dejar de lado los costos de la infraestructura tecnolgica
y cul sera el presupuesto requerido y justicado para satisfacer las necesidades
actuales y futuras en materia de TICs, de tal forma que se puedan realizar las
previsiones nancieras adecuadas.
De los requerimientos de TICs y de los acuerdos de servicio se debe obtener la
informacin necesaria para:
Denir cules son los perodos en los que requiere mayor capacidad (picos).
Niveles de servicio esperados.
Tiempo de respuesta esperada.
Complejidad.
Capacidad de crecimiento requerida.
Requerimientos nuevos.
Nuevos proyectos tecnolgicos.
Recurso humano necesario.
Con base en todo lo anterior, se debe realizar un proceso continuo de Gestin de la
Capacidad que involucra las siguientes actividades:
4.9. Seguimiento y control continuo
Seguimiento continuo de la infraestructura tecnolgica en uso para anlisis de
rendimiento y de necesidades de ajustes para satisfacer adecuadamente los
requerimientos de la CGR.
Un correcto seguimiento de la capacidad disponible, permite reconocer puntos dbiles
de la infraestructura de TIC o cuellos de botella y evaluar posibilidades de balanceo
de cargas o redistribucin de servicios o datos para continuar dando un servicio de
calidad.
La Gestin de la Capacidad debe evaluar a priori, basndose en la experiencia, los
resultados y las tendencias del mercado.
En resumen el monitoreo debera permitir:
Analizar las tendencias de demanda de capacidad.
Evaluar el uso real que se hace de ella.
Emitir informes de rendimiento,
Validar las mtricas para la evaluacin de la capacidad real y su impacto en
la calidad del servicio.
5. Anlisis y Evaluacin de datos
Los datos recopilados deben ser analizados para tomar decisiones relacionadas con
la ejecucin de acciones correctivas que permitan mantener una infraestructura
tecnolgica acorde con las necesidades de la CGR.
5.1. Ajustes
Con base en el monitoreo y en el anlisis de datos se deben determinar los ajustes
requeridos para la optimizacin de uso de los recursos de TIC mediante la Gestin del
cambio, Generando el proceso necesario para la implementacin del mismo.
5.2. Almacenar la informacin
Se contar con una aplicacin que permitir almacenar la informacin relativa a la
capacidad, incluyendo los planes de capacidad y los informes de gestin sobre los
recursos de TI.
5.3. Base de Datos de la Capacidad (BDC)
La BDC debe almacenar toda la informacin institucional, nanciera, tcnica y de
servicio que reciba y genere la Gestin de la Capacidad, relativas a la capacidad de la
infraestructura y sus elementos.
Idealmente, la BDC debe estar interrelacionada con la BDCG (Base de datos de la
capacidad gerencial) para que esta ltima ofrezca una imagen integral de los sistemas
y aplicaciones con informacin relativa a su capacidad. Esto no es bice para que
ambas bases de datos puedan ser fsicamente independientes.
5.4. INSUMOS
Riesgos en materia de TIC.
Incidentes registrados.
Acuerdos de servicio establecidos
La arquitectura de informacin de la CGR.
Plan de Contingencia o para continuidad de servicios.
Rendimiento esperado por servicio o componente.
Avances o actualizacin tecnolgica relacionada.
Requerimientos de informacin, de procesamiento y de telecomunicaciones.
Informacin relativa a la capacidad de la infraestructura de TIC.
Las previsiones o perspectivas de la CGR sobre necesidades.
Los cambios necesarios para adaptar la capacidad de TI a las novedades
tecnolgicas y las necesidades emergentes de usuarios y clientes.
La disponibilidad esperada.
Posibilidades presupuestarias.
6. Anlisis de capacidad
A continuacin se establecen las variables a medir por cada componente seleccionado
y los parmetros sobre los cuales se aplicar la medicin; as como el instrumento a
utilizar.
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS DE SEGURIDAD
Consideraciones bsicas
A. Ancho de Banda Internet. Valor normal Punto crtico Alerta
Variables a medir:
1. Ancho de banda utilizado de entrada 4Mb 5Mb > 5 Mb
2. Ancho de banda utilizado de salida 2Mb 3Mb > 3 Mb
3. Eciencia de la red. (entrada y salida) 90% 75% > 75%
4. Delay de transacciones por aplicacin. < 2 seg 5 seg > 5 seg
Instrumento de medicin: Packeteer.
B. Enrutadores
1. Conabilidad de la interface. 100% 50% < 50%
2. Indice de carga de la interface de
transmision TX
15% 70% > 70%
3. Indice de carga de la interface de
recepcin RX
10% 70% > 70%Mas de 180/255
4. Estadsticas para 5 minutos:
4.1 Tasa de transferencia en bits por
segundo.
45% del canal 80% del canal > 80% del canal
5. Utilizacin de CPU 30% 60% 70%
Instrumento de medicin: Comandos
sistema operativo
C. Firewall
1. Utilizacin de CPU 20% 40% 65%
2. Memoria utilizada. 50% 70% 80%
3. Tasa de transferencia por subred 1Mbps 6Mbps 8Mbps
4. Ancho de banda utilizado por subred 30% del ancho de
banda total
50% del ancho de banda total >70 % del ancho de banda total
Instrumento de medicin: Programa ASDM
instalado en el Firewall.
D. Appliance E-3100 Mc.Afee
1. Carga de CPU. 20% 70% 80%
2. Memoria utilizada / memoria disponible 50% 70% 80%
Instrumento de medicin: Programa
administrador del Appliance.
E. Detectores de intrusos.
1. Carga del CPU 25% 60% 80%
2. Memoria disponible 25% 15% 10%
3. Disco utilizado/disponible 60% 75% 80%
Comandos Sistema operativo
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS PRINCIPALES
Tiempo de medicin: Continuo
Servidor es de base de datos y aplicaciones Valor normal Punto crtico Alerta
Variables a medir:
1. Utilizacin de UPC. La utilizacin ptima de
la UPC son los siguientes:
60% para usuarios
20% para el sistema
10% para E/S
10% desocupado
65%
85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
2. Utilizacin de Memoria < 65% >85% >90%
3.Paginacin 5% 10%
15%
5. Tasa utilizacin disco %iowait 10% 15%
30%
6. %Crecimiento anual de disco 50% 70%
75%
Instrumento de medicin: Foglight y
comandos del sistema operativo (Solaris
ESTABLECIMIENTO DE METRICAS PARA BASES DE DATOS
Tiempo de medicin: Continuo
Base de datos ORACLE Valor normal Punto crtico Alerta
Mtricas:
1. % Utilizacin CPU. 65%
85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
2. % Utilizacin de Memoria < 65% >85% >90%
3.Promedio de tiempo de escritura del redo
log
30s 90s 100s
4. Lock wait 10s 30s 60s
5. I/O wait 5% 15% 25%
6. Network wait 2% 10% 15%
7. Latch wait 1% 10% 15%
Instrumento de medicin: Foglight y
comandos del sistema operativo (solaris)
ESTABLECIMIENTO DE METRICAS PARA REDES Y TELEFONA
A. Switches.
Switch de Servidores
Switch de Backbone
Switch de Acceso
Mtricas:
B. % Utilizacin Ancho de banda
POR SUBRED
< 70% 70% >75%
Instrumento de medicin: EPI-Center de
Extreme Networks
B. Access Point (red inalmbrica)
Mtricas:
% Utilizacin Ancho de banda por puerto de
access point < 70% 70% >75%
Instrumento de medicin: Hipath de
Siemens y EPI-Center de Extreme Networks
C. Media Gateway con Proveedor de Servicio
Mtricas:
% Utilizacin de canales E1s < 70% 70% >75%
Instrumento de medicin: OTM de Nortel
Networks
Anexo - NTP14
Acuerdo de Nivel de Servicio
Anexo - NTP14
Proceso Gestin de Tecnologas de Informacin
Introduccin
En aras de mejorar el servicio en tecnologas de informacin y comunicacin y la
satisfaccin del cliente, se establece el presente Acuerdo de Nivel de Servicio (SLA por
sus siglas en ingls), de acuerdo con las Normas Tcnicas emitidas por la Contralora
General de la Repblica (CGR) en su captulo IV sobre prestacin de servicios y
mantenimiento.
Objetivo
Fijar el nivel de calidad del servicio en Tecnologas de Informacin y Comunicacin
(TICs); manteniendo alineada la tecnologa con los planes de la CGR, entre la Unidad
de Tecnologas de Informacin como el proveedor de servicios de TICs; representada
por su jefatura, y la Gerencia de la Divisin XXXX como el cliente; representada por
su Gerente.
Servicios tecnolgicos
A continuacin se establecen los servicios que forman parte de este SLA:
1. Correo Electrnico
2. Red Convergente
3. Internet
4. Disponibilidad de la informacin
5. Telefona a nivel de servidores
Requerimientos del Cliente
A continuacin se enumeran los requerimientos del cliente a nivel de servicios de
tecnologas de informacin.
1. Alta disponibilidad para acceder a la informacin.
2. Alta disponibilidad en el servicio de correo electrnico.
3. Suciente espacio para almacenamiento de sus datos.
4. Servicio para control de programas maliciosos.
5. Acceso telefnico permanente.
6. Custodia, condencialidad e integridad de sus datos residentes en los
servidores principales.
Acuerdos por servicio
A continuacin se especica el nivel de servicio a brindar por el proveedor para cada
uno de los servicios contemplados en este documento de acuerdos.
Correo Electrnico
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. 100 MB de almacenamiento de datos para cada cliente de correo.
3. Encriptacin de la clave de acceso de cada cliente de correo.
4. Eliminacin en un 90% de correo spam o basura.
5. Eliminacin en un 95% de virus incluidos en documentos entrantes.
6. Privacidad de correo entrante y saliente para cada cliente.
7. Custodia y respaldo de la base de datos de correo.
8. Recuperacin de la base de datos en un plazo mximo de 3 horas.
Compromisos del cliente
1. Cumplimiento de las directrices de seguridad vigentes.
2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas,
a efectos de prevenir la expansin de la misma.
3. Reportar el uso indebido de informacin o activos de la CGR por parte de
usuarios internos o personal externo.
Red convergente
Compromisos del proveedor
1. Disponibilidad de red 24x7.
2. Conexin a velocidades de 10/100/1000.
3. Redundancia de los componentes primarios de la red convergente.
4. Disponibilidad complementaria y alternativa de conexin inalmbrica.
1. Cumplimiento de las directrices de seguridad vigentes
Internet
2. 8 Mb de ancho de banda.
3. Aplicacin de ltro de Contenidos.
4. Recuperacin del servicio en un plazo mximo de 3 horas.
Disponibilidad de la Informacin
2. Brindar los controles que garanticen el acceso seguro y debido a la
informacin.
3. Custodia y respaldo de la base de datos.
4. Iniciar la atencin inmediata de recuperacin de la base de datos en horario
normal y en un plazo mximo de 2 horas fuera de horario.
3. Reportar oportunamente cualquier cambio en el rol operativo de algn
usuario de la BD, que amerite una modicacin en el respectivo control de
acceso a la informacin.
Telefona
2. Buzn para grabacin de mensajes de hasta 10 Mb.
3. Facilidad de candado electrnico en el telfono.
4. Privacidad de las llamadas entrantes y salientes para cada cliente.
5. Custodia y respaldo de las llamadas recibidas y efectuadas.
6. Recuperacin de la base de datos en caso de contingencias, en un plazo
mximo de 3 horas.
7. Proveer herramientas que faciliten la gestin de la telefona en cumplimiento
de la normativa de control interno vigente.
3. Hacer un uso racional de los servicios telefnicos.
4. Seguimiento para identicar niveles extremos de uso telefnico y para
gestionar la correccin de prcticas inapropiadas.
5. Limpiar frecuentemente los buzones de mensajes.
Centro de Llamadas
A efectos de facilitar la administracin de incidentes relacionados con tecnologas de
informacin, el proveedor pone a disposicin de sus clientes un sistema automatizado
para su registro y control, denominado Solicitud rden de Servicio (SOS) 24x7, la
posibilidad de solucin remota y la atencin en sitio en horario normal.
Los incidentes deben ser reportados en horario normal a la extensin telefnica
indicada por el proveedor o mediante registro en el SOS.
Suspensin de servicios
El proveedor no podr brindar los servicios incluidos en este SLA, cuando ste se
suspenda por razones de mantenimiento preventivo a servidores, red o bases de datos;
previamente acordado y comunicado a todos los funcionarios, o por mantenimiento
correctivo, producto de fallas fuera del control del proveedor, o por interrupcin del
servicio por proveedores externos como en el caso de telefona o acceso a servicios
externos va enlaces de comunicacin contratados a terceros, o por fallas de la
infraestructura tecnolgica nacional.
Disminucin de la calidad del servicio
La calidad del servicio se puede ver afectada si previa negociacin se decide
brindar un tiempo de respuesta mejorado para acceder a una solucin
tecnolgica para el registro, consulta o recibo de datos externos. Cuando los
servicios no se encuentren dentro de los parmetros establecidos, el Proveedor
trabajar en la solucin del problema e informar al Cliente sobre el avance. Si el
desempeo no mejora, se realizar una reunin conjunta, para discutir y resolver los
problemas que han ocasionado la disminucin del nivel de servicio y se elaborar
un informe completo para la administracin sobre los asuntos en referencia.
Evaluacin
Se llevar a cabo una reunin semestral cliente/proveedor para evaluar el servicio
prestado durante los seis meses y para considerar eventuales cambios a realizar sobre
el SLA con base al anlisis de eventos presentados.
Vigencia
Este Acuerdo de Servicios tiene una vigencia de un ao a partir de la rma de aceptacin
de las partes y se prorroga automticamente por perodos iguales, si ninguna de las
partes decide su nalizacin con un mes de anticipacin en das naturales.
Se rma este Acuerdo de Nivel de Servicios en San Jos, a las 11 horas del da xx del
mes de junio del 2009.
Miguel Aguilar Zamora Gerente de Divisin
Jefe UTI Gerente de Divisin
Anexo - NTP15
Marco Jurdico en Tecnologas
de Informacin
Anexo - NTP15
Marco Jurdico en Tecnologas
de Informacin
1. Introduccin
Como resultado de la recopilacin de leyes, normativa, pronunciamientos, contratos,
resoluciones y directrices; entre otras, y en cumplimiento a la norma Nro. 1.7 del
documento Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE) aprobadas mediante Resolucin del Despacho de
la Contralora General de la Republica, Nro. R-CO- 26-2007 del 7 de junio del 2007,
se elabora este Marco Jurdico a ser utilizado para la gestin y gobernabilidad de las
tecnologas de informacin y comunicacin (TIC`s) de la Contralora General de la
Repblica (CGR).
La referida norma 1.7 ya citada, establece el cumplimiento de obligaciones
relacionadas con la gestin de TI; para el cual toda organizacin debe identicar y
velar por el cumplimiento del Marco Jurdico que tiene incidencia sobre la gestin de
las tecnologas de informacin, con el propsito de evitar posibles conictos legales
que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
2. Antecedentes
La Contralora General de la Repblica, ha venido organizndose y tomando medidas
necesarias para implantar mecanismos y sistemas de informacin, que ayuden al
control y scalizacin de los recursos del Estado y que sirvan como herramientas
aplicables a los entes e instituciones de scalizacin. Es as, como en el ao 2008
se lleva a cabo una revisin integral del Manual General de Fiscalizacin Integral,
denominado MAGEFI, con el propsito de actualizar y mejorar este instrumento
normativo, con los siguientes objetivos:
a. Adecuar los procesos institucionales de conformidad con los cambios
normativos en el marco legal relacionados con el quehacer del rgano
contralor.
b. Ajustar dichos procesos a la luz de las nuevas ideas rectoras de la Contralora
General cuya revisin participativa implic cambios en la misin, visin y
valores institucionales.
c. Reforzar el enfoque de procesos interrelacionados en la gestin institucional
orientada al logro de la misin.
Subyace a la dinmica e integracin de procesos del MAGEFI, el concepto de cadena
de valor, el cual se reere a un instrumento de gestin estratgica orientada a la
generacin de valor pblico.
Mediante el presente Marco Jurdico, aplicable a la gestin de las tecnologas de
informacin y comunicacin para la Contralora General de la Repblica, se pretende
reforzar y fortalecer el uso apropiado de las tecnologas de informacin. Lo anterior,
mediante una mayor regulacin a la informacin que produce la institucin , en
funcin de su aplicabilidad, proteccin de datos personales, resguardo del ujo de
datos, proteccin de licencias de uso de programas; as como la debida aplicacin de
las licencias de software adquiridas, polticas asociadas con proveedores de software
y deteccin gil en cuanto a regulaciones por delitos informticos fraudes u otras
acciones no legales, en los contratos relacionados con TICs , sus requerimientos de
garantas contractual y sus principales repercusiones, principalmente.
3. Objetivo
Elaborar el Marco Jurdico que contenga el compendio de leyes, pronunciamientos,
contratos y otros aplicables a las Tecnologas de Informacin, utilizadas por la
Contralora General de la Repblica, el cual estar incorporado en el sistema de
Expediente Electrnico de la CGR.
Dicho Marco Jurdico, estar conformado por las leyes, decretos, resoluciones,
contratos, procedimientos, directrices, estndares y prcticas relacionadas con la
identicacin, revisin y toma de acciones correctivas continuas, en relacin con
las obligaciones legales, gubernamentales, tcnicas, contractuales, de seguridad y
sobre condencialidad y sensibilidad de los datos en los procesos de transferencia
electrnica de datos interna y externa a la Contralora General.
4. Lineamientos generales con relacin a la ejecucin de contratos
4.1 La adquisicin de bienes y servicios se paga contra recibo a satisfaccin de la
Unidad de Tecnologas de Informacin, fecha a partir de la cual inicia el perodo de
garanta.
4.2 La factura del proveedor debe ser revisada por el administrador del contrato y por
la asistente presupuestaria para que con su visto bueno (VB) se autorice el pago por
parte de la jefatura como Unidad tcnica responsable.
4.3 En caso de incumplimientos contractuales por parte de la Contratista, y que no
obedezcan a fuerza mayor o caso fortuito debidamente documentado, la CGR se
reserva el derecho de resolver el contrato y de ejercer las medidas que correspondan
para resarcir los eventuales daos y perjuicios que se le pudieren haber ocasionado.
4.4 Las licencias contratadas son para utilizar nicamente en equipos de la CGR.
4.5 Para todos los efectos, el expediente de la contratacin, en especial el cartel, la
oferta y el acto de adjudicacin, forman parte integral del contrato.
4.6 Los horarios de servicio se establecen contractualmente de lunes a viernes entre
las 8 a.m. y las 5 p.m.
4.7 Los servicios de escalamiento se encuentran registrados en el Sistema automatizado
de Contingencias.
5. Documentos relacionados
Con el propsito de poner a disposicin de los funcionarios el Marco Jurdico que rige
el accionar institucional en tecnologas de informacin y comunicacin, a continuacin
registramos todas aquellas leyes y dems, a las que estamos supeditados y obligados.
5.1 Leyes
Constitucin Poltica de la Repblica de Costa Rica, de 7 de noviembre de
1949.
Ley No. 7494, Ley de Contratacin Administrativa, Gaceta 110, Alcance
90 de 8 de junio de 1995.
Ley No. 8292 Ley General de Control Interno, de 4 de setiembre del 2002.
Ley No. 8474, Ley de certicados, rmas y documentos electrnicos, LA
GACETA 197 DEL 13-10-2005.
Ley 8422 contra la corrupcin y el enriquecimiento ilcito en la funcin
pblica, Decreto No. 00000-J.
Ley de Derechos de autor y derechos conexos.
5.2 Lineamientos internos
Lineamientos para la atencin de denuncias planteadas ante la CGR.
Lineamientos para el uso de la pizarra electrnica.
Lineamientos para desarrollo de sitios Web.
5.3Reglamentos
Reglamento autnomo de servicio para la regulacin del correo electrnico
masivo o no deseado, La Gaceta N 151 Mircoles 4 de agosto del 2004
(RACSA).
Reglamento para la administracin de los bienes y derechos de propiedad
intelectual de la CGR, La gaceta No. 175 del 7 de setiembre del 2004.
Reglamento para la Utilizacin del Sistema de Compras Gubernamentales
CompraRed, La gaceta no. 204 del 24-10-2005, decreto 32717-h.
Reglamento a la Ley de Certicados, Firmas Digitales y Documentos
Electrnicos La Gaceta 77 Viernes 21 de abril del 2006 DECRETO 33018-
Reforma al Reglamento a la Ley de Contratacin Administrativa, La Gaceta
93 Mircoles 16 de mayo del 2007DECRETO 33758-H.
Reglamento para la administracin de los bienes y derechos de propiedad
intelectual de la CGR, La Gaceta No. 175 Martes 7 de setiembre del
2004.
5.4 Decretos
Reforma al Decreto Ejecutivo Nmero 33411-H del 27 de Setiembre del
2006, Reglamento a la Ley de Contratacin Administrativa, La Gaceta N
88 Viernes 08 de mayo de 2009 Decreto N 35218-H DEL 30/04/2009.
Decreto No. 25038-H, Reglamento General de Contratacin Administrativa,
Gaceta 62 del 28 de marzo de 1992.
5.5 Normas
Normas Tcnicas para la gestin y el control de las Tecnologas de
Informacin, N-2-2007-CO-DFOE.
5.6 Estatutos
Estatuto Autnomo de Servicios, Resolucin No. 4-DHR-96.
5.7 Resoluciones
R-CO-44-2007, Contralora General de la Repblica, Actualizar los lmites
econmicos que establecen los incisos a) al j) de los artculos 27 y 84 de la
Ley de Contratacin Administrativa y sus reformas, La Gaceta No. 23
R-CO-62-2006. Modicar el inciso b) de las disposiciones transitorias de la
resolucin D-4-2005-CO-DDI, de las diez horas del 14 de diciembre del dos
mil cinco, publicada en La Gaceta nmero 243 del viernes 16 de diciembre
del 2005, mediante la cual se emitieron las Directrices para el registro,
la validacin y el uso de la informacin sobre la actividad contractual
desplegada por los entes y rganos sujetos al control y la scalizacin de la
contralora general de la repblica,
R-CO-62 Contralora General de la Repblica Directrices generales
a los sujetos pasivos de la Contralora General de la Repblica para el
adecuado registro o incorporacin y validacin de informacin en el
sistema de informacin sobre presupuestos pblicos (SIPP) D-2-2005-CO-
DFOE. La Gaceta no. 131 del 7-07-2005 contralora general de la repblica
resoluciones
5.8 Directrices
R-CO-61-2007 Directrices sobre Seguridad y Utilizacin de Tecnologas de
Informacin y Comunicaciones
5.9 Contratos
En la actualidad, la administracin de contratos en TIC esta distribuida por reas
especializadas, esto con el n de facilitar la gestin y comunicacin correspondiente
entre los proveedores y la Contralora General.
A continuacin se muestran los proveedores actuales y el tipo de servicio que brindan,
as como datos importantes relacionados con el contrato vigente.
5.9.1 Administracin de redes
AEC Electrnica, servicio de reemplazo avanzado de partes o equipo completo; todos
nuevos, en un plazo de 48 horas, as como el servicio de atencin de valor agregado
24x7 para los switches de backbone de la CGR y la actualizacin de versiones de
software para los equipos marca Extreme Networks, segn contrato No. 2008-000019,
2008-000018 y especicaciones en Anexo 1, por un ao.
AEC Electrnica, servicio de reemplazo para un switch Black Diamond modelo 6808
y servicio de soporte en lnea de atencin 48hr AHR, ambos por un ao. Resolucin
administrativa 1-2009 de ampliacin.
Siemens Enterprise Communications C.A.M. S.A., adquisicin, instalacin y puesta
en funcionamiento de una solucin inalmbrica en toda la institucin excepto los
pisos 9 y 11, con una garanta de funcionamiento de tres aos y con una capacidad
instalada de 108 Mbps por piso. El mximo de capacidad instalada que proveern
los Access Point es de300 Mbps en el modo especco de operacin del estndar
802.11n-draft-2.0. Contrato No. 2008-000017 y Anexo 1.
5.9.2 Administracin de microcomputadores e impresoras
Central de Servicios, garanta de funcionamiento de tres aos por 11 Microcomputadores,
Contrato No. 2006-000004.
Componentes El Orbe, garanta de funcionamiento de tres aos por 13 Microcomputadores,
10 terminales para operar con software CITRIX y 11 monitores LCD, Contrato No.
2008-000006.
Componentes El Orbe, garanta de funcionamiento de tres aos por 3 Microcomputadores,
2 ordenadores PALM con dos aos de garanta y 2 Docking Station, Contrato No.
2007-000016.
I.S. Productos de Ocina Centroamrica S.A., adquisicin de 3 impresoras lser de red
Kyocera Mita modelo FS-2000D, 1 fax Kyocera KM-1116 MFP y una reproductora
digital marca Duplo modelo DP-S550, todos con tres aos de garanta. Contrato No.
2008-000008.
5.9.3 Administracin de Servidores
Control Electrnico S.A., Arreglo de discos (SAN) y Servidores con garanta de tres
aos. Contrato No. 2008-000018.
Control Electrnico S.A., Mantenimiento preventivo y correctivo de hardware y software;
incluyendo reemplazo de partes, por un ao y cinco meses y medio, en un servidor, en
un arreglo de discos (SAN) y en una unidad para generacin de respaldos. Contrato
No. 2009-000005.
Componentes El Orbe, garanta de funcionamiento por tres aos de 4 Servidores Server
Blade y 2 Docking Station. Contrato No. 2007-000019.
ComputerNet Centroamericana S.A., software para respaldos automticos de 4
servidores con sistema operativo Solaris y 2 con sistema operativo Windows en UNIX
(Solaris), Oracle (Solaris) y Windows; incluye un ao de garanta y dos visitas al ao
para mantenimiento preventivo. Contrato No. 2007-000023.
5.9.4 Administracin de la Seguridad
Consulting Group Chami Centroamericana S.A., 501 Licencias de Antivirus y de
antispyware p/Windows y 5 Licencias p/Macintosh, contrato prorrogable por 4 aos
segn Pedido No. 20130, solicitud 280517, desde el 14 de diciembre del 2008 hasta
el 13 de diciembre del 2012.
SPC Internacional S.A., Servicios de Mantenimiento de los Smarnets para un rewall,
tres routers y dos detector de intrusos, con una duracin de un ao y cinco meses,
hasta el 15 de diciembre del 2010. Contrato No. 2009-000009.
SPC Internacional S.A., adquisicin de una solucin de Control y Filtro de Contenido
(Websense) y actualizaciones para el acceso a Internet de una poblacin de 500
usuarios y un ancho de banda de 8 Mbps por un plazo mximo de cuatro aos. La
no prrroga del contrato debe comunicarse con 90 das de anticipacin. Contrato No.
2008-0023 con vigencia a partir del 7 de diciembre del 2008.
5.9.5 Administracin de la Telefona
Continex S.A., adquisicin, instalacin y puesta en funcionamiento de una solucin
telefnica con mensajera unicada, contestador automtico, distribucin automtica
de llamadas, sistema de correo de voz, sistema bsico para envo y recepcin de fax
y respuesta de voz interactiva; incluye tres aos de garanta y dos visitas al ao para
mantenimiento preventivo. La Contratista garantiza el abastecimiento de repuestos y
reparacin de unidades durante un perodo de cinco aos. Contrato No. 2005-000020.
Continex S.A., adquisicin, Instalacin y conguracin de bienes para la Solucin
Telefnica, 63 transformer (IP) y administracin de OTM Billing, 8 licencias, 3 clientes
Soft Phone y 13 Headset; incluye tres aos de garanta. Contrato No. 2007-000003.
5.9.6 Administracin de Telecomunicaciones
Instituto Costarricense de Electricidad (ICE), marcacin directa a la extensin soportado
por un enlace PRI-RDSI, cuyo rango de numeracin es del 501-8000 al 501-8999 con
600 extensiones en operacin y 400 en reserva, asociado a nmero de identicacin
296-J015 y al equipo terminal marca Nortel. La comercializacin de tonos de invitacin
a marcar para accesar la red del pas es una prohibicin; entre otras, establecidas en
la clusula 8. Es un contrato permanente.
Radiogrca Costarricense S.A. (RACSA), servicios de telecomunicaciones: 1 puerto de
Internet dedicado a 8 MB, 1 Frame Relay a 256 Kbps para conexin con el Ministerio
de Hacienda, 1 Frame Relay a 128 Kbps para conexin con la Asamblea Legislativa,
1 cuenta conmutada y los componentes para lograr la conectividad, por un mximo
de cuatro aos. De acuerdo con clusula Quinta, inciso i) la CGR no puede vender
ni proveer a terceros bajo ninguna circunstancia, servicios de telecomunicaciones,
especcamente transporte de voz, datos y facsmil. Contrato No. 2008-00022 y sus
dos Anexos.
Informtica Trejos S.A., adquisicin de un administrador de ancho de banda marca
Packeteer y su licencia PacketWise y sus actualizaciones para administracin de 10
Mbps, con una garanta de un ao. Contrato 2008-00013.
5.9.7 Acceder a informacin de Base de Datos
Sistemas Maestros de Informacin S.A., suscripcin de 20 usuarios para acceder a la
base de datos Master Lex Normas y Master Lex Jurisprudencia, su instalacin y sus
actualizaciones, con una duracin mxima de tres aos. Incluye frmula para reajuste
de precios y un Anexo con las caractersticas de los productos contratados. Contrato
2008-000003.
5.9.8 Administracin de Base de Datos
Oracle de Centroamrica S.A., servicio de Soporte Tcnico y actualizacin de productos
indicados en la clusula stima, las cuales se brindan conforme a las polticas de
servicios de soporte de Oracle Corporation segn Anexo 1, con una duracin de tres
aos. Aplican para los productos incluidos en este contrato las leyes y reglamentos
de exportacin de los Estados Unidos de Amrica (USA). Contrato No. 2008-000009.
6. Conclusiones
Como es posible apreciar, la cantidad de normativa que aplica a la gestin contractual
se convierte en un riesgo alto para la ejecucin, control y seguimiento, en el tanto no
se tenga claro y documentado cules son las normas que aplican a dicha gestin.
Es por ello que se convierte en un factor clave de xito para nuestra gestin contractual,
el repasar constantemente este Marco Jurdico y el mantenerlo actualizado de acuerdo
con la normativa o documentos relacionados, as como con base a la generacin de
nuevos documentos aplicables a las tecnologas de informacin y comunicacin.
Finalmente, se considera que la incorporacin de este Marco Jurdico dentro del
sistema de Expediente Electrnico, permitir una mejor observancia del mismo y
por ende, minimizar los riesgos asociados al seguimiento normativo en la gestin
contractual institucional.
Anexo - NTP16
Anexo - NTP16
Normas Tcnicas para la gestin y el control de las Tecnologas
de Informacin
Resolucin Nro. R-CO-26-2007, La Gaceta Nro. 119, 21/06/2007
Informe de seguimiento 2009-01
Introduccin
Basados en el cronograma de actividades elaborado para cumplir con la implementacin
de las normas tcnicas de acuerdo con la resolucin Nro. R-CO-26-2007 emitida
por el Despacho de la Contralora General, en La Gaceta Nro. 199 del 21/06/2007,
a continuacin se incluye una descripcin corta de lo realizado al 30 de mayo del
2009, un anexo sobre el cumplimiento de cada una de las normas, y un CD con los
productos elaborados a la fecha para su consideracin y recomendaciones.
Actividades ejecutadas
1. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Lic. Marta Acosta, y lo
integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos Alpzar,
y Miguel Aguilar, en representacin de las diferentes unidades.
2. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones peridicas con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; contando para ello con
la asesora de Jos Alpzar.
3. Se mantiene en funcionamiento el Comit Gerencial de Tecnologas de
Informacin y Comunicacin (CGTIC), el cual est presidido por la Sub
Contralora General.
4. Se elabor un diagnstico de la situacin al 30 de diciembre de 2007,
el cual incluye las acciones y productos esperados para el cumplimiento
de la normativa y para cerrar la brecha existente, as como el respectivo
cronograma. Ambos documentos fueron validados por el CGTIC.
5. Como parte de la promulgacin y divulgacin de un marco estratgico,
se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre
el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico
Institucional.
6. Se aprobaron y actualizaron en el CGTIC las prioridades y los proyectos a
desarrollar, de acuerdo con la cartera incluida en el PTAC. Se crearon los
equipos de trabajo con sus respectivos lderes, y se les capacit en el uso
de herramientas para elaboracin y seguimiento de proyectos; inicialmente,
y posteriormente en la elaboracin de casos de uso para levantado de
requerimientos y de casos de prueba.
7. Se identicaron y denieron los riesgos generales en TI, se elabor un
manual de riesgos para la gestin y valoracin trimestral, y se capacitaron
dos funcionarios de USTI en SEVRI. Se est a la espera del estndar
institucional a generar por parte de la Divisin de Estrategia Institucional
(DEI), para integrar estos riesgos de T.I. con los denidos a nivel de la
institucin. Se realiz la primera revisin del documento original con nes
de actualizarlo y de seleccin de los riesgos ms relevantes a incorporar en
la Gua Metodolgica para desarrollo de proyectos de TI.
8. A efectos de generar productos de calidad, se elabor un documento
para la Gestin de Calidad sobre el desarrollo y evolucin de soluciones
tecnolgicas, el cual se comenzar a aplicar a partir de su validacin por el
CGTIC.
9. Se desarroll y est operando un sistema de informacin para facilitar el
registro de solicitudes por servicios relacionados con TI, en aras de mejora
continua y control de calidad en TICs.
10. Los proyectos de TI siguen siendo fortalecidos por una participacin
cada vez ms comprometida de los patrocinadores, evidente al asumir
y mantener la direccin del proyecto y en el aporte de recurso humano
calicado. Buscando la estandarizacin en cada equipo, se les brind la
induccin necesaria para que apliquen la Gua Metodolgica para desarrollo
de proyectos, capacitacin en el uso de la herramienta de software para
administracin de proyectos y para la elaboracin de casos de uso en el
levantado de requerimientos y desarrollo de pruebas.
11. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en
la USTI una revisin de sta, recopilando una serie de mejoras propuestas
por el mismo personal que desarrolla aplicaciones. Dichas propuestas
sern revisadas para denir su posible incorporacin al nuevo documento
de metodologa, que deber estar integrado con la actual metodologa de
desarrollo de proyectos al 30 de junio del 2009.
12. Basndonos en la norma ISO-27001, se elabor un Marco de Seguridad
en Tecnologas de Informacin a divulgar en la CGR durante el mes de
junio del 2009, el cual incluye las Directrices de Seguridad aprobadas y en
ejecucin por la CGR. Para efectos de divulgacin; entre otros, se coordin
con RH para que como parte de la induccin se incluya lo correspondiente
a seguridad en TI.
13. Sobre planicacin de la capacidad en TICs, se trabaja en la elaboracin
de un manual; que debe ser evolucionado con base a la experiencia que
se genere, el cual estar terminado al 15 de junio del 2009. Este incluir
las unidades de medida, mtricas e indicadores bsicos que sustenten las
decisiones orientadas hacia la optimizacin y evolucin de la plataforma
tecnolgica.
14. Los compromisos de gestin y la elaboracin del PAO se confeccionan
alineados a los objetivos estratgicos de la CGR y a la gestin estratgica
de TI.
15. Se concluy el desarrollo del modelo de la Arquitectura de Informacin,
basndose en la metodologa del Bussines System Planning. El modelo
incorpora el nivel base y se continuar con su desarrollo en paralelo a la
elaboracin de los procedimientos del MAGEFI. Previamente se gener un
diagnstico para dirigir y orientar el desarrollo.
16. Como parte de los proyectos de Maestra, se est desarrollando un Marco
Jurdico relacionado con TICs para su aplicacin en la CGR.
17. Est concluida la recopilacin de informacin para obtener el DNC
relacionado con TI y su procesamiento estar concluido para el 15 de junio
del 2009.
18. En coordinacin con la Unidad de Recursos Humanos se insertaron las
competencias tecnolgicas en los distintos puestos de la CGR.
19. En relacin con las directrices de seguridad fsica y ambiental se ha
fortalecido el soporte elctrico mediante la instalacin de un transformador
exclusivo para el manejo de los aires acondicionados y por la adquisicin
e implementacin de una unidad de poder ininterrumpido (UPS) para
continuidad de los servicios tecnolgicos. Se instalaron sensores de humo,
de temperatura y de incendio, alarmas y alertas por fallas relacionadas con
el ambiente, cmaras para el registro de accesos a las reas restringidas
y control de acceso, y una unidad de aire acondicionado adicional. En
conjunto con la Unidad de Servicios Generales, para nales de abril se
espera contar con un mapeo elctrico del Centro de Cmputo que permita
distribuir adecuadamente las cargas elctricas en caso de ser necesario.
20. El presupuesto de inversiones del 2010 se elabor con base al PTAC.
Al 30 de mayo del 2009 se considera que la implementacin de las normas tcnicas
avanza satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento
de las mismas en la fecha establecida.
Anexo - NTP17
Estado de las normas tcnicas
20090730
Anexo - NTP17
Estado de las normas tcnicas
20090730
1
.

D
e
s
c
r
i
p
c
i
n

d
e
l

E
s
t
a
d
o

d
e

l
a
s

N
o
r
m
a
s

a
l

3
0

d
e

j
u
l
i
o

d
e
l

2
0
0
9
N
o
r
m
a
P
r
o
d
u
c
t
o

s
e
g
n

D
i
a
g
n
s
t
i
c
o

i
n
i
c
i
a
l
E
s
t
a
d
o

a
c
t
u
a
l
O
b
s
e
r
v
a
c
i
o
n
e
s
1
.
1

M
a
r
c
o

e
s
t
r
a
t
g
i
c
o

d
e

T
I
P
l
a
n

d
e

d
i
v
u
l
g
a
c
i
n

c
a
m
p
o

d
e

a
c
c
i
n

E
,

P
E
T
I
C
,

P
T
A
C
C
u
m
p
l
i
d
o
L
a

d
i
v
u
l
g
a
c
i
n

d
e

l
o
s

p
l
a
n
e
s

s
e

r
e
a
l
i
z

p
o
r

m
e
d
i
o

d
e

c
h
a
r
l
a
s

a
l

n
i
v
e
l

g
e
r
e
n
c
i
a
l

e

i
n
s
t
i
t
u
c
i
o
n
a
l

y

s
u

p
u
b
l
i
c
a
c
i
n

e
n

l
a

I
n
t
r
a
n
e
t
.
E
l

c
a
m
p
o

d
e

a
c
c
i
n

E

f
u
e

e
l
i
m
i
n
a
d
o
.
1
.
2

G
e
s
t
i
n

d
e

l
a

c
a
l
i
d
a
d

M
a
n
u
a
l

d
e

g
e
s
t
i
n

d
e

l
a

c
a
l
i
d
a
d

s
o
b
r
e

l
a
s

r
e
a
s

d
e

a
c
c
i
n

d
e

T
I
C
u
m
p
l
i
d
o

S
e

e
l
a
b
o
r

e
l

M
a
r
c
o

g
e
n
e
r
a
l

p
a
r
a

l
a

G
e
s
t
i
n

d
e

l
a

C
a
l
i
d
a
d

e
n

T
e
c
n
o
l
o
g
a
s

d
e

I
n
f
o
r
m
a
c
i
n

y

C
o
m
u
n
i
c
a
c
i
o
n
e
s
,

e
l

c
u
a
l

d
e
b
e

s
e
r

i
m
p
l
e
m
e
n
t
a
d
o

a

p
a
r
t
i
r

d
e
l

s
e
g
u
n
d
o

s
e
m
e
s
t
r
e

d
e
l

2
0
0
9
.
1
.
3

G
e
s
t
i
n

d
e

r
i
e
s
g
o
s
E
l
a
b
o
r
a
c
i
n

d
e

r
i
e
s
g
o
s

e
n

T
I
C
C
u
m
p
l
i
d
o
S
e

e
l
a
b
o
r

e
l

m
a
n
u
a
l

q
u
e

d
e
n
o
m
i
n
a
d
o

E
v
a
l
u
a
c
i
n

d
e

R
i
e
s
g
o
s

e
n

T
e
c
n
o
l
o
g
a
s

d
e

i
n
f
o
r
m
a
c
i
n

y

s
e

a
c
t
u
a
l
i
z

a
l

3
0

d
e

m
a
y
o

d
e
l

2
0
0
9
.

S
u
s

p
r
i
n
c
i
p
a
l
e
s

r
i
e
s
g
o
s

f
o
r
m
a
n

p
a
r
t
e

d
e

l
a

G
u
a

p
a
r
a

d
e
s
a
r
r
o
l
l
o

d
e

p
r
o
y
e
c
t
o
s

e
n

T
I

y

s
o
n

e
v
a
l
u
a
d
o
s

p
a
r
a

c
a
d
a

p
r
o
y
e
c
t
o

d
e

T
I
.

1
.
4

G
e
s
t
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i
n
M
a
r
c
o

d
e

s
e
g
u
r
i
d
a
d

i
n
t
e
g
r
a
l

d
o
c
u
m
e
n
t
a
d
o
C
u
m
p
l
i
d
o
S
e

e
l
a
b
o
r

e
l

M
a
r
c
o

d
e

s
e
g
u
r
i
d
a
d

e
n

T
e
c
n
o
l
o
g
a
s

d
e

I
n
f
o
r
m
a
c
i
n
,

d
e
l

c
u
a
l

s
e

d
e
b
e

g
e
n
e
r
a
r

e
l

i
n
f
o
r
m
e

d
e

b
r
e
c
h
a
s

r
e
s
p
e
c
t
o

a
l

e
s
t
a
d
o

a
c
t
u
a
l
,

a

e
f
e
c
t
o
s

d
e

e
s
t
a
b
l
e
c
e
r

l
a
s

a
c
c
i
o
n
e
s

q
u
e

e
s
t
a
r
a
n

c
e
r
r
a
n
d
o

l
a

b
r
e
c
h
a
.
P
l
a
n

d
e

d
i
v
u
l
g
a
c
i
n
P
e
n
d
i
e
n
t
e
S
e

p
r
o
g
r
a
m
a
r

p
a
r
a

r
e
a
l
i
z
a
r
l
o

e
n

e
l

s
e
g
u
n
d
o

s
e
m
e
s
t
r
e

d
e
l

2
0
0
9
.

1
.
4
.
1

I
m
p
l
e
m
e
n
t
a
c
i
n

d
e

l
a

s
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i
n
N
i
v
e
l
e
s

d
e

c
r
i
t
i
c
i
d
a
d

d
e

l
o
s

r
e
c
u
r
s
o
s

d
e

T
I
C
u
m
p
l
i
d
o
S
e

e
s
t
n

r
e
g
i
s
t
r
a
n
d
o

e
n

e
l

s
i
s
t
e
m
a

d
e

c
o
n
t
i
n
g
e
n
c
i
a
s
.

E
l

s
i
s
t
e
m
a

s
e

e
n
c
u
e
n
t
r
a

e
n

p
r
o
d
u
c
c
i
n

d
e
s
d
e

e
l

p
r
i
m
e
r
o

d
e

j
u
l
i
o

y

e
n

a
c
t
u
a
l
i
z
a
c
i
n

c
o
n
s
t
a
n
t
e
.

.

L
a

v
e
r
s
i
n

d
e
n
i
t
i
v
a

s
e

l
i
b
e
r
a

e
l

1

d
e

j
u
l
i
o
.

?
?

T
e
n
e
m
o
s

h
a
s
t
a

j
u
n
i
o
?
?

E
l

3
0
1
.
4
.
2

C
o
m
p
r
o
m
i
s
o

d
e
l

p
e
r
s
o
n
a
l

c
o
n

l
a

s
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i
n
D
i
v
u
l
g
a
c
i
n

y

a
p
l
i
c
a
c
i
n

d
e
l

m
a
n
u
a
l

d
e

d
i
r
e
c
t
r
i
c
e
s

d
e

s
e
g
u
r
i
d
a
d
C
u
m
p
l
i
d
o
S
e

c
o
m
p
l
e
m
e
n
t
a
r

c
o
n

l
a

d
i
v
u
l
g
a
c
i
n

d
e
l

m
a
r
c
o

d
e

s
e
g
u
r
i
d
a
d
.
1
.
4
.
3

S
e
g
u
r
i
d
a
d

f
s
i
c
a

y

a
m
b
i
e
n
t
a
l
D
i
r
e
c
t
r
i
c
e
s

d
e

s
e
g
u
r
i
d
a
d

f
s
i
c
a

y

a
m
b
i
e
n
t
a
l
C
u
m
p
l
i
d
o
S
e

r
e
a
l
i
z

y

d
o
c
u
m
e
n
t

u
n

M
a
p
e
o

E
l
c
t
r
i
c
o

p
o
r

l
a

U
n
i
d
a
d

d
e

G
e
s
t
i
n

d
e

A
p
o
y
o
,

i
n
c
l
u
y
e
n
d
o

a
c
c
i
o
n
e
s

a

r
e
a
l
i
z
a
r
.

E
s
t
a

U
G
A

d
e
b
e

m
a
n
t
e
n
e
r

a
c
t
u
a
l
i
z
a
d
o

e
l

d
o
c
u
m
e
n
t
o
.

S
e

t
i
e
n
e
n

s
i
s
t
e
m
a
s

d
e

a
l
a
r
m
a
,

d
e

s
u
p
r
e
s
i
n

d
e

i
n
c
e
n
d
i
o
,

d
e
t
e
c
t
o
r
e
s

d
e

h
u
m
o

y

d
e

v
d
e
o

v
i
g
i
l
a
n
c
i
a
.

1
.
4
.
4

S
e
g
u
r
i
d
a
d

e
n

l
a

o
p
e
r
a
c
i
n

y

c
o
m
u
n
i
c
a
c
i
n
D
i
r
e
c
t
r
i
c
e
s

d
e

s
e
g
u
r
i
d
a
d

e
n

l
a

o
p
e
r
a
c
i
n

y

c
o
m
u
n
i
c
a
c
i
n

C
u
m
p
l
i
d
o
S
e

i
n
c
o
r
p
o
r
a
r
o
n

c
e
r
t
i
c
a
d
o
s

d
i
g
i
t
a
l
e
s

e
n

l
o
s

s
e
r
v
i
c
i
o
s

s
e
n
s
i
t
i
v
o
s

d
e

a
c
c
e
s
o

a
l

p
b
l
i
c
o
;

c
o
m
o

d
e
c
l
a
r
a
c
i
o
n
e
s

j
u
r
a
d
a
s
,

a
c
o
r
d
e

c
o
n

l
a

a
u
t
e
n
t
i
c
i
d
a
d
,

i
n
t
e
g
r
i
d
a
d

y

c
o
n
d
e
n
c
i
a
l
i
d
a
d

d
e

l
a
s

t
r
a
n
s
a
c
c
i
o
n
e
s

q
u
e

r
e
q
u
i
e
r
e

l
a

C
G
R

y

s
e

d
o
c
u
m
e
n
t
a
r
o
n

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
l
a
c
i
o
n
a
d
o
s
.

V
e
r

s
i
s
t
e
m
a

d
e

c
o
n
t
i
n
g
e
n
c
i
a
s

e
n

l
a

I
n
t
r
a
n
e
t
.
1
.
4
.
5

C
o
n
t
r
o
l

d
e

a
c
c
e
s
o
D
i
r
e
c
t
r
i
c
e
s

d
e

s
e
g
u
r
i
d
a
d

d
e
l

c
o
n
t
r
o
l

d
e

a
c
c
e
s
o
C
u
m
p
l
i
d
o
M
e
d
i
a
n
t
e

u
n

s
i
s
t
e
m
a

d
e

a
s
i
g
n
a
c
i
n

d
e

r
o
l
e
s

y

p
r
i
v
i
l
e
g
i
o
s

e
n

u
s
o
,

n
o

s
l
o

s
e

c
o
n
t
r
o
l
a

e
l

a
c
c
e
s
o

l
g
i
c
o

a

l
a

i
n
f
o
r
m
a
c
i
n
,

s
i
n
o

q
u
e

t
a
m
b
i
n

s
e

f
a
c
i
l
i
t
a

e
l

s
e
g
u
i
m
i
e
n
t
o

d
e

l
a
s

o
p
e
r
a
c
i
o
n
e
s

r
e
a
l
i
z
a
d
a
s

p
o
r

l
o
s

u
s
u
a
r
i
o
s

d
e

l
o
s

s
i
s
t
e
m
a
s

d
e

i
n
f
o
r
m
a
c
i
n

o
p
e
r
a
n
d
o
.

F
s
i
c
a
m
e
n
t
e

s
e

c
o
m
p
l
e
m
e
n
t
a

c
o
n

l
o
s

c
o
n
t
r
o
l
e
s

d
e

a
c
c
e
s
o

e
s
t
a
b
l
e
c
i
d
o
s

e
n

c
o
o
r
d
i
n
a
c
i
n

c
o
n

l
a

U
G
A
.
1
.
4
.
6

S
e
g
u
r
i
d
a
d

e
n

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

y

m
a
n
t
e
n
i
m
i
e
n
t
o

d
e

s
o
f
t
w
a
r
e

e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
D
i
r
e
c
t
r
i
c
e
s

d
e

s
e
g
u
r
i
d
a
d

e
n

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

y

m
a
n
t
e
n
i
m
i
e
n
t
o

d
e

s
o
f
t
w
a
r
e

e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
.
G
u
a

m
e
t
o
d
o
l
g
i
c
a

p
a
r
a

e
l

d
e
s
a
r
r
o
l
l
o

d
e

p
r
o
y
e
c
t
o
s
.
P
l
a
n

d
e

c
o
n
t
i
n
u
i
d
a
d

C
u
m
p
l
i
d
o
L
a

U
T
I

c
u
e
n
t
a

c
o
n

u
n

a
m
b
i
e
n
t
e

c
o
n
t
r
o
l
a
d
o

e

i
n
d
e
p
e
n
d
i
e
n
t
e
,

d
e
s
t
i
n
a
d
o

a

l
a

e
j
e
c
u
c
i
n

d
e

d
e
s
a
r
r
o
l
l
o

d
e

a
p
l
i
c
a
c
i
o
n
e
s

q
u
e

a
s
e
g
u
r
e
n

l
a

n
o

i
n
t
e
r
f
e
r
e
n
c
i
a

c
o
n

l
a
s

o
p
e
r
a
c
i
o
n
e
s

d
i
a
r
i
a
s

y

q
u
e

g
a
r
a
n
t
i
c
e
n

e
l

c
u
m
p
l
i
m
i
e
n
t
o

d
e

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

u
s
u
a
r
i
o
,

u
n

a
m
b
i
e
n
t
e

p
a
r
a

e
f
e
c
t
o
s

d
e

p
r
u
e
b
a
s

d
e

u
s
u
a
r
i
o

y

c
a
p
a
c
i
t
a
c
i
n
,

a
s

c
o
m
o

o
b
v
i
a
m
e
n
t
e

e
l

a
m
b
i
e
n
t
e

p
a
r
a

s
i
s
t
e
m
a
s

o
p
e
r
a
n
d
o
.
1
.
4
.
7

C
o
n
t
i
n
u
i
d
a
d

d
e

l
o
s

s
e
r
v
i
c
i
o
s

d
e

T
I
P
l
a
n

d
e

c
o
n
t
i
n
g
e
n
c
i
a

a
c
t
u
a
l
i
z
a
d
o

p
a
r
a

g
a
r
a
n
t
i
z
a
r

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e

l
o
s

s
e
r
v
i
c
i
o
s

d
e

T
I
C
u
m
p
l
i
d
o
S
e

i
m
p
l
e
m
e
n
t

e
l

s
i
s
t
e
m
a

d
e

c
o
n
t
i
n
g
e
n
c
i
a
s

a

p
a
r
t
i
r

d
e
l

1

d
e

j
u
l
i
o
1
.
4
.
8

E
l

a
c
c
e
s
o

a

l
a

i
n
f
o
r
m
a
c
i
n

p
o
r

p
a
r
t
e

d
e

t
e
r
c
e
r
o
s

y

l
a

c
o
n
t
r
a
t
a
c
i
n

d
e

s
e
r
v
i
c
i
o
s

p
r
e
s
t
a
d
o
s

p
o
r

s
t
o
s
.
C
o
n
t
r
o
l

d
e

a
c
c
e
s
o

a

l
a

i
n
f
o
r
m
a
c
i
n

p
o
r

p
a
r
t
e

d
e

p
r
o
v
e
e
d
o
r
e
s

d
e

s
e
r
v
i
c
i
o
s

y

d
e

t
e
r
c
e
r
o
s
.
C
u
m
p
l
i
d
o
P
a
r
a

e
f
e
c
t
o
s

d
e

a
c
c
e
s
o

a

l
a

i
n
f
o
r
m
a
c
i
n

p
o
r

p
a
r
t
e

d
e

t
e
r
c
e
r
o
s
,

s
e

r
e
q
u
i
e
r
e

d
e

c
o
n
v
e
n
i
o
s

o

c
o
n
t
r
a
t
o
s

p
r
e
v
i
a
m
e
n
t
e

e
s
t
a
b
l
e
c
i
d
o
s
,

o

d
e

l
a

s
o
l
i
c
i
t
u
d

d
e
l

j
e
r
a
r
c
a

d
e

u
n
a

i
n
s
t
i
t
u
c
i
n
,

p
a
r
a

l
a

a
s
i
g
n
a
c
i
n

d
e

u
n

r
o
l

q
u
e

l
e

f
a
c
i
l
i
t
e

l
a

c
o
n
s
u
l
t
a

c
o
n
t
r
o
l
a
d
a
,

i
g
u
a
l

e
n

c
o
n
t
r
a
t
o

d
e

s
e
r
v
i
c
i
o
s

m
e
d
i
a
n
t
e

c
l
u
s
u
l
a
s

d
e

c
o
n
d
e
n
c
i
a
l
i
d
a
d
.
1
.
4
.
9

E
l

m
a
n
e
j
o

d
e

l
a

d
o
c
u
m
e
n
t
a
c
i
n
A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

d
o
c
u
m
e
n
t
o
s
C
u
m
p
l
i
d
o
S
e

r
e
a
l
i
z
a

p
o
r

m
e
d
i
o

d
e
l

S
i
s
t
e
m
a

I
n
t
e
g
r
a
d
o

d
e

G
e
s
t
i
n

y

D
o
c
u
m
e
n
t
o
s

(
S
I
G
Y
D
)
.

L
o
s

d
o
c
u
m
e
n
t
o
s

s
e

c
l
a
s
i
c
a
n

p
o
r

t
i
p
o
s

d
o
c
u
m
e
n
t
a
l
e
s

y

e
s
t
n

d
i
s
p
o
n
i
b
l
e
s

d
e

a
c
u
e
r
d
o

c
o
n

l
a

t
a
b
l
a

d
e

p
l
a
z
o
s

a
u
t
o
r
i
z
a
d
a

p
o
r

e
l

A
r
c
h
i
v
o

N
a
c
i
o
n
a
l
.

P
a
r
a

T
I

a
p
l
i
c
a

e
l

e
s
t
n
d
a
r

e
s
t
a
b
l
e
c
i
d
o

e
n

l
a

M
e
t
o
d
o
l
o
g
a

p
a
r
a

d
e
s
a
r
r
o
l
l
o

d
e

P
r
o
y
e
c
t
o
s

d
e

T
I
.
1
.
4
.
1
0

L
a

t
e
r
m
i
n
a
c
i
n

n
o
r
m
a
l

d
e

c
o
n
t
r
a
t
o
s
,

s
u

r
e
s
c
i
s
i
n

o

r
e
s
o
l
u
c
i
n
A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

c
o
n
t
r
a
t
o
s
C
u
m
p
l
i
d
o
L
a

U
T
I

m
a
n
t
i
e
n
e

c
o
m
o

p
o
l
t
i
c
a

l
a

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

c
o
n
t
r
a
t
o
s

r
e
l
a
c
i
o
n
a
d
o
s

c
o
n

T
I
,

a

t
r
a
v
s

d
e

l
o
s

c
o
o
r
d
i
n
a
d
o
r
e
s
;

s
e
g
n

e
s
p
e
c
i
a
l
i
d
a
d

y

a
n
i
d
a
d
,

c
o
n

e
l

o
b
j
e
t
i
v
o

d
e

u
n

c
o
n
t
r
o
l

p
e
r
i
d
i
c
o

y

d
i
r
e
c
t
o

s
o
b
r
e

l
a

e
j
e
c
u
c
i
n
,

s
u

c
o
n
t
i
n
u
i
d
a
d
,

r
e
s
c
i
s
i
n

o

l
a

r
e
s
o
l
u
c
i
n

d
e
l

m
i
s
m
o
.
1
.
4
.
1
1

L
a

s
a
l
u
d

y

s
e
g
u
r
i
d
a
d

o
c
u
p
a
c
i
o
n
a
l
C
o
m
i
t

d
e

S
a
l
u
d

O
c
u
p
a
c
i
o
n
a
l

o
p
e
r
a
n
d
o
C
u
m
p
l
i
d
o
L
a

C
G
R

c
u
e
n
t
a

c
o
n

u
n

C
o
m
i
t

d
e

S
a
l
u
d

O
c
u
p
a
c
i
o
n
a
l

q
u
e

s
e

o
c
u
p
a

p
e
r
m
a
n
e
n
t
e
m
e
n
t
e

d
e

e
s
t
e

t
e
m
a

y

c
o
n

e
l

c
u
a
l

s
e

h
a

c
o
o
r
d
i
n
a
d
o

l
a

e
r
g
o
n
o
m
a

d
e

l
o
s

p
u
e
s
t
o
s

d
e

t
r
a
b
a
j
o

y

s
u

e
n
t
o
r
n
o
.
1
.
5

G
e
s
t
i
n

d
e

p
r
o
y
e
c
t
o
s
G
u
a

m
e
t
o
d
o
l
g
i
c
a

p
a
r
a

l
a

g
e
s
t
i
n

d
e

p
r
o
y
e
c
t
o
s

d
e

T
I
C
u
m
p
l
i
d
o
M
e
t
o
d
o
l
o
g
a

p
a
r
a

e
l

d
e
s
a
r
r
o
l
l
o

d
e

P
r
o
y
e
c
t
o
s

d
e

T
e
c
n
o
l
o
g
a

I
n
f
o
r
m
a
c
i
n

y

C
o
m
u
n
i
c
a
c
i
o
n
e
s
.

A
c
t
u
a
l
m
e
n
t
e

e
n

u
s
o

p
a
r
a

t
o
d
o
s

l
o
s

p
r
o
y
e
c
t
o
s

d
e

T
I
.

S
e

m
a
n
t
i
e
n
e

e
n

e
j
e
c
u
c
i
n

l
a

c
a
r
t
e
r
a

d
e

p
r
o
y
e
c
t
o
s

a
p
r
o
b
a
d
a

p
o
r

e
l

D
e
s
p
a
c
h
o

d
e

l
a
s

s
e
o
r
a
s

C
o
n
t
r
a
l
o
r
a
s

y

q
u
e

s
e

e
n
c
u
e
n
t
r
a

i
n
c
o
r
p
o
r
a
d
o

e
n

e
l

P
T
A
C
.
1
.
6

D
e
c
i
s
i
o
n
e
s

s
o
b
r
e

a
s
u
n
t
o
s

e
s
t
r
a
t
g
i
c
o
s

d
e

T
I
F
u
n
c
i
o
n
a
m
i
e
n
t
o

e
f
e
c
t
i
v
o

d
e
l

C
o
m
i
t

G
e
r
e
n
c
i
a
l

d
e

T
e
c
n
o
l
o
g
a
s

d
e

I
n
f
o
r
m
a
c
i
n

y

C
o
m
u
n
i
c
a
c
i
n
C
u
m
p
l
i
d
o
E
l

c
o
m
i
t

g
e
r
e
n
c
i
a
l

a
t
i
e
n
d
e

c
o
n
v
o
c
a
t
o
r
i
a
s

a

r
e
u
n
i
o
n
e
s
,

s
e
g
n

s
e
a

n
e
c
e
s
a
r
i
o
.

A
d
e
m
s
,

c
u
e
n
t
a

c
o
n

u
n

c
o
m
i
t

A
d

h
o
c

p
a
r
a

a
n
l
i
s
i
s

p
r
e
l
i
m
i
n
a
r

d
e

l
a
s

p
r
o
p
u
e
s
t
a
s

d
e

s
o
l
u
c
i
o
n
e
s

t
e
c
n
o
l
g
i
c
a
s
.
1
.
7

C
u
m
p
l
i
m
i
e
n
t
o

d
e

o
b
l
i
g
a
c
i
o
n
e
s

r
e
l
a
c
i
o
n
a
d
a
s

c
o
n

l
a

g
e
s
t
i
n

d
e

T
I
M
a
r
c
o

j
u
r
d
i
c
o

c
o
n

i
n
c
i
d
e
n
c
i
a

e
n

T
I

d
i
s
p
o
n
i
b
l
e
,

a
c
t
u
a
l
i
z
a
d
o

y

a
p
l
i
c
a
d
o
.
C
u
m
p
l
i
d
o

S
e

e
l
a
b
o
r

u
n

M
a
r
c
o

J
u
r
d
i
c
o

s
i
c
o
-

d
e

a
p
l
i
c
a
c
i
n

e
n

l
a

C
G
R
,

e
l

c
u
a
l

e
s

d
e

a
c
t
u
a
l
i
z
a
c
i
n

p
e
r
m
a
n
e
n
t
e

e
n

t
r
m
i
n
o
s

d
e

l
e
y
e
s
,

n
o
r
m
a
t
i
v
a
,

r
e
s
o
l
u
c
i
o
n
e
s

y

c
o
n
t
r
a
t
o
s
,

e
n
t
r
e

o
t
r
o
s
,

c
o
n

e
l

p
r
o
p
s
i
t
o

d
e

e
v
i
t
a
r

p
o
s
i
b
l
e
s

c
o
n
i
c
t
o
s

l
e
g
a
l
e
s

q
u
e

l
l
e
g
u
e
n

a

o
c
a
s
i
o
n
a
r

e
v
e
n
t
u
a
l
e
s

p
e
r
j
u
i
c
i
o
s

e
c
o
n
m
i
c
o
s

y

d
e

o
t
r
a

n
a
t
u
r
a
l
e
z
a

a

l
a

i
n
s
t
i
t
u
c
i
n
.

S
e

a
c
t
u
a
l
i
z
a
r

c
o
n

u
n

p
r
o
y
e
c
t
o

d
e

m
a
e
s
t
r
a

d
e
l

I
T
E
C

y

s
e

s
o
m
e
t
e
r

a

r
e
v
i
s
i
n

a

l
a

D
C
A
.
S
e
g
u
i
m
i
e
n
t
o

o
p
o
r
t
u
n
o

a

c
o
n
t
r
a
t
o
s

d
e

T
I
.
C
u
m
p
l
i
d
o
E
x
i
s
t
e

u
n
a

g
e
s
t
i
n

p
r
c
t
i
c
a

p
o
r

r
e
a

d
e

l
a

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
o
s

c
o
n
t
r
a
t
o
s

e
n

U
T
I
.

2
.
1

P
l
a
n
i
c
a
c
i
n

d
e

l
a
s

t
e
c
n
o
l
o
g
a
s

d
e

i
n
f
o
r
m
a
c
i
n
S
e
g
u
i
m
i
e
n
t
o

a
l

P
E
T
I
C

y

P
T
A
C
C
u
m
p
l
i
d
o
S
e
g
u
i
m
i
e
n
t
o

d
e

p
r
o
y
e
c
t
o
s

c
o
n
s
t
a
n
t
e

a

t
r
a
v
s

d
e

r
e
u
n
i
o
n
e
s

p
e
r
i
d
i
c
a
s

c
o
n

l
o
s

l
d
e
r
e
s

d
e

p
r
o
y
e
c
t
o
s
.
C
o
m
p
r
o
m
i
s
o
s

d
e

g
e
s
t
i
n

y

P
A
O

a
l
i
n
e
a
d
o

a
l

P
E
T
I
C

y

P
T
A
C
C
u
m
p
l
i
d
o
P
r
o
y
e
c
t
o
s

d
e
l

P
T
A
C

f
u
n
g
e
n

c
o
m
o

c
o
m
p
r
o
m
i
s
o
s

d
e

g
e
s
t
i
n

d
e

c
a
d
a

r
e
a
.

S
e

h
a

r
e
s
p
e
t
a
d
o

e
l

m
e
c
a
n
i
s
m
o

d
e

i
n
c
l
u
s
i
n

d
e

p
r
o
y
e
c
t
o
s

d
e
n
i
d
o

e
n

e
l

P
T
A
C
.

2
.
2

M
o
d
e
l
o

d
e

a
r
q
u
i
t
e
c
t
u
r
a

d
e

i
n
f
o
r
m
a
c
i
n
M
o
d
e
l
o

d
e

a
r
q
u
i
t
e
c
t
u
r
a

d
e

i
n
f
o
r
m
a
c
i
n

n
i
v
e
l

1
.

C
u
m
p
l
i
d
o
L
o
s

s
i
g
u
i
e
n
t
e
s

n
i
v
e
l
e
s

d
e
l

m
o
d
e
l
o

d
e

i
n
f
o
r
m
a
c
i
n
,

d
e
p
e
n
d
e
n

d
e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

s
i
g
u
i
e
n
t
e

f
a
s
e

d
e
l

M
A
G
E
F
I

e
n

l
o

q
u
e

r
e
s
p
e
c
t
a

a

p
r
o
c
e
d
i
m
i
e
n
t
o
s
,

d
e

d
o
n
d
e

s
e

d
e
b
e
n

g
e
n
e
r
a
r

l
o
s

i
n
s
u
m
o
s

n
e
c
e
s
a
r
i
o
s

p
a
r
a

l
o
s

s
i
g
u
i
e
n
t
e
s

n
i
v
e
l
e
s

y

p
a
r
a

l
a

e
l
a
b
o
r
a
c
i
n

d
e
l

d
i
c
c
i
o
n
a
r
i
o

d
e

d
a
t
o
s
.
2
.
3

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a

a
l
i
n
e
a
d
a

a

P
E
T
I
C
C
u
m
p
l
i
d
o

L
a

C
G
R

c
u
e
n
t
a

c
o
n

u
n
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a

a
d
e
c
u
a
d
a
,

a
l
i
n
e
a
d
a

y

a
c
t
u
a
l
i
z
a
d
a

a

l
a
s

n
e
c
e
s
i
d
a
d
e
s

s
u
s
t
a
n
t
i
v
a
s

y

d
e

a
p
o
y
o
,

p
r
o
d
u
c
t
o

d
e

u
n

d
i
r
e
c
c
i
o
n
a
m
i
e
n
t
o

e
s
t
r
a
t
g
i
c
o

e
n

T
I

d
e
n
i
d
o

e
n

e
l

P
E
T
I
C
.
P
l
a
n

d
e

c
a
p
a
c
i
d
a
d
C
u
m
p
l
i
d
o
S
e

e
l
a
b
o
r

e
l

M
a
n
u
a
l

P
l
a
n

d
e

l
a

C
a
p
a
c
i
d
a
d

e
n

T
I
,

q
u
e

l
e

p
e
r
m
i
t
i
r

a

l
a

U
T
I

m
e
j
o
r
a
r

l
a

a
c
t
u
a
l
i
z
a
c
i
n

d
e

s
u

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a

a

p
a
r
t
i
r

d
e
l

s
e
g
u
n
d
o

s
e
m
e
s
t
r
e

d
e
l

2
0
0
9
.

2
.
4

I
n
d
e
p
e
n
d
e
n
c
i
a

y

r
e
c
u
r
s
o

h
u
m
a
n
o

d
e

l
a

f
u
n
c
i
n

d
e

T
I
E
s
t
r
u
c
t
u
r
a

o
r
g
n
i
c
a

a
c
t
u
a
l
i
z
a
d
a

a
c
o
r
d
e

c
o
n

P
E
T
I
C
C
u
m
p
l
i
d
o
E
l

P
E
T
I
C

g
a
r
a
n
t
i
z
a

u
n
a

v
i
s
i
n

i
n
s
t
i
t
u
c
i
o
n
a
l

y

p
r
o
m
u
e
v
e

l
a

i
n
d
e
p
e
n
d
e
n
c
i
a

f
u
n
c
i
o
n
a
l

e
n

e
l

d
e
s
a
r
r
o
l
l
o

d
e

s
o
l
u
c
i
o
n
e
s

t
e
c
n
o
l
g
i
c
a
s
.

A
c
t
u
a
l
m
e
n
t
e

l
a

U
T
I

d
e
p
e
n
d
e

d
e

l
a

D
i
v
i
s
i
n

d
e

G
e
s
t
i
n

d
e

A
p
o
y
o

y

s
u

i
n
d
e
p
e
n
d
e
n
c
i
a

f
u
n
c
i
o
n
a
l

s
e

v
e

f
o
r
t
a
l
e
c
i
d
a

p
o
r

m
e
d
i
o

d
e

u
n
a

p
a
r
t
i
c
i
p
a
c
i
n

d
i
r
e
c
t
a

d
e
l

D
e
s
p
a
c
h
o

e
n

d
i
s
t
i
n
t
a
s

c
o
m
i
s
i
o
n
e
s

a
d

h
o
c

e
n
f
o
c
a
d
a
s

a

l
a

f
u
n
c
i
n

d
e

T
I

e
n

l
a

I
n
s
t
i
t
u
c
i
n
,

p
o
r

l
a

e
x
i
s
t
e
n
c
i
a

d
e

u
n
a

c
a
r
t
e
r
a

d
e

p
r
o
y
e
c
t
o
s

a

d
e
s
a
r
r
o
l
l
a
r

y

l
a

e
x
i
s
t
e
n
c
i
a

d
e
l

C
G
T
I
C
P
r
o
g
r
a
m
a

d
e

a
c
t
u
a
l
i
z
a
c
i
n
,

i
n
f
o
r
m
a
c
i
n

a

u
s
u
a
r
i
o
s
C
u
m
p
l
i
d
o
S
e

e
l
a
b
o
r

u
n

e
s
t
u
d
i
o

p
a
r
a

l
a

e
l
a
b
o
r
a
c
i
n

d
e
l

P
l
a
n

d
e

E
d
u
c
a
c
i
n

c
o
n
t
i
n
u
a

e
n

t
e
c
n
o
l
o
g
a
s

d
e

i
n
f
o
r
m
a
c
i
n

y

c
o
m
u
n
i
c
a
c
i
n
.

2
.
5

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

r
e
c
u
r
s
o
s

n
a
n
c
i
e
r
o
s
P
r
e
s
u
p
u
e
s
t
o

d
e

i
n
v
e
r
s
i
o
n
e
s

c
o
n

b
a
s
e

e
n

e
l

P
T
A
C
C
u
m
p
l
i
d
o

E
l

p
r
e
s
u
p
u
e
s
t
o

d
e

i
n
v
e
r
s
i
o
n
e
s

d
e

l
a

U
T
I

y

s
u
s

m
o
d
i
c
a
c
i
o
n
e
s
,

s
e

d
e
r
i
v
a

d
e
l

P
T
A
C

y

e
s

a
p
r
o
b
a
d
o

p
o
r

e
l

D
e
s
p
a
c
h
o

c
o
n

b
a
s
e

e
n

l
a
s

r
e
c
o
m
e
n
d
a
c
i
o
n
e
s

q
u
e

e
m
i
t
a

e
l

C
G
T
I
C

y

e
l

c
o
m
i
t

a
d

h
o
c

d
e

s
e
g
u
i
m
i
e
n
t
o

a
l

P
E
T
I
C
-
P
T
A
C
.
3
.
1

C
o
n
s
i
d
e
r
a
c
i
o
n
e
s

g
e
n
e
r
a
l
e
s

d
e

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

d
e

T
I
.

L
a

o
r
g
a
n
i
z
a
c
i
n

d
e
b
e

i
m
p
l
e
m
e
n
t
a
r

y

m
a
n
t
e
n
e
r

l
a
s

T
I

r
e
q
u
e
r
i
d
a
s

e
n

c
o
n
c
o
r
d
a
n
c
i
a

c
o
n

s
u

m
a
r
c
o

e
s
t
r
a
t
g
i
c
o
,

p
l
a
n
i
c
a
c
i
n
,

m
o
d
e
l
o

d
e

a
r
q
u
i
t
e
c
t
u
r
a

d
e

i
n
f
o
r
m
a
c
i
n

e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
.
M
e
t
o
d
o
l
o
g
a

p
a
r
a

d
e
s
a
r
r
o
l
l
o

d
e

p
r
o
y
e
c
t
o
s

d
e

T
I

a
p
l
i
c
a
d
a

i
n
s
t
i
t
u
c
i
o
n
a
l
m
e
n
t
e
C
u
m
p
l
i
d
o
L
a

c
a
r
t
e
r
a

d
e

p
r
o
y
e
c
t
o
s

d
e

T
I

s
e

d
e
s
a
r
r
o
l
l
a

e

i
m
p
l
e
m
e
n
t
a

c
o
n

b
a
s
e

a

e
s
t
a

m
e
t
o
d
o
l
o
g
a

y

e
s

a
p
l
i
c
a
d
a

p
o
r

l
o
s

P
a
t
r
o
c
i
n
a
d
o
r
e
s

y

e
l

e
q
u
i
p
o

d
e

t
r
a
b
a
j
o

e
n

s
u

t
o
t
a
l
i
d
a
d
.
S
e

c
u
e
n
t
a

c
o
n

u
n

m
o
d
e
l
o

d
e

A
r
q
u
i
t
e
c
t
u
r
a

d
e

I
n
f
o
r
m
a
c
i
n

e
n

s
u

n
i
v
e
l

i
n
i
c
i
a
l
.
L
a
s

T
I

s
e

i
m
p
l
e
m
e
n
t
a
n

c
o
n

b
a
s
e

a

P
E
T
I
C

y

P
T
A
C
.

3
.
2

I
m
p
l
e
m
e
n
t
a
c
i
n

d
e

s
o
f
t
w
a
r
e

S
o
f
t
w
a
r
e

e
n

u
s
o

d
e

a
c
u
e
r
d
o

c
o
n

l
a
s

n
e
c
e
s
i
d
a
d
e
s

d
e

l
a

i
n
s
t
i
t
u
c
i
n
C
u
m
p
l
i
d
o
E
l

s
o
f
t
w
a
r
e

q
u
e

s
e

d
e
s
a
r
r
o
l
l
a

e

i
m
p
l
e
m
e
n
t
a

e
s

c
o
n

b
a
s
e

a
l

P
T
A
C

a
l

p
l
a
n

d
e

c
o
m
p
r
a
s

d
e
r
i
v
a
d
o

d
e
l

P
E
T
I
C
,

a
m
b
o
s

a
p
r
o
b
a
d
o
s

p
o
r

e
l

D
e
s
p
a
c
h
o

d
e

l
a
s

s
e
o
r
a
s

C
o
n
t
r
a
l
o
r
a
s
.
A
p
l
i
c
a
c
i
n

d
e

l
a

g
u
a

m
e
t
o
d
o
l
g
i
c
a

p
a
r
a

e
l

d
e
s
a
r
r
o
l
l
o

d
e

s
i
s
t
e
m
a
s

C
u
m
p
l
i
d
o
P
a
r
a

t
o
d
o
s

l
o
s

p
r
o
y
e
c
t
o
s

d
e

T
I

s
e

a
p
l
i
c
a

a

n
i
v
e
l

i
n
s
t
i
t
u
c
i
o
n
a
l

l
a

M
e
t
o
d
o
l
o
g
a

p
a
r
a

d
e
s
a
r
r
o
l
l
o

d
e

p
r
o
y
e
c
t
o
s
.
3
.
3

I
m
p
l
e
m
e
n
t
a
c
i
n

d
e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a

a
l
i
n
e
a
d
a

a
l

P
E
T
I
C
C
u
m
p
l
i
d
o

L
a

C
G
R

c
u
e
n
t
a

c
o
n

u
n
a

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a

t
e
c
n
o
l
g
i
c
a

a
d
e
c
u
a
d
a
,

a
l
i
n
e
a
d
a

y

a
c
t
u
a
l
i
z
a
d
a

a

l
a
s

n
e
c
e
s
i
d
a
d
e
s

s
u
s
t
a
n
t
i
v
a
s

y

d
e

a
p
o
y
o
,

p
r
o
d
u
c
t
o

d
e

u
n

d
i
r
e
c
c
i
o
n
a
m
i
e
n
t
o

e
s
t
r
a
t
g
i
c
o

e
n

T
I

d
e
n
i
d
o

e
n

e
l

P
E
T
I
C
.
3
.
4

C
o
n
t
r
a
t
a
c
i
n

d
e

t
e
r
c
e
r
o
s

p
a
r
a

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

y

m
a
n
t
e
n
i
m
i
e
n
t
o

d
e

s
o
f
t
w
a
r
e

e

i
n
f
r
a
e
s
t
r
u
c
t
u
r
a
S
e
r
v
i
c
i
o
s

c
o
n
t
r
a
t
a
d
o
s

a

t
e
r
c
e
r
o
s

c
o
n

b
a
s
e

e
n

e
s
t
n
d
a
r
e
s

i
n
s
t
i
t
u
c
i
o
n
a
l
e
s
C
u
m
p
l
i
d
o

A
p
l
i
c
a

t
o
d
o

l
o

r
e
l
a
c
i
o
n
a
d
o

a

m
e
t
o
d
o
l
o
g
a
s
,

g
u
a
s
,

p
r
o
c
e
d
i
m
i
e
n
t
o
s
,

o
r
g
a
n
i
z
a
c
i
n
,

c
o
n
t
r
o
l
e
s

y

a
m
b
i
e
n
t
e
s

d
e

t
r
a
b
a
j
o
,

e
n
t
r
e

o
t
r
o
s
.

4
.
1

D
e
n
i
c
i
n

y

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

a
c
u
e
r
d
o
s

d
e

s
e
r
v
i
c
i
o
s
I
d
e
n
t
i
c
a
c
i
n

c
o
m
p
l
e
t
a

y

r
e
g
i
s
t
r
a
d
a

y

s
e
g
u
i
m
i
e
n
t
o

d
e

l
o
s

s
e
r
v
i
c
i
o
s

d
e

l
a

f
u
n
c
i
n

d
e

T
I
P
e
n
d
i
e
n
t
e
S
e

d
e
n
i
e
r
o
n

l
o
s

a
c
u
e
r
d
o
s

d
e

n
i
v
e
l

d
e

s
e
r
v
i
c
i
o

a

r
m
a
r

c
o
n

l
o
s

G
e
r
e
n
t
e
s

d
e

D
i
v
i
s
i
n
,

e
s
t

p
e
n
d
i
e
n
t
e

l
a

r
e
v
i
s
i
n

y

r
m
a

p
a
r
a

s
u

a
p
l
i
c
a
c
i
n

y

a
d
m
i
n
i
s
t
r
a
c
i
n
.
4
.
2

A
d
m
i
n
i
s
t
r
a
c
i
n

y

o
p
e
r
a
c
i
n

d
e

l
a

p
l
a
t
a
f
o
r
m
a

t
e
c
n
o
l
g
i
c
a
.
D
i
a
g
n
s
t
i
c
o

a
n
u
a
l

d
e

c
a
p
a
c
i
d
a
d
,

m
a
n
t
e
n
i
m
i
e
n
t
o

y

e
v
o
l
u
c
i
n

d
e

l
a

p
l
a
t
a
f
o
r
m
a

t
e
c
n
o
l
g
i
c
a
C
u
m
p
l
i
d
o
S
e

e
l
a
b
o
r

e
l

M
a
n
u
a
l

P
l
a
n

d
e

l
a

C
a
p
a
c
i
d
a
d

e
n

T
I

p
a
r
a

i
m
p
l
e
m
e
n
t
a
r

e
n

e
l

s
e
g
u
n
d
o

s
e
m
e
s
t
r
e

d
e
l

2
0
0
9
.
E
n

e
l

S
i
s
t
e
m
a

d
e

C
o
n
t
i
n
g
e
n
c
i
a
s
,

d
i
s
p
o
n
i
b
l
e

e
n

l
a

I
n
t
r
a
n
e
t
,

s
e

e
n
c
u
e
n
t
r
a
n

r
e
g
i
s
t
r
a
d
o
s

2
2
1

p
r
o
c
e
d
i
m
i
e
n
t
o
s

a
s
o
c
i
a
d
o
s

c
o
n

l
a

o
p
e
r
a
c
i
n

d
e

l
a

p
l
a
t
a
f
o
r
m
a

y

l
o
s

r
e
s
p
o
n
s
a
b
l
e
s

p
o
r

r
e
c
u
r
s
o

t
e
c
n
o
l
g
i
c
o
.

4
.
3

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
o
s

d
a
t
o
s
P
o
l
t
i
c
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

r
e
v
i
s
a
d
o
s

y

a
c
t
u
a
l
i
z
a
d
o
s
C
u
m
p
l
i
d
o
D
e

a
c
u
e
r
d
o

c
o
n

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

u
s
u
a
r
i
o

s
e

a
s
e
g
u
r
a

l
a

v
a
l
i
d
e
z

d
e

l
a
s

t
r
a
n
s
a
c
c
i
o
n
e
s

m
e
d
i
a
n
t
e

f
u
n
c
i
o
n
e
s

t
e
c
n
o
l
g
i
c
a
s

i
n
t
e
g
r
a
d
a
s

a

l
a

b
a
s
e

d
e

d
a
t
o
s
;

s
u

i
n
t
e
g
r
i
d
a
d
,

a
l
m
a
c
e
n
a
m
i
e
n
t
o

y

s
u

v
i
g
e
n
c
i
a
.

4
.
4

A
t
e
n
c
i
n

d
e

r
e
q
u
e
r
i
m
i
e
n
t
o
s

d
e

l
o
s

u
s
u
a
r
i
o
s

d
e

T
I
C
e
n
t
r
o

d
e

a
t
e
n
c
i
n

a

u
s
u
a
r
i
o
s

c
e
n
t
r
a
l
i
z
a
d
o
.
C
u
m
p
l
i
d
o

L
a

U
T
I

t
i
e
n
e

i
m
p
l
e
m
e
n
t
a
d
o

u
n

s
i
s
t
e
m
a

d
e

c
o
n
t
r
o
l

d
e

c
a
m
b
i
o
s

q
u
e

f
a
c
i
l
i
t
a

a
l

u
s
u
a
r
i
o

l
a

s
o
l
i
c
i
t
u
d

d
e

a
j
u
s
t
e
s

o

d
e

i
n
c
o
r
p
o
r
a
c
i
n

d
e

n
u
e
v
a
s

f
u
n
c
i
o
n
a
l
i
d
a
d
e
s

a

l
o
s

s
i
s
t
e
m
a
s

q
u
e

e
s
t
n

o
p
e
r
a
n
d
o

e
n

l
a

I
n
s
t
i
t
u
c
i
n

y

d
i
s
p
o
n
i
e
n
d
o

u
n

s
i
s
t
e
m
a

p
a
r
a

a
u
t
o

s
e
r
v
i
r
s
e

o

r
e
g
i
s
t
r
a
r

s
u

r
e
q
u
e
r
i
m
i
e
n
t
o

(
V
e
r

S
O
S
)
,

o

r
e
a
l
i
z
a
n
d
o

u
n
a

l
l
a
m
a
d
a

p
a
r
a

r
e
g
i
s
t
r
o

o

s
e
r
v
i
c
i
o

r
e
m
o
t
o

e
n

l
n
e
a
.

L
a

U
T
I

a
t
i
e
n
d
e

e
s
t
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

e
n

o
r
d
e
n

d
e

u
r
g
e
n
c
i
a
,

i
m
p
o
r
t
a
n
c
i
a
,

p
r
i
o
r
i
d
a
d

y

m
e
d
i
a
n
t
e

c
a
p
a
c
i
t
a
c
i
n

d
i
r
i
g
i
d
a
.
S
e

r
e
c
o
m
i
e
n
d
a

e
v
o
l
u
c
i
o
n
a
r

a

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

d
e

u
n

c
e
n
t
r
o

d
e

a
t
e
n
c
i
n

d
e

u
s
u
a
r
i
o
s

t
i
p
o

c
a
l
l

c
e
n
t
e
r
.

S
i
s
t
e
m
a

d
e

c
o
n
o
c
i
m
i
e
n
t
o

e
f
e
c
t
i
v
o

q
u
e

g
e
n
e
r
e

a
p
r
e
n
d
i
z
a
j
e

y

a
u
t
o
s
e
r
v
i
c
i
o
P
e
n
d
i
e
n
t
e

S
e

r
e
a
l
i
z

u
n

e
s
t
u
d
i
o

p
a
r
a

d
e
s
a
r
r
o
l
l
a
r

u
n

P
l
a
n

d
e

E
d
u
c
a
c
i
n

e
n

T
I
.

4
.
5

M
a
n
e
j
o

d
e

i
n
c
i
d
e
n
t
e
s
R
e
s
o
l
v
e
r

y

d
o
c
u
m
e
n
t
a
r

l
o
s

i
n
c
i
d
e
n
t
e
s

e
n

f
u
n
c
i
n

d
e

l
a

m
e
j
o
r
a

c
o
n
t
i
n
u
a
C
u
m
p
l
i
d
o
T
o
d
o

t
i
p
o

d
e

s
i
t
u
a
c
i
n

e
s
p
e
c
i
a
l

e
s

a
n
a
l
i
z
a
d
a

p
o
r

f
u
n
c
i
o
n
a
r
i
o
s

d
e

l
a

U
T
I

e
n

a
r
a
s

d
e

l
o
g
r
a
r

l
a

m
e
j
o
r

s
o
l
u
c
i
n

y

t
r
a
t
n
d
o
s
e

d
e

i
n
c
i
d
e
n
t
e
s

o

e
v
e
n
t
o
s
,

e
s
t
o
s

s
o
n

r
e
g
i
s
t
r
a
d
o
s

e
n

l
o
s

S
C
S

o

d
e

S
O
S
,

p
a
r
a

m
i
n
i
m
i
z
a
r

e
l

r
i
e
s
g
o

d
e

r
e
c
u
r
r
e
n
c
i
a

y

p
a
r
a

a
g
i
l
i
z
a
r

e
l

t
i
e
m
p
o

d
e

r
e
s
p
u
e
s
t
a

e
n

c
a
s
o

d
e

q
u
e

s
e

m
a
t
e
r
i
a
l
i
c
e

d
e

n
u
e
v
o
.
4
.
6

A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

s
e
r
v
i
c
i
o
s

p
r
e
s
t
a
d
o
s

p
o
r

t
e
r
c
e
r
o
s
S
e
r
v
i
c
i
o
s

c
o
n
t
r
a
t
a
d
o
s

a

t
e
r
c
e
r
o
s

c
o
n

b
a
s
e

e
n

e
s
t
n
d
a
r
e
s

i
n
t
e
r
n
a
c
i
o
n
a
l
e
s
C
u
m
p
l
i
d
o
E
n

l
o

q
u
e

r
e
s
p
e
c
t
a

a

s
e
r
v
i
c
i
o
s

d
e

t
e
r
c
e
r
o
s
,

s
e

e
s
t
a
b
l
e
c
e
n

l
o
s

r
e
q
u
e
r
i
m
i
e
n
t
o
s

c
o
m
o

p
a
r
t
e

d
e
l

c
o
n
t
r
a
t
o
,

y
a

s
e
a

e
n

c
l
u
s
u
l
a
s

e
s
p
e
c
c
a
s

o

a
n
e
x
o
s

d
e
l

m
i
s
m
o
,

a
p
l
i
c
a
n
d
o

b
u
e
n
a
s

p
r
c
t
i
c
a
s
.

5
.
1

S
e
g
u
i
m
i
e
n
t
o

d
e

l
o
s

p
r
o
c
e
s
o
s

d
e

T
I
E
v
a
l
u
a
c
i
n

p
e
r
i
d
i
c
a

d
e
l

P
E
T
I
C
,

P
T
A
C

C
u
m
p
l
i
d
o
L
a

o
r
g
a
n
i
z
a
c
i
n

c
u
e
n
t
a

c
o
n

u
n

m
a
r
c
o

d
e

r
e
f
e
r
e
n
c
i
a

q
u
e

e
s

e
l

P
l
a
n

E
s
t
r
a
t
g
i
c
o

I
n
s
t
i
t
u
c
i
o
n
a
l

(
P
E
I
)
,

e
l

P
E
T
I
C

y

P
T
A
C
,

u
n
i
d
o
s

a
l

M
o
d
e
l
o

d
e

A
r
q
u
i
t
e
c
t
u
r
a

d
e

I
n
f
o
r
m
a
c
i
n
,

e
l

M
a
n
u
a
l

G
e
n
e
r
a
l

d
e

F
i
s
c
a
l
i
z
a
c
i
n

(
M
A
G
E
F
I
)

c
o
m
o

u
n

m
a
r
c
o

d
e

p
r
o
c
e
s
o
s
,

l
a

A
u
d
i
t
o
r
a

I
n
t
e
r
n
a

c
o
m
o

u
n

e
l
e
m
e
n
t
o

d
e

a
d
v
e
r
t
e
n
c
i
a

y

a
s
e
s
o
r
a

y

u
n
a

U
n
i
d
a
d

d
e

G
o
b
i
e
r
n
o

C
o
r
p
o
r
a
t
i
v
o

q
u
e

s
e

e
n
c
a
r
g
a

d
e

d
a
r
l
e

s
e
g
u
i
m
i
e
n
t
o

a

l
a

f
u
n
c
i
n

d
e

T
I
;

a
d
e
m
s

d
e
l

C
G
T
I
C

y

l
a

c
o
m
i
s
i
n

A
d

h
o
c
.
C
o
m
p
r
o
m
i
s
o
s

d
e

g
e
s
t
i
n

y

P
A
O

a
l
i
n
e
a
d
o
s
C
u
m
p
l
i
d
o
S
e

r
e
l
a
c
i
o
n
a

c
o
n

l
a

n
o
r
m
a

2
.
1
5
.
2

S
e
g
u
i
m
i
e
n
t
o

y

e
v
a
l
u
a
c
i
n

d
e
l

c
o
n
t
r
o
l

i
n
t
e
r
n
o

e
n

T
I
D
i
s
e
o

e

i
m
p
l
e
m
e
n
t
a
c
i
n

d
e

m
e
d
i
d
a
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o

e
n

T
I
,

i
n
t
e
g
r
a
d
a
s

a
l

S
C
I
C
u
m
p
l
i
d
o
L
a

U
T
I

d
e
b
e

r
e
n
d
i
r

c
u
e
n
t
a
s

s
o
b
r
e

l
a

g
e
s
t
i
n

c
o
n

b
a
s
e

a
l

P
T
A
C

y

a
l

P
A
O
,

a
d
e
m
s

d
e

q
u
e

t
o
d
o
s

l
o
s

f
u
n
c
i
o
n
a
r
i
o
s

d
e

l
a

i
n
s
t
i
t
u
c
i
n

s
e

c
o
n
v
i
e
r
t
e
n

e
n

c
o
n
t
r
o
l
a
d
o
r
e
s

d
e

l
a

b
u
e
n
a

o
p
e
r
a
c
i
n

d
e

l
a

t
e
c
n
o
l
o
g
a

e
n

u
s
o
.

A
d
i
c
i
o
n
a
l
,

l
a

U
n
i
d
a
d

d
e

G
o
b
i
e
r
n
o

C
o
r
p
o
r
a
t
i
v
o

l
e

d
a

s
e
g
u
i
m
i
e
n
t
o

t
r
i
m
e
s
t
r
a
l

a
l

c
u
m
p
l
i
m
i
e
n
t
o

d
e
l

P
T
A
C
.
5
.
3

P
a
r
t
i
c
i
p
a
c
i
n

d
e

l
a

A
u
d
i
t
o
r
a
A
u
d
i
t
o
r
a

i
n
t
e
r
n
a

a
u
d
i
t
a
n
d
o
,

a
s
e
s
o
r
a
n
d
o

y

r
e
c
o
m
e
n
d
a
n
d
o

m
e
j
o
r
a
s

e
n

m
a
t
e
r
i
a

d
e

T
I
.
C
u
m
p
l
i
d
o
E
s
t
a

e
s

u
n
a

l
a
b
o
r

q
u
e

s
e

m
a
n
t
i
e
n
e

m
u
y

b
i
e
n

e
j
e
c
u
t
a
d
a

p
o
r

l
a

A
u
d
i
t
o
r
a

I
n
t
e
r
n
a

d
e

l
a

C
G
R
,

s
u
m
i
n
i
s
t
r
a
n
d
o

r
e
c
o
m
e
n
d
a
c
i
o
n
e
s

d
e

v
a
l
o
r

a
g
r
e
g
a
d
o

p
a
r
a

e
l

f
o
r
t
a
l
e
c
i
m
i
e
n
t
o

d
e
l

c
o
n
t
r
o
l

i
n
t
e
r
n
o
.


Informe NTI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe NTI

Cargado por

Copyright:

Formatos disponibles

Contralora General de la Repblica

Divisin de Gestin de Apoyo

También podría gustarte