Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normas Téc en TI y Comunics
Normas Téc en TI y Comunics
Normas Tcnicas en
Tecnologas de Informacin y
Comunicaciones
Introduccin
Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI),
en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios bsicos de control que deben ser observados
en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la fiscalizacin.
De manera congruente con este objetivo, estos criterios bsicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009CO-2009, como lo consigna la norma No. 5.9:
5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus
competencias, deben propiciar el aprovechamiento de tecnologas de informacin
que apoyen la gestin institucional mediante el manejo apropiado de la informacin
y la implementacin de solu ciones giles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologas de informacin, emitida por
la CGR.
Conscientes de que las tecnologas de informacin constituyen un factor crtico y
estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de
soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuacin se emite un informe con los principales aspectos desarrollados en la
Contralora General, como Administracin Activa, en atencin de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos
a su fiscalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para
cumplir con la serie de criterios bsicos de gestin y control de las NT.
Metodologa
Para atender la normativa se inici con el trabajo de preparacin delineado en el
artculo 6 de la Resolucin No. R-CO-26-2007, a saber:
La constitucin de un equipo de trabajo.
La designacin de un responsable del proceso de implementacin,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan definido.
El estudio detallado de las normas tcnicas referidas, para identificar las que
apliquen a la entidad u rgano de conformidad con su realidad tecnolgica
y con base en ello establecer prioridades de implementacin.
Una planificacin debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos tcnicos.).
Para su implementacin, la seora Contralora, mediante oficio No. CO-0272 del 15 de
agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente,
que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas
de informacin y comunicacin de la Contralora, y que apoya en su implementacin
y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.
Captulo I
Captulo I
Normas de Aplicacin General
1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la
organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco
estratgico constituido por polticas organizacionales que el personal comprenda y con
las que est comprometido.
1.1.1 Con la representacin de las reas sustantivas y de apoyo de
la CGR, se elabor para su puesta en marcha y ejecucin el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC),
del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual
Operativo las Unidades han incorporado los proyectos correspondientes
para dar cumplimiento al dimensionamiento estratgico y tctico de
TI, todo debidamente alineado al Plan Estratgico Institucional. Ver
documentos PETIC y PETAC.
1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1
mediante charlas generales y especficas; as como por su publicacin en
la Intranet institucional, logrando el compromiso de los patrocinadores y
funcionarios en el desarrollo de soluciones tecnolgicas.
1.1.3 El CGTIC analiz la cartera de proyectos y estableci las
prioridades de ejecucin de los mismos, recomendando al Despacho
de las seoras Contraloras su incorporacin en el PTAC.
integrados a la
Captulo II
Planificacin y organizacin
Captulo III
Implementacin de tecnologas
de informacin
Captulo IV
Prestacin de servicios y
mantenimiento
Captulo V
Seguimiento
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la
gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar
la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo
de dicho proceso.
5.1.1 La organizacin cuenta con un marco de referencia que es el
Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Informacin, el Manual General de Fiscalizacin
(MAGEFI) como un marco de procesos, la Auditora Interna como
un elemento de advertencia y asesora y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la funcin de TI;
adems del CGTIC y la comisin Ad hoc.
Productos elaborados
A continuacin se indican los productos elaborados durante la puesta en marcha de
las Normas Tcnicas.
Fecha
Dic. 2007
Ene.2008
Ene.2008
Mar.2008
Jun.2008
Jun.2008
Jul.2008
Jul. 2008
Ene.2009
Mar.2009
May.2009
NTP11-Mapeo Elctrico
NTP12-Plan continuo de capacitacin
NTP13-Plan de la Capacidad en TI
NTP14-Acuerdo de Nivel de Servicio
NTP15-Marco Jurdico en TI
NTP16-Informe de gestin 2009-01
Jun.2009
Jun.2009
Jun.2009
Jun.2009
Jul.2009
Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contralora General de la Repblica
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirn de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del
Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; as como definir responsables de cada uno de ellos.
Finalmente, garantizar un adecuado seguimiento de la implementacin de estos
productos.
Anexo - NTP0
Diagnostico Inicial
Situacin actual
Se reformul el campo de accin E.
Se elabor un nuevo Plan Estratgico (PETIC).
Se elabor un Plan Tctico con los proyectos a desarrollar.
Producto
Plan de divulgacin del campo de accin E, PETIC y PTAC.
Acciones
El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.
Situacin actual
Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable
del seguimiento y rectora relacionado con la gestin de riesgos.
Producto
Unificacin de esfuerzos relacionados con la administracin de riesgos que puedan
afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos definido. Se recomienda la creacin de una oficina
rectora que dicte; institucionalmente, las polticas sobre riesgos.
Acciones
Capacitacin a coordinadores de la USTI.
Integrar reas relacionadas (Caso de administracin de planta elctrica y
UPS)
Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.
Situacin actual
Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin
de que el usuario registre su calificacin sobre el servicio brindado para valorar la
gestin de la USTI y el mejoramiento continuo.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y
generacin de mtricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planificar para el mejoramiento continuo de TI.
Acciones
Encuestas de satisfaccin, son permanentes producto del registro que
realiza el usuario. Labor permanente.
Definir parmetros y mtricas para evaluar calidad por cada tipo de servicio.
Aplicacin peridica de mtricas. Labor permanente.
Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de informacin. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.
Acciones
Aprobacin de la Gua Metodolgica actualizada.
Fortalecer la administracin de proyectos con los patrocinadores. Labor
permanente.
Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.
Situacin actual
La informacin se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso
del personal y de terceros, as como sobre la implementacin de software, y en el
manejo de la comunicacin.
Producto
Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.
Acciones
Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero,
cpsulas tecnolgicas)
Situacin actual
Se tienen los recursos clasificados por criticidad, as como una evaluacin de riesgos, y
un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitacin del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas
de seguridad en tecnologas de informacin, y plan de capacitacin institucional
actualizados.
Acciones
Actualizar los niveles de criticidad por recurso de TI.
Actualizar plan de implementacin de las medidas de seguridad.
Actualizar plan de capacitacin interna en seguridad.
Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.
Situacin actual
Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est
planificando la divulgacin de su reciente actualizacin aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el
personal.
Acciones
Plan de divulgacin.
Impartir charlas.
Situacin actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica
y unidades de poder para suministro de energa elctrica constante, y la definicin de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicacin de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
Documentar los procedimientos y controles.
Definir plan de accin.
Situacin actual
Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas
con la puesta en marcha de la firma digital en coordinacin con el Banco Central. Se
tienen procedimientos para la proteccin de la informacin almacenada en los medios
magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus.
Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
Continuar con la gestin que se viene realizando al respecto.
Implementar firma digital una vez que el Banco Central libere el servicio.
Situacin actual
Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y
fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignacin de roles con sus
niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la
informacin.
Producto
Procedimientos y poltica de acceso a la informacin, actualizados.
Acciones
Centro de Operaciones con el control de roles y asignacin de passwords.
Oficializar responsables de la informacin (Sistemas).
Actualizar procedimientos de acceso a la informacin.
Activar Log Miner como herramienta para anlisis de manipulacin de datos
y modificaciones a programas fuente.
Situacin actual
Se tienen ms de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los prximos tres aos, as como ambientes separados para los
ambientes de desarrollo y produccin, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
Revisar documentacin, actualizarla y fortalecerla. Labor permanente.
Situacin actual
Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y definir los esquemas de continuidad.
Producto
Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos
documentados.
Acciones
Mantener procedimientos actualizados y funcionales. Labor permanente.
Documentar eventos preventivos y correctivos, y cambios a la plataforma.
Definir esquemas de continuidad para cada servicio de TI.
Situacin actual
Se tiene un CGTIC que es convocado peridicamente.
Producto
Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.
Acciones
Convocar peridicamente al CGTIC.
Situacin actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, as como restricciones tcnicas para el uso de software no licenciado.
Producto
Marco Jurdico con incidencia en TI disponible y actualizado.
Acciones
ptima gestin de contratos. Labor permanente.
Uso institucional de slo las licencias contratadas. Labor permanente.
Situacin actual
Se tienen planes muy bien definidos que facilitan la planificacin.
Producto
PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.
Acciones
Mantener actualizados los planes. Labor permanente.
Situacin actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
informacin, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.
Producto
Arquitectura de Informacin actualizada
Acciones
Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
Definir flujos de informacin.
Documentar las reglas de sintaxis de los datos.
Actualizar diccionario de datos con reglas de sintaxis.
Actualizar Arquitectura de Informacin.
Situacin actual
Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnolgica optimizada y actualizada.
Acciones
Mantener actualizada la infraestructura. Labor permanente.
Situacin actual
Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
Definir independencia funcional de la USTI. Mantener independencia.
Ejecutar el plan de capacitacin. (DNC). Labor permanente.
Situacin actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus
recomendaciones someterlo a la aprobacin del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
Someter el plan de inversiones a la aprobacin del Despacho por
recomendacin del CGTIC.
criterios tcnicos,
Situacin actual
Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.
Producto
Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.
Acciones
Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor
permanente.
Participacin muy activa de los patrocinadores. Labor permanente.
Capacitacin de funcionarios de USTI. Labor permanente.
Situacin actual
Se cuenta con ambientes de pruebas y produccin muy bien definidos, procedimientos
de instalacin de software y control de versiones, migracin de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institucin.
Acciones
Revisar y documentar los criterios de aplicacin de cambios.
Situacin actual
La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las
tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnolgica ptima y actualizada.
Acciones
Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de informacin institucional, incluye plan vivo de actualizacin
y compras. Labor permanente.
Situacin actual
Para la contratacin de los bienes y servicios de TI se consideran las ltimas
especificaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnolgica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener poltica para contratacin de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnologa adquirida. Todas son labores permanentes.
j.
a. Tener
una
comprensin
comn
sobre:
exactitud,
oportunidad,
Situacin actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluacin que se estara
realizando para cada servicio.
Producto
Polticas aplicadas en la contratacin de terceros.
Acciones
Actualizacin de polticas en los contratos que se celebren.
Documentar acuerdos de servicio y forma de evaluacin.
Situacin actual
Se tienen documentados todos los procedimientos para el mantenimiento de la
plataforma tecnolgica, excepto la solucin telefnica que se tiene parcial. La
plataforma est siendo monitoreada constantemente y con base a su comportamiento
se afina, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los
componentes, ambiente separados para desarrollo y produccin, rutinas y polticas de
respaldo, y control sobre la ejecucin de trabajos.
Producto
Diagnstico anual sobre la capacidad de las tecnologas en uso y el crecimiento
proyectado.
Acciones
Planificar y ejecutar un anlisis anual de capacidad en TI.
Mantener procedimientos documentados y operativos. (Solucin telefnica)
Efectuar gestin de tecnologas eficientemente. Todas son labores
permanentes.
Situacin actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada
una de las unidades relacionadas con los sistemas. Es necesario definir una poltica
para desechar datos, de comn acuerdo con los patrocinadores de los sistemas,
verificando la existencia de los procedimientos adecuados.
Producto
Sistemas de informacin actualizados mediante procedimientos oficiales.
Acciones
Definir poltica para desechar datos, asegurando la existencia de
procedimientos oficiales para la actualizacin de sistemas de informacin.
Mantener la bitcora para registro y control de acceso activa.
Utilizar la herramienta de software Log Miner para anlisis de bitcoras.
Situacin actual
Se imparte capacitacin para un mejor aprovechamiento de los sistemas en uso, y se
capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de
informacin.
Acciones
Continuar con la capacitacin a usuarios en el uso de los sistemas.
Fortalecer cultura en TICs va charlas, cpsulas tecnolgicas y cursos.
Labor permanente.
Situacin actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento
para la mejora continua.
Producto
Mantener el registro y documentacin de incidentes actualizado.
Acciones
Continuar con la resolucin de incidentes cada vez que se presenten,
manteniendo un registro documentado de los mismos para minimizar el
riesgo de incidencia y fortalecer los conocimientos. Labor permanente.
Situacin actual
Los contratos son administrados; segn rea de trabajo, por los coordinadores
respectivos.
Producto
Administracin de contratos con nfasis en clusulas sobre responsabilidades, claras
y aplicables.
Acciones
Mantener la administracin efectiva de contratos, va coordinadores.
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de
la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso
de seguimiento en los que defina el alcance, la metodologa y los mecanismos para
vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal
a cargo de dicho proceso.
Situacin actual
Se tiene un marco de referencia clara, siendo necesaria la definicin del proceso
de seguimiento para vigilar la gestin de TI. Se propone una rendicin de cuentas
peridica.
Producto
PETIC, PTAC, Compromisos de Gestin y PAO totalmente alineados.
Acciones
Rendicin de cuentas peridica ante el CGTICS. Labor permanente.
Situacin actual
El sistema de control interno se aplica sobre la gestin de TI, y se aplican medidas
correctivas en funcin de las excepciones que se presenten.
Producto
Gestin de control interno en TICs asociado al sistema institucional.
Acciones
Mantener la gestin de TI asociada al sistema institucional. Labor
permanente.
Situacin actual
Se solicita asesora a la AI cada vez que se considera de provecho para el desarrollo y
ejecucin de proyectos.
Producto
Auditora interna con amplios conocimientos sobre la gestin de TI
Acciones
Participacin consultora de la Auditora Interna en desarrollos de TI. Labor
permanente.
Conclusin
De acuerdo con los anlisis realizados, es totalmente viable y factible cumplir con
la normativa en el plazo establecido, siendo la actualizacin del modelo para la
Anexo - NTP2
Cronograma de Implementacin
2008
I Semestre
2009
II Semestre
I Semestre
Anexo - NTP3
Evaluacin de Riesgos en
Tecnologas de Informacin
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de
proyectos, la proyeccin de la formacin y perfil del personal de la CGR en los temas
tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado
con los objetivos de la institucin.
En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organizacin y en los grupos externos de fiscalizacin.
Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento
en red; conectadas con fibra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupacin total cercana al 70% de su espacio total.
Adems, dispone de servidores para la ejecucin de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la insercin tecnolgica deseada.
Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de informacin automatizados, correo
electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que fiscaliza el uso
de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al
control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin
y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a
efecto de implementar la visin y misin institucionales:
Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo
diario.
Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus
derechos y deberes.
Integridad: Es realizar todas las acciones con rectitud.
Compromiso: Es sentirse identificado con la Contralora General y as dar el
mximo esfuerzo.
La CGR tiene cuatro macro procesos:
a. Fiscalizacin Integral
b. Gobierno Corporativo
c. Gestin del Conocimiento
d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro
procesos:
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Insercin Tecnolgica
Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales
estn expuestos, y el nivel de exposicin de los mismos.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato
a la informacin, con eficientes herramientas tecnolgicas de apoyo para realizar
fiscalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin
pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen
Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de
informacin y comunicacin para fortalecer la fiscalizacin superior, la transparencia,
la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada
en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI:
a. Contar con una infraestructura de Tecnologas de Informacin y
Comunicaciones (TICs) estable y adecuada a las necesidades de la
Institucin y del pas.
b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales,
integrada a procesos y actividades, y puesta al servicio de los usuarios
internos y externos.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante definir claramente el marco de trabajo que ser utilizado para la gestin
de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestin de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institucin, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operacin tecnolgica
ms estable y confiable.
La estrategia para la administracin de los riesgos est basada en los siguientes
aspectos:
Utilizar los sub procesos de COBIT por gua y referencia para la identificacin
de riesgos de gestin.
Complementar la identificacin de riesgos basndose en los procesos de la
Unidad, esto para identificar riesgos operativos.
Utilizar escalas de calificacin de los riesgos (impacto, probabilidad,
exposicin) de acuerdo con modelos internaciones.
Calificacin de la probabilidad
Para la calificar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
P
5
4
3
2
1
Probabilidad
Significado
Casi seguro
Muy probable
Probable
Poco probable
Raro
I
5
4
3
2
1
Impacto
Significado
Mayor
Importante
Significativo
Regular
Menor
Severidad
Significado
4
3
2
1
Extrema
Alta
Moderada
Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la
calificacin de impacto y probabilidad el riesgo es calificado por corlo en su nivel de
severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta,
Impacto
el color amarillo claro severidad moderada y el color verde claro severidad baja:
Probabilidad
Categora
Descripcin
Riesgos relacionados con la ausencia o aplicacin
Gestin
Infraestructura
Seguridad
Recurso humano
recursos humanos.
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo ser asociado a la categora que se
considere ms relevante o donde el impacto sea mayor.
Importante
Significativo
Regular
Menor
Criterios de calificacin
Evento que impedir el logro de los objetivos institucionales.
El logro de objetivos institucionales se ve afectado de manera
importante.
Evento que representar un retraso significativo en el logro de
objetivos institucionales.
El evento afecta levemente el logro de objetivos de la UTI y
de la CGR.
Evento que afecta la gestin de la UTI sin llegar a impactar en
el logro de los objetivos.
Operacin
I
Significado
Mayor
4
3
Importante
Significativo
Criterios de calificacin
Evento que paraliza la prestacin de servicios por parte de
la unidad afectando a la institucin de manera considerable.
Evento que provoca la interrupcin parcial de servicios.
Evento que provoca interrupciones intermitentes.
Evento que provoca la interrupcin momentnea de los
servicios de la unidad, esta interrupcin es percibida por la
Regular
institucin.
Evento que provoca una disminucin en los tiempos de
Menor
Infraestructura
I
Significado
Mayor
Importante
Significativo
Regular
Menor
Criterios de calificacin
Falla severa en un componente vital de la infraestructura
tecnolgica que impide la operacin normal de la institucin.
Falla en un componente de la infraestructura tecnolgica que
afecta parcialmente la prestacin de servicios.
Falla en un componente de la infraestructura tecnolgica que
afecta de manera intermitente la prestacin de servicios.
Falla en un equipo que afecta la prestacin de servicios slo
en la UTI.
Falla en un componente que puede ser sustituido de
inmediato por mantener equipo similar en inventario. Se
afecta la operacin de la institucin por minutos.
Seguridad
I
Significado
Mayor
Criterios de calificacin
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a informacin confidencial.
Informacin total en la disponibilidad de informacin.
Los datos institucionales han sido alterados.
Importante
Significativo
Regular
modo consulta.
Interrupcin de 4 horas en la disponibilidad de la informacin.
Hay intentos de acceso a la informacin.
Interrupcin momentnea en la disponibilidad de la
Menor
informacin.
Un ente no autorizado tiene la oportunidad de observar datos
que se estn utilizando en la operacin de la institucin.
Significado
Criterios de calificacin
Se prescinde de un funcionario importante para el logro de
los objetivos.
Mayor
Importante
Significativo
Regular
Menor
carga de trabajo.
Evento que imposibilita a un funcionario de la UTI para
laborar durante un da hbil.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizar la identificacin de los riesgos y el posterior anlisis. De este modo se
determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso.
El beneficio de utilizar los procesos de la UTI, como elemento central en la estructura
de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin
ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el
ejercicio ms manejable.
Identificacin de riesgos
La identificacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:
Id
1
2
3
4
5
6
7
8
9
10
11
cumplen
especificaciones.
Desarrollar productos
en
basados
con
las
requerimientos
incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de
utilizar para el usuario.
Categora
Gestin
Gestin
Gestin
Gestin
Gestin
Gestin
Operacin
Operacin
Operacin
Gestin
Gestin
12
13
14
15
16
17
18
19
20
21
22
23
Gestin
No existe gua de usuario para el uso del sistema.
Gestin
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura
en uso.
Se adquiere equipo sin que existan talleres para la
Gestin
Gestin
Operacin
Operacin
Gestin
Operacin
Gestin
Gestin
Gestin
24
niveles de servicio.
Gestin
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
29
30
31
32
33
34
Gestin
Operacin
Infraestructura
Infraestructura
Infraestructura
Seguridad
36
37
38
39
40
41
Seguridad
Seguridad
Gestin
Gestin
Gestin
42
43
44
45
46
47
48
Gestin
Operacin
Gestin
Operacin
Gestin
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Operacin
Operacin
Operacin
Operacin
de problemas.
No se documentan las soluciones aplicadas a los problemas. Operacin
Hay dificultad para definir el mbito de accin de los
proveedores para la solucin de problemas.
Alteracin o prdida de la informacin registrada en base
Gestin
Seguridad
de datos o equipos.
Operacin
Informacin desactualizada o incorrecta.
Seguridad
Acceso no autorizado a la informacin.
Instalaciones fsicas mal diseas que pongan en peligro la
Gestin
Infraestructura
Operacin
Operacin
Operacin
Gestin
Gestin
69
70
71
72
73
Operacin
Operacin
Gestin
74
institucional.
Gestin
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
76
de informacin.
Gestin
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
79
80
81
82
83
84
85
86
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
Contar con equipo costoso que no cuenta con contratos de
mantenimiento.
No aplicacin de los canales de comunicacin establecidos
Gestin
Gestin
Gestin
Gestin
RRHH
Operacin
Gestin
87
88
89
90
91
92
93
94
95
Gestin
Gestin
Gestin
de los proyectos.
Gestin
Inestabilidad en el equipo de proyecto.
Gestin
Desarrollo de proyectos no alineados al Plan Estratgico
Gestin
Los proyectos no estn documentados
No contar con un marco de referencia para la gestin
de los proyectos en cuanto a su iniciacin, planificacin,
Gestin
Gestin
proyectos.
Falta de apoyo del patrocinador del proyecto.
Gestin
Identificacin de causas
Cada uno de los riesgos identificados est asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigacin y
contingencia as como para calificar los controles existentes. Las causas asociadas a
cada riesgo identificado son las siguientes:
Id
de
Causas
soluciones
Desarrollar
productos
que
Especificacin
requerimientos
no
adecuada.
no analizar
de
de
concepto
al
las
especificaciones
Versiones
de
Ausencia
de
de
validacin
requerimientos
desactualizadas.
para
no
est
actualizar
capacitado
el
software.
de
Adquisicin
de
software
software
es
imprescindible
6
Equipo
daado
no
puede
reparado.
Medio
tiene
sistema
ambiente
Sabotaje
No
se
10
del
elctrico
no
apropiado
la
expertise
actualizarla
12
13
14
del sistema.
Retrasos en
17
desarrollo
de
los
procesos
contratacin administrativa.
Se adquiere equipo no compatible
con la infraestructura en uso.
talleres
para
la
reparacin
para
sistemas
elaboracin
16
compleja
el cliente
No existe gua de usuario para el uso Se
omiti
Mentalidad
Negligencia administrativa.
Elaboracin
especificaciones
incorrectas
de
compra
de
ambiente
de
passwords
produccin
han
actualizado
19
necesarias
instalacin
para
controlar
su
No
20
21
22
control
parches
autorizados
contar
con
los
recursos
disponible
Fallas de hardware y software
superan
Se
el
estimado
daan
necesarias
No
se
26
herramientas
tiene
presupuesto.
definido
por
de
contrato.
contratos
no
polticas definidas
Servidores
d
27
realizado
las
Est en trmite.
Debilidad en la administracin de No
se
han
25
sobre
No
24
tiene
proveedor
Ausencia de niveles de servicio No hay acuerdos de servicios de
de TI.
23
se
ocasionalmente
d
La
28
No
hacer
planeamiento
de
actividad
la del
capacidad.
no
plan
es
parte
de
gestin
base
al
la
crecimiento
infraestructura
Se da un crecimiento en recursos no
planificado
Procedimiento
30
incorrecto
31
para
el
proveedor
equipo
del
del
servicio
32
Fallas
en
los
equipos
comunicaciones
de Alteracin
Se
del
sistema
dao
elctrico
el
equipo
Sabotaje
Impericia
33
Fallas
en
los
servidores El
(computadores principales)
Se
humana
equipo
alter
se
la
dao
configuracin
se
de
trasladan
seguridad
a
una
cuando
Institucin
La instalacin de componentes no
es controlada en algunos casos
36
y en la asignacin de privilegios de
acceso.
Sistemas
37
38
39
40
sin
mecanismos
No
se
Los
controles
programaron
programados
son
dbiles
No
se
tiene
el
conocimiento
las
pruebas
estn
balanceadas
41
medio
de
las
soluciones
automatizadas.
La capacitacin que se brinda a los
42
43
44
45
46
47
se
partidas
presupuestaron
necesarias
definido
para
la de
un
nivel
superior
48
49
control
de
cambios
Se
50
realizan
cambios
en
la
configuracin de componentes de la
infraestructura y no se reflejan en la
documentacin.
pruebas
Urga
la
preliminares
correccin
de
la
configuracin
No se aplica el procedimiento Se brindan soluciones sin que
52
oficializado
para
la
gestin
problemas.
53
Alteracin
55
prdida
realizarlo
del
de
omisin
No
se
definieron
reglas
contractuales
claras
de
la
la Programa
con
fallas
seguridad
de
lgica
56
57
Informacin
desactualizada
o Falla
incorrecta.
Acceso
no
en
el
Webservices
autorizado
la
informacin.
entre
el
usuarios
Violacin de la seguridad
Instalaciones fsicas mal diseas que Estructura vieja no pensada para TI.
58
es
importante
administracin.
para
la
59
60
61
63
64
el
medio
ambiente
de otros
No se tiene el presupuesto necesario
generacin de respaldos.
energa
elctrica
cintas
para
inapropiado
Falta
de
los
respaldos
seguridad
de
la
por
plataforma
servicios
sin
colegiarlas
La suspensin es urgente
No existe sistema para evaluacin
del desempeo.
Modificaciones
de
preventivo
de
66
contrato
apropiado mantenimiento
para comprarlo
Fallas en los equipos que mantienen No
existe
acondicionado)
62
en
legales
el
que
desarrollo
68
69
70
No
se
tienen
directrices
polticas
no
estaban
aplicadas
para pruebas
Exceder la cantidad de usuarios El software permite exceder la cantidad
71
72
73
74
instalados
Se viol la seguridad para trasladar
medios de instalacin de software
Desconocimiento contractual
Se
modifica
la
estrategia
no
se
comunica
tiene
desactualizado.
Plan
del
negocio
que
76
77
informacin.
Arquitectura
de
desactualizada.
arquitectura
No se diseo
Arquitectura de informacin no
responde a la cadena de valor.
de
a
la
informacin
la
arquitectura
con
base
de
valor
cadena
78
no
cuenta
con
contratos
de
mantenimiento.
No aplicacin de los canales de
80
comunicacin
establecidos
para
81
82
adquirido
Se venci
se
tiene
contratar
convenios
canales de comunicacin.
la
garanta
Facilidad
presupuesto
el
de
no
para
mantenimiento
No se autoriza el gasto
Problemas
de
gestin
canales
de
herramientas en uso.
base
tecnologas
canales
bien
informales
transferencia
funcion
tecnolgica
no
Equipo
83
de
trabajo
baja
laboral
no
adecuado
un
administracin
84
con
sistema
de
la
de
calidad Falta
de
experiencia
procesos
de
la
en
la
calidad
productos
que
86
88
89
90
Ausencia
de
de
validacin
requerimientos
87
no
un
marco
de
basada
en
riesgos
necesaria.
92
Los
proyectos
contar
D e s c o n o c i m i e n t o
del
no
estn
documentados
No
Estratgico.
Es obligatorio desarrollarlo.
El personal omite la documentacin
La
documentacin
existente
es
omisa
con
un
marco
de
ejecucin,
95
Planificacin
no
adecuada
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente.
Como fue definido anteriormente, la calificacin se realiza utilizando dos criterios
primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
13
14
15
16
17
18
19
20
21
Riesgo
Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
No existe gua de usuario para el uso del sistema.
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
2
3
1
1
3
5
3
3
4
4
4
4
3
5
4
4
8
12
4
4
9
25
12
12
12
3
4
4
4
12
16
12
22
23
12
24
niveles de servicio.
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
3
3
3
3
3
3
9
9
9
12
29
30
31
32
33
34
35
36
37
38
39
40
41
2
3
4
4
8
12
10
2
4
5
3
10
12
12
12
las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
12
12
12
20
3
3
4
5
12
15
60
61
62
63
64
65
66
67
15
12
12
69
70
terceros.
No contar con la documentacin de los procesos de TI.
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar un
2
2
3
3
6
6
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
Contar con un plan estratgico no alineado a la estrategia
16
74
institucional.
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
16
75
76
de informacin.
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
12
71
72
73
77
78
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
2
3
2
4
4
12
12
16
16
16
10
2
4
3
3
6
12
16
16
12
16
32, 33
31,
Impacto
61
49,
50, 51
14
7, 27
10
2
1
1
Probabilidad
Seguridad y control
5
Impacto
5, 6,
57
53
30, 35, 55
4, 9, 18, 36,
37, 56, 62
15, 34
1
1
Probabilidad
Suministro de servicios
5
Impacto
4
3
2
45
29, 82, 83
43, 46
38, 44, 64
92, 93
94
42
1
1
Probabilidad
Impacto
89
2, 3,
67, 76
1, 13, 25,
3
2
73, 74,95
91,
81
1
1
Probabilidad
Identificacin de controles
Id
de
Controles
Se realiza un diagnstico sobre
soluciones las
necesidades
factibilidad
adquirir
la
solucin.
Desarrollar
productos
que
no basadas
en
casos
de
uso.
Utilizar
3
casos
de
los
uso
para
requerimientos.
Versiones
de
software
desactualizadas.
se
planifican
estableci
que
todos
la
los
directriz
equipos
para
estn
para
acceso
la
restringir
red
el
inalmbrica.
cuenta
con
sensores
de
temperatura y humedad.
Plan de renovacin y fortalecimiento
10
12
13
14
los
productos
constante
de
desarrollados.
Retrasos
anticipacin.
Supervisin
en
los
procesos
contratacin administrativa.
de
talleres
para
la
reparacin
Se
16
17
Versiones
de
cuenta
servidor
de
desarrollo.
software
para
programas.
Aplicacin del procedimiento para
la puesta en produccin de los
programas nuevos y modificados.
Se
han
definido
y
funciones.
19
un
con
uso
institucionales
de
estndar
de
sobre
software
autorizado
para
institucin.
la
los
proveedores.
21
23
contar
los
actual.
recursos Se cuenta con equipo renovado
estabilidad.
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
24
del
programa
de
Debilidad en la administracin de
25
26
disponible presupuestario).
En el rea de infraestructura se
realiza un seguimiento peridico
de
los
contratos
el
cumplimiento
de
validar
derechos
27
para
cargas
de
trabajo.
Antes
de
liberar
un
nuevo
las
requeridas
28
capacidades
y
disponibles.
las
proyecciones
de
nuevos
30
Institucional.
Se planifica
tecnologa
la
adquisicin
de
para
mantener
la
capacidad de procesamiento de
informacin.
Revisin de los respaldos generados.
31
32
Fallas
en
los
equipos
comunicaciones
de
mantenimiento.
33
Fallas
en
los
(computadores principales)
Aplicacin
polticas
34
de
de
seguridad
por
medio
de
Active
Directory.
Perfiles
de
usuarios
limitados
software
para
automtica
instalar
modificaciones
en
el
hacer
equipo.
y en la asignacin de privilegios de
acceso.
Sistemas
37
trazabilidad
parte
del
desarrollo
de
mecanismos
de
y una descripcin.
de Se ha definido la utilizacin de pistas
(pistas de auditora).
38
este sentido.
No se cuenta con un proceso de Se debe mejorar el registro de costos
39
anlisis para mejorar los costos que asociados a cada servicio para
estn asociados a los servicios de contar con informacin precisa en
TI.
este sentido.
41
42
preparan
Se
seleccionan
tutores
los
virtuales.
instructores
oportuna
efectiva
para
las
automatizar
la
presentacin
de
seguimiento
correspondiente.
No se cuenta o no se aplica el
47
49
nuevos
productos.
46
los
con
gestionar
personal
las
de
instrucciones
procedimiento.
un
un
funcionario
la
claras
Se
software
solicitudes.
USTI
sobre
cuenta
responsable
tiene
el
con
del
seguimiento.
Se aplican encuestas a los usuarios
para conocer su nivel de satisfaccin
y sus recomendaciones para mejorar
el servicio prestado.
Documentacin
de
los
operativos.
realizan
cambios
en
la
configuracin de componentes de
la infraestructura y no se reflejan en
la documentacin.
correspondiente.
Se tiene documentada la relacin de
componentes de TI necesarios para
la implementacin y funcionamiento
52
53
54
problemas.
Se est elaborando el documento
para la documentacin, el proveedor
si lo realiza por obligacin contractual
Se especifica claramente, en los
carteles de los procedimientos, las
responsabilidades de los proveedores
y los servicios requeridos.
Peridicamente
revisan
Alteracin
55
prdida
de
la
los
se
respaldos.
Se
revisa
del
56
Informacin
desactualizada
incorrecta.
Se
de
la
la
cdigo
cre
la
generado.
una
CGR
gestin
de
calidad
dependencia
especializada
la
en
informacin.
Acceso
no
autorizado
la
informacin.
Se
ha
esquema
implementado
automtico
para
un
que
59
60
61
Definicin
de
62
de
contingencia
generacin
El
procedimiento
para
de
personal
la
respaldos.
responsable
debe
63
con
herramienta
monitorear
cuenta
la
red.
con
software
los
servidores
para
de
de
configuracin
de
servicios.
procedimientos
cambios
y
Se
en
la
suspensin
han
definido
instruido
al
la
definicin
personal.
No
65
para
contar
revisar
con
un
proceso
peridicamente
el
Est
pendiente
institucin,
por
medio
de
68
69
procedimientos.
70
de
usuario
tienen
autorizados
para
utilizar
un
producto licenciado.
72
Facilitar
los
medios
para
la
Directory).
Se ha instruido, sobre el tema, al
personal de Servicio al Cliente que
tiene a cargo la gestin de medios.
se
participacin
de
todas
realizan
de
con
la
representantes
las
Divisiones.
74
Se
tiene
Plan
se
revisa
desactualizado.
estratgica institucional.
No contar con un modelo de El modelo de informacin est
informacin
75
del
negocio
76
77
78
Arquitectura
los informes.
Se design un funcionario para
de
informacin
desactualizada.
Arquitectura de informacin no
responde a la cadena de valor.
Adquisicin de tecnologas que no
aportan valor a la organizacin.
no
cuenta
con
contratos
de
mantenimiento.
81
82
tiene
un
renovacin
plan
de
de
equipo.
Se
la operativa de TI.
No se tienen documentados los Est pendiente de documentarse los
canales de comunicacin.
canales formales.
Desarrollo peridico del Diagnstico de
del
programa
de
Equipo
83
de
trabajo
con
baja
de
clima
laboral
por
Comunicacin
sobre
y
los
planes
compromisos
ao.
constante
de
de
trabajo
gestin.
con
un
administracin
84
deficiente
y
sistema
de
en
aplicacin
la
la
de
de
calidad
definicin
procesos
Desarrollar
85
productos
realizan
cumplimiento
no
de
alcance.
actualizadas
de
los
productos de software.
Aplicacin
de
estndares
procedimientos
Capacitacin
de
del
Anualmente
calidad.
personal
tcnicas de calidad.
Se
cuenta
con
contra
86
de
que
revisiones
un
en
plan
contingencias.
se
realiza
un
Utilizar
87
un
deficiente
marco
para
de
la
trabajo
gestin
de
89
contar
con
el
contenido
SEVRI.
Exposicin de la importancia de
los
proyectos
en
la
Asamblea
del
dentro
proyecto
del
equipo.
Desarrollo de talleres
Planificacin
de
91
92
Los
proyectos
no
estn
documentados
ejecucin,
control
94
proyectos
que
cumplen
metodologa
Validar
93
proyectos
los
con
la
correspondiente.
el
cumplimiento
de
estndares.
Se cuenta con una metodologa
oficializada
de
para
proyectos
de
la
gestin
la
aplicacin
cual
es
obligatoria.
proyectos
Reasignacin
Fortalecer
los
de
(por
semana).
de
recursos.
ejercicios
de
planificacin.
Establecimiento
95
compromisos
Vinculacin
de
de
de
gestin.
Planes
Anuales
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Riesgo
Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
No existe gua de usuario para el uso del sistema.
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
Definicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
1
2
4
4
4
4
8
4
3
3
4
3
3
6
4
6
2
3
4
6
4
4
4
4
1
1
1
2
23
24
niveles de servicio.
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
1
2
3
3
3
6
1
2
2
1
4
4
3
3
3
4
8
6
6
3
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
20
4
5
4
5
60
61
62
63
64
65
66
67
12
1
1
3
3
3
3
69
70
terceros.
No contar con la documentacin de los procesos de TI.
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar un
71
72
73
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
Contar con un plan estratgico no alineado a la estrategia
74
institucional.
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
76
de informacin.
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
2
2
2
4
4
8
10
1
1
2
3
3
4
3
3
8
Impacto
5
4
24, 49
31, 50, 51
7, 14, 27
10, 32, 33
61
2
1
Probabilidad
Seguridad y control
5
57
53
5, 6, 9, 16,
Impacto
4, 18, 86,
87
84
3
8, 35, 59,
54, 58, 70
88
52, 60
37
1
1
Probabilidad
Suministro de servicios
5
Impacto
29, 45, 83
82, 92, 93
44, 46
94
42
12, 64
38
1
3
Probabilidad
Insercin tecnolgica
5
Impacto
76, 89
2, 3, 73, 74
95
1, 22, 66,
90, 91
85
80
81
67
39, 65
1
3
Probabilidad
Severidad
Extrema
Alta
Moderada
Baja
Total de riesgos
Seguridad y control Extrema
Alta
Moderada
Baja
Total de riesgos
Suministro
de Extrema
Alta
servicios
Moderada
Baja
Total de riesgos
I n s e r c i n Extrema
Alta
tecnolgica
Moderada
Baja
Total de riesgos
R. Absolutos
R. Controlados
1
10
1
0
12
7
22
8
0
37
2
11
0
4
5
3
12
1
6
19
11
37
0
4
0
19
3
15
9
0
27
6
19
0
6
12
9
27
Riesgos de infraestructura
Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
8%
84%
8%
0%
Riesgos controlados
0%
33%
42%
25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos
identificados y relacionados con este proceso.
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
19%
59%
22%
0%
Riesgos controlados
3%
16%
51%
30%
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
57%
32%
0%
Riesgos controlados
0%
21%
47%
32%
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
56%
33%
0%
Riesgos controlados
0%
22%
45%
33%
Riesgos absolutos
Riesgos controlados
10.9
10.6
9.3
5.7
5.2
5.0
8.9
9.9
5.4
5.3
Se puede notar fcilmente que la calificacin de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura as como de seguridad y control
son los que tienen las calificaciones ms altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calificacin est entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados tambin la calificacin es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
insercin tecnolgica los que tienen las calificaciones mayores. Todos los procesos
tienen calificaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Segn ests calificaciones la situacin de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la
calificacin de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atencin:
Id
4
18
31
38
39
Versiones
de
Proceso de TI relacionado
software
desactualizadas.
No contar con la metodologa y
Seguridad y control
50
configuracin de componentes de la
infraestructura y no se reflejan en la
Infraestructura
documentacin.
No se conoce el impacto de hacer
51
52
53
60
oficializado
para
la
gestin
de Seguridad y control
problemas.
No se documentan las soluciones
aplicadas a los problemas.
Ausencia de detectores de humo.
Seguridad y control
Seguridad y control
el
medio
ambiente
apropiado
Infraestructura
acondicionado)
No contar con un proceso para revisar
65
67
Insercin tecnolgica
76
82
86
87
de TI.
Arquitectura
92
informacin
desactualizada.
No se tiene dominio sobre las
Insercin tecnolgica
Suministro de servicios
herramientas en uso.
No administrar los riesgos de TI.
Seguridad y control
Utilizar un marco de trabajo
deficiente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
No contar
89
de
con
el
Seguridad y control
contenido
no
estn
Suministro de servicios
No
contar
con
un
marco
de
ejecucin,
control
Suministro de servicios
Insercin tecnolgica
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya
evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id
Planes de accin
presupuestaron las partidas
Versiones
de
desactualizadas.
sobre
tecnologas
de
31
Suspensin
Internet
de
servicio
No
se
conocen
los
38
asignados
39
50
los
configuracin de componentes la
53
60
de
actualizar
la
51
obligacin
realizarlos
para
proyectar
el
en
los
equipos
que
No
65
contar
con
un
ambiente.
proceso A partir del 2008 se aplicar un
67
mejora
en
los
importantes de TI.
Se tiene programada la revisin de
76
82
86
Arquitectura
de
desactualizada.
capacitacin
una
evaluacin
de
riesgos.
Ajustar la cartera de proyectos al
92
Los
proyectos
no
estn
documentados
peridicas
los
proyectos
su
iniciacin,
en
cuanto
95
Falta de apoyo del patrocinador del asegurar los recursos a los proyectos
proyecto.
39
50
51
52
53
60
61
65
67
76
82
86
87
Riesgo
Versiones de software desactualizadas.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Suspensin de servicio de Internet
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
Se realizan cambios en la configuracin de componentes de
la infraestructura y no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios en los
componentes de la configuracin.
No se aplica el procedimiento oficializado para la gestin de
problemas.
No se documentan las soluciones aplicadas a los problemas.
Ausencia de detectores de humo.
Fallas en los equipos que mantienen el medio ambiente
apropiado para la operacin de TI (UPS, Aire acondicionado)
No contar con un proceso para revisar peridicamente el
desempeo actual y la capacidad de los recursos de TI.
Utilizacin de indicadores sobre el desempeo de TI que
no son relevantes y que no colaboran en la identificacin de
oportunidades de mejora en los procesos importantes de TI.
Arquitectura de informacin desactualizada.
No se tiene dominio sobre las herramientas en uso.
No administrar los riesgos de TI.
Utilizar un marco de trabajo deficiente para la gestin de
riesgos, y no alineado con el apetito del riesgo institucional.
89
92
93
95
Riesgo
Absoluto
Controlado
Tratado
12
18
procedimientos
la
12
31
12
12
12
38
39
necesarios
para
50
51
52
de componentes de la infraestructura y
no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios
en los componentes de la configuracin.
No se aplica el procedimiento oficializado
para la gestin de problemas.
53
No
se
documentan
las
soluciones
60
61
20
20
15
12
12
12
12
16
16
10
10
16
16
16
67
76
82
importantes de TI.
Arquitectura
de
informacin
desactualizada.
No se tiene dominio sobre las herramientas
86
en uso.
No administrar los riesgos de TI.
Utilizar un marco de trabajo deficiente
87
89
92
93
95
referencia deficientemente.
Falta de apoyo del patrocinador del
proyecto.
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que
se incorporan a continuacin en el presente documento.
a. Mantener un mapa trmico actualizado con los riesgos controlados que
estn identificados con una severidad alta o extrema.
b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de
la UTI evale con los coordinadores de rea los planes de tratamiento que
se estn aplicando a los riesgos del mapa trmico identificados como alto
o extremo, con el objetivo de actualizarlos si se considera que es factible
mejorarlos para mitigar el riesgo.
c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin,
mediante capacitacin peridica y con base en los anlisis que se realicen
en las reuniones los das lunes primero de mes.
d. Centralizar la actualizacin preliminar de los riesgos identificados,
controlados, y planes de tratamiento, en un asistente de la jefatura de UTI
que se encargar de preparar el material de la reunin de los lunes, y de
alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo
riesgo que clasifique como alto o severo.
e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con
fines de clasificarlos, para alertar a la jefatura en caso de riesgos extremos
o altos.
f. Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos
controles que han sido aplicados, a fin de mantener la administracin de
riesgos actualizada; sin importar para este caso el nivel de riesgo; todos
deben ser reportados para procesarlos.
g. Adquisicin de un software institucional que facilite la administracin
basada en riesgos.
Anexo - NTP4
Para cada uno de los procesos se deber generar una tabla que incluya:
Nombre del proceso
rea(s) que lo ejecuta(n) definiendo responsables y participantes.
Detalle de los diferentes insumos y productos del proceso a nivel de entidad
de informacin1.
Clientes inmediatos de los productos (internos y externos).
Sistemas de informacin involucrados.
Necesidad de sistemas de informacin u otras soluciones.
Con dicha informacin se aplicarn cada uno de los pasos definidos en la tcnica del
BSP, a saber:
Paso 1: Definir los procesos del Negocio
Lista de procesos
Breve descripcin de cada proceso
reas responsables y participantes
Paso 2: Definir clases de datos
Clase de datos: grupo de datos categorizado lgicamente a nivel de entidad
de informacin.
Crear la Matriz de Proceso/Base de Datos Sujeto, indicando quin crea la
informacin y quin la usa.
Paso 3: Mapear como utiliza la organizacin los datos (a nivel de entidad de informacin)
Generar matriz de procesos y responsables
Generar matriz de procesos y sistemas
Una entidad es una cosa u objeto en el mundo real que es distinguible de todos los dems objetos. Una entidad tiene un
conjunto de propiedades y los valores para algn conjunto de estas propiedades pueden identificar a una entidad de forma
univoca. Un conjunto de entidades es la totalidad de las entidades de mismo tipo que comparten las mismas propiedades.
Ventajas:
Se realiza un proceso coordinado mediante el cual los expertos funcionales
de cada proceso responden a un nico requerimiento de definicin de los
procesos, tanto para detallar el MAGEFI como para crear el MAI.
En el anlisis detallado de los procesos los expertos funcionales pueden
determinar de mejor manera las entidades y flujos de informacin inmersos
en el proceso.
Desventajas:
Se ve difcil lograr recabar toda la informacin requerida para crear el MAI,
con el suficiente tiempo para tener dicho modelo bien documentado a
junio 2009; a no ser que la documentacin detallada de los procesos del
MAGEFI se logre enmarcar dentro de las mismas fechas y esto para todos
los procesos compilados en dicho manual.
En la definicin detallada de los procesos del MAGEFI podra suceder
que no todos los procesos puedan ser atendidos al mismo ritmo debido a
las mltiples ocupaciones de los expertos funcionales, lo cual afectara la
definicin del MAI debido al faltante de la informacin de esos procesos.
Opcin 2: Realizar el levantamiento de informacin requerida para la definicin
del MAI realizando una coordinacin directa entre el equipo de proyecto MAI y los
expertos funcionales conocedores de los procesos, adelantndose al levantamiento de
informacin que realizar el equipo MAGEFI.
Ventajas:
Se puede recopilar la informacin necesaria para crear el MAI con suficiente
tiempo para cumplir con la fecha lmite planteada (junio 2009).
Se contara con el apoyo del Despacho para que los expertos funcionales
respondan primero a los requerimientos de informacin para crear el MAI,
los cuales son menores en cantidad respecto a lo requerido para detallar
los procesos del MAGEFI y documentar los procedimientos.
Se tendra una muy buena base para la definicin de procesos del MAGEFI.
Desventajas:
Los expertos funcionales debern responder inicialmente a lo que el
proyecto de creacin del MAI les demande, para luego trabajar en detallar
y documentar los procesos del MAGEFI.
Podra darse una duplicidad de esfuerzos, aunque este riesgo se puede
mitigar con la apropiada asesora a los expertos y la coordinacin respecto
a los requerimientos planteados por ambos proyectos (MAGEFI y MAI).
El levantamiento de informacin para crear el MAI se adelanta a la definicin
de los procesos y a la documentacin de los procedimientos, pudiendo
estos cambiar cuando se realice el correspondiente anlisis detallado.
Se corre el riesgo de definir un modelo de arquitectura de informacin que
refleja los datos y los flujos a como se hacen las cosas hoy y no a como
el MAGEFI lo plantea, esto por cuanto este manual introduce cambios de
visin respecto al cmo se hacen las cosas.
Recomendacin:
Teniendo como fecha lmite para contar con el Modelo de Arquitectura de Informacin el
30 de junio de 2009, recomendamos la aplicacin de la opcin 2, la cual permitir contar a
tiempo con los insumos requeridos para crear el MAI y dar as cumplimiento a lo establecido
por la norma 2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las
Tecnologas de Informacin.
Dado que el MAI es un modelo vivo dentro de la organizacin, todo cambio en los procesos
se puede y deber aplicar posteriormente. Es as como cualquier cambio que surja con
la posterior institucionalizacin de los procesos del nuevo MAGEFI, puede ser aplicado al
modelo de Arquitectura de Informacin sin ningn problema.
El equipo de proyecto MAI ve difcil lograr coordinar las fechas del proyecto MAGEFI con
la fecha lmite de 30 de junio de 2009, tomando en cuenta las mltiples ocupaciones
de los expertos en los procesos y las temporadas pico en procesos como lo son la
tramitacin de presupuestos ordinarios o los procesos de contratacin administrativa
que se incrementan conforme se acerca el fin y principio del ao.
Adicionalmente, debe considerarse la dificultad de documentar un procedimiento por
cada actividad que conforma cada proceso; si se consideran entre 3 y 5 actividades
por proceso y en total se tienen 26 procesos, estamos hablando de que sern cerca
de 120 procedimientos por documentar.
Anexo - NTP5
Justificacin
La informacin y las comunicaciones son medios indispensables para el funcionamiento
de cualquier organizacin, ms an para organizaciones como la Contralora General,
que procesa informacin o datos, por medio del conocimiento, para generar y comunicar
nueva informacin (evaluaciones, refrendos, tasas, criterios tcnicos, lineamientos,
disposiciones, aprobaciones, etc.) En ese contexto, el manejo y aprovechamiento de
la informacin y de las comunicaciones requiere importantes esfuerzos y costos, que
deben verse compensados por el valor agregado que generan.
en stos fluye, el manejo que debe drsele y la integracin entre los procesos a nivel
de flujos de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justificar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la fiabilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
La CGR emprende, actualmente, importantes esfuerzos para aplicar las referidas
Normas Tcnicas para la Gestin y el Control de las TIC, como mejores prcticas de
apoyo para la gestin estratgica institucional. El Modelo de Arquitectura de Informacin
(MAI), es una pieza fundamental para esos efectos, tal como lo han contemplado el
Plan Estratgico de TIC 2007-2010 (PETIC) y su correspondiente Plan Tctico 20082010 (PTAC), que conforman el antecedente ms cercano en esta materia.
Con la elaboracin del MAI, la CGR cumple adems con el referido numeral que
especficamente regula este aspecto en las Normas Tcnicas para la Gestin y el
Control de las Tecnologas de Informacin, emitidas por este rgano Contralor.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identificarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, definir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Esquema metodolgico
El equipo de trabajo investig varias metodologas relacionadas con el desarrollo
de un Modelo de Arquitectura de Informacin, viendo este modelo como una pieza
importante dentro de un modelo mayor que le da sentido y utilidad. Ese modelo
2.
Informacin y comunicaciones
a. Flujos de datos basado en el modelo organizacional
b. Manejo operativo, plazos, responsables, propiedad y custodia, seguridad
sobre los datos
c. Definicin e integracin de los macrosistemas para la organizacin.
3.
Aplicaciones
a. Inventario de sistemas y soluciones
b. Interfaces y relaciones, flujos de datos
c. Enlaces de telecomunicacin y servicios extendidos (Internet, extranet,
intranet)
4.
Tecnologa
a. Plataformas fsicas
b. Conectividad
c. Seguridad de los datos
d. Sistemas de base
e. Gestores de bases de datos
f. Lenguajes y herramientas de desarrollo
Alcances y limitaciones
Coma ya se indic la elaboracin de cualquier modelo de informacin deber partir de
la perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la definicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en el ms reciente Manual General de Fiscalizacin
(MAGEFI).
El nivel de desarrollo del MAI en la CGR ser hasta el nivel que lo permita el modelado
organizacional existente; inicialmente en trminos de insumo, actividades del proceso
y productos, que es lo definido en el nuevo MAGEFI.
Las personas con conocimiento experto en los procesos, mismas que debern
implementar en la organizacin lo que el MAGEFI plantea, sern las personas que
debern aportar la visin de datos asociada a los procesos, que servir como insumo
para desarrollar el MAI de la CGR.
Estrategia de desarrollo
El equipo del proyecto MAI realizar un diagnstico dirigido a ubicar la situacin actual
de la CGR en el modelo de capacidades planteado como punto de referencia. Una
vez ubicado el estado actual se trabajar para lograr las condiciones requeridas en el
siguiente nivel.
Para la recopilacin de la informacin relacionada con los datos que utilizan y
fluyen por los diferentes procesos de la organizacin se recurrir a los expertos en
los diferentes procesos. Para orientar y estandarizar la forma en que estos expertos
documentan la visin del negocio desde la perspectiva de los datos, el equipo del
proyecto MAI desarrollar los instrumentos de captura de informacin apropiados.
Para ello este equipo aplicar antes los instrumentos desarrollados en un proceso
piloto para evaluarlos y ajustarlos.
Una vez que se cuente con dichos instrumentos para el levantamiento de la informacin
requerida para hacer el MAI, ser necesario desarrollar talleres con expertos funcionales
de las diversas divisiones operativas de la CGR, con el fin de explicarles el trabajo a
realizar, el instrumento metodolgico a utilizar y los plazos sugeridos para recopilar la
informacin para cada uno de los procesos.
Se utilizar como referencia el ltimo modelado de procesos definido para la CGR,
con a las actividades all propuestas, sean stas vigentes o estn por implementarse,
conforme a la propuesta del MAGEFI.
Los expertos documentarn sobre la informacin que cada uno de sus procesos requiere
o genera y harn llegar al equipo del proyecto MAI los formularios debidamente llenos.
El equipo del proyecto MAI procesar la informacin que remitan los expertos funcionales
y elaborar el modelo de informacin que incluye el diseo de su representacin lgica,
el diccionario de datos institucional y el modelo de referencia para la clasificacin
de los datos. Deber considerar el uso compartido de la informacin, su integridad,
flexibilidad, y la correcta, eficiente y econmica, oportuna y segura operacin.
El modelo deber estar debidamente documentado, tanto en forma narrativa como
mediante una representacin grfica que permita resumir y visualizar con suma claridad
los flujos de informacin y la forma en que interactan los procesos institucionales a
nivel de datos. Deber clasificar los datos a nivel institucional permitiendo identificar los
propietarios y responsables de los datos, catalogar los datos con base en su criticidad,
sensitividad, multimedios y ubicacin fsica. Deber facilitar la determinacin de
los privilegios de acceso de los usuarios, as como los requerimientos de respaldo y
disponibilidad, retencin (tiempo de almacenamiento), desecho, y necesidad relativa
Productos
Modelo de arquitectura de informacin de la CGR (MAI)
Propuesta de modelo de macro sistemas que soporten los macro procesos
de Fiscalizacin Integral, Gobierno Corporativo, Gestin del Conocimiento y
Gestin de Recursos.
Subproductos
a. Representacin lgica del flujo de informacin institucional, totalmente
alineado al modelado organizacional planteado en el ltimo MAGEFI. Debe
considerar la creacin y uso compartido de la informacin institucional de
forma ntegra, flexible, funcional, eficiente y econmica, as como oportuna,
y con la debida seguridad.
b. Modelo de referencia para clasificar datos a nivel institucional, que permita
catalogar los datos con base en su criticidad y sensitividad, propiedad,
niveles de seguridad (acceso, respaldo y disponibilidad, as como
Evolucin:
Depuracin,
documentacin
contemplar
los
aspectos
de
depuracin,
comunicacin institucional.
de informacin y comunicacin.
El
de
las
pertinentes.
gestin
necesarios
para
gestionar
PTAC
en
sus
futuras
revisiones
fue creado.
en PETIC- PTAC
EXTERNOS
Contenido presupuestario: En vista de Debe preverse oportunamente si el
que el presupuesto de la CGR depende desarrollo e implementacin del MAI va
del presupuesto nacional, pueden ocurrir a demandar recursos adicionales a la
recortes en algunos rubros que obliguen dedicacin de los funcionarios de CGR
a disminuir el alcance y cumplimiento del que participarn en su planteamiento,
portafolio de proyectos. O bien, puede tales como determinada disponibilidad
suceder que an existiendo el contenido tecnolgica, asesoras, capacitacin y
presupuestario,
ste
no
haya
jurdicas
de
otra
naturaleza.
personal
humano
Referencias investigadas
a. Cuenca Gonzlez et al. Arquitectura de Empresa, Visin General. IX Congreso
de Ingeniera de Organizacin. Setiembre 2005.
b. Garrett, Jesse James. The elements of user experience. www.jjg.net/ia/
Marzo 30, 2000.
c. IT Governance Institute. COBIT 4.1. Rolling Meadows, Chicago, Illinois,
2007. www.itgi.org
d. Office of Management and Budget (OMB). Federal Enterprise Architecture.
http://www.whitehouse.gov/omb/egov/a-1-fea.html
e. The Open Group. The Open Group Architecture Framework (TOGAF), versin
8.1.1, enterprise edition. 2007.
f. United States Departament of Commerce. Enterprise Architecture Capability
Maturity Model (ACMM). Version 1.2. December 10, 2007.
g. Zachman, J.A. A framework for information systems architecture. IBM
Systems Journal, Vol. 26, No. 3, 1987.
Anexo 1
Anexo 2
Responsable(s)
Tiempo
estimado
Junio 2008
Junio 2008
Coordinacin
Julio 2008
con
Equipo MAGEFI
Documentacin por parte de los expertos Expertos en los procesos Segundo
de los datos asociados a cada proceso.
semestre
2008
Clasificacin de los datos de los procesos, Expertos en los procesos Segundo
tipificar criticidad y seguridad.
semestre
2008
Noviembre
2008
Enero 2009
Equipo MAI
Primer
semestre
2009
Primer
MAI.
semestre
2009
Mayo 2009
macro-procesos.
Plantear
los
procedimientos
de DEI
Equipo MAI
Segundo
semestre
2009
Segundo
semestre
2009
Segundo
semestre 2009
Equipo MAI
Anexo - NTP6
Actividades ejecutadas
a. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Licda. Marta Acosta,
y lo integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos
Alpzar, y Miguel Aguilar, en representacin de las diferentes unidades.
b. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones semanales con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; en esta actividad se
cuenta con la asesora de Jos Alpzar.
c. Se reactiv el Comit Gerencial de Tecnologas de Informacin y
Comunicacin (CGTIC), el cual est presidido por la Sub Contralora General.
Norma 1.6.
d. La comisin elabor un diagnstico de la situacin actual, el cual incluye
las acciones y productos esperados para cerrar la brecha existente, as
Anexo - NTP7
1. Introduccin.
Con el fin de establecer un lenguaje comn a nivel institucional; as como un estndar
en la ejecucin y documentacin de proyectos de tecnologas de informacin y
comunicacin, se define en este documento la Gua Metodolgica que se debe aplicar
en la Contralora General de la Repblica (CGR).
La presente Gua Metodolgica, se elabora no slo para efectos de estandarizacin,
sino tambin en cumplimiento con lo establecido en el Manual de Normas Tcnicas
para la Gestin y el Control de las Tecnologas de Informacin, emitidos por la CGR.
Esta metodologa para la administracin de proyectos de TIC tiene como objetivo,
esbozar una serie de pasos comunes a seguir, con el fin de mejorar las probabilidades
de xito de los proyectos, teniendo siempre presente que en ltima instancia el
xito de los mismos est en funcin del nivel de motivacin y mstica de que estn
impregnados en los integrantes del equipo de trabajo, de la disponibilidad de recursos
y del nivel de apoyo que brinde oportunamente la alta Gerencia.
Un proyecto en Tecnologas de Informacin y Comunicaciones (TIC) es todo aquel
que introduzca en la organizacin elementos tecnolgicos que soporten y hagan ms
eficiente la ejecucin o el desarrollo de un proceso. Se consideran como proyectos de
este tipo, el desarrollo de un sistema automatizado, o la implantacin de una solucin
tecnolgica de hardware o de software, lo cual hace que el mismo proyecto sea muy
distinto y variado en cuanto a sus actividades se refiere. Todo proyecto en TIC deber
estar siempre orientado al logro de los objetivos institucionales y obtiene su sentido
en la medida que aporta un valor agregado a la organizacin, respondiendo a sus
necesidades de manejo de la informacin y del conocimiento.
2. Objetivo
Definir la gua metodolgica para el desarrollo de proyectos en Tecnologas de
Informacin y Comunicaciones, que ser aplicada en la Contralora General de la
Repblica.
3. Objetivos especficos
a. Definir un marco de referencia comn para todos los proyectos de TIC,
uniformando tcnicas y mtodos de trabajo.
b. Establecer las etapas y actividades a realizar, as como los entregables en
cada una de ellas.
c. Definir para los proyectos que contemplen el desarrollo de un sistema
de informacin automatizado, las fases a cumplir con sus diferentes
entregables.
d. Sealar la organizacin, las funciones y las responsabilidades de los
involucrados en el proceso de desarrollo de un proyecto de TIC.
Inicio
Pl
an
ea
ci
Eje
cu
ci
Cierre
Control
6. Anteproyecto (Etapa 0)
Todo proyecto tecnolgico a desarrollar debe estar contemplado en el Plan Tctico de
TIC (PTAC), el cual responde a las orientaciones que plantea el Plan Estratgico de
Tecnologas de la Informacin y Comunicaciones (PETIC) de la Contralora General de
la Repblica (CGR).
El proceso de actualizacin del PTAC, que se realiza peridicamente; establece segn
las prioridades de la organizacin, cuales son los proyectos que se deben desarrollar con
el fin de aportar el soporte tecnolgico que la organizacin necesita para mantenerse
actualizada y apoyada para el cumplimiento de sus metas y objetivos.
Todo proyecto a desarrollar debe tener su ficha de anteproyecto, misma que ser
evaluada y priorizada por el Comit Gerencial de Tecnologas de Informacin y
Comunicaciones (CGTIC), a solicitud de la Unidad de Sistemas y Tecnologas de
Informacin (USTI). Este comit elige de los anteproyectos planteados, aquellos que
sern tomados en cuenta en la cartera de proyectos del PTAC.
Los anteproyectos que no sean incluidos en el PTAC debern ser re-evaluados en
sus alcances y objetivos, cada vez con un mayor nivel de detalle, hasta que llegue el
momento de incluirlo en una reformulacin del PTAC. Dados los procesos de planeacin
estratgica, el anteproyecto sobrevivir y llegar a ser un proyecto operativo, mientras
el mismo tenga como alcances una funcin estratgica dentro de la organizacin. Si
el mismo perdiera vigencia o dejara de ser importante para la organizacin, el mismo
proceso de planeacin se encargara de eliminarlo.
La organizacin como un todo y la USTI, realizarn cada ao el ejercicio de planeacin
operativa (PAO), con un horizonte de planeacin de dos aos. Tomando como insumo
la cartera de proyectos del PTAC, la USTI define los alcances, se detallan los recursos
y se plantea un horizonte de tiempo esperado, para cada uno de los proyectos.
6. Iniciacin (Etapa 1)
En esta etapa se corroboran los alcances globales del proyecto y las expectativas
generales de los diferentes interesados. Adems se define la organizacin del proyecto
estableciendo las funciones y responsabilidades de cada uno de los involucrados, as
como el perfil deseable de los integrantes del equipo de trabajo. Ver anexo 1.
Una vez establecido formalmente quienes asumen las funciones de Patrocinador(es)
de Proyecto, Lder de Proyecto y Lder Tcnico de Proyecto; estos inicialmente
proceden a realizar un diagnstico de la situacin con el fin de establecer estrategias
de solucin, para que el patrocinador del proyecto determine la forma en que se
desarrollar.
6.1. Organizacin para el proyecto
Es necesario que las personas a cargo del proyecto tengan una estructura organizativa
que garantice un formalismo operacional, que permita lograr los fines propuestos.
Esta estructura podra variar en funcin de la magnitud y complejidad de los proyectos
y puede ser matricial.
La organizacin del proyecto requiere la interaccin de personas de las diferentes
reas, segn la siguiente definicin de estructuras:
Unidad Ejecutora
Grupo de Apoyo
Equipo de Trabajo
Equipo de apoyo tcnico
Cada uno de los participantes tiene asignadas tareas y responsabilidades especficas,
para un adecuado desempeo de su funcin.
Patrocinador
del proyecto
Grupo de
apoyo
Coordinador de
proyectos
Lder de
proyecto
Lder
Tcnico
Unidad Ejecutora
Equipo de trabajo
Equipo de apoyo
tcnico
desarrollo del proyecto en lo que corresponde a la parte tcnica, para ello aplica las
polticas, normas y procedimientos de trabajo aprobados.
6.1.7. Equipo de apoyo tecnolgico
Son los funcionarios especialistas en el rea de tecnologas de informacin que apoyan
la labor del Lder Tcnico, en materias tales como programacin, base de datos,
configuracin y operacin de equipos principales, y conectividad.
6.1.8. Equipo de trabajo
Son usuarios de los procesos funcionales involucrados en el proyecto de TIC a desarrollar,
conocedores de las necesidades a resolver e involucrados en la implementacin de la
solucin. Un aspecto de primer orden para garantizar el xito de un proyecto, estar
en la escogencia de un excelente equipo de trabajo.
6.1.9. Equipo de proyecto
Lo conforman el Lder de Proyecto, el Lder Tcnico, el equipo de trabajo y el equipo
de apoyo tecnolgico.
6.2. Organizacin del Proyecto
La informacin relacionada con la organizacin del proyecto debe quedar debidamente
formalizada y documentada, para lo cual en el anexo 8 encontrar el formato de
documento a utilizar.
7. Planeacin (Etapa 2)
El principal objetivo de esta etapa es especificar a un nivel detallado, las diferentes
actividades a realizar, reflejadas en un plan de trabajo. Para ello el equipo de trabajo
deber empezar por analizar los objetivos y alcances del proyecto, deber identificar
los recursos requeridos y establecer un cronograma de proyecto. Se debe utilizar el
software institucional para administracin de proyectos.
Como requisito para iniciar con esta etapa, el equipo de trabajo debe ya estar
formalmente constituido y se debe tener una estrategia de solucin, establecida a
partir del anlisis de los resultados del diagnstico elaborado en la etapa anterior, la
cual determina el curso de accin para las tareas que deber realizar el equipo de
proyecto, con miras a lograr el objetivo propuesto.
Siendo la labor de planeacin cclica, como se muestra en la figura # 1, la misma
se debe realizar tanto para el inicio, como durante la realizacin del proyecto. Si el
proyecto mostrase atrasos considerables en alguna de sus etapas, que no pudiesen
ser absorbidos por las holguras de los proyectos, o bien por un esfuerzo adicional
que ubique de nuevo el proyecto en su planeacin inicial, se debe realizar un nuevo
plan de proyecto, para el resto de las actividades a cumplir. Esta nueva versin del
plan puede variar los alcances del proyecto, o bien la calidad y cantidad de recursos
asignados.
El elaborar el plan es una labor muy delicada y se debe realizar con la participacin
de todos los miembros del equipo. Como en toda actividad grupal surgirn una serie
de opciones sobre como realizar las cosas, por lo que ser habilidad del Lder de
Proyecto conciliar criterios, de modo tal que se llegue a un consenso sobre cuales son
las actividades a desarrollar, para llegar a cumplir las finalidades del proyecto.
8. Ejecucin (Etapa 3)
El objetivo de esta etapa es propiamente desarrollar y cumplir el plan elaborado
en la etapa anterior.
ejecucin de las acciones a realizar y las metas a alcanzar, acorde con las actividades
enumeradas en el plan general.
Durante esta etapa el Lder de Proyecto deber mantener informada a la Unidad
Ejecutora respecto del avance en el desarrollo de las actividades, situaciones no
planeadas que se presenten, actividades no programadas y resolucin de problemas.
Dependiendo del mismo plan de trabajo y del tipo de proyecto, durante la etapa de
ejecucin se crearn productos intermedios que debern ser revisados y aprobados
por la Unidad Ejecutora.
8.1. Minutas de reuniones:
No se debe menospreciar la importancia de las reuniones, por lo que es de suma
importancia el dejar documentados todos los asuntos y acuerdos tratados en las
reuniones, sean estas calendarizadas o no.
El Lder de Proyecto deber mantener como parte de la documentacin del proyecto,
las minutas de las reuniones que se realicen. Para la creacin de las minutas deber
utilizarse el formulario que se presenta en el anexo 6.
8.2. Informes de avance:
Los informes de avance debern emitirse con una periodicidad no mayor al mes,
estableciendo valoraciones sobre el desempeo general del proyecto, resaltando
aquellos aspectos que afectan el cumplimiento de los tiempos y de las metas planeadas.
La Unidad Ejecutora del Proyecto revisa los informes de avance que emite el equipo de
proyecto, as como los ajustes y actualizaciones realizadas al cronograma de trabajo.
La Unidad Ejecutora del Proyecto revisa los productos intermedios propios del tipo de
proyecto de TIC que se desarrolla. En algunos casos el equipo de trabajo requerir
que se apruebe determinado producto intermedio, antes de continuar con el desarrollo
de tareas subsiguientes.
9. Control (Etapa 4)
Antes de ver el control como una etapa separada, se debe tener claro que ste es una
accin que siempre est presente durante el desarrollo del proyecto. Su fin primordial
es detectar desviaciones del plan de ejecucin en forma oportuna, de manera que
permita tomar acciones correctivas y preventivas. De ser necesario se deber retomar
el proceso de planeacin, para ejecutar las acciones necesarias, reflejndolas en una
nueva versin del plan.
La meta del control es lograr que los objetivos definidos en el plan de trabajo se
cumplan, a partir del seguimiento, ajuste y realimentacin de las acciones planeadas
y ejecutadas.
El proceso de control del proyecto valora como insumo los cambios en el entorno, los
cambios en los recursos, los cambios en las necesidades a solventar, las acciones
realizadas y el plan de trabajo; para emitir acciones correctivas y acciones preventivas.
9.1. Cronograma de proyecto actualizado:
El cronograma debe actualizarse peridicamente con el detalle de las actividades que
se han completado, el porcentaje de avance de las actividades que estn en proceso y
los ajustes propios de un proyecto en ejecucin donde se presentan nuevas tareas no
planeadas o la necesidad de ajustar fechas, producto de desfases que deben quedar
debidamente documentados.
Se debe hacer todo el esfuerzo porque el plan se cumpla, sin embargo todo plan
no es ms que una aproximacin del futuro y por ms cuidado y experiencia que
se haya puesto en la elaboracin del mismo, siempre existirn una serie de factores
que se pueden haber escapado durante la elaboracin del mismo. Otro aspecto muy
una
debidamente
Anexo 1
Definicin de roles
En el desarrollo de un proyecto de TIC se presentan diferentes actores con funciones
y responsabilidades que se describen a continuacin:
Anexo 2
se establece la
Anexo 3
Jefe de la USTI.
El jefe de la USTI puede delegar algunas responsabilidades de coordinacin en un
funcionario que rena los requisitos necesarios. Entre sus responsabilidades respecto
a los proyectos de TIC se destacan las siguientes:
Coordinar la ejecucin de los proyectos aprobados por el CGTIC.
Velar porque el desarrollo de los proyectos de TIC estn de acuerdo con las
estrategias y orientaciones definidas en los planes.
Apoyar en la solucin de problemas y en la consecucin de los recursos.
Recibir, analizar y tramitar las solicitudes por nuevos proyectos de TIC.
Asignar al lder tcnico que trabajar en el proyecto.
Participar en las reuniones de la Unidad Ejecutora cuando sea requerido.
Aprobar las diferentes etapas de aquellos proyectos que as lo requieran.
Apoyar al Lder Tcnico en los asuntos del desarrollo del proyecto que lo
requieran.
Coordinar el cumplimiento del cronograma de trabajo, en conjunto con el
Lder del Proyecto y el Lder Tcnico.
Identificar situaciones que puedan afectar el cumplimiento de los objetivos,
y coordinar las acciones preventivas o correctivas necesarias.
hacer las
Funciones
a. Apoyar en la elaboracin de los planes del proyecto requeridos y
correspondientes a cada una de las etapas, de acuerdo con la metodologa
y estndares vigentes.
b. Revisar los planes propuestos por el contratista e identificar y sugerir las
modificaciones necesarias, para salvaguardar los intereses del usuario y
de la Contralora General de la Repblica, en caso de contratacin externa.
c. Llevar un control de toda la informacin (documentacin) que se genera en
torno al proyecto tanto formal como informal, con el objetivo de respaldar
cualquier incidente, debido a problemas de comunicacin.
d. Supervisar y controlar la ejecucin real del proyecto, de acuerdo con los
estndares vigentes, para verificar la observacin de los planes y etapas
especficas, con la finalidad de identificar oportunamente cualquier desfase
o incumplimiento, interno o externo, y tomar las medidas correctivas.
e. Detectar y analizar cualquier problema actual o potencial que ocasione
variacin sobre lo planeado, coordinando las medidas correctivas con el
usuario responsable.
f.
g. Identificar y gestionar cualquier intervencin o ayuda requerida, para el
desarrollo del proyecto.
h. El Lder Tcnico debe velar por la aplicacin de los cambios tecnolgicos
que llegue a conocer y que afecten el proyecto.
i. Resolver los problemas y conflictos internos del proyecto que estn a su
alcance y elevar a los mandos superiores los que no pueda solucionar.
j. Presentar y justificar tcnicamente el proyecto tanto frente a los usuarios,
como ante otros coordinadores tcnicos y jefaturas.
k. Revisar y evaluar la calidad de los productos generados en las diferentes
etapas del proyecto, desarrollados en forma interna o por el contratista, de
acuerdo con los estndares vigentes y los planes. Por otra parte, identificar
Equipo de trabajo
Entre sus responsabilidades est:
Brindar toda la informacin y colaboracin necesaria al Lder de Proyecto y
al Lder Tcnico, en todas las etapas, actividades y tareas que lo requieran.
Atender las tareas que el Lder del Proyecto les asigne.
Grupo de Apoyo
Entre sus responsabilidades est:
Colaborar con el Lder de Proyecto en todas las etapas, actividades y tareas
que lo requiera.
Atender las tareas que el Lder del Proyecto les solicite.
Matriz de Responsabilidades
Anexo 4
Consideraciones
Entregables
Tipo
Primario:
proceso principal
Caso de Uso
Actores
Propsito
Tipo
Primario:
proceso principal
tecnologa y la implementacin
Real:
Poscondicin
Cursos
completa satisfactoriamente.
Condiciones resultantes despus del proceso
Se describe la excepcin al caso normal y se seala el punto
Alternativos
en que se dara.
Prioridad
Complejidad
Tipo Req.
Dependencia
Das const.
Con esta matriz se puede realizar un anlisis cuantitativo de los requerimientos que
permita identificar aquellos que son crticos para el xito y completitud del proyecto;
adems ofrece un elemento importante para la toma de decisiones por parte del Lder
de Proyecto y Lder Tcnico.
c. Definicin de infraestructura tecnolgica
Se debe detallar la infraestructura computacional que soportar el sistema cuando
est en operacin, a nivel de equipo principal y de usuarios, lenguaje de programacin
y especificacin de la base de datos; y cualquier otro aspecto requerido para el
funcionamiento del sistema. En trminos generales, el tipo de tecnologa a utilizar
dependiendo del tipo de sistema; incluyendo aquella que no est disponible en la CGR
y que se constituye en un riesgo tecnolgico.
2.
Consideraciones
Esta fase tiene el propsito de identificar los primeros elementos de diseo del nuevo
sistema. Los insumos principales de esta fase son: el documento de especificacin de
requerimientos y el documento de anlisis.
En la siguiente figura se diagraman las principales actividades de esta fase:
2.2.
Entregables
3.
Consideraciones
3.2.
Entregables
4.
Programacin y pruebas
4.1.
Consideraciones
En esta fase se confeccionan los programas y se realizan las pruebas a partir de los
documentos de requerimientos, casos de uso, especificacin de programas, anlisis y
diseo. Como producto se tendrn los componentes de programacin, una constancia
de pruebas y de aceptacin del producto.
En la siguiente figura se muestra el flujo de procesos esperado en esta fase donde
es posible que se deban realizar ajustes en la programacin para cumplir con las
especificaciones del usuario:
Diseo detallado
Construccin
Construccin
Ajustes
Ajustes
Pruebas
Pruebas
Aceptacin
Aceptacin
Implementacin
Figura No. 5: Construccin y pruebas
4.2.
Entregables
a una revisin de su
funcionalidad por parte del Lder de Proyecto o quien l designe y a una revisin de
tipo tcnico para garantizar su calidad.
4.2.2. Pruebas
a. Preparacin y levantamiento de informacin para las pruebas
Se debe retomar el documento de diseo de pruebas para comprobar que est acorde
con las caractersticas del sistema y que est vigente en cuanto a los casos de prueba
a realizar y a la definicin de usuarios que van a participar en este proceso. De ser
necesario se realizar la generacin de datos para las pruebas de los mdulos.
b. Ejecucin de pruebas especficas
Se debe probar el funcionamiento (cumplimiento de los requerimientos), facilidad de
uso por el usuario (interfaz con el usuario), dilogos con el usuario y su control, para
cada pantalla con la que debe interactuar el usuario.
c. Ejecucin de pruebas por el usuario final
Esta actividad requiere que se pruebe la operacin integral de todos los componentes
del sistema y su interaccin con otros sistemas, de manera que se asegure el
cumplimiento de los requerimientos de integracin especificados. Estas pruebas
deben ser realizadas por el usuario final con al apoyo y colaboracin del equipo de
desarrollo.
d. Documentacin de los resultados de las pruebas
Generar la documentacin que corresponda para dejar constancia de los resultados
del proceso de pruebas, incluyendo los casos en donde stos no fueron satisfactorios,
lo cual implica ajustes a los programas y la aplicacin de las pruebas correspondientes.
Es importante que quede documentado quines y cundo realizaron las pruebas, as
como sus observaciones.
5.
Documentacin
5.1.
Consideraciones
La documentacin del sistema se genera durante el desarrollo de todas las fases del
proyecto; sin embargo, hay un conjunto de documentos especficos a generar: manual
de usuario, manual de operacin y manual tcnico.
La documentacin del proyecto se debe mantener actualizada en todo momento y
formar parte de un expediente o archivo por proyecto donde todos los documentos
producidos estn reunidos.
5.2.
Entregables
Cronograma ajustado
Correspondencia generada
Solicitud para el desarrollo de un sistema de informacin
Memorando de solicitud
Informe de diagnstico
Memorando de resultado del estudio
Seleccin de la solucin
Solicitud formal del proyecto
Anlisis integral de requerimientos
Especificacin de requerimientos
Priorizacin de requerimientos
Documento de anlisis
Diseo conceptual de la solucin
Documento conceptual de la solucin
Diseo detallado de la aplicacin
Documento de diseo detallado
Diseo de pruebas
Programacin y pruebas
Scripts de creacin de objetos
Inventario de componentes de programacin
Constancia de pruebas
Aceptacin del sistema
Capacitacin
Constancia de la capacitacin
Implementacin
Plan de implementacin
Aprobacin del inicio de operacin
Entrega del sistema
Manual de usuario
Manual tcnico
Manual de operacin
5.2.2. Manual de usuario
El manual del usuario debe ser conciso y prctico, sin dejar de ser exhaustivo,
de manera que los usuarios encuentren en l toda la informacin necesaria para
interactuar con el sistema. Se debe combinar la descripcin textual, con la grfica, de
manera que al usuario se le facilite su uso.
El manual debe contener lo siguiente:
Introduccin
Estndares del Sistema
Requerimientos tecnolgicos
Cmo se ingresa al Sistema
Descripcin del Men Principal del Sistema
Descripcin textual y grfica de cada pantalla (sea de registro o consulta)
Descripcin del uso e impresin de reportes
Cmo y a quin reportar errores del sistema
6.
Capacitacin
6.1.
Consideraciones
7.
Implementacin
7.1.
Consideraciones
Entregables
8.
Evaluacin post-implantacin
Anexo 5.
Mantenimiento de sistemas.
1. Mantenimiento de sistemas
Para el mantenimiento de un sistema se tiene que elaborar la solicitud de modificacin
por escrito por parte del usuario administrador del sistema. Para ello la USTI tiene
definido un estndar de formulario para control de cambios que el interesado deber
llenar y enviar para su respectivo trmite.
Una vez aprobado el ajuste con base a lo establecido por el procedimiento de control
de cambios, se conforma el equipo de trabajo para el desarrollo correspondiente,
dndole tratamiento como un proyecto normal, ajustando todo al tamao y condiciones
del trabajo a realizar.
Durante la ejecucin del trabajo de mantenimiento se debern cumplir las siguientes
fases:
1.1.
1.2.
1.3.
1.5.
Capacitacin
Con todos los ajustes aprobados y efectuada la capacitacin, se realizarn los ajustes
necesarios en el equipo de produccin (tanto en el equipo principal como en el equipo
perifrico, segn corresponda), implementando el sistema actualizado, de acuerdo
con los estndares definidos.
1.7.
Evaluacin post-implantacin
Dependiendo del tipo de ajuste realizado, se deber realizar una etapa de postimplantacin, segn lo establecido en esta Gua.
Anexo 6.
Divisin/rea:
Lugar:
Elaborado por:
Fecha:
Hora inicio:
Hora finalizacin:
ASISTENCIA:
Invitado
Dependencia
Pre
Aus
Responsable
ASUNTOS TRATADOS:
Asuntos tratados
1)
2)
Comentarios Generales
ACUERDOS:
Acuerdos
1)
2)
3)
Responsable (s)
F e c h a
prevista
Anexo 7.
Ficha de Anteproyecto.
FICHA DE ANTEPROYECTO
Nombre del Proyecto ________________________________________________________
Resultado esperado
_________________________________________________________
_________________________________________________________
Efecto
_________________________________________________________
_________________________________________________________
Objetivo
_________________________________________________________
_________________________________________________________
Productos
_________________________________________________________
_________________________________________________________
Enfoque
_________________________________________________________
_________________________________________________________
Alcance
_________________________________________________________
_________________________________________________________
Relaciones de
Coordinacin
_________________________________________________________
Responsable
_________________________________________________________
Prioridad
_________________________________________________________
Requerimientos
Iniciales
_________________________________________________________
_________________________________________________________
Fecha de inicio:
______________
Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas deseables al definir el nombre del proyecto son:
Resultado esperado:
Deben establecerse los resultados esperados en los campos de accin de la Contralora
que aparecen en la estrategia institucional, con los cuales se considere que el proyecto
contribuye.
En este apartado debe anotarse tanto la numeracin como el resultado esperado tal y
como se consignan en el documento de la Estrategia Institucional. Lo anterior con el
objeto de interrelacionar ordenadamente la planificacin con la estrategia institucional.
En el caso de existir contribucin directa con ms de un resultado esperado, stos
deben incluirse respetando un criterio de mayor a menor contribucin.
Efecto:
Para que un proyecto sea viable dentro de la CGR, el mismo debe aportar un valor
agregado a la misma, o sea que el mismo coadyuve a que la organizacin cumpla sus
fines y objetivos. En estos trminos se deben aportar los razonamientos que muestren
como el proyecto ayudar a que la CGR sea ms eficiente y productiva. Un proyecto
que no se pueda justificar en los trminos anteriores, simplemente no se debe realizar.
Objetivo:
Es el nivel de desempeo que se debe lograr para satisfacer una necesidad determinada.
Los objetivos deben tener una relacin directa con dicha necesidad, y es conveniente
que se estructuren segn los siguientes componentes:
Escala de medicin: La variable que indica la magnitud o avance del
objetivo, como pueden ser el porcentaje o el volumen.
Horizonte de tiempo: El periodo definido para lograr la consecucin del
objetivo, por ejemplo en seis meses.
Productos:
Los resultados inmediatos del proyecto que propiciarn el alcance del objetivo.
Enfoque:
Determina la(s) caracterstica(s) u orientacin particular con que se quiere desarrollar
el proyecto. Por ejemplo: participativo, consensuado, externalizacin, fiscalizacin
horizontal o unilateral.
Alcance:
mbito de accin propio del proyecto.
Relaciones de coordinacin:
Definen la interaccin del proyecto, definiendo en principio lo que se requiere
para su desarrollo (identifica proveedores), y lo que debe aportar a otras unidades
organizacionales o a otros proyectos (identifica clientes). En primer lugar se establecen
los clientes del proyecto, que llevan al producto deseado, lo cual conduce a los
proveedores que suministran los recursos para obtener los productos. En este aparte
se debe definir el rol que asume cada uno de los involucrados en el proyecto.
Responsable:
Unidad patrocinadora a la que se le asignar la responsabilidad de administrar el
proyecto, y en consecuencia la que debe rendir cuentas por el logro de los objetivos
planteados.
Prioridad:
El grado de urgencia del asunto. Debe estar relacionado con el impacto de los productos
y con la disponibilidad de tiempo para la ejecucin. Se define en funcin del tiempo
con que se cuenta para tener los productos y de su impacto.
Requerimientos iniciales:
Indican en forma general los aspectos o acciones necesarias que deben desarrollarse
en el proyecto, con el propsito de que ste brinde los efectos y resultados esperados.
Dichos requerimientos deben analizarse segn los componentes del modelo gerencial
de esta Contralora General: Procesos Internos, Recursos Humanos y Sistemas de
Informacin.
negociado, establecido por ley o se puede partir del hecho de que la administracin
requiere que el proyecto est para determinada fecha, en cumplimiento de objetivos
estratgicos.
Es muy importante para efectos de planeacin, realizar un estimado de la duracin
del proyecto; ya que las diferentes reas involucradas debern aportar los recursos
que sean necesarios para que la duracin del proyecto se cumpla. Los supuestos
en que se basa la estimacin de tiempos resultan fundamentales a efecto de crear
expectativas realistas y acordes con los recursos y alcances esperados.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 8.
_________________________________________________________
_________________________________________________________
_________________________________________________________
Lder de Proyecto:
_________________________________________________________
Lder Tcnico:
_________________________________________________________
Integrantes del equipo de trabajo
Nombre
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
Unidad
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Unidad
_____________________________
_____________________________
_____________________________
Explicacin Detallada.
Nombre del Proyecto:
Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas
deseables al definir el nombre del proyecto son:
Identificar la naturaleza del proyecto.
Ubica el contexto en el que se desarrollar.
Debe ser conciso.
Cdigo de Proyecto:
Para efectos prcticos y con el fin de mejorar aspectos de documentacin y archivo,
todo sistema ser conocido por un cdigo asignado tomando como referencia el
nmero de gestin y proceso que tendr el proyecto en el Sistema de Gestin y
Documentos (SIGYD). Con dicho nmero se podr entonces revisar en el SIGYD toda
la correspondencia asociada, el detalle del equipo de trabajo, fechas importantes y las
horas dedicadas.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 9.
Explicacin Detallada.
Cdigo de Proyecto:
Cdigo asignado tomando como referencia el nmero de gestin y proceso que tendr
el proyecto en el Sistema de Gestin y Documentos (SIGYD).
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Aprobado por:
Es el nombre del coordinador de la Unidad Ejecutora.
Fecha:
Fecha en que se emite el documento.
Anexo 10.
PLANEACION DE RECURSOS
Nombre del proyecto: ___________________________________________________
Cdigo de proyecto: ________
Siglas:
_________
Recursos Requeridos
_________________________________________________________
Humanos:
____________
________________________________________________________________________
__________________________________________________________________
Tecnolgicos:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Materiales:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Financieros:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Elaborado por: ____________________________________ Fecha: ____________
Explicacin detallada.
Cdigo de Proyecto:
En este campo se consignar el cdigo que se le asign al proyecto.
Siglas: Se deben consignar las siglas que la USTI le asigne al proyecto.
Recursos Humanos:
En este campo se debe anotar cada una de las personas que se requerirn durante el
ciclo de vida del proyecto, con el fin de que las mismas sean ubicadas a tiempo, segn
sea el caso.
Recursos Tecnolgicos:
En este campo se deben anotar aquellos recursos tecnolgicos con que se debe contar
en un momento determinado, para la buena marcha del proyecto. Es necesario indicar
cantidades, tiempo y especificaciones tcnicas.
Por ejemplo:
se requiere contar con un servidor instalado en la red central de la CGR, a
partir del mes de octubre, con las siguientes caractersticas tcnicas.......
Se debe contar, a partir de julio, con un Sistema Administrador de Bases
de Datos, Oracle 11g, con 12 licencias de prueba, instalado en el servidor
de pruebas de la CGR.....
Recursos Materiales:
En este campo se deben anotar aquellos recursos materiales, necesarios para la buena
marcha del proyecto. Es necesario indicar cantidades, tiempo y caractersticas.
Ejemplos.
Se necesita una oficina de 60 m2, equipada con cuatro escritorios, .....
Se requiere contar con los servicios de un vehculo a disposicin del grupo
de trabajo, las 24 horas del da, a partir del mes de febrero y por 3 meses.
Recursos Financieros:
En este campo se debe hacer referencia a un presupuesto de gastos, lo mismo que
a un flujo de efectivo, dependiendo de la complejidad del proyecto, los presupuestos
sern ms o menos detallados. En algunos proyectos de la CGR, podran no tener
presupuesto o flujos de efectivo, sobre todo aquellos que lo nico que requieren es
el aporte del esfuerzo personal de su grupo de trabajo, para obtener un determinado
producto como lo es por ejemplo un desarrollo interno de sistemas, un ante-proyecto,
la redaccin de una poltica o lineamiento.
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 11.
Formulario para documentar Acciones Correctivas o Preventivas.
DOCUMENTACIN DE ACCIONES CORRECTIVAS O PREVENTIVAS
Nombre del Proyecto: ________________________________________________________
Cdigo de Proyecto: _______
Siglas:
_______
Actividad desfasada(o que se podra desfasar) segn el Plan.
__________________________________________________________________________
Motivos:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acciones correctivas (o preventivas).
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Elaborado por: ___________________________________ Fecha: ___________________
Explicacin detallada.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Motivos:
En este campo se deben documentar los motivos por los que, a criterio del equipo de
trabajo, la actividad tiende a estar o est desfasada.
Si las acciones
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 12.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Cambio requerido:
Debe detallar en que consisti el cambio dentro del proyecto.
Justificacin:
Asociado al cambio anterior debe indicar la justificacin o el por qu se present el
cambio.
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 13.
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
Observaciones:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acepta a satisfaccin: _______________________________ Firma: ___________________
Fecha: ___________________
Explicacin detallada.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Productos entregados:
Se listan todos los productos finales que deja el proyecto que concluye. Pueden ser;
entre otros, sistemas operando, documentacin, o tecnologa operando.
Observaciones:
El coordinador de la Unidad Ejecutora puede dejar constancia de puntos que considera
importantes en relacin a alguno de los productos, sobre todo si los requiere ser
retomado en futuras versiones del proyecto.
Acepta a satisfaccin:
En este campo se debe consignar el nombre del coordinador de la Unidad Ejecutora,
dando por aceptados los productos finales.
Firma:
Firma del coordinador de la Unidad Ejecutora.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 14.
1. Elementos
Los elementos que pueden aparecer en un Diagrama de Casos de Uso son: actores,
casos de uso y relaciones entre casos de uso.
1.1 Actores
Un actor es algo con comportamiento, como una persona (identificada por un rol), un
sistema informatizado u organizacin, y que realiza algn tipo de interaccin con el
sistema. Se representa mediante una figura humana. Esta representacin sirve tanto
para actores que son personas como para otro tipo de actores.
1.2 Casos de Uso
Un caso de uso es una descripcin de la secuencia de interacciones que se producen
entre un actor y el sistema, cuando el actor usa el sistema para llevar a cabo una tarea
especfica. Expresa una unidad coherente de funcionalidad, y se representa en el
Diagrama de Casos de Uso mediante una elipse con el nombre del caso de uso en su
interior. El nombre del caso de uso debe reflejar la tarea especfica que el actor desea
llevar a cabo usando el sistema.
1.3 Relaciones entre Casos de Uso
Un caso de uso, en principio, debera describir una tarea que tiene un sentido completo
para el usuario. Sin embargo, hay ocasiones en las que es til describir una interaccin
con un alcance menor como caso de uso con fines de mejorar la comunicacin en
el equipo de desarrollo y en el manejo de la documentacin de casos de uso. Si
queremos utilizar casos de uso ms pequeos, las relaciones entre estos y los casos
de uso ordinarios pueden ser de los siguientes tres tipos:
Incluye (<>): Un caso de uso base incorpora explcitamente a otro caso de
uso en un lugar especificado dentro del caso base. Se suele utilizar para
encapsular un comportamiento parcial comn a varios casos de uso. En
la siguiente figura se muestra cmo el caso de uso Realizar Reintegro
puede incluir el comportamiento del caso de uso Identificacin.
Extiende (<>): Cuando un caso de uso base tiene ciertos puntos (puntos
de extensin) en los cuales, dependiendo de ciertos criterios, se va a
realizar una interaccin adicional. El caso de uso que extiende describe un
comportamiento opcional del sistema (a diferencia de la relacin Incluye que
se da siempre que se realiza la interaccin descrita) En la siguiente figura
se muestra como el caso de uso Comprar Producto permite explcitamente
extensiones en el siguiente punto de extensin: info regalo. La interaccin
correspondiente a establecer los detalles sobre un producto que se enva
como regalo estn descritos en el caso de uso Detalles Regalo.
entre clases) pegado al extremo del caso de uso ms general. Al igual que
en la herencia entre clases, el caso de uso hijo hereda las asociaciones y
caractersticas del caso de uso padre. El caso de uso padre se trata de un
caso de uso abstracto, que no est definido completamente. Este tipo de
relacin se utiliza mucho menos que las dos anteriores. El caso de uso hijo
hereda el comportamiento y significado del caso de uso padre.
Selecciona
la
disponibles.
de 6. Pide la cantidad a retirar.
Reintegro.
7. Introduce la cantidad requerida.
9. Recoge la tarjeta.
a. Basado en Actores
1. Identificar los actores relacionados con el sistema y/o la organizacin.
2. Para cada actor, identificar los procesos que inicia o en los que participa.
b. Basado en Eventos
1. Identificar los eventos externos a los que el sistema va a tener que responder.
2.
Relacionar
los
eventos
con
actores
casos
de
uso.
Presenta
numrico.
operaciones
5. etc.
6. etc.
las
opciones
de
disponibles.
En principio, los casos de uso reales deberan ser creados en la fase de Diseo de
Bajo Nivel y no antes. Sin embargo, en algunos proyectos se plantea la definicin de
interfaces en fases tempranas del ciclo de desarrollo, en base a que son parte del
contrato. En este caso se pueden definir algunos o todos los casos de uso reales, a
pesar de que suponen tomar decisiones de diseo muy pronto en el ciclo de vida.
No hay una diferencia estricta entre un Caso de Uso Esencial y uno Real, el grado de
compromiso con el diseo es un continuo, y una descripcin especfica de un caso de
uso estar situada en algn punto de la lnea entre Casos de Uso Esenciales y Reales,
normalmente ms cercano a un extremo que al otro, pero es raro encontrar Casos de
Uso Esenciales o Reales puros.
todas ellas consideradas normales se puede completar el Curso Tpico de Eventos con
secciones adicionales.
As, si en un determinado nmero de lnea hay una bifurcacin se pueden poner
opciones que dirigen el caso de uso a una seccin que se detalla al final del Curso
Tpico de Eventos, en la siguiente forma:
- Curso Tpico de Eventos:
Seccin: Principal
Accin del Actor
Respuesta del Sistema
1. Este caso de uso empieza cuando Actor 2. Pide la operacin a realizar.
llega al sistema.
3. Escoge la operacin A.
5. Selecciona el tipo de pago:
Cursos Alternativos:
Cursos Alternativos:
Lnea 3: No hay cambio suficiente. Se cancela la operacin.
Seccin: Pago con Tarjeta
Anexo - NTP8
1.
Generalidades
Jefatura de Unidad:
Es el responsable de la Unidad y coordina toda la gestin del desarrollo de proyectos
tecnolgicos.
Soporte Administrativo:
Consiste en brindar servicios asistenciales relacionados con presupuesto y compras
en tecnologas de informacin.
Soporte a Clientes:
Este grupo brinda soporte tcnico a las computadoras, sus accesorios y programas
que tienen los usuarios internos de la CGR. Este soporte implica la atencin de fallas
en los equipos, instalacin de programas y recuperacin de datos.
Desarrollo de Sistemas:
Los funcionarios pertenecientes a este grupo se encargan de la gestin de desarrollo
y evolucin de sistemas y aplicaciones.
Plataforma Tecnolgica:
El grupo de plataforma tecnolgica es el encargado del buen funcionamiento y
desempeo de los servidores y bases de datos.
Plataforma de redes:
Es el grupo encargado de la gestin de las comunicaciones tanto digitales como
telefnicas, administrando la infraestructura de firewall, routers y switches para el
transporte de datos, voz y video, as como la seguridad relacionada con antivirus, filtro
de contenidos y perimetral.
Centro de Cmputo:
Administra la infraestructura tecnolgica centralizada en la sala del centro, supervisa
el buen funcionamiento y asegura la generacin de respaldos de bases de datos y
sistemas operativos.
aplicables.
Trminos y Definiciones
Para un mejor entendimiento del presente Manual, son aplicables los trminos y
definiciones de la norma internacional ISO 9000:2000 Sistemas de Gestin de la
Calidad Fundamentos y vocabulario.
1.3.
Poltica de la calidad.
Diagrama de procesos
2.
Requisitos Generales
2.2.
Requisitos de la documentacin.
2.2.1. Generalidades
Para que el sistema opere consistentemente, se mantenga y pueda mejorarse, se
deben establecer, documentar e implantar, documentos que incluyen:
a. Las declaraciones documentadas de una Poltica y objetivos de la calidad,
b. El presente Marco de Gestin de la Calidad,
c. Los documentos y procedimientos requeridos por la organizacin para
asegurar la planificacin, operacin y control efectivo de las actividades
propias del proceso de Gestin de tecnologas de informacin y
comunicacin.
2.2.2. Manual de calidad
Este manual de la calidad incluye el alcance del Sistema de Gestin de Calidad, sus
exclusiones y las consideraciones en materia de calidad que se contemplan en las
soluciones tecnolgicas.
2.2.3. Control de documentos
El control de Documentos est establecido en la Metodologa para el Desarrollo de
Proyectos de Tecnologas de Informacin y Comunicaciones, y en trminos generales
establece:
Aprobar documentos antes de su Emisin y/o Publicacin,
3.
RESPONSABILIDAD DE LA DIRECCIN
3.1.
Enfoque al cliente
Cada lder de proyecto contar con el apoyo del Coordinador de Proyectos, el lder
tcnico y el grupo de apoyo de manera que se pueda asegurar las necesidades y
expectativas de los usuarios que han sido convertidas en requisitos y son cumplidas con
la finalidad de lograr la satisfaccin de stos, considerando siempre las obligaciones
reglamentarias y legales.
Lo anterior, se mide a travs de la informacin que se proporciona acerca del desempeo
de los productos y servicios que se tienen, con respecto a sus requerimientos y
expectativas. Esta informacin se recopila por medio de la ficha tcnica del proyecto
(ver Manual de Estndares, Anexo No.7).
3.2.
Poltica de la Calidad
Planificacin
3.4.
3.5.
Revisin de la Gerencia
4.
GESTIN DE RECURSOS
4.1.
Provisin de recursos
4.2.
Recursos Humanos
4.2.3. Infraestructura
Identificar y mantener las instalaciones necesarias para lograr la conformidad de los
productos y servicios incluyendo el espacio de trabajo, hardware, software bsico y
utilitario, y los servicios de soporte.
4.2.4. Ambiente de trabajo
Por medio de las unidades de apoyo se administran los factores humanos y fsicos
(ambiente de trabajo), necesarios para lograr la conformidad de los productos y
servicios, tales como:
Temperatura del lugar de trabajo
Espacio de trabajo (Evitar interferencias)
Ergonoma
Iluminacin
5.
CONSIDERACIONES EN EL DESARROLLO
En caso de ser
5.1.2. Aseguramiento
El lder del proyecto se encargar de que todos los participantes del grupo de
desarrollo comprenda su labor y sus responsabilidades dentro del proyecto.
Se debe contar con un patrocinador del proyecto que participe y se
comprometa.
El lder del proyecto revisar mensualmente los productos obtenidos en el
mes y la documentacin relacionada con cada uno de ellos.
Cada proyecto debe tener un Libro de Proyecto en el Sistema de Expediente
Electrnico, al que se le debe de incorporar toda la documentacin
establecida en la Metodologa para el Desarrollo de Proyectos del mismo.
Se debe de establecer un grupo de proyecto que lo constituya como mnimo
un lder de proyecto y un lder tcnico.
Reporte mensual que se presentar al Gerente de Proyectos de acuerdo
con lo establecido en la Metodologa y el Manual de Estndares.
Elaboracin de listas de cotejo con las actividades de la etapa.
Presentacin del producto final de la etapa en donde se encuentre el
Gerente de Proyectos, el Patrocinador y los involucrados directos.
5.1.3. Control
Posterior al cierre de la etapa, se realizar un anlisis del libro del proyecto
para determinar que se cumplieran los objetivos definidos y que la
documentacin se encuentre completa y no sea ambigua.
Cronograma de actividades del proyecto con su ruta crtica y responsables
de las actividades.
Lista de los participantes y su rol en el proyecto.
Plan de productos entregables con sus caractersticas y sus fechas.
Visto bueno de los entregables por parte del lder y del patrocinador del
proyecto.
Visto bueno de los plazos para los entregables por parte del Comit de
Apoyo.
Mapa de riesgos y administracin de los mismos.
Matriz de las formas de comunicacin que se utilizarn en el proyecto.
Reportes mensuales de avance.
Diagrama organizacional del proyecto con los roles establecidos.
Documentacin de anlisis realizado en internet, libros, referencias o visitas
realizadas.
Verificar la aceptacin de la etapa de Anlisis del proyecto por parte del
Patrocinador, del Gerente de Proyectos y del grupo de apoyo.
Verificacin de las minutas de reuniones.
Determinar los planes de contingencia de acuerdo con los riesgos
encontrados.
Conciliar y confirmar los supuestos establecidos de acuerdo con la
Metodologa para el Desarrollo (detallar qu implica y qu debe contener).
5.2.
Etapa de Diseo
Durante esta etapa, se inicia la creacin de un modelo de solucin que cumpla con
los requisitos recopilados en las etapas anteriores. Al final del proceso, se debe tener
un modelo que cumpla con las necesidades del cliente.
5.2.1. Planificacin
Luego del anlisis de los requerimientos del sistema, el lder tcnico
representar sus resultados en un diagrama de entidad-relacin (ER), en
el cual se deben de detallar los volmenes esperados de registros y pueda
detallar los requerimientos de capacidad de acuerdo con lo establecido en
la metodologa para el desarrollo de proyectos en TIC.
Asimismo,
Asimismo,
Etapa de Obtencin
5.3.2. Aseguramiento
Verificar los requerimientos con cada participante y contar con su respectiva
firma de conocimiento y observaciones pertinentes.
Cotejar que los formularios de control de cambios se encuentren
debidamente completados y acorde con lo estipulado en la Metodologa
para el Desarrollo de Proyectos Informticos.
5.3.3. Control
Documentacin de cada componente detallando su participacin en el
proceso y su contenido.
Pruebas documentales de ejecucin de cada componente y resultados
obtenidos.
5.4.
Implementacin
Toda la
Operacin
Verificar que todas las tablas tengan definidos los procesos para purgar
datos o de tablas histricas para su migracin.
Preparar un plan de contingencia y los protocolos que deben de seguirse
para ser incorporados al Sistema de Continuidad de Servicio.
Definicin de los umbrales de tolerancia para detener la implementacin o
continuar con la misma.
Plan de recuperacin de datos en caso de una reversin.
Definicin del grupo encargado de realizar el seguimiento de la
implementacin del producto o del servicio.
Plan de divulgacin sobre la implementacin del producto o servicio.
5.5.2. Aseguramiento
Realizar una reunin semanal durante el primer mes de operacin para
analizar comportamiento y analizar los reportes de incidentes.
Seleccionar usuarios principales para medir el comportamiento de la
aplicacin y algunos de sus componentes.
Generar reportes diarios de comportamiento del producto o servicio y los
respectivos procesos de anlisis de datos, que debe ser analizado por el
patrocinador, el lder del proyecto y la Jefatura de la UTI.
5.5.3. Control
Realizar el seguimiento del registro de bitcoras por parte del lder del
proyecto.
Garantizar la bsqueda de soluciones a los problemas o inconvenientes
reportados.
Realizar reuniones de seguimiento con personal designado por el
patrocinador del sistema.
Preparar la documentacin para el cierre del proyecto de conformidad con
lo establecido en la Metodologa para el Desarrollo de Proyectos en TIC.
6.
Generalidades
Seguimiento y Medicin
Este proceso se enriquece con la entrega de informes mensuales sobre los incidentes
reportados, en los cuales se resumen la cantidad y su duracin de atencin. Estos
son recopilados por medio del Sistema de Solicitudes de Servicio, que se encuentra
en operacin en la UTI.
6.2.4. Seguimiento y medicin del producto o servicio
El lder del proyecto y su personal se encargan de medir las caractersticas del
producto para verificar que cumple con los requisitos establecidos. Esta actividad se
realiza en las etapas apropiadas del proceso de realizacin del producto de acuerdo
con las disposiciones planificadas y definidas en la Metodologa para el Desarrollo de
Proyectos Informticos.
La liberacin del producto y la prestacin del servicios no se lleva a cabo hasta que no
se haya completado satisfactoriamente las disposiciones planificadas, a menos que
sean aprobados de otra manera por el Gerente de la UTI y, cuando corresponda, por
el patrocinador del proyecto.
Las mediciones realizadas en cuanto al producto o servicio proveern los datos
necesarios para definir metas anuales de mejoramiento as como tambin establecer
adecuados planes de recuperacin.
6.3.
El producto que no sea conforme con los requisitos se identifica y controla por parte
del lder de proyecto, para prevenir su uso o entrega no intencional. Los controles,
las responsabilidades y autoridades relacionadas con el tratamiento del producto
no conforme estn definidos en la Metodologa para el Desarrollo de Proyectos de
Informacin y Comunicaciones.
Anlisis de datos
Mejora
Anexo - NTP9
Modelo de Arquitectura de
Informacin
Necesidad
En el contexto de la alta dependencia de las TIC para la gestin estratgica, tctica y
operativa de la informacin y las comunicaciones; es un asunto trascendental disponer
de un Modelo de Arquitectura de Informacin (MAI), que soportado en el modelado
de los procesos de la organizacin, establezca cual es la informacin que en stos
fluye, el manejo que debe drsele y la integracin entre los procesos a nivel de flujos
de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justificar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la fiabilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
Normativa tcnica
Las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin,
emitidas mediante la Resolucin del Despacho de la Contralora General de la Repblica,
Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro.119 del 21
de junio de ese mismo ao, incluye una norma referida al modelo de arquitectura de
informacin, en los siguientes trminos:
Con la definicin de esta primera versin del MAI la Contralora General de la Repblica
cumple con el referido numeral que especficamente regula este aspecto en dichas
Normas Tcnicas.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identificarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, definir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y
Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de
informacin que, en buena medida, ha determinado el inventario de sistemas de
informacin y de soluciones tecnolgicas disponibles.
Este modelado de arquitectura de informacin previo se sustent en la primera emisin
del MAGEFI que se promulg en el ao 1999 y que se elabor como parte de un
proceso de modernizacin que impuls la Contralora General a mediados de 1996;
orientado a definir un nuevo modelo de fiscalizacin superior de la Hacienda Pblica.
Alcances y limitaciones
La elaboracin de un modelo de arquitectura de informacin debe partir de la
perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la definicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en la ms reciente versin del MAGEFI.
El nivel de desarrollo del MAI en esta primera versin se alinea al nivel que lo permite
el modelado organizacional existente; inicialmente en trminos de insumo, actividades
del proceso y productos, que es lo definido en el nuevo MAGEFI.
Enfoque metodolgico
La tcnica utilizada para definir el modelo de arquitectura de informacin fue Business
System Planning, BSP (Planeamiento de los Sistemas del Negocio) con un enfoque
simplificado.
La tcnica del BSP implementa un enfoque estructurado para ayudar a establecer
un plan de sistemas de informacin que pueda satisfacer las necesidades de la
organizacin, esto a partir del anlisis de los procesos del negocio y de la informacin
que fluye en ellos. En el desarrollo de esta primera versin del MAI la tcnica BSP se
aplic en una versin simplificada, dado que se dispona nicamente de la descripcin
general de los procesos de la organizacin compilados en el MAGEFI.
En primera instancia el equipo de trabajo realiz una revisin general del MAGEFI en
su nueva versin. Posteriormente, para cada uno de los procesos gener las siguientes
tablas:
Procesos Unidades funcionales, indicando si la unidad tiene responsabilidad
primaria, mayor implicacin o menor implicacin en el proceso.
Arquitectura de informacin
En el siguiente grfico se presenta la arquitectura de informacin de la Contralora
General de la Repblica, condensando la informacin generada durante la aplicacin
de la tcnica del BSP.
Planeado
Fiscalizacin Integral
Del entorno
Salidas
PP-01-P1 Respuestas a los requerimientos de clientes externos.
PP-01-P2 Solicitud interna de servicio
PP-01-P3 Propuestas de diseo o rediseo de nuevos productos
PP-01-P4 Anlisis integral de requerimientos del cliente externo
Nombre del Sistema
Pronunciamientos
En construccin
Estado
Fiscalizacin Integral
Macrosistema
Subsistemas asociados
Registro de pronunciamientos de la CGR (actual)
Entradas
PP-02-I1 Solicitud de Criterio
PP-02-I2 Solicitud Interna de Servicio
Flujo de datos
Del cliente externo
Sistema de requerimientos de clientes
externos
PP-02-I3 Productos de fiscalizacin BD de Conocimiento
integral anteriores
PP-02-I4 Asesora interna escrita
PP-02-I4 Criterio de asesora externa
PP-02-I5 Marco Jurdico
PP-02-I6 Marco jurisprudencial
doctrinal aplicable
Salidas
PP-02-P1 Criterio emitido
Nombre del Sistema
Estado
Macrosistema
Subsistemas asociados
Manejo de la participacin
Fiscalizacin Previa
Planeado
Fiscalizacin Integral
de la CGR en el proceso de contratacin administrativa
Flujo de datos
Sistema de Requerimientos de clientes
externos
de solicitud de Del cliente externo
Del entorno
y Del entorno
Perfil
del
proyecto
Flujo de datos
de Sistema de Planificacin y Evaluacin de
fiscalizacin posterior
la Gestin Institucional
PP-04-I2 Histrico de productos de BD de conocimiento
fiscalizacin integral
PP-04-I3 Marco jurdico
PP-04-I4
Marco
doctrinal
Del entorno
y Del entorno
jurisprudencial aplicable
PP-04-I5 Criterios tcnicos externos
Del entorno
PP-04-I6 Informes de Auditoras Internas Cliente Externo
y Externas
PP-04-I7 Informacin
Del entorno
y Del entorno
jurisprudencial aplicable
Salidas
PP-05-P1 Resolucin final del procedimiento administrativo
PP-05-P2 Registro de sancionados
PP-05-P3 Ttulo ejecutivo
Nombre del Sistema
Estado
Macrosistema
Subsistemas asociados
Litigios
Planeado
Fiscalizacin Integral
Entradas
Flujo de datos
PP-06-I1 Histrico de productos de BD de conocimiento
fiscalizacin integral
PP-06-I2 Marco jurdico
PP-06-I3
Marco
doctrinal
Del entorno
y Del entorno
jurisprudencial aplicable
PP-06-I4 La defensa y las pruebas de las Del cliente externo
partes
PP-06-I5 Demanda/Contra demanda y Del cliente externo
sus antecedentes cuando corresponda
Salidas
PP-06-P1 Escrito inicial del proceso
PP-06-P2 Oficios de atencin al proceso judicial
PP-06-P3 Atencin de audiencias en sede judicial
Planeado
Fiscalizacin Integral
Entradas
PP-07-I1 Solicitud interna de servicio
Flujo de datos
Sistema de Requerimientos de Clientes
Externos
Del cliente externo
Sistema de Planificacin y Evaluacin de
la Gestin Institucional
PP-07-I4 Histrico de productos de BD de conocimiento
fiscalizacin integral
PP-07-I5 Marco jurdico
PP-07-I6 Marco jurisprudencial
Del entorno
y Del entorno
doctrinal aplicable
PP-07-I7 Informes del Ministerio de Del cliente externo
Hacienda y de MIDEPLAN
PP-07-I8
Anlisis
integral
requerimientos del cliente externo
Salidas
PP-07-P1 Documentos de anlisis u opinin sobre Hacienda Pblica
PP-07-P2 Asesoras escritas
PP-07-P3 Asesoras verbales
PP-07-P4 Memoria Anual
PP-07-P5 Documentos tcnicos de anlisis macro
PP-07-P6 Manuales o guas de buenas prcticas
Nombre del Sistema
Estado
Macrosistema
Subsistemas asociados
Sitio Web
Capacitacin Externa
Planeado
Fiscalizacin Integral
Campus Virtual
Entradas
PP-08-I1 Perfil de proyecto
Flujo de datos
Sistema de Planificacin y Evaluacin de
la Gestin Institucional
PP-08-I2 Histrico de productos de BD de Conocimiento
fiscalizacin integral
PP-08-I3 Marco jurdico
PP-08-I4 Marco jurisprudencial
doctrinal aplicable
Del entorno
y Del entorno
Del entorno
Sistema de Requerimientos de Clientes
Externos
Salidas
PP-08-P1 Datos de las actividades de capacitacin externa
Nombre del Sistema
Rectora
Planeado
Estado
Fiscalizacin Integral
Macrosistema
Subsistemas asociados
Ranking de Auditoras Internas (actual)
Entradas
PP-09-I1 Perfil de proyecto
PP-09-I2 Marco jurdico
PP-09-I3 Marco jurisprudencial
Flujo de datos
Sistema de Planificacin y Evaluacin de
la Gestin Institucional
Del entorno
y Del entorno
doctrinal aplicable
PP-09-I4 Criterios legales y tcnicos Del entorno
externos
PP-09-I5 Estudios de diagnstico de Del entorno
fuentes externas
PP-09-I6 Informacin
Planeado
Fiscalizacin Integral
Entradas
PP-10-I1 Solicitud interna de servicio
Flujo de datos
Sistema de Requerimientos de Clientes
Externos
PP-10-I2 Productos de fiscalizacin BD de Conocimiento
integral
PP-10-I3
revocatoria
Recursos
contra
de
productos
de
fiscalizacin
PP-10-I4 Quejas de los clientes externos Del cliente externo
sobre productos
de fiscalizacin o el
servicio suministrado
PP-10-I5 Opinin de los clientes externos Del cliente externo
sobre su percepcin de valor acerca de
los productos de fiscalizacin
Salidas
PP-10-P1 Productos de fiscalizacin entregados
PP-10-P2 Resolucin de los recursos o quejas sobre el producto y servicio
PP-10-P3 Productos de divulgacin
PP-10-P4 Oficios de respuesta a los solicitantes de servicios
PP-10-P5 Reportes de medicin de valor pblico
PP-10-P6 Reportes sobre sugerencias de los clientes externos
Nombre del Sistema
Estado
Macrosistema
Subsistemas asociados
Entradas
Modelo Organizacional
Planeado
Gobierno Corporativo
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-01-I1 Informacin difundida por los Del entorno
medios de comunicacin colectiva
PA-01-I2 Opiniones rendidas sobre Del entorno
proyectos de ley
PA-01-I3 Actas legislativas
De la Asamblea Legislativa
PA-01-I4
Anlisis
integral
Del entorno
Del entorno
Sistema de Asesora Interna
BD de Conocimiento
fiscalizacin integral
PA-01-I9 Informacin sobre la gestin Del cliente externo
institucional de los sujetos pasivos
PA-01-I10 Reportes sobre sugerencias Sistema de Servicio al Cliente Externo
de los clientes externos
Salidas
PA-01-P1 Informes de anlisis del entorno
PA-01-P2 Inventario de riesgos externos
PA-01-P3 Informacin sistematizada sobre los sujetos fiscalizados
PA-01-P4 Informe de diagnstico de necesidades de los sujetos fiscalizados
PG-01-P1 Solicitudes de asesora interna
Nombre del Sistema
Planeado
Estado
Gobierno Corporativo
Macrosistema
Subsistemas asociados
Sistema institucional de riesgos (Planeado)
Entradas
Modelo Organizacional
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-02-I1 Histrico de Informe de labores Sistema del Conocimiento Institucional
de la Contralora General
PA-02-I2 Solicitud interna de servicio
Externos
PA-02-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
PA-02-I4 Informacin sistematizada Sistema de Monitoreo del Entorno
sobre los sujetos fiscalizados
Informe de diagnstico de necesidades Sistema de Monitoreo del Entorno
de los sujetos fiscalizados
PA-02-I5
Directrices
tcnicas
Flujo de datos
Sistema de Planificacin y Evaluacin de
la Gestin Institucional
PA-03-I2 Mejores prcticas sobre gestin Del entorno
pblica o privada
PA-03-I3 Normativa externa
Salidas
PA-03-P1 Modelo organizacional
PA-03-P2 Normativa interna CGR
Del entorno
Asesora interna
Planeado
Gobierno Corporativo
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-04-I1 Solicitudes de asesora
PA-04-I2 Perfil de proyecto
la Gestin Institucional
PA-04-I3 Informes de revisin interna o Sistema de Mejora Continua
externa
PA-04-I4 Criterios legales y tcnicos Del entorno
externos
PA-04-I5 Histrico de asesoras internas BD de Conocimiento
PA-04-I6 Marco jurdico
Del entorno
PA-04-I7 Marco jurisprudencial y Del entorno
doctrinal aplicable
PA-04-I8 Mejores prcticas sobre gestin Del entorno
pblica
Salidas
PA-04-P1 Asesora interna escrita
PA-04-P2 Asesora interna verbal
PA-04-P3 Advertencias de la auditora interna
Mejora Continua
Planeado
Gobierno Corporativo
Entradas
Modelo Organizacional
PA-05-I1 Perfil de proyecto
PA-05-I2
Propuestas
de
Flujo de datos
Sistema de Diseo Organizacional
Sistema de Planificacin y Evaluacin de
diseo
la Gestin Institucional
o Sistema de Requerimientos de Clientes
Salidas
PA-05-P1 Propuestas de proyectos de mejora
PA-05-P2 Propuestas de acciones de mejora
PA-05-P3 Informes de revisin interna y externa
Actual
Gestin del Conocimiento
Flujo de datos
Sistema de Diseo Organizacional
Del entorno
Sistema Integrado de Recursos Humanos
Flujo de datos
Del cliente interno
BD de Conocimiento
Del entorno
Del entorno
de la informacin
Salidas
PA-07-P1 Informacin requerida disponible
Nombre del Sistema
BD soluciones TIC
En construccin
Estado
Gestin del Conocimiento
Macrosistema
Subsistemas asociados
Sistema de control de contingencias (en construccin)
Sistema de solicitudes de soporte (en construccin)
Administracin de roles y claves de acceso (en construccin)
Entradas
Modelo Organizacional
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-08-I1 Solicitudes de servicios de los Del cliente interno
clientes internos
PA-08-I2 Perfil de proyecto
Memoria Anual
Planeado
Gestin del Conocimiento
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-09-I1 Memoria organizacional
Sistema de Memoria Anual
PA-09-I2 Informacin interna
BD de Conocimiento
PA-09-I3 Mejores prcticas de la gestin Del entorno
del conocimiento
Salidas
PA-09-P1 Memoria organizacional
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-10-I1 Presupuesto anual y sus Sistema de Presupuesto Institucional
modificaciones,
aprobado
de
aos
la Gestin Institucional
Sistema de Planificacin y Evaluacin de
la Gestin Institucional
PA-10-I6 Solicitudes de los clientes Del cliente interno
internos
PA-10-I7 Lineamientos de planificacin Sistema de Planificacin y Evaluacin de
institucional
PA-10-I8 Marco jurdico
la Gestin Institucional
Del entorno
Salidas
PA-10-P1 Datos de Recursos presupuestarios
PA-10-P2 Separacin de recursos
Nombre del Sistema
Estado
Macrosistema
Subsistemas asociados
Entradas
Modelo Organizacional
Contabilidad
Actual
Gestin de Recursos
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-11-I1 Lineamientos emitidos por el De Contabilidad Nacional
rgano Rector
aprobado
de
aos
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-12-I1 Solicitudes internas
Del cliente interno
PA-12-I2 Presupuesto anual y sus De la Asamblea Legislativa
modificaciones,
aprobado
de
aos
Salidas
PA-12-P1 Datos sobre recursos financieros ejecutados
PA-12-P2 Orden de pago
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-13-I1 Presupuesto anual aprobado De la Asamblea Legislativa
del ao en ejercicio
PA-13-I2 PA-14-I3 Marco jurdico
PA-13-I3 Marco jurisprudencial
Del entorno
y Del entorno
doctrinario aplicable
PA-13-I4, PA-14-I1, PA-15-I1 Solicitudes Del cliente interno
de los clientes internos
PA-13-I5 Separacin de recursos
PA-14-I2 Perfil de proyecto
la Gestin Institucional
PA-14-I4 Marco jurisprudencial y tcnico Del entorno
aplicable
PA-14-I5 Bienes recibidos
Sistema de compras
PA-15-I2 Mejores prcticas sobre gestin Del entorno
pblica o privada
PA-15-I3 Servicios contratados
Sistema de compras
Salidas
PA-13-P1 Recibo a satisfaccin del bien
PA-13-P2 Bienes recibidos
PA-13-P3 Servicios contratados
PA-13-P4 Resoluciones por incumplimientos contractuales
PA-13-P5 Interposicin de juicio para reclamo de daos y perjuicios
PA-14-P1 Datos de los bienes en operacin
PA-15-P1 Servicios auxiliares prestados
PA-15-P2 Informe de cumplimiento de servicios
ANEXO
Consideraciones relativas al documento MAGEFI analizadas al desarrollar el Modelo
de Arquitectura de Informacin.
Anexo - NTP10
Marco de Seguridad en
tecnologas de Informacin
A. Introduccin.
Este documento define el marco de referencia de seguridad adecuado al nivel de las
tecnologas de informacin y comunicaciones (TIC), sobre el cual la Contralora General
de la Repblica (CGR) debe dirigir, implementar y administrar sus adquisiciones de
TIC para garantizar la continuidad, integridad y confiabilidad de sus bases de datos
automatizadas.
El documento se sustenta en el conocimiento y la experiencia derivados del trabajo
realizado por funcionarios de la Unidad de Sistemas y Tecnologas de Informacin de
la CGR, y toma como referencia las siguientes normativas, como prcticas lderes:
La norma de referencia ISO 27001.
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este Marco de Seguridad se cumple con la normativa de la CGR,
especficamente en lo que corresponde al punto 1.4
B. POLTICA DE SEGURIDAD.
B.1. Poltica de seguridad.
Este acpite hace referencia al punto 1.4.1 de la Normativa de la CGR.
La poltica de seguridad en tecnologas de informacin de la Contralora General de la
Repblica se sustenta en los siguientes elementos:
Un marco de seguridad que define los elementos necesarios que deben
considerarse a nivel institucional para el establecimiento de un esquema
adecuado de seguridad tecnolgica. Este documento se basa en las
por
el
debido
cumplimiento
de
las
directrices
definidas
recomendaciones para mejorar los puntos crticos detectados como parte del estudio.
D. Gestin de Activos.
D1. Inventario de activos.
Se debe contar con los mecanismos automatizados para el registro y control de
los activos institucionales. Especficamente todo lo relacionado a Tecnologas de
Informacin y Comunicaciones debe estar registrado dentro de un sistema de
informacin automatizado.
Los activos de TIC deben estar clasificados segn su nivel de criticidad, considerando
dentro de este inventario tanto los recursos fsicos (computadoras, servidores, equipos
de comunicaciones) como los recursos lgicos (sistemas, paquetes, licencias).
Los niveles de criticidad sern analizados y definidos por los patrocinadores de las
soluciones tecnolgicas.
Se entiende por sensibilizacin el proceso mediante el cual se pretende inculcar en los funcionarios la conciencia del uso
adecuado de las TIC para garantizar los niveles adecuados de seguridad que requiere la institucin.
La USTI debe definir un proceso de informacin a los usuarios respecto al uso de las
tecnologas. Este mecanismo debe considerar al menos:
Informacin sobre las directrices existentes en el uso de las TIC, debidamente
aprobados por las autoridades superiores de la institucin.
Informacin respecto a los procedimientos especficos del uso adecuado
de las tecnologas.
Mensajes informativos de sensibilizacin en el uso adecuado de las TIC.
Charlas peridicas relativas a la seguridad y utilizacin de las TIC.
E2. Seguimiento.
El CSO debe definir los mecanismos de revisin respecto a la aplicacin de las
directrices institucionales para la utilizacin de las TIC.
Las Unidades a las que le corresponda dentro de la Contralora, deben definir
claramente el esquema de sanciones que deben aplicar a nivel institucional por el
incumplimiento de las directrices. Ese esquema de sanciones debe ser aprobado por
las autoridades superiores de la Institucin y publicarse oficialmente por los medios
que corresponda.
Se definen tres niveles de criticidad, los cuales estarn asociados a diferentes controles
segn el nivel. Los niveles son:
Activos crticos: Son aquellos que su ausencia provoca que se imposibiliten los
procesos bsicos de la Contralora, provocando problemas internos y externos.
Activo medianamente crticos: Son aquellos activos que son necesarios para el quehacer
de la CGR, sin embargo se puede disponer de un tiempo determinado para volverlo a
poner en operacin en caso de que falle.
Activos no crticos: Son aquellos que su ausencia temporal no presenta ningn riesgo
para el quehacer de la CGR. El recurso debe volver a ponerse en funcionamiento.
Para cada uno de estos tres tipos de criticidad, se asocian niveles de control y seguridad
sobre los activos. Estos niveles son:
Nivel 1: Nivel mximo. En este nivel se establecen controles sobre activos (equipos e
informacin) que sean considerados como crticos a nivel Institucional.
Nivel 2: Nivel intermedio. Este nivel debe contemplar controles sobre activos (equipos
e informacin) que sean menos crticos, y que no contemplen todas las medidas de
seguridad establecidas para el permetro Nivel 1-.
Nivel 3: Nivel bajo. Este nivel debe contemplar el resto de la plataforma de TIC, la cual
estar regida segn las directrices institucionales en el uso de las tecnologas, pero
no estar protegida por los esquemas de seguridad considerados en los niveles 1 y 2.
Nivel 1:
Recinto privado con acceso restringido.
Cmaras de vigilancia con capacidad de almacenamiento de la informacin
de al menos una semana de tiempo y transmisin en vivo de la imagen a
un centro de control.
Sensores de calor, humedad con conectividad a un centro de control para
el envo de alertas.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Administracin por parte de un encargado formalmente definido.
Control mediante bitcora del personal que acceda al recinto.
Control mediante bitcora de los ingresos y salidas de equipos al recinto.
Dispositivos de control de fuego.
Aires acondicionados acordes a la capacidad instalada de equipos y con
conexin a unidades alternas de energa. (Para garantizar su operacin
ante fallo del sistema elctrico).
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Registro, por medio de bitcoras de los accesos a los equipos por parte de
personal de mantenimiento externo.
Diagramas disponibles respecto a las fuentes de almacenamiento elctrico
de los equipos ubicados dentro del recinto.
Nivel 2:
Recinto privado con acceso restringido.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Dispositivos de control de fuego.
Si es necesario aires acondicionados.
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Nivel 3:
Existencia de un responsable del activo debidamente establecido.
Lineamientos existentes sobre el uso de los activos.
Proteccin mediante unidades ininterrumpidas de poder.
Ubicacin adecuada del activo dentro de zonas comunes con acceso
controlado.
Identificacin de activos mediante identificadores electrnicos.
etc). Esta documentacin deber estar disponible para ser accedida por las
personas que se definan dentro de los esquemas de acceso al centro de
cmputo:
Jefe de la Unidad de Sistemas
Encargado del Centro de cmputo
Encargado del rea de redes
Deben existir diagramas de las instalaciones elctricas, con fin de determinar
la relacin entre equipo y fuente de alimentacin elctrica correspondiente.
Esto se define de esta manera considerando un evento en donde los sistemas y recursos tecnolgicos no estn disponibles.
Para los casos de registro por parte de usuarios de informacin sensible, se debe contar
con esquemas que garanticen la seguridad de la informacin transmitida (cifrado de
datos), y autenticidad del sitio (certificados digitales).
H. Control de Acceso.
Este captulo corresponde al cumplimiento del punto 1.4.5 de la Normativa de la CGR.
Deben establecerse los mecanismos para la revisin peridica de los roles y privilegios
asignados a los usuarios y los procedimientos de revocacin de estos privilegios
cuando ya no se requieran.
Se deben garantizar los esquemas de seguridad necesarios para la identidad asignada
a un usuario (cdigo usuario y password) para el acceso a los servicios asociados a l
(usuario/password). Asociado a la asignacin de contraseas deben existir directrices
claramente establecidas a nivel institucional para su correcto uso. Deben considerarse:
Polticas de asignacin de password fuertes y difciles de robar.
Polticas de seguridad en el mantenimiento de estos password.
Sensibilizacin sobre las responsabilidades en el uso adecuado de los
password asignados.
Procedimientos para la renovacin peridica de los password.
de
seguridad de TI, de forma tal que sus productos sean conformes con las directrices
de seguridad institucionales.
Debe existir una metodologa en el desarrollo de sistemas de informacin que garantice
los controles de seguridad necesarios en las aplicaciones o sistemas nuevos, as como
la calidad de los mismos. Dentro de esta metodologa se debe considerar:
La validez de los datos de entrada a las aplicaciones, evitando el ingreso
de registros incorrectos (que pongan en riesgo aspectos de integridad de
la informacin).
La autenticidad de la informacin que es registrada dentro de las bases
de datos. Para esto se deben establecer los mecanismos necesarios para
brindar los esquemas de seguridad en la autenticacin de los usuarios a las
aplicaciones o servicios.
Procedimientos definidos para los procesos de prueba de los sistemas o
soluciones que se vayan a poner en produccin.
Se deben definir, basado en los niveles de criticidad de la informacin, los esquemas
de privacidad requeridos para los datos. En este sentido se debe considerar la
implementacin de mecanismos de cifrado (utilizando la tecnologa que se considere
oportuna) tanto en los procesos de transmisin de la informacin por la red, como de
almacenamiento de datos, todo esto con el objetivo de garantizar la seguridad de la
informacin.
ANEXO 1
El rol del CISO: Chief Information SecurityOfficer
Tomado de Internet.
En la actualidad las empresas producen un 60% ms de informacin por ao y el
nmero de ataques a la misma se incrementa a pasos agigantados, sin embargo
en muchos casos se sigue sin implementar polticas acorde a este crecimiento.
Sin dudas, la informacin que genera una empresa es uno de los activos ms
importantes que esta posee. Tener control de las actividades que comprenden
uso y generacin de informacin requiere de polticas bien definidas en virtud de
garantizar disponibilidad, integridad y confiabilidad de la misma as como contar con
una persona que pueda llevar a cabo la planificacin de las actividades necesarias
para lograr estos objetivos.
De acuerdo a la Encuesta Global 2007 de Seguridad & Privacidad de la consultora
Deloitte, el 80 % de los ataques que una organizacin recibe procede de errores humanos.
Al ranking de las brechas de seguridad lo lideran los ataques va e-mail con un 52%.
Luego ms abajo se encuentra las actividades vricas, un 40%, las actividades de
phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware
con 26% y la ingeniera social (17%). Es importante destacar que el informe menciona
que la efectividad de los ataques internos producidos por los propios empleados es de
un 39%.
El informe tambin menciona que ms empresas estn optando por tener entre sus filas
el rol de CISO o Chief Information Security Officer. Si sumamos los datos enunciados
anteriormente, se puede comprender mucho mejor el porque de esta decisin ya que
viendo la seguridad de la informacin como proceso integral que comprende polticas,
procesos orientados al riesgo y enfocados al negocio de la empresa, se requiere que la
coordinacin, planificacin, organizacin y control de la informacin este en manos de
organizacin contar con una persona que vele por la seguridad de la informacin
y segundo, reducir sus costos al tercerizar las actividades de implementacin
al tiempo que podr elegir los mejores actores para llevarlas a cabo.
Por el lado de la empresa que se haya contratado, esta contara con una persona
de contacto que tiene poder de decisin dentro de la organizacin as como la
informacin necesaria para poder realizar el trabajo en el menor tiempo posible y con
los mejores resultados dado que no perder recursos en tratar de dilucidar cuales son
los requerimientos.
Como se vio en la lista de tareas enunciadas anteriormente, otra de las reas que
estn a cargo del CISO son las referentes a la seguridad fsica (control de alarmas de
incendio o robo, guardias de seguridad, cmaras, etc) dado que no solo es a travs
de actividades lgicas que se puede comprometer la seguridad. Para ello podr contar
con herramientas que le permita en todo momento conocer el estado de las distintas
dependencias de la organizacin al tiempo que podr dirigir las actividades y recursos
fsicos de seguridad para lograr su objetivo.
A fin de contar con toda la informacin requerida para cumplir con sus actividades,
se puede contar con la implementacin de herramientas como los tableros de control,
que permitirn tener una visualizacin general de las actividades y de los incidentes
reportados. Para poder mantener esta herramienta, es necesaria una concientizacin
del personal a fin de que los mismos reporten las incidencias de seguridad. Por
supuesto, el personal tiene que poder ver el beneficio de este tipo de reportes ya que
si no, solo se sentirn controlados lo que originara problemas internos al tiempo que
podra propender a tratar de saltar los controles instituidos.
Se podr observar que el rol del CISO es de extrema importancia en las decisiones
tomadas por el directorio y que su consulta se hace necesaria para poder cumplir
con los objetivos de la empresa al tiempo que se protegen sus activos. Siendo que
el directorio o la alta gerencia no necesariamente tiene que conocer los aspectos
fundamentales de la seguridad fsica y lgica, el contar con un actor como el CISO,
permitir concentrar sus esfuerzos en las actividades que permitan el crecimiento sin
comprometer a la seguridad de la organizacin por el simple desconocimiento.
Anexo - NTP11
Mapeo Elctrico
Introduccin
En coordinacin con la Unidad de Servicios Generales se llevaron a cabo una serie
de actividades relaciones con energa elctrica, segn se identifican en el siguiente
apartado, con el objetivo de aprovechar el conocimiento y la experiencia de su
personal para documentar los sistemas elctricos, sensores y alarmas relacionados
con la gestin de tecnologas de informacin; tomando como referencia la siguiente
normativa, como prctica lder:
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este documento se cumple con parte de la normativa de la CGR,
especficamente en lo que corresponde al punto 1.4, en los aspectos citados en el
siguiente apartado.
Requerimientos
Mapeo de conexiones elctricas
Documentacin clara de cada una de las conexiones elctricas que se encuentran
dentro del Centro de Cmputo, etiquetando tableros y los cables e identificndoles con
las fuentes de alimentacin elctrica correspondientes; as como de un mapeo de
cada conexin y su correspondiente fuente elctrica, con el propsito de conocer con
exactitud a qu est conectado cada uno de los equipos de tecnologa ubicados en el
rea de servidores del piso 10.
un equipo estn conectados a una misma UPS, y para evitar que una UPS est
sobrecargada con respecto a otra.
Control de acceso
El control de acceso al piso 10 y a los cuartos de comunicacin tiene que estar
documentado, incluyendo los mecanismos en uso y los contactos en caso de fallas.
Extintores
El o los extintores en uso tienen que estar documentados, as como el protocolo de
uso y activacin, el tipo de elemento (gas u otro) utilizado para amortiguar o apagar
posibles conatos de incendio.
Alarmas
Documentar los parmetros de activacin de las alarmas por incendio, de sensores,
temperatura y otros en uso.
Actividades realizadas
En coordinacin con la Unidad de Gestin Administrativa se realizaron y calendarizarn
las actividades comentadas a continuacin.
Acciones correctivas
1. Cambio de posicin de dos interruptores que alimentan un equipo 220
voltios
2. Plazo de ejecucin: 15 de junio 2009
3. Reacomodo de la caja de interruptores A y B segn figura 2.
4. Plazo de ejecucin: 15 de junio 2009
5. Etiquetar algunas salidas de toma corrientes con su respectivo interruptor
6. Plazo de ejecucin: 15 de junio 2009
Distribucin de salidas de c 1
Figura No.1 Distribucin de salidas de corriente segn interruptor correspondiente
Figura No.2 Ubicacin de los interruptores que alimentan las cargas de centro de cmputo
Mantenimiento correctivo
Hay un procedimiento de mantenimiento correctivo en caso de falla de los equipos:
Este proceso da inicio cuando se detecta una falla o el no funcionamiento de un
equipo de aire acondicionado en la institucin. Las formas de detectar una falla en el
sistema de airea condicionado son: a) La alarma ubicada en el puesto de ascensores
de seguridad se activa. B) Cualquier reporte de los funcionarios que laboran en la
Unidad de Servicios de Tecnologas e Informacin.
Se presentan dos vas por las cuales el/la usuario/a puede notificar la falla o el
no funcionamiento del equipo: a) llamando directamente a Mantenimiento b)
comunicando a la Unidad de Gestin Administrativa (UGA) el dao que presenta
en el equipo. En esta segunda opcin, la UGA comunica a Mantenimiento el reporte
recibido.
Anexo - NTP12
Instrumentos aplicados
A continuacin se describen los principales instrumentos que se desarrollaron,
aplicaron y tabularon en el presente estudio:
Fiscalizadores
Tcnico-Secretarial
Administrativos
2
2
3
2
3
3
Jefaturas
CONTINUA EN TICs
Prioridad
SOFTWARE APLICATIVO
Elaboracin de Presentaciones, manejo y edicin de
imgenes, fotografas, video y audio, cambio de formato
Manejo de Proyectos
Software para la creacin de flujos de procesos
Cartografa
Estadstica
Mapas Mentales
Manejo de GPS
HERRAMIENTAS Y UTILITARIOS: el conocimiento para el uso
X
X
X
X
3
traductores
Reuniones virtuales y chat, mensajera unificada
3
Seguridad de la informacin, compresin y empaquetamiento
2
de archivos
CICLO DE CHARLAS SOBRE NORMATIVA, PLANEACIN,
MODELOS DE GESTIN Y CONTROL DE TICs
Normas tcnicas para gestin y control de TICs
1
Plan Estratgico en Tecnologas de Informacin y
1
Comunicacin (PETIC)
fiscalizacin de TI
Proceso de auditora operativa y su aplicabilidad a la
X
X
X
Administrativos
X
X
X
X
Tcnico-Secretarial
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
SISTEMAS
tecnolgica
Desarrollo e implementacin de sistemas de informacin
Administrativos
seguimiento)
1
Planificacin estratgica de TI
Modelo de Arquitectura de Informacin y de infraestructura
Tcnico-Secretarial
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
utilizando la informacin
CICLO DE CHARLAS SOBRE TI PARA LOS NIVELES DE
JEFATURA: Difundir todos los recursos que en materia de
TI posee la Institucin y como puede sacar provecho de
ellos
Modelo de Arquitectura de la Informacin (MAI) y su relacin
con los procesos Institucionales definidos en el MAGEFI
Infraestructura Tecnolgica (Redes, Telefona, Bases de
X
X
X
X
Informacin
CERTIFICACIONES
Administrativos
Tcnico-Secretarial
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
(ISO)
la
Comisin
Electrotcnica
2
2
1
1
1
X
X
X
X
X
1
1
X
X
1
1
1
1
1
1
X
X
X
X
X
X
Administrativos
Tcnico-Secretarial
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
X
X
X
X
Administrativos
2
2
2
1
Tcnico-Secretarial
Adm. de Proyectos
Gestin de TICs
Gestin Calidad en TICs
Elementos de diseo de sitios Web
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
RECOMENDACIONES
A continuacin se exponen algunas sugerencias o recomendaciones que coadyuven a
fortalecer los efectos y alcances de los resultados este Plan de Capacitacin Continua
en TICs:
El presente Plan de Capacitacin Continua en TICs tiene una vigencia del 2009 al
2012, por lo que requiere de una implementacin paulatina en los diferentes planes
anuales de capacitacin, esto permitir que la inversin en tiempo de los participantes
y en el costo de los eventos quede prorrateada en los respectivos Planes Operativos y
Presupuestos Anuales de la Institucin.
Es recomendable la emisin de una poltica que promueva que se incluya en los
procedimientos de trabajo de la Institucin, la utilizacin intensiva las TICs y que la
supervisin de sus resultados asegure su buen uso, lo cual se pueda evidenciar en la
calidad y la oportunidad de los productos.
En la medida de lo posible, se recomienda que se realicen exmenes de ubicacin
antes de llevar los eventos, de forma que se pueda determinar el nivel de conocimiento
previo que tiene el participante, lo que brindar insumos para el instructor y tambin
permitir medir el nivel de aprendizaje logrado en el evento. En ese mismo sentido,
se recomienda que las actividades tengan mecanismos de evaluacin final que
evidencien el conocimiento adquirido en el curso. De esta forma se podr sustentar
la aprobacin respectiva y se podr llevar un registro ms claro del nivel adquirido por
el participante.
Se deber hacer un uso intensivo de la plataforma tecnolgica existente para apoyar
los eventos de aprendizaje, a saber: la red institucional, el laboratorio de micros, el
campus virtual, entre otros), de forma que se potencie la efectividad y el alcance de
los eventos, as como la oportunidad de acceder a cursos no presenciales.
las limitaciones presupuestarias actuales y adems permitir que los eventos sean
muy enfocados a las necesidades de la Contralora, dado el conocimiento que los
instructores tienen sobre la Institucin
ANEXOS
ANEXO 1
ANEXO 2
ANEXO 3
ANEXO 4
ANEXO 5
ANEXO 5 (Continuacin)
ANEXO 6
ANEXO 7
ANEXO 8
ANEXO 9
ANEXO 10
ANEXO 11
ANEXO 12
Anexo - NTP13
Plan de la Capacidad en TI
Introduccin
Los componentes que se incluyen dentro de este plan consideran hardware, bases de
datos, sistemas operativos y telecomunicaciones.
Por ltimo, es importante recordar que la planificacin de la capacidad debe realizarse
peridicamente y debe llevarse a cabo por personal capacitado y con experiencia en
este campo.
Es importante mencionar que este documento facilita el cumplimiento de los puntos
2.3, 3.3 y 4.2 de las Normas Tcnicas emitidas por la CGR.
1.1.
Infraestructura tecnolgica
Norma
plataforma
tecnolgica
1.3.
2.
Objetivos
1.1.
Objetivo General:
1.1.
Objetivos especficos:
3.
Alcance
Este documento define las actividades necesarias para asegurar que las mejoras,
cambios y los nuevos servicios que afecten la infraestructura tecnolgica, proveern
un ambiente que cumple con los estndares de servicio acordados y las necesidades
de la CGR.
Los componentes a los que se aplicar la gestin de capacidad son los servidores de
bases de datos, aplicaciones, y correo institucional, la base de datos de produccin,
enrutadores, ancho de banda Internet, Firewall, programas protectores contra virus
informticos y cdigo malicioso, detectores de intrusos, switches de RED y la central
telefnica.
3.1.
Responsables
4.
PETIC y PETAC, las previsiones del volumen de trabajo de los usuarios (modelo o
arquitectura de informacin), o las proyecciones de nivel de servicio obtenido por el
uso de herramientas de modelacin-; as como las caractersticas de capacidad por
cada uno de los componentes para apoyar la toma de decisiones.
4.1.
Establecer las variables de medicin as como las mtricas y los parmetros sobre las
que se van a comparar y medir.
4.3.
4.5.
Sustitucin
Riesgos
Prioridades
Presupuesto
Definir cules son los perodos en los que requiere mayor capacidad (picos).
Niveles de servicio esperados.
Tiempo de respuesta esperada.
Complejidad.
Capacidad de crecimiento requerida.
Requerimientos nuevos.
Nuevos proyectos tecnolgicos.
Recurso humano necesario.
Con base en todo lo anterior, se debe realizar un proceso continuo de Gestin de la
Capacidad que involucra las siguientes actividades:
4.9.
5.
Los datos recopilados deben ser analizados para tomar decisiones relacionadas con
la ejecucin de acciones correctivas que permitan mantener una infraestructura
tecnolgica acorde con las necesidades de la CGR.
5.1.
Ajustes
Almacenar la informacin
INSUMOS
6.
Anlisis de capacidad
Valor normal
Punto crtico
Alerta
4Mb
2Mb
90%
< 2 seg
5Mb
3Mb
75%
5 seg
> 5 Mb
> 3 Mb
> 75%
> 5 seg
100%
15%
50%
70%
< 50%
> 70%
10%
70%
30%
60%
70%
20%
50%
1Mbps
30% del ancho de
banda total
40%
70%
6Mbps
50% del ancho de banda total
65%
80%
8Mbps
>70 % del ancho de banda total
20%
50%
70%
70%
80%
80%
25%
25%
60%
60%
15%
75%
80%
10%
80%
Punto crtico
Alerta
Valor normal
65%
85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
< 65%
>85%
>90%
3.Paginacin
5%
10%
15%
30%
10%
15%
50%
70%
75%
Valor normal
Punto crtico
Alerta
1. % Utilizacin CPU.
65%
85%
2. % Utilizacin de Memoria
< 65%
>85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
>90%
30s
90s
100s
4. Lock wait
10s
30s
60s
5. I/O wait
5%
15%
25%
6. Network wait
2%
10%
15%
7. Latch wait
1%
10%
15%
A. Switches.
Switch de Servidores
Switch de Backbone
Switch de Acceso
Mtricas:
B.
< 70%
70%
>75%
< 70%
70%
>75%
< 70%
70%
>75%
Mtricas:
% Utilizacin de canales E1s
Instrumento de medicin: OTM de Nortel
Networks
Anexo - NTP14
Objetivo
Fijar el nivel de calidad del servicio en Tecnologas de Informacin y Comunicacin
(TICs); manteniendo alineada la tecnologa con los planes de la CGR, entre la Unidad
de Tecnologas de Informacin como el proveedor de servicios de TICs; representada
por su jefatura, y la Gerencia de la Divisin XXXX como el cliente; representada por
su Gerente.
Servicios tecnolgicos
A continuacin se establecen los servicios que forman parte de este SLA:
1. Correo Electrnico
2. Red Convergente
3. Internet
4. Disponibilidad de la informacin
5. Telefona a nivel de servidores
Correo Electrnico
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. 100 MB de almacenamiento de datos para cada cliente de correo.
3. Encriptacin de la clave de acceso de cada cliente de correo.
4. Eliminacin en un 90% de correo spam o basura.
5. Eliminacin en un 95% de virus incluidos en documentos entrantes.
6. Privacidad de correo entrante y saliente para cada cliente.
7. Custodia y respaldo de la base de datos de correo.
8. Recuperacin de la base de datos en un plazo mximo de 3 horas.
Red convergente
Compromisos del proveedor
1. Disponibilidad de red 24x7.
2. Conexin a velocidades de 10/100/1000.
3. Redundancia de los componentes primarios de la red convergente.
4. Disponibilidad complementaria y alternativa de conexin inalmbrica.
Internet
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. 8 Mb de ancho de banda.
3. Aplicacin de filtro de Contenidos.
4. Recuperacin del servicio en un plazo mximo de 3 horas.
Disponibilidad de la Informacin
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. Brindar los controles que garanticen el acceso seguro y debido a la
informacin.
3. Custodia y respaldo de la base de datos.
4. Iniciar la atencin inmediata de recuperacin de la base de datos en horario
normal y en un plazo mximo de 2 horas fuera de horario.
Telefona
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. Buzn para grabacin de mensajes de hasta 10 Mb.
3. Facilidad de candado electrnico en el telfono.
4. Privacidad de las llamadas entrantes y salientes para cada cliente.
Centro de Llamadas
A efectos de facilitar la administracin de incidentes relacionados con tecnologas de
informacin, el proveedor pone a disposicin de sus clientes un sistema automatizado
para su registro y control, denominado Solicitud rden de Servicio (SOS) 24x7, la
posibilidad de solucin remota y la atencin en sitio en horario normal.
Los incidentes deben ser reportados en horario normal a la extensin telefnica
indicada por el proveedor o mediante registro en el SOS.
Suspensin de servicios
El proveedor no podr brindar los servicios incluidos en este SLA, cuando ste se
suspenda por razones de mantenimiento preventivo a servidores, red o bases de datos;
previamente acordado y comunicado a todos los funcionarios, o por mantenimiento
correctivo, producto de fallas fuera del control del proveedor, o por interrupcin del
Evaluacin
Se llevar a cabo una reunin semestral cliente/proveedor para evaluar el servicio
prestado durante los seis meses y para considerar eventuales cambios a realizar sobre
el SLA con base al anlisis de eventos presentados.
Vigencia
Este Acuerdo de Servicios tiene una vigencia de un ao a partir de la firma de aceptacin
de las partes y se prorroga automticamente por perodos iguales, si ninguna de las
partes decide su finalizacin con un mes de anticipacin en das naturales.
Se firma este Acuerdo de Nivel de Servicios en San Jos, a las 11 horas del da xx del
mes de junio del 2009.
Gerente de Divisin
Jefe UTI
Gerente de Divisin
Anexo - NTP15
1. Introduccin
Como resultado de la recopilacin de leyes, normativa, pronunciamientos, contratos,
resoluciones y directrices; entre otras, y en cumplimiento a la norma Nro. 1.7 del
documento Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE) aprobadas mediante Resolucin del Despacho de
la Contralora General de la Republica, Nro. R-CO- 26-2007 del 7 de junio del 2007,
se elabora este Marco Jurdico a ser utilizado para la gestin y gobernabilidad de las
tecnologas de informacin y comunicacin (TIC`s) de la Contralora General de la
Repblica (CGR).
La referida
relacionadas con la gestin de TI; para el cual toda organizacin debe identificar y
velar por el cumplimiento del Marco Jurdico que tiene incidencia sobre la gestin de
las tecnologas de informacin, con el propsito de evitar posibles conflictos legales
que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
2. Antecedentes
La Contralora General de la Repblica, ha venido organizndose y tomando medidas
necesarias para implantar mecanismos y sistemas de informacin, que ayuden al
control y fiscalizacin de los recursos del Estado y que sirvan como herramientas
aplicables a los entes e instituciones de fiscalizacin. Es as, como en el ao 2008
se lleva a cabo una revisin integral del Manual General de Fiscalizacin Integral,
denominado MAGEFI, con el propsito de actualizar y mejorar este instrumento
normativo, con los siguientes objetivos:
a. Adecuar los procesos institucionales de conformidad con los cambios
normativos en el marco legal relacionados con el quehacer del rgano
contralor.
3. Objetivo
Elaborar el Marco Jurdico que contenga el compendio de leyes, pronunciamientos,
contratos y otros aplicables a las Tecnologas de Informacin, utilizadas por la
Contralora General de la Repblica, el cual estar incorporado en el sistema de
Expediente Electrnico de la CGR.
Dicho Marco Jurdico, estar conformado por las leyes, decretos, resoluciones,
contratos, procedimientos, directrices, estndares y prcticas relacionadas con la
identificacin,
5. Documentos relacionados
Con el propsito de poner a disposicin de los funcionarios el Marco Jurdico que rige
el accionar institucional en tecnologas de informacin y comunicacin, a continuacin
registramos todas aquellas leyes y dems, a las que estamos supeditados y obligados.
5.1
Leyes
ComputerNet
servidores con sistema operativo Solaris y 2 con sistema operativo Windows en UNIX
(Solaris), Oracle (Solaris) y Windows; incluye un ao de garanta y dos visitas al ao
para mantenimiento preventivo. Contrato No. 2007-000023.
5.9.4 Administracin de la Seguridad
Consulting Group Chami Centroamericana S.A., 501 Licencias de Antivirus y de
antispyware p/Windows y 5 Licencias p/Macintosh, contrato prorrogable por 4 aos
segn Pedido No. 20130, solicitud 280517, desde el 14 de diciembre del 2008 hasta
el 13 de diciembre del 2012.
SPC Internacional S.A., Servicios de Mantenimiento de los Smarnets para un firewall,
tres routers y dos detector de intrusos, con una duracin de un ao y cinco meses,
hasta el 15 de diciembre del 2010. Contrato No. 2009-000009.
SPC Internacional S.A., adquisicin de una solucin de Control y Filtro de Contenido
(Websense) y actualizaciones para el acceso a Internet de una poblacin de 500
usuarios y un ancho de banda de 8 Mbps por un plazo mximo de cuatro aos. La
no prrroga del contrato debe comunicarse con 90 das de anticipacin. Contrato No.
2008-0023 con vigencia a partir del 7 de diciembre del 2008.
5.9.5 Administracin de la Telefona
Continex S.A., adquisicin, instalacin y puesta en funcionamiento de una solucin
telefnica con mensajera unificada, contestador automtico, distribucin automtica
de llamadas, sistema de correo de voz, sistema bsico para envo y recepcin de fax
y respuesta de voz interactiva; incluye tres aos de garanta y dos visitas al ao para
mantenimiento preventivo. La Contratista garantiza el abastecimiento de repuestos y
reparacin de unidades durante un perodo de cinco aos. Contrato No. 2005-000020.
6. Conclusiones
Como es posible apreciar, la cantidad de normativa que aplica a la gestin contractual
se convierte en un riesgo alto para la ejecucin, control y seguimiento, en el tanto no
se tenga claro y documentado cules son las normas que aplican a dicha gestin.
Es por ello que se convierte en un factor clave de xito para nuestra gestin contractual,
el repasar constantemente este Marco Jurdico y el mantenerlo actualizado de acuerdo
con la normativa o documentos relacionados, as como con base a la generacin de
nuevos documentos aplicables a las tecnologas de informacin y comunicacin.
Finalmente, se considera que la incorporacin de este Marco Jurdico dentro del
sistema de Expediente Electrnico, permitir una mejor observancia del mismo y
por ende, minimizar los riesgos asociados al seguimiento normativo en la gestin
contractual institucional.
Anexo - NTP16
Actividades ejecutadas
1. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Lic. Marta Acosta, y lo
integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos Alpzar,
y Miguel Aguilar, en representacin de las diferentes unidades.
2. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones peridicas con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; contando para ello con
la asesora de Jos Alpzar.
3. Se mantiene en funcionamiento el Comit Gerencial de Tecnologas de
Informacin y Comunicacin (CGTIC), el cual est presidido por la Sub
Contralora General.
Anexo - NTP17
Cumplido
Pendiente
Cumplido
1.4.1 Implementacin de la
seguridad de la informacin
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Estado actual
Cumplido
Norma
1.1 Marco estratgico de TI
Observaciones
La divulgacin de los planes se realiz por medio de charlas al nivel
gerencial e institucional y su publicacin en la Intranet.
Cumplido
Cumplido
Cumplido
Administracin de contratos
Cumplido
Cumplido
Cumplido
Administracin de documentos
Plan de continuidad
Plan de contingencia actualizado
para garantizar la continuidad de los
servicios de TI
Control de acceso a la informacin por
parte de proveedores de servicios y de
terceros.
Cumplido
Cumplido
1.4.9 El manejo de la
documentacin
Directrices de seguridad en la
implementacin y mantenimiento de
software e infraestructura tecnolgica.
1.4.6 Seguridad en
la implementacin y
mantenimiento de software e
infraestructura tecnolgica
Gua metodolgica para el desarrollo
de proyectos.
Cumplido
Cumplido
Programa de actualizacin,
informacin a usuarios
Cumplido
Plan de capacidad
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
1.7 Cumplimiento de
obligaciones relacionadas con la
gestin de TI
Cumplido
Cumplido
Pendiente
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
3.3 Implementacin de
infraestructura tecnolgica
Cumplido
Pendiente
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido