Tecnicas y Comunu

Contralora General de la Repblica
Divisin de Gestin de Apoyo

Unidad de Tecnologas de Informacin
Normas Tcnicas en
Tecnologas de Informacin y
Comunicaciones
Informe final Versin 1.0.0

Julio 2009
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3
Introduccin
Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI),
en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios bsicos de control que deben ser observados
en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la fiscalizacin.
De manera congruente con este objetivo, estos criterios bsicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009CO-2009, como lo consigna la norma No. 5.9:
5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus
competencias, deben propiciar el aprovechamiento de tecnologas de informacin
que apoyen la gestin institucional mediante el manejo apropiado de la informacin
y la implementacin de solu ciones giles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologas de informacin, emitida por
la CGR.
Conscientes de que las tecnologas de informacin constituyen un factor crtico y
estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de
soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuacin se emite un informe con los principales aspectos desarrollados en la
Contralora General, como Administracin Activa, en atencin de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos
a su fiscalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para
cumplir con la serie de criterios bsicos de gestin y control de las NT.
4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento

razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto
obste para ir profundizando y actualizando los resultados obtenidos, as como para
atender nuevos requerimientos derivados de la normativa y del entorno.
Metodologa
Para atender la normativa se inici con el trabajo de preparacin delineado en el
artculo 6 de la Resolucin No. R-CO-26-2007, a saber:
La constitucin de un equipo de trabajo.
La designacin de un responsable del proceso de implementacin,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan definido.
El estudio detallado de las normas tcnicas referidas, para identificar las que
apliquen a la entidad u rgano de conformidad con su realidad tecnolgica
y con base en ello establecer prioridades de implementacin.
Una planificacin debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos tcnicos.).
Para su implementacin, la seora Contralora, mediante oficio No. CO-0272 del 15 de
agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente,
que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas
de informacin y comunicacin de la Contralora, y que apoya en su implementacin
y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.
El equipo de trabajo est coordinado por la seora Subcontralora.

La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura
de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin
distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio
de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de
la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en
general y sobre el componente funcional de Sistemas de Informacin en particular.
Se elabor un diagnstico institucional sobre el estado de TI con respecto a las
NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de
ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit
Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por
este comit y tomado como base para la implementacin de las NT. Ver minuta Nro.
3 del 12 de marzo de 2008, acuerdo 1, apartado 3.
Asimismo, se planific la implementacin de las NT con base al cronograma resultante
del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1
Cronograma de Implementacin.
El contenido del informe consigna en negrilla el texto de las normas y seguidamente,
se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los
cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su
versin digital.
Captulo I
Normas de Aplicacin General
Captulo I
Normas de Aplicacin General
1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la
organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco
estratgico constituido por polticas organizacionales que el personal comprenda y con
las que est comprometido.
1.1.1 Con la representacin de las reas sustantivas y de apoyo de
la CGR, se elabor para su puesta en marcha y ejecucin el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC),
del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual
Operativo las Unidades han incorporado los proyectos correspondientes
para dar cumplimiento al dimensionamiento estratgico y tctico de
TI, todo debidamente alineado al Plan Estratgico Institucional. Ver
documentos PETIC y PETAC.
1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1
mediante charlas generales y especficas; as como por su publicacin en
la Intranet institucional, logrando el compromiso de los patrocinadores y
funcionarios en el desarrollo de soluciones tecnolgicas.
1.1.3 El CGTIC analiz la cartera de proyectos y estableci las
prioridades de ejecucin de los mismos, recomendando al Despacho
de las seoras Contraloras su incorporacin en el PTAC.
1.2 Gestin de la calidad

La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
1.2.1
Se elabor un manual para la gestin y aseguramiento de la
calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,

el cual ser aplicado a partir del segundo semestre del 2009. Ver
documento NTP8 Marco General para la Gestin de la Calidad en TIC.
1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de
decisiones relacionadas con el mejoramiento continuo, se desarroll e
implement un sistema de informacin dirigido al registro de solicitudes
de servicio y de su solucin, los tiempos empleados y el procedimiento
ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS),
disponible en la Intranet, permite la medicin y el control de calidad,
especialmente en el servicio de soporte tcnico que se brinda en la UTI.
1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo
de sistemas de informacin automatizados y la gua para el desarrollo de
proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante
una mayor participacin de los patrocinadores de proyectos en el
desarrollo y pruebas de las soluciones tecnolgicas. Ver documento
NPT7 Metodologa para el desarrollo de proyectos de TIC.
1.3 Gestin de riesgos

La organizacin debe responder adecuadamente a las amenazas (ver este concepto con
respecto a la definicin , no son solo amenazas) que puedan afectar la gestin de las
TI, mediante una gestin continua de riesgos que est integrada al sistema especfico
de valoracin del riesgo institucional y considere el marco normativo que le resulte
aplicable.
1.3.1 Se definieron y valoraron los riesgos de TI
integrados a la
valoracin de riesgos institucional, generando un manual de riesgos y

una seleccin de los principales riesgos a considerar. Ver documento
NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la
Gua para desarrollo de soluciones tecnolgicas.
1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.
1.4 Gestin de la seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin
o modificacin no autorizados, dao o prdida u otros factores disfuncionales. Para
ello debe documentar e implementar una poltica de seguridad de la informacin y
los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa en
relacin con los siguientes aspectos:
1.4.1 La implementacin de un marco de seguridad de la informacin.
La CGR elabor un Marco de Seguridad para su aplicacin en toda la
Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver
documento NTP10_Marco de Seguridad en Tecnologas de Informacin.
1.4.2 El compromiso del personal con la seguridad de la informacin.

Mediante la elaboracin, implementacin y divulgacin del manual
denominado Lineamientos y directrices de seguridad, toda la organizacin
se encuentra comprometida con el tema de la seguridad en general.
En adicin, se han impartido charlas especficas sobre seguridad
al personal, se ha insertado la seguridad va mensajes por correo
electrnico y mediante artculos en el sitio Web del Club de tecnologas
y enviados por e-mail. Ver documento Directrices sobre Seguridad y
Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de
seguridad perimetral que involucra control de acceso electrnico en
reas de seguridad, cmaras para vdeo vigilancia, sensores de humo,
alarma contra incendio, extintores, sistema de supresin de fuego
especializado para equipo de computo registro en cmara y fsico
de ingresos al Centro de Procesamiento de Datos y una ubicacin
estratgica del mismo.
1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad
en las operaciones se da en trminos de la ejecucin de procedimientos
elaborados con el fin de asistir al funcionario que realice estas actividades
y la supervisin de las mismas, as como de las comunicaciones. Se
incorporaron certificados digitales en los servicios sensitivos de acceso
al pblico; como declaraciones juradas, acorde con la autenticidad,
integridad y confidencialidad de las transacciones que requiere la
CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de
Informacin.
1.4.5 El control de acceso.
Mediante un sistema de asignacin
de roles y privilegios en uso, no slo se controla el acceso lgico a

la informacin, sino que tambin se facilita el seguimiento de las
operaciones realizadas por los usuarios de los sistemas de informacin

operando. A lo interno los niveles gerenciales y de jefatura son los que
definen los roles y privilegios que sus funcionarios pueden tener para
acceder a determinada aplicacin; hacia lo externo es el mximo jerarca
de la entidad quien define estas asignaciones y en ambos casos deben
realizar solicitud formal para que sea aplicada. La asignacin de roles
y privilegios es una funcin que ha venido asumiendo el Centro de
Operaciones de la CGR y en casos muy calificados el Patrocinador del
sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de
Tecnologas de Informacin y Comunicaciones (DSUTIC).
1.4.6 La seguridad en la implementacin y mantenimiento de software
e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo
de proyectos de TI, la UTI cuenta con un ambiente controlado e
independiente, destinado a la ejecucin de desarrollo de aplicaciones
que aseguren la no interferencia con las operaciones diarias y que
garanticen el cumplimiento de los requerimientos de usuario, un
ambiente para efectos de pruebas de usuario y capacitacin, as como
obviamente el ambiente para sistemas operando.
1.4.7 La continuidad de los servicios de TI. Se desarroll e implement
el Sistema de informacin para la continuidad de los servicios de TI
(SCS), disponible en la Intranet, que permite el registro y actualizacin
de eventos que afecten los servicios, su solucin, su criticidad y su
impacto, recursos, escalabilidad, procedimientos de recuperacin y
responsables.
1.4.8 El acceso a la informacin por parte de terceros y la contratacin
de servicios prestados por stos. Para efectos de acceso a la informacin
por parte de terceros, se requiere de convenios o contratos previamente
establecidos, o de la solicitud del jerarca de una institucin, para la
asignacin de un rol que le facilite la consulta controlada. De igual

manera, aplica para la contratacin de servicios a terceros, en donde
se establecen clusulas especficas sobre la confidencialidad de la
informacin. Ver DSUTIC.
1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema
Integrado de Gestin y Documentos (SIGYD). Los documentos se
clasifican por tipos documentales y estn disponibles de acuerdo con la
tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios
de informacin se responsabiliza por administrar eficientemente la
documentacin fsica y electrnica. Desde el punto de vista de TI, se
mantiene un estndar de documentacin para proyectos de tecnologa.
1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La
UTI mantiene como poltica la administracin de contratos relacionados
con TI, a travs de los coordinadores; segn especialidad y afinidad,
con el objetivo de un control peridico y directo sobre la ejecucin, su
continuidad, rescisin o la resolucin del mismo.
1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit
de Salud Ocupacional que se ocupa permanentemente de este tema y
con el cual se ha coordinado la ergonoma de los puestos de trabajo y
su entorno.
1.5 Gestin de proyectos

La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos,
satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto
ptimos preestablecidos.
1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se

desarrollo. Ver documento NTP7 Metodologa para el desarrollo de
proyectos de TIC.
1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los
proyectos son liderados y administrados por los patrocinadores,
con la asesora e incorporacin de la UTI, quien busca mediante la
coordinacin de proyectos su integracin y la orientacin para satisfacer
las necesidades en cuanto a calidad, tiempo y presupuesto.
1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por
el Despacho de las seoras Contraloras y que se encuentra incorporado
en el PTAC, el cual es un documento viviente que se actualiza de
acuerdo con las nuevas necesidades y disposiciones. Ver minutas de
seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC
para la toma de decisiones relacionadas con aspectos estratgicos de
tecnologas de informacin, atendiendo sus recomendaciones sobre
prioridad de ejecucin de las inversiones en TI, asignacin de recursos
y ejecucin de proyectos.
1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin
tecnolgica y que se encarga de analizar en primera instancia los
requerimientos de las unidades y que estn relacionados con TI, para

posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,
PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

La organizacin debe identificar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR,
el cual es de actualizacin permanente en trminos de leyes, normativa,
resoluciones y contratos, entre otros, con el propsito de evitar posibles
conflictos legales que lleguen a ocasionar eventuales perjuicios
econmicos y de otra naturaleza a la institucin. Ver documento NTP15
Marco Jurdico en Tecnologas de Informacin.
Captulo II
Planificacin y organizacin
Captulo II Planificacin y organizacin

2.1 Planificacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planificacin que logren el balance ptimo entre sus requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes
y emergentes.
2.1.1 El funcionamiento de las TI es centralizado y opera con base al
Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC.
2.1.2 Los coordinadores patrocinadores de proyecto se renen
peridicamente, convocados por la UTI, para compartir avances e
integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio
en el contexto del seguimiento trimestral y la evaluacin semestral y
anual del PAO, en coordinacin con la UTI para establecer los ajustes
que sean necesarios de aprobacin en las instancias superiores. La
comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los
avances en los proyectos a efectos de recomendarle al CGTIC lo que
corresponda. De todo este trabajo se llevan minutas por parte de los
lderes y reportes de avance segn corresponda.
2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y
actualizacin de los planes de TI como apoyo a la gestin de TI.
2.2 Modelo de arquitectura de informacin

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas
de informacin de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI)
tomando como insumo principal la nueva versin del manual general
de fiscalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo
MAGEFI y define el modelo a nivel de insumos, actividades y productos
de los procesos de la CGR. Se continuar con su evolucin integral
alineado al desarrollo de la documentacin de los procedimientos
derivados de estos mismos procesos. El modelo de Arquitectura de
Informacin sirve de base para actualizar el PTAC y ha sido divulgado para
su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura
de informacin y el Manual General de Fiscalizacin (MAGEFI).
2.3 Infraestructura tecnolgica

La organizacin debe tener una perspectiva clara de su direccin y condiciones en
materia tecnolgica, as como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinmica y evolucin de las TI.
2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada
y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI definido en el PETIC.

Con base en este direccionamiento, anlisis de capacidad de TI, riesgos,
y al monitoreo del entorno, se elabora el presupuesto y se realizan las
compras relacionadas.
2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario
para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suficiente,
competente y a la que se le haya definido, de manera clara y formal, su responsabilidad,
autoridad y funciones.
2.4.1 El PETIC garantiza una visin institucional y promueve la
independencia funcional en el desarrollo de soluciones tecnolgicas.
Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su
independencia funcional se ve fortalecida por medio de una participacin
directa del Despacho en distintas comisiones ad hoc enfocadas a la
funcin de TI en la Institucin, por la existencia de una cartera de
proyectos a desarrollar y la existencia del CGTIC.
2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde
con la gestin estratgica de TI. Cada uno de sus integrantes conoce
muy bien sus obligaciones y responsabilidades. Su organizacin es
plana y especializada por reas.
2.4.3 El equipo de trabajo de la UTI es personal muy calificado,
competente,
capacitacin.
motivado y actualizado de acuerdo con el plan de
2.5 Administracin de recursos financieros

La organizacin debe optimizar el uso de los recursos financieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,
se deriva del PTAC y es aprobado por el Despacho con base en las
recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento
al PETIC-PTAC.
Captulo III
Implementacin de tecnologas
de informacin
Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia con su
marco estratgico, planificacin, modelo de arquitectura de informacin e infraestructura
tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de solicitudes
de implementacin o mantenimiento de TI.
3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin
de una ficha que de manera simple indique sus alcances, objetivos,
recursos, relaciones, tiempos estimados y factores crticos de xito.
Esta solicitud representada por la ficha compite con otros proyectos de
inters de los patrocinadores. El ajuste de soluciones tecnolgicas por
solicitud del patrocinador, requiere de un formulario de requerimientos.
Ver documento NTP7 Metodologa para el desarrollo de proyectos de
TIC.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca
como de las reas usuarias.
3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC;
debidamente aprobada, se establece que el patrocinador de la solucin
tecnolgica debe aportar los recursos necesarios para su desarrollo e
implementacin.
c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales
deben tener una asignacin clara de responsabilidades y aprobar formalmente las
implementaciones realizadas.
3.1.3 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC se obliga al Patrocinador a participar
activamente y con responsabilidades en el desarrollo e implementacin

de la solucin.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de
su autoridad y responsabilidad.
3.1.4 Por medio de la implementacin de la Metodologa para el
desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar
un lder de proyecto con responsabilidades claras en el desarrollo e
implementacin de la solucin. Ver documentos (designacin de
patrocinadores de proyectos a partir del PTAC) en los archivos de la
UTI.
e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos,
operativos y jurdicos, y lineamientos previamente establecidos.
3.1.5 La Metodologa para el desarrollo de proyectos establece como
fase inicial un diagnstico de la solucin con posibles alternativas a
evaluar para tomar la mejor decisin por parte del Patrocinador o bien
el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el
expediente de cada uno.
f. Contar con una definicin clara, completa y oportuna de los requerimientos, como
parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo
un contexto de costo beneficio.
3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren
partiendo de requerimientos claros segn se establece en la Metodologa
para el desarrollo de proyectos de TIC, considerando aspectos de
control, seguridad y auditora.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los

recursos econmicos, tcnicos y humanos requeridos.
3.1.7 Con base a la cartera de proyectos y las prioridades establecidas
por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o
asignacin de recursos adicionales de TI, que permitan cumplir con la
ejecucin del PTAC.
h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas
para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan
los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos.
3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos
con el objetivo de administrarlos, para ello la Gua para desarrollo de
proyectos de TI contempla los riesgos ms relevantes en materia de
TI con el fin de que sean valorados en cada proyecto. Ver documentos
Informe mensual sobre proyectos PTAC.
i. Promover su independencia de proveedores de hardware, software, instalaciones y
servicios.
3.1.9 Si bien es cierto es sumamente difcil independizarse de
proveedores de hardware y de software en trminos de que siempre
se tendr que acudir a ellos; aunque sea para aplicar actualizacin de
versiones, la CGR ha venido fortaleciendo a su personal de TI para que
en un alto porcentaje se desempee de la forma ms independiente
posible.
3.1.10 Nuestros estudios de capacidad, el anlisis del entorno,
el
conocimiento y la capacidad del personal de UTI nos permite
seleccionar objetivamente la solucin tecnolgica ms adecuada para

suplir las necesidades de la CGR.
3.2 Implementacin de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
3.2.1 Aplica prcticamente la totalidad de la norma indicada.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin
y considere la definicin de requerimientos, los estudios de factibilidad, la elaboracin
de diseos, la programacin y pruebas, el desarrollo de la documentacin, la
conversin de datos y la puesta en produccin, as como tambin la evaluacin post
implantacin de la satisfaccin de los requerimientos.
3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para
desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de
acceso al personal a cargo de las labores de implementacin y mantenimiento de
software.
3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se
encuentran productivos y operando, uno para desarrollo de aplicaciones
y otro para capacitacin y pruebas a realizar por los equipos de trabajo
que se encuentran implementando software. La administracin de los
permisos est bajo responsabilidad del administrador de base de datos
(DBA) y del administrador de sistemas operativos en ausencia del DBA,
segn se establece en la Metodologa para desarrollo de proyectos.
d. Controlar la implementacin del software en el ambiente de produccin y garantizar
la integridad de datos y programas en los procesos de conversin y migracin.
3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de
Datos), con base al procedimiento establecido, debe contarse adems
con el Visto Bueno del patrocinador en todas sus fases y la asistencia

del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI.
Que es un DBA
e. Definir los criterios para determinar la procedencia de cambios y accesos de
emergencia al software y datos, y los procedimientos de autorizacin, registro,
supervisin y evaluacin tcnica, operativa y administrativa de los resultados de
esos cambios y accesos.
3.2.5 Generalmente los proveedores de software envan componentes
para actualizar sus productos con fines de cerrar vulnerabilidades o de
optimizar su producto, o se reciben va Internet. Estas actualizaciones son
revisadas, probadas cuando es factible, y aplicadas por los especialistas
en la materia. Respecto al software desarrollado localmente, previamente
se debe validar y probar su adecuada funcionalidad; por parte del Lder
Tcnico y los usuarios, en un ambiente de pruebas ya establecido.
En relacin con los datos, estos deben ser modificados por el usuario
autorizado en el sistema, la UTI no altera datos en sus sistemas.
f. Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.
3.2.6 Esta labor es compartida por el Coordinador de proyectos de
la UTI, por el desarrollador del sistema y por el DBA, apoyndose en
herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.
3.3 Implementacin de Infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de informacin
e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada
y actualizada a las necesidades sustantivas y de apoyo,

3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para
la actualizacin de la infraestructura necesaria para soportar el software,
con base a las necesidades que se generan de los diagnsticos para
desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y
del monitoreo del entorno. Ver plan en ejecucin y el proyectado para
el prximo ao, 2010.
3.4 Contratacin de terceros para la implementacin y mantenimiento

de software e infraestructura
La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos,
organizacin, controles y ambientes de trabajo, entre otros.
b. Establecer una poltica relativa a la contratacin de productos de software e

infraestructura.
3.4.2 Producto del plan de capacidad, monitoreo del entorno,
obsolescencia tecnolgica y necesidades de TI, se somete a consideracin
del comit Ad hoc y del CGTIC la contratacin de productos; debidamente
justificados, as como el presupuesto necesario para su aprobacin y
ejecucin, todo con base al plan de compras anual de TI derivado del
PTAC.
c. Contar con la debida justificacin para contratar a terceros la implementacin y
mantenimiento de software e infraestructura tecnolgica.
3.4.3 Para la contratacin se requiere la aprobacin de la jefatura
superior, quien a su vez debe tomar la decisin dependiendo de la
necesidad, la justificacin y el presupuesto disponible.
d. Establecer un procedimiento o gua para la definicin de los trminos de referencia
que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables,
as como para la evaluacin de ofertas.
3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles,
en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos
(ejemplos de compras tpicas).
e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto de
pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.
3.4.5 Para toda solucin tecnolgica se establece un documento de
requerimientos que deben satisfacerse para su aprobacin, mediante las
pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento
de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.
f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia

de la organizacin respecto de terceros contratados para la implementacin y
mantenimiento de software e infraestructura tecnolgica.
3.4.6 En toda implementacin por tercerizacin, la UTI promueve
un equipo de trabajo con funcionarios de la Unidad que absorban el
conocimiento de la empresa contratada en esta materia, con fines de
mantener la solucin operando una vez terminado el contrato.
Captulo IV
Prestacin de servicios y
mantenimiento
Captulo IV Prestacin de servicios y mantenimiento

4.1 Definicin y administracin de acuerdos de servicio
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la
Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo
cual deben documentar y considerar como un criterio de evaluacin del desempeo.
Para ello deben:
a. Tener una comprensin comn sobre: exactitud, oportunidad, confidencialidad,
autenticidad, integridad y disponibilidad
b.
c. Contar con una determinacin clara y completa de los servicios y sus atributos, y
analizar su costo y beneficio.
d.
e. Definir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.
f.
g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin
de cambios en ellos.
h.
i. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.
j.
k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con
terceros.
4.1.1 Se definieron acuerdos de servicio a firmar con las distintas
Gerencias de Divisin, incorporando servicios que faciliten la evaluacin
de la funcin de TI y la delimitacin de responsabilidades hasta su
vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.
4.2 Administracin y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y
minimizar su riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados con
la operacin de la plataforma.
4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se
encuentran registrados 221 procedimientos asociados con la operacin
de la plataforma y los responsables por recurso tecnolgico.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la
plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales
fallas.
4.2.2 Se cuenta con herramientas para monitoreo de la capacidad
de TI en sus distintas funcionalidades y a partir de la implementacin
del Sistema de Contingencias se estn registrando electrnicamente
los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de
Capacidad en TI.
c. Identificar eventuales requerimientos presentes y futuros, establecer planes para
su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos
tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de
trabajo y tendencias tecnolgicas.
4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin
de la cartera de proyectos, se inician los procedimientos de contratacin
para la adquisicin de bienes y servicios informticos de acuerdo a la
planificacin de compras generada desde el PTAC e incluidas en el
PAO.
d. Controlar la composicin y cambios de la plataforma y mantener un registro

actualizado de sus componentes (hardware y software), custodiar adecuadamente
las licencias de software y realizar verificaciones fsicas peridicas.
4.2.4 Se mantiene bajo control de la UTI el registro de licencias
adquiridas por la CGR, as como el medio fsico para su instalacin. En
el Sistema de Contingencias se encuentran actualizados los recursos
informticos disponibles en la infraestructura tecnolgica.
4.2.5 Se realiza peridicamente un control de inventarios de software
instalado total o parcial mediante un programa especializado. Ver
reportes electrnicos ms recientes con sus resultados.
e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y
registro.
4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan
mediante cronogramas de trabajo supervisados por los coordinadores
de rea de la UTI; segn su especialidad, y mediante sesiones de
seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas
con corte al 30 de junio de 2009.
f. Mantener separados y controlados los ambientes de desarrollo y produccin.
4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente
separados y controlados.
g. Brindar el soporte requerido a los equipos principales y perifricos.
4.2.8 El soporte requerido se brinda mediante contratos de
mantenimiento preventivo y correctivo, garanta de funcionamiento,
mantenimiento interno y por medio de contratacin directa de un
proveedor si es necesario. Se utilizan como herramientas de apoyo los
sistemas SOS y SCS.
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo

en ambientes adecuados, controlar el acceso a dichos medios y establecer
procedimientos de control para los procesos de restauracin.
4.2.9 Se mantiene un plan de actividades para la generacin de
respaldos diarios, semanales y mensuales, y un procedimiento para
custodia interna y externa. Ver procedimientos registrados en el SCS.
i. Controlar los servicios e instalaciones externos.
4.2.10 Mediante la administracin de los contratos y el monitoreo de los
servicios contratados, se controla la buena ejecucin de los servicios e
instalaciones externas.
4.3 Administracin de los datos

La organizacin debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma ntegra y segura.
4.3.1 De acuerdo con los requerimientos de usuario se asegura la
validez de las transacciones mediante funciones tecnolgicas integradas
a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atencin de requerimientos de los usuarios de TI

La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin
de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales
requerimientos de manera eficaz, eficiente y oportuna; y dicha atencin debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
4.4.1 La UTI tiene implementado un sistema de control de cambios que

facilita al usuario la solicitud de ajustes o de incorporacin de nuevas
funcionalidades a los sistemas que estn operando en la Institucin y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en lnea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitacin dirigida.
4.5 Manejo de incidentes

La organizacin debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Adems, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
4.5.1 Todo tipo de situacin especial es analizada por funcionarios de
la UTI en aras de lograr la mejor solucin y tratndose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar el
riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de
que se materialice de nuevo.
4.6 Administracin de servicios prestados por terceros

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.
4.6.1 Los roles se establecen desde que se inicia el procedimiento de
contratacin y se verifican para efectos de establecer responsabilidades
con la confeccin del contrato y la reunin inicial de trabajo con el
proveedor de bienes y servicios de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e

instalaciones contratados a terceros.
4.6.2 En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en clusulas especficas
o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de
contrato.
c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a
calidad, seguridad y seguimiento establecidas por la organizacin.
4.6.3 La UTI mantiene coordinadores por rea funcional que se
encargan de administrar los contratos de sus respectivos proveedores,
asegurando la calidad del producto contratado y su congruencia con
los estndares manuales y lineamientos o directrices institucionales. Ver
asignacin de coordinaciones en expedientes de UTI.
d. Minimizar la dependencia de la organizacin respecto de los servicios contratados
a un tercero.
4.6.4 La UTI logra este objetivo por medio de conformar equipos
de trabajo en donde se incluye la contraparte que absorber los
conocimientos necesarios para la continuidad de la solucin tecnolgica
contratada.
e. Asignar a un responsable con las competencias necesarias que evale peridicamente
la calidad y cumplimiento oportuno de los servicios contratados.
4.6.5 Se conforman grupos afines a la solucin tecnolgica para
que verifiquen la calidad del producto contratado y por medio del
administrador del contrato se le da seguimiento al cumplimiento y
calidad del mismo.
Captulo V
Seguimiento
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la
gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que defina el alcance, la metodologa y los mecanismos para vigilar
la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo
de dicho proceso.
5.1.1 La organizacin cuenta con un marco de referencia que es el
Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Informacin, el Manual General de Fiscalizacin
(MAGEFI) como un marco de procesos, la Auditora Interna como
un elemento de advertencia y asesora y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la funcin de TI;
adems del CGTIC y la comisin Ad hoc.
5.2 Seguimiento y evaluacin del control interno en TI

El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC
y al PAO, adems de que todos los funcionarios de la institucin se
convierten en controladores de la buena operacin de la tecnologa en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al
cumplimiento del PTAC.
5.3 Participacin de la Auditora Interna

La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la
organizacin proporcione una garanta razonable del cumplimiento de los objetivos en
esa materia.
5.3.1 Esta es una labor que se mantiene muy bien ejecutada por
la Auditora Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno. Ver informes
recientes 2007-2009 y oficios de atencin de recomendaciones.
Productos elaborados
A continuacin se indican los productos elaborados durante la puesta en marcha de
las Normas Tcnicas.
Productos generados durante el proceso

Producto
NTP0-Diagnstico Inicial
NTP1-Cronograma de implementacin
NTP2-Plan de Implementacin
NTP3-Evaluacin de riesgos en TI
NTP4-Instrumento metodolgico MAI
NTP5-Diagnstico Inicial MAI
NTP6-Informe de gestin 2008-01
NTP7-Metodologa para el desarrollo de Proyectos en TI
NTP8-Marco General para la gestin de calidad en TI
NTP9-Modelo de Arquitectura de informacin
NTP10-Marco de Seguridad en TI
Fecha
Dic. 2007
Ene.2008
Ene.2008
Mar.2008
Jun.2008
Jun.2008
Jul.2008
Jul. 2008
Ene.2009
Mar.2009
May.2009
NTP11-Mapeo Elctrico
NTP12-Plan continuo de capacitacin
NTP13-Plan de la Capacidad en TI
NTP14-Acuerdo de Nivel de Servicio
NTP15-Marco Jurdico en TI
NTP16-Informe de gestin 2009-01
Jun.2009
Jun.2009
Jun.2009
Jun.2009
Jul.2009
Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contralora General de la Repblica
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirn de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del
Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; as como definir responsables de cada uno de ellos.
Finalmente, garantizar un adecuado seguimiento de la implementacin de estos
productos.
Anexo - NTP0
Diagnostico Inicial
Normas tcnicas para la gestin y control

de las tecnologas de informacin
Diagnstico Inicial
Introduccin
Con base al anlisis grupal realizado por los coordinadores de las diferentes reas
de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las
normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha
que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas.
Cuando las acciones son de ndole normales; es decir operativas, se indica con la
frase: Labor Permanente y no se incluyen en el cronograma.
Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona),
Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores),
Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la
jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y
servicios tecnolgicos.
Este documento es la base para la elaboracin del cronograma plurianual que estar
siendo ejecutado hasta el 30 de junio del 2009.
Captulo I Normas de Aplicacin General

El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas
de la organizacin, mediante un proceso continuo de promulgacin y divulgacin
de un marco estratgico constituido por polticas organizacionales que el personal
comprenda y con las que est comprometido.
Situacin actual
Se reformul el campo de accin E.
Se elabor un nuevo Plan Estratgico (PETIC).
Se elabor un Plan Tctico con los proyectos a desarrollar.
Producto
Plan de divulgacin del campo de accin E, PETIC y PTAC.
Acciones
El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.

La organizacin debe responder adecuadamente a las amenazas que puedan afectar
la gestin de las TI mediante una gestin continua de riesgos que est integrada al
sistema especfico de valoracin del riesgo institucional y considere el marco normativo
que le resulte aplicable.
Situacin actual
Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable
del seguimiento y rectora relacionado con la gestin de riesgos.
Producto
Unificacin de esfuerzos relacionados con la administracin de riesgos que puedan
afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos definido. Se recomienda la creacin de una oficina
rectora que dicte; institucionalmente, las polticas sobre riesgos.
Acciones
Capacitacin a coordinadores de la USTI.
Integrar reas relacionadas (Caso de administracin de planta elctrica y
UPS)
Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.

La organizacin debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
Situacin actual
Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin
de que el usuario registre su calificacin sobre el servicio brindado para valorar la
gestin de la USTI y el mejoramiento continuo.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y
generacin de mtricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planificar para el mejoramiento continuo de TI.
Acciones
Encuestas de satisfaccin, son permanentes producto del registro que
realiza el usuario. Labor permanente.
Definir parmetros y mtricas para evaluar calidad por cada tipo de servicio.
Aplicacin peridica de mtricas. Labor permanente.
Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de informacin. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.

La organizacin debe administrar sus proyectos de TI de manera que logre sus
objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y
presupuesto ptimos preestablecidos.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.
Acciones
Aprobacin de la Gua Metodolgica actualizada.
Fortalecer la administracin de proyectos con los patrocinadores. Labor
permanente.
Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.
1.5 Gestin de la Seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o
modificacin no autorizados, dao o prdida u otros factores disfuncionales.
Para ello debe documentar e implementar una poltica de seguridad de la informacin
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa
en relacin con los siguientes aspectos:
La implementacin de la seguridad de la informacin.
El compromiso del personal con la seguridad de la informacin.
La seguridad fsica y ambiental.
La seguridad en la operacin y comunicacin.
El control de acceso.
La seguridad en la implementacin y mantenimiento de software e
infraestructura tecnolgica.
La continuidad de los servicios de TI.
Adems debe establecer las medidas de seguridad relacionadas con:
El acceso a la informacin por parte de terceros y la contratacin de servicios
prestados por stos.
El manejo de la documentacin.
La terminacin normal de contratos, su rescisin o resolucin.
La salud y seguridad del personal.
Las medidas o mecanismos de proteccin que se establezcan deben mantener una
proporcin razonable entre su costo y los riesgos asociados.
Situacin actual
La informacin se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso
del personal y de terceros, as como sobre la implementacin de software, y en el
manejo de la comunicacin.
Producto
Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.
Acciones
Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero,
cpsulas tecnolgicas)
1.5.1 Implementacin de la seguridad de la informacin

La organizacin debe implementar un marco de seguridad de la informacin, para lo
cual debe:
a. Establecer un marco metodolgico que incluya la clasificacin de los
recursos de TI, segn su criticidad, la identificacin y evaluacin de riesgos,
la elaboracin e implementacin de un plan para el establecimiento de
medidas de seguridad, la evaluacin peridica del impacto de esas medidas
y la ejecucin de procesos de concienciacin y capacitacin del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y,
definir y ejecutar peridicamente acciones para su actualizacin.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organizacin como de terceros relacionados.
Situacin actual
Se tienen los recursos clasificados por criticidad, as como una evaluacin de riesgos, y
un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitacin del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas
de seguridad en tecnologas de informacin, y plan de capacitacin institucional
actualizados.
Acciones
Actualizar los niveles de criticidad por recurso de TI.
Actualizar plan de implementacin de las medidas de seguridad.
Actualizar plan de capacitacin interna en seguridad.
Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.
1.5.2 Compromiso del personal con la seguridad de la informacin

El personal de la organizacin debe conocer y estar comprometido con las regulaciones
sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano,
robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades en
materia de seguridad, confidencialidad y riesgos asociados con el uso de
las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.
c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas

de seguridad especficas relacionadas con el manejo de la documentacin
y rescisin de contratos.
Situacin actual
Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est
planificando la divulgacin de su reciente actualizacin aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el
personal.
Acciones
Plan de divulgacin.
Impartir charlas.
1.5.3 Seguridad fsica y ambiental

La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico
seguro y controlado, con medidas de proteccin suficientemente fundamentadas en
polticas vigentes y anlisis de riesgos.
Como parte de esa proteccin debe considerar:
a. Los controles de acceso a las instalaciones: seguridad perimetral,
mecanismos de control de acceso a recintos o reas de trabajo, proteccin
de oficinas, separacin adecuada de reas.
b. La ubicacin fsica segura de los recursos de TI.
c. El ingreso y salida de equipos de la organizacin.
d. El debido control de los servicios de mantenimiento.
e. Los controles para el desecho y reutilizacin de recursos de TI.

f. La continuidad, seguridad y control del suministro de energa elctrica y del
cableado de datos
g. El acceso de terceros.
h. Los riesgos asociados con el ambiente.
Situacin actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica
y unidades de poder para suministro de energa elctrica constante, y la definicin de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicacin de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
Documentar los procedimientos y controles.
Definir plan de accin.
1.5.4 Seguridad en la operacin y comunicacin

La organizacin debe implementar las medidas de seguridad relacionadas con la
operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y
proteger la integridad del software y de la informacin.
Para ello debe:
a. Implementar los mecanismos de control que permitan asegurar la no

negacin, la autenticidad, la integridad y la confidencialidad de las
transacciones y la transferencia o intercambio de informacin.
b. Establecer procedimientos para proteger la informacin almacenada en
cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios),
incluso los relativos al manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a
software malicioso o virus.
Situacin actual
Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas
con la puesta en marcha de la firma digital en coordinacin con el Banco Central. Se
tienen procedimientos para la proteccin de la informacin almacenada en los medios
magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus.
Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
Continuar con la gestin que se viene realizando al respecto.
Implementar firma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso

La organizacin debe proteger la informacin de accesos no autorizados.
Para dicho propsito debe:

a. Establecer un conjunto de polticas, reglas y procedimientos relacionados
con el acceso a la informacin, al software de base y de aplicacin, a las
bases de datos y a las terminales y otros recursos de comunicacin.
b. Clasificar los recursos de TI en forma explcita, formal y uniforme de acuerdo
con trminos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definicin de perfiles, roles y niveles
de privilegio, y para la identificacin y autenticacin para el acceso a la
informacin, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las polticas de la organizacin bajo el principio de
necesidad de saber o menor privilegio. Los propietarios de la informacin
son responsables de definir quines tienen acceso a la informacin y con
qu limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticacin (identificacin de
usuario, contraseas y otros medios) que permitan identificar y responsabilizar
a quienes utilizan los recursos de TI.
Ello debe acompaarse de un
procedimiento que contemple la requisicin, aprobacin, establecimiento,

suspensin y desactivacin de tales medios de autenticacin, as como
para su revisin y actualizacin peridica y atencin de usos irregulares.
g. Establecer controles de acceso a la informacin impresa, visible en pantallas
o almacenada en medios fsicos y proteger adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditora) que permitan
un adecuado y peridico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la informacin sobre la
seguridad de las TI.
Situacin actual
Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y
fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignacin de roles con sus
niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la
informacin.
Producto
Procedimientos y poltica de acceso a la informacin, actualizados.
Acciones
Centro de Operaciones con el control de roles y asignacin de passwords.
Oficializar responsables de la informacin (Sistemas).
Actualizar procedimientos de acceso a la informacin.
Activar Log Miner como herramienta para anlisis de manipulacin de datos
y modificaciones a programas fuente.
1.5.6 Seguridad en la implementacin y mantenimiento de software e

infraestructura tecnolgica
La organizacin debe mantener la integridad de los procesos de implementacin
y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no
autorizado, dao o prdida de informacin.
Para ello debe:
a. Establecer obligatoriamente la definicin previa de requerimientos de
seguridad que deben ser implementados como parte del software e
infraestructura.
b. Contar con procedimientos claramente definidos para el mantenimiento y

puesta en produccin del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los
ambientes de desarrollo o mantenimiento y de produccin.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situacin actual
Se tienen ms de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los prximos tres aos, as como ambientes separados para los
ambientes de desarrollo y produccin, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
Revisar documentacin, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI

La organizacin debe mantener una continuidad razonable de sus procesos y su
interrupcin no debe afectar significativamente a sus usuarios. Como parte de ese
esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasificacin
de sus recursos de TI segn su criticidad.
Situacin actual
Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y definir los esquemas de continuidad.
Producto
Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos
documentados.
Acciones
Mantener procedimientos actualizados y funcionales. Labor permanente.
Documentar eventos preventivos y correctivos, y cambios a la plataforma.
Definir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora
de una representacin razonable de la organizacin que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada
atencin de los requerimientos de todas las unidades de la organizacin.
Situacin actual
Se tiene un CGTIC que es convocado peridicamente.
Producto
Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.
Acciones
Convocar peridicamente al CGTIC.

La organizacin debe identificar y velar por el cumplimiento del marco jurdico que
tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
Situacin actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, as como restricciones tcnicas para el uso de software no licenciado.
Producto
Marco Jurdico con incidencia en TI disponible y actualizado.
Acciones
ptima gestin de contratos. Labor permanente.
Uso institucional de slo las licencias contratadas. Labor permanente.
Captulo II Planificacin y Organizacin

La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos
mediante procesos de planificacin que logren el balance ptimo entre sus
requerimientos, su capacidad presupuestaria y las oportunidades que brindan las
tecnologas existentes y emergentes.
Situacin actual
Se tienen planes muy bien definidos que facilitan la planificacin.
Producto
PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.
Acciones
Mantener actualizados los planes. Labor permanente.
2.2 Modelo de arquitectura de informacin

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de
informacin de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, slo la informacin que sus procesos requieren.
Situacin actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
informacin, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.
Producto
Arquitectura de Informacin actualizada
Acciones
Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
Definir flujos de informacin.
Documentar las reglas de sintaxis de los datos.
Actualizar diccionario de datos con reglas de sintaxis.
Actualizar Arquitectura de Informacin.

Situacin actual
Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnolgica optimizada y actualizada.
Acciones
Mantener actualizada la infraestructura. Labor permanente.
2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las
reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems
dependencias tanto internas y como externas.
Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con
una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido,
de manera clara y formal, su responsabilidad, autoridad y funciones.
Situacin actual
Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
Definir independencia funcional de la USTI. Mantener independencia.
Ejecutar el plan de capacitacin. (DNC). Labor permanente.

La organizacin debe optimizar el uso de los recursos financieros invertidos en la
gestin de TI procurando el logro de los objetivos de esa inversin, controlando en
forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte
aplicable.
Situacin actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus
recomendaciones someterlo a la aprobacin del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
Someter el plan de inversiones a la aprobacin del Despacho por
recomendacin del CGTIC.
Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia
con su marco estratgico, planificacin, modelo de arquitectura de informacin e
infraestructura tecnolgica. Para esa implementacin y mantenimiento debe:
a. Adoptar polticas sobre la justificacin, autorizacin y documentacin de
solicitudes de la implementacin o mantenimiento de TI.
b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por
parte de las reas usuarias como del jerarca.
c. Garantizar la participacin activa de las unidades o reas usuarias, las
cuales deben tener una asignacin clara de responsabilidades y aprobar
formalmente las implementaciones realizadas.
d. Instaurar lderes de proyecto con una asignacin clara, detallada y
documentada de su autoridad y responsabilidad.
e. Analizar alternativas de solucin de acuerdo con
criterios tcnicos,
econmicos, operativos y jurdicos, y lineamientos previamente establecidos.

f. Contar con una definicin clara, completa y oportuna de los requerimientos,
como parte de los cuales debe incorporar aspectos de control, seguridad y
auditora bajo un contexto de costo beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de
los recursos econmicos, tcnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementacin que incluyan todas
las medidas para minimizar el riesgo de que los proyectos no logren sus
objetivos, no satisfagan los requerimientos o no cumplan con los trminos
de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software,
instalaciones y servicios.
Situacin actual
Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.
Producto
Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.
Acciones
Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor
permanente.
Participacin muy activa de los patrocinadores. Labor permanente.
Capacitacin de funcionarios de USTI. Labor permanente.

La organizacin debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
b. Desarrollar y aplicar un marco metodolgico que gue los procesos de
implementacin y considere la definicin de requerimientos, los estudios
de factibilidad, la elaboracin de diseos, la programacin y pruebas,
el desarrollo de la documentacin, la conversin de datos y la puesta
en produccin, as como tambin la evaluacin post-implantacin de la
satisfaccin de requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades
permisos de acceso al personal a cargo de las labores de implementacin

y mantenimiento de software.
d. Controlar la implementacin del software en el ambiente de produccin y

garantizar la integridad de datos y programas en los procesos de conversin
y migracin.
e. Definir los criterios para determinar la procedencia de cambios y accesos
de emergencia al software y datos, y los procedimientos de autorizacin,
registro, supervisin y evaluacin tcnica, operativa y administrativa de los
resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como
parte de su mantenimiento.
Situacin actual
Se cuenta con ambientes de pruebas y produccin muy bien definidos, procedimientos
de instalacin de software y control de versiones, migracin de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institucin.
Acciones
Revisar y documentar los criterios de aplicacin de cambios.
3.3 Implementacin de infraestructura tecnolgica

e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
Situacin actual
La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las
tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnolgica ptima y actualizada.
Acciones
Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de informacin institucional, incluye plan vivo de actualizacin
y compras. Labor permanente.
3.4 Implementacin de software e infraestructura contratada a terceros

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementacin o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
b. Establecer una poltica relativa a la contratacin de productos de software
e infraestructura.
c. Contar con la debida justificacin para contratar a terceros.
d. Establecer un procedimiento o gua para la definicin de los trminos de
referencia que incluyan las especificaciones y requisitos o condiciones
requeridas o aplicables, as como para la evaluacin de ofertas.
e. Establecer, verificar y aprobar formalmente los criterios, trminos y conjunto
de pruebas de aceptacin de lo contratado; sean instalaciones, hardware
o software.
f. Implementar un proceso de transferencia tecnolgica que minimice la

dependencia del tercero que presta el servicio.
Situacin actual
Para la contratacin de los bienes y servicios de TI se consideran las ltimas
especificaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnolgica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener poltica para contratacin de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnologa adquirida. Todas son labores permanentes.
j.
Captulo IV Prestacin de servicios y mantenimiento

4.1 Definicin y administracin de acuerdos de servicios
La organizacin debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Funcin de TI segn sus capacidades.
El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus
atributos, lo cual deben documentar y considerar como un criterio de evaluacin del
desempeo. Para ello deben:
a. Tener
una
comprensin
comn
sobre:
exactitud,
oportunidad,
confidencialidad, autenticidad, integridad y disponibilidad.

b. Contar con una determinacin clara y completa de los servicios y sus
atributos, y analizar su costo y beneficio.
c. Definir con claridad las responsabilidades de las partes y su sujecin a las
condiciones establecidas.
d. Establecer los procedimientos para la formalizacin de los acuerdos y la
incorporacin de cambios en ellos.
e. Definir los criterios de evaluacin sobre el cumplimiento de los acuerdos.
f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos
con terceros.
Situacin actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluacin que se estara
realizando para cada servicio.
Producto
Polticas aplicadas en la contratacin de terceros.
Acciones
Actualizacin de polticas en los contratos que se celebren.
Documentar acuerdos de servicio y forma de evaluacin.

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones,
minimizar su riesgo de fallas y proteger la integridad del software y de la informacin.
Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades
asociados con la operacin de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso
de la plataforma, asegurar su correcta operacin, mantener un registro de sus
eventuales fallas, identificar eventuales requerimientos presentes y futuros,
establecer planes para su satisfaccin, garantizar la oportuna adquisicin
de recursos de TI requeridos tomando en cuenta la obsolescencia de la
plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas.
c. Controlar la composicin y cambios de la plataforma y mantener un
registro actualizado de sus componentes (hardware y software), custodiar
adecuadamente las licencias de software y realizar verificaciones fsicas
peridicas.
d. Controlar la ejecucin de los trabajos mediante su programacin, supervisin
y registro.
e. Mantener separados y controlados los ambientes de desarrollo y produccin.
f. Brindar el soporte requerido a los equipos principales y perifricos.
g. Controlar los servicios e instalaciones externos.
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios

de respaldo en ambientes adecuados, controlar el acceso a dichos medios
y establecer procedimientos de control para los procesos de restauracin.
Situacin actual
Se tienen documentados todos los procedimientos para el mantenimiento de la
plataforma tecnolgica, excepto la solucin telefnica que se tiene parcial. La
plataforma est siendo monitoreada constantemente y con base a su comportamiento
se afina, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los
componentes, ambiente separados para desarrollo y produccin, rutinas y polticas de
respaldo, y control sobre la ejecucin de trabajos.
Producto
Diagnstico anual sobre la capacidad de las tecnologas en uso y el crecimiento
proyectado.
Acciones
Planificar y ejecutar un anlisis anual de capacidad en TI.
Mantener procedimientos documentados y operativos. (Solucin telefnica)
Efectuar gestin de tecnologas eficientemente. Todas son labores
permanentes.

La organizacin debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma ntegra y segura.
Situacin actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada
una de las unidades relacionadas con los sistemas. Es necesario definir una poltica
para desechar datos, de comn acuerdo con los patrocinadores de los sistemas,
verificando la existencia de los procedimientos adecuados.
Producto
Sistemas de informacin actualizados mediante procedimientos oficiales.
Acciones
Definir poltica para desechar datos, asegurando la existencia de
procedimientos oficiales para la actualizacin de sistemas de informacin.
Mantener la bitcora para registro y control de acceso activa.
Utilizar la herramienta de software Log Miner para anlisis de bitcoras.
4.4 Asistencia y asesoramiento a los usuarios de TI

La organizacin debe resolver en forma centralizada, oportuna y eficiente las
necesidades que enfrente el usuario al utilizar las TI. Su atencin debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
Situacin actual
Se imparte capacitacin para un mejor aprovechamiento de los sistemas en uso, y se
capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de
informacin.
Acciones
Continuar con la capacitacin a usuarios en el uso de los sistemas.
Fortalecer cultura en TICs va charlas, cpsulas tecnolgicas y cursos.
Labor permanente.

La organizacin debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Adems, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
Situacin actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento
para la mejora continua.
Producto
Mantener el registro y documentacin de incidentes actualizado.
Acciones
Continuar con la resolucin de incidentes cada vez que se presenten,
manteniendo un registro documentado de los mismos para minimizar el
riesgo de incidencia y fortalecer los conocimientos. Labor permanente.

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios

de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con sus polticas
relativas a calidad, seguridad y seguimiento.
d. Asignar a un responsable con las competencias necesarias que evale
peridicamente la calidad y cumplimiento oportuno de los servicios
contratados.
Situacin actual
Los contratos son administrados; segn rea de trabajo, por los coordinadores
respectivos.
Producto
Administracin de contratos con nfasis en clusulas sobre responsabilidades, claras
y aplicables.
Acciones
Mantener la administracin efectiva de contratos, va coordinadores.
Captulo V Seguimiento
La organizacin debe asegurar el logro de los objetivos propuestos como parte de
la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso
de seguimiento en los que defina el alcance, la metodologa y los mecanismos para
vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal
a cargo de dicho proceso.
Situacin actual
Se tiene un marco de referencia clara, siendo necesaria la definicin del proceso
de seguimiento para vigilar la gestin de TI. Se propone una rendicin de cuentas
peridica.
Producto
PETIC, PTAC, Compromisos de Gestin y PAO totalmente alineados.
Acciones
Rendicin de cuentas peridica ante el CGTICS. Labor permanente.
5.2 Seguimiento y evaluacin del control interno en TI

El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
Situacin actual
El sistema de control interno se aplica sobre la gestin de TI, y se aplican medidas
correctivas en funcin de las excepciones que se presenten.
Producto
Gestin de control interno en TICs asociado al sistema institucional.
Acciones
Mantener la gestin de TI asociada al sistema institucional. Labor
permanente.
5.3 Participacin de la Auditora Interna

La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de
la organizacin proporcione una garanta razonable del cumplimiento de los objetivos
en esa materia.
Situacin actual
Se solicita asesora a la AI cada vez que se considera de provecho para el desarrollo y
ejecucin de proyectos.
Producto
Auditora interna con amplios conocimientos sobre la gestin de TI
Acciones
Participacin consultora de la Auditora Interna en desarrollos de TI. Labor
permanente.
Conclusin
De acuerdo con los anlisis realizados, es totalmente viable y factible cumplir con
la normativa en el plazo establecido, siendo la actualizacin del modelo para la
Arquitectura de Informacin la actividad ms larga del proyecto y de finalizacin en el

2009.
Las fechas recomendadas estaran influyendo en el desarrollo de sistemas y otros
proyectos de TI. Es urgente la definicin de prioridades en el desarrollo de sistemas
por parte del CGTIC.
Anexo - NTP2
Cronograma de Implementacin

Apndice #3 Cronograma estimado par al ejecucin del plan de implementacin
El siguiente cronograma muestra los plazos estimados de las actividades generales que permitirn obtener un nivel de cumplimiento razonable con las
normas tcnicas. Este instrumento detalla solamente las normas para las cuales la Comisin consider aplicar esfuerzos de mejoramiento.
Cronograma de implementacin de Normas Tcnicas TI

Acciones a realizar por cada norma
2008
I Semestre

Plan de divulgacin PETIC y PTAC, Campo E.
1.2 Gestin de Riesgos
Definicin de riesgos tecnolgicos e institucionales
Valorar y actualizar los riesgos TIC
1.3 Gestin de la Calidad
Elaborar el manual de gestin de calidad
Desarrollar el sistema de registro, medicin y control
1.4 Gestin de Proyectos
Adaptar y aplicar la gua metodolgica
1.5 Gestin de la Seguridad
Aplicar las directrices de seguridad
Desarrollar directrices de seguridad complementarias
Divulgar el marco de seguridad de TIC
Coordinar las directrices con la valoracin de riesgos
1.6 Decisiones sobre asuntos estratgicos
Dar seguimiento al marco jurdico de TI
Validar el plan tctico con el CGTIC
2.2 Modelo Arquitectura de Informacin
Desarrollar el modelo de arquitectura
Dar seguimiento al entorno tecnolgico
2.4 Independencia y recurso humano TIC
Integrar servicios y funciones de TIC
Aprobar el plan de inversiones (CGTIC)
3.1 Implementacin de TI
Aplicar gua metodolgica para proyectos
Capacitar en gestin de proyectos
Aplicar gua metodolgica para proyectos de desarrollo de sistemas
Revisar y documentar los criterios de aplicacin
3.3 Implementacin de la infraestructura tecnolgica
Dar seguimiento al entorno tecnolgico
3.4 Implementacin de software e infraestructura contratada a terceros
Agregar procedimientos de outsourcing a la gua de proyectos
Actualizar la poltica para contratacin
4.1 Definicin y administracin de acuerdos de servicio
Elaborar y actualizar el catlogo de servicios
Desarrollar diagnstico de capacidad
4.3 Administracin de los Datos
Elaborar procedimientos de procesamiento de transacciones
Implementar sistema de contingencias
4.4 Asistencia y asesoramiento a los usuarios de TI
Implementar plan de capacitacin de TI
Establecer la funcin de atencin de usuarios centralizada
Implantar los procedimientos para atencin usuarios
Mejorar los criterios de significancia
Agregar procedimientos de outsourcing a la gua de proyectos
Actualizar la poltica para contratacin
5.2 Seguimiento y evaluacin de control interno
Revisar y mejorar continuamente el CI
5.3 Participacin de la auditoria interna
Aprovechar oportunidades de asesora
Programar auditorias de TI
2009
II Semestre
I Semestre
Anexo - NTP3
Evaluacin de Riesgos en
Tecnologas de Informacin
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de
proyectos, la proyeccin de la formacin y perfil del personal de la CGR en los temas
tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado
con los objetivos de la institucin.
En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organizacin y en los grupos externos de fiscalizacin.
Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento
en red; conectadas con fibra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupacin total cercana al 70% de su espacio total.
Adems, dispone de servidores para la ejecucin de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la insercin tecnolgica deseada.
Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de informacin automatizados, correo
electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnolgicas

en la gestin de la fiscalizacin.
Adems, se utiliza software especializado para administrar el ancho de banda y
filtrar el acceso a Internet, software de antivirus, administrador de las direcciones del
protocolo de Internet (IP), la administracin del firewall, los certificados privados, un
administrador de proyectos, software para registro de atencin de averas, el directorio
activo de todos los funcionarios de la CGR, la administracin de la central telefnica, el
software de capacitacin en lnea, y la vigilancia de la seguridad de las instalaciones.
Lo anterior, representa una base tecnolgica que requiere ser complementada con
software especializado para la fiscalizacin, y software colaborativo; entre otros, que
permitan una fiscalizacin ampliamente soportada en tecnologa de punta.
Finalmente, se cuenta con varios sistemas de informacin que soportan tanto las
tareas sustantivas como las de apoyo al nivel institucional; considerndose algunos
como muy crticos.
Modelo de anlisis de riesgos

Contexto estratgico
La CGR es un rgano de control de la Asamblea Legislativa y tiene bajo su fiscalizacin
472 instituciones pblicas, ms Juntas de Educacin, Asociaciones, y empresas
privadas que administren fondos pblicos, para que con base en los estudios realizados
se le permita a la ciudadana conocer, acerca de cmo sus gobernantes y funcionarios
pblicos estn utilizando los recursos que se les asignaron. Presupuestariamente
depende de un presupuesto aprobado por la Asamblea Legislativa.
Para transparentar la gestin pblica se basa en su ley orgnica, la ley de control
interno, en el sistema para evaluacin de riesgos, en resoluciones de cumplimiento
obligatorio, y en normas tcnicas sobre la gestin en tecnologas de informacin

comunicacin.
La clientela de la CGR la conforma prcticamente todo el pas: ciudadana, proveedores,
instituciones, empresas, y organismos internacionales; los cuales confan en la gestin
que lleva a cabo la Contralora para garantizarle a la ciudadana el buen manejo de la
Hacienda Pblica.
Adems de la transparencia hacia la ciudadana sobre la gestin de los funcionarios
pblicos, tambin es muy importante mantener el control poltico con el objetivo de
evaluar cualquier situacin que pueda afectar la estrategia.
Otro aspecto que es de importancia para la CGR es la imagen que se pueda reflejar
a la ciudadana, con el objetivo de mantener y mejorar la confianza que se tiene en la
institucin como garante de la Hacienda Pblica.
Para dar cumplimiento al propsito de fortalecer el buen gobierno, todos los funcionarios
deben tener presentes aspectos importantes de nuestra gestin, como los siguientes:
Clasificacin de las instituciones pblicas con base en factores de riesgo.
Esto significa que el monto del presupuesto no va a ser la nica variable para
determinar hacia dnde dirigir la fiscalizacin, sino que tambin interesa
la calidad de la administracin y sus rganos de decisin, de la auditora
interna, la contratacin, la planificacin, las variables financieras y otras.
Es necesario que definamos un conjunto de variables y no busquemos el
sistema perfecto para identificar las entidades de ms riesgo y a partir de
ah definir a dnde vamos a ir y qu vamos a hacer. Esto tambin significa
que no solo la institucin est clara hacia donde vamos, sino que los que
estn en el entorno tambin lo tengan claro, ya que lo ms operativo lo
debern asumir las auditoras internas y el mismo sistema de control de

cada institucin.
Aplicacin de los temas estratgicos para la fiscalizacin, segn las
particularidades de las reas de fiscalizacin y los resultados de la
clasificacin anterior, es decir, cada rea deber dedicarse prioritariamente
a algunos de los temas aqu planteados, no necesariamente a todos.
Seguimiento de disposiciones como elemento esencial para ir midiendo el
impacto de nuestra gestin.
Elaboracin de indicadores sencillos para medir los resultados propuestos
en el plan de trabajo.
Ejecucin efectiva de la agenda de mejoras internas, ya que los proyectos
que se definan darn el salto cualitativo que la institucin requiere para
tener un nivel mayor de incidencia en la gestin de las administraciones
pblicas.
Recurso humano y tecnologa. En relacin con las personas, stas deben
ser capaces, si existe una brecha frente a las necesidades de los procesos
de trabajo, esta debe cerrarse por medio de capacitacin u otras acciones
que les permitan desarrollar mejor sus competencias. El gerente tiene
una responsabilidad importante en materia de recurso humano, tiene una
responsabilidad en forma directa e inmediata en su manejo, buscando el
equilibrio para lograr un desarrollo integral de la gente y hacer converger
los objetivos de las personas con los de la institucin. Por su parte, la
tecnologa es fundamental para apoyar el trabajo no solo en la simplificacin
sino tambin siendo utilizada para almacenar y proporcionar informacin
que apoye la toma de decisiones.
Medicin del desempeo en funcin de resultados. Hay que darle un cambio
a la evaluacin del desempeo. Debe verse como una retroalimentacin.
Esta debe asociarse al logro de los objetivos de la unidad, ms los
compromisos personales. Es una evaluacin asociada con resultados de
proyectos tangibles.
Estos lineamientos contribuirn a la organizacin del trabajo y a la formulacin de los

planes de trabajo operativos de los prximos aos de las diferentes Divisiones, reas
y Unidades de la Contralora General, base fundamental sobre la cual, rendiremos
cuentas a la ciudadana.
De acuerdo con sanas prcticas de gestin, todo plan institucional en la Contralora
General, debe estar directamente relacionado con los objetivos estratgicos, estrategias,
factores clave de xito y las orientaciones del Plan Estratgico Institucional 20082012, de ah que el plan estratgico en tecnologas de informacin y comunicacin
(PETIC) no es una excepcin, en este sentido, la gestin institucional de tecnologas de
informacin y comunicacin para el perodo 2008-2012, se debe realizar de acuerdo
con las siguientes orientaciones estratgicas:
a. Control como medio y no como fin
b. No afectacin del inters pblico
c. No coadministrar
d. Mayor proactividad, presencia, impacto y oportunidad
e. Enfoque preventivo
f. nfasis en los resultados de la gestin pblica
g. Fiscalizacin y control sobre una base costo-beneficio
h. Aplicacin de procesos con base en el Manual General de la Fiscalizacin
Integral
i. Cultura de medicin continua de la gestin
j. Mejora continua que fortalezca la autocrtica constructiva
Con base a las orientaciones estratgicas se pueden observar posibles riesgos
financieros, sociales, operativos, tcnicos, legales, y humanos, sobre los cuales vamos
a estar trabajando en el presente anlisis y valoracin de riesgos, siempre que estn
relacionados con tecnologas de informacin.
Factores claves de xito

El cumplimiento de la estrategia institucional 2008-2012 est en funcin de lograr la
articulacin de esfuerzos institucionales alrededor de los siguientes elementos:
a. Desarrollo de las competencias de los funcionarios ajustadas a los
requerimientos de la CGR para enfrentar el entorno
b. Aprovechamiento de las tecnologas de informacin en las fiscalizacin y la
toma de decisiones
c. Integracin institucional que facilite la toma de decisiones y la consistencia
de los productos de fiscalizacin.
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que fiscaliza el uso
de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al
control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin
y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a
efecto de implementar la visin y misin institucionales:
Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo
diario.
Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus
derechos y deberes.
Integridad: Es realizar todas las acciones con rectitud.
Compromiso: Es sentirse identificado con la Contralora General y as dar el
mximo esfuerzo.
La CGR tiene cuatro macro procesos:
a. Fiscalizacin Integral
b. Gobierno Corporativo
c. Gestin del Conocimiento
d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro
procesos:
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Insercin Tecnolgica
Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales
estn expuestos, y el nivel de exposicin de los mismos.
La Unidad de Tecnologa de Informacin (UTI)

El Reglamento Orgnico de la Contralora General de la Repblica, emitido mediante
resolucin No. R-CO-34-2009 del 22 de mayo de 2009, en su Captulo II, Seccin
CUARTA, artculo 26, establece con respecto a la Unidad Tecnologas de Informacin:
Es la unidad encargada de implementar, desarrollar y evolucionar soluciones

tecnolgicas y de comunicacin, para apoyar y facilitar la ejecucin de los procesos
internos Para ello lidera el proceso de gestin de tecnologas de informacin y
comunicacin y participa del proceso de asesora interna en materia de su competencia.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato
a la informacin, con eficientes herramientas tecnolgicas de apoyo para realizar
fiscalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin
pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen
Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de
informacin y comunicacin para fortalecer la fiscalizacin superior, la transparencia,
la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada
en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI:
a. Contar con una infraestructura de Tecnologas de Informacin y
Comunicaciones (TICs) estable y adecuada a las necesidades de la
Institucin y del pas.
b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales,
integrada a procesos y actividades, y puesta al servicio de los usuarios
internos y externos.
c. Desarrollar la infoestructura de soluciones y servicios definidos y priorizados

en el Plan Institucional, en aras de impulsar la eficiencia, la eficacia, la
transparencia, la participacin ciudadana y el combatir de la corrupcin.
d. Fortalecer el Gobierno Electrnico mediante transparentar la gestin pblica,
la simplificacin de procesos, la generacin de trmites electrnicos y la
participacin ciudadana.
e. Coordinar con el Centro de Capacitacin, la capacitacin de los funcionarios
de la Contralora General de la Repblica y de otras instituciones para mejor
uso y aprovechamiento de las TICs.
f. Mantener una organizacin actualizada con las tendencias modernas
de tecnologas de informacin y comunicaciones (TICs), y con los
requerimientos de informacin y tecnologa de la institucin.
Contexto de la administracin de riesgos

La administracin de riesgos se lleva a cabo considerando los procesos de USTI que
estn relacionados con las tecnologas de informacin y la Plan Estratgico 2008
2012, a efectos de establecer y fortalecimiento los controles necesarios en aquellos
que as lo requieran. En la identificacin de riesgos se consideran los efectos que
una mala gestin pueda tener en la imagen de la CGR, las prdidas producto de
inversiones que no generen rditos, y las orientaciones estratgicas.
En los anexos 1 y 2 se presentan los riesgos relacionados con los objetivos del Plan
Estratgico Institucional 2008-2012 y con los objetivos del Plan Tctico Institucional
2009-2011; riesgos que constituyen el fundamento para la valoracin de riesgos a nivel
operativo, y que estarn siendo aplicados y revisados en el contexto de la ejecucin y
seguimiento del PAO 2009 y de la formulacin detallada del PAO 2010.
La evaluacin de riesgos se llevar a cabo sobre los procesos de la USTI: Infraestructura,

Seguridad y Control, Suministro de Servicios, e Insercin tecnolgica, basados en
COBIT.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante definir claramente el marco de trabajo que ser utilizado para la gestin
de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestin de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institucin, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operacin tecnolgica
ms estable y confiable.
La estrategia para la administracin de los riesgos est basada en los siguientes
aspectos:
Utilizar los sub procesos de COBIT por gua y referencia para la identificacin
de riesgos de gestin.
Complementar la identificacin de riesgos basndose en los procesos de la
Unidad, esto para identificar riesgos operativos.
Utilizar escalas de calificacin de los riesgos (impacto, probabilidad,
exposicin) de acuerdo con modelos internaciones.
El alcance de este ejercicio de anlisis de riesgos comprende lo siguiente:

Actividades de gestin de la UTI las cuales estn a cargo de la jefatura y de
los coordinadores.
Procesos de la UTI que incluyen las operaciones continuas y el desarrollo
de proyectos
Proyectos tecnolgicos de trascendencia institucional lo cuales influyen en
la imagen que se proyecta a la ciudadana.
Riesgos relacionados con el recurso ms importante de la organizacin: el
recurso humano.
Criterios de evaluacin de riesgos

Para la evaluacin de riesgos se utilizarn, como valores primarios, la calificacin de
impacto y probabilidad de cada riesgo. Para ambos casos se utilizarn tablas de 5
valores con las equivalencias que se sealan a continuacin. A partir de esos valores
se calcular el nivel de exposicin y la severidad de los riesgos representndolos en el
mapa trmico.
Para clasificar los riesgos se utilizarn 5 categoras asociadas con el origen del riesgo.
Se utilizarn criterios de referencia especficos para cada categora con el propsito de
de facilitar la evaluacin de impacto para cada riesgo.
Calificacin de la probabilidad
Para la calificar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
P
5
4
3
2
1
Probabilidad
Significado
Casi seguro
Muy probable
Probable
Poco probable
Raro
Calificacin del impacto

Para calificar el impacto se utilizar una tabla general de referencia con 5 valores;
adicionalmente se utilizarn tablas especficas donde se describirn los criterios para
asignar la calificacin de impacto segn la categora de cada riesgo:
I
5
4
3
2
1
Impacto
Significado
Mayor
Importante
Significativo
Regular
Menor
Severidad del riesgo

Para medir la severidad del riesgo se utilizarn 4 valores que se determina segn la
calificacin del impacto y la probabilidad, es decir el nivel de exposicin:
Severidad
Significado
4
3
2
1
Extrema
Alta
Moderada
Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la
calificacin de impacto y probabilidad el riesgo es calificado por corlo en su nivel de
severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta,
Impacto
el color amarillo claro severidad moderada y el color verde claro severidad baja:
Probabilidad
Categoras de los riesgos

Las categoras utilizadas son las siguientes:
Categora
Descripcin
Riesgos relacionados con la ausencia o aplicacin
Gestin
incorrecta de mtodos de gestin de las tecnologas de

informacin y comunicaciones.
Incumplimiento de directrices, procedimientos y

Operacin
metodologas y estndares en los procesos operativos

de la UTI.
Riesgos relacionados con las fallas potenciales de la
Infraestructura
infraestructura tecnolgica utilizada en la CGR.

Eventos que atentan contra la confidencialidad,
Seguridad
integridad y disponibilidad de la informacin.

Relacionados con el desempeo y regularidad de los
Recurso humano
recursos humanos.
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo ser asociado a la categora que se
considere ms relevante o donde el impacto sea mayor.
Impacto de los riesgos segn su categora

Gestin
I
Significado
5
Mayor
4
Importante
Significativo
Regular
Menor
Criterios de calificacin
Evento que impedir el logro de los objetivos institucionales.
El logro de objetivos institucionales se ve afectado de manera
importante.
Evento que representar un retraso significativo en el logro de
objetivos institucionales.
El evento afecta levemente el logro de objetivos de la UTI y
de la CGR.
Evento que afecta la gestin de la UTI sin llegar a impactar en
el logro de los objetivos.
Operacin
I
Significado
Mayor
4
3
Importante
Significativo
Evento que paraliza la prestacin de servicios por parte de
la unidad afectando a la institucin de manera considerable.
Evento que provoca la interrupcin parcial de servicios.
Evento que provoca interrupciones intermitentes.
Evento que provoca la interrupcin momentnea de los
servicios de la unidad, esta interrupcin es percibida por la
Regular
institucin.
Evento que provoca una disminucin en los tiempos de
Menor
respuesta que experimentan los usuarios.

Evento que afecta slo las operaciones de la UTI.
Infraestructura
I
Significado
Mayor
Importante
Significativo
Regular
Menor
Falla severa en un componente vital de la infraestructura
tecnolgica que impide la operacin normal de la institucin.
Falla en un componente de la infraestructura tecnolgica que
afecta parcialmente la prestacin de servicios.
Falla en un componente de la infraestructura tecnolgica que
afecta de manera intermitente la prestacin de servicios.
Falla en un equipo que afecta la prestacin de servicios slo
en la UTI.
Falla en un componente que puede ser sustituido de
inmediato por mantener equipo similar en inventario. Se
afecta la operacin de la institucin por minutos.
Seguridad
I
Significado
Mayor
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a informacin confidencial.
Informacin total en la disponibilidad de informacin.
Los datos institucionales han sido alterados.
Un ente no autorizado tiene acceso a informacin sensitiva.

4
Importante
Interrupcin de ms de 1 da hbil en la disponibilidad de la

informacin.
Se reciben ataques masivos sobre la plataforma.
Un funcionario de la institucin tiene acceso a informacin a
la cual no est autorizado.
Significativo
Interrupcin de 1 da hbil en la disponibilidad de la

informacin.
Prdida de datos que se pueden restaurar por medio de los
procesos de recuperacin.
Entes no autorizados tienen acceso a informacin parcial en
Regular
modo consulta.
Interrupcin de 4 horas en la disponibilidad de la informacin.
Hay intentos de acceso a la informacin.
Interrupcin momentnea en la disponibilidad de la
Menor
informacin.
Un ente no autorizado tiene la oportunidad de observar datos
que se estn utilizando en la operacin de la institucin.
Recurso humano (Revisar objetivos)

I
Significado
Se prescinde de un funcionario importante para el logro de
los objetivos.
Mayor
El evento imposibilita a todo el personal de la UTI para realizar

sus funciones de manera indefinida.
Evento que provoca que un funcionario exceda en ms de un
40% el tiempo estimado para finalizar una actividad.
Los objetivos a lograr exceden las cargas de trabajo de los

recursos asignados a la UTI.
4
Importante
Evento que imposibilita que el personal de la UTI pueda

laborar durante un da hbil.
Evento que provoca que un funcionario exceda en un 40% el
tiempo estimado para finalizar una actividad.
No se tiene participacin del patrocinador para el logro de los
objetivos.
Significativo
Evento que imposibilita a un funcionario de la UTI para

laborar durante cinco das hbiles en el lapso de un mes.
Situacin que provoca que un funcionario exceda en un 20%
el tiempo estimado para finalizar una actividad.
Evento que provoca que un funcionario exceda en un 10% el
tiempo estimado para finalizar una actividad.
Regular
Evento que afecta, de manera temporal y no mayor de 4

horas, que los funcionarios de la UTI puedan realizar sus
funciones.
Se asignan objetivos adicionales que afectan levemente la
Menor
carga de trabajo.
Evento que imposibilita a un funcionario de la UTI para
laborar durante un da hbil.
Criterios para la aceptacin de riesgos

Se aceptarn aquellos riesgos cuya severidad, la cual se obtiene del impacto del riesgo
y su probabilidad, est calificada como Baja y Moderada; estos valores se representan
en el mapa trmino con los colores verde claro y amarillo claro respectivamente.
Estructura de los riesgos

Como se indic anteriormente, la UTI apoya los macro procesos institucionales por
medio de cuatro procesos; stos son los siguientes:
Infraestructura
El proceso de infraestructura se refiere al soporte tecnolgico brindado por medio
de la red de comunicaciones interna, conexiones inalmbricas, acceso va Internet a
la CGR, a las unidades para almacenamiento de datos en red, a los servidores, a la
plataforma de usuario final, al software en uso debidamente autorizado y soportado
por la CGR, a la solucin telefnica en uso, y a todos los componentes necesarios para
mantener el ambiente necesario para su operacin.
Seguridad y Control
En este proceso estamos hablando de las cmaras de vdeo, acceso al Centro
de Cmputo y a la UTI en general, software y hardware necesario para fortalecer
la seguridad y el control, monitoreo en general, administracin de componentes o
funcionalidades.
Suministro de Servicios
El suministro de servicios abarca acuerdos de atencin de usuarios, niveles de
disponibilidad de la plataforma, atencin de averas, desarrollo y evolucin de sistemas,
operacin de equipos, continuidad de los servicios, mantenimiento y reparacin de
equipos, conexiones de red, y evacuacin de dudas.
Insercin Tecnolgica
Se pretende con este proceso que todos los funcionarios utilicen la tecnologa con
mucho entusiasmo, que le saquen todo el provecho posible, que producto de su
uso hagan aportes que faciliten el mejoramiento continuo de la plataforma, y que las
inversiones en TI permitan una mejor gestin y fiscalizacin.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizar la identificacin de los riesgos y el posterior anlisis. De este modo se
determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso.
El beneficio de utilizar los procesos de la UTI, como elemento central en la estructura
de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin
ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el
ejercicio ms manejable.
Identificacin de riesgos
La identificacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:
Id
1
2
3
4
5
6
7
8
9
10
11
Descripcin del Riesgo

Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
especificaciones.
Desarrollar productos
en
basados
con
las
requerimientos
incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de
utilizar para el usuario.
Categora
Gestin
Gestin
Gestin
Gestin
Gestin
Gestin
Operacin
Operacin
Operacin
Gestin
Gestin
12
13
14
15
16
17
18
19
20
21
22
23
Gestin
No existe gua de usuario para el uso del sistema.
Gestin
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura
en uso.
Se adquiere equipo sin que existan talleres para la
Gestin
Gestin
reparacin y mantenimiento de los mismos.

Operacin
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin
diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
Definicin de niveles de servicio que sobrepasan la
capacidad instalada de TI.
No contar con los recursos necesarios para cumplir con los
Operacin
Operacin
Gestin
Operacin
Gestin
Gestin
Gestin
24
niveles de servicio.
Gestin
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
que implica que stos no cumplan satisfactoriamente los Gestin
26
27
28
requerimientos del negocio.

Gestin
Incumplimiento de las polticas definidas por las partes.
Operacin
Tiempo de respuesta degradado.
No hacer planeamiento de la capacidad.
Gestin
Los recursos de la infraestructura tecnolgica no son
29
30
31
32
33
34
suficientes para atender las demandas de servicios.

Recuperacin de software no es factible
Suspensin de servicio de Internet
Fallas en los equipos de comunicaciones
Fallas en los servidores (computadores principales)
Equipo de usuario final inseguro.
Gestin
Operacin
Infraestructura
Infraestructura
Infraestructura
Seguridad
Ausencia de controles cruzados que comprueben la

35
36
37
38
39
40
41
integridad de la informacin y el funcionamiento correcto Seguridad

de las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios
prestados por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes
Seguridad
Seguridad
Gestin
Gestin
Gestin
requeridas para hacer uso de la informacin por medio de RRHH

las soluciones automatizadas.
La capacitacin que se brinda a los usuarios no es efectiva
42
43
44
45
46
47
48
para que puedan utilizar eficientemente los recursos Gestin

informticos disponibles.
No se cuenta con presupuesto para disear e implementar
programas de capacitacin para los usuarios.
No contar con una respuesta oportuna y efectiva para
Gestin
las consultas de los usuarios de TI y a la atencin de los Operacin

incidentes.
Las soluciones que se aplican, ante los incidentes
reportados por los usuarios, no son efectivas.
Los usuarios no estn informados sobre los procedimientos
que se deben seguir para reportar los incidentes.
No se cuenta o no se aplica el procedimiento definido para
la asignacin, atencin y seguimiento de los incidentes.
No se realiza una adecuada gestin de mtricas sobre los
incidentes reportados y atendidos.
Operacin
Gestin
Operacin
Gestin
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Se realizan cambios operativos que no se reflejan en la

documentacin.
Se realizan cambios en la configuracin de componentes
de la infraestructura y no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios en los
componentes de la configuracin.
No se aplica el procedimiento oficializado para la gestin
Operacin
Operacin
Operacin
Operacin
de problemas.
No se documentan las soluciones aplicadas a los problemas. Operacin
Hay dificultad para definir el mbito de accin de los
proveedores para la solucin de problemas.
Alteracin o prdida de la informacin registrada en base
Gestin
Seguridad
de datos o equipos.
Operacin
Informacin desactualizada o incorrecta.
Seguridad
Acceso no autorizado a la informacin.
Instalaciones fsicas mal diseas que pongan en peligro la
Gestin
integridad del equipo de cmputo y del personal.

Seguridad
Acceso no autorizado al centro de cmputo.
Seguridad
Ausencia de detectores de humo.
Fallas en los equipos que mantienen el medio ambiente
apropiado para la operacin de TI (UPS, Aire acondicionado)
No aplicacin de las polticas para la generacin de
respaldos.
No efectuar un monitoreo constante sobre la operacin de
la plataforma.
Suspensin de servicios sin seguir el procedimiento
establecido.
No contar con un proceso para revisar peridicamente el
Infraestructura
Operacin
Operacin
Operacin
Gestin
desempeo actual y la capacidad de los recursos de TI.

Gestin
No percibir los cambios que se realizan en el entorno.
Utilizacin de indicadores sobre el desempeo de TI que
no son relevantes y que no colaboran en la identificacin
de oportunidades de mejora en los procesos importantes
de TI.
Gestin
No contar con un programa de control interno efectivo para

68
69
70
71
72
73
TI que incluya auto-evaluaciones y revisiones por parte de Gestin

terceros.
Gestin
No contar con la documentacin de los procesos de TI.
Seguridad
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar
un producto licenciado.
Facilitar los medios para la instalacin de software a
terceros.
Contar con un plan estratgico no alineado a la estrategia
Operacin
Operacin
Gestin
74
institucional.
Gestin
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
sea utilizado en la creacin y actualizacin de los sistemas Gestin
76
de informacin.
Gestin
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
79
80
81
82
83
84
85
86
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
Contar con equipo costoso que no cuenta con contratos de
mantenimiento.
No aplicacin de los canales de comunicacin establecidos
Gestin
Gestin
Gestin
Gestin
para informar sobre la gestin de TI.

No se tienen documentados los canales de comunicacin. Gestin
RRHH
No se tiene dominio sobre las herramientas en uso.
Equipo de trabajo con baja motivacin, poco creativo y no
comprometido con el logro de los objetivos.
Contar con un sistema de administracin de la calidad
RRHH
deficiente en la definicin y aplicacin de procesos y Operacin

procedimientos para el desarrollo de las TIC en la institucin.
Desarrollar productos que no cumplen con los
requerimientos de calidad.
No administrar los riesgos de TI.
Operacin
Gestin
87
88
89
90
91
92
93
94
95
Utilizar un marco de trabajo deficiente para la gestin de
Gestin
riesgos, y no alineado con el apetito del riesgo institucional.

El personal no est capacitado adecuadamente para
Gestin
realizar una gestin efectiva de los riesgos.

No contar con el contenido presupuestario para la ejecucin
Gestin
de los proyectos.
Gestin
Inestabilidad en el equipo de proyecto.
Gestin
Desarrollo de proyectos no alineados al Plan Estratgico
Gestin
Los proyectos no estn documentados
No contar con un marco de referencia para la gestin
de los proyectos en cuanto a su iniciacin, planificacin,
Gestin
ejecucin, control y cierre, o aplicar ese marco de referencia

deficientemente.
Exceder el tiempo planificado para la ejecucin de los
Gestin
proyectos.
Falta de apoyo del patrocinador del proyecto.
Gestin
Identificacin de causas
Cada uno de los riesgos identificados est asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigacin y
contingencia as como para calificar los controles existentes. Las causas asociadas a
cada riesgo identificado son las siguientes:
Id
Descripcin del riesgo

Adquisicin
de
Causas
soluciones
automatizadas que no satisfagan las

necesidades de la institucin.
Desarrollar
productos
que
Especificacin
requerimientos
no
adecuada.
No se valid el cumplimiento del

producto.
Errores
no analizar
cumplen con las especificaciones.
de
de
concepto
al
las
especificaciones
No se validaron los componentes del

producto
Desarrollar productos basados en

requerimientos incorrectos.
Versiones
de
Ausencia
de
de
validacin
requerimientos
Patrocinador sin compromiso

No hay contrato de mantenimiento.
software Personal
desactualizadas.
para
no
est
actualizar
capacitado
el
software.
No est planificada la actualizacin.

Mala
gestin
en
la
5
Adquirir software sin programas adquisicin

fuentes.
de
Adquisicin
de
software
software
es
imprescindible
6
Adquirir software que no tiene

representacin en el pas.
No se tiene otra opcin

No hay contrato de mantenimiento.
Equipo
daado
no
puede
reparado.
ser No se tienen repuestos en el pas.

No hay repuestos para ese equipo.
No hay presupuesto para reparacin.
La
red
es
vulnerable
No se tiene la capacidad para

configurar adecuadamente la red
Impericia
humana
Dao fsico en los equipos de la Alteracin

plataforma tecnolgica.
Medio
tiene
Obsolescencia de la infraestructura para

tecnolgica.
sistema
ambiente
Sabotaje
No
se
10
del
elctrico
no
apropiado
la
expertise
actualizarla
Que no se renueven los contratos de

mantenimiento
Desarrollo de sistemas y servicios

11
que son difciles de utilizar para el

usuario.
12
13
14
del sistema.
Retrasos en
17
desarrollo
de
los
procesos
contratacin administrativa.
Se adquiere equipo no compatible
con la infraestructura en uso.
talleres
para
la
reparacin
para
sistemas
No se piensa en las facilidades para

su
elaboracin
El sistema es muy simple de usar

de Se apela el cartel o la adjudicacin.
mantenimiento de los mismos.
16
compleja
el cliente
No existe gua de usuario para el uso Se
omiti
Se adquiere equipo sin que existan

15
Mentalidad
Negligencia administrativa.
Elaboracin
especificaciones
Versiones de software para desarrollo

y produccin diferentes.
incorrectas
Aceptacin de un modelo diferente

No
se
solicita
en
las
especificaciones
de
compra
El proveedor es representante nico

en el pas
Se
obtuvieron
Trabajar directamente en equipos de del

produccin.
de
ambiente
de
passwords
produccin
Se autoriza realizar trabajo en este

ambiente
No
se
han
actualizado
El soporte en Costa Rica no es el

mejor
No contar con la metodologa y

18
procedimientos necesarios para la No ha sido prioritario su desarrollo.

administracin de los cambios.
No se respetan las polticas definidas
19
Libertad en el uso de componentes No se tienen las herramientas

tecnolgicos (software libre).
necesarias
instalacin
para
controlar
su
No
20
21
22
Instalacin de parches sin seguir las los

recomendaciones del proveedor.
control
parches
autorizados
No se revisa la documentacin del
sobrepasan la capacidad instalada No se considera el recurso humano
contar
con
los
recursos
necesarios para cumplir con los

disponible
Fallas de hardware y software
superan
Se
el
estimado
daan
necesarias
No
se
26
herramientas
tiene
presupuesto.
No existe contrato de mantenimiento Se encuentra en periodo de garanta.
servicios de terceros que implica que responsables
definido
por
stos no cumplan satisfactoriamente Administracin
de
contrato.
contratos
no
los requerimientos del negocio.

adecuada.
Incumplimiento de las polticas No se gestiona con base en las
definidas por las partes.
polticas definidas
Servidores
d
27
realizado
las
Est en trmite.
Debilidad en la administracin de No
se
han
25
sobre
aceptados que faciliten la gestin.

niveles.
Definicin de niveles de servicio que No se realiza el anlisis de capacidades
No
24
tiene
proveedor
Ausencia de niveles de servicio No hay acuerdos de servicios de
de TI.
23
se
ocasionalmente
d
Servidores ocasionalmente saturados

Ataque a los componentes de la red
Sistema consume muchos recursos
(AB,CPU)
La
28
No
hacer
planeamiento
de
actividad
la del
capacidad.
no
plan
es
parte
de
gestin
No se tiene la capacidad para

realizarlo
No se planificaron las compras
Los recursos de la infraestructura con

29
base
tecnolgica no son suficientes para de

atender las demandas de servicios.
al
la
crecimiento
infraestructura
Se da un crecimiento en recursos no
planificado
Procedimiento
30
Recuperacin de software no es recuperacin

factible
incorrecto
No se cuenta con el recurso para

recuperarlo
Fallas
en
31
para
el
proveedor
equipo
del
del
servicio
Se dao un componente interno

Deficiencias en la administracin
Impericia
humana
32
Fallas
en
los
equipos
comunicaciones
de Alteracin
Se
del
sistema
dao
elctrico
el
equipo
Sabotaje
Impericia
33
Fallas
en
los
servidores El
(computadores principales)
Se
humana
equipo
alter
se
la
dao
configuracin
Alteracin del sistema elctrico

Se libera el equipo de algunas
polticas
34
se
de
trasladan
seguridad
a
una
cuando
Institucin
La instalacin de componentes no
es controlada en algunos casos
Ausencia de controles cruzados

35
que comprueben la integridad de

la informacin y el funcionamiento
correcto de las aplicaciones.
Errores en la creacin de usuarios
36
y en la asignacin de privilegios de
acceso.
Sistemas
37
38
39
40
sin
mecanismos
No
se
Los
controles
programaron
programados
son
dbiles
No
se
tiene
el
conocimiento
necesario para realizar la funcin

Se desconoce la cobertura autorizada
para cada privilegio

de No se realizaron
las
pruebas
trazabilidad de transacciones (pistas completas sobre el sistema que se

de auditora).
puso en produccin
No se conocen los costos asignados No se tiene un modelo de costos
a los servicios prestados por TI.
No se maneja contabilidad de costos
No se cuenta con un proceso de
No se tienen los insumos necesarios
anlisis para mejorar los costos que
No ha sido prioritario
estn asociados a los servicios de TI.
El personal no cuenta con el Las
cargas
de
trabajo
tiempo suficiente para recibir, de no
estn
balanceadas
manera completa, la capacitacin No se tiene un plan de capacitacin

correspondiente.
autorizado
El personal no cuenta con las
actitudes y aptitudes requeridas
41
para hacer uso de la informacin

por
medio
de
las
soluciones
automatizadas.
La capacitacin que se brinda a los
42
usuarios no es efectiva para que

puedan utilizar eficientemente los
recursos informticos disponibles.
La utilizacin del sistema es compleja

No se tiene cultura informatizada
El instructor no tiene facilidad para

la transferencia de conocimientos
La capacitacin no fue prctica
43
44
45
46
47
No se cuenta con presupuesto para No
se
disear e implementar programas las
partidas
presupuestaron
necesarias
de capacitacin para los usuarios.

Se recort la partida presupuestaria
No contar con una respuesta
Personal
no
capacitado.
oportuna y efectiva para las consultas
Desinters por el usuario final.
de los usuarios de TI y a la atencin
Saturacin de consultas.
de los incidentes.
No se aprueba la solucin
Las soluciones que se aplican, ante
por
parte
del
usuario
los incidentes reportados por los
El tcnico carece del conocimiento
usuarios, no son efectivas.
necesario
No
se
han
divulgado
Los usuarios no estn informados
los
procedimientos
para
sobre los procedimientos que se
realizar
los
reportes
deben seguir para reportar los
Los usuarios han estado fuera de la
incidentes.
institucin por meses
No se cuenta o no se aplica el Se
presentan
solicitudes
procedimiento
definido
para
la de
un
nivel
superior
asignacin, atencin y seguimiento Se atienden incidentes no registrados

de los incidentes.
en el sistema
No se realiza una adecuada gestin El sistema no genera la informacin
48
de mtricas sobre los incidentes necesaria para generar las mtricas

reportados y atendidos.
49
No se dispone del tiempo necesario

No
se
tiene
un
sistema
Se realizan cambios operativos que para

no se reflejan en la documentacin.
control
de
cambios
Se realizan cambios sin que exista la

documentacin formal
Se
50
realizan
cambios
en
la
configuracin de componentes de la
infraestructura y no se reflejan en la
documentacin.
Los cambios se realizan bajo presin

No existe un sistema para control de
cambios
No se conoce el impacto de hacer

51
cambios en los componentes de la

configuracin.
No se tiene el ambiente completo

para
pruebas
Urga
la
preliminares
correccin
de
la
configuracin
No se aplica el procedimiento Se brindan soluciones sin que
52
oficializado
para
la
gestin
de se realice la gestin requerida
problemas.
53
Urge la solucin del problema

No
es
costumbre
No se documentan las soluciones informtico

aplicadas a los problemas.
de accin de los proveedores para la

solucin de problemas.
Alteracin
55
prdida
realizarlo
No se aplican sanciones por la
Hay dificultad para definir el mbito

54
del
de
omisin
No
se
definieron
reglas
contractuales
claras
Los proveedores se trasladan el

problema
Violacin
de
la
la Programa
con
fallas
seguridad
de
lgica
informacin registrada en base de Recuperacin de la base de datos

datos o equipos.
con un respaldo desactualizado

Fallas en disco no perceptibles
Registro de datos incorrecta
56
57
Informacin
desactualizada
o Falla
incorrecta.
Acceso
no
en
el
Webservices
Desconocimiento del sistema por
autorizado
la
informacin.
parte del personal usuario

Se
comparte
password
entre
el
usuarios
Violacin de la seguridad
Instalaciones fsicas mal diseas que Estructura vieja no pensada para TI.
58
pongan en peligro la integridad del No

equipo de cmputo y del personal.
es
importante
administracin.
para
la
59
60
61
Acceso no autorizado al centro de

cmputo.
63
64
el
medio
ambiente
de otros
No se tiene el presupuesto necesario
para la operacin de TI (UPS, Aire Suministro
generacin de respaldos.
No efectuar un monitoreo constante

sobre la operacin de la plataforma.
Suspensin de servicios sin seguir el
procedimiento establecido.
peridicamente el desempeo actual
energa
elctrica
cintas
para
inapropiado
Falta
de
los
respaldos
Dao en los equipos para toma de

respaldos
Exceso
de
estabilidad
seguridad
de
la
por
plataforma
No se tienen todas las herramientas

Iniciativas
para
suspensin
de
servicios
sin
colegiarlas
La suspensin es urgente
No existe sistema para evaluacin
del desempeo.
Modificaciones
No percibir los cambios que se inciden

realizan en el entorno.
de
preventivo
de
No aplicacin de las polticas para la generar
y la capacidad de los recursos de TI.
66
contrato
apropiado mantenimiento
No contar con un proceso para revisar

65
Personal autorizado facilita el ingreso
para comprarlo
Fallas en los equipos que mantienen No
existe
acondicionado)
62
Administrador del CC lo permite
en
legales
el
que
desarrollo
Cambios tecnolgicos en el entorno

que afectan el desarrollo
Utilizacin de indicadores sobre

el desempeo de TI que no son
67
relevantes y que no colaboran en la No se realiz un anlisis de los

identificacin de oportunidades de indicadores que se requieren en TI
mejora en los procesos importantes
de TI.
No contar con un programa de
68
control interno efectivo para TI

que incluya auto-evaluaciones y
revisiones por parte de terceros.
69
70
No contar con la documentacin de

los procesos de TI.
No
se
tienen
directrices
No hay planificacin para llevar a

cabo el auto control
La documentacin no fue actualizada
No se tiene manual para Gobierno
Corporativo
En equipo de usuario final las
polticas
no
estaban
aplicadas
Se emite una autorizacin temporal
para pruebas
Exceder la cantidad de usuarios El software permite exceder la cantidad
71
autorizados para utilizar un producto No se tiene control sobre los usuarios

licenciado.
72
73
74
Facilitar los medios para la instalacin

de software a terceros.
instalados
Se viol la seguridad para trasladar
medios de instalacin de software
Desconocimiento contractual
Se
modifica
la
estrategia
Contar con un plan estratgico no y
no
se
comunica
alineado a la estrategia institucional. Se desarrollan sistemas que no

Se
tiene
desactualizado.
Plan
responden a la estrategia institucional

Estratgico No se tiene un administrador del
PETIC.
No contar con un modelo de

informacin
75
del
negocio
que
sea utilizado en la creacin y

actualizacin de los sistemas de
76
77
informacin.
Arquitectura
de
No se tienen los recursos para

elaborarlo
informacin No se tiene un administrador de la
desactualizada.
arquitectura
No se diseo
Arquitectura de informacin no
responde a la cadena de valor.
de
a
la
informacin
la
arquitectura
con
base
de
valor
cadena
Se construy primero la arquitectura

de informacin
Se
instalan
78
Adquisicin de tecnologas que no con

aportan valor a la organizacin.
no
cuenta
con
contratos
de
mantenimiento.
No aplicacin de los canales de
80
comunicacin
establecidos
para
informar sobre la gestin de TI.
81
82
adquirido
Se venci
se
tiene
contratar
convenios
canales de comunicacin.
No se tiene dominio sobre las
la
garanta
Facilidad
presupuesto
el
de
no
para
mantenimiento
No se autoriza el gasto
Problemas
de
gestin
canales
de
comunicacin no incluidos en los

canales formales
Funcionan
muy
No se tienen documentados los los
herramientas en uso.
Se incluyen como parte del software
Contar con equipo costoso que

79
base
tecnologas
canales
bien
informales
No se han documentado los canales

informales
El personal no fue capacitado
La
transferencia
funcion
tecnolgica
no
Equipo
83
de
trabajo
baja
motivacin, poco creativo y no Clima
laboral
no
adecuado
comprometido con el logro de los Se desconocen los objetivos

objetivos.
Contar con
un
administracin
84
con
sistema
de
la
de
calidad Falta
de
experiencia
deficiente en la definicin y aplicacin administracin

de
procesos
de
la
en
la
calidad
procedimientos No existe existen directrices para
para el desarrollo de las TIC en la administrar la calidad

institucin.
Desarrollar
85
productos
que
cumplen con los requerimientos de

calidad.
86
88
89
90
Ausencia
de
de
validacin
requerimientos
Omisin de pruebas de calidad

Incumplimiento de plan de calidad
No
existe
la
administracin

Utilizar
87
no
un
marco
de
basada
en
riesgos
No se tienen los recursos necesarios

trabajo No
se
ha
brindado
la
deficiente para la gestin de riesgos, capacitacin
necesaria.
y no alineado con el apetito del riesgo No existe la administracin basada

institucional.
en riesgos.
El personal no est capacitado
No se ha brindado la capacitacin
adecuadamente para realizar una
necesaria.
gestin efectiva de los riesgos.
Elaboracin
de
No contar con el contenido
presupuesto
incorrecto.
presupuestario para la ejecucin de
No
presupuestar
proyectos.
los proyectos.
Recorte presupuestario.
Inestabilidad en el equipo de Reduccin
de
personal.
proyecto.
Clima laboral inadecuado.
Aceptar proyecto que no han sido

91
92
Desarrollo de proyectos no alineados

al Plan Estratgico
Los
proyectos
contar
D e s c o n o c i m i e n t o
del
no
estn
documentados
No
validados contra el Plan Estratgico.

Plan
Estratgico.
Es obligatorio desarrollarlo.
El personal omite la documentacin
La
documentacin
existente
es
omisa
con
un
marco
de
referencia para la gestin de los

93
proyectos en cuanto a su iniciacin, No hay metodologa oficial para la

planificacin,
ejecucin,
control gestin de proyectos.
y cierre, o aplicar ese marco de

referencia deficientemente.
94
95
Exceder el tiempo planificado para

la ejecucin de los proyectos.
Planificacin
no
adecuada
Modificacin en los requerimientos

Reduccin de recursos
Falta de apoyo del patrocinador del No se tiene inters en el proyecto

proyecto.
No hay personal disponible
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente.
Como fue definido anteriormente, la calificacin se realiza utilizando dos criterios
primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
se deriva el nivel de exposicin (P * I) y la severidad de los riesgos (se utiliza la escala

de colores del mapa trmico para su representacin):
Id
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Riesgo
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Versiones de software para desarrollo y produccin diferentes.
libre).
proveedor.
gestin.
2
3
1
1
3
5
3
3
4
4
4
4
3
5
4
4
8
12
4
4
9
25
12
12
12
3
4
4
4
12
16
12
22
23
Definicin de niveles de servicio que sobrepasan la capacidad

instalada de TI.
12
24
25
que implica que stos no cumplan satisfactoriamente los
26
27
28

3
3
3
3
3
3
9
9
9
12
29
30
31
32
33
34
35
36
37
38
39
40
41

2
3
4
4
8
12
10
2
4
5
3
10
12
integridad de la informacin y el funcionamiento correcto de
12
12
las aplicaciones.
No se conocen los costos asignados a los servicios prestados
por TI.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.

42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
para que puedan utilizar eficientemente los recursos

las consultas de los usuarios de TI y a la atencin de los
incidentes.
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
No se cuenta o no se aplica el procedimiento definido para la
asignacin, atencin y seguimiento de los incidentes.
documentacin.
Se realizan cambios en la configuracin de componentes de
la infraestructura y no se reflejan en la documentacin.
No se aplica el procedimiento oficializado para la gestin de
problemas.
No se documentan las soluciones aplicadas a los problemas.
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
12
12
12
20
3
3
4
5
12
15
60
61
62
63
64
65

No aplicacin de las polticas para la generacin de respaldos.
la plataforma.
establecido.
66

67
no son relevantes y que no colaboran en la identificacin de
15
12
12
oportunidades de mejora en los procesos importantes de TI.

68
TI que incluya auto-evaluaciones y revisiones por parte de
69
70
terceros.
Exceder la cantidad de usuarios autorizados para utilizar un
2
2
3
3
6
6
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
16
74
institucional.
16
75
sea utilizado en la creacin y actualizacin de los sistemas
76
de informacin.
12
71
72
73
77
78
valor.
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95

mantenimiento.
No se tienen documentados los canales de comunicacin.
deficiente en la definicin y aplicacin de procesos y
Desarrollar productos que no cumplen con los requerimientos
de calidad.
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
de los proyectos.
No contar con un marco de referencia para la gestin de
los proyectos en cuanto a su iniciacin, planificacin,
deficientemente.
proyectos.
P = Probabilidad, I = Impacto, S = Severidad
2
3
2
4
4
12
12
16
16
16
10
2
4
3
3
6
12
16
16
12
16
Mapas trmicos riesgos absolutos

Infraestructura
5
32, 33
31,
Impacto
61
49,
50, 51
14
7, 27
10
2
1
1
Probabilidad
Seguridad y control
5
Impacto
5, 6,
57
53
30, 35, 55
4, 9, 18, 36,
37, 56, 62
17, 84, 86,

87
47, 54, 58,

68, 70, 71
16, 19, 20,

26, 52, 59,
60, 63, 72,
15, 34
1
1
Probabilidad
Suministro de servicios
5
Impacto
4
3
2
45
29, 82, 83
23, 40, 41,
11, 12, 21,
43, 46
38, 44, 64
92, 93
94
42
1
1
Probabilidad
Impacto
Insercin tecnolgica (Gestin)

5
89
2, 3,
67, 76
22, 66, 69,
1, 13, 25,
77, 78, 79,
28, 39, 48,
3
2
73, 74,95
91,
81
1
1
Probabilidad
Identificacin de controles
Id

Adquisicin
de
Controles
Se realiza un diagnstico sobre
soluciones las
automatizadas que no satisfagan de

necesidades
factibilidad
adquirir
la
solucin.
Se le da participacin del usuario

para validar las necesidades.
Pruebas
de
productos
Desarrollar
productos
que
no basadas
cumplen con las especificaciones.
en
casos
de
uso.
Aprobacin de fases de anlisis y

diseo para comprobar el alcance.
Utilizar
3
casos
Desarrollar productos basados en especificar

requerimientos incorrectos.
de
los
uso
para
requerimientos.
Validacin y aprobacin de los

requerimientos por el patrocinador.
Por medio de los contratos de
mantenimiento
Versiones
de
software
desactualizadas.
se
planifican
aplican actualizaciones del software.

Se
estableci
que
todos
la
los
directriz
equipos
para
estn
estandarizados en cuanto a las
Adquirir software sin programas

fuentes.
versiones del software.

Como parte de los carteles de
licitacin se solicitan todos los
programas fuente.
La presentacin del software en el
Adquirir software que no tiene pas es requisito de admisibilidad

representacin en el pas.
Equipo daado no puede ser

reparado.
de los procesos de contratacin

administrativa.
Mantener vigentes los contratos de
mantenimiento para los equipos.
Contar con equipos de respaldos.
Se utiliza un esquema de
seguridad
para
acceso
la
restringir
red
el
inalmbrica.
La red inalmbrica existente entre

el estacionamiento y el edificio
principal est totalmente separada
de la red institucional.
Se cuenta con planta de diesel y UPS.

Est restringido el acceso al Centro
9
Dao fsico en los equipos de la de Cmputo. Se ha dispuesto una

plataforma tecnolgica.
cmara de seguridad en la puerta.

Se
cuenta
con
sensores
de
temperatura y humedad.
Plan de renovacin y fortalecimiento
10
Obsolescencia de la infraestructura de la infraestructura tecnolgica.

tecnolgica.
Planificacin de adquisiciones con
Desarrollo de sistemas y servicios

11
que son difciles de utilizar para el

usuario.
12
13
14
los
productos
constante
de
desarrollados.
Revisiones de los productos por

parte de los clientes.
Se incluye informacin en lnea para
No existe gua de usuario para el

uso del sistema.
Retrasos
anticipacin.
Supervisin
en
cada opcin del sistema de modo

que el usuario no necesite el manual.
Se desarrollan tutores virtuales sobre
los
procesos
contratacin administrativa.
de
la utilizacin de los sistemas.

Se revisan previamente los carteles
para validar que estn redactados
de forma clara y precisa.

Se adquiere equipo no compatible Revisin de los carteles. Adquisicin
con la infraestructura en uso.
de tecnologa de arquitectura abierta.

Es un requisito de admisibilidad,
Se adquiere equipo sin que existan dentro de los procedimientos de

15
talleres
para
la
reparacin
mantenimiento de los mismos.
y contratacin administrativa, que los

potenciales oferentes cuenten con el
respectivo taller de servicio.
Se
16
17
Trabajar directamente en equipos

de produccin.
Versiones
de
cuenta
servidor
de
desarrollo.
puesta en produccin de los nuevos
software
para
desarrollo y produccin diferentes.
programas.
Aplicacin del procedimiento para
la puesta en produccin de los
programas nuevos y modificados.
Se
han
definido
y
funciones.
procedimientos necesarios para la Se cuenta con un procedimiento

para aplicar los cambios en los

sistemas de informacin.
Definicin
y
aplicacin
polticas
19
un
Aplicacin del procedimiento para la
No contar con la metodologa y responsabilidades

18
con
Libertad en el uso de componentes el

tecnolgicos (software libre).
uso
institucionales
de
estndar
de
sobre
software
autorizado
para
institucin.
la
Los perfiles de usuario no tienen

autorizacin para instalar software.
Se
revisan
las
indicaciones
20
Instalacin de parches sin seguir las de

recomendaciones del proveedor.
los
proveedores.
Los parches se aplican primero en

equipo de prueba.
Se utiliza un software para gestionar
21
Ausencia de niveles de servicio las solicitudes de servicio pero los

aceptados que faciliten la gestin.
tiempos de respuesta esperados no

estn acordados.
Anlisis del PAO y portafolio de

Definicin de niveles de servicio que proyecto en conjunto con la Gerencia
22
sobrepasan la capacidad instalada de Divisin tomando en cuenta

de TI.
No
23
contar
las cargas de trabajo y el personal

con
los
actual.
recursos Se cuenta con equipo renovado
necesarios para cumplir con los que presenta niveles aceptables de

estabilidad.
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
24
No existe contrato de mantenimiento Ejecucin
del
programa
de
capacitacin (de acuerdo con el
Debilidad en la administracin de
25
servicios de terceros que implica que

stos no cumplan satisfactoriamente
los requerimientos del negocio.
26
Incumplimiento de las polticas

definidas por las partes.
disponible presupuestario).
En el rea de infraestructura se
realiza un seguimiento peridico
de
los
contratos
el
cumplimiento
de
validar
derechos
adquiridos por la institucin.

Se analizan las clusulas de los
contratos y se giran las instrucciones
del caso.
Monitoreo de los servicios para
determinar
27
para
cargas
de
trabajo.
Balanceo de cargas de trabajo

(distribucin de funciones entre los
servidores).
Antes
de
liberar
un
nuevo
servicio se realizan proyecciones

sobre
las
requeridas
28
capacidades
y
disponibles.
No hacer planeamiento de la Una vez al ao se realiza un ejercicio

capacidad.
para valorar la capacidad instalada

y
las
proyecciones
de
nuevos
requerimientos; esto se hace como

insumo para el Plan de Compras
Los recursos de la infraestructura

29
tecnolgica no son suficientes para

atender las demandas de servicios.
30
Institucional.
Se planifica
tecnologa
la
adquisicin
de
para
mantener
la
capacidad de procesamiento de
informacin.
Revisin de los respaldos generados.
Recuperacin de software no es Se cuenta con equipos que se

factible
pueden utilizar, ante contingencias,

para reestablecer los servicios.
Se cuenta con una red moderna
31
que da estabilidad en la operacin

interna.
Contratos
32
Fallas
en
los
equipos
comunicaciones
de
mantenimiento.
de Equipo de contingencia y aplicacin

de respaldos de acuerdo con las
polticas definidas.
Contratos
de
mantenimiento.
33
Fallas
en
los
servidores Equipo de contingencia y aplicacin
(computadores principales)
de respaldos de acuerdo con las

polticas definidas.
Aplicacin
polticas
34
de
de
seguridad
por
medio
de
Active
Directory.
Perfiles
de
usuarios
limitados
software
para
automtica
instalar
modificaciones
en
el
hacer
equipo.
Los equipos se encuentran en garanta.

A los equipos se les ha aplicado el
Service Pack recomendado por el
proveedor.
Ausencia de controles cruzados
35
que comprueben la integridad de

la informacin y el funcionamiento
correcto de las aplicaciones.
Por medio del Centro de Operaciones

se revisa la calidad de la informacin
en sistemas clave.
El personal que tiene a cargo la
Errores en la creacin de usuarios

36
y en la asignacin de privilegios de
acceso.
Sistemas
37
trazabilidad
capacitado para estas funciones.

Como
parte
del
desarrollo
de
proyectos se deben definir los roles

sin
mecanismos
de
y una descripcin.
de Se ha definido la utilizacin de pistas
transacciones como parte de los estndares de
38
implementacin de la seguridad est
programacin. Se utiliza el LogMiner.

Se debe mejorar el registro de costos
No se conocen los costos asignados asociados a cada servicio para

contar con informacin precisa en
este sentido.
No se cuenta con un proceso de Se debe mejorar el registro de costos
39
anlisis para mejorar los costos que asociados a cada servicio para
estn asociados a los servicios de contar con informacin precisa en
TI.
este sentido.
El personal no cuenta con el Se informa con anticipacin a las

40
41
tiempo suficiente para recibir, de jefaturas sobre las actividades de

manera completa, la capacitacin capacitacin para que se tome en
correspondiente.
cuenta en la asignacin de trabajos.
El personal no cuenta con las
Peridicamente, por medio del
actitudes y aptitudes requeridas
Centro de Capacitacin, se realizan
para hacer uso de la informacin
charlas para fomentar la cultura
por medio de las soluciones
informtica en la institucin.
automatizadas.
Se preparan guas para la
La capacitacin que se brinda a los
42
usuarios no es efectiva para que

puedan utilizar eficientemente los
recursos informticos disponibles.
capacitacin que sirva de apoyo

a los estudiantes e instructores.
Se
preparan
Se
seleccionan
tutores
los
virtuales.
instructores
buscando personal con facilidad de

expresin.
Se est fomentando el uso de
No se cuenta con presupuesto para capacitacin virtual que reduce

43
disear e implementar programas significativamente los costos. Para

de capacitacin para los usuarios.
esto se ha equipado al Centro de

Capacitacin.
Utilizacin de un software para
No contar con una respuesta

44
oportuna
efectiva
para
las
consultas de los usuarios de TI y a

la atencin de los incidentes.
automatizar
la
presentacin
de
los incidentes, la asignacin y

el
seguimiento
correspondiente.
Manejo de niveles de prioridad por

procesos y usuarios crticos para la
institucin.
Se da capacitacin a los tcnicos

Las soluciones que se aplican, ante en
45
Los usuarios no estn informados

sobre los procedimientos que se
deben seguir para reportar los
incidentes.
No se cuenta o no se aplica el
47
procedimiento definido para la

asignacin, atencin y seguimiento
de los incidentes.
No se realiza una adecuada gestin

48
de mtricas sobre los incidentes

reportados y atendidos.
49
nuevos
productos.
los incidentes reportados por los Se solicita al usuario que firme

usuarios, no son efectivas.
46
los
la solicitud de servicio cuando el

trabajo est concluido.
Por medio del correo electrnico
frecuentemente se envan mensajes
a los funcionarios recordndoles
polticas y procedimientos en materia
de TI.
Se cuenta
para
El
con
gestionar
personal
las
de
instrucciones
procedimiento.
un
un
funcionario
la
claras
Se
software
solicitudes.
USTI
sobre
cuenta
responsable
tiene
el
con
del
seguimiento.
Se aplican encuestas a los usuarios
para conocer su nivel de satisfaccin
y sus recomendaciones para mejorar
el servicio prestado.
Documentacin
Se realizan cambios operativos que procesos
de
los
operativos.
no se reflejan en la documentacin. Actualizacin de guas de trabajo

cuando se realizan cambios.
Se implement una bitcora donde

Se
50
realizan
cambios
en
la
configuracin de componentes de
la infraestructura y no se reflejan en
la documentacin.
realizados en la configuracin de TI.

Parte del procedimiento, para la
aplicacin de los cambios, es la
actualizacin de la documentacin

51
se registran todos los cambios
cambios en los componentes de la

configuracin.
correspondiente.
Se tiene documentada la relacin de
componentes de TI necesarios para
la implementacin y funcionamiento
de los servicios clave.

No se aplica el procedimiento Se tiene que oficializar y aplicar
52
oficializado para la gestin de el proceso para la gestin de

problemas.
53
No se documentan las soluciones

Hay dificultad para definir el mbito
54
de accin de los proveedores para

la solucin de problemas.
problemas.
Se est elaborando el documento
para la documentacin, el proveedor
si lo realiza por obligacin contractual
Se especifica claramente, en los
carteles de los procedimientos, las
responsabilidades de los proveedores
y los servicios requeridos.
Peridicamente
revisan
Alteracin
55
prdida
de
la
informacin registrada en base de

datos o equipos.
los
se
respaldos.
Se tienen definidos roles de acceso

por usuario y se revisa que no exista
conflicto en los roles asignados.
Se revisan los programas, con
mucho detalle, antes de ponerlos en
produccin.
Se
revisa
del
56
Informacin
desactualizada
incorrecta.
Se
de
la
la
cdigo
cre
la
generado.
una
CGR
gestin
de
calidad
dependencia
especializada
la
en
informacin.
Se brinda asesora y capacitacin

constante a los usuarios.
Se han definido polticas de TI con
responsabilidad para los usuarios.
57
Acceso
no
autorizado
la
informacin.
Se
ha
esquema
implementado
automtico
para
un
que
los usuarios cambien sus claves.

No se gestionan claves por medios
informales de comunicacin.
Las instalaciones tienen puertas
Instalaciones fsicas mal diseas con control de acceso restringido.

58
que pongan en peligro la integridad En el ao 2005 se acondicionaron

del equipo de cmputo y del los sitios de trabajo para tener ms
personal.
59
60
Acceso no autorizado al centro de

cmputo.
Fallas en los equipos que mantienen
61
el medio ambiente apropiado para

la operacin de TI (UPS, Aire
acondicionado)
visibilidad y fomentar el trabajo en

equipo.
Se cuenta con acceso restringido
(por tarjeta) y cmaras de vigilancia.
Se tiene una bitcora de acceso.
Est pendiente por restricciones de
presupuesto.
Se han realizado revisiones de la
instalacin elctrica. Se cuenta con
planta y UPS.
Definicin
de
62
No aplicacin de las polticas para

la generacin de respaldos.
de
contingencia
generacin
El
procedimiento
para
de
personal
la
respaldos.
responsable
debe
informar cuando se presenta alguna

dificultad en la generacin de los
respaldos.
Se
cuenta
para
63
No efectuar un monitoreo constante Se
con
herramienta
monitorear
cuenta
sobre la operacin de la plataforma. monitorear
la
red.
con
software
los
servidores
para
de
aplicaciones, bases de datos y

sistemas.
Bitcoras
64
Suspensin de servicios sin seguir

el procedimiento establecido.
de
configuracin
de
servicios.
procedimientos
cambios
y
Se
en
la
suspensin
han
definido
instruido
al
la
definicin
personal.
No
65
para
contar
revisar
con
un
proceso
peridicamente
el
desempeo actual y la capacidad

de los recursos de TI.
Est
pendiente
oficializacin del procedimiento para

realizar esta actividad.
La
institucin,
por
medio
de
Estrategia Institucional, mantiene

66
No percibir los cambios que se un monitoreo constante sobre los

realizan en el entorno.
cambios en el entorno. Se encarga

de reflejarlos en los planes de
trabajo.

67
relevantes y que no colaboran en la Se debe mejorar la definicin y

identificacin de oportunidades de anlisis de indicadores de TI.
de TI.
No contar con un programa de
68
control interno efectivo para TI

que incluya auto-evaluaciones y
revisiones por parte de terceros.
Se realizan las auto evaluaciones

solicitadas en la Ley General de
Control Interno.
Se cuenta con descripcin de
69
No contar con la documentacin de procesos

los procesos de TI.
procedimientos.
Los procesos se describen en el plan

de TI.
Los perfiles
70
de
usuario
tienen
restriccin para la instalacin de

software.
Se lleva el inventario de licencias
Exceder la cantidad de usuarios

71
autorizados
para
utilizar
un
72
Facilitar
los
medios
adquiridas y licencias instaladas.

Los usuarios no tienen autorizacin
para instalar software (se restringe
por perfil de usuario en Active
para
la
instalacin de software a terceros.
Directory).
Se ha instruido, sobre el tema, al
personal de Servicio al Cliente que
tiene a cargo la gestin de medios.
El ejercicio para la definicin del

Plan Estratgico y sus posteriores
revisiones
73
Contar con un plan estratgico no

alineado a la estrategia institucional.
se
participacin
de
todas
realizan
de
con
la
representantes
las
Divisiones.
Se cuenta con el apoyo y seguimiento

del Despacho de las Srs. Contraloras
sobre el uso de las tecnologas de
informacin.
El Plan Estratgico
74
Se
tiene
Plan
se
revisa
Estratgico anualmente y se ajusta cuando se
desactualizado.
realizan cambios en la planificacin
estratgica institucional.
No contar con un modelo de El modelo de informacin est
informacin
75
del
negocio
que documentado a nivel de las bases
sea utilizado en la creacin y de datos y se cuenta con una

actualizacin de los sistemas de aplicacin automatizada que genera
informacin.
76
77
78
Arquitectura
los informes.
Se design un funcionario para
de
informacin
desactualizada.
Arquitectura de informacin no
responde a la cadena de valor.
Adquisicin de tecnologas que no
aportan valor a la organizacin.
que conozca la informacin de la

institucin y valide los proyectos pero
no se han establecido los controles
documentales del caso.
Se deben mejorar la documentacin
de la arquitectura de la informacin
en funcin de la cadena de valor.
Se revisan las caractersticas de
los productos de acuerdo con las
necesidades de la institucin.
Contar con equipo costoso que

79
no
cuenta
con
contratos
de
mantenimiento.
comunicacin establecidos para

informar sobre la gestin de TI.
81
82
tiene
un
renovacin
plan
de
de
equipo.
Dentro del presupuesto se reservan

las partidas correspondientes.
Peridicamente
se
realizan
No aplicacin de los canales de

80
Se
reuniones informativas con todo el

personal de la USTI. Igualmente se
mantiene informado al Despacho
sobre la evolucin de los proyectos y
la operativa de TI.
No se tienen documentados los Est pendiente de documentarse los
canales de comunicacin.
canales formales.
Desarrollo peridico del Diagnstico de

Necesidades de Capacitacin (DNC).

Ejecucin
del
programa
de
capacitacin (de acuerdo con el

disponible presupuestario).
Se realizan dos evaluaciones
Equipo
83
de
trabajo
con
baja
motivacin, poco creativo y no

comprometido con el logro de los
objetivos.
de
clima
laboral
por
Comunicacin
sobre
y
los
planes
compromisos
ao.
constante
de
de
trabajo
gestin.
Gestin orientada al logro de los

objetivos.
Estn definidos los estndares y

Contar
con
un
administracin
84
deficiente
y
sistema
de
en
aplicacin
la
la
de
de
calidad
definicin
procesos
procedimientos para el desarrollo

de las TIC en la institucin.
Desarrollar
85
productos
procedimientos que se deben aplicar

en el desarrollo de los productos.
Se
realizan
cumplimiento
no
cumplen con los requerimientos de

calidad.
de
alcance.
errores antes de liberar versiones

o
actualizadas
de
los
productos de software.
Aplicacin
de
estndares
procedimientos
Capacitacin
de
del
Anualmente
calidad.
personal
tcnicas de calidad.
Se
cuenta
con
contra
86
de
Se aplican pruebas para identificar

nuevas
que
revisiones
un
en
plan
contingencias.
se
realiza
un
ejercicio de valoracin de riesgos.

Se aplican los instrumentos definidos
para el cumplimiento del SEVRI
Utilizar
87
un
deficiente
marco
para
de
la
trabajo
gestin
de
riesgos, y no alineado con el apetito
Se aplican las indicaciones del SEVRI.

Se realizan auto evaluaciones de
riesgos a nivel de procesos.

del riesgo institucional.
El personal no est capacitado Se utilizan las instrucciones definidas
88
adecuadamente para realizar una dentro del marco orientador del

gestin efectiva de los riesgos.
No
89
contar
con
el
contenido
presupuestario para la ejecucin de

los proyectos.
SEVRI.
Exposicin de la importancia de
los
proyectos
en
la
Asamblea
Legislativa para darles prioridad.

Recurrir a cooperacin internacional.
Documentacin de los proyectos.

90
Inestabilidad en el equipo de Divulgacin

proyecto.
del
dentro
proyecto
del
equipo.
Desarrollo de talleres
Planificacin
de
91
Desarrollo de proyectos no alineados de acuerdo con el PAO y la

al Plan Estratgico
aprobacin del Gerente de Divisin

Organizacional.
Verificacin
de
92
Los
proyectos
no
estn
documentados

proyectos en cuanto a su iniciacin,
planificacin,
ejecucin,
control

94
proyectos
Exceder el tiempo planificado para

la ejecucin de los proyectos.
que
cumplen
metodologa
Validar
No contar con un marco de
93
proyectos
los
con
la
correspondiente.
el
cumplimiento
de
estndares.
Se cuenta con una metodologa
oficializada
de
para
proyectos
de
la
gestin
la
aplicacin
cual
es
obligatoria.
Capacitacin sobre el tema para

los directores de proyecto y los
ingenieros de la USTI.
Seguimiento
frecuente
los
proyectos
Reasignacin
Fortalecer
los
de
(por
semana).
de
recursos.
ejercicios
de
planificacin.
Establecimiento
95
Falta de apoyo del patrocinador del

proyecto.
compromisos
Vinculacin
de
de
de
gestin.
Planes
Anuales
Operativos entre la USTI y unidades

usuarias.
Evaluacin de riesgos controlados

Id
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Riesgo
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Versiones de software para desarrollo y produccin diferentes.
libre).
proveedor.
gestin.
Definicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
1
2
4
4
4
4
8
4
3
3
4
3
3
6
4
6
2
3
4
6
4
4
4
4
1
1
1
2
23
24
25
que implica que stos no cumplan satisfactoriamente los
26
27
28
29

30
31
32
33
34

35
integridad de la informacin y el funcionamiento correcto de
36
37
38
39
40
41
las aplicaciones.
por TI.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
1
2
3
3
3
6
1
2
2
1
4
4
3
3
3
4
8
6
6
3

42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
para que puedan utilizar eficientemente los recursos

las consultas de los usuarios de TI y a la atencin de los
incidentes.
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
No se cuenta o no se aplica el procedimiento definido para la
asignacin, atencin y seguimiento de los incidentes.
documentacin.
problemas.
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
20
4
5
4
5
60
61
62
63
64
65

No aplicacin de las polticas para la generacin de respaldos.
la plataforma.
establecido.
66

67
12
1
1
3
3
3
3

68
TI que incluya auto-evaluaciones y revisiones por parte de
69
70
terceros.
Exceder la cantidad de usuarios autorizados para utilizar un
71
72
73
Facilitar los medios para la instalacin de software a terceros.
74
institucional.
75
sea utilizado en la creacin y actualizacin de los sistemas
76
de informacin.
77
78
valor.
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95

mantenimiento.
No se tienen documentados los canales de comunicacin.
deficiente en la definicin y aplicacin de procesos y
Desarrollar productos que no cumplen con los requerimientos
de calidad.
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
de los proyectos.
deficientemente.
proyectos.
P = Probabilidad, I = Impacto, S = Severidad
2
2
2
4
4
8
10
1
1
2
3
3
4
3
3
8
Mapas trmicos riesgos controlados

Infraestructura
Impacto
5
4
24, 49
31, 50, 51
7, 14, 27
10, 32, 33
61
2
1
Probabilidad
Seguridad y control
5
57
53
5, 6, 9, 16,
Impacto
17, 30, 36,
4, 18, 86,
55, 56, 62,
87
84
3
15, 19, 20,
8, 35, 59,
26, 34, 47,
63, 68, 72,
54, 58, 70
88
52, 60
37
1
1
Probabilidad
5
Impacto
29, 45, 83
82, 92, 93
40, 41, 43,
11, 21, 23,
44, 46
94
42
12, 64
38
1
3
Probabilidad
Insercin tecnolgica
5
Impacto
76, 89
2, 3, 73, 74
95
1, 22, 66,
13, 25, 28,
69, 78, 79,
48, 75, 77,
90, 91
85
80
81
67
39, 65
1
3
Probabilidad
Para facilitar el anlisis del nivel de riesgo de los procesos de TI se presenta en

siguiente cuadro en el cual se presentan los valores totales de cantidad de riesgos,
por cada proceso, en las evaluaciones de riesgos absolutos y riesgos controlados.
Posteriormente esta informacin se presenta en grficos y cuadros de porcentajes:
Proceso de TI
Infraestructura
Severidad
Extrema
Alta
Moderada
Baja
Total de riesgos
Seguridad y control Extrema
Alta
Moderada
Baja
Total de riesgos
Suministro
de Extrema
Alta
servicios
Moderada
Baja
Total de riesgos
I n s e r c i n Extrema
Alta
tecnolgica
Moderada
Baja
Total de riesgos
R. Absolutos
R. Controlados
1
10
1
0
12
7
22
8
0
37
2
11
0
4
5
3
12
1
6
19
11
37
0
4
0
19
3
15
9
0
27
6
19
0
6
12
9
27
En los siguientes grficos y cuadros se observa la evaluacin de los riesgos, segn

cada proceso de TI, tanto a nivel absoluto como a nivel controlado. De esta manera
se puede notar fcilmente el efecto de los controles en la distribucin de los riesgos
segn su severidad la cual est representada en lo grficos por los colores usados en
los mapas trmicos.
Riesgos de infraestructura
Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
8%
84%
8%
0%
Riesgos controlados
0%
33%
42%
25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos
identificados y relacionados con este proceso.
Riesgos se seguridad y control

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
19%
59%
22%
0%
Riesgos controlados
3%
16%
51%
30%
La mayor cantidad de riesgos identificados estn asociados con el proceso de

seguridad y control, de los 37 riesgos 7 estn en las categoras de severidad extrema
y alta por lo cual deben ser gestionados. Esos 7 riesgos representan el 19% de los
riesgos identificados. Es importante notar que en la valoracin de riesgos absolutos
la cantidad el porcentaje de riesgos clasificados en esa categora es de 78% lo cual
significa que la aplicacin de los controles colabor, de manera muy importante, para
reducir la cantidad de riesgos cuya severidad es extrema y alta.
Riesgos de suministro de servicios

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
57%
32%
0%
Riesgos controlados
0%
21%
47%
32%
En la calificacin de riesgos absolutos el 78% de los riesgos identificados (en total

19 para el proceso de suministro de servicios) se encuentran con calificacin de
severidad extrema o alta. En la segunda calificacin, considerando la aplicacin de los
controles actuales, en la calificacin de riesgos con severidad extrema se tiene 4%,
eso representa el 21% de los riesgos identificados para el proceso.
Riesgos de insercin tecnolgica

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
56%
33%
0%
Riesgos controlados
0%
22%
45%
33%
En cuanto al proceso de insercin tecnolgica se identificaron 27 riesgos, es el segundo

proceso en cantidad de riesgos identificados. De estos riesgos el 67% tienen una
calificacin absoluta con severidad extrema y alta. Despus de calificarlos, tomando
en cuenta la aplicacin de los controles actuales, este porcentaje baja a 22% que
corresponde a 6 riesgos con calificacin de severidad alta.
Valoracin del nivel de riesgo de los procesos

Es importante conocer la calificacin global de riesgo que tiene cada proceso tanto a
nivel en la calificacin de riesgos absolutos como de riesgos controlados; este valor se
obtuvo con el promedio de la calificacin de exposicin (impacto * probabilidad) para
los riesgos en cada proceso. Los resultados son los siguientes:
Proceso de TI
Infraestructura
Seguridad y control
Insercin tecnolgica
En promedio
Riesgos absolutos
Riesgos controlados
10.9
10.6
9.3
5.7
5.2
5.0
8.9
9.9
5.4
5.3
Se puede notar fcilmente que la calificacin de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura as como de seguridad y control
son los que tienen las calificaciones ms altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calificacin est entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados tambin la calificacin es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
insercin tecnolgica los que tienen las calificaciones mayores. Todos los procesos
tienen calificaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Segn ests calificaciones la situacin de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la
calificacin de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atencin:
Id
4
18
31
38
39
Versiones
de
Proceso de TI relacionado
software
desactualizadas.
Seguridad y control
procedimientos necesarios para la Seguridad y control

Infraestructura
No se conocen los costos asignados
No se cuenta con un proceso de
anlisis para mejorar los costos que Insercin tecnolgica
estn asociados a los servicios de TI.
Se realizan cambios en la
50
configuracin de componentes de la
infraestructura y no se reflejan en la
Infraestructura
documentacin.
51
cambios en los componentes de la Infraestructura

configuracin.
No se aplica el procedimiento
52
53
60
oficializado
para
la
gestin
de Seguridad y control
problemas.
Seguridad y control
Seguridad y control

61
el
medio
ambiente
apropiado
para la operacin de TI (UPS, Aire
Infraestructura
acondicionado)
65
peridicamente el desempeo actual Insercin tecnolgica

y la capacidad de los recursos de TI.
67
relevantes y que no colaboran en la

identificacin de oportunidades de
Insercin tecnolgica
76
82
86
87
de TI.
Arquitectura
92
informacin
desactualizada.
Insercin tecnolgica
Seguridad y control
Utilizar un marco de trabajo
deficiente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
No contar
89
de
con
el
Seguridad y control
contenido
presupuestario para la ejecucin de Insercin tecnolgica

los proyectos.
Los
proyectos
documentados
no
estn
No
contar
con
un
marco
de

93
proyectos en cuanto a su iniciacin,

planificacin,
ejecucin,
control

95

proyecto.
Insercin tecnolgica
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya
evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id

Se
Planes de accin
presupuestaron las partidas
para contratar el mantenimiento

4
Versiones
de
software y se incluy en el PAO la actividad
desactualizadas.
para actualizacin de plataforma.

En el diagnstico de capacitacin se
incorpor la capacitacin necesaria.
Con base al manual de normas
No contar con la metodologa y tcnicas

18
sobre
tecnologas
de
procedimientos necesarios para informacin, se revisar y actualizar

la administracin de los cambios. el mtodo para administracin de
los cambios
En el presupuesto del 2008 se
31
Suspensin
Internet
de
servicio
de incluy el alquiler de un canal alterno

al proveedor actual del servicio para
la solucin de fallas locales en el ISP
No
se
conocen
los
costos Se desarrollar un modelo de costos
38
asignados
39
prestados por TI.

productos
No se cuenta con un proceso
En paralelo al modelo de costos se
de anlisis para mejorar los
realizar el modelo para el anlisis
costos que estn asociados a los
respectivo
servicios de TI.
Se realizan cambios en la Se enfatizar en el personal
50
los
servicios para conocer el costo por servicios o
configuracin de componentes la

cambios en los componentes de
la configuracin.
No se aplica el procedimiento
52
oficializado para la gestin de

problemas.
53
60
de
actualizar
la
de la infraestructura y no se documentacin con los cambios

reflejan en la documentacin.
51
obligacin

que se realicen a la infraestructura

Se coordinarn los cambios previo
a
realizarlos
para
proyectar
el
impacto, incluyendo de ser posible

al proveedor
Se realizar un taller para analizar las
razones por las cuales no se aplica
en algunos casos el procedimiento, y
para generar las acciones correctivas
Se incluy como parte del manual
para continuidad de la operacin, la
obligacin de documentar soluciones
aplicadas para el mejoramiento
continuo.
Sin incluy en el presupuesto del
2008 la adquisicin de la solucin
El CC mantiene una UPS exclusiva

Fallas
61
en
los
equipos
que
mantienen el medio ambiente

apropiado para la operacin de
TI (UPS, Aire acondicionado)
No
65
contar
con
un
para equipos crticos y se compr

una adicional para respaldo de las
tres que soportan toda la institucin.
Se est elaborando el procedimiento
institucional para soporte de medio
ambiente.
proceso A partir del 2008 se aplicar un
para revisar peridicamente el nuevo mtodo de evaluacin del

desempeo actual y la capacidad desempeo basado en compromisos
de los recursos de TI.
de desempeo
el desempeo de TI que no son Con base a los planes tcticos y
67
relevantes y que no colaboran en la nueva cartera de proyectos se

la identificacin de oportunidades redisearon los indicadores para
de
mejora
en
los
procesos medir el desempeo
importantes de TI.
Se tiene programada la revisin de
76
82
86
Arquitectura
de
informacin la arquitectura para ajustarla de
desactualizada.

ser necesario, con base a la nueva

cartera de proyectos
Se desarrollar la
capacitacin
necesaria para que el personal utilice

las herramientas adecuadamente
Se establecern administradores de
riesgos por rea de coordinacin, y
reuniones mensuales de seguimiento
para auto evaluacin y mejora
Utilizar un marco de trabajo

87
deficiente para la gestin de

riesgos, y no alineado con el
apetito del riesgo institucional.
Se lleva a cabo estudio de auditora, se

desarrollo un sistema automatizado
para control de riesgos, y se est
realizando
una
evaluacin
de
riesgos.
Ajustar la cartera de proyectos al
No contar con el contenido presupuesto aprobado y elaborar

89
presupuestario para la ejecucin un presupuesto extraordinario para

de los proyectos.
92
Los
reprogramar los proyectos en caso
proyectos
no
estn
documentados
de que este se apruebe

Se harn auditorias
peridicas
para control de los expedientes de

sistemas
No contar con un marco de

referencia para la gestin de Se acord capacitar en el 2008 a
93
los
proyectos
su
iniciacin,
en
cuanto
a todos los gerentes sobre la necesidad
planificacin, de aplicar la metodologa, e iniciar
ejecucin, control y cierre, o cada proyecto capacitando a todo el

aplicar ese marco de referencia equipo de proyecto
deficientemente.
A partir de la nueva cartera de proyectos,
los gerentes de Divisin tienen que
95
Falta de apoyo del patrocinador del asegurar los recursos a los proyectos
proyecto.
en los cuales son patrocinadores; total o

compartido, e incluirlos como parte de
su PAO
Evaluacin de riesgos tratados

En la siguiente tabla se presenta la calificacin de los riesgos proyectando la aplicacin
de los planes de tratamiento (riesgos tratados):
Id
4
18
31
38
39
50
51
52
53
60
61
65
67
76
82
86
87
Riesgo
por TI.
problemas.
89
92
93
95

de los proyectos.
deficientemente.
Es interesante observar la evolucin de los riesgos en cada uno de los niveles de

evaluacin (absoluto, controlado y tratado); seguidamente se presenta la calificacin
para los riesgos prioritarios.
ID
Riesgo
Absoluto
Controlado
Tratado

12
18
procedimientos
la
12
31

No se conocen los costos asignados a los
12
12
12
38
39
necesarios
para
servicios prestados por TI.

No se cuenta con un proceso de anlisis
para mejorar los costos que estn
asociados a los servicios de TI.
Se realizan cambios en la configuracin
50
51
52
de componentes de la infraestructura y
no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios
en los componentes de la configuracin.
No se aplica el procedimiento oficializado
para la gestin de problemas.
53
No
se
documentan
las
soluciones
60

61
el medio ambiente apropiado para la
20
20
15
12
12
12
12
16
16
10
10
16
16
16
operacin de TI (UPS, Aire acondicionado)

65
peridicamente el desempeo actual y la

capacidad de los recursos de TI.
Utilizacin de indicadores sobre el
desempeo de TI que no son relevantes y
67
que no colaboran en la identificacin de

oportunidades de mejora en los procesos
76
82
importantes de TI.
Arquitectura
de
informacin
desactualizada.
No se tiene dominio sobre las herramientas
86
en uso.
Utilizar un marco de trabajo deficiente
87
para la gestin de riesgos, y no alineado
89
92
con el apetito del riesgo institucional.

No contar con el contenido presupuestario
para la ejecucin de los proyectos.
No contar con un marco de referencia
para la gestin de los proyectos en cuanto
93
a su iniciacin, planificacin, ejecucin,

control y cierre, o aplicar ese marco de
95
proyecto.
Organizacin para la gestin de los riesgos

A efectos de mantener una organizacin adecuada para la Gestin de los Riesgos en
la USTI, y con el objetivo de mantener riesgos actualizados, controlados, y planes de
tratamiento para mitigarlos, se adecua la organizacin mediante asignar un asistente
de la jefatura que recopile riesgos en un nivel preliminar, los procese, y para que
actualice el mapa trmico para conocimiento de la jefatura y los coordinadores de
rea.
La identificacin y evaluacin de los riesgos debe ser sustentado por un sistema
participativo de planificacin que considere la misin y la visin institucionales, as
como objetivos, metas y polticas; por esa razn se estarn realizando reuniones una
vez al mes con los coordinadores de rea para considerar el tema.
Se reforzar la administracin basada en riesgos para los coordinadores de rea y
asistente de la jefatura, con el objetivo que darle robustez a la organizacin y a la UTI en
su gestin, siempre bajo el modelo de administracin de riesgos de la CGR, la poltica
de valoracin de riesgos emitida por el Despacho, la metodologa para valoracin de
riesgos, y los lineamientos generados por la Divisin de Estrategia Institucional.
Los insumos para la identificacin de riesgos estarn basados principalmente en los
que a continuacin se indican:
Planes institucionales, sectoriales y nacionales.
Anlisis del entorno interno y externo.
Evaluaciones institucionales.
Descripcin de la organizacin (procesos, presupuesto, sistema de control
interno).
Normativa externa e interna asociada con la proceso/proyecto e institucin.
Documentos de operacin diaria y de la evaluacin peridica.
A continuacin se incluye el organigrama de la UTI; segn la propuesta en donde se

identifica al asistente de la jefatura, y a los coordinadores en su ltimo nivel.
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que
se incorporan a continuacin en el presente documento.
a. Mantener un mapa trmico actualizado con los riesgos controlados que
estn identificados con una severidad alta o extrema.
b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de
la UTI evale con los coordinadores de rea los planes de tratamiento que
se estn aplicando a los riesgos del mapa trmico identificados como alto
o extremo, con el objetivo de actualizarlos si se considera que es factible
mejorarlos para mitigar el riesgo.
c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin,
mediante capacitacin peridica y con base en los anlisis que se realicen
en las reuniones los das lunes primero de mes.
d. Centralizar la actualizacin preliminar de los riesgos identificados,
controlados, y planes de tratamiento, en un asistente de la jefatura de UTI
que se encargar de preparar el material de la reunin de los lunes, y de
alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo
riesgo que clasifique como alto o severo.
e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con
fines de clasificarlos, para alertar a la jefatura en caso de riesgos extremos
o altos.
f. Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos
controles que han sido aplicados, a fin de mantener la administracin de
riesgos actualizada; sin importar para este caso el nivel de riesgo; todos
deben ser reportados para procesarlos.
g. Adquisicin de un software institucional que facilite la administracin
basada en riesgos.
Anexo - NTP4
Instrumento metodolgico MAI
Proyecto para el desarrollo de un

Modelo de Arquitectura de Informacin para la
Contralora General de la Repblica.
Instrumento metodolgico.
Descripcin de la metodologa a utilizar
La Arquitectura de Informacin (MAI) de la Contralora General de la Repblica ser
actualizada a partir de los procesos definidos o modificados en la ms reciente versin
oficializada del Manual General de Fiscalizacin (MAGEFI).
Para la definicin de dicha Arquitectura se utilizar la metodologa de Business System
Planning (BSP) (Planificacin de los Sistemas del Negocio), la cual implementa
un enfoque estructurado para ayudar a la organizacin a establecer los flujos de
informacin y el manejo de los datos que son utilizados por los procesos. Se utilizar
una versin simplificada de la metodologa BSP, dado que a la fecha se dispone
nicamente de la descripcin macro de todos los procesos de la organizacin.
El MAGEFI ser el marco conceptual general, a partir del cual se detallarn los flujos
de informacin y los datos involucrados.
Se plantea inicialmente aplicar BSP a manera de plan piloto (posiblemente aplicado a
por lo menos dos procesos representativos), para adaptar y afinar el mtodo a nuestras
necesidades, para luego abarcar todos los procesos con el apoyo de los expertos
funcionales de cada una de las reas de la organizacin.
Para cada uno de los procesos se deber generar una tabla que incluya:
Nombre del proceso
rea(s) que lo ejecuta(n) definiendo responsables y participantes.
Detalle de los diferentes insumos y productos del proceso a nivel de entidad
de informacin1.
Clientes inmediatos de los productos (internos y externos).
Sistemas de informacin involucrados.
Necesidad de sistemas de informacin u otras soluciones.
Con dicha informacin se aplicarn cada uno de los pasos definidos en la tcnica del
BSP, a saber:
Paso 1: Definir los procesos del Negocio
Lista de procesos
Breve descripcin de cada proceso
reas responsables y participantes
Paso 2: Definir clases de datos
Clase de datos: grupo de datos categorizado lgicamente a nivel de entidad
de informacin.
Crear la Matriz de Proceso/Base de Datos Sujeto, indicando quin crea la
informacin y quin la usa.
Paso 3: Mapear como utiliza la organizacin los datos (a nivel de entidad de informacin)
Generar matriz de procesos y responsables
Generar matriz de procesos y sistemas
Una entidad es una cosa u objeto en el mundo real que es distinguible de todos los dems objetos. Una entidad tiene un
conjunto de propiedades y los valores para algn conjunto de estas propiedades pueden identificar a una entidad de forma
univoca. Un conjunto de entidades es la totalidad de las entidades de mismo tipo que comparten las mismas propiedades.
Paso 4: Definir la arquitectura de informacin

Ordenar las bases de datos sujeto por proceso
Agrupar procesos y datos en sistemas principales
Se trazan los flujos de datos de un sistema a otro, del que lo crea al que lo
utiliza.
Poner nombres (tentativos) a los subsistemas de informacin.
Paso 5: Elaborar la matriz de prerrequisitos para determinar la secuencia de desarrollo.
Paso 6: Identificacin bsica de macrosistemas y subsistemas.
Opciones para la recopilacin de la informacin

En la recopilacin de la informacin requerida por el BSP para la definicin de la Arquitectura
de Informacin, es fundamental la participacin de expertos funcionales para cada proceso
definido en la ltima versin del MAGEFI. Estos mismos expertos sern los que en su momento
debern documentar y detallar a nivel de procedimientos, todas las actividades definidas
para el proceso por ellos conocido. Para el xito de ambos proyectos es fundamental la
disponibilidad de tiempo y el compromiso de dichos expertos.
Teniendo presente que la fecha lmite, planteada para cumplir con lo que establece la norma
2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin, de contar con un modelo de Arquitectura de Informacin, est definida como

30 de junio del ao 2009, se hace necesario analizar las siguientes alternativas de accin:
Opcin 1: Realizar el levantamiento de informacin requerida para la definicin del MAI,
unindose al proceso de detallar los procesos definidos por el MAGEFI y documentar los
respectivos procedimientos.
Ventajas:
Se realiza un proceso coordinado mediante el cual los expertos funcionales
de cada proceso responden a un nico requerimiento de definicin de los
procesos, tanto para detallar el MAGEFI como para crear el MAI.
En el anlisis detallado de los procesos los expertos funcionales pueden
determinar de mejor manera las entidades y flujos de informacin inmersos
en el proceso.
Desventajas:
Se ve difcil lograr recabar toda la informacin requerida para crear el MAI,
con el suficiente tiempo para tener dicho modelo bien documentado a
junio 2009; a no ser que la documentacin detallada de los procesos del
MAGEFI se logre enmarcar dentro de las mismas fechas y esto para todos
los procesos compilados en dicho manual.
En la definicin detallada de los procesos del MAGEFI podra suceder
que no todos los procesos puedan ser atendidos al mismo ritmo debido a
las mltiples ocupaciones de los expertos funcionales, lo cual afectara la
definicin del MAI debido al faltante de la informacin de esos procesos.
Opcin 2: Realizar el levantamiento de informacin requerida para la definicin
del MAI realizando una coordinacin directa entre el equipo de proyecto MAI y los
expertos funcionales conocedores de los procesos, adelantndose al levantamiento de
informacin que realizar el equipo MAGEFI.
Ventajas:
Se puede recopilar la informacin necesaria para crear el MAI con suficiente
tiempo para cumplir con la fecha lmite planteada (junio 2009).
Se contara con el apoyo del Despacho para que los expertos funcionales
respondan primero a los requerimientos de informacin para crear el MAI,
los cuales son menores en cantidad respecto a lo requerido para detallar
los procesos del MAGEFI y documentar los procedimientos.
Se tendra una muy buena base para la definicin de procesos del MAGEFI.
Desventajas:
Los expertos funcionales debern responder inicialmente a lo que el
proyecto de creacin del MAI les demande, para luego trabajar en detallar
y documentar los procesos del MAGEFI.
Podra darse una duplicidad de esfuerzos, aunque este riesgo se puede
mitigar con la apropiada asesora a los expertos y la coordinacin respecto
a los requerimientos planteados por ambos proyectos (MAGEFI y MAI).
El levantamiento de informacin para crear el MAI se adelanta a la definicin
de los procesos y a la documentacin de los procedimientos, pudiendo
estos cambiar cuando se realice el correspondiente anlisis detallado.
Se corre el riesgo de definir un modelo de arquitectura de informacin que
refleja los datos y los flujos a como se hacen las cosas hoy y no a como
el MAGEFI lo plantea, esto por cuanto este manual introduce cambios de
visin respecto al cmo se hacen las cosas.
Recomendacin:
Teniendo como fecha lmite para contar con el Modelo de Arquitectura de Informacin el
30 de junio de 2009, recomendamos la aplicacin de la opcin 2, la cual permitir contar a
tiempo con los insumos requeridos para crear el MAI y dar as cumplimiento a lo establecido
por la norma 2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las
Tecnologas de Informacin.
Dado que el MAI es un modelo vivo dentro de la organizacin, todo cambio en los procesos
se puede y deber aplicar posteriormente. Es as como cualquier cambio que surja con
la posterior institucionalizacin de los procesos del nuevo MAGEFI, puede ser aplicado al
modelo de Arquitectura de Informacin sin ningn problema.
El equipo de proyecto MAI ve difcil lograr coordinar las fechas del proyecto MAGEFI con
la fecha lmite de 30 de junio de 2009, tomando en cuenta las mltiples ocupaciones
de los expertos en los procesos y las temporadas pico en procesos como lo son la
tramitacin de presupuestos ordinarios o los procesos de contratacin administrativa
que se incrementan conforme se acerca el fin y principio del ao.
Adicionalmente, debe considerarse la dificultad de documentar un procedimiento por
cada actividad que conforma cada proceso; si se consideran entre 3 y 5 actividades
por proceso y en total se tienen 26 procesos, estamos hablando de que sern cerca
de 120 procedimientos por documentar.
Anexo - NTP5
Diagnostico inicial MAI
Proyecto para el desarrollo de un

Documento de Diagnstico
Necesidad que atiende el presente documento
El presente documento expone los resultados de una investigacin de mejores
prcticas metodolgicas a tomar en consideracin para el desarrollo de un modelo de
arquitectura de informacin (MAI) para la Contralora General de la Repblica (CGR),
tomando en cuenta que est acorde con las ltimas orientaciones estratgicas y
tcticas, que la institucin se ha dictado para gestionar las tecnologas de informacin
y comunicacin.
Esta propuesta constituye el primer producto documental del proyecto a ser aprobado
formalmente, que conocer la jefatura de la Unidad de Sistemas y Tecnologa de
Informacin en primera instancia, para que la retroalimente y le d el trmite necesario
para su aprobacin. De esa forma el trabajo sucesivo del proyecto puede contar con
el respaldo superior necesario, para llevarlo a buen trmino en el mbito institucional.
Justificacin
La informacin y las comunicaciones son medios indispensables para el funcionamiento
de cualquier organizacin, ms an para organizaciones como la Contralora General,
que procesa informacin o datos, por medio del conocimiento, para generar y comunicar
nueva informacin (evaluaciones, refrendos, tasas, criterios tcnicos, lineamientos,
disposiciones, aprobaciones, etc.) En ese contexto, el manejo y aprovechamiento de
la informacin y de las comunicaciones requiere importantes esfuerzos y costos, que
deben verse compensados por el valor agregado que generan.
Asimismo, los esfuerzos y costos para gestionar la informacin y las comunicaciones

dependen, indiscutiblemente, de las tecnologas relacionadas (TIC). La inversin
en stas y en el conocimiento necesario para que las personas las aprovechen al
mximo, bien puede considerarse entre los principales rubros en los presupuestos de
las organizaciones modernas, para mantenerse actualizadas en la materia.
Es sumamente riesgoso que las organizaciones hagan altas inversiones en TIC sin
una idea clara de cmo debe ordenarse sistemticamente el flujo de datos y las
comunicaciones; para apoyar de manera intencionada la operacin de los procesos,
as como el cumplimiento de la estrategia y planes organizacionales.
La teora y prctica administrativa y del control interno, en virtud del carcter estratgico
e importancia relativa de estas inversiones, cada vez con ms urgencia llaman la
atencin sobre las mejores prcticas en esta materia. Es as como la Contralora
General, en las Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin, emitidas mediante la Resolucin del Despacho de la Contralora General
de la Repblica, Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta
Nro.119 del 21 de junio de ese mismo ao, incluye una norma referida al modelo de
arquitectura de informacin, en los siguientes trminos:
En efecto, un asunto trascendental en este contexto de alta dependencia de las TIC

para la gestin estratgica, tctica y operativa de la informacin y las comunicaciones;
es disponer de un Modelo de Arquitectura de Informacin (MAI), que soportado en el
modelado de los procesos de la organizacin, establezca cual es la informacin que
en stos fluye, el manejo que debe drsele y la integracin entre los procesos a nivel
de flujos de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justificar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la fiabilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
La CGR emprende, actualmente, importantes esfuerzos para aplicar las referidas
Normas Tcnicas para la Gestin y el Control de las TIC, como mejores prcticas de
apoyo para la gestin estratgica institucional. El Modelo de Arquitectura de Informacin
(MAI), es una pieza fundamental para esos efectos, tal como lo han contemplado el
Plan Estratgico de TIC 2007-2010 (PETIC) y su correspondiente Plan Tctico 20082010 (PTAC), que conforman el antecedente ms cercano en esta materia.
Con la elaboracin del MAI, la CGR cumple adems con el referido numeral que
especficamente regula este aspecto en las Normas Tcnicas para la Gestin y el
Control de las Tecnologas de Informacin, emitidas por este rgano Contralor.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identificarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, definir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y

Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de
informacin que, en buena medida, ha determinado el inventario de sistemas de
informacin y de soluciones tecnolgicas disponibles. Ese modelado, el conocimiento
y la experiencia generada al construirlos sern insumo importante para el presente
proyecto.
Ese modelado previo requiere ser actualizado para que responda a los aspectos
cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan
requisitos que aquel modelo no contempl en su momento. Esa realidad queda
evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha
dictado para gestionar las TIC institucionales, las cuales se resumen y presentan en el
anexo 1 del presente documento.
Estas orientaciones estratgicas y tcticas planteadas en el PETIC y en el PTAC
constituyen un insumo bsico para analizar y escoger el marco metodolgico para
desarrollar un modelo de arquitectura de informacin en la CGR. Este MAI deber
ser una herramienta a usar por el nivel estratgico de la organizacin, que ayude a
visualizar con base en prioridades y lineamientos del Plan Estratgico Institucional, el
aporte o apoyo que las TICs brindan al logro de objetivos institucionales. Es por ello
que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico de TIC
(PETIC). Se puede indicar que un buen PETIC incorpora un estado actual y futuro del
MAI y al mismo tiempo un buen MAI debe considerar los lineamientos o fundamentos
bsicos del PETIC.
Esquema metodolgico
El equipo de trabajo investig varias metodologas relacionadas con el desarrollo
de un Modelo de Arquitectura de Informacin, viendo este modelo como una pieza
importante dentro de un modelo mayor que le da sentido y utilidad. Ese modelo
mayor es el Modelo de Arquitectura Empresarial (MAE) el cual busca establecer la

forma en que los procesos de la organizacin se interrelacionan, apoyados por TICs
en cuanto al manejo y procesamiento de la informacin.
Este Modelo de Arquitectura Empresarial se divide en dos perspectivas: la perspectiva
orientada al negocio, en donde se ven los procesos, sus interrelaciones y los datos
involucrados (es aqu donde se tiene el MAI); y la perspectiva tcnica que establece
la forma en que se organiza y disponen las TIC para dar soporte a los procesos. El
MAE constituye una herramienta vital en orden a orientar toda inversin en tecnologa,
proveyendo elementos imparciales que sustenten no slo justificar dicha inversin,
sino tambin la medicin del impacto que se obtendr en el logro de los objetivos
institucionales.
Dentro de este modelo general el MAI es verdaderamente una herramienta de gestin
y toma de decisiones en materia de TIC, esto en la medida en que la perspectiva
tcnica responda a lo que el arquitecto plantea, en relacin a lo que los procesos de la
organizacin necesitan para el manejo de la informacin y los datos.
Este documento presenta el siguiente esquema metodolgico, tendiente a establecer
un marco de referencia que permita conocer la forma en que debe desarrollarse una
arquitectura de informacin, dentro de un enfoque incremental basado en un modelo
de madurez.
Para ello, a continuacin seala como puntos de referencia los componentes del modelo
de arquitectura empresarial (dentro del cual, una de las piezas es la arquitectura de la
informacin) y un esquema de madurez para definirla y guiar su implementacin en
la CGR, desde un nivel bsico hasta uno ptimo.
El modelo empresarial deber considerar los siguientes componentes:

1.
Procesos del negocio de la CGR

a. Misin, visin, valores, objetivos estratgicos
b. Modelo de gestin de la CGR
c. Macroprocesos y procesos de la cadena de Valor de la CGR.
2.
Informacin y comunicaciones
a. Flujos de datos basado en el modelo organizacional
b. Manejo operativo, plazos, responsables, propiedad y custodia, seguridad
sobre los datos
c. Definicin e integracin de los macrosistemas para la organizacin.
3.
Aplicaciones
a. Inventario de sistemas y soluciones
b. Interfaces y relaciones, flujos de datos
c. Enlaces de telecomunicacin y servicios extendidos (Internet, extranet,
intranet)
4.
Tecnologa
a. Plataformas fsicas
b. Conectividad
c. Seguridad de los datos
d. Sistemas de base
e. Gestores de bases de datos
f. Lenguajes y herramientas de desarrollo
El modelo empresarial describir los procesos de la CGR y la forma en que esos

procesos funcionan, los datos involucrados y el flujo que presentan; los recursos
tecnolgicos y de otras naturalezas que requieren para operar de manera ptima.
El MAI deber entonces establecer el diseo general de los sistemas de informacin

(no necesariamente ya automatizados), los datos y sus interrelaciones, documentar
un diccionario de datos del negocio (institucional) con su esquema de clasificacin,
estableciendo criticidad, sensitividad y propiedad de los datos. Finalmente deber
establecer los controles de seguridad apropiados para cada una de las clasificaciones.
Para la implementacin de un MAE es claro que debe considerarse un desarrollo
gradual por niveles, en el cual, ubicando la situacin de la organizacin respecto
de los diversos componentes del modelo, se establece un estado actual y se trabaja
ordenadamente para lograr alcanzar el nivel inmediato superior.
Para ello nuestra propuesta de niveles de capacidades asociados a cada componente
es la siguiente:
Evolucin segn modelo de madurez

La Contralora General procurar evolucionar su modelo de informacin desde una
perspectiva de madurez de capacidades. El equipo de trabajo aplicar un diagnstico
para determinar el estado actual de la CGR con respecto al modelo de referencia,
el cual puede ser objeto de mejoras conforme se vaya desarrollando el proyecto. El
horizonte de tiempo para ir alcanzando estados de madurez sucesivos, depender
de lo que el modelo de procesos establezca y de la dedicacin de recursos para
alcanzarlo, segn la relacin que debe existir entre el MAI y el MAE como se explic
en el enfoque metodolgico.
Alcances y limitaciones
Coma ya se indic la elaboracin de cualquier modelo de informacin deber partir de
la perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la definicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en el ms reciente Manual General de Fiscalizacin
(MAGEFI).
El nivel de desarrollo del MAI en la CGR ser hasta el nivel que lo permita el modelado
organizacional existente; inicialmente en trminos de insumo, actividades del proceso
y productos, que es lo definido en el nuevo MAGEFI.
Las personas con conocimiento experto en los procesos, mismas que debern
implementar en la organizacin lo que el MAGEFI plantea, sern las personas que
debern aportar la visin de datos asociada a los procesos, que servir como insumo
para desarrollar el MAI de la CGR.
Estrategia de desarrollo
El equipo del proyecto MAI realizar un diagnstico dirigido a ubicar la situacin actual
de la CGR en el modelo de capacidades planteado como punto de referencia. Una
vez ubicado el estado actual se trabajar para lograr las condiciones requeridas en el
siguiente nivel.
Para la recopilacin de la informacin relacionada con los datos que utilizan y
fluyen por los diferentes procesos de la organizacin se recurrir a los expertos en
los diferentes procesos. Para orientar y estandarizar la forma en que estos expertos
documentan la visin del negocio desde la perspectiva de los datos, el equipo del
proyecto MAI desarrollar los instrumentos de captura de informacin apropiados.
Para ello este equipo aplicar antes los instrumentos desarrollados en un proceso
piloto para evaluarlos y ajustarlos.
Una vez que se cuente con dichos instrumentos para el levantamiento de la informacin
requerida para hacer el MAI, ser necesario desarrollar talleres con expertos funcionales
de las diversas divisiones operativas de la CGR, con el fin de explicarles el trabajo a
realizar, el instrumento metodolgico a utilizar y los plazos sugeridos para recopilar la
informacin para cada uno de los procesos.
Se utilizar como referencia el ltimo modelado de procesos definido para la CGR,
con a las actividades all propuestas, sean stas vigentes o estn por implementarse,
conforme a la propuesta del MAGEFI.
Los expertos documentarn sobre la informacin que cada uno de sus procesos requiere
o genera y harn llegar al equipo del proyecto MAI los formularios debidamente llenos.
El equipo del proyecto MAI procesar la informacin que remitan los expertos funcionales
y elaborar el modelo de informacin que incluye el diseo de su representacin lgica,
el diccionario de datos institucional y el modelo de referencia para la clasificacin
de los datos. Deber considerar el uso compartido de la informacin, su integridad,
flexibilidad, y la correcta, eficiente y econmica, oportuna y segura operacin.
El modelo deber estar debidamente documentado, tanto en forma narrativa como
mediante una representacin grfica que permita resumir y visualizar con suma claridad
los flujos de informacin y la forma en que interactan los procesos institucionales a
nivel de datos. Deber clasificar los datos a nivel institucional permitiendo identificar los
propietarios y responsables de los datos, catalogar los datos con base en su criticidad,
sensitividad, multimedios y ubicacin fsica. Deber facilitar la determinacin de
los privilegios de acceso de los usuarios, as como los requerimientos de respaldo y
disponibilidad, retencin (tiempo de almacenamiento), desecho, y necesidad relativa
de cifrado (encripcin). El modelo debe promover la seguridad informtica en todos

los alcances pertinentes.
A partir del MAI actualizado ser posible plantear los macro sistemas sustantivos y de
apoyo, as como los sistemas o soluciones adicionales que requiere la institucin para
operar. Esta propuesta de macrosistemas, unida al MAI ser el insumo indispensable
para que la USTI desarrolle una intensa actividad tendiente a inventariar las necesidades
de informacin, documentarlas y confrontarlas contra los sistemas actuales, para
luego identificar sistemas que requieren modificaciones, as como nuevos sistemas a
incluir dentro de un plan de sistemas.
Finalmente el proyecto de desarrollo del MAI establecer una actividad de evaluacin
de resultados, con el fin de diagnosticar el cumplimiento del objetivo, as como del
logro de los productos previstos.
El anexo 2 contiene un cuadro de tareas a realizar estableciendo el plazo estimado y
los responsables de realizarlas.
Modelo sostenible en el tiempo

El modelo debe mantener vigencia, por lo que la organizacin deber desarrollar los
procedimientos de actualizacin y documentacin pertinentes.
El modelo deber ser la referencia para definir, estandarizar y habilitar la infraestructura
tecnolgica de la organizacin, de forma que sea tanto una herramienta de
administracin de la informacin, como la base para dirigir la inversin tecnolgica
con alineacin estratgica institucional.
Finalmente la organizacin deber revisar peridicamente el MAI para medir el alcance
de sus resultados y determinar las actividades que requieren seguimiento o mejora.
Asimismo el PETIC deber contemplar actividades tendientes a mantener vigente el

MAI y alinear la perspectiva de desarrollo tecnolgico a este modelo, tomando en
cuenta tanto los sistemas que ya estn operando, como la plataforma tecnolgica
instalada.
Objetivo del proyecto

Actualizar y mejorar el modelo de arquitectura de la informacin de la CGR, en el
transcurso de los prximos doce (12) meses, mediante la identificacin, definicin y
documentacin del conjunto de datos requeridos para apoyar la operacin y la toma
de decisiones en los diversos macro procesos y procesos de la CGR, y proponer un
modelo de macro sistemas que apoyen el manejo de esos macro procesos.
Productos
Modelo de arquitectura de informacin de la CGR (MAI)
Propuesta de modelo de macro sistemas que soporten los macro procesos
de Fiscalizacin Integral, Gobierno Corporativo, Gestin del Conocimiento y
Gestin de Recursos.
Subproductos
a. Representacin lgica del flujo de informacin institucional, totalmente
alineado al modelado organizacional planteado en el ltimo MAGEFI. Debe
considerar la creacin y uso compartido de la informacin institucional de
forma ntegra, flexible, funcional, eficiente y econmica, as como oportuna,
y con la debida seguridad.
b. Modelo de referencia para clasificar datos a nivel institucional, que permita
catalogar los datos con base en su criticidad y sensitividad, propiedad,
niveles de seguridad (acceso, respaldo y disponibilidad, as como
requerimientos de cifrado), retencin y desecho. El modelo de referencia

debe ser documentado.
c. Diccionario de datos institucional debidamente actualizado y documentado,
con las respectivas reglas de sintaxis, que identifique y regule la utilizacin
de los datos en los procesos; los clasifique y establezca la seguridad a
aplicar.
d. Procedimientos de actualizacin y documentacin del modelo de arquitectura
de informacin.
Factores crticos de xito del MAI y gestin de riesgos

Como parte del alineamiento del Plan Estratgico y del Plan Tctico de Tecnologas de
Informacin y Comunicacin (PETIC-PTAC), el proyecto de Modelo de Arquitectura de
Informacin depende de un conjunto de factores crticos de xito (FCE) consignados
en esos planes, respecto de los cuales se puede establecer una correspondencia para
el MAI, a saber:
FCE de PETIC y PTAC
Correspondencia para el MAI
Potencial humano: La participacin del personal
El equipo encargado del desarrollo del MAI debe
a partir de un perfil de competencias claramente
estar conformado por representantes de las
definido y adecuado a las tecnologas de
diversas unidades de la CGR, de manera que,
informacin facilitar el logro de las iniciativas
en conjunto, renan suficiente conocimiento y
contenidas en este plan.
experiencia sobre la institucin, sus cometidos

estratgicos, sus procesos y adems sobre
metodologas ampliamente aceptadas para el
desarrollo de modelos de arquitectura.
Los funcionarios que se consulten en las diversas

fases de desarrollo del MAI deben tambin ser
de amplia experiencia en la institucin y en los
procesos respectivos.
Evolucin:
Depuracin,
documentacin
Los requisitos para el desarrollo del MAI deben
y desarrollo del modelo de informacin y
contemplar
los
aspectos
de
depuracin,
comunicacin institucional.
documentacin y desarrollo, partiendo de los

insumos disponibles en la CGR.
Reactivacin del comit gerencial de tecnologas
El Comit Gerencial de Tecnologas de informacin
de informacin y comunicacin.
y comunicacin debe conocer y aprobar el

modelo de arquitectura, para que en conjunto
con el modelo de infraestructura tecnolgica, sea
usado como base para la evolucin en materia de
tecnologas dentro de la organizacin.
Planificacin detallada: se refiere al proceso
El
de planificacin tctica, el cual desarrollar el
reformulaciones deber tomar como referencia el
portafolio de proyectos, y al grupo de indicadores
modelo de arquitectura de informacin y alinear
de
las
la cartera de proyectos para que dicho modelo
actividades de ejecucin continua que resulten
sea desarrollado, orientando las acciones hacia
pertinentes.
el logro de los objetivos para los cuales el MAI
gestin
necesarios
para
gestionar
PTAC
en
sus
futuras
revisiones
fue creado.
El MAI debe incluir una especificacin

de variables a medir u observar para dar
cuenta de en qu medida est logrando
un valor agregado al manejo de la
informacin y las comunicaciones en la
CGR.
Asimismo, el PETIC y PTAC estn expuestos a riesgos internos y externos que
requieren medidas de gestin para aprovechar las probables oportunidades y mitigar
las potenciales consecuencias negativas, segn lo establecen ambos planes, respecto
de lo cual tambin se puede establecer una correspondencia para el MAI:
reas generales de riesgo
Correspondencia para el MAI
en PETIC- PTAC
EXTERNOS
Contenido presupuestario: En vista de Debe preverse oportunamente si el
que el presupuesto de la CGR depende desarrollo e implementacin del MAI va
del presupuesto nacional, pueden ocurrir a demandar recursos adicionales a la
recortes en algunos rubros que obliguen dedicacin de los funcionarios de CGR
a disminuir el alcance y cumplimiento del que participarn en su planteamiento,
portafolio de proyectos. O bien, puede tales como determinada disponibilidad
suceder que an existiendo el contenido tecnolgica, asesoras, capacitacin y
presupuestario,
ste
no
haya
sido referencias bibliogrficas.
estimado de forma adecuada, de manera

que los recursos sean insuficientes para
cumplir con los objetivos planteados.
No disponer de recursos externos,

alianzas y convenios con entidades que
tengan experiencia en el desarrollo de
modelos de arquitectura de informacin.
INTERNOS
Viabilidad de los proyectos: Los proyectos

requieren condiciones particulares para
realizarlos, segn sus caractersticas
tecnolgicas,
jurdicas
de
otra
naturaleza.
No contar con un marco de referencia

para la gestin del los proyectos en
cuanto a su iniciacin, planificacin,
ejecucin, control y cierre, o aplicar ese
marco de referencia deficientemente.
Dependencia del proyecto MAGEFI: Que
el nivel de detalle de la documentacin
de los procesos que se requiere no sea
suficiente para el desarrollo del MAI.
Potencial humano capacitado: Contar El personal no cuenta con el tiempo

con
personal
humano
capacitado, suficiente para dedicarse a las tareas
un perfil apropiado y el proceso de propias del desarrollo del modelo de

capacitacin facilitar an ms que el arquitectura de informacin.
personal pueda desarrollar sus tareas y
apoyar el cumplimiento de los objetivos
institucionales.
Los expertos funcionales requeridos

para el desarrollo del proyecto MAI
tienen a su vez que dedicarse a las
exigencias del proyecto de MAGEFI,
en cuanto al desarrollo detallado de la
documentacin de los procesos de la
organizacin.
Referencias investigadas
a. Cuenca Gonzlez et al. Arquitectura de Empresa, Visin General. IX Congreso
de Ingeniera de Organizacin. Setiembre 2005.
b. Garrett, Jesse James. The elements of user experience. www.jjg.net/ia/
Marzo 30, 2000.
c. IT Governance Institute. COBIT 4.1. Rolling Meadows, Chicago, Illinois,
2007. www.itgi.org
d. Office of Management and Budget (OMB). Federal Enterprise Architecture.
http://www.whitehouse.gov/omb/egov/a-1-fea.html
e. The Open Group. The Open Group Architecture Framework (TOGAF), versin
8.1.1, enterprise edition. 2007.
f. United States Departament of Commerce. Enterprise Architecture Capability
Maturity Model (ACMM). Version 1.2. December 10, 2007.
g. Zachman, J.A. A framework for information systems architecture. IBM
Systems Journal, Vol. 26, No. 3, 1987.
Anexo 1
Orientaciones estratgicas para el modelo de arquitectura de informacin

y comunicacin institucional
El PETIC de la Contralora General establece una situacin deseada a mediano plazo
(2010), caracterizada en los siguientes trminos:
Gestin de TIC. La CGR contar con un marco de gestin basado en mejores
prcticas, con los mtodos, tcnicas, mtricas y herramientas respectivas
que permitan la eficiencia, eficacia y economa de los servicios de TIC.
Infraestructura tecnolgica. En los prximos 5 aos, la CGR fortalecer
la infraestructura tecnolgica en trminos de capacidad, disponibilidad,
eficiencia, y actualizacin. Para tal efecto, se considerar los equipos
principales, el software de apoyo y de seguridad, la capacidad de
almacenamiento masivo, el apoyo al usuario final, y la creacin de capacidad
del recurso humano.
Comunicaciones. La CGR incrementar su capacidad de conectividad
externa e interna de forma til y eficiente, segura y con alta disponibilidad.
Se procurar la incorporacin de tecnologas de comunicacin inalmbrica
y equipos mviles de computacin de alto desempeo, as como redes
convergentes (v.gr. datos, voz, vdeo) y telefona basada en servicios de
Internet.
Sistemas de informacin. La CGR desarrollar sistemas de informacin
mediante la integracin de los macro procesos institucionales. La
contratacin de servicios por outsourcing ser una opcin para el desarrollo
de soluciones, dependiendo del sistema y del personal disponible en la
CGR.
Suministro de servicios. Se facilitar el intercambio y el registro de la
informacin desde las instituciones y entidades privadas sujetas de
fiscalizacin, para que oportunamente la CGR analice, procese, y genere
productos soportados en tecnologas, tal como un almacn de datos

gubernamental, junto con sistemas aplicativos que permitan explotar tal
informacin. La CGR fortalecer su Centro de Llamadas con el objetivo que
nuestros clientes externos tengan un adecuado soporte para el mejor uso
de los sistemas de informacin y comunicacin.
Potencial humano. Se contar con un recurso humano entusiasta y dispuesto
a fundamentar la ejecucin de su trabajo en las tecnologas de informacin
y comunicacin que la Contralora le facilita. Lo anterior, requiere definir y
actualizar constantemente el perfil del funcionario que rena las condiciones
que permitan implementar este plan.
Adems, el PETIC seala que esa situacin deseada responde a un modelo de
informacin y comunicacin institucional que, en un nivel preliminar de esbozo,
muestra:
Los macro procesos institucionales y su relacin sistmica apoyada en la
gestin estratgica de las TIC, expresada en cuatro lneas de accin definidas
como base para el alineamiento del PETIC con la Estrategia Institucional,
a saber:
Seguridad y Control,
Insercin tecnolgica,
Suministro de servicios e
Infraestructura Tecnolgica;
Ese funcionamiento integrado de los macroprocesos institucionales, soportado en

bases de datos para la gestin del conocimiento y el apoyo a la toma de decisiones,
con una orientacin hacia la administracin de riesgos, se esquematiza en el PETIC.
Orientaciones tcticas para el modelo de informacin y comunicacin

institucional
Por su parte, consecuentemente con el referido planteamiento del PETIC, el
correspondiente PTAC, en punto al referido esbozo del modelo de informacin y
comunicacin institucional, establece que:
Cada macro proceso institucional estar soportado por un macro sistema.
Cada macro sistema estar compuesto a su vez por una serie de soluciones
que solventan necesidades especficas de informacin, y
Los macro sistemas estarn integrados funcionalmente, para apoyar el
proceso de toma de decisiones.
El PTAC prefigura esa orientacin de la siguiente manera:
Adicionalmente, el PTAC, al suministrar algunos elementos adicionales que ayuden a

construir ese modelo de informacin y comunicacin institucional, seala que:
La integracin de los macro sistemas y sus aplicaciones conllevar a la

creacin de un almacn de datos (datawarehouse) que depositar las
variables de datos ms importantes para apoyar el negocio institucional.
Los sistemas locales aportarn datos para la mayora de esas variables,
y en el caso de informacin no disponible internamente, la CGR tendr
que convenir con otras instituciones para que pueda extraer datos de sus
repositorios y bases de datos externas.
Este almacn de datos institucional debe facilitar la minera de datos, que
bsicamente consiste en el anlisis de tendencias, evaluacin de datos
comparativos y la generacin de alertas sobre condiciones de riesgo en la
administracin de la Hacienda Pblica.
Al efecto, si bien la Contralora General cuenta actualmente con un
nico repositorio de datos, no cuenta con las herramientas, experiencia,
y desarrollo necesario. ste carece de las funcionalidades de minera
descritas, no obstante representa un importante avance en las aspiraciones
de integracin mencionadas.
La integracin de la informacin implica un proceso de varias etapas. En
primer lugar, la coordinacin con la Divisin de Estrategia Institucional en
cuanto al mapeo y actualizacin de los macro procesos institucionales y la
visualizacin de las soluciones y servicios tecnolgicos que correspondan,
tales como acceso a tecnologas mviles, conectividad, telefona, y
seguridad, entre otros.
Posteriormente, se debe analizar y evaluar la vigencia y nivel de servicio de
los sistemas existentes y de aquellos que estn en desarrollo actualmente.
Por cuanto la institucin cuenta con un nico repositorio de informacin,
ser relativamente menos compleja la obtencin de datos para la generacin
de alertas y de informacin relevante para la fiscalizacin, lo que permitir
un trabajo ms eficiente y de mejor calidad.
Este proceso de integracin sistemtica de la informacin debe estar
soportado por una infraestructura tecnolgica que garantice la seguridad y
el mximo aprovechamiento de la capacidad tecnolgica, a la cual la CGR

dar mantenimiento y actualizacin. Asimismo, para el desarrollo de los
macro sistemas y para la infraestructura tecnolgica, la CGR aplicar una
estrategia de seguridad y control basada en mejores prcticas.
Precisamente, por su importancia estratgica, la CGR planificar la
infraestructura de la tecnologa de informacin simultneamente con
el desarrollo de los procesos anteriores. La institucin desarrollar y
promover el uso de conexiones inalmbricas, la transmisin de voz
sobre Internet, la optimizacin de los canales de acceso a Internet y
otros servicios de conectividad, que permitan el acceso agilizado de los
fiscalizadores al repositorio de bases de datos institucional. Lo anterior
implica necesariamente el incremento de la capacidad de procesamiento,
almacenamiento y conectividad de los servidores institucionales.
Anexo 2
Tabla de actividades propuestas y estimacin de tiempo.

Actividad
Responsable(s)
Tiempo
estimado
Junio 2008
Desarrollo de un diagnstico de la situacin Equipo MAI

actual de la CGR respecto del modelo de
madurez propuesto.
Desarrollar instrumentos para la captura Equipo MAI
Junio 2008
de informacin que sirva de insumo

para crear el MAI. Coordinar con equipo
MAGEFI.
Realizar talleres con expertos en los Equipo MAI
diversos procesos de la CGR.
Coordinacin
Julio 2008
con
Equipo MAGEFI
Documentacin por parte de los expertos Expertos en los procesos Segundo
de los datos asociados a cada proceso.
semestre
2008
Clasificacin de los datos de los procesos, Expertos en los procesos Segundo
tipificar criticidad y seguridad.
semestre
Reunir y tabular la informacin que los Equipo MAI
2008
Noviembre
expertos provean respecto a la informacin
2008
que se utiliza en su proceso.
Enero 2009
Elaborar representacin lgica del MAI.
Equipo MAI
Primer
semestre
Elaborar documentacin y diccionario del Equipo MAI
2009
Primer
MAI.
semestre
Plantear Macro-Sistemas que soporten los Equipo MAI
2009
Mayo 2009
macro-procesos.
Plantear
los
procedimientos
de DEI
actualizacin futura del MAI.
Equipo MAI
Segundo
semestre
Utilizacin del MAI como herramienta DEI
2009
Segundo
para dirigir la inversin tecnolgica con USTI
semestre
alineacin estratgica institucional.
2009
Evaluacin de resultados y revisin de DEI
Segundo
logro de objetivos y productos previstos.
semestre 2009
Equipo MAI
Anexo - NTP6
Informe de gestin 2008-01

Normas Tcnicas
Informe de seguimiento 2008-01
Introduccin
El propsito de este documento es informar sobre las actividades realizadas al 30 de
junio del 2008; en la Contralora General de la Repblica, con base al cronograma en
ejecucin establecido para cumplir con la implementacin de las normas tcnicas para
la gestin y el control de las tecnologas de informacin, de acuerdo con la resolucin
Nro. R-CO-26-2007 emitida por el Despacho de la Contralora General, en La Gaceta
Nro. 199 del 21/06/2007.
Actividades ejecutadas
a. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Licda. Marta Acosta,
y lo integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos
Alpzar, y Miguel Aguilar, en representacin de las diferentes unidades.
b. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones semanales con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; en esta actividad se
cuenta con la asesora de Jos Alpzar.
c. Se reactiv el Comit Gerencial de Tecnologas de Informacin y
Comunicacin (CGTIC), el cual est presidido por la Sub Contralora General.
Norma 1.6.
d. La comisin elabor un diagnstico de la situacin actual, el cual incluye
las acciones y productos esperados para cerrar la brecha existente, as
como el respectivo cronograma. Ambos documentos fueron validados por

el CGTIC.
e. Como parte de la promulgacin y divulgacin de un marco estratgico,
se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre
el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico
Institucional. Norma 1.1.
f. Se aprobaron en el CGTIC las prioridades y los proyectos a desarrollar,
de acuerdo con las recomendaciones del PTAC. Se crearon los equipos
de trabajo con sus respectivos lderes, y se les capacit en el uso de
herramientas para elaboracin y seguimiento de proyectos. Norma 1.1.
g. Se identificaron y definieron los riesgos generales en TI, se elabor un
manual de riesgos para la gestin y valoracin trimestral, y se capacitaron
dos funcionarios de USTI en SEVRI. Se est a la espera del estndar
institucional a generar por parte de la Divisin de Estrategia Institucional
(DEI), para integrar estos riesgos de T.I con los definidos a nivel de la
institucin. Norma 1.2.
h. Ya se tiene la estructura del Manual de Gestin de Calidad sobre las reas
de accin de TI; as como el diseo de un sistema de informacin que
permita el registro de solicitudes por servicios de TI, soluciones, y mtricas
para mejora continua y control de calidad; se iniciar con la construccin
del mismo. Norma 1.3.
i. Los proyectos de TI estn siendo fortalecidos por una participacin cada
vez ms comprometida de los patrocinadores, evidente en el aporte de
recurso humano. Buscando la estandarizacin en cada equipo, se les
brind la induccin necesaria para que apliquen la Gua Metodolgica para
desarrollo de proyectos. Norma 1.4.
j. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en
la USTI una revisin de sta, recopilando una serie de mejoras propuestas
por el mismo personal que desarrolla las aplicaciones. Se elabor la nueva
gua y se distribuy a todos los lderes de proyecto, los cuales quince

das despus emitieron sus observaciones y recomendaciones para ser
consideradas en a versin final,
generndose un nico instrumento
metodolgico para guiar el rumbo de accin de los proyectos de tecnologa

en la CGR, el cual se encuentra en su etapa final. Norma 1.4, 3.2
k. Se elabor un Marco de Seguridad integral actualmente en borrador-, en
proceso de revisin, el cual incluye las Directrices de Seguridad aprobadas
y en ejecucin. Para efectos de divulgacin; entre otros, se coordin con
RH para que como parte de la induccin se incluya lo correspondiente a
seguridad en TI. Norma 1.5.
l.
Sobre planificacin de la capacidad, se trabaja en la elaboracin de un

manual actualmente en borrador- para definir las unidades de medida,
mtricas e indicadores que sustenten las decisiones y orienten la evolucin
de la plataforma tecnolgica. Norma 4.2.
m. Los compromisos de gestin y el PAO estn alineados a la gestin estratgica

de TI. Norma 2.1.
n. Se tiene un equipo de trabajo actualizando el modelo de la Arquitectura
de Informacin, para lo cual elabor un diagnstico de situacin y un
instrumento metodolgico para su construccin. Este equipo ha realizado
una investigacin de mejores prcticas metodolgicas para el desarrollo de
dicho modelo, y se tom la decisin de utilizar la metodologa Bussiness
System Process (BSP). Norma 2.2.
o. El presupuesto de inversiones del 2009 est elaborado con base al PTAC.
Norma 2.5.
Al 30 de junio se considera que la implementacin de las normas tcnicas avanza

satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento de las
mismas en la fecha establecida.
Saludos cordiales,
Miguel Aguilar
Anexo - NTP7
Guia Metodolgica para

administracin Proyectos TI
1. Introduccin.
Con el fin de establecer un lenguaje comn a nivel institucional; as como un estndar
en la ejecucin y documentacin de proyectos de tecnologas de informacin y
comunicacin, se define en este documento la Gua Metodolgica que se debe aplicar
en la Contralora General de la Repblica (CGR).
La presente Gua Metodolgica, se elabora no slo para efectos de estandarizacin,
sino tambin en cumplimiento con lo establecido en el Manual de Normas Tcnicas
para la Gestin y el Control de las Tecnologas de Informacin, emitidos por la CGR.
Esta metodologa para la administracin de proyectos de TIC tiene como objetivo,
esbozar una serie de pasos comunes a seguir, con el fin de mejorar las probabilidades
de xito de los proyectos, teniendo siempre presente que en ltima instancia el
xito de los mismos est en funcin del nivel de motivacin y mstica de que estn
impregnados en los integrantes del equipo de trabajo, de la disponibilidad de recursos
y del nivel de apoyo que brinde oportunamente la alta Gerencia.
Un proyecto en Tecnologas de Informacin y Comunicaciones (TIC) es todo aquel
que introduzca en la organizacin elementos tecnolgicos que soporten y hagan ms
eficiente la ejecucin o el desarrollo de un proceso. Se consideran como proyectos de
este tipo, el desarrollo de un sistema automatizado, o la implantacin de una solucin
tecnolgica de hardware o de software, lo cual hace que el mismo proyecto sea muy
distinto y variado en cuanto a sus actividades se refiere. Todo proyecto en TIC deber
estar siempre orientado al logro de los objetivos institucionales y obtiene su sentido
en la medida que aporta un valor agregado a la organizacin, respondiendo a sus
necesidades de manejo de la informacin y del conocimiento.
Para los efectos de esta metodologa, se define un proyecto como:

Una secuencia de tareas con un principio y un final, limitadas en el tiempo por
los recursos y los resultados deseados.
Esto significa que un proyecto tiene un resultado deseado especfico, una fecha lmite
o fecha objetivo en la que el proyecto debe estar realizado y un presupuesto que limita
la cantidad de personal, suministros y dinero que pueden utilizarse para realizar el
proyecto.
Si el equipo a cargo del proyecto esta consciente de que su trabajo es importante y
necesario para la organizacin, estar en una mejor posicin para enfrentar y vencer,
la serie de obstculos que todo proyecto sin excepcin enfrenta.
En el desarrollo de todo proyecto existen diferentes actores cuyos roles sern
debidamente establecidos dentro de la presente gua metodolgica. En el anexo
1 se presentan cada uno de los diferentes roles involucrados, que sern partcipes
de las actividades planteadas en cada una de las etapas del proyecto. Como todo
instrumento metodolgico est sujeto a mejoras en el tiempo, aspecto que se explica
en el anexo 2.
Sin importar los objetivos que los proyectos busquen, se puede ver que todos presentan
etapas bsicas, con algunas pequeas variantes. Cada una de stas ser detallada en
la presente gua.
2. Objetivo
Definir la gua metodolgica para el desarrollo de proyectos en Tecnologas de
Informacin y Comunicaciones, que ser aplicada en la Contralora General de la
Repblica.
3. Objetivos especficos
a. Definir un marco de referencia comn para todos los proyectos de TIC,
uniformando tcnicas y mtodos de trabajo.
b. Establecer las etapas y actividades a realizar, as como los entregables en
cada una de ellas.
c. Definir para los proyectos que contemplen el desarrollo de un sistema
de informacin automatizado, las fases a cumplir con sus diferentes
entregables.
d. Sealar la organizacin, las funciones y las responsabilidades de los
involucrados en el proceso de desarrollo de un proyecto de TIC.
4. Etapas de los Proyectos de TIC

A continuacin se presentan las etapas de un proyecto, con un breve detalle de los
objetivos para cada una de ellas, en funcin de lograr los resultados deseados a tiempo
y dentro del presupuesto esperado. (Ver figura # 1)
4.1. Etapa 0. Anteproyecto.
La organizacin identifica una serie de necesidades que pueden ser atendidas
mediante el desarrollo de un proyecto.
Se determinan las expectativas generales de los interesados, as como el
efecto y resultados esperados.
Identificar los actores involucrados en el proyecto a desarrollar.
Confeccionar la ficha de anteproyecto.
Someter el anteproyecto a la evaluacin del Comit Gerencial de Tecnologas
de Informacin y Comunicacin (CGTIC), el cual valorar su viabilidad y
prioridad dentro de la organizacin.
4.2. Etapa 1. Iniciacin.

Corroborar las expectativas generales de los usuarios, gerentes y de
cualquier otro interesado, para establecer los resultados esperados y el
alcance del proyecto.
Definir la organizacin del proyecto y seleccionar el equipo de trabajo.
Realizar un informe de diagnstico que permita establecer las diferentes
opciones de solucin a ser evaluadas.
Elegir la alternativa de solucin a ser desarrollada.
4.3. Etapa 2. Planeacin.
Revisar los objetivos y alcances del proyecto en funcin de un adecuado
balance entre resultado, tiempo y recursos.
Listar las tareas y actividades que se deben ejecutar para lograr los alcances
definidos del proyecto.
Secuenciar u ordenar las actividades en funcin de las dependencias
tcnicas entre ellas y de los recursos disponibles.
Elaborar el calendario de requerimientos de recursos en el tiempo, para
lograr los alcances deseados.
Obtener la aprobacin para el plan de trabajo.
Mantener los planes de trabajo balanceados durante todo el desarrollo del
proyecto, en funcin de las variaciones que se produzcan en los alcances,
tiempos y recursos.
4.4. Etapa 3. Ejecucin.
Asignar, controlar, supervisar y liderar el desarrollo de las actividades
planeadas.
Efectuar reuniones de trabajo entre los integrantes del equipo de trabajo y
el lder del proyecto.
Comunicacin constante entre los diferentes participantes en el proyecto

y hacia la Unidad Ejecutora; comunicacin que debe ser promovida por el
lder del proyecto.
Gestionar la solucin de los problemas que puedan surgir durante la
ejecucin y asegurar la consecucin de recursos (dinero, gente, equipo),
para llevar a cabo el proyecto.
Si el proyecto tiene como objetivo el desarrollo de un sistema automatizado,
deber desarrollar las fases indicadas en el anexo 4.
4.5. Etapa 4. Control.
Monitorear las desviaciones del plan y determinar sus posibles causas.
Efectuar las acciones correctivas para lograr la ejecucin del plan.
Evaluar los requerimientos de cambios solicitados por los patrocinadores
y los miembros del grupo; determinando el impacto en los alcances, en el
tiempo o en los recursos.
Detectar variaciones en los alcances, en la asignacin de recursos o en el
tiempo en que se deseen lograr los resultados.
Retornar a la Etapa de planeacin para hacer ajustes a las metas del
proyecto y obtener aprobacin de los patrocinadores, si fuese necesario.
4.6. Etapa 5. Conclusin.
Documentar las lecciones aprendidas durante su ejecucin.
Informar sobre la terminacin y los alcances logrados.
Consolidar toda la documentacin generada.
Elaborar el informe final de proyecto.
Liberar los recursos asignados.
Entregar el informe final al Patrocinador.
Inicio
Figura # 1. Fases de un Proyecto.
Pl
an
ea
ci
Eje
cu
ci
Cierre
Control
A continuacin se presenta de forma detallada las acciones que se deben realizar en

cada una de las etapas.
6. Anteproyecto (Etapa 0)
Todo proyecto tecnolgico a desarrollar debe estar contemplado en el Plan Tctico de
TIC (PTAC), el cual responde a las orientaciones que plantea el Plan Estratgico de
Tecnologas de la Informacin y Comunicaciones (PETIC) de la Contralora General de
la Repblica (CGR).
El proceso de actualizacin del PTAC, que se realiza peridicamente; establece segn
las prioridades de la organizacin, cuales son los proyectos que se deben desarrollar con
el fin de aportar el soporte tecnolgico que la organizacin necesita para mantenerse
actualizada y apoyada para el cumplimiento de sus metas y objetivos.
Todo proyecto a desarrollar debe tener su ficha de anteproyecto, misma que ser
evaluada y priorizada por el Comit Gerencial de Tecnologas de Informacin y
Comunicaciones (CGTIC), a solicitud de la Unidad de Sistemas y Tecnologas de
Informacin (USTI). Este comit elige de los anteproyectos planteados, aquellos que
sern tomados en cuenta en la cartera de proyectos del PTAC.
Los anteproyectos que no sean incluidos en el PTAC debern ser re-evaluados en
sus alcances y objetivos, cada vez con un mayor nivel de detalle, hasta que llegue el
momento de incluirlo en una reformulacin del PTAC. Dados los procesos de planeacin
estratgica, el anteproyecto sobrevivir y llegar a ser un proyecto operativo, mientras
el mismo tenga como alcances una funcin estratgica dentro de la organizacin. Si
el mismo perdiera vigencia o dejara de ser importante para la organizacin, el mismo
proceso de planeacin se encargara de eliminarlo.
La organizacin como un todo y la USTI, realizarn cada ao el ejercicio de planeacin
operativa (PAO), con un horizonte de planeacin de dos aos. Tomando como insumo
la cartera de proyectos del PTAC, la USTI define los alcances, se detallan los recursos
y se plantea un horizonte de tiempo esperado, para cada uno de los proyectos.
Para la estimacin del tiempo, se puede recurrir a diferentes tcnicas, como lo es el

juicio experto o la comparacin con proyectos ya concluidos.
Se debe tener claro que en esta etapa, an no se ha creado un equipo de trabajo
ni se ha realizado una evaluacin profunda, sobre las tres variables bsicas de todo
proyecto a saber: tiempo, recursos y alcances. Por lo tanto es de esperar, que al
crearse el equipo de trabajo y se entre a los niveles de detalle como en la etapa de
planeacin, los contenidos de dichas variables cambien.
5.1. Planteamiento de los anteproyectos
Todo anteproyecto de TIC intenta resolver una serie de necesidades que manifiesta la
organizacin en el desarrollo o actualizacin de alguno de sus procesos.
En el proceso de planeacin estratgica de la CGR se determinarn dichas necesidades
y de un primer anlisis de stas se deber plantear ante la jefatura de la USTI, una
ficha de anteproyecto. Dicha jefatura realizar un anlisis inicial de la propuesta
antes de someterla a evaluacin del CGTIC; el cual asignar una prioridad con la
cual determinar si debe permanecer en espera de ser atendido o si es contemplado
dentro de la siguiente revisin y reformulacin del PTAC; todo conforme al proceso de
planeacin explicado anteriormente.
El formato para la ficha de anteproyecto se encuentra detallado en el anexo 7.
5.2. Ajustes a los anteproyectos
Cuando un anteproyecto requiera ajustes o replanteamientos, deber reformularse la
ficha de proyecto y volver a someterlo ante la jefatura de la USTI, quien le realizar un
anlisis y lo someter a consideracin del CGTIC.
Cualquier cambio en cuanto a los resultados esperados, alcance planeado, efecto,

objetivos o productos, requiere de ser aprobado por el CGTIC antes de proceder con
la etapa de iniciacin del proyecto.
5.3. Productos de la etapa:
Ficha de anteproyecto
5.4. Punto de Control:
Evaluacin y priorizacin del anteproyecto por parte del CGTIC.
6. Iniciacin (Etapa 1)
En esta etapa se corroboran los alcances globales del proyecto y las expectativas
generales de los diferentes interesados. Adems se define la organizacin del proyecto
estableciendo las funciones y responsabilidades de cada uno de los involucrados, as
como el perfil deseable de los integrantes del equipo de trabajo. Ver anexo 1.
Una vez establecido formalmente quienes asumen las funciones de Patrocinador(es)
de Proyecto, Lder de Proyecto y Lder Tcnico de Proyecto; estos inicialmente
proceden a realizar un diagnstico de la situacin con el fin de establecer estrategias
de solucin, para que el patrocinador del proyecto determine la forma en que se
desarrollar.
6.1. Organizacin para el proyecto
Es necesario que las personas a cargo del proyecto tengan una estructura organizativa
que garantice un formalismo operacional, que permita lograr los fines propuestos.
Esta estructura podra variar en funcin de la magnitud y complejidad de los proyectos
y puede ser matricial.
La organizacin del proyecto requiere la interaccin de personas de las diferentes
reas, segn la siguiente definicin de estructuras:
Unidad Ejecutora
Grupo de Apoyo
Equipo de Trabajo
Equipo de apoyo tcnico
Cada uno de los participantes tiene asignadas tareas y responsabilidades especficas,
para un adecuado desempeo de su funcin.
Los participantes en el proyecto que conforman la organizacin descrita, son

identificados como sigue:
Participantes por parte de la unidad(es) patrocinadora(s):
Patrocinador(es) del Proyecto
Lder del Proyecto
Equipo de Trabajo
Participantes por parte de la USTI:

Coordinador de Proyectos (Jefatura o funcionario asignado)

Lder Tcnico
Equipo de apoyo tecnolgico
Para la conformacin de la organizacin del proyecto de TIC se deber considerar el
siguiente organigrama:
Organigrama del proyecto
Patrocinador
del proyecto
Grupo de
apoyo
Coordinador de
proyectos
Lder de
proyecto
Lder
Tcnico
Unidad Ejecutora
Equipo de trabajo
Equipo de apoyo
tcnico
Para un mayor detalle de los perfiles y de las responsabilidades de los miembros

permanentes ejecutores de un proyecto de TIC, refirase al anexo 3 de la presente
metodologa. A continuacin se presenta una explicacin de cada uno de estos
ejecutores del proyecto:
6.1.1. Unidad Ejecutora
La Unidad Ejecutora es el ente coordinador de los aspectos relacionados con el
desarrollo del proyecto de TIC.
Sus responsabilidades principales son:
Aprobar la organizacin, los recursos, y el cronograma del proyecto.
Velar por la calidad de los productos de cada una de las etapas y hacer las
recomendaciones necesarias.
Resolver las situaciones que puedan afectar el buen funcionamiento del
proyecto.
Aprobar los productos generados y ejercer los puntos de control establecidos
en cada etapa.
Est constituida por:
Patrocinador(es) del Proyecto (Coordinador)
Coordinador de Proyectos (Jefe de la USTI o a quien designe)
Lder del Proyecto.
Lder Tcnico.
6.1.2. Patrocinador del Proyecto

Es el jefe de la Unidad Organizacional para la cual se va a desarrollar un proyecto de

TIC. Segn sea el proyecto pueden verse involucrados ms de un patrocinador.
6.1.3. Grupo de Apoyo

Lo conforman funcionarios cuya experiencia y conocimientos son de gran ayuda a
nivel de asesora para el equipo de proyecto. Tambin lo pueden integrar grupos de
usuarios con inters en los resultados del proyecto.
6.1.4 Coordinador de proyectos
Esta funcin la lleva a cabo el Jefe de la USTI con fines de armonizar y asegurar
el aprovechamiento de componentes tecnolgicos, puede ser ejecutada por el
coordinador de proyectos de la USTI.
6.1.5. Lder del Proyecto
El Lder del Proyecto es un funcionario con gran conocimiento de su rea funcional,
aspecto por el cual se le ha conferido la capacidad de tomar decisiones y la
responsabilidad de participar activamente en la direccin del proyecto. Vela tanto por
los mejores intereses de su rea como por los de la Contralora General de la Repblica,
en lo que respecta al proyecto de TIC. Es el responsable directo del proyecto y de los
productos entregados.
En aquellos casos en donde el proyecto tenga un mayor componente tcnico en
materia de introduccin de nueva tecnologa, estar justificado que la direccin sea
asumida por un representante de la USTI, por su mayor experiencia en la materia
tecnolgica.
6.1.6. Lder Tcnico del Proyecto
Este es un funcionario al cual, por su formacin en el rea de informtica, experiencia
y capacidad, se le ha conferido la responsabilidad de administrar los aspectos
tecnolgicos de un proyecto de desarrollo informtico. Es el responsable directo del
desarrollo del proyecto en lo que corresponde a la parte tcnica, para ello aplica las
polticas, normas y procedimientos de trabajo aprobados.
6.1.7. Equipo de apoyo tecnolgico
Son los funcionarios especialistas en el rea de tecnologas de informacin que apoyan
la labor del Lder Tcnico, en materias tales como programacin, base de datos,
configuracin y operacin de equipos principales, y conectividad.
6.1.8. Equipo de trabajo
Son usuarios de los procesos funcionales involucrados en el proyecto de TIC a desarrollar,
conocedores de las necesidades a resolver e involucrados en la implementacin de la
solucin. Un aspecto de primer orden para garantizar el xito de un proyecto, estar
en la escogencia de un excelente equipo de trabajo.
6.1.9. Equipo de proyecto
Lo conforman el Lder de Proyecto, el Lder Tcnico, el equipo de trabajo y el equipo
de apoyo tecnolgico.
6.2. Organizacin del Proyecto
La informacin relacionada con la organizacin del proyecto debe quedar debidamente
formalizada y documentada, para lo cual en el anexo 8 encontrar el formato de
documento a utilizar.
6.3. Informe de diagnstico:

El informe de diagnstico especifica los resultados de la valoracin efectuada sobre la
solicitud de desarrollo de un proyecto de TIC. Este documento es confeccionado en
conjunto por el Lder Tcnico y el Lder de Proyecto; debiendo contener las siguientes
secciones:
6.3.1. Situacin actual
El Lder Tcnico con la colaboracin del Lder de Proyecto debe realizar un anlisis
de la situacin actual donde se describa la forma como el proceso se est realizando;
ya sea con alguna herramienta tecnolgica existente o de forma totalmente manual.
En este anlisis se debe hacer nfasis en la bsqueda de oportunidades de mejorar los
procesos actuales, en procura de que la insercin de tecnologa permita la realizacin
de actividades de forma ms eficiente y efectiva.
6.3.2. Alcances del proyecto
Los alcances establecen de manera clara, hasta dnde llegar el proyecto de TIC y
debern permitir el manejo de expectativas comunes entre todos los interesados y
participantes del proyecto.
Uno de los aspectos ms crticos de todo proyecto, es detallar y comunicar lo que cada
uno de los interesados (muchos de ellos patrocinadores) esperan. Por ello resulta
imprescindible que para cada interesado se establezca lo que espera obtener cuando
ste concluya.
Las expectativas de cada interesado debern ser conocidas por los dems y por
todos los integrantes del equipo de trabajo y debern quedar documentadas en este
apartado del diagnstico. Estas expectativas sern de referencia obligada para el

equipo de trabajo, con el fin de mantener enfocado el proyecto. Si en algn momento
se determinase que alguna de las expectativas enumeradas no podr ser alcanzada, el
grupo de proyecto est en la obligacin de comunicar esta situacin al interesado con
las justificaciones del caso, no sin antes haber evaluado la posibilidad de modificar el
proyecto para su cumplimiento.
Si en algn momento, se determina que no es factible lograr alguna de las expectativas
enumeradas, se deben realizar las modificaciones sustanciales del proyecto, sin
descartar la posibilidad de cancelarlo, en caso de que fuese imposible lograr los
alcances esperados.
Si el proyecto lo que busca es el desarrollo de un sistema de informacin, en este
apartado deber incluir al menos una descripcin de lo que se pretende obtener y
hasta dnde se desea llegar con la automatizacin.
6.3.3. Objetivos del proyecto
Definicin de los objetivos generales y especficos esperados con el sistema o solucin
tecnolgica, con base en lo planteado en la ficha de anteproyecto. Se refieren al nivel
de desempeo que se debe lograr para satisfacer una necesidad determinada.
En caso de requerir un cambio en los objetivos del proyecto, esto se ver como un
cambio a lo establecido en la ficha de anteproyecto y deber atenderse como se
estableci en el punto 5.2 de esta gua metodolgica.
6.3.4. Anlisis de riesgo

El Lder de Proyecto y el Lder Tcnico debern hacer un anlisis de riesgos del
proyecto de acuerdo con la metodologa establecida institucionalmente, basndose
en los siguientes riesgos y otros que considere de relevancia:
a. El proyecto no est alineado con la Estrategia Institucional.
b. El proyecto no est incluido dentro de la cartera de proyectos del PTAC.
c. El proyecto no cuenta con un patrocinador comprometido.
d. No se tiene el recurso humano necesario y calificado para el desarrollo del
proyecto
e. El recurso humano asignado al proyecto no dispone del tiempo requerido
para el mismo.
f. No se tiene el presupuesto necesario para la ejecucin del proyecto.
g. No se tiene la infraestructura tecnolgica (interna y externa) apropiada para
la puesta en operacin de la solucin tecnolgica.
h. El personal no tiene la suficiente capacitacin para utilizar las herramientas
tecnolgicas requeridas por el proyecto.
i. No se cuenta con el personal calificado en las materias relacionadas con
el proyecto.
j. Incumplimiento del plan de trabajo
k. Los objetivos y alcances del proyecto pueden ser modificados.
l. No se tiene la estructura administrativa (interna y externa) para soportar la
operacin de la solucin tecnolgica.
6.3.5. Identificacin de estrategias de solucin y su factibilidad
Establecer y explicar las diferentes estrategias de solucin para la construccin de la
solucin tecnolgica de acuerdo a los alcances definidos, considerando el anlisis de
factibilidad econmica, operativa y tcnica.
Cuando se planteen dos o ms estrategias de solucin se deber realizar un

anlisis comparativo entre ellas de ventajas y desventajas. Dentro de este anlisis
y en la medida de lo posible, se deber realizar un anlisis de costo/beneficio de
las estrategias propuestas para hacer una evaluacin de su factibilidad econmica
definida en trminos de costos y ahorros. No slo tomando en cuenta los costos de
implementacin de la solucin sino tambin los costos asociados a su sostenibilidad
durante su operacin. Este anlisis econmico es fundamental para los proyectos
donde se tenga adquisicin de nueva tecnologa.
Para ello se sugiere tener en cuenta los costos administrativos, operativos, laborales,
tecnolgicos, y otros. Se deben considerar los beneficios tangibles e intangibles que
se obtienen con el sistema, por ejemplo: tiempo requerido para la actualizacin o
conclusin del proceso, desplazamiento de personas, aprovechamiento de equipo y
las herramientas existentes, aprovechamiento de mejores prcticas en el mercado,
reduccin de gastos y simplificacin de trmites.
El nivel de detalle de esta evaluacin depender directamente de la complejidad del
proyecto y de los recursos disponibles para la elaboracin del estudio. En cualquier
caso deber contemplar las variables bsicas que determinen la viabilidad del proyecto
y su permanencia en el tiempo.
Si bien es cierto se cuenta con unas fechas de inicio y de fin sugeridas, esta definicin
de tiempo para el desarrollo del proyecto se debe ir afinando conforme el equipo de
trabajo conozca ms detalles del mismo. Con base en los alcances identificados del
proyecto, estudio de la situacin actual y el anlisis de riesgos se deber presentar
la estimacin inicial del tiempo que se requiere para cada una de las opciones de
las soluciones sealadas; acompaadas de los supuestos y restricciones que apoyan
dichas estimaciones.
Para cada una de las estrategias de solucin se deber identificar:

Ventajas y desventajas (Costo/Beneficio)
Factibilidad operativa, tcnica, econmica y legal
Riesgos asociados
Complejidad tcnica en el desarrollo y en la implementacin
6.3.6. Recomendacin de una estrategia de solucin
Cuando se tengan dos o ms estrategias de solucin y basado en las consideraciones
anteriores; el equipo de proyecto recomendar una de las estrategias de solucin; o
segn sea el caso podra recomendar no continuar con el desarrollo del proyecto, al
no considerarlo factible desde el punto de vista econmico, operativo, legal o tcnico.
6.4. Seleccin de la estrategia de solucin:
La Unidad Ejecutora del proyecto deber indicar su criterio sobre la forma en que
debe desarrollarse, basado en los resultados obtenidos en el diagnstico realizado.
En la seleccin de la opcin la Unidad Ejecutora puede recomendar al CGTIC alguna
de las siguientes decisiones:
Seleccionar alguna de las opciones recomendadas.
Posponer el proyecto para un momento ms oportuno, esto de acuerdo con
los intereses y prioridades de la Institucin.
Cancelar el proyecto ya que el mismo no es viable desde el punto de vista
operativo, legal, econmico o tcnico; o porque las prioridades institucionales
as lo requieren.
Cuando la Unidad Ejecutora haya seleccionado el curso de accin para el proyecto

que considere ms adecuado, deber documentarlo utilizando el formulario que se
detalla en el anexo 9.
6.5. Insumos de la etapa:
Ficha de anteproyecto.
6.6. Productos de la Etapa:
Informe de diagnstico.
Descriptivo de la Organizacin del Proyecto.
Estrategia de solucin para el proyecto.
6.7. Puntos de Control:
El patrocinador (o patrocinadores) del proyecto oficializa(n) los nombramientos del
lder de proyecto, as como la conformacin de los equipos de trabajo, y la USTI la del
lder tcnico y la del equipo de apoyo tcnico.
La Unidad Ejecutora del proyecto define la estrategia de solucin para el proyecto,
eligiendo el curso de accin a partir del anlisis de las diferentes opciones planteadas
en el informe de diagnstico.
7. Planeacin (Etapa 2)
El principal objetivo de esta etapa es especificar a un nivel detallado, las diferentes
actividades a realizar, reflejadas en un plan de trabajo. Para ello el equipo de trabajo
deber empezar por analizar los objetivos y alcances del proyecto, deber identificar
los recursos requeridos y establecer un cronograma de proyecto. Se debe utilizar el
software institucional para administracin de proyectos.
Como requisito para iniciar con esta etapa, el equipo de trabajo debe ya estar
formalmente constituido y se debe tener una estrategia de solucin, establecida a
partir del anlisis de los resultados del diagnstico elaborado en la etapa anterior, la
cual determina el curso de accin para las tareas que deber realizar el equipo de
proyecto, con miras a lograr el objetivo propuesto.
Siendo la labor de planeacin cclica, como se muestra en la figura # 1, la misma
se debe realizar tanto para el inicio, como durante la realizacin del proyecto. Si el
proyecto mostrase atrasos considerables en alguna de sus etapas, que no pudiesen
ser absorbidos por las holguras de los proyectos, o bien por un esfuerzo adicional
que ubique de nuevo el proyecto en su planeacin inicial, se debe realizar un nuevo
plan de proyecto, para el resto de las actividades a cumplir. Esta nueva versin del
plan puede variar los alcances del proyecto, o bien la calidad y cantidad de recursos
asignados.
El elaborar el plan es una labor muy delicada y se debe realizar con la participacin
de todos los miembros del equipo. Como en toda actividad grupal surgirn una serie
de opciones sobre como realizar las cosas, por lo que ser habilidad del Lder de
Proyecto conciliar criterios, de modo tal que se llegue a un consenso sobre cuales son
las actividades a desarrollar, para llegar a cumplir las finalidades del proyecto.
7.1. Elaboracin del Plan de Trabajo:

Teniendo siempre presente cual es el objetivo que se pretende, se recomienda cumplir
con los siguientes pasos, en un trabajo grupal.
a. Se debe elaborar una lista o enumeracin de todas las actividades que se
deben realizar para cumplir la meta.
b. Por cada actividad se debe tener claro cual es su propsito y el producto a
lograr a su conclusin.
c. El producto a lograr por cada actividad debe ser claro y conciso, si no es as
se debe desglosar o partir la actividad, en tantas como sea necesario para
que cada actividad tenga un producto definido y claro.
d. Cuando se tengan las actividades debidamente enmarcadas en cuanto
al producto a lograr, se debe proceder a definir que recursos humanos o
tcnicos requiere cada una de ellas.
e. Ntese que hasta el momento no nos hemos preocupado por la duracin
de las actividades ni en que momento se han de ejecutar, nos hemos
preocupado por crear consenso sobre lo que se quiere lograr y como
lograrlo. El siguiente paso ser determinar cuanto tiempo tomaremos
en cumplir cada una de las actividades, en funcin de los recursos que
tendremos disponibles.
f. El siguiente paso consistir en agrupar aquellas actividades cuyo producto
intermedio o final, sea un componente de un mismo resultado. Todas
estas actividades las podemos agrupar en una etapa o subproyecto, al
final del cual siempre debe haber un producto claramente definido, al que
llamaremos entregable intermedio o final, segn sea el caso. La definicin
de las etapas o subproyectos, depende del tamao del proyecto, del nivel
de control que es necesario tener y del nivel de conocimiento que el grupo
tenga sobre la materia.
g. Una vez agrupadas las actividades en etapas o subproyectos, se debe

proceder a determinar cual es el tipo de relacin que existe entre cada
actividad, pudiendo sta ser, predecesora inmediata o sucesora inmediata
o sin relacin. Predecesora inmediata ser aquella actividad que debe
haber sido concluida para que otra sucesora inmediata inicie.
h. Entre una actividad predecesora inmediata y otra sucesora inmediata,
puede haber un lapso de tiempo que llamaremos holgura, la cual puede
ser negativa, cero o positiva. Ser cero cuando una actividad de acuerdo al
plan debe iniciar de inmediato, tan pronto concluye su predecesora. Ser
positiva cuando entre el tiempo de conclusin de la predecesora y el inici
de la sucesora, pueden transcurrir n cantidad de das. Ser negativa
cuando la actividad sucesora, puede iniciar segn el plan, n cantidad de
das antes de que concluya la actividad antecesora.
i. Con toda la informacin anterior, se debe proceder a balancear las
actividades de manera tal que el entregable de la etapa o subproyecto se
logre en el menor tiempo posible. Entendemos como balanceo el agrupar
las actividades, de manera tal que muchas de ellas se puedan ejecutar
en paralelo, cuando los recursos y las dependencias entre actividades lo
permitan. Se debe evitar que un recurso quede sobrecargado ms all de lo
razonablemente aceptable. En el caso de los recursos humanos, se deben
considerar las ausencias planificables, programando por cada recurso el
tiempo formalmente comprometido al proyecto.
j. Todas aquellas actividades que al final del proceso de planeacin presenten
una holgura de cero, formarn lo que conoceremos como la ruta crtica.
Estas son las actividades que no se deben retrasar, ya que su retrazo implica
un atraso de la etapa o subproyecto. Se debe tener presente que aquellas
actividades que presenten holguras positivas, una vez consumidas stas
entran a la ruta crtica y podra tambin retrazar el proyecto.
7.1.1. Fases para el desarrollo de un sistema de informacin automatizado

En el caso de que el proyecto tenga como objetivo el desarrollo de un sistema de
informacin automatizado, el plan de trabajo deber contemplar las actividades propias
de las fases explicadas ampliamente en el anexo 4. Para este caso el cronograma
deber detallar actividades agrupndolas por cada fase.
Cuando un sistema requiera de ajustes por la atencin de nuevos requerimientos, sin
que esto pueda ser calificado como un cambio de versin en dicho sistema, su atencin
deber cumplir con las fases propias del control de cambios para el mantenimiento de
sistemas, mismas que estn explicadas en el anexo 5.
Si los cambios que un sistema requiere son de tal impacto que realmente se estara
generando una nueva versin, el tratamiento de tales requerimientos deber atenderse
con la rigurosidad de un proyecto de desarrollo de sistemas normal.
7.2. Formulario de planeacin de recursos:
Para documentar los diferentes recursos que se necesitan en el proyecto y el momento
en que se requieren, deber utilizarse el formulario que se detalla en el anexo 10.
De ser necesario, durante el transcurso del proyecto se documentar en el mismo
formulario, cualquier variacin de los mismos.
Informe de diagnstico.
Estrategia de solucin para el proyecto.

Plan de trabajo para el proyecto (Cronograma).
Formulario de planeacin de recursos.
La Unidad Ejecutora del Proyecto revisa y da su visto bueno al plan de trabajo del
proyecto y a la planeacin de recursos, como requisito para poder continuar con la
etapa de ejecucin. Si el plan no satisface las expectativas de los integrantes de la
Unidad Ejecutora, sta puede solicitar al equipo de trabajo una reformulacin.
8. Ejecucin (Etapa 3)
El objetivo de esta etapa es propiamente desarrollar y cumplir el plan elaborado
en la etapa anterior.
En reuniones peridicas el equipo de proyecto programa la
ejecucin de las acciones a realizar y las metas a alcanzar, acorde con las actividades
enumeradas en el plan general.
Durante esta etapa el Lder de Proyecto deber mantener informada a la Unidad
Ejecutora respecto del avance en el desarrollo de las actividades, situaciones no
planeadas que se presenten, actividades no programadas y resolucin de problemas.
Dependiendo del mismo plan de trabajo y del tipo de proyecto, durante la etapa de
ejecucin se crearn productos intermedios que debern ser revisados y aprobados
por la Unidad Ejecutora.
8.1. Minutas de reuniones:
No se debe menospreciar la importancia de las reuniones, por lo que es de suma
importancia el dejar documentados todos los asuntos y acuerdos tratados en las
reuniones, sean estas calendarizadas o no.
El Lder de Proyecto deber mantener como parte de la documentacin del proyecto,
las minutas de las reuniones que se realicen. Para la creacin de las minutas deber
utilizarse el formulario que se presenta en el anexo 6.
8.2. Informes de avance:
Los informes de avance debern emitirse con una periodicidad no mayor al mes,
estableciendo valoraciones sobre el desempeo general del proyecto, resaltando
aquellos aspectos que afectan el cumplimiento de los tiempos y de las metas planeadas.
El informe de avance deber ser corto y contener las siguientes secciones:

Tareas planeadas y completadas.
Tareas planeadas no completadas.
Tareas completadas no planeadas.
Grfico de avance mensual y de avance acumulado.
Administracin del riesgo.
Acciones correctivas o preventivas ejecutadas.
Observaciones.
El informe de avance va dirigido a la Unidad Ejecutora del Proyecto y es responsabilidad
del Lder del Proyecto no solo entregarlo, sino asegurarse de que es comprendido.
8.3. Productos intermedios propios del proyecto de TIC.
Dependiendo del tipo de proyecto, durante su ejecucin se presentarn productos
intermedios (documentales o no) que debern ser evaluados y en algunos casos
aprobados por la Unidad Ejecutora.
En el caso de un proyecto de desarrollo de
sistemas de informacin los productos intermedios estn debidamente identificados

en el anexo 4 para cada una de las fases.
Minutas de reuniones.
Informes de avance.
Productos intermedios propios del proyecto de TIC.
La Unidad Ejecutora del Proyecto revisa los informes de avance que emite el equipo de
proyecto, as como los ajustes y actualizaciones realizadas al cronograma de trabajo.
La Unidad Ejecutora del Proyecto revisa los productos intermedios propios del tipo de
proyecto de TIC que se desarrolla. En algunos casos el equipo de trabajo requerir
que se apruebe determinado producto intermedio, antes de continuar con el desarrollo
de tareas subsiguientes.
9. Control (Etapa 4)
Antes de ver el control como una etapa separada, se debe tener claro que ste es una
accin que siempre est presente durante el desarrollo del proyecto. Su fin primordial
es detectar desviaciones del plan de ejecucin en forma oportuna, de manera que
permita tomar acciones correctivas y preventivas. De ser necesario se deber retomar
el proceso de planeacin, para ejecutar las acciones necesarias, reflejndolas en una
nueva versin del plan.
La meta del control es lograr que los objetivos definidos en el plan de trabajo se
cumplan, a partir del seguimiento, ajuste y realimentacin de las acciones planeadas
y ejecutadas.
El proceso de control del proyecto valora como insumo los cambios en el entorno, los
cambios en los recursos, los cambios en las necesidades a solventar, las acciones
realizadas y el plan de trabajo; para emitir acciones correctivas y acciones preventivas.
9.1. Cronograma de proyecto actualizado:
El cronograma debe actualizarse peridicamente con el detalle de las actividades que
se han completado, el porcentaje de avance de las actividades que estn en proceso y
los ajustes propios de un proyecto en ejecucin donde se presentan nuevas tareas no
planeadas o la necesidad de ajustar fechas, producto de desfases que deben quedar
debidamente documentados.
Se debe hacer todo el esfuerzo porque el plan se cumpla, sin embargo todo plan
no es ms que una aproximacin del futuro y por ms cuidado y experiencia que
se haya puesto en la elaboracin del mismo, siempre existirn una serie de factores
que se pueden haber escapado durante la elaboracin del mismo. Otro aspecto muy
importante es que el plan esta enmarcado en una realidad de la organizacin, siendo

la misma un ente vivo y cambiante, y as lo ser el plan.
9.2. Control de avance por unidades de logro
El Lder de Proyecto y el Lder Tcnico deben llevar un control del avance del proyecto,
que no sea por estimacin o por algn criterio experto, sino que sea totalmente objetivo,
enfocando el logro real de cada tarea.
Para ello deben hacer uso de la asignacin de Unidades de Logro (UL) a las tareas
del plan de trabajo y crear un seguimiento de las unidades alcanzadas por el proyecto
de forma acumulada y mensual. A cada tarea planeada se le asigna una cantidad de
unidades de logro y para la contabilizacin de unidades deber tenerse en cuenta que
slo las tareas completas ofrecen logro y que el aporte al logro varia dependiendo de
si la tarea pertenece a la ruta crtica o no.
Para la aplicacin de unidades de logro debern seguirse los siguientes pasos:
Debe pasarse a una hoja electrnica la lista de tareas planeadas en el
proyecto
A partir del cronograma de trabajo deben identificarse cuales son las tareas
que pertenecen a la ruta crtica del proyecto.
A las tareas que son de ruta crtica se les asignar un aporte al logro de 1
UL por cada 2 das que se planea que dure la tarea. Por ejemplo:
una
tarea de ruta crtica que dure 11 das aportar 5.5 UL.

A las tareas que no son de ruta crtica se les asignar un aporte al logro de
1 UL por cada 5 das que se planea que dure la tarea. Por ejemplo: una
tarea que no sea de ruta crtica que dura 11 das aportar 2.2 UL.
La tarea aportar sus UL al mes que corresponda con la fecha de finalizacin
planeada.
Por ejemplo: Si la tarea inicia el 15/06/200X y finaliza el
08/08/200X, las unidades de logro de esa tarea se acumularn para el mes

de agosto (por esto es importante dividir grandes tareas en tareas menores
que mejor contabilicen el logro por mes).
Se suman por mes las UL para tener el total general de UL del proyecto.
Se sumarizan los totales por mes en la tabla de Logro Planeado y Logro
Real, segn hoja electrnica presentada ms adelante. Ntese que de esta
forma se hace diferencia entre el logro alcanzado y el avance en el tiempo,
haciendo del manejo del porcentaje de avance una valoracin real y no una
estimacin por criterio personal.
Con dicha informacin se puede crear una hoja electrnica que calcule
de forma real el porcentaje de avance con relacin a lo planeado y a
lo ejecutado; que lo muestre por mes y por acumulado general para el
proyecto. A continuacin se presenta una hoja electrnica ejemplo que
puede ser ajustada para cualquier proyecto.
9.3. Formularios de acciones correctivas y preventivas:

Cuando en el proceso de control se detecten o prevean desviaciones con respecto a
lo que establece el plan de trabajo, de manera oportuna debern ejecutarse acciones
correctivas y preventivas que vengan a mitigar el impacto de dichas desviaciones
sobre el logro de los objetivos y metas del proyecto.
Las acciones correctivas o preventivas deben estar claramente explicadas e indicar
el o los responsables de ejecutarlas. De ser necesario estas acciones deben quedar
incorporadas en el plan de trabajo para su futuro seguimiento y
documentadas en formularios cuyo formato se detalla en el anexo 11.
debidamente
9.4. Control de cambios.

Durante la ejecucin de cualquier proyecto se pueden presentar cambios que afecten
directa o indirectamente el logro de los objetivos y de las metas. El proceso de control
del proyecto deber analizar; entre otros, los cambios en las condiciones del entorno,
los cambios en los recursos, los cambios en las necesidades a solventar, los cambios
en la tecnologa, cambios en los objetivos, y cambios en la estrategia de solucin.
Todo cambio que afecte el curso de accin, los alcances o la estrategia de solucin;
debe quedar documentado, sobre todo si dichos cambios impactan el cronograma de
proyecto. Adems el Lder del Proyecto deber hacer del conocimiento de la Unidad
Ejecutora todo cambio importante, la cual tiene que aprobar si se atiende o no dicho
cambio.
Para llevar el control de cambios del proyecto se debe usar el formulario que se detalla
en el anexo 12.
Informes de avance.
Cronograma de proyecto actualizado.
Control de avance por unidades de logro.
Grficos de avance acumulado y avance mensual.
Formularios de acciones correctivas.
Control de cambios.

La Unidad Ejecutora del Proyecto revisa los informes que emite el equipo de proyecto
y el control de avance; cuando identifique tareas desfasadas aprobar acciones
correctivas o preventivas tendientes a mitigar el desfase. La Unidad Ejecutora puede
decidir retomar el proceso de planeacin y generar una nueva versin del plan.
10. Etapa 5: Conclusin

En esta etapa se debe revisar el cumplimiento de las metas iniciales a efectos de
realizar el cierre del proyecto.
Toda etapa de conclusin de un proyecto debe cumplir con las siguientes actividades
bsicas.
Enterar a los patrocinadores sobre los resultados del proyecto.
Entrega de productos con su respectiva aprobacin.
Liberar los recursos que an estn asignados al proyecto.
Documentar los procesos finales, entendiendo que el proceso de
documentacin fue un proceso rutinario durante toda la vida del proyecto;
por lo que en esta etapa deber dejarse actualizado el respectivo expediente
de proyecto.
10.1. Informe de conclusin del proyecto:
Todo Lder de Proyecto, con el apoyo del resto de los integrantes del equipo, tiene
que elaborar el informe final de cierre del proyecto, el cual debe cubrir los siguientes
puntos:
Resumen ejecutivo con los principales logros, comparados con las metas
originales del proyecto.
Puntos o tareas que quedaron pendientes, ya sea porque requieren de una
mayor investigacin o elaboracin; o porque se debern retomar para una
segunda versin del proyecto.
Resumen de los asuntos conflictivos y soluciones.
Recomendaciones para mejorar la administracin y ejecucin de proyectos
futuros.
Costo total del proyecto.

Explicacin de las variaciones en el presupuesto.
10.2. Aceptacin a satisfaccin de los productos finales del proyecto:
La Unidad Ejecutora debe revisar y dar por aceptados a satisfaccin los productos
finales del proyecto. Si algn producto no se considera como terminado el proyecto
no est en fase de conclusin.
Luego de la respectiva revisin, el coordinador de la Unidad Ejecutora debe dejar
constancia de la aceptacin de los productos mediante el formulario detallado en el
anexo 13.
10.3. Expediente actualizado del proyecto:
Es necesario recordar que toda la informacin relativa al proyecto que recin termina,
es de vital importancia para otros proyectos o trabajos futuros. Es por ello que el Lder
del Proyecto deber dejar debidamente actualizado el expediente. Este expediente
debe contener todos los entregables de cada fase del proyecto, y debe mantenerse en
formato digital de acuerdo al expediente electrnico definido en la CGR.
La Unidad de Sistemas y Tecnologas de Informacin ser la encargada de mantener
toda la documentacin almacenada en un solo expediente o carpeta y de facilitar los
medios para que todo funcionario interesado tenga acceso a dicha informacin.
Cronograma actualizado con ejecucin de tareas.
Documentos desarrollados durante el proyecto.

Informe de conclusin del proyecto
Formulario de aceptacin a satisfaccin de los productos.
Expediente actualizado del proyecto

La Unidad Ejecutora del Proyecto revisa el informe final del proyecto y lo hace del
conocimiento de todos los interesados.
La Unidad Ejecutora da por aceptados los productos finales del proyecto.
Anexo 1
Definicin de roles
En el desarrollo de un proyecto de TIC se presentan diferentes actores con funciones
y responsabilidades que se describen a continuacin:
Comit Gerencial de Tecnologas de Informacin y Comunicaciones (CGTIC):

por delegacin del mximo jerarca (Contralor o Contralora General),
es el mximo ente en lo referente a recomendar sobre las directrices y
lineamientos a seguir en la planificacin y direccin de los procesos de
desarrollo tecnolgico. Est conformado por representantes de alto nivel
gerencial, por el Jefe de Auditoria Interna como asesor del Comit y por
el Jefe la Unidad de Sistema y Tecnologas de Informacin (USTI). Este
Comit reporta al mximo jerarca, quien lo preside.
Patrocinador del proyecto: es el mximo jerarca o en quien ste delegue, de
la Unidad Organizacional para la cual se va a desarrollar el proyecto de TIC.
Coordinador de proyectos: este rol es asumido por la jefatura de la USTI o
delegado en un funcionario de la misma Unidad, para velar por la adecuada
ejecucin de los proyectos de TIC observando aspectos como integracin,
calidad, logro de objetivos y eficiencia en los diseos y desarrollo de las
soluciones.
Lder del proyecto: es un funcionario con gran conocimiento de su rea
funcional, aspecto por el cual se le ha conferido la capacidad de tomar
decisiones y la responsabilidad de liderar activamente el proyecto; vela tanto
por los mejores intereses de la Contralora General de la Repblica, como
por los de su rea en lo que al proyecto concierne. En casos justificados
y por recomendacin del CGTIC, la direccin puede ser asumida por un
representante de la USTI.
Lder Tcnico del proyecto: ste es un funcionario al cual, por su formacin

en el rea de informtica, experiencia y capacidad, se la ha conferido la
responsabilidad de administrar los aspectos tecnolgicos de un proyecto
de TIC.
Analista de sistemas: es el recurso profesional en informtica (funcionario o
no de la Contralora General de la Repblica) que trabaja bajo la coordinacin
y direccin del Lder Tcnico del proyecto para la realizacin de tareas
propias del proyecto de TIC, cuyas actividades entre otras son: anlisis,
diseo, desarrollo de los programas, pruebas, capacitacin de usuarios,
documentacin y apoyo tcnico a los usuarios en la puesta en operacin
de una solucin tecnolgica.
Programador de sistemas: es el recurso profesional en informtica
(funcionario o no de la Contralora General de la Repblica) que trabaja
bajo la coordinacin y direccin del Lder Tcnico del proyecto para la
realizacin del sistema y cuyas actividades entre otras son: el desarrollo de
los programas, pruebas y documentacin de los programas.
Usuario de TIC: se considera a todo aquel individuo (funcionario o no de
la Contralora General de la Repblica) que tenga acceso autorizado a
sistemas de Informacin, o que se beneficie de alguna solucin tecnolgica.
Para efectos de la metodologa vamos a considerar usuarios registradores
y generadores de informacin, usuarios de consulta y usuarios expertos
de los sistemas o de la tecnologa, quienes adems de tener acceso o
interaccin con el sistema o solucin tecnolgica, son usuarios de amplio
dominio sobre el negocio que dicha tecnologa o sistema soporta.
Es posible que la misma persona desempee ms de un rol en el desarrollo del
proyecto, especialmente si pertenece a la USTI; pero en todo proyecto siempre se debe
contar con el apoyo de la contraparte usuaria que tiene las necesidades especficas de
manejo de la informacin y del conocimiento.
Anexo 2
Actualizacin de la Gua Metodolgica para el Desarrollo de Proyectos

de Tecnologa de Informacin y Comunicaciones.
Dado el ritmo acelerado que impone el entorno tecnolgico y los cambios que
toda organizacin debe realizar para mantenerse actualizada,
se establece la
necesidad de realizar peridicamente las revisiones y los ajustes que corresponda

a la Gua Metodolgica para el desarrollo de Proyectos de TIC. El responsable de
esta actualizacin ser la Unidad de Sistemas y Tecnologas de Informacin, quien
podr pedir el apoyo y la asesora de otros funcionarios de la Contralora General de la
Repblica, que estime conveniente.
Esta Unidad adicionalmente deber considerar las solicitudes de modificacin
expresas y aportes hechos por Lderes de Proyectos, producto de experiencias previas
de aplicacin de la misma gua y sus respectivas lecciones aprendidas.
Una vez hechos los ajustes correspondientes, los puntos modificados o agregados debe
ser sometidos a consideracin del Comit Gerencial de Tecnologas de Informacin y
Comunicaciones quien debe recomendar su aplicacin para proceder a su publicacin
y a la divulgacin respectiva.
Anexo 3
Responsabilidades de los miembros del proyecto

Patrocinador del Proyecto
Entre sus responsabilidades se destacan las siguientes:
Aprobar formalmente la organizacin del proyecto.
Designar al Lder del Proyecto.
Aportar el personal de apoyo adecuado para llevar a cabo un anlisis integral
sobre la factibilidad tcnica, legal, funcional y econmica, del proyecto a
realizar.
Apoyar en la solucin de problemas y en la consecucin de los recursos.
Aprobar los productos de cada etapa en el proceso de desarrollo del
proyecto.
Evaluar, peridicamente, el progreso del proyecto, con base en los planes
y los informes de avance, y hacer las recomendaciones que correspondan.
Aprobar ajustes al cronograma, en caso de ser necesario.
Aprobar cualquier cambio en procedimientos de trabajo que requiera la
solucin tecnolgica para ser implementada.
En el caso de un nuevo sistema automatizado, debe aprobar el plan para
levantamiento de informacin, conversin y carga de datos.
Aprobar el plan para capacitacin de usuarios.
Aprobar la solucin tecnolgica y fecha para su entrada en operacin.
Coordinador de Proyectos de la USTI.

Entre sus responsabilidades se destacan las siguientes:
Actuar como un integrador de los alcances de los diferentes proyectos.
Balancear la utilizacin de los diferentes recursos de la USTI, sobre todo
aquellos que estn siendo utilizados en varios proyectos, tanto humanos
como tecnolgicos.
Velar porque en cada proyecto se tenga un expediente con la informacin

relevante.
Generar informacin histrica sobre el desarrollo de cada proyecto y ponerla
a disposicin de los grupos de trabajo de los nuevos proyectos, para ser
utilizada como referencia.
Detectar desviaciones en los diferentes planes de trabajo y velar porque se
tomen las medidas correctivas del caso.
Velar porque los diferentes proyectos en ejecucin mantengan las
orientaciones planteadas tanto en el Plan Estratgico de Tecnologas de
Informacin y Comunicaciones (PETIC), como en el correspondiente Plan
Tctico (PTAC).
Generar informacin operativa de los proyectos para el apoyo a la toma de
decisiones por parte de la Jefatura de la USTI.
Apoyar en todos los pasos necesarios para dar inicio a los nuevos proyectos,
desde las etapas preparatorias de conceptualizacin, hasta dejar constituidos
y funcionando los equipos de trabajo.
Preparar y motivar a los integrantes de los equipos de trabajo, para que
conozcan y cumplan el rol que se espera de ellos.
Mantener el equilibrio en el uso de los recursos asignados a los diferentes
proyectos.
Mantener una secuencia lgica entre los alcances de los diferentes
proyectos.
Brindar capacitacin al equipo de trabajo en el uso de la Gua metodolgica
para desarrollo de proyectos en TIC.
Jefe de la USTI.
El jefe de la USTI puede delegar algunas responsabilidades de coordinacin en un
funcionario que rena los requisitos necesarios. Entre sus responsabilidades respecto
a los proyectos de TIC se destacan las siguientes:
Coordinar la ejecucin de los proyectos aprobados por el CGTIC.
Velar porque el desarrollo de los proyectos de TIC estn de acuerdo con las
estrategias y orientaciones definidas en los planes.
Apoyar en la solucin de problemas y en la consecucin de los recursos.
Recibir, analizar y tramitar las solicitudes por nuevos proyectos de TIC.
Asignar al lder tcnico que trabajar en el proyecto.
Participar en las reuniones de la Unidad Ejecutora cuando sea requerido.
Aprobar las diferentes etapas de aquellos proyectos que as lo requieran.
Apoyar al Lder Tcnico en los asuntos del desarrollo del proyecto que lo
requieran.
Coordinar el cumplimiento del cronograma de trabajo, en conjunto con el
Lder del Proyecto y el Lder Tcnico.
Identificar situaciones que puedan afectar el cumplimiento de los objetivos,
y coordinar las acciones preventivas o correctivas necesarias.
Lder del Proyecto

Perfil:
El Lder del Proyecto debe ser un representante, del rea funcional que
propone e impulsa el desarrollo de proyecto de TIC.
Debe coordinar estrechamente con el patrocinador del proyecto, por
cuanto sus responsabilidades incluyen la toma de decisiones, la resolucin
de problemas y el logro de la colaboracin necesaria de otras unidades
organizacionales, cuando sea requerida.
Debe tener las siguientes caractersticas:

Amplio conocimiento y dominio de las actividades y procesos involucrados
en el proyecto, as como de la problemtica y perspectivas futuras que
giren en torno a dichas actividades o procesos.
Disponer del tiempo suficiente que le demande el proyecto para participar
muy activamente junto con el Lder Tcnico y su equipo de trabajo, en las
fases del proyecto donde su participacin es crtica.
Mostrar alto nivel de compromiso e identificacin con el proyecto en
desarrollo.
Estar familiarizado con los conceptos bsicos del desarrollo de proyectos de
TIC y preferiblemente tener alguna experiencia al respecto.
Habilidad para administracin de personal.
Facilidades para administrar proyectos.
Responsabilidades Principales
Administrar (planificar, dirigir, controlar, ejecutar y evaluar) las fases de un proyecto de
TIC con eficiencia y eficacia.
Funciones
a. Comprobar la aplicacin de las actividades establecidas en la Gua
Metodolgica para el Desarrollo de Proyectos de TIC.
b. Elaborar, revisar y aprobar los planes del proyecto correspondientes a cada
una de las fases del desarrollo y velar por su cumplimiento.
c. Evaluar peridicamente el avance del proyecto, con base en lo planeado y
ajustarlo en caso de que sea necesario. Elaborar informes peridicos sobre
el desarrollo y cumplimiento del plan de trabajo.
d. Facilitar y promover el trabajo en equipo.
e. Atender los problemas administrativos (disponibilidad de recursos,

conflictos, modificacin de procedimientos o procesos) que requieran su
atencin.
f. Mantener las vas de comunicacin adecuadas, para informar a todos los
interesados en el proyecto, sobre los detalles del mismo.
g. Lograr la colaboracin apropiada de otras unidades organizacionales, que se
vean afectadas o involucradas por el desarrollo del proyecto, con el objetivo
de implementar una solucin integral, eficaz y eficiente al problema.
h. Definir los procedimientos administrativos en torno a la solucin tecnolgica
que se desarrolle o implante.
i. Definir las nuevas funciones y responsabilidades por puesto o la actualizacin
de stas, las cuales se deriven por el proyecto en desarrollo.
j. Participar activamente en la definicin de requerimientos y alcances del
proyecto, considerando las necesidades propias de su rea funcional, de
otras reas que por su funcin estn relacionadas con el proyecto, as
como de los niveles de decisin.
k. Participar en el estudio de paquetes de software, cuando sea requerido
para el proyecto y emitir las observaciones pertinentes.
l. Cuando el proyecto involucre un nuevo sistema de informacin deber:
revisar y aprobar, junto con el Lder Tcnico, el diseo funcional del
sistema.
Evaluar el prototipo del sistema de informacin,
hacer las
recomendaciones pertinentes y aprobarlo formalmente.

Participar activamente en la definicin de volmenes de informacin,
aspectos operacionales del sistema, criticidad, usuarios del sistema,
procesos de entrada y salida, diseo de reportes, aspectos de
seguridad y controles, interfaces, y requerimientos de hardware.
Evaluar el diseo final del sistema en sus apartados de seguridad y
controles, procesos de entrada y salida, e interfaces y funcionalidad
del sistema, emitir las recomendaciones pertinentes y aprobarlo

formalmente.
Participar y aprobar el plan de pruebas y del paralelo, y emitir, para
tal efecto, las recomendaciones pertinentes.
Coordinar el levantamiento de datos para las pruebas y para la
ejecucin del paralelo del sistema.
Asignar personal de su rea funcional para la digitacin de datos no
disponibles automticamente.
Coordinar y participar activamente en las pruebas integradas del
sistema, formular las recomendaciones pertinentes velando porque
ste se ajuste al prototipo y diseo final aprobados, con exactitud y
completitud conforme a los resultados deseados.
Identificar a los funcionarios que debern recibir entrenamiento
para el paralelo.
Participar activamente en la ejecucin del paralelo, llevando registro
de las modificaciones requeridas.
Identificar al personal de su rea funcional, que requerir
entrenamiento en la operacin del sistema.
Coordinar el planeamiento y ejecucin del plan de capacitacin.
Revisar y aprobar los manuales del usuario, capacitacin, y operacin
del sistema.
Participar activamente en la planificacin e implantacin del sistema.
Hacer un seguimiento del sistema post-implantacin y emitir las
recomendaciones que procedan.
Participar en la evaluacin posterior a la implantacin de la solucin
desarrollada, llevando a cabo un anlisis de los beneficios reales
contra los planeados.
Lder Tcnico del proyecto

Perfil:
Ser un individuo con una preparacin acadmica adecuada que lo
faculte para llevar a cabo con xito, el seguimiento, y el desarrollo de un
proyecto de sistemas de informacin.
A la vez, debe ser una persona
experimentada, segn lo que requiera el proyecto, en aspectos como el

desarrollo de sistemas de informacin o el manejo tcnico de herramientas
tecnolgicas especficas (bases de datos, redes, elementos de seguridad,
comunicaciones, paquetes, entre otros), o sobre la solucin tecnolgica a
desarrollar o implementar.
Tener capacidad de asimilar los procesos de las reas funcionales
relacionadas con su proyecto en desarrollo y aportar ideas creativas
que mejoren los procesos, al operar ste como agente de cambio en la
Organizacin.
Mantener una constante preocupacin por mantenerse actualizado acerca
de los ltimos avances en la tecnologa informtica en el entorno, con el
objetivo de analizarlos y determinar su aplicabilidad o adaptabilidad, si esto
fuese requerido para el logro de los objetivos del proyecto.
Responsabilidad principal
Colaborar con la Administracin en llevar a cabo las fases de un proyecto
de desarrollo tecnolgico, sea en forma interna o servicio contratado, con
eficiencia y eficacia.
Funciones
a. Apoyar en la elaboracin de los planes del proyecto requeridos y
correspondientes a cada una de las etapas, de acuerdo con la metodologa
y estndares vigentes.
b. Revisar los planes propuestos por el contratista e identificar y sugerir las
modificaciones necesarias, para salvaguardar los intereses del usuario y
de la Contralora General de la Repblica, en caso de contratacin externa.
c. Llevar un control de toda la informacin (documentacin) que se genera en
torno al proyecto tanto formal como informal, con el objetivo de respaldar
cualquier incidente, debido a problemas de comunicacin.
d. Supervisar y controlar la ejecucin real del proyecto, de acuerdo con los
estndares vigentes, para verificar la observacin de los planes y etapas
especficas, con la finalidad de identificar oportunamente cualquier desfase
o incumplimiento, interno o externo, y tomar las medidas correctivas.
e. Detectar y analizar cualquier problema actual o potencial que ocasione
variacin sobre lo planeado, coordinando las medidas correctivas con el
usuario responsable.
f.
g. Identificar y gestionar cualquier intervencin o ayuda requerida, para el
desarrollo del proyecto.
h. El Lder Tcnico debe velar por la aplicacin de los cambios tecnolgicos
que llegue a conocer y que afecten el proyecto.
i. Resolver los problemas y conflictos internos del proyecto que estn a su
alcance y elevar a los mandos superiores los que no pueda solucionar.
j. Presentar y justificar tcnicamente el proyecto tanto frente a los usuarios,
como ante otros coordinadores tcnicos y jefaturas.
k. Revisar y evaluar la calidad de los productos generados en las diferentes
etapas del proyecto, desarrollados en forma interna o por el contratista, de
acuerdo con los estndares vigentes y los planes. Por otra parte, identificar
las modificaciones necesarias y presentar las recomendaciones pertinentes

para su consideracin, por parte del usuario responsable, la jefatura de la
USTI y el contratista si lo hubiera.
l. Revisar y evaluar cualquier recomendacin hecha por un miembro del
proyecto antes de presentarla a otras personas o ante una eventual empresa
contratada.
m. Mantener una estrecha relacin con los otros Lderes Tcnicos de proyecto,
el Equipo de Apoyo Tecnolgico, y el coordinador de proyectos; con la
finalidad de determinar y facilitar los enlaces requeridos entre sistemas;
analizar la viabilidad tcnica de las propuestas y compartir las experiencias
del desarrollo de proyectos. Con esto se pretende identificar, entre otros
aspectos, los requerimientos en reas tales como: software, hardware,
interfaces, comunicacin y topologa.
n. Administrar con responsabilidad y discrecin toda aquella informacin que,
por su ndole, lo amerite.
o. Ofrecer continuos aportes y sugerencias de acuerdo con su conocimiento y
experiencia en el uso de metodologa, y estndares, que coadyuven en su
depuracin y mejoramiento, con la finalidad de eficientizar los mtodos
de trabajo.
p. Mantener informado al Lder del Proyecto, al coordinador de proyectos y a
la jefatura de la USTI, acerca de la ejecucin del proyecto.
En particular, si el proyecto se desarrolla bajo el esquema de contratacin, en lugar de
coordinar al equipo de apoyo tecnolgico, tendra las siguientes funciones:
a. Efectuar el control de calidad de los productos que entregue el proveedor
contratado.
b. Garantizar una transferencia tecnolgica adecuada, de tal forma que
inmediatamente que el proveedor entregue la herramienta pueda ser
administrada tcnicamente por la USTI.
c. Fungir como facilitador tcnico para el proveedor contratado, de tal forma

que suministre oportunamente la informacin tcnica que se requiera, para
que el proyecto se desarrolle sin contratiempos.
d. Velar por el cumplimiento de los tiempos de entrega de los productos,
segn lo acordado con el proveedor. Proponer acciones correctivas en
caso de desfases.
e. Fungir como contraparte tcnica por parte de la Contralora General en
defensa de los intereses institucionales, velando por el debido cumplimiento
de los compromisos suscritos por el proveedor contratado.
Equipo de apoyo tecnolgico

Entre sus responsabilidades est:
Asistir la labor del Lder Tcnico en materias como programacin, diseo y
optimizacin de bases de datos, operacin de equipos principales, paso a
produccin de un sistema, sistemas operativos, seguridad, comunicaciones
y definicin de perfiles de acceso.
Equipo de trabajo
Brindar toda la informacin y colaboracin necesaria al Lder de Proyecto y
al Lder Tcnico, en todas las etapas, actividades y tareas que lo requieran.
Atender las tareas que el Lder del Proyecto les asigne.
Grupo de Apoyo
Colaborar con el Lder de Proyecto en todas las etapas, actividades y tareas
que lo requiera.
Atender las tareas que el Lder del Proyecto les solicite.
Matriz de Responsabilidades
Anexo 4
Fases para el desarrollo de sistemas

1. Anlisis integral de requerimientos
1.1.
Consideraciones
Con el anlisis integral de requerimientos del sistema a automatizar se espera:

Identificar, analizar y documentar los requerimientos funcionales y nofuncionales que debe soportar el sistema o solucin propuesta. Los
requerimientos funcionales se refieren a las cosas que el sistema debe
realizar, por ejemplo que informacin se debe registrar y de que manera
se debe procesar; los requerimientos no funcionales se refieren a los
aspectos operativos del sistema como tiempos de respuesta, respaldos de
informacin y presencia en la Internet o en la Intranet de la Contralora.
Priorizar los requerimientos que ha de cubrir el nuevo sistema o solucin,
convirtindose en punto de referencia bsico para validar el sistema final,
comprobando que se ajusta a las necesidades del usuario.
El proceso de anlisis de requerimientos se puede representar en la siguiente figura:
El usuario o usuarios del futuro sistema deben realizar la especificacin de los

requerimientos funcionales y no funcionales del nuevo sistema, los cuales debern
ser priorizados de acuerdo a su grado de aporte a la consecucin de los objetivos
del proyecto. Para ello tendr la colaboracin del personal informtico asignado al
proyecto.
Estos requerimientos sern analizados por los Analistas de Sistemas asignados al
proyecto con el apoyo del Lder Tcnico y si fuera necesario se podr solicitar a los
usuarios profundizar en la especificacin de uno o varios de los requerimientos con la
finalidad de que stos sean lo ms claros y especficos posibles.
Paralelamente en este proceso de anlisis se deben identificar posibles ajustes a la
planeacin de los recursos requeridos por el proyecto; as como los requerimientos
crticos para el xito del mismo. Con esta informacin se confeccionar el Documento
de Anlisis y se ajustar el cronograma para la conclusin del proyecto.
1.2.
Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y

que formarn parte del expediente o archivo del proyecto.
En lo referente a la fase de anlisis integral de requerimientos para el Desarrollo de un
Sistema de Informacin se identifican los siguientes entregables:
Especificacin de requerimientos: se entiende por especificacin de
requerimientos un documento con la descripcin precisa y detallada que
hace el usuario de las necesidades a ser resueltas con el sistema solicitado
y sus restricciones.
Documento de anlisis: en este documento se presentan los resultados
obtenidos en la fase de Anlisis y debe hacer referencia a la valoracin de
complejidad y prioridad preliminar de los requerimientos. Puede establecer
ajustes al formulario de recursos requeridos para la realizacin del proyecto

y presentar ajustes al cronograma para la completitud del proyecto.
1.2.1. Especificacin de requerimientos
La especificacin de requerimientos es la descripcin precisa y detallada que hace el
usuario de las necesidades a ser resueltas con el sistema solicitado y sus restricciones.
Para ello, el Lder Tcnico y el analista asignado deben trabajar en conjunto con el
grupo de usuarios, de manera que generen experiencia en traducir en requerimientos
(descripcin precisa y detallada de la funcionalidad del sistema), las necesidades que
poseen y que sean muy comprensibles. Para lograr este propsito el usuario experto
puede aportar la documentacin que considere pertinente, como boletas, formularios,
legislacin, normativa, documentos y tipos de reportes.
Los requerimientos se pueden agrupar en funcionales y no funcionales:
a. Requerimientos funcionales
Son las indicaciones de servicio que el sistema debe proveer en cuanto a actualizacin
de datos, opciones de consulta, reportes a generar, interaccin con otros sistemas,
bitcoras de seguimiento y pistas de Auditoria (en coordinacin con la Auditoria
Interna).
Entre las caractersticas que se espera que posean los requerimientos funcionales
estn las siguientes:
Correcto: Cada requerimiento debe describir con exactitud la funcionalidad
que se obtendr del sistema, de manera que no exista conflicto entre ellos.
Debe tener una referencia a la fuente del requerimiento, sea este el cliente
o bien un requerimiento propio de la implementacin del sistema.
Factible: Se refiere a la posibilidad tcnica, operativa, legal, econmica y

presupuestaria de implementar cada uno de los requerimientos dentro de
la capacidad y limitaciones del sistema y su ambiente de desarrollo. El
desarrollador debe chequear cada uno de los requerimientos y determinar
qu se puede desarrollar y qu no, y qu puede desarrollarse pero tiene un
costo excesivo.
Necesario: Cada uno de los requerimientos debe documentar una necesidad
del usuario o bien un requisito del sistema, interfase o estndar. Debe poder
indicarse el rastro del requerimiento desde su origen, de tal forma que sea
vlido y por ende necesario.
Claro: El lector del documento de requerimientos debe ser capaz de
interpretarlo de una nica forma. Para esto cada requerimiento debe
describirse en forma sucinta, simple, en un lenguaje comprensible por el
usuario. Para verificar la claridad de los requerimientos se pueden crear
escenarios que ilustren la funcionalidad de porciones especficas del
sistema.
Verificable: Un requerimiento es verificable si se puede utilizar algn tipo
de pruebas tales como inspeccin o demostracin para determinar si el
requerimiento satisface las necesidades de los usuarios. Si el requerimiento
no es verificable, determinar si se implement correctamente.
Para la especificacin de los requerimientos funcionales del sistema se utilizarn
los casos de uso del UML (Unified Modeling Language), lenguaje cuyo estndar es
promovido por el OMG (Object Management Group) y que permite modelar, construir
y documentar los elementos que forman un sistema de informacin, especialmente,
orientado a objetos.
Los casos de uso representan la funcionalidad que ofrece el sistema en lo que se
refiere a su interaccin externa, desde el punto de vista del usuario y especificando
qu respuestas debe ofrecer el sistema a las diversas acciones de los usuarios o, en

general, los agentes externos al sistema.
En esta tarea se elabora el modelo de casos de uso identificando:
Actores y casos de uso.
Descripcin del escenario de cada caso de uso.
Para completar la descripcin del escenario, es preciso especificar el siguiente detalle:
Casos de uso de alto nivel:

Caso de Uso
Actores
Nombre del caso de uso

Lista de actores (agentes externos), indicando quin inicia el caso de
uso. Usualmente son roles, pero puede ser cualquier tipo de sistema
Tipo
Primario:
proceso principal
Secundario: casos de uso menores

Opcionales: proceso que puede no ser tomado en cuenta en el sistema
________________________________________________________
Esencial: definido a nivel abstracto, independiente de la tecnologa y
la implementacin
Descripcin
Real: describe concretamente el proceso en trminos del diseo real.

Muy breve descripcin del caso de uso
Casos de uso expandidos:

Caso de Uso
Actores
Nombre del caso de uso

Lista de actores (agentes externos), indicando quin inicia
el caso de uso. Usualmente son roles, pero puede ser
Propsito
cualquier tipo de sistema

Intencin del caso de uso
Tipo
Primario:
proceso principal
Secundario: casos de uso menores

Opcionales: proceso que puede no ser tomado en cuenta
en el sistema
Esencial:
definido a nivel abstracto, independiente de la
tecnologa y la implementacin
Real:
describe concretamente el proceso en
trminos del diseo real.

Referencias
Casos de uso relacionados
Precondicin
Condiciones dadas antes del proceso
Curso Tpico de Descripcin de la interaccin entre los actores y el sistema
eventos
mediante las acciones numeradas de cada uno (se disponen

en forma columnar) Describe la secuencia ms comn de
eventos, bajo condiciones de normalidad y el proceso se
Poscondicin
Cursos
completa satisfactoriamente.
Condiciones resultantes despus del proceso
Se describe la excepcin al caso normal y se seala el punto
Alternativos
en que se dara.
Los casos de uso se describen en forma detallada en el anexo 14.

a. Requerimientos no funcionales
Son las propiedades y restricciones del sistema, pueden ser de ndole organizacional,
como consecuencia de alguna poltica organizacional o de procedimiento, o pueden
ser de operabilidad como los son: confiabilidad, tiempo de respuesta, almacenamiento,
capacidades de dispositivos de E/S, migracin de herramienta, y conversin de
archivos.
1.2.2. Documento de anlisis

Este documento rene los resultados del proceso de anlisis y ser la base, en conjunto
con la especificacin de requerimientos, para la planificacin de las fases posteriores
en lo referente a la construccin del sistema.
Debe contener, al menos, la siguiente informacin:
a. Identificacin de recursos para desarrollo
Teniendo ahora mayor claridad respecto a lo que el sistema debe resolver y el
trabajo a realizar, se debe ajustar el formulario de recursos del proyecto Identificando
requerimientos de recurso humano, hardware, software, comunicaciones,
ambiente fsico, volumen de datos, materiales, capacitacin y otros recursos que
sern requeridos para el desarrollo del proyecto. Si al ejecutar esta tarea se tiene un
estimado de los recursos requeridos para las etapas de Implantacin y operacin, esto
puede ser descrito en esta tarea, revisado y ajustado ms adelante.
b. Anlisis de requerimientos
Los requerimientos estudiados se analizan para identificar los siguientes elementos de
cada solicitud:
Identificacin del requerimiento: Debe ser una secuencia conformada por
las siglas o cdigo del sistema y un consecutivo que identifique de manera
nica al requerimiento (en el proyecto o sistema actual)
Breve descripcin: Breve descripcin y propsito del requerimiento.
Prioridad: asignada por el Patrocinador o Lder del Proyecto. Se recomienda
utilizar tres valores posibles en concordancia con la priorizacin de
requerimientos, es decir, Alto, Medio y Bajo.
Complejidad: nivel de dificultad para la solucin de lo solicitado. Se
recomienda utilizar tres valores posibles: Alta, Media y Baja.
Tipo de requerimiento: Identificar si se trata de requerimiento funcional o de

un requerimiento no funcional.
Dependencia con otros requerimientos: Hacer referencia a los requerimientos
que estn relacionados y que de alguna manera representan una
dependencia; es decir, que para su atencin se requiera resolver previamente
otros requerimientos o que su atencin es obligatoria para el cumplimiento
de otros aspectos.
Tiempo estimado de construccin: estimacin preliminar del tiempo
requerido para la atencin del requerimiento. Se debe utilizar una unidad
de medida uniforme para cuantificar todos los requerimientos (horas, das,
semanas)
Seguidamente se presenta un ejemplo de la matriz de requerimientos:
ID
Descripcin del req.
Prioridad
Complejidad
Tipo Req.
Dependencia
Das const.
Con esta matriz se puede realizar un anlisis cuantitativo de los requerimientos que
permita identificar aquellos que son crticos para el xito y completitud del proyecto;
adems ofrece un elemento importante para la toma de decisiones por parte del Lder
de Proyecto y Lder Tcnico.
c. Definicin de infraestructura tecnolgica
Se debe detallar la infraestructura computacional que soportar el sistema cuando
est en operacin, a nivel de equipo principal y de usuarios, lenguaje de programacin
y especificacin de la base de datos; y cualquier otro aspecto requerido para el
funcionamiento del sistema. En trminos generales, el tipo de tecnologa a utilizar
dependiendo del tipo de sistema; incluyendo aquella que no est disponible en la CGR
y que se constituye en un riesgo tecnolgico.
d. Cronograma ajustado de las fases posteriores del proyecto

Con mayor claridad de lo que deber desarrollarse se puede ahora ajustar el cronograma
del proyecto para las siguientes etapas, indicando las fechas de inicio y finalizacin
para cada una de ellas as como los responsables de las actividades.
e. Aprobacin de los requerimientos
Se debe realizar una presentacin a la Unidad Ejecutora de los requerimientos
identificados, a efectos de efectuar los ajustes necesarios hasta obtener la aprobacin
por parte de la UE y continuar con la siguiente etapa.
2.
Diseo conceptual de la solucin

2.1.
Consideraciones
Esta fase tiene el propsito de identificar los primeros elementos de diseo del nuevo
sistema. Los insumos principales de esta fase son: el documento de especificacin de
requerimientos y el documento de anlisis.
En la siguiente figura se diagraman las principales actividades de esta fase:
2.2.
Entregables

En lo referente a la fase de diseo conceptual de la solucin para el Desarrollo de un

Sistema de Informacin se identifican los siguientes entregables:
Documento de diseo conceptual: a travs de este documento se presentan
los resultados de la primera actividad de diseo como la descripcin general
de procesos, identificacin de relaciones de integracin de sistemas, la
identificacin de usuarios y roles. Tiene el propsito de mostrar, de manera
general, cmo estar constituido el nuevo sistema y ser la base, en
conjunto con la especificacin de requerimientos, para el diseo detallado
del sistema.
2.2.1. Documento de diseo conceptual
Este documento deber contener, al menos, la siguiente informacin:
a. Identificacin de mdulos
Un mdulo es una parte o divisin del sistema. Consiste en agrupar funcionalidad que
est relacionada y que soporta un eje o situacin especfica del negocio sobre la cual
se est desarrollando el proyecto.
b. Descripcin de mdulos y sub-mdulos y su interaccin
Con base en el diseo conceptual de la solucin, se detalla la estructura modular
del sistema en cuanto a la jerarqua de los mdulos y la forma en la que interactan.
Adems de la descripcin de los mdulos se debe confeccionar el diagrama de contexto
y el diagrama de flujo de datos. El diagrama de contexto establece las relaciones que
el mdulo tiene con otros sistemas, otros mdulos o entidades externas. El diagrama
de flujo de datos es la representacin grfica de las entradas, procesos y salidas de un
mdulo mostrando la interrelacin de los procesos.
c. Identificacin de interrelaciones con otros sistemas o mdulos

Se refiere a la identificacin de sistemas o mdulos que estarn relacionados con el
sistema en construccin y la descripcin de estas relaciones en lo referente al tipo y
mtodo de comunicacin. Adems, se debe indicar si es requerida la modificacin de
algn sistema existente para ajustarlo a la solucin que se est diseando.
En esta actividad es importante que se analice la estructura de datos existente en los
sistemas que estarn relacionados para la creacin de un modelo lgico de datos en
la siguiente fase.
d. Identificar tipos de usuarios
Identificar los tipos de usuarios y el rol a cumplir por ellos dentro del sistema,
especificndose quines pueden ingresar, modificar, borrar o consultar informacin
y cul informacin. Qu tipos de usuarios utilizan cada uno de los mdulos y qu
funciones lleva a cabo.
3.
Diseo detallado de la aplicacin

3.1.
Consideraciones
El diseo detallado de la solucin establece, con mayor detalle, las caractersticas

que tendr el nuevo sistema. Adems, ser la base para la fase de construccin o
programacin de los mdulos.
La base de informacin para las actividades del diseo detallado son los documentos
de especificacin de requerimientos, documento de anlisis y diseo conceptual.
El documento de diseo detallado debe especificar los mdulos que tendr el
sistema, caractersticas de validacin y restricciones sobre los elementos de datos,
especificacin de procesos, detalle de controles y seguridad, caractersticas de la
interfaz de usuario y principales reportes que ofrecer el sistema. Todos estos aspectos
sern identificados con base en los requerimientos funcionales del proyecto y, de ser
necesario, de las consultas efectuadas a los usuarios, Lder de Proyecto o contraparte
y Patrocinador del proyecto.
En la siguiente figura se muestra el esquema funcional de esta etapa en la construccin
de sistemas:
El diseo detallado de la aplicacin ser revisado y aprobado por la Jefatura de la USTI

o por quien ste designe para comprobar que el desarrollo propuesto est dentro de
los estndares de la Unidad y que es consistente con la planificacin de crecimiento
tecnolgico de la Institucin. Dicha revisin debe ser consignada como visto bueno
del documento.
3.2.
Entregables

En lo referente a la fase de diseo detallado para el Desarrollo de un Sistema de
Informacin se identifican los siguientes entregables:
Documento de diseo detallado: se refiere al documento donde se describen,
con ms detalle los elementos del nuevo sistema como descripcin de
mdulos, modelado de datos, procesos, controles de acceso y seguridad,
interfaz de usuario y reportes.
Diseo de pruebas: se refiere a un documento donde se estipulan los
aspectos a considerar en el proceso de pruebas, con el propsito de contar
con el suficiente tiempo para su planificacin.
3.2.1. Documento de diseo detallado
Este documento deber contener, al menos, la siguiente informacin:
a. Descripcin de procesos
Consiste en desagregar los mdulos identificados en el diseo conceptual y describir
las entradas, los procesos y las salidas que considera el sistema de acuerdo con el
estndar fijado. Para la realizacin de esta actividad se utilizar la herramienta de
software aprobada por la USTI.
b. Diagrama lgico del modelo de datos
Especificacin del modelo entidad-relacin del sistema, de la composicin fsica que
tendrn las tablas relacionales y su normalizacin. Este modelo debe ser validado por
el DBA.
c. Definiciones de dominios para los datos

Se refiere a la especificacin de aspectos como:
Formato
Valor que asume por defecto
Rango de valores permisibles
Listas de valores
Mensajes informativos sobre los elementos
Adems se deben especificar las restricciones a nivel de bases de datos.
d. Estimacin del volumen de datos
Estimacin de la cantidad de registros que se ingresaran para cada tabla definida en el
modelo de datos lo cual se debe realizar con el apoyo del Administrador de las Bases
de Datos de acuerdo con el estndar respectivo.
e. Definicin de controles y seguridad a utilizar
Definir los puntos de control que garanticen la seguridad, integridad y confidencialidad
de la informacin a nivel de roles en la base de datos y control de acceso a las
transacciones en la aplicacin. Se deben identificar los tipos de eventos que debern
dejar registros de auditoria, bitcoras y otros controles que se establezcan en la
definicin de estndares para el desarrollo de sistemas.
f. Disear la interfaz de usuario
Establecer la apariencia de las pantallas con base en los estndares establecidos.
Definir la estructuracin del men y los roles de usuario que tendrn acceso a cada
opcin del sistema.
g. Organizacin para la operacin del sistema

Identificar y definir los requerimientos operativos a nivel del ambiente administrativo
donde se implantara el nuevo sistema.
Podran plantearse cambios en los
procedimientos actuales, necesidades de reubicar o de obtener nuevo personal,

cambios en los flujos de la informacin en los puntos de control de la misma.
3.2.2. Diseo de pruebas:
Con la finalidad de guiar el proceso de pruebas y realizar las tareas correspondientes
para esta actividad con la debida anticipacin, se debe efectuar un diseo de pruebas
basado en casos de uso y orientadas a:
Asegurar que el producto cumple con lo solicitado por los usuarios
Certificar que el aplicativo funciona correcta y eficientemente
El documento de diseo de pruebas debe contener los siguientes aspectos:
a. Especificacin de tipos de pruebas
Identificar los tipos de pruebas a realizar: pruebas unitarias, pruebas de mdulos,
pruebas de integracin, pruebas de esfuerzo, tiempos de respuesta y trfico en la
infraestructura de comunicaciones.
Pruebas unitarias: son las pruebas que se realizan a cada programa del
sistema
Pruebas de mdulos: pruebas que se aplicarn a los mdulos o partes
funcionales del sistema, incluye a todos los programas del mdulo.
Pruebas de integracin: pruebas totales del sistema y de su integracin con
otros sistemas, incluye todos los programas.
Pruebas de esfuerzo: comprobacin de recursos computacionales para
soportar la aplicacin (servidor de bases de datos, servidor Web, recursos
de las mquinas de usuario, red)
Tiempo de respuesta: verificacin de que el tiempo de respuesta es aceptable

de acuerdo con los estndares de la industria
Trfico en la infraestructura de comunicaciones: comprobacin de capacidad
de transmisin de datos (ancho de banda) para la operacin del sistema
b. Requerimientos para las pruebas
La plataforma de Hardware, Software, conectividad y base de datos requerida. Si
el sistema tendr integracin con otros sistemas o mdulos deber disponerse de un
ambiente de pruebas de dichos sistemas.
c. Casos y datos de prueba
Identificar todos los escenarios posibles con diversidad de datos de entrada y acciones
realizadas por el usuario, con el propsito de identificar posibles puntos de error en el
sistema.
Si se requiere la existencia de datos para la pruebas, se deber sealar el mtodo de
captura de stos en las estructuras de la base de datos.
d. Usuarios para las pruebas
Determinar las caractersticas y cantidad de los usuarios que sern requeridos en el
proceso de pruebas y el tiempo a invertir en dicho proceso. Esto es importante para
que las Unidades puedan efectuar la coordinacin correspondiente con la debida
anticipacin.
4.
Programacin y pruebas
4.1.
Consideraciones
En esta fase se confeccionan los programas y se realizan las pruebas a partir de los
documentos de requerimientos, casos de uso, especificacin de programas, anlisis y
diseo. Como producto se tendrn los componentes de programacin, una constancia
de pruebas y de aceptacin del producto.
En la siguiente figura se muestra el flujo de procesos esperado en esta fase donde
es posible que se deban realizar ajustes en la programacin para cumplir con las
especificaciones del usuario:
Diseo detallado
Construccin
Construccin
Ajustes
Ajustes
Pruebas
Pruebas
Aceptacin
Aceptacin
Implementacin
Figura No. 5: Construccin y pruebas
4.2.
Entregables

En lo referente a la fase de programacin para el Desarrollo de un Sistema de
Scripts de creacin de objetos en la BD: para la creacin de tablas, llaves
primarias y forneas, ndices, constraints, roles, usuarios y cualquier otro
componente de la base de datos.
Componentes de programacin: elementos de programacin como menes,
formas, reportes, procedimientos y funciones almacenados en la base de
datos, triggers de bases de datos y cualquier otro componente del nuevo
sistema.
Constancia de pruebas: documentacin de las pruebas donde se indiquen
los resultados obtenidos y los ajustes a realizar.
Aceptacin del sistema: nota del Lder del Proyecto donde se exprese que el
nuevo sistema cumple satisfactoriamente con lo solicitado y que se pueda
continuar con las actividades de capacitacin e implementacin.
4.2.1. Desarrollo o Construccin
a. Implementacin del modelo fsico de datos
Escribir las rutinas (scripts) para la creacin de objetos en la base de datos de acuerdo
con el modelo entidad relacin, especificando llaves primarias y llaves forneas.
Cuando el DBA reciba los scripts los completar con los parmetros de almacenamiento
adecuados de acuerdo con el tamao de los registros y de las tablas.
Estos scripts debern ser revisados por el Administrador de Bases de Datos y aplicados
en conjunto.
b. Creacin de roles y de usuarios

Se crean los roles y se asocian a los usuarios que se definan, segn las acciones que
les correspondan. Se debe implementar la seguridad en la base de datos.
c. Programacin
Durante el desarrollo de esta etapa se generan los programas que componen el
Sistema de Informacin.
Conforme se avanza en la programacin se debe documentar cada uno de los
componentes desarrollados de acuerdo con el estndar definido.
Adicionalmente, el desarrollador debe adoptar los estndares establecidos en la
nomenclatura, el manejo de versiones, y la documentacin de los programas que
establece el manual de estndares.
d. Conversin y levantamiento de datos
En caso de requerirse una migracin de datos desde una aplicacin anterior o bien
desde un ingreso masivo de informacin, se debe tomar en cuenta la depuracin
que requiera esta informacin. El Lder de Proyecto deber considerar este traspaso
como un subproyecto adicional, donde incluir los requerimientos de recurso
humano y tecnolgico para su ejecucin, asimismo deber negociar estos recursos.
Esta conversin o ingreso masivo de informacin se ejecutar durante la etapa de
implantacin.
Cada uno de los mdulos generados deber estar sujeto
a una revisin de su
funcionalidad por parte del Lder de Proyecto o quien l designe y a una revisin de
tipo tcnico para garantizar su calidad.
4.2.2. Pruebas
a. Preparacin y levantamiento de informacin para las pruebas
Se debe retomar el documento de diseo de pruebas para comprobar que est acorde
con las caractersticas del sistema y que est vigente en cuanto a los casos de prueba
a realizar y a la definicin de usuarios que van a participar en este proceso. De ser
necesario se realizar la generacin de datos para las pruebas de los mdulos.
b. Ejecucin de pruebas especficas
Se debe probar el funcionamiento (cumplimiento de los requerimientos), facilidad de
uso por el usuario (interfaz con el usuario), dilogos con el usuario y su control, para
cada pantalla con la que debe interactuar el usuario.
c. Ejecucin de pruebas por el usuario final
Esta actividad requiere que se pruebe la operacin integral de todos los componentes
del sistema y su interaccin con otros sistemas, de manera que se asegure el
cumplimiento de los requerimientos de integracin especificados. Estas pruebas
deben ser realizadas por el usuario final con al apoyo y colaboracin del equipo de
desarrollo.
d. Documentacin de los resultados de las pruebas
Generar la documentacin que corresponda para dejar constancia de los resultados
del proceso de pruebas, incluyendo los casos en donde stos no fueron satisfactorios,
lo cual implica ajustes a los programas y la aplicacin de las pruebas correspondientes.
Es importante que quede documentado quines y cundo realizaron las pruebas, as
como sus observaciones.
4.2.3. Ajustes de programacin

Si en la realizacin de pruebas se identifica la necesidad de efectuar ajustes en la
programacin, despus de llevarlos a cabo se deben realizar las pruebas especficas y
de integracin de manera interactiva con los usuarios; de tal forma que al finalizar las
modificaciones se realicen las pruebas correspondientes para que el sistema concluya
satisfactoriamente. Se debe actualizar la documentacin de los programas con base a
las modificaciones realizadas.
4.2.4. Aceptacin del sistema

Una vez concluido el proceso de pruebas y los ajustes a la programacin, el Patrocinador
del proyecto debe emitir una nota dirigida a la Jefatura de la USTI, mediante la cual
manifiesta que est satisfecho con el sistema dndolo por aceptado y autorizando a
que se proceda con su implementacin.
5.
Documentacin
5.1.
Consideraciones
La documentacin del sistema se genera durante el desarrollo de todas las fases del
proyecto; sin embargo, hay un conjunto de documentos especficos a generar: manual
de usuario, manual de operacin y manual tcnico.
La documentacin del proyecto se debe mantener actualizada en todo momento y
formar parte de un expediente o archivo por proyecto donde todos los documentos
producidos estn reunidos.
5.2.
Entregables

En lo referente a la fase de documentacin para el Desarrollo de un Sistema de
Manual de usuario: gua para la utilizacin del sistema por los usuarios.
Manual tcnico: descripcin, a nivel tcnico, de todos los componentes del
sistema.
Manual de operacin: descripcin de procesos operativos del sistema.
5.2.1. Documentacin del proyecto
Son todos los documentos generados e identificados como entregables, en cada una
de las fases, y que deben formar parte del archivo del proyecto:
Documentos de organizacin del proyecto
Cronograma original
Cronograma ajustado
Correspondencia generada
Solicitud para el desarrollo de un sistema de informacin
Memorando de solicitud
Informe de diagnstico
Memorando de resultado del estudio
Seleccin de la solucin
Solicitud formal del proyecto
Anlisis integral de requerimientos
Especificacin de requerimientos
Priorizacin de requerimientos
Documento de anlisis
Diseo conceptual de la solucin
Documento conceptual de la solucin
Diseo detallado de la aplicacin
Documento de diseo detallado
Diseo de pruebas
Programacin y pruebas
Scripts de creacin de objetos
Inventario de componentes de programacin
Constancia de pruebas
Aceptacin del sistema
Capacitacin
Constancia de la capacitacin
Implementacin
Plan de implementacin
Aprobacin del inicio de operacin
Entrega del sistema
Manual de usuario
Manual tcnico
Manual de operacin
5.2.2. Manual de usuario
El manual del usuario debe ser conciso y prctico, sin dejar de ser exhaustivo,
de manera que los usuarios encuentren en l toda la informacin necesaria para
interactuar con el sistema. Se debe combinar la descripcin textual, con la grfica, de
manera que al usuario se le facilite su uso.
El manual debe contener lo siguiente:
Introduccin
Estndares del Sistema
Requerimientos tecnolgicos
Cmo se ingresa al Sistema
Descripcin del Men Principal del Sistema
Descripcin textual y grfica de cada pantalla (sea de registro o consulta)
Descripcin del uso e impresin de reportes
Cmo y a quin reportar errores del sistema
5.2.3. Manual tcnico

En este manual se deben describir, de manera detallada, todos los componentes del
sistema desde el punto de vista tcnico. En dicha documentacin deben explicarse
todos los aspectos necesarios para el posterior mantenimiento de la aplicacin.
5.2.4. Manual de operacin
Manual donde se describan todas las actividades operativas del sistema como
creacin de usuarios, procedimientos de respaldo y recuperacin, procesos diarios o
peridicos, generacin de datos para otros sistemas o entidades y la descripcin de
cualquier otro proceso.
6.
Capacitacin
6.1.
Consideraciones
De acuerdo con la complejidad en el uso del sistema desarrollado y de la cantidad

de usuarios del sistema, se debe coordinar con el Centrro de Capacitacin y con
la Unidad de Recursos Humanos el lugar, hora y la cantidad de sesiones que va
a comprender la capacitacin. En caso de ser necesario se coordinar el uso del
laboratorio de microcomputadoras de manera que la capacitacin se lleve por medio
de una interaccin total sistema-usuario.
7.
Implementacin
7.1.
Consideraciones
El Lder de Proyecto, siguiendo criterios de impacto, materialidad, riesgo asociado,

sensibilidad y criticidad de la informacin involucrada, deber considerar el tipo de
pruebas adicionales que requiera el proyecto, logrando un adecuado balance costo/
beneficio. Entre otras podr considerar pruebas en paralelo cuyo objetivo ser verificar
que el sistema nuevo genera resultados similares al sistema que estuviera en ese
momento en funcionamiento manual o automatizado-, pruebas de esfuerzo cuyo
objetivo es poner a prueba el sistema y la plataforma frente a una fuerte demanda
de los servicios. Estas pruebas pueden ser reales o simuladas, dependiendo de la
disponibilidad de recursos humanos y tecnolgicos.
El proceso se muestra en la siguiente figura:
7.2.
Entregables

En lo referente a la fase de implementacin para el Desarrollo de un Sistema de

Plan de implementacin: breve documento donde se describen las
actividades a realizar para la implementacin del sistema, desde el punto
de vista tcnico y organizacional.
Aprobacin del inicio de operacin: nota o acta del Patrocinador donde
autoriza el inicio de operacin en produccin del sistema en vista de que
fueron cumplidos todos los requerimientos funcionales y no funcionales.
Entrega del sistema: notificacin a los usuarios y a la , administracin en
general (si fuese necesario), de la culminacin del proyecto y sobre la fecha
del inicio de operacin del sistema.
7.2.1. Plan de implementacin
De acuerdo con la complejidad del sistema se debe generar un plan de implementacin
que incluya la calendarizacin de actividades, la ejecucin de pruebas en paralelo,
pruebas de esfuerzo y el traslado al ambiente de produccin.
a. Estrategia de implementacin
Definicin del mtodo de implementacin ms adecuado para el proyecto donde se
considera si se realiza un paralelo o no, mtodo de carga de datos a utilizar y cualquier
otra decisin estratgica para la finalizacin exitosa del proyecto. Esta estrategia debe
ser acordada con el Patrocinador del proyecto, el Lder del proyecto, el Lder Tcnico
y la Jefatura de la USTI.
b. Calendarizacin de actividades
Se refiere a un cronograma especfico para esta etapa. Se deben revisar las actividades,
recursos y tiempos programados en la planificacin inicial del proyecto para hacer las
modificaciones que se requieran. Estas modificaciones deben ser del conocimiento
del Patrocinador del proyecto, de la Jefatura de la USTI, de los usuarios y de los

analistas.
7.2.2. Instalacin del sistema
Las actividades a realizar son las siguientes:
Preparar los aspectos relacionados con el ambiente fsico y computacional
para dar inicio con la operacin del sistema
Para lo anterior y de acuerdo a las caractersticas del sistema, se recomienda lo
siguiente:
Activar los componentes de seguridad de acceso al sistema: identificacin
de usuarios, palabras de paso y atributos de usuario (roles), con la finalidad
de garantizar que el ingreso al sistema en operacin se realizar de forma
segura.
Verificar que los requerimientos de hardware, de software y de
comunicaciones se encuentran disponibles.
Verificar que se tenga el mobiliario, la instalacin elctrica (toma corrientes,
conexin a tierra, protectores de picos) y el espacio fsico necesario y
acondicionado para su operacin.
Verificar que los materiales que use el sistema se encuentren disponibles.
Por ejemplo formularios especiales, papelera, cintas para impresora,
medios de almacenamiento de datos y vdeos, cobertores para el equipo,
as como todos los otros materiales requeridos.
Realizar la instalacin del sistema en el ambiente de produccin en
coordinacin con el DBA.
7.2.3. Conversin y carga inicial automatizada de datos

En caso de requerirse una migracin de datos desde una aplicacin anterior o bien
mediante el ingreso masivo de informacin, el Lder de Proyecto deber considerar
este traspaso como un subproyecto, donde incluir los requerimientos de recurso
humano y tecnolgico para su ejecucin y sus respectivos controles de calidad y
completitud.
Confirmar que el ambiente computacional (software, hardware) y
personal, requerido para la carga o digitacin de los datos al sistema, se
encuentre disponible, segn lo indicado en el plan. De lo contrario, realizar
los ajustes necesarios para asegurar que la carga de los datos iniciales se
haga en una forma satisfactoria.
Ejecutar las aplicaciones desarrolladas para la conversin y carga inicial de
los datos al sistema.
Es recomendable realizar una depuracin de los datos por convertir, para
asegurar que no se incluyan datos errneos al sistema.
Verificar que los datos introducidos se encuentren correctos y completos.
Comprobacin por parte del Lder del Proyecto y del analista responsable,
que la conversin y carga de datos se realiz en una forma satisfactoria.
7.2.4. Ejecucin del paralelo
Justificar la necesidad de ejecucin de un procesamiento en paralelo. Esta decisin
la toma el Lder de Proyecto, considerando las caractersticas e impacto del sistema.
Determinar la duracin y forma en que se realizar el paralelo, de acuerdo
con la naturaleza y complejidad del sistema.
Determinar las funciones y responsabilidades del personal tcnico y del

usuario que participa en el paralelo.
Establecer los criterios de aceptacin esperados para evaluar los resultados
que se tengan al final de la ejecucin del paralelo.
Iniciar el paralelo brindando asistencia al usuario en forma continua, para
asegurar que los procedimientos se realizan en la forma correcta. Asimismo,
identificar y corregir los problemas que se presenten.
Documentar los resultados de la ejecucin del paralelo, considerando
los criterios de evaluacin establecidos. Indicar el criterio de aceptacin
considerado y el nombre de la persona que aprueba.
Dar un visto bueno, por parte del Lder del Proyecto, haciendo constar que
el paralelo se concluy en forma satisfactoria.
7.2.5. Aprobacin formal del sistema para el inicio de su operacin.
Esta aprobacin la hace el Patrocinador, mediante un acta de aceptacin y puesta en
operacin del sistema.
Aqu se confirma que el sistema terminado cumple con los requisitos acordados y que
puede ser puesto en produccin.
7.2.6. Hacer la entrega del sistema al usuario.
El Patrocinador y el Jefe de la USTI notificarn formalmente acerca de la puesta en
operacin del sistema desarrollado
7.2.7. Hacer la entrega de programas fuente
Cuando el sistema cuenta con la aceptacin del Patrocinador o el Lder de Proyecto
y ya est instalado en los equipo de produccin, se debe entregar para su custodia,
todos los programas, fuente en su versin final, generados en el desarrollo del sistema.
Estos programas deben ir acompaados de la documentacin especificada en el
procedimiento. Adems se debe depurar el inventario de programas de manera tal que

solo se haga entrega de los que realmente se requieren para la operacin del sistema
(borrar los programas temporales o transitorios, versiones de prueba y cualquier otro
programa que no es definitivo).
8.
Evaluacin post-implantacin
Es necesario establecer el tiempo necesario (de una semana a 3 meses segn el

tamao del sistema), para que se realice una evaluacin durante su operacin, y para
que se hagan los ajustes necesarios, de manera que se satisfagan los requerimientos
previamente establecidos.
Esta etapa supone la realizacin de una sesin con el equipo de proyecto para discutir
las lecciones aprendidas en el proceso de desarrollo e implantacin, de donde incluso
pueden derivarse mejoras a ser incorporadas a esta Gua Metodolgica de acuerdo al
proceso establecido para su actualizacin. Adicionalmente se generar una rendicin
de cuentas final y la relacin costo/beneficio efectiva del proyecto.
Anexo 5.
Mantenimiento de sistemas.
1. Mantenimiento de sistemas
Para el mantenimiento de un sistema se tiene que elaborar la solicitud de modificacin
por escrito por parte del usuario administrador del sistema. Para ello la USTI tiene
definido un estndar de formulario para control de cambios que el interesado deber
llenar y enviar para su respectivo trmite.
Una vez aprobado el ajuste con base a lo establecido por el procedimiento de control
de cambios, se conforma el equipo de trabajo para el desarrollo correspondiente,
dndole tratamiento como un proyecto normal, ajustando todo al tamao y condiciones
del trabajo a realizar.
Durante la ejecucin del trabajo de mantenimiento se debern cumplir las siguientes
fases:
1.1.
Planificacin del trabajo de mantenimiento
Es necesario que se asignen los recursos necesarios (humanos, tcnicos, y materiales),

as como establecer un calendario de seguimiento: fechas de reunin con los usuarios
y fechas de validacin con el Patrocinador.
Para llevar a cabo el mantenimiento se debe hacer una lista con las actividades por
medio de las cuales ste se realizar. Con esta lista de actividades, se determinar
si es necesario formular un cronograma para esta etapa, o simplemente efectuar un
acuerdo entre el Lder de Proyecto y el Lder Tcnico sobre cmo se realizar, y cul
ser el alcance que tendr.
1.2.
Especificacin de los nuevos requerimientos
En la misma forma en que fueron especificados en la fase de anlisis de requerimientos,

deben ser especificadas las nuevas necesidades. Podra ser que obedezcan a
solicitudes que anteriormente tuvieran muy baja prioridad, por lo que no se les tom
en cuenta en esa oportunidad. De ser as debe quedar claro en el nuevo listado.
Para especificarlos debe existir una sesin de trabajo, en la cual el Lder Tcnico deje
claro qu se puede atender y qu no, de manera que todos los requerimientos que
sean viables se implementen en el mantenimiento, con el visto bueno del Lder de
proyecto.
1.3.
Ajustes en programacin y pruebas
Realizar los ajustes correspondientes a la programacin y a la base de datos si fuera

necesario, para dar cumplimiento a lo solicitado. Adems, se debe valorar el tipo de
pruebas a realizar (pruebas funcionales y pruebas de integracin) segn el impacto de
los nuevos requerimientos en el sistema. Es importante que se asegure que las pruebas
aplicadas cubren todos los aspectos afectados por las recientes modificaciones en el
sistema para asegurar la estabilidad de la aplicacin.
1.4.
Actualizacin de la documentacin y de los programas fuente
Realizar los ajustes que correspondan en la documentacin del sistema, en el manual

de usuario, en el manual de operacin y en el manual tcnico, con la finalidad de que
dichos documentos se mantengan vigentes en todo momento. Los cambios realizados
en la programacin y la base de datos deben manejarse como versiones de acuerdo
con lo establecido en el estndar respectivo.
1.5.
Capacitacin
Dependiendo del tipo de ajuste realizado, se ver la conveniencia de comunicarlos

por medio de un correo o una pequea charla. De lo contrario se deber efectuar una
capacitacin de acuerdo a lo estipulado en la presente metodologa referente a este
tema.
1.6.
Implementacin de los cambios
Con todos los ajustes aprobados y efectuada la capacitacin, se realizarn los ajustes
necesarios en el equipo de produccin (tanto en el equipo principal como en el equipo
perifrico, segn corresponda), implementando el sistema actualizado, de acuerdo
con los estndares definidos.
1.7.
Evaluacin post-implantacin
Dependiendo del tipo de ajuste realizado, se deber realizar una etapa de postimplantacin, segn lo establecido en esta Gua.
Anexo 6.
Formulario para documentacin de las reuniones del proyecto.

Proyecto: <<Nombre del proyecto>>
Memoria de Reunin No. XX-AO
Divisin/rea:
Lugar:
Elaborado por:
Fecha:
Hora inicio:
Hora finalizacin:
ASISTENCIA:
Invitado
Dependencia
Pre
Aus
ASUNTOS PENDIENTES Y SEGUIMIENTO DE ACUERDOS:

Asunto
Responsable
Grado de avance / Finalizacin

prevista
ASUNTOS TRATADOS:
Asuntos tratados
1)
2)
Comentarios Generales
ACUERDOS:
Acuerdos
1)
2)
3)
Responsable (s)
F e c h a
prevista
Anexo 7.
Ficha de Anteproyecto.
FICHA DE ANTEPROYECTO
Nombre del Proyecto ________________________________________________________
Resultado esperado
_________________________________________________________
_________________________________________________________
Efecto
_________________________________________________________
_________________________________________________________
Objetivo
_________________________________________________________
_________________________________________________________
Productos
_________________________________________________________
_________________________________________________________
Enfoque
_________________________________________________________
_________________________________________________________
Alcance
_________________________________________________________
_________________________________________________________
Relaciones de
Coordinacin
_________________________________________________________
Responsable
_________________________________________________________
Prioridad
_________________________________________________________
Requerimientos
Iniciales
_________________________________________________________
_________________________________________________________
Fecha de inicio:
______________
Fecha de finalizacin: _______________________
Elaborado por: ___________________________________ Fecha:_____________________

Explicacin Detallada
Nombre del proyecto:
Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas deseables al definir el nombre del proyecto son:
Identificar la naturaleza del proyecto.

Ubicar el contexto en el que se desarrollar.
Debe ser conciso.
Resultado esperado:
Deben establecerse los resultados esperados en los campos de accin de la Contralora
que aparecen en la estrategia institucional, con los cuales se considere que el proyecto
contribuye.
En este apartado debe anotarse tanto la numeracin como el resultado esperado tal y
como se consignan en el documento de la Estrategia Institucional. Lo anterior con el
objeto de interrelacionar ordenadamente la planificacin con la estrategia institucional.
En el caso de existir contribucin directa con ms de un resultado esperado, stos
deben incluirse respetando un criterio de mayor a menor contribucin.
Efecto:
Para que un proyecto sea viable dentro de la CGR, el mismo debe aportar un valor
agregado a la misma, o sea que el mismo coadyuve a que la organizacin cumpla sus
fines y objetivos. En estos trminos se deben aportar los razonamientos que muestren
como el proyecto ayudar a que la CGR sea ms eficiente y productiva. Un proyecto
que no se pueda justificar en los trminos anteriores, simplemente no se debe realizar.
Objetivo:
Es el nivel de desempeo que se debe lograr para satisfacer una necesidad determinada.
Los objetivos deben tener una relacin directa con dicha necesidad, y es conveniente
que se estructuren segn los siguientes componentes:
Escala de medicin: La variable que indica la magnitud o avance del
objetivo, como pueden ser el porcentaje o el volumen.
Horizonte de tiempo: El periodo definido para lograr la consecucin del
objetivo, por ejemplo en seis meses.
El para qu: cuando sea necesario se puede indicar para qu se quiere

alcanzar el objetivo, lo cual est en funcin de la necesidad que se desea
satisfacer, de manera que el lector perciba expresamente esa necesidad
an cuando no tenga conocimiento en la materia.
Segn sea el caso puede definir un objetivo general y varios objetivos especficos.
Productos:
Los resultados inmediatos del proyecto que propiciarn el alcance del objetivo.
Enfoque:
Determina la(s) caracterstica(s) u orientacin particular con que se quiere desarrollar
el proyecto. Por ejemplo: participativo, consensuado, externalizacin, fiscalizacin
horizontal o unilateral.
Alcance:
mbito de accin propio del proyecto.
Relaciones de coordinacin:
Definen la interaccin del proyecto, definiendo en principio lo que se requiere
para su desarrollo (identifica proveedores), y lo que debe aportar a otras unidades
organizacionales o a otros proyectos (identifica clientes). En primer lugar se establecen
los clientes del proyecto, que llevan al producto deseado, lo cual conduce a los
proveedores que suministran los recursos para obtener los productos. En este aparte
se debe definir el rol que asume cada uno de los involucrados en el proyecto.
Responsable:
Unidad patrocinadora a la que se le asignar la responsabilidad de administrar el
proyecto, y en consecuencia la que debe rendir cuentas por el logro de los objetivos
planteados.
Prioridad:
El grado de urgencia del asunto. Debe estar relacionado con el impacto de los productos
y con la disponibilidad de tiempo para la ejecucin. Se define en funcin del tiempo
con que se cuenta para tener los productos y de su impacto.
Requerimientos iniciales:
Indican en forma general los aspectos o acciones necesarias que deben desarrollarse
en el proyecto, con el propsito de que ste brinde los efectos y resultados esperados.
Dichos requerimientos deben analizarse segn los componentes del modelo gerencial
de esta Contralora General: Procesos Internos, Recursos Humanos y Sistemas de
Informacin.
Fecha de inicio y de finalizacin del proyecto:

Se establecen fechas de inicio y fin propuestas que enmarquen el proyecto dentro de
un tiempo especfico; estas fechas deben ser de comn acuerdo con todas las reas
involucradas.
Podran estar determinadas por un periodo previamente asignado,
negociado, establecido por ley o se puede partir del hecho de que la administracin
requiere que el proyecto est para determinada fecha, en cumplimiento de objetivos
estratgicos.
Es muy importante para efectos de planeacin, realizar un estimado de la duracin
del proyecto; ya que las diferentes reas involucradas debern aportar los recursos
que sean necesarios para que la duracin del proyecto se cumpla. Los supuestos
en que se basa la estimacin de tiempos resultan fundamentales a efecto de crear
expectativas realistas y acordes con los recursos y alcances esperados.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 8.
DESCRIPTIVO DE LA ORGANIZACIN DEL PROYECTO

PROYECTO:
Nombre del proyecto
Cdigo de Proyecto: _____________

Siglas:
_____________
Objetivo
_________________________________________________________
_________________________________________________________
_________________________________________________________
Lder de Proyecto:
_________________________________________________________
Lder Tcnico:
_________________________________________________________
Integrantes del equipo de trabajo
Nombre
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
Unidad
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Integrantes del equipo de apoyo tcnico

Nombre
______________________________________
______________________________________
______________________________________
Unidad
_____________________________
_____________________________
_____________________________
Patrocinador(es) del Proyecto

Nombre
Puesto
________________________________________________ ____________________
________________________________________________ ____________________
________________________________________________ ____________________
Elaborado por: ___________________________________ Fecha : ____________________
Explicacin Detallada.
Nombre del Proyecto:
Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas
deseables al definir el nombre del proyecto son:
Identificar la naturaleza del proyecto.
Ubica el contexto en el que se desarrollar.
Debe ser conciso.
Cdigo de Proyecto:
Para efectos prcticos y con el fin de mejorar aspectos de documentacin y archivo,
todo sistema ser conocido por un cdigo asignado tomando como referencia el
nmero de gestin y proceso que tendr el proyecto en el Sistema de Gestin y
Documentos (SIGYD). Con dicho nmero se podr entonces revisar en el SIGYD toda
la correspondencia asociada, el detalle del equipo de trabajo, fechas importantes y las
horas dedicadas.
Por ejemplo: 2008000123-5.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Lder de Proyecto y Lder Tcnico:

Nombres del lder de proyecto y del lder tcnico designados.
Integrantes del equipo de trabajo y del equipo de apoyo tcnico:

Se indicar en cada lnea el nombre y la unidad de la persona que integrar cada uno
de estos equipos. Para definir cada equipo deber coordinarse con las respectivas
reas involucradas para que asignen a cada recurso con el tiempo suficiente para
atender las tareas propias de su participacin en el proyecto.
Patrocinadores del proyecto:

Todo proyecto debe tener uno o varios patrocinadores. Estos sern funcionarios que
no solo apoyan el proyecto sino que se involucran directamente en l. Por lo general
sern funcionarios ubicados en las ms altas posiciones de mando de la organizacin,

que no solo pedirn cuenta sobre el avance del mismo, sino que se encargaran de
nivelar cualquier obstculo que amenace al proyecto, y que promovern el mismo
ante las altas esferas de la CGR.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en
su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 9.
Ficha de Estrategia de Solucin del proyecto.

ESTRATEGIA DE SOLUCION
PROYECTO:
Nombre del proyecto
Cdigo de Proyecto: _____________

Siglas:
_____________
Estrategia de solucin para el proyecto:

_________________________________________________________
_________________________________________________________
_________________________________________________________
Aprobado por: ___________________________________ Fecha: ____________________
Explicacin Detallada.

Es el ttulo o enunciado que identifica al proyecto.
Cdigo de Proyecto:
Cdigo asignado tomando como referencia el nmero de gestin y proceso que tendr
el proyecto en el Sistema de Gestin y Documentos (SIGYD).
Siglas:
Estrategia de solucin para el proyecto:

Se detalla la estrategia de solucin que la Unidad Ejecutora eligi para el proyecto.
Aprobado por:
Es el nombre del coordinador de la Unidad Ejecutora.
Fecha:
Fecha en que se emite el documento.
Anexo 10.
Formulario para la Planeacin de Recursos.
PLANEACION DE RECURSOS
Nombre del proyecto: ___________________________________________________
Cdigo de proyecto: ________
Siglas:
_________
Recursos Requeridos
_________________________________________________________
Humanos:
____________
________________________________________________________________________
__________________________________________________________________
Tecnolgicos:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Materiales:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Financieros:
________________________________________________________________________
________________________________________________________________________
__________________________________________________________________
Elaborado por: ____________________________________ Fecha: ____________
Explicacin detallada.

En este campo se debe consignar el nombre con que ha venido siendo conocido el
proyecto.
Cdigo de Proyecto:
En este campo se consignar el cdigo que se le asign al proyecto.
Siglas: Se deben consignar las siglas que la USTI le asigne al proyecto.
Recursos Humanos:
En este campo se debe anotar cada una de las personas que se requerirn durante el
ciclo de vida del proyecto, con el fin de que las mismas sean ubicadas a tiempo, segn
sea el caso.
Adems deber indicarse para cada persona el grado de dedicacin al
proyecto, dentro de un periodo debidamente especificado en esta seccin.

Para que un proyecto sea exitoso cada integrante del equipo de trabajo debe
comprometer un nmero determinado de horas de su horario normal. De no ser as,
ese funcionario no debe estar integrando el equipo de trabajo y debe ser sustituido.
No existe una formula fija, sin embargo reglas basadas en la experiencia indican que
el lder de un proyecto de mediano a gran tamao, debe dedicarse a tiempo completo
al proyecto; los otros integrantes del equipo podran no estar a tiempo completo pero
su grado de dedicacin debe quedar claramente establecido para todos los miembros,
ya que esto incide directamente en el tiempo requerido para el logro de las metas y
objetivos del proyecto.
Segn sea el caso se debe anotar el perfil requerido para el recurso; por ejemplo: se
requiere un programador en JAVA con basta experiencia, durante un lapso de cinco
meses, para laborar a medio tiempo. Se requiere los servicios de un experto en
instalacin de redes de fibra ptica, para trabajar por tres meses a tiempo completo,
para laborar en las oficinas centrales de la CGR.
Recursos Tecnolgicos:
En este campo se deben anotar aquellos recursos tecnolgicos con que se debe contar
en un momento determinado, para la buena marcha del proyecto. Es necesario indicar
cantidades, tiempo y especificaciones tcnicas.
Por ejemplo:
se requiere contar con un servidor instalado en la red central de la CGR, a
partir del mes de octubre, con las siguientes caractersticas tcnicas.......
Se debe contar, a partir de julio, con un Sistema Administrador de Bases
de Datos, Oracle 11g, con 12 licencias de prueba, instalado en el servidor
de pruebas de la CGR.....
Recursos Materiales:
En este campo se deben anotar aquellos recursos materiales, necesarios para la buena
marcha del proyecto. Es necesario indicar cantidades, tiempo y caractersticas.
Ejemplos.
Se necesita una oficina de 60 m2, equipada con cuatro escritorios, .....
Se requiere contar con los servicios de un vehculo a disposicin del grupo
de trabajo, las 24 horas del da, a partir del mes de febrero y por 3 meses.
Recursos Financieros:
En este campo se debe hacer referencia a un presupuesto de gastos, lo mismo que
a un flujo de efectivo, dependiendo de la complejidad del proyecto, los presupuestos
sern ms o menos detallados. En algunos proyectos de la CGR, podran no tener
presupuesto o flujos de efectivo, sobre todo aquellos que lo nico que requieren es
el aporte del esfuerzo personal de su grupo de trabajo, para obtener un determinado
producto como lo es por ejemplo un desarrollo interno de sistemas, un ante-proyecto,
la redaccin de una poltica o lineamiento.
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 11.
Formulario para documentar Acciones Correctivas o Preventivas.
DOCUMENTACIN DE ACCIONES CORRECTIVAS O PREVENTIVAS
Nombre del Proyecto: ________________________________________________________
Cdigo de Proyecto: _______
Siglas:
_______
Actividad desfasada(o que se podra desfasar) segn el Plan.
__________________________________________________________________________
Motivos:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acciones correctivas (o preventivas).
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Elaborado por: ___________________________________ Fecha: ___________________

En este campo se debe indicar el nombre del proyecto, tal y como el mismo es conocido
en toda la documentacin.
Cdigo del proyecto:

Nmero de cdigo asignado desde el inicio del proyecto.
Siglas:
Actividad desfasada segn el plan:

Se dice que una actividad esta desfasada cuando a travs del proceso de revisin se
determina que una actividad no esta logrando los alcances esperados, o bien los est
logrando en un tiempo mayor al planeado. En este campo se debe indicar el nombre
de todas aquellas actividades que el equipo de trabajo detectase como desfasadas.
Lo ideal es que el desfase sea detectado lo antes posible, para facilitar la toma de
acciones.
Motivos:
En este campo se deben documentar los motivos por los que, a criterio del equipo de
trabajo, la actividad tiende a estar o est desfasada.
Posibles acciones correctivas o preventivas para contrarrestar el desfase:

Dependiendo del tipo de desfase, el equipo de trabajo tomara diversas acciones para
contrarrestarlo. Por ejemplo si el desfase fuese en el tiempo, el equipo puede asignar
ms recursos a la actividad para acelerar su ejecucin. Si el desfase fuese en alcances,
el equipo buscar diversas alternativas para lograr los alcances iniciales. Si fuese
imposible lograrlos se debe hacer la comunicacin a la Unidad Ejecutora, para buscar
el consenso sobre unos nuevos alcances modificados o reducidos.
Si las acciones
correctivas no lograsen, mantener vigente el plan del proyecto, se deber elaborar un

ajuste al plan, comunicndolo a todos los diferentes interesados o afectados por el
proyecto.
Elaborado por:
Fecha:
Anexo 12.
Formulario para llevar el Control de Cambios del Proyecto

CONTROL DE CAMBIOS EN EL PROYECTO
Siglas:
_______
Cambio requerido:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Justificacin:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Impacto del cambio:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Requiri de ajustes en el plan de trabajo. ____________________
Elaborado por: ___________________________________ Fecha: ___________________

Cdigo del proyecto:

Siglas:
Cambio requerido:
Debe detallar en que consisti el cambio dentro del proyecto.
Justificacin:
Asociado al cambio anterior debe indicar la justificacin o el por qu se present el
cambio.
Impacto del cambio:

Debe valorar el impacto como bajo, mediano y alto dependiendo de cuanto afecte el
plan de trabajo.
Requiri ajustes en el plan de trabajo:

Se indica con un si o con un no si la atencin de dicho cambio requiri que se
realizaran ajustes al plan de trabajo.
Elaborado por:
Fecha:
Anexo 13.
Formulario para la Aceptacin de Productos Finales del Proyecto

ACEPTACIN DE PRODUCTOS FINALES DEL PROYECTO
Siglas:
________
Productos entregados:
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
Observaciones:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Acepta a satisfaccin: _______________________________ Firma: ___________________
Fecha: ___________________

Cdigo del proyecto:

Siglas:
Productos entregados:
Se listan todos los productos finales que deja el proyecto que concluye. Pueden ser;
entre otros, sistemas operando, documentacin, o tecnologa operando.
Observaciones:
El coordinador de la Unidad Ejecutora puede dejar constancia de puntos que considera
importantes en relacin a alguno de los productos, sobre todo si los requiere ser
retomado en futuras versiones del proyecto.
Acepta a satisfaccin:
En este campo se debe consignar el nombre del coordinador de la Unidad Ejecutora,
dando por aceptados los productos finales.
Firma:
Firma del coordinador de la Unidad Ejecutora.
Fecha:
Anexo 14.
Diagramas de Casos de Uso

Un Diagrama de Casos de Uso muestra la relacin entre los actores y los casos de uso
del sistema. Representa la funcionalidad que ofrece el sistema en lo que se refiere
a su interaccin externa. En el diagrama de casos de uso se representa tambin el
sistema como una caja rectangular con el nombre en su interior. Los casos de uso
estn en el interior de la caja del sistema, y los actores fuera, y cada actor est unido
a los casos de uso en los que participa mediante una lnea. En la siguiente figura se
muestra un ejemplo de Diagrama de Casos de Uso para un cajero automtico.
1. Elementos
Los elementos que pueden aparecer en un Diagrama de Casos de Uso son: actores,
casos de uso y relaciones entre casos de uso.
1.1 Actores
Un actor es algo con comportamiento, como una persona (identificada por un rol), un
sistema informatizado u organizacin, y que realiza algn tipo de interaccin con el
sistema. Se representa mediante una figura humana. Esta representacin sirve tanto
para actores que son personas como para otro tipo de actores.
1.2 Casos de Uso
Un caso de uso es una descripcin de la secuencia de interacciones que se producen
entre un actor y el sistema, cuando el actor usa el sistema para llevar a cabo una tarea
especfica. Expresa una unidad coherente de funcionalidad, y se representa en el
Diagrama de Casos de Uso mediante una elipse con el nombre del caso de uso en su
interior. El nombre del caso de uso debe reflejar la tarea especfica que el actor desea
llevar a cabo usando el sistema.
1.3 Relaciones entre Casos de Uso
Un caso de uso, en principio, debera describir una tarea que tiene un sentido completo
para el usuario. Sin embargo, hay ocasiones en las que es til describir una interaccin
con un alcance menor como caso de uso con fines de mejorar la comunicacin en
el equipo de desarrollo y en el manejo de la documentacin de casos de uso. Si
queremos utilizar casos de uso ms pequeos, las relaciones entre estos y los casos
de uso ordinarios pueden ser de los siguientes tres tipos:
Incluye (<>): Un caso de uso base incorpora explcitamente a otro caso de
uso en un lugar especificado dentro del caso base. Se suele utilizar para
encapsular un comportamiento parcial comn a varios casos de uso. En
la siguiente figura se muestra cmo el caso de uso Realizar Reintegro
puede incluir el comportamiento del caso de uso Identificacin.
Extiende (<>): Cuando un caso de uso base tiene ciertos puntos (puntos
de extensin) en los cuales, dependiendo de ciertos criterios, se va a
realizar una interaccin adicional. El caso de uso que extiende describe un
comportamiento opcional del sistema (a diferencia de la relacin Incluye que
se da siempre que se realiza la interaccin descrita) En la siguiente figura
se muestra como el caso de uso Comprar Producto permite explcitamente
extensiones en el siguiente punto de extensin: info regalo. La interaccin
correspondiente a establecer los detalles sobre un producto que se enva
como regalo estn descritos en el caso de uso Detalles Regalo.
Ambos tipos de relacin se representan como una dependencia etiquetada con el

estereotipo correspondiente (<<>> o <>), de tal forma que la flecha indique el sentido
en el que debe leerse la etiqueta. Junto a la etiqueta <> se puede detallar el/los puntos
de extensin del caso de uso base en los que se aplica la extensin.
Generalizacin ( ): Cuando un caso de uso definido de forma abstracta se
particulariza por medio de otro caso de uso ms especfico. Se representa
por una lnea continua entre los dos casos de uso, con el tringulo que
simboliza generalizacin en UML (usado tambin para denotar la herencia
entre clases) pegado al extremo del caso de uso ms general. Al igual que
en la herencia entre clases, el caso de uso hijo hereda las asociaciones y
caractersticas del caso de uso padre. El caso de uso padre se trata de un
caso de uso abstracto, que no est definido completamente. Este tipo de
relacin se utiliza mucho menos que las dos anteriores. El caso de uso hijo
hereda el comportamiento y significado del caso de uso padre.
La generalizacin aplica tambin para los actores o agentes. Las funciones de un

actor pueden especializarse. Un actor puede heredar las funciones del actor padre y
a la vez tener funciones ms especficas que lo especialicen.
Trabajando con Casos de Uso

Un Caso de Uso es un documento narrativo que describe a los actores utilizando un
sistema para satisfacer un objetivo. Es una historia o una forma particular de usar un
sistema. Los casos de uso son requisitos, en particular requisitos funcionales.
UML no define un formato para describir un caso de uso. Tan slo define la manera
de representar la relacin entre actores y casos de uso en un diagrama: el Diagrama
de Casos de Uso. Sin embargo, un caso de uso individual no es un diagrama, es
un documento de texto. En la siguiente seccin se define el formato textual para la
descripcin de un caso de uso que se va a utilizar en este documento.
Un escenario es un camino concreto a travs del caso de uso, una secuencia especfica
de acciones e interacciones entre los actores y el sistema. En un primer momento
interesa abordar un caso de uso desde un nivel de abstraccin alto, utilizando el

formato de alto nivel. Cuando se quiere describir un caso de uso con ms detalle, se
usa el formato expandido.
1. Casos de Uso de Alto Nivel

El siguiente Caso de Uso de Alto Nivel describe el proceso de sacar dinero cuando se
est usando un cajero automtico:
Caso de Uso: Realizar Reintegro
Actores: Cliente
Tipo: primario
Descripcin: Un Cliente llega al cajero automtico, introduce la tarjeta, se
identifica y solicita realizar una operacin de reintegro por una cantidad
especfica. El cajero le da el dinero solicitado tras comprobar que la
operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va.
En un caso de uso descrito a alto nivel la descripcin es muy general, normalmente
se condensa en dos o tres frases. Es til para comprender el mbito y el grado de
complejidad del sistema.
2. Casos de Uso Expandidos

Los casos de uso que se consideren los ms importantes y que se considere que son
los que ms influencian al resto, se describen a un nivel ms detallado en el formato
expandido.
La principal diferencia con un caso de uso de alto nivel est en que incluye un apartado
de Curso Tpico de Eventos, pero tambin incluye otros apartados como se ve en el
siguiente ejemplo:
Caso de Uso: Realizar Reintegro

Actores: Cliente (iniciador)
Propsito: Realizar una operacin de reintegro de una cuenta del banco
Visin General: Un Cliente llega al cajero automtico, introduce la tarjeta,
se identifica y solicita realizar una operacin de reintegro por una cantidad
especfica. El cajero le da el dinero solicitado tras comprobar que la
operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va.
Tipo: primario y esencial
Referencias: Funciones: R1.3, R1.7
Curso Tpico de Eventos:
Accin del Actor
Respuesta del Sistema
1. Este caso de uso empieza cuando 2. Pide la clave de identificacin.
un Cliente introduce una tarjeta en
el cajero.
3. Introduce la clave.
5.
Selecciona
la
4. Presenta las opciones de operaciones

operacin
disponibles.
de 6. Pide la cantidad a retirar.
Reintegro.
7. Introduce la cantidad requerida.
9. Recoge la tarjeta.
8. Procesa la peticin y da el dinero solicitado.

Devuelve la tarjeta y genera un recibo.
10. Recoge el recibo.

11. Recoge el dinero y se va.
Cursos Alternativos:
Lnea 4: La clave es incorrecta. Se indica el error y se cancela la operacin.
Lnea 8: La cantidad solicitada supera el saldo. Se indica el error y se
cancela la operacin.
El significado de cada apartado de este formato es como sigue:

Caso de Uso: Nombre del Caso de Uso
Actores: Lista de actores (agentes externos), indicando quin inicia el caso
de uso. Los actores son normalmente roles que un ser humano desempea,
pero puede ser cualquier tipo de sistema.
Propsito: Intencin del caso de uso.
Visin General: Repeticin del caso de uso de alto nivel, o un resumen
similar.
Tipo:
primario, secundario u opcional (descritos ms adelante).
Esencial o real (descritos ms adelante).

Referencias: Casos de uso relacionados y funciones del sistema que
aparecen en los requisitos (si se levantaron previamente)
Curso Tpico de Eventos: Descripcin de la interaccin entre los actores
y el sistema mediante las acciones numeradas de cada uno. Describe
la secuencia ms comn de eventos, cuando todo va bien y el proceso
se completa satisfactoriamente. En caso de haber alternativas con grado
similar de probabilidad se pueden aadir secciones adicionales a la seccin
principal, como se ver ms adelante.
Cursos Alternativos: Puntos en los que puede surgir una alternativa, junto
con la descripcin de la excepcin.
3. Identificacin de Casos de Uso

La identificacin de casos de uso requiere un conocimiento medio acerca de los
requisitos del sistema, y se basa en la revisin de los documentos de requerimientos
(si los hay), y en el uso de la tcnica de lluvia de ideas entre los miembros del equipo
de trabajo y el lder tcnico.
Como gua para la identificacin inicial de casos de uso hay dos mtodos:
a. Basado en Actores
1. Identificar los actores relacionados con el sistema y/o la organizacin.
2. Para cada actor, identificar los procesos que inicia o en los que participa.
b. Basado en Eventos
1. Identificar los eventos externos a los que el sistema va a tener que responder.
2.
Relacionar
los
eventos
con
actores
casos
de
uso.
Ejemplos de casos de uso:

Pedir un producto.
Matricularse en un curso de la facultad.
Comprobar la ortografa de un documento en un procesador de textos.
Comprar un libro en una tienda de libros en Internet
4. Identificacin de los Lmites del Sistema

En la descripcin de un caso de uso se hace referencia en todo momento al sistema.
Para que los casos de uso tengan un significado completo es necesario que el sistema
est definido con precisin.
Al definir los lmites del sistema se establece una diferenciacin entre lo que es interno
y lo que es externo al sistema. El entorno exterior se representa mediante los actores.
Ejemplos de sistemas son:
El hardware y software de un sistema informtico.
Un departamento de una organizacin.
Una organizacin entera.
Si no se est haciendo reingeniera del proceso de negocio lo ms normal es escoger
como sistema el primero de los ejemplos: el hardware y el software del sistema que
se quiere construir.
5. Tipos de Casos de Uso

a. Segn Importancia
Para establecer una primera aproximacin a la priorizacin de casos de uso que
identifiquemos, los vamos a distinguir entre:
Primarios: Representan los procesos principales, los ms comunes, como
Realizar Reintegro en el caso del cajero automtico.
Secundarios: Representan casos de uso menores, que van a necesitarse
espordicamente.
Opcionales: Representan procesos que pueden no ser abordados en el
presente proyecto.
b. Segn el Grado de Compromiso con el Diseo
En las descripciones que se han visto se han descrito los casos de uso a un nivel
abstracto, independientemente de la tecnologa y de la implementacin. Un caso de
uso definido a nivel abstracto se denomina esencial. Los casos de uso definidos a alto
nivel son siempre esenciales por naturaleza, debido a su brevedad y abstraccin.
Por el contrario, un caso de uso real describe concretamente el proceso en trminos
del diseo real, de la solucin especfica que se va a llevar a cabo. Se ajusta a un tipo
de interfaz especfica, y se baja a detalles como pantallas y objetos en las mismas.
Para el ejemplo de un Caso de Uso Real en el caso del reintegro en un cajero
automtico tenemos la siguiente descripcin del Curso Tpico de Eventos:
Accin del Actor

1. Este caso de uso empieza cuando un 2. Pide el PIN (Personal Identification
Cliente introduce una tarjeta en la ranura Number).
para tarjetas.
3. Introduce el PIN a travs del teclado 4.
Presenta
numrico.
operaciones
5. etc.
6. etc.
las
opciones
de
disponibles.
En principio, los casos de uso reales deberan ser creados en la fase de Diseo de
Bajo Nivel y no antes. Sin embargo, en algunos proyectos se plantea la definicin de
interfaces en fases tempranas del ciclo de desarrollo, en base a que son parte del
contrato. En este caso se pueden definir algunos o todos los casos de uso reales, a
pesar de que suponen tomar decisiones de diseo muy pronto en el ciclo de vida.
No hay una diferencia estricta entre un Caso de Uso Esencial y uno Real, el grado de
compromiso con el diseo es un continuo, y una descripcin especfica de un caso de
uso estar situada en algn punto de la lnea entre Casos de Uso Esenciales y Reales,
normalmente ms cercano a un extremo que al otro, pero es raro encontrar Casos de
Uso Esenciales o Reales puros.
6. Consejos Relativos a Casos de Uso

a. Nombre
El nombre de un Caso de Uso debera ser un verbo, para enfatizar que se trata de un
proceso, por ejemplo: Comprar Artculos o Realizar Pedido.
b. Alternativas
Cuando se tiene una alternativa que ocurre de manera relativamente ocasional, se
indica en el apartado Cursos Alternativos. Pero cuando se tienen distintas opciones,
todas ellas consideradas normales se puede completar el Curso Tpico de Eventos con
secciones adicionales.
As, si en un determinado nmero de lnea hay una bifurcacin se pueden poner
opciones que dirigen el caso de uso a una seccin que se detalla al final del Curso
Tpico de Eventos, en la siguiente forma:
- Curso Tpico de Eventos:
Seccin: Principal
Accin del Actor
1. Este caso de uso empieza cuando Actor 2. Pide la operacin a realizar.
llega al sistema.
3. Escoge la operacin A.
5. Selecciona el tipo de pago:
4. Presenta las opciones de pago.

6. Genera recibo.
Si se paga al contado ver seccin Pago

al Contado.
Si se paga con tarjeta ver seccin Pago
con Tarjeta.
7. Recoge el recibo y se va.

Lneas 3 y 5: Selecciona Cancelar. Se cancela la operacin.
Seccin: Pago al Contado

Accin del Actor
1. Mete los billetes correspondientes

2. Coge los billetes y sigue pidiendo dinero
hasta que la cantidad est satisfecha
3. Devuelve el cambio.
Lnea 3: No hay cambio suficiente. Se cancela la operacin.
Seccin: Pago con Tarjeta
7. Construccin del Modelo de Casos de Uso

Para construir el Modelo de Casos de Uso se siguen los siguientes pasos:
f. Despus de listar las funciones del sistema, se definen los lmites del
sistema y se identifican los actores y los casos de uso.
g. Se escriben todos los casos de uso en el formato de alto nivel. Se categorizan
como primarios, secundarios u opcionales.
h. Se dibuja el Diagrama de Casos de Uso.
i. Se detallan relaciones entre casos de uso, en caso de ser necesarias, y se
ilustran tales relaciones en el Diagrama de Casos de Uso.
j. Los casos de uso ms crticos, importantes y que conllevan un mayor
riesgo, se describen en el formato expandido esencial. Se deja la definicin
en formato expandido esencial del resto de casos de uso para cuando
sean tratados en posteriores ciclos de desarrollo, para no tratar toda la
complejidad del problema de una sola vez.
k. Se crean casos de uso reales slo cuando:
- Descripciones ms detalladas ayudan significativamente a incrementar
la comprensin del problema.
- El cliente pide que los procesos se describan de esta forma.
l. Ordenar segn prioridad los casos de uso.
Anexo - NTP8
Marco General para Gestin de

la Calidad en TIC
1.
ALCANCE DEL SISTEMA DE GESTIN DE CALIDAD

1.1.
Generalidades
La Unidad de Sistemas es la encargada de la gestin de tecnologas de informacin

y telecomunicaciones en la Contralora General de la Repblica, posee la siguiente
estructura:
Jefatura de Unidad:
Es el responsable de la Unidad y coordina toda la gestin del desarrollo de proyectos
tecnolgicos.
En el rol del proceso de calidad es el encargado de velar por el
cumplimiento de las polticas de calidad.
Soporte Administrativo:
Consiste en brindar servicios asistenciales relacionados con presupuesto y compras
en tecnologas de informacin.
Soporte a Clientes:
Este grupo brinda soporte tcnico a las computadoras, sus accesorios y programas
que tienen los usuarios internos de la CGR. Este soporte implica la atencin de fallas
en los equipos, instalacin de programas y recuperacin de datos.
Desarrollo de Sistemas:
Los funcionarios pertenecientes a este grupo se encargan de la gestin de desarrollo
y evolucin de sistemas y aplicaciones.
Plataforma Tecnolgica:
El grupo de plataforma tecnolgica es el encargado del buen funcionamiento y
desempeo de los servidores y bases de datos.
Plataforma de redes:
Es el grupo encargado de la gestin de las comunicaciones tanto digitales como
telefnicas, administrando la infraestructura de firewall, routers y switches para el
transporte de datos, voz y video, as como la seguridad relacionada con antivirus, filtro
de contenidos y perimetral.
Centro de Cmputo:
Administra la infraestructura tecnolgica centralizada en la sala del centro, supervisa
el buen funcionamiento y asegura la generacin de respaldos de bases de datos y
sistemas operativos.
1.1.1. Alcance del sistema de gestin de la calidad

El sistema de gestin de la calidad de Contralora General de la Repblica asegura
la estandarizacin de los procesos de diseo, construccin y mantenimiento de
soluciones tecnolgicas que satisfagan las especificaciones definidas por los clientes.
Este sistema es complementado con el aseguramiento de la calidad basado en la
Capacidad de los Modelos de Madurez (CMM), el cual tiene por alcance el desarrollo
mantenimiento de soluciones tecnolgicas, siendo entre ellos congruentes y formando
un solo sistema que se integra y complementa de buena manera.
El Sistema de Gestin de la Calidad de las soluciones tecnolgicas de la Contralora
General de la Repblica, permite:
Asegurar la conformidad con los requerimientos del usuario, legales,
vigentes y
aplicables.
Aumentar la satisfaccin de los usuarios por medio de una efectiva

aplicacin del SGC y su mejoramiento continuo,
Verificar la capacidad que tienen las soluciones tecnolgicas en los procesos
de la organizacin para la satisfaccin de las necesidades de los usuarios.
1.2.
Trminos y Definiciones
Para un mejor entendimiento del presente Manual, son aplicables los trminos y
definiciones de la norma internacional ISO 9000:2000 Sistemas de Gestin de la
Calidad Fundamentos y vocabulario.
1.3.
Poltica de la calidad.
La poltica de la calidad de Contralora General de la Repblica es la siguiente:
En la Unidad de Tecnologas (UTI) de la Contralora General de la Repblica

nos comprometemos a realizar nuestros mejores esfuerzos para ofrecer
productos y servicios de calidad en el diseo, construccin y mantenimiento
de soluciones tecnolgicas, satisfaciendo las necesidades de nuestros
usuarios, cumpliendo todos los requisitos vigentes, ya sean tcnicos,
legales o especificados, incorporando en los productos y servicios, las ms
innovadoras herramientas tecnolgicas del mercado. En consecuencia, la
UTI tiene como objetivo, la mejora continua, asegurando la calidad de sus
productos con la participacin y apoyo de su personal, el cual se destaca por
su compromiso y profesionalismo
1.4.
Diagrama de procesos
Segn el MAGEFI, el proceso PA-08-05 Gestin de las Tecnologas de Informacin,

tiene como objetivo el Aprovechar las tecnologas de informacin y de comunicacin
para impulsar el desarrollo de los procesos internos (pg. 53). Para dar cumplimiento
a este cometido se han identificado las siguientes actividades en el proceso:
Diagnstico de la necesidad de solucin tecnolgica
Anlisis de los requerimientos
Diseo de la solucin tecnolgica
Obtencin de la solucin tecnolgica
Implementacin de la solucin tecnolgica
Operacin de la solucin tecnolgica
Como su objetivo lo menciona, se trata de un proceso cuyo producto de solucin
tecnolgica que se orienta hacia lo interno de la institucin, por lo que se trata de un
proceso que apoya otros procesos organizacionales.
2.
SISTEMA DE GESTIN DE CALIDAD

2.1.
Requisitos Generales
El sistema de gestin de la calidad est conformado por el personal, su manera de

relacionarse, los procesos y su interaccin, los procedimientos e instructivos, as como
tambin, por los recursos que se utilizan para garantizar la calidad de los productos
y servicios, en donde se involucra cada paso, desde la compra de equipos, idear el
producto, hasta puesta en marcha y entrega del producto al cliente.
Los requisitos del sistema de gestin de la calidad implican que:
Se identifican y determinan los procesos que intervienen en l
Se determina la secuencia e interaccin de stos.
Se determinan los criterios y mtodos que se requieren para asegurar la
efectiva operacin y control.
Se asegura la disponibilidad de la informacin necesaria para soportar su
operacin y seguimiento, as como su medicin.
Se proporciona seguimiento y anlisis y se implantan, cuando se requiere,
las acciones necesarias para alcanzar los resultados planeados y la mejora
continua.
Dependiendo del proyecto tecnolgico la UTI conformar un equipo especializado en
la materia para realizar la validacin del producto versus las especificaciones obtenidas
previamente, con el objetivo de asegurar la satisfaccin del cliente.
2.2.
Requisitos de la documentacin.
2.2.1. Generalidades
Para que el sistema opere consistentemente, se mantenga y pueda mejorarse, se
deben establecer, documentar e implantar, documentos que incluyen:
a. Las declaraciones documentadas de una Poltica y objetivos de la calidad,
b. El presente Marco de Gestin de la Calidad,
c. Los documentos y procedimientos requeridos por la organizacin para
asegurar la planificacin, operacin y control efectivo de las actividades
propias del proceso de Gestin de tecnologas de informacin y
comunicacin.
2.2.2. Manual de calidad
Este manual de la calidad incluye el alcance del Sistema de Gestin de Calidad, sus
exclusiones y las consideraciones en materia de calidad que se contemplan en las
soluciones tecnolgicas.
2.2.3. Control de documentos
El control de Documentos est establecido en la Metodologa para el Desarrollo de
Proyectos de Tecnologas de Informacin y Comunicaciones, y en trminos generales
establece:
Aprobar documentos antes de su Emisin y/o Publicacin,

Revisar y actualizar los documentos,
Identificar las modificaciones y la condicin de la revisin vigente de los

documentos por medio de un adecuado control de versiones,
Asegurar que las revisiones vigentes estn disponibles en sus lugares de
uso,
Asegurar que los documentos se mantienen legibles e identificables,

Asegurar que los documentos de origen externo sean identificados y su
distribucin controlada, y
Evitar el uso de documentos obsoletos, planteando como sern
identificados apropiadamente cuando se retienen con algn propsito.
2.2.4. Control de registros
La CGR considera los registros como un tipo especial de documento por lo que se
establece y mantienen registros para proporcionar evidencia de la conformidad con los
requisitos as como del funcionamiento efectivo del producto o servicio. Los registros
permanecen legibles, fcilmente identificables y recuperables de conformidad con
las polticas establecidas para la retencin y desecho de documentos definidas por
Archivos Nacionales.
3.
RESPONSABILIDAD DE LA DIRECCIN
3.1.
Enfoque al cliente
Cada lder de proyecto contar con el apoyo del Coordinador de Proyectos, el lder
tcnico y el grupo de apoyo de manera que se pueda asegurar las necesidades y
expectativas de los usuarios que han sido convertidas en requisitos y son cumplidas con
la finalidad de lograr la satisfaccin de stos, considerando siempre las obligaciones
reglamentarias y legales.
Lo anterior, se mide a travs de la informacin que se proporciona acerca del desempeo
de los productos y servicios que se tienen, con respecto a sus requerimientos y
expectativas. Esta informacin se recopila por medio de la ficha tcnica del proyecto
(ver Manual de Estndares, Anexo No.7).
3.2.
Poltica de la Calidad
El lder de proyectos, se encarga de asegurar y vigilar que la Poltica de la Calidad

establecida en la seccin 1.3 de ste Manual sea:

Apropiada al propsito de la organizacin;
Incluya un compromiso para cumplir los requisitos y para la mejora continua;

Provea un marco de referencia para establecer y revisar los objetivos de
calidad;
Sea comunicada y entendida por todos los miembros de la organizacin;
Se ajuste continuamente a los cambios internos y del entorno.
3.3.
Planificacin
3.3.1. Objetivos de la calidad

El lder de proyectos, asegura que los objetivos de calidad han sido establecidos para
todas las funciones y niveles relevantes dentro de la organizacin, y que son medidos
y consistentes con la poltica de la calidad.
3.3.2. Planificacin del Sistema de Gestin de la Calidad (SGC)
La CGR asegura que:
La planificacin del SGC se realiza cumpliendo con los requerimientos
citados en el punto 2.1 de este manual, as como con los objetivos de la
calidad, y
Se mantiene la integridad del SGC cuando se planifica e implementa
cambios en ste.
La planificacin tambin se expresa en las actividades propuestas en cada
uno de los procedimientos de la organizacin.
3.4.
Responsabilidad, autoridad y comunicacin
3.4.1. Responsabilidad y autoridad

Las responsabilidades de las personas que participan en cada uno de los proceso
de la Contralora General de la Repblica, estn regidos por: Manual de Actividades
Ocupacionales; Manual Descriptivo de Puestos y por el Estatuto Autnomo de
Servicios.
Adems existe un organigrama (Ver 1.1) donde se han definido las lneas de autoridad
de la institucin.
3.4.2. Representante de la calidad
El Coordinador de proyectos ha designado a cada lder de proyecto como Representante
de la UTI para la Calidad, y es quien independientemente de otras responsabilidades,
tiene la responsabilidad y autoridad que incluye:
a. Asegurar que se establecen, implantan y mantienen los procesos necesarios
para el sistema de gestin de la calidad en materia de TIC
b. Informar a la Gerencia de la UTI y al Patrocinador del proyecto sobre el
funcionamiento del sistema, incluyendo las necesidades para la mejora
c. Promover la toma de conciencia de los requisitos de los clientes en todos
los niveles de la organizacin.
La responsabilidad de cada lder de proyecto incluye las relaciones con partes externas
sobre asuntos relacionados con el Sistema de Gestin de la Calidad.
3.4.3. Comunicacin interna

El Coordinador de proyectos, utilizar los procesos apropiados de comunicacin
establecidos en la Metodologa para el Desarrollo de Proyectos de Tecnologas de
Informacin.
3.5.
Revisin de la Gerencia
Las revisiones del SGC se realizan anualmente o cuando el Gerente de la UTI lo

determine. El gerente de la UTI planea la revisin del sistema para asegurar su
continua uniformidad, adecuacin y eficacia. Esta revisin incluye la evaluacin
de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema,
incluyendo la Poltica de la Calidad y los Objetivos de la Calidad, entre otros.
4.
GESTIN DE RECURSOS
4.1.
Provisin de recursos
A travs de las metas establecidas producto de los planes estratgicos, tcticos y

operativos, caractersticas y condiciones de equipo, son los insumos que son revisados
por la Jefatura de la UTI y determinan los recursos necesarios para implantar, mantener
y mejorar continuamente la eficacia de los procesos del sistema de gestin de la
calidad y para lograr la satisfaccin del cliente. Dentro de estos recursos se incluyen la
capacitacin y entrenamiento del personal involucrado en actividades de TIC, equipos
de cmputo o equipos especializados, programas de usuarios, sistemas operativos,
paquetes especializados de programas, bases de datos y otros implementos.
4.2.
Recursos Humanos
4.2.1. Asignacin de personal

El personal con responsabilidades definidas en el Sistema de Gestin de la Calidad, es
competente con base en la educacin, formacin, habilidades, prcticas y experiencia
que son necesarias para la ejecucin de sus actividades, las cuales deben estar
definidas en el perfil del funcionario que desempearn dichos cargos.
4.2.2. Competencia, toma de conciencia y formacin
Para mantener al personal actualizado en las competencias sobre calidad, se realizarn
las siguientes actividades:
Identificar necesidades de competencia del personal que ejecuta actividades
que afectan a la calidad;
Proporcionar capacitacin y entrenamiento para cubrir esas necesidades;
Evala la efectividad del entrenamiento provisto;
Institucionalmente asegurarse que los empleados estn conscientes de la
pertinencia e importancia de sus actividades y cmo ellas contribuyen al
logro de los objetivos de la calidad.
Se conservan las evidencias y registros correspondientes de la escolaridad o educacin,
formacin, calificacin y experiencia del personal. Lo anterior debido a la importancia
de poder detectar las carencias de conocimientos y formacin en todo mbito, y poder
cubrir tales necesidades mediante una correcta evaluacin de competencias, y dictar
programas de capacitacin adecuados.
El siguiente diagrama proporciona un modelo vlido para un programa de capacitacin.
4.2.3. Infraestructura
Identificar y mantener las instalaciones necesarias para lograr la conformidad de los
productos y servicios incluyendo el espacio de trabajo, hardware, software bsico y
utilitario, y los servicios de soporte.
4.2.4. Ambiente de trabajo
Por medio de las unidades de apoyo se administran los factores humanos y fsicos
(ambiente de trabajo), necesarios para lograr la conformidad de los productos y
servicios, tales como:
Temperatura del lugar de trabajo
Espacio de trabajo (Evitar interferencias)
Ergonoma
Iluminacin
5.
CONSIDERACIONES EN EL DESARROLLO
El macro proceso Gestin de Tecnologas de Informacin y Comunicacin PA-08

que incorpora el MAGEFI y que involucra a la UTI, incorpora seis actividades que
deben realizarse, a saber: diagnstico, anlisis, diseo, obtencin, implementacin y
operacin.
Cada una de estas actividades conllevan tareas que consideran la planificacin de
la calidad, en la cual se pretende identificar las normas que son relevantes para el
proyecto y poder determinar cmo satisfacerlas; el aseguramiento de la calidad, que
consiste en aplicar las actividades planificadas y sistemticas relativas a la calidad,
para asegurar que el proyecto utilice todos los procesos necesarios para cumplir con
los requisitos; el control de la calidad, cuyo fin es supervisar los resultados especficos
del proyecto para determinar si cumplen con las normas de calidad relevantes y si se
identifican modos de eliminar las causas de un rendimiento no satisfactorio.
La gestin de la calidad del proyecto debe abordar tanto la gestin del proyecto
como el producto del mismo. Mientras que la gestin de la calidad del proyecto es
aplicable a todos los proyectos, independientemente de la naturaleza de su producto,
las medidas y tcnicas de calidad del producto son especficas del tipo de producto
producido por el proyecto.
Modelo de calidad congruente con el modelo de desarrollo de aplicaciones y estrategia
de desarrollo institucional
5.1.
Etapa de Diagnstico y Anlisis
A lo largo de esta actividad, es un requisito que se emprenda la bsqueda de buenas

prcticas de calidad sobre el servicio o producto, que se encuentren en el mercado,
incluyendo instituciones o empresas que utilicen o brinden soluciones similares para

implementar un plan de visitas.
5.1.1. Planificacin
Elaborar la ficha del proyecto de conformidad con lo establecido en la
Metodologa de Desarrollo de Proyectos en TIC.
Definir con el patrocinado el personal involucrado para documentar y
conciliar las expectativas sobre el proyecto.
Desarrollar capacidad en los equipos de proyecto en temas de manejo
de proyectos y procesos de documentacin as como para el control de
cambios.
Analizar los riesgos asociados con la implementacin del producto o servicio.
Conservar los estndares definidos en la Unidad de Tecnologas de
Informacin (UTI) durante el desarrollo del proyecto.
En caso de ser
necesaria la definicin de un nuevo estndar, el gerente del proyecto debe

de realizar la justificacin del mismo a la jefatura de la UTI, documentando
el requerimiento y justificando su elaboracin.
Desarrollar un modelo conceptual con la misin por cumplir y sus objetivos
en donde se desglosen las funcionalidades del producto con respecto a
los objetivos del mismo. Este modelo debe ser revisado y aprobado por
el usuario, indicando de ser el caso, los comentarios relevantes de cada
funcionalidad.
Definir ndices de seguimiento del proyecto de acuerdo con la Metodologa
para el Desarrollo de Proyectos en TIC y el Manual de Estndares.
Crear un diccionario de trminos con las caractersticas de los mismos y los
rangos y niveles de tolerancia.
Definir los datos operativos y datos histricos para poder determinar niveles
de antigedad de esos datos y su tratamiento o archivo de conformidad con
la legislacin vigente.
5.1.2. Aseguramiento
El lder del proyecto se encargar de que todos los participantes del grupo de
desarrollo comprenda su labor y sus responsabilidades dentro del proyecto.
Se debe contar con un patrocinador del proyecto que participe y se
comprometa.
El lder del proyecto revisar mensualmente los productos obtenidos en el
mes y la documentacin relacionada con cada uno de ellos.
Cada proyecto debe tener un Libro de Proyecto en el Sistema de Expediente
Electrnico, al que se le debe de incorporar toda la documentacin
establecida en la Metodologa para el Desarrollo de Proyectos del mismo.
Se debe de establecer un grupo de proyecto que lo constituya como mnimo
un lder de proyecto y un lder tcnico.
Reporte mensual que se presentar al Gerente de Proyectos de acuerdo
con lo establecido en la Metodologa y el Manual de Estndares.
Elaboracin de listas de cotejo con las actividades de la etapa.
Presentacin del producto final de la etapa en donde se encuentre el
Gerente de Proyectos, el Patrocinador y los involucrados directos.
5.1.3. Control
Posterior al cierre de la etapa, se realizar un anlisis del libro del proyecto
para determinar que se cumplieran los objetivos definidos y que la
documentacin se encuentre completa y no sea ambigua.
Cronograma de actividades del proyecto con su ruta crtica y responsables
de las actividades.
Lista de los participantes y su rol en el proyecto.
Plan de productos entregables con sus caractersticas y sus fechas.
Visto bueno de los entregables por parte del lder y del patrocinador del
proyecto.
Visto bueno de los plazos para los entregables por parte del Comit de
Apoyo.
Mapa de riesgos y administracin de los mismos.
Matriz de las formas de comunicacin que se utilizarn en el proyecto.
Reportes mensuales de avance.
Diagrama organizacional del proyecto con los roles establecidos.
Documentacin de anlisis realizado en internet, libros, referencias o visitas
realizadas.
Verificar la aceptacin de la etapa de Anlisis del proyecto por parte del
Patrocinador, del Gerente de Proyectos y del grupo de apoyo.
Verificacin de las minutas de reuniones.
Determinar los planes de contingencia de acuerdo con los riesgos
encontrados.
Conciliar y confirmar los supuestos establecidos de acuerdo con la
Metodologa para el Desarrollo (detallar qu implica y qu debe contener).
5.2.
Etapa de Diseo
Durante esta etapa, se inicia la creacin de un modelo de solucin que cumpla con
los requisitos recopilados en las etapas anteriores. Al final del proceso, se debe tener
un modelo que cumpla con las necesidades del cliente.
5.2.1. Planificacin
Luego del anlisis de los requerimientos del sistema, el lder tcnico
representar sus resultados en un diagrama de entidad-relacin (ER), en
el cual se deben de detallar los volmenes esperados de registros y pueda
detallar los requerimientos de capacidad de acuerdo con lo establecido en
la metodologa para el desarrollo de proyectos en TIC.
Se debe de incluir un diagrama de relaciones desde y hacia otros sistemas

o fuentes de datos; la manera en que esta comunicacin ser realizada
y la frecuencia en que debe ser realizado estos procesos. Adems de lo
anterior, se debe de indicar las consecuencias y acciones en caso de que
se presente una falla en esta comunicacin.
Basado en el diagrama ER, se desarrollar un diseo lgico de la base de
datos, el cual debe ser revisado por el equipo de trabajo para determinar
si cumple con los requerimientos funcionales solicitados y aprobado por el
administrador de las bases de datos (DBA).
Para todos los procesos de la aplicacin como para los procesos en lote,
se deben de definir los volmenes de informacin esperados, la frecuencia
de uso, los calendarios de ejecucin y las relaciones de estos procesos con
otras aplicaciones o sistemas, sean estas internas o externas.
Antes de la programacin de la aplicacin, el lder tcnico debe presentar
un prototipo de la aplicacin que se desea desarrollar, en la que se definirn
los objetivos de cada componente (pgina o forma por ejemplo), que sern
documentadas haciendo referencia a la Metodologa para el Desarrollo
de Proyectos en TIC y a las funcionalidades que la misma debe realizar.
Tambin debe indicarse las entradas, salidas y el perfil de los usuarios que
harn uso de la aplicacin.
Antes de la programacin de los procesos en lote (batch), estos deben
ser diagramados e indicar con detalle el proceso que se debe de ejecutar.
Adems, debe de indicarse el proceso de recuperacin que debe ser
realizado en caso de presentarse una falla en el proceso. Tambin, se deben
de indicar las condiciones operacionales para su ejecucin, detallando los
datos de entrada, los datos de salida y el orden de ejecucin.
Es obligacin del grupo tcnico definir el grado de dificultad de cada
proceso, tiempo estimado de construccin y su importancia en el flujo del
sistema.
El lder tcnico deber de construir un mapa de la aplicacin en la cual

se debe de especificar la duracin estimada, el perfil de seguridad de cada
pantalla.
La aplicacin debe contar con pantallas para el ingreso de parmetros
globales de la aplicacin, en las cuales los usuarios puedan modificar los
valores comunes que se utilicen a lo largo del sistema.
Participantes por unidad administrativa y la carga de trabajo esperada.
El lder del proyecto debe verificar que exista la actividad de revisin y
aceptacin del prototipo en el cronograma de actividades.
Asimismo,
revisar que todas las formas de la aplicacin se encuentren aceptadas por

el patrocinador antes de que se inicie la etapa de construccin.
El lder del proyecto debe verificar que exista la actividad de revisin y
aceptacin del prototipo en el cronograma de actividades.
Asimismo,
revisar que todas las formas de la aplicacin se encuentren aceptadas por

el patrocinador antes de que se inicie la etapa de construccin.
Reuniones con los participantes del proyecto con agenda previa y una
vez finalizada, la misma debe tener un resumen de acuerdos y estar
debidamente firmada por los participantes.
Nivel de seguridad en cada componente de acuerdo con el marco de
seguridad establecido.
Fuentes de datos consideradas para la cuantificacin de las ocurrencias de
los componentes (valores de inicio, crecimiento esperado).
5.2.3. Control
Cualquier requerimiento de ajuste o creacin de soluciones tecnolgicas,
debe ser aceptado y aprobado segn lo establecido en la metodologa
Asimismo, el lder del proyecto se encargar de revisar todos los documentos

y su aceptacin antes de ingresar a la etapa de construccin.
Revisin de las actas de las reuniones de acuerdo con lo establecido en la
Metodologa para el Desarrollo de Proyectos.
Estado de los productos entregables con un informe de avance y
observaciones generales.
Cotejar que se contemplen los procesos que permitan contabilizar y depurar
la informacin almacenada. Estos procesos deben de indicar las cifras de
control que permitan verificar cantidades.
Cotejar que para los datos sensitivos se tengan definidas las pistas de
auditoria y trazabilidad de los datos y procesos.
5.3.
Etapa de Obtencin
En esta etapa, se realiza el proceso de obtener el producto o servicio. Se debe de

considerar que eso implica para un proceso de construccin, contratacin, compra, etc.
En cualquier caso, el proceso debe de garantizar que se cumplan los requerimientos
establecidos en las etapas anteriores.
5.3.1. Planificacin
Todo programa concluido ser documentado y trasladado al ambiente de
pruebas en donde se le aplicarn las pruebas necesarias y se examinar
funcionalidades, apariencia y facilidad de uso. Las pruebas sern realizadas
tanto por el personal tcnico, como por el personal del rea patrocinadora.
Toda prueba debe ser documentada con las observaciones pertinentes de
conformidad con los aspectos evaluados.
Desarrollo de un modelo conceptual en donde se desglosen las
funcionalidades del producto con respecto a los objetivos del mismo. Este
mapa debe ser revisado y aprobado por el usuario, indicando de ser el
caso, los comentarios relevantes de cada funcionalidad.
Verificar los requerimientos con cada participante y contar con su respectiva
firma de conocimiento y observaciones pertinentes.
Cotejar que los formularios de control de cambios se encuentren
debidamente completados y acorde con lo estipulado en la Metodologa
para el Desarrollo de Proyectos Informticos.
5.3.3. Control
Documentacin de cada componente detallando su participacin en el
proceso y su contenido.
Pruebas documentales de ejecucin de cada componente y resultados
obtenidos.
5.4.
Implementacin
En esta etapa, se realizaran los procesos necesarios, principalmente la prueba de

la solucin seleccionada, para determinar que cumpla con los requerimientos y
expectativas, que permitan finalizar el proceso con la etapa de operacin.
5.4.1. Planificacin
La unidad patrocinadora del proyecto ser la responsable de analizar, probar
y aceptar los productos entregables de acuerdo con los requerimientos
establecidos en la Metodologa para el Desarrollo de Proyectos de TIC y
de conformidad con las necesidades y funcionalidades esperadas. Cada
prueba debe ser documentada segn lo establecido en la metodologa de
desarrollo.
Para la aceptacin de los programas, las consultas deben ser documentadas
con el respectivo plan de ejecucin y determinar posibles seguros o accesos
que afectan el tiempo de respuesta. Este plan debe estar aprobado por el
administrador de la base de datos (DBA) de la institucin o un profesional

asignado para tal fin.
El plan de pruebas debe estar acorde con los requerimientos establecidos
por el patrocinador y recopilados en la etapa de anlisis.
Estrategia para la trazabilidad de los datos y su nivel se seguridad.
Procesos y programas para la reconstruccin del producto o servicio.
Documentacin adecuada sobre la operacin de los sistemas.
Definicin del plan de pruebas con fechas y responsables.
Toda la
informacin debe ser documentada.

Las pruebas sern documentadas indiferentemente si fue o no exitosa.
Para todos los casos, se determinar quin es la persona responsable de
la prueba, los participantes, el objetivo de la prueba, el resultado esperado
y el resultado obtenido. Tambin se registrar el tiempo consumido para
cada prueba y los costos asociados.
Se realizarn pruebas de carga de proceso sobre el computador, sobre
cada uno de los componentes y en los casos de procesos sensitivos se
realizar un anlisis de sentencias para determinar si su plan de ejecucin
es el ms adecuado con respecto al rendimiento de la base de datos.
Al finalizar la etapa de pruebas, se debe de anexar a cada expediente de
programa, los documentos del plan de ejecucin y las observaciones del
DBA o profesional responsable.
5.4.3. Control
Se revisarn los resultados obtenidos y las firmas de aceptacin del
patrocinador del proyecto. Si algn documento no se encuentra aceptado,
el sistema o programa no podr ser trasladado a produccin.
Pruebas parciales e integrales de los componentes con la definicin de los

mrgenes de tolerancia permitidos.
5.5.
Operacin
En esta etapa, el producto o servicio ingresar en un ambiente de produccin para

ser usado por los clientes. La idea fundamental es la de mantener el ciclo planificarhacer-revisar-actuar, que es la base para la mejora de la calidad.
5.5.1. Planificacin
Analizar los riesgos asociados con la implementacin del producto o servicio.
Formularios generales de comportamiento del sistema en los que se indique
si .el comportamiento del sistema es el esperado.
Coordinar con el proveedor de servicio o soporte del producto en caso de
tratarse de un producto externo, de lo contrario, coordinar con el lder del
proyecto y el patrocinador, para que pueda brindar soporte adicional en los
primeros das de operacin por si se requiere de una ayuda adicional (en
caso de ser necesario).
Definicin del personal que brindar soporte en caso de que se presenten
inconvenientes. Este personal debe tener una capacitacin previa a la
fecha del traslado a produccin as como tambin contar con un plan para
el manejo de contingencias, ingresado en el Sistema de Continuidad de
Servicio.
Completar los formularios para el reporte de problemas definidos tanto en
el Sistema de Solicitudes de Servicio (SSS) y en el Sistema de Continuidad
de Servicio.
Definir los protocolos para el seguimiento de problemas y atencin de
procesos sensitivos.
Preparar las medidas para la medicin del crecimiento de los datos desde
el momento de la primer carga y del crecimiento
Verificar que todas las tablas tengan definidos los procesos para purgar
datos o de tablas histricas para su migracin.
Preparar un plan de contingencia y los protocolos que deben de seguirse
para ser incorporados al Sistema de Continuidad de Servicio.
Definicin de los umbrales de tolerancia para detener la implementacin o
continuar con la misma.
Plan de recuperacin de datos en caso de una reversin.
Definicin del grupo encargado de realizar el seguimiento de la
implementacin del producto o del servicio.
Plan de divulgacin sobre la implementacin del producto o servicio.
Realizar una reunin semanal durante el primer mes de operacin para
analizar comportamiento y analizar los reportes de incidentes.
Seleccionar usuarios principales para medir el comportamiento de la
aplicacin y algunos de sus componentes.
Generar reportes diarios de comportamiento del producto o servicio y los
respectivos procesos de anlisis de datos, que debe ser analizado por el
patrocinador, el lder del proyecto y la Jefatura de la UTI.
5.5.3. Control
Realizar el seguimiento del registro de bitcoras por parte del lder del
proyecto.
Garantizar la bsqueda de soluciones a los problemas o inconvenientes
reportados.
Realizar reuniones de seguimiento con personal designado por el
patrocinador del sistema.
Preparar la documentacin para el cierre del proyecto de conformidad con
lo establecido en la Metodologa para el Desarrollo de Proyectos en TIC.
Realizar una comparacin de resultados y seguimiento de los riesgos

considerados y materializados en el proyecto, as como de las lecciones
aprendidas. Este informe debe ser realizado por el lder del proyecto.
6.
MEDICIN, ANLISIS Y MEJORA

6.1.
Generalidades
La Contralora General de la Repblica , ha establecido los lineamientos para planificar

e implementar los procesos de seguimiento, medicin, anlisis y mejora necesarios
para demostrar la conformidad del producto y asegurarnos de la conformidad del
sistema de gestin de la calidad, as como para mejorar continuamente la eficacia del
sistema de gestin de la calidad. Estos lineamientos se describen en la Metodologa
para el Desarrollo de Proyectos en TIC.
6.2.
Seguimiento y Medicin
6.2.1. Satisfaccin del Usuario

Una parte fundamental del sistema de gestin de la calidad de la Contralora General
de la Repblica, es el de realizar el seguimiento de la informacin sobre la satisfaccin
del cliente con respecto al cumplimiento de los requisitos de los productos o servicios
adquiridos. Por ello se ha establecido como norma, que cada grupo de desarrollo de
proyecto elabore un procedimiento que permita conseguir y analizar la informacin
relacionada con respecto a la satisfaccin del cliente y los alcances de inicio del
proyecto. Este procedimiento se encuentra definido en el Manual de Estndares en
TIC.
6.2.2. Auditoria Interna
Es importante que el Jefe de UTI nombre a un funcionario de la unidad para que
realice auditorias a los procesos y procedimientos documentados que contemplen las
responsabilidades y requisitos de los lderes de proyecto con respecto a la aplicacin

del sistema de Gestin de la Calidad y que sus actividades estn conforme con
las disposiciones planeadas. El propsito principal es verificar que el sistema est
implantado y que es eficaz.
El Jefe de UTI debe de establecer los lineamientos para la realizacin de las auditorias
internas, desde la planeacin de los programas, tomando en consideracin el estado
y la importancia de los procesos y las reas a auditar, as como los resultados de
auditorias anteriores. Tambin debe definir los criterios de auditoria, el alcance de la
misma, su frecuencia y metodologa, as como la transmisin del informe de resultados
y la conservacin de los registros.
El personal de TIC que fungir como auditor interno debe ser seleccionado de tal
manera que se asegura que la ejecucin de las auditorias se lleven a cabo de manera
imparcial y objetiva, en otras palabras, los auditores no pueden auditar los procesos
en que estn involucrados.
Los responsables de cada una de las reas que se estn auditando conocen la
importancia de tomar acciones rpidas sin prdidas de tiempo, para eliminar las no
conformidades detectadas y sus causas.
6.2.3. Seguimiento y medicin de los procesos
La Metodologa para el Desarrollo de Proyectos de Informacin y Comunicaciones ha
establecido mtodos apropiados para el seguimiento de los resultados de los procesos
que forman parte del sistema de gestin de la calidad. A travs de dicho seguimiento
se demuestra la capacidad de stos para alcanzar los resultados planificados.
Cuando no se alcanza los resultados planificados, se lleva a toman acciones apropiadas,
segn sea conveniente, para asegurar la eficacia de los procesos.
Este proceso se enriquece con la entrega de informes mensuales sobre los incidentes
reportados, en los cuales se resumen la cantidad y su duracin de atencin. Estos
son recopilados por medio del Sistema de Solicitudes de Servicio, que se encuentra
en operacin en la UTI.
6.2.4. Seguimiento y medicin del producto o servicio
El lder del proyecto y su personal se encargan de medir las caractersticas del
producto para verificar que cumple con los requisitos establecidos. Esta actividad se
realiza en las etapas apropiadas del proceso de realizacin del producto de acuerdo
con las disposiciones planificadas y definidas en la Metodologa para el Desarrollo de
Proyectos Informticos.
La liberacin del producto y la prestacin del servicios no se lleva a cabo hasta que no
se haya completado satisfactoriamente las disposiciones planificadas, a menos que
sean aprobados de otra manera por el Gerente de la UTI y, cuando corresponda, por
el patrocinador del proyecto.
Las mediciones realizadas en cuanto al producto o servicio proveern los datos
necesarios para definir metas anuales de mejoramiento as como tambin establecer
adecuados planes de recuperacin.
6.3.
Control del producto o servicio no conforme
El producto que no sea conforme con los requisitos se identifica y controla por parte
del lder de proyecto, para prevenir su uso o entrega no intencional. Los controles,
las responsabilidades y autoridades relacionadas con el tratamiento del producto
no conforme estn definidos en la Metodologa para el Desarrollo de Proyectos de
Informacin y Comunicaciones.
Los productos no conformes son tratados mediante las siguientes maneras:

a. Tomando acciones para eliminar la no conformidad detectada;
b. Autorizando su uso, liberacin o aceptacin bajo concesin por una
autoridad pertinente y, cuando sea aplicable, por el usuario;
c. Tomando acciones para impedir su uso o aplicacin originalmente previsto.
En cualquiera de los casos anteriores, el lder de proyecto crear un acta de revisin
de prueba con las no conformidades, observaciones, descripcin de la naturaleza de
los defectos y cualquier accin tomada posteriormente, incluyendo las concesiones
que se hayan obtenido. En caso de haber corregido un producto no conforme, ste
se somete a una nueva verificacin para demostrar su conformidad con los requisitos.
Cuando se detecta un producto no conforme despus de la entrega o cuando ha
comenzado su uso, el lder de proyecto toma las acciones apropiadas respecto a los
efectos, o efectos potenciales, que ste pueda traer.
6.4.
Anlisis de datos
Los responsables de cada una de las reas de la organizacin y de los procesos

relacionados con TIC, determinarn y recopilarn datos, ya sea por entrevista personal
o telefnica, encuestas u otro medio que se defina, que luego de procesarse sirva de
insumos para las reuniones con el personal de TIC que permitan analizar los datos
apropiados para demostrar la idoneidad y la eficacia del sistema de gestin de la
calidad y para evaluar dnde puede realizarse la mejora continua. El anlisis de datos
proporciona informacin sobre:
La satisfaccin del cliente.
La conformidad con los requisitos del producto.
El Compromiso con el Sistema de Gestin de Calidad.
El grado en que los procesos alcanzan los resultados planificados.

Otros considerados importantes
6.5.
Mejora
6.5.1. Mejora Continua

Es obligatorio mejorar continuamente la eficacia del sistema de gestin de la calidad
mediante el uso de la poltica de la calidad, los objetivos de la calidad, los resultados de
las auditoras, el anlisis de datos, las acciones correctivas y preventivas y la revisin
por la gerencia, complementando con planes de mejora, y un continuo seguimiento
por medio de reuniones peridicas dentro del grupo de TIC, as como ampliarlo a otro
personal interno o externo que ayude a ir mejorando los procesos.
Se establecer bitcoras de seguimiento y evaluacin de resultados, que sern
analizados dos veces al ao por la Gerencia de Proyectos, con miras a establecer
metas de mejoramiento a nivel de producto y a nivel de servicio.
6.5.2. Accin Correctiva
La Contralora General de la Repblica, a travs de la Jefatura de Tecnologas de
Informacin, tomar las acciones pertinentes para determinar la(s) causa(s) que de
alguna manera, afecten el cumplimiento de no conformidades con objeto de prevenir
que vuelvan a ocurrir. Las acciones correctivas son apropiadas para los efectos de
las no conformidades encontradas. Para tales efectos, se seguir lo indicado en
la Metodologa para el Desarrollo de Proyectos en Tecnologas de Informacin y
Telecomunicaciones as como los procedimientos y formularios definidos en el Manual
de Estndares de TIC.
6.5.3. Accin Preventiva

Una vez al ao, la Jefatura de Tecnologas de Informacin de la Contralora General
de la Repblica a travs del Comit de Apoyo, revisar, el Manual de Calidad y los
elementos y sugerencias relacionadas, tanto a nivel interno como por conceptos de
evolucin externa de los conceptos de calidad.
Tambin, llegar a mantener toda la informacin que por aspecto de mediciones,
artculos, recomendaciones o estudios, se hayan recopilado durante el ao. La idea
bsica es la de establecer una base de datos en lo que respecta al tema de la calidad,
y tambin tener un historial del comportamiento de las aplicaciones en uso por parte
de la CGR. De esta manera, se podr tener un patrn de comportamiento y poder
medir las distorsiones estacionarias o permanentes de estos componentes para poder
as, definir acciones preventivas.
Anexo - NTP9
Modelo de Arquitectura de
Informacin

Versin 1.0 Ao 2008.
Introduccin
Este documento presenta una primera versin de modelado de una arquitectura
de informacin para la Contralora General de la Repblica; estructurada a partir
del anlisis de los macroprocesos y procesos definidos en el Manual General de
Fiscalizacin Integral denominado MAGEFI, en su versin resultante de la revisin
integral que se le dio en el ao 2008 con el propsito de actualizar y mejorar este
instrumento normativo. Esta versin del MAGEFI fue aprobada mediante resolucin
R-CO-54-2008 el 27 de octubre del 2008 y publicada en el Diario Oficial La Gaceta No
218 del martes 11 de noviembre del 2008.
Esta primera versin del Modelo de Arquitectura de Informacin (MAI) se sustenta
en la definicin de insumos y productos definidos para cada proceso en el MAGEFI y
hace una primera definicin de los flujos de informacin.
Necesidad
En el contexto de la alta dependencia de las TIC para la gestin estratgica, tctica y
operativa de la informacin y las comunicaciones; es un asunto trascendental disponer
de un Modelo de Arquitectura de Informacin (MAI), que soportado en el modelado
de los procesos de la organizacin, establezca cual es la informacin que en stos
fluye, el manejo que debe drsele y la integracin entre los procesos a nivel de flujos
de informacin.
Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos,
como principio bsico para justificar la inversin en los elementos tecnolgicos que
apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la
cual se construya la fiabilidad y el valor agregado de la incorporacin de las TIC a los
procesos de la organizacin.
Normativa tcnica
Las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin,
emitidas mediante la Resolucin del Despacho de la Contralora General de la Repblica,
Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro.119 del 21
de junio de ese mismo ao, incluye una norma referida al modelo de arquitectura de
informacin, en los siguientes trminos:
Con la definicin de esta primera versin del MAI la Contralora General de la Repblica
cumple con el referido numeral que especficamente regula este aspecto en dichas
Normas Tcnicas.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones.
An cuando nunca se haya dado a la tarea de identificarla ni documentarla, la
existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura.
Al respecto, definir y documentar un modelo de arquitectura de informacin es un
nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de
una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y
Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de
informacin que, en buena medida, ha determinado el inventario de sistemas de
informacin y de soluciones tecnolgicas disponibles.
Este modelado de arquitectura de informacin previo se sustent en la primera emisin
del MAGEFI que se promulg en el ao 1999 y que se elabor como parte de un
proceso de modernizacin que impuls la Contralora General a mediados de 1996;
orientado a definir un nuevo modelo de fiscalizacin superior de la Hacienda Pblica.
Con la reciente revisin integral del MAGEFI y la promulgacin de su nueva versin,

se requiere actualizar el modelo de arquitectura para que responda a los aspectos
cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan
requisitos que aquel modelo no contempl en su momento. Esta realidad queda
evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha
dictado para gestionar las TIC institucionales; planteadas en el Plan Estratgico de
Tecnologas de Informacin y Comunicaciones (PETIC); as como en su respectivo
Plan Tctico (PTAC).
Relacin entre el Plan Estratgico de TIC y el Modelo de Arquitectura

de Informacin
El MAI es una herramienta controlada y usada por el nivel estratgico de la organizacin,
que ayuda a visualizar con base en prioridades y lineamientos del Plan Estratgico
Institucional, el aporte o apoyo que las TICs brindan al alcance de objetivos. Es por
ello que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico
de TIC (PETIC). En ese sentido, se puede indicar que un buen PETIC incorpora un
estado actual y futuro del MAI y al mismo tiempo un buen MAI debe considerar los
lineamientos o fundamentos bsicos del PETIC.
Alcances y limitaciones
La elaboracin de un modelo de arquitectura de informacin debe partir de la
perspectiva de los procesos del negocio, para que as logre los resultados esperados.
El insumo fundamental para desarrollar el modelado de la arquitectura de informacin
de la CGR, es la definicin de los macro procesos y procesos institucionales de primer
nivel, debidamente formalizada en la ms reciente versin del MAGEFI.
El nivel de desarrollo del MAI en esta primera versin se alinea al nivel que lo permite
el modelado organizacional existente; inicialmente en trminos de insumo, actividades
del proceso y productos, que es lo definido en el nuevo MAGEFI.
En su siguiente versin el MAI podr detallar an ms respecto a entidades de

informacin y flujos, en la medida que avance el proyecto institucional de documentacin
de segundo nivel del MAGEFI, relativo a los procedimientos que conforman cada
actividad de los procesos institucionales.
Al momento de definir esta primera versin del MAI la Institucin est iniciando con
la divulgacin del nuevo MAGEFI, que ser implementado paulatinamente por las
distintas unidades organizacionales que conforman la institucin y las que el modelo
de fiscalizacin requiera para su funcionamiento.
Enfoque metodolgico
La tcnica utilizada para definir el modelo de arquitectura de informacin fue Business
System Planning, BSP (Planeamiento de los Sistemas del Negocio) con un enfoque
simplificado.
La tcnica del BSP implementa un enfoque estructurado para ayudar a establecer
un plan de sistemas de informacin que pueda satisfacer las necesidades de la
organizacin, esto a partir del anlisis de los procesos del negocio y de la informacin
que fluye en ellos. En el desarrollo de esta primera versin del MAI la tcnica BSP se
aplic en una versin simplificada, dado que se dispona nicamente de la descripcin
general de los procesos de la organizacin compilados en el MAGEFI.
En primera instancia el equipo de trabajo realiz una revisin general del MAGEFI en
su nueva versin. Posteriormente, para cada uno de los procesos gener las siguientes
tablas:
Procesos Unidades funcionales, indicando si la unidad tiene responsabilidad
primaria, mayor implicacin o menor implicacin en el proceso.
Clases de datos Unidades funcionales, indicando quien crea y quien usa

la informacin a partir de los insumos y productos definidos para cada
proceso.
Sistemas Unidades funcionales, asociando unidades con sistemas,
indicando para cada uno si actualmente existe, si est planeado, en
construccin o si es un sistema actual que requiere evolucin.
Sistemas Procesos, asociando procesos a sistemas, indicando para cada
uno si actualmente existe, si est planeado, en construccin o si es un
sistema actual que requiere evolucin.
Procesos Bases de datos sujeto asociando entidades de informacin con
procesos, indicando cual proceso crea y cual usa la informacin.
Luego, a partir del anlisis y procesamiento de la matriz de procesos Bases de datos
sujeto; se agrupan procesos y datos en sistemas principales a los cuales se les da un
nombre tentativo. De estos sistemas principales se trazan los flujos de datos de un
sistema a otro, del que crea la informacin al que la utiliza.
Arquitectura de informacin
En el siguiente grfico se presenta la arquitectura de informacin de la Contralora
General de la Repblica, condensando la informacin generada durante la aplicacin
de la tcnica del BSP.
Atencin de los sistemas actuales

Los sistemas que estn actualmente en operacin, as como los que estn en desarrollo
debern someterse a revisin a fin de buscar una integracin, ya que estos sistemas
fueron concebidos para solventar necesidades puntuales de algn alcance de un
proceso determinado y deben ahora responder a un enfoque integral de procesos
como lo plantea el MAGEFI.
En la definicin de esta primera versin de MAI se tomaron en cuenta los sistemas

actuales, los que estn en desarrollo, los que se conoce que requieren de evolucin y los
que se tienen como sistemas planeados. Cada uno de ellos se asoci al macrosistema
con el que guardaba mayor afinidad.
Descripcin de Macrosistemas y Sistemas asociados

A continuacin se presentan los macrosistemas identificados y para cada uno de ellos
la lista de sistemas asociados.
Macrosistema de Fiscalizacin Integral: Comprende los sistemas que principalmente
apoyan los procesos de Fiscalizacin Integral.
Sistemas:
Requerimientos de clientes externos (Planeado)
Pronunciamientos (en construccin)
Fiscalizacin Previa (Planeado)
Fiscalizacin Posterior (en construccin)
Procedimientos Administrativos (planeado)
Litigios (Planeado)
Asesora sobre hacienda pblica (Planeado)
Capacitacin Externa (Planeado)
Rectora (planeado)
Servicio al Cliente Externo (Planeado)
Macrosistemas de Gobierno Corporativo: Comprende los sistemas que principalmente
apoyan los procesos de Gobierno Corporativo.
Sistemas:
Monitoreo del Entorno (Planeado)
Planificacin y Evaluacin de la Gestin Institucional (Planeado)
Diseo Organizacional (Planeado)

Asesora interna (Planeado)
Mejora Continua (Planeado)
Macrosistema de Gestin del Conocimiento: Comprende los sistemas que principalmente
apoyan los procesos de Gestin del Conocimiento.
Sistemas:
Integrado de Recursos Humanos (actual)
Sistema de Gestin del Conocimiento Institucional (planeado)
BD soluciones TIC (en construccin)
Memoria Anual (planeado)
Macrosistema de Gestin de Recursos: Comprende los sistemas que principalmente
apoyan los procesos de Gestin de Recursos.
Sistemas:
Presupuesto Institucional (actual)
Contabilidad (actual)
Tesorera (requiere evolucin)
Bienes y Servicios (actual)
Sistema de pagos (actual)
Trmite de viticos (en construccin)
Descripcin de los sistemas

Para cada sistema identificado se presenta una descripcin general y en un siguiente
nivel se presenta un detalle con los sistemas actuales, planeados, en construccin o
existentes pero que requieren evolucin.
Para cada sistema se plantean las entradas, flujos de datos y salidas.
Nombre del Sistema

Estado
Macrosistema
Subsistemas asociados
CRM (planeado)
Requerimientos de clientes externos
Planeado
Fiscalizacin Integral
Help Desk (requiere evolucin)

Sistema de control de requerimientos de clientes externos (Planeado)
Sistema de Preguntas Frecuentes (requiere evolucin)
Entradas
Flujo de datos
PP-01-I1 Requerimientos de los clientes Del cliente externo
externos
PP-01-I2 Mejores prcticas sobre gestin Del entorno
pblica
PP-01-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
PP-01-I4 Histrico de productos de BD de Conocimiento
fiscalizacin integral
PP-01-I5 Informacin
sistematizada Sistema de Monitoreo del Entorno
sobre los sujetos fiscalizados

PP-01-I6 Marco jurdico y tcnico
Del entorno
Salidas
PP-01-P1 Respuestas a los requerimientos de clientes externos.
PP-01-P2 Solicitud interna de servicio
PP-01-P3 Propuestas de diseo o rediseo de nuevos productos
PP-01-P4 Anlisis integral de requerimientos del cliente externo
Nombre del Sistema
Pronunciamientos
En construccin
Estado
Macrosistema
Registro de pronunciamientos de la CGR (actual)
Entradas
PP-02-I1 Solicitud de Criterio
PP-02-I2 Solicitud Interna de Servicio
Flujo de datos
Del cliente externo
Sistema de requerimientos de clientes
externos
PP-02-I3 Productos de fiscalizacin BD de Conocimiento
integral anteriores
PP-02-I4 Asesora interna escrita
PP-02-I4 Criterio de asesora externa
PP-02-I5 Marco Jurdico
PP-02-I6 Marco jurisprudencial
doctrinal aplicable
Sistema de Asesora Interna

Del entorno
Del entorno
y Del entorno
Salidas
PP-02-P1 Criterio emitido
Nombre del Sistema
Estado
Macrosistema
Manejo de la participacin
Fiscalizacin Previa
Planeado
de la CGR en el proceso de contratacin administrativa
(SIAC para tareas de la CGR) (actual)

Manejo de nulidad de contratos (planeado)
Calificacin de Idoneidad (actual requiere evolucin)
Control de autorizaciones (planeado)
Control de legalizacin de libros (planeado)
Presupuestos pblicos (actual)
Planificacin de Instituciones (construccin)
Gestin Municipal (construccin)
Gastos de Partidos Polticos (Planeado)
Control de visado (planeado)
Tarifas, cnones, viticos, kilometraje y zonaje (planeado)
Entradas
PP-03-I1 Solicitud interna de servicio
PP-03-I2 Oficios
Flujo de datos
Sistema de Requerimientos de clientes
externos
de solicitud de Del cliente externo
autorizacin y aprobacin con sus anexos

PP-03-I3 Recursos de objecin o Del cliente externo
apelacin en materia de contratacin
administrativa
PP-03-I4 Requerimiento de dictmenes Del cliente externo
previos favorables de carcter vinculante
PP-03-I6 Marco jurdico
doctrinal aplicable
Del entorno
y Del entorno
PP-03-I8 Programacin macroeconmica Del entorno

del Poder Ejecutivo
PP-03-I9 Informacin
sobre el sujeto fiscalizado

Salidas
PP-03-P1 Oficio de respuesta a solicitudes de fiscalizacin previa
PP-03-P2 Resoluciones en materia de contratacin administrativa y levantamiento
de incompatibilidades
PP-03-P3 Certificacin de la Efectividad Fiscal
Nombre del Sistema
Fiscalizacin Posterior
En construccin
Estado
Macrosistema
Registro de la Actividad Contractual (actual)
Registro de Declaraciones Juradas de Bienes y Control de consistencia (actual)
Ejecucin presupuestaria (actual)
Seguimiento de Disposiciones (actual)
Manejo de las Denuncias (unido a Denuncia Electrnica) (actual)
Control de Riesgos para la Fiscalizacin (planeado)
Entradas
PP-04-I1
Perfil
del
proyecto
Flujo de datos
de Sistema de Planificacin y Evaluacin de
fiscalizacin posterior
la Gestin Institucional
PP-04-I2 Histrico de productos de BD de conocimiento
PP-04-I4
Marco
doctrinal
Del entorno
y Del entorno
jurisprudencial aplicable
PP-04-I5 Criterios tcnicos externos
Del entorno
PP-04-I6 Informes de Auditoras Internas Cliente Externo
y Externas
PP-04-I7 Informacin
sobre el sujeto fiscalizado

Salidas
PP-04-P1 Nota Informe
PP-04-P2 Informe
PP-04-P3 Relacin de hechos
PP-04-P4 Denuncia penal
PP-04-P5 Oficios de cierre de disposiciones

Nombre del Sistema
Procedimientos Administrativos
Planeado
Estado
Macrosistema
Registro de Sancionados (actual)
Entradas
Flujo de datos
PP-05-I1 Relacin de hechos
Sistema de Fiscalizacin Posterior
PP-05-I3 La defensa y las pruebas de las Cliente externo
partes
PP-05-I5
Marco
doctrinal
Del entorno
y Del entorno
Salidas
PP-05-P1 Resolucin final del procedimiento administrativo
PP-05-P2 Registro de sancionados
PP-05-P3 Ttulo ejecutivo
Nombre del Sistema
Estado
Macrosistema
Litigios
Planeado
Entradas
Flujo de datos
PP-06-I3
Marco
doctrinal
Del entorno
y Del entorno
PP-06-I4 La defensa y las pruebas de las Del cliente externo
partes
PP-06-I5 Demanda/Contra demanda y Del cliente externo
sus antecedentes cuando corresponda
Salidas
PP-06-P1 Escrito inicial del proceso
PP-06-P2 Oficios de atencin al proceso judicial
PP-06-P3 Atencin de audiencias en sede judicial
Nombre del Sistema

Estado
Macrosistema
Asesora sobre hacienda pblica
Planeado
Entradas
Flujo de datos
Sistema de Requerimientos de Clientes
PP-07-I2 Solicitudes de asesoras

PP-07-I3 Perfil de proyecto
Externos
Del cliente externo
Sistema de Planificacin y Evaluacin de
Del entorno
y Del entorno
doctrinal aplicable
PP-07-I7 Informes del Ministerio de Del cliente externo
Hacienda y de MIDEPLAN
PP-07-I8
Anlisis
integral
requerimientos del cliente externo
de Sistema de Requerimientos de Clientes

Externos
Salidas
PP-07-P1 Documentos de anlisis u opinin sobre Hacienda Pblica
PP-07-P2 Asesoras escritas
PP-07-P3 Asesoras verbales
PP-07-P4 Memoria Anual
PP-07-P5 Documentos tcnicos de anlisis macro
PP-07-P6 Manuales o guas de buenas prcticas
Nombre del Sistema
Estado
Macrosistema
Sitio Web
Capacitacin Externa
Planeado
Campus Virtual
Entradas
Flujo de datos
doctrinal aplicable
Del entorno
y Del entorno
PP-08-I5 Marco tcnico

Del entorno
Externos
Salidas
PP-08-P1 Datos de las actividades de capacitacin externa
Nombre del Sistema
Rectora
Planeado
Estado
Macrosistema
Ranking de Auditoras Internas (actual)
Entradas
Flujo de datos
Del entorno
y Del entorno
doctrinal aplicable
PP-09-I4 Criterios legales y tcnicos Del entorno
externos
PP-09-I5 Estudios de diagnstico de Del entorno
fuentes externas
PP-09-I6 Informacin
sobre los sujetos pasivos

Salidas
PP-09-P1 Directrices
PP-09-P2 Polticas
PP-09-P3 Reglamento
PP-09-P4 Manual de normas
PP-09-P5 Orden
PP-09-P6 Solicitud de colaboracin obligada
Servicio al Cliente Externo
Nombre del Sistema

Estado
Macrosistema
Planeado
Entradas
Flujo de datos
Externos
PP-10-I2 Productos de fiscalizacin BD de Conocimiento
integral
PP-10-I3
revocatoria
Recursos
contra
de
apelacin/ Del cliente externo
productos
de
fiscalizacin
PP-10-I4 Quejas de los clientes externos Del cliente externo
sobre productos
de fiscalizacin o el
servicio suministrado
PP-10-I5 Opinin de los clientes externos Del cliente externo
sobre su percepcin de valor acerca de
los productos de fiscalizacin
Salidas
PP-10-P1 Productos de fiscalizacin entregados
PP-10-P2 Resolucin de los recursos o quejas sobre el producto y servicio
PP-10-P3 Productos de divulgacin
PP-10-P4 Oficios de respuesta a los solicitantes de servicios
PP-10-P5 Reportes de medicin de valor pblico
PP-10-P6 Reportes sobre sugerencias de los clientes externos
Nombre del Sistema
Estado
Macrosistema
Entradas
Modelo Organizacional
Monitoreo del Entorno
Planeado
Gobierno Corporativo
Flujo de datos
Normativa Sistema de Diseo Organizacional
Interna
PA-01-I1 Informacin difundida por los Del entorno
medios de comunicacin colectiva
PA-01-I2 Opiniones rendidas sobre Del entorno
proyectos de ley
PA-01-I3 Actas legislativas
De la Asamblea Legislativa
PA-01-I4
Anlisis
integral
de Sistema de Requerimientos de Clientes

Externos
PA-01-I5 Jurisprudencia de los tribunales Del entorno
nacionales y pronunciamientos de la
Procuradura General de la Repblica
PA-01-I6 Publicaciones e investigaciones
PA-01-I7 Opinin de expertos
PA-01-I7 Opinin de expertos internos
PA-01-I8 Histrico de productos de
Del entorno
Del entorno
Sistema de Asesora Interna
BD de Conocimiento
PA-01-I9 Informacin sobre la gestin Del cliente externo
institucional de los sujetos pasivos
PA-01-I10 Reportes sobre sugerencias Sistema de Servicio al Cliente Externo
de los clientes externos
Salidas
PA-01-P1 Informes de anlisis del entorno
PA-01-P2 Inventario de riesgos externos
PA-01-P3 Informacin sistematizada sobre los sujetos fiscalizados
PA-01-P4 Informe de diagnstico de necesidades de los sujetos fiscalizados
PG-01-P1 Solicitudes de asesora interna
Nombre del Sistema
Planificacin y Evaluacin de la Gestin

Institucional
Planeado
Estado
Macrosistema
Sistema institucional de riesgos (Planeado)
Entradas
Flujo de datos
Interna
PA-02-I1 Histrico de Informe de labores Sistema del Conocimiento Institucional
de la Contralora General
PA-02-I2 Solicitud interna de servicio
Externos
PA-02-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
PA-02-I4 Informacin sistematizada Sistema de Monitoreo del Entorno
sobre los sujetos fiscalizados
Informe de diagnstico de necesidades Sistema de Monitoreo del Entorno
de los sujetos fiscalizados
PA-02-I5
Directrices
tcnicas
y De la Direccin General de Presupuesto
metodolgicas emitidas por la Direccin Nacional del Ministerio de Hacienda

General de Presupuesto Nacional del
Ministerio de Hacienda
PA-02-I6 Propuesta de Mejora
Sistema de Mejora Continua
PA-02-I7 Informes de anlisis financiero Sistema de Contabilidad
contables
PA-02-I8 Informes de revisin interna y Sistema de Mejora Continua
externa
PA-02-I9 Informes de anlisis integral de Sistema de Requerimientos de Clientes
Externos
PA-02-I10 Reportes de medicin de Sistema de Servicio al Cliente Externo
valor pblico
Salidas
PA-02-P1 Planes Institucionales
PA-02-P2 Informe de evaluacin
PA-02-P3 Perfil de proyecto
PA-02-P4 Lineamientos de planificacin institucional
PA-02-P5 Requerimientos presupuestarios para el perodo
Nombre del Sistema
Diseo Organizacional
Planeado
Estado
Macrosistema
Cuadro de Mando Integral (Planeado)
Entradas
PA-03-I1 Perfil de proyecto
Flujo de datos
PA-03-I2 Mejores prcticas sobre gestin Del entorno
pblica o privada
PA-03-I3 Normativa externa
Salidas
PA-03-P1 Modelo organizacional
PA-03-P2 Normativa interna CGR
Del entorno
Nombre del Sistema

Estado
Macrosistema
Entradas
Asesora interna
Planeado
Flujo de datos
Interna
PA-04-I1 Solicitudes de asesora
Del cliente interno

PA-04-I3 Informes de revisin interna o Sistema de Mejora Continua
externa
PA-04-I4 Criterios legales y tcnicos Del entorno
externos
PA-04-I5 Histrico de asesoras internas BD de Conocimiento
PA-04-I6 Marco jurdico
Del entorno
PA-04-I7 Marco jurisprudencial y Del entorno
doctrinal aplicable
pblica
Salidas
PA-04-P1 Asesora interna escrita
PA-04-P2 Asesora interna verbal
PA-04-P3 Advertencias de la auditora interna
Mejora Continua
Nombre del Sistema

Estado
Macrosistema
Planeado
Entradas
PA-05-I2
Propuestas
de
Flujo de datos
Sistema de Diseo Organizacional
diseo
o Sistema de Requerimientos de Clientes
rediseo de nuevos productos

Externos
PA-05-I4 Reportes sobre sugerencias de Sistema de Servicio al Cliente Externo
los clientes externos
pblica o privada
PA-05-I6 Inventario de riesgos externos Sistema de Monitoreo del Entorno
PA-05-I7 Informes de evaluacin Sistema de Planificacin y Evaluacin de
institucional anteriores
PA-05-I8 Reportes de medicin de valor Sistema de Servicio al Cliente Externo
pblico
PA-05-I9 Normativa interna

Del entorno
Salidas
PA-05-P1 Propuestas de proyectos de mejora
PA-05-P2 Propuestas de acciones de mejora
PA-05-P3 Informes de revisin interna y externa
Nombre del Sistema

Estado
Macrosistema
Prontuario (actual)
Integrado de Recursos Humanos
Actual
Gestin del Conocimiento
Acciones de personal y pago de funcionarios (actual)

Vacaciones (actual)
Plan de vacaciones de los funcionarios (planeado)
Control de Asistencia (actual)
Capacitacin interna (planeado)
Evaluacin del desempeo (requiere evolucin)
Registro de curriculums (actual)
Pizarras electrnicas para organizaciones de empleados (actual)
Gua telefnica de funcionarios (actual)
Entradas
Normativa Interna
PA-06-I1 Solicitudes de empleo
PA-06-I2 Perfil de competencias vigente
Flujo de datos
Del entorno
Sistema Integrado de Recursos Humanos
de las funcionarias y funcionarios de la

CGR
PA-06-I3 Histrico de evaluaciones del Sistema de Evaluacin del Desempeo
desempeo de funcionarios
PA-06-I4 Modelo organizacional
PA-06-I5 Solicitudes puntuales relativas Del cliente interno
al personal.
PA-06-I6 Informacin del mercado sobre Del entorno
beneficios salariales y no salariales
PA-06-I7 Informes de revisin interna y Sistema de Mejora Continua
externa
Salidas
PA-06-P1 Datos del personal con experiencias de aprendizaje
PA-06-P2 Datos del personal contratado
PA-06-P3 Retroalimentacin del desempeo del personal
PA-06-P4 Mecanismos de promocin de valores y de ideas rectoras
PA-06-P5 Incentivos laborales aplicados
Perfil de competencias vigente de las funcionarias y funcionarios de la CGR
Nombre del Sistema

BD de Conocimiento Institucional
Planeado
Estado
Macrosistema
BD del negocio, labores de extraccin y anlisis de datos (planeado)
Normativa para la Fiscalizacin (actual)
Sistema de gestin y documentos - MTD (actual)
Archivo Digital (requiere evolucin)
Expediente Electrnico (en construccin)
Consulta al Sistema de Pronunciamientos de la CGR (actual)
Sitio Web (actual)
Administracin de la Biblioteca y Servicios de Biblioteca Virtual (actual)
Marco jurdico de la Contralora General (requiere evolucin)
Bases de datos externas (planeado)
Entradas
Requerimientos de Informacin
PA-07-I1 Datos internos
PA-07-I2 Datos externos
PA-07-I3 Mejores prcticas sobre gestin
Flujo de datos
Del cliente interno
BD de Conocimiento
Del entorno
Del entorno
de la informacin
Salidas
PA-07-P1 Informacin requerida disponible
Nombre del Sistema
BD soluciones TIC
En construccin
Estado
Macrosistema
Sistema de control de contingencias (en construccin)
Sistema de solicitudes de soporte (en construccin)
Administracin de roles y claves de acceso (en construccin)
Entradas
Flujo de datos
Interna
PA-08-I1 Solicitudes de servicios de los Del cliente interno
clientes internos

PA-08-I3 Informacin interna y externa

Del entorno
PA-08-I3 Informacin interna y externa
BD de conocimiento
PA-08-I4 Mejores prcticas de la Del entorno
gestin de la informacin y tecnologas
relacionadas
PA-08-I5 Informes de anlisis del entorno Sistema de Monitoreo del Entorno
Salidas
PA-08-P1 Datos de la solucin de tecnologa de informacin operando
Nombre del Sistema
Estado
Macrosistema
Sitio Web
Memoria Anual
Planeado
Herramientas de extraccin y anlisis de datos

Entradas
Flujo de datos
Interna
PA-09-I1 Memoria organizacional
Sistema de Memoria Anual
PA-09-I2 Informacin interna
BD de Conocimiento
PA-09-I3 Mejores prcticas de la gestin Del entorno
del conocimiento
Salidas
PA-09-P1 Memoria organizacional
Nombre del Sistema

Presupuesto Institucional
Actual
Estado
Gestin de Recursos
Macrosistema
Mdulo de Solicitudes de Pedido (En Construccin)
Entradas
Flujo de datos
Interna
PA-10-I1 Presupuesto anual y sus Sistema de Presupuesto Institucional
modificaciones,
aprobado
de
aos
anteriores y del ao en ejercicio

PA-10-I2 Informes presupuestarios de Sistema de Presupuesto Institucional
aos anteriores
PA-10-I3
Requerimientos Sistema de Planificacin y Evaluacin de
presupuestarios para el perodo

PA-10-I4 Informes de evaluacin Sistema de Planificacin y Evaluacin de
institucional
PA-10-I5 Planes institucionales
PA-10-I6 Solicitudes de los clientes Del cliente interno
internos
PA-10-I7 Lineamientos de planificacin Sistema de Planificacin y Evaluacin de
institucional
Del entorno
Salidas
PA-10-P1 Datos de Recursos presupuestarios
PA-10-P2 Separacin de recursos
Nombre del Sistema
Estado
Macrosistema
Entradas
Contabilidad
Actual
Gestin de Recursos
Flujo de datos
Interna
PA-11-I1 Lineamientos emitidos por el De Contabilidad Nacional
rgano Rector
PA-11-I2 Marco jurdico, doctrinario, Del entorno

jurisprudencial y tcnico
PA-11-I4 Estados financieros de periodos Sistema de Contabilidad
anteriores y del ejercicio
PA-11-I5 Presupuesto anual y sus Del entorno
modificaciones,
aprobado
de
aos

Salidas
PA-11-P1 Estados financieros
PA-11-P2 Informes de anlisis financiero contables
Nombre del Sistema
Tesorera
Requiere evolucin
Estado
Gestin de Recursos
Macrosistema
Sistema de pago de viticos (En construccin)
Entradas
Flujo de datos
Interna
PA-12-I1 Solicitudes internas
Del cliente interno
PA-12-I2 Presupuesto anual y sus De la Asamblea Legislativa
modificaciones,
aprobado
de
aos

PA-12-I3 Estados financieros
Sistema de Contabilidad
PA-12-I4 Marco jurdico, doctrinario, Del entorno
jurisprudencial y tcnico
PA-12-I5 Informes presupuestarios
PA-12-I6 Separacin de recursos
PA-12-I7 Recibo a satisfaccin del bien
PA-12-I8 Factura Comercial
Sistema de Presupuesto Institucional

Sistema de Bienes y Servicios
Del entorno
Salidas
PA-12-P1 Datos sobre recursos financieros ejecutados
PA-12-P2 Orden de pago
Nombre del Sistema

Bienes y Servicios
Actual
Estado
Gestin de Recursos
Macrosistema
Registro de proveedores (actual)
Compras (actual)
Suministros (requiere evolucin)
Activos fijos (actual)
Trmites administrativos (requiere evolucin)
Entradas
Flujo de datos
Interna
PA-13-I1 Presupuesto anual aprobado De la Asamblea Legislativa
del ao en ejercicio
PA-13-I2 PA-14-I3 Marco jurdico
PA-13-I3 Marco jurisprudencial
Del entorno
y Del entorno
doctrinario aplicable
PA-13-I4, PA-14-I1, PA-15-I1 Solicitudes Del cliente interno
de los clientes internos
PA-13-I5 Separacin de recursos

PA-14-I4 Marco jurisprudencial y tcnico Del entorno
aplicable
PA-14-I5 Bienes recibidos
Sistema de compras
pblica o privada
PA-15-I3 Servicios contratados
Sistema de compras
Salidas
PA-13-P1 Recibo a satisfaccin del bien
PA-13-P2 Bienes recibidos
PA-13-P3 Servicios contratados
PA-13-P4 Resoluciones por incumplimientos contractuales
PA-13-P5 Interposicin de juicio para reclamo de daos y perjuicios
PA-14-P1 Datos de los bienes en operacin
PA-15-P1 Servicios auxiliares prestados
PA-15-P2 Informe de cumplimiento de servicios
ANEXO
Consideraciones relativas al documento MAGEFI analizadas al desarrollar el Modelo
de Arquitectura de Informacin.
Anexo - NTP10
Marco de Seguridad en
tecnologas de Informacin
A. Introduccin.
Este documento define el marco de referencia de seguridad adecuado al nivel de las
tecnologas de informacin y comunicaciones (TIC), sobre el cual la Contralora General
de la Repblica (CGR) debe dirigir, implementar y administrar sus adquisiciones de
TIC para garantizar la continuidad, integridad y confiabilidad de sus bases de datos
automatizadas.
El documento se sustenta en el conocimiento y la experiencia derivados del trabajo
realizado por funcionarios de la Unidad de Sistemas y Tecnologas de Informacin de
la CGR, y toma como referencia las siguientes normativas, como prcticas lderes:
La norma de referencia ISO 27001.
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este Marco de Seguridad se cumple con la normativa de la CGR,
especficamente en lo que corresponde al punto 1.4
B. POLTICA DE SEGURIDAD.
B.1. Poltica de seguridad.
Este acpite hace referencia al punto 1.4.1 de la Normativa de la CGR.
La poltica de seguridad en tecnologas de informacin de la Contralora General de la
Repblica se sustenta en los siguientes elementos:
Un marco de seguridad que define los elementos necesarios que deben
considerarse a nivel institucional para el establecimiento de un esquema
adecuado de seguridad tecnolgica. Este documento se basa en las
recomendaciones de las Normas tcnicas para la gestin y el control de las

Tecnologas de Informacin (N-2-2007-CO-DFOE) y la ISO 27001.
Las directrices sobre seguridad y utilizacin de las tecnologas de informacin
y comunicaciones de la CGR; aprobadas mediante resolucin R-CO-612007 del 7/12/2007, el cual es la gua de referencia institucional para el
uso adecuado de las TICS y que se constituye como un producto de este
Marco de Seguridad.
B2. Revisin de la poltica de seguridad.

El documento Directrices sobre seguridad y utilizacin de las tecnologas de informacin
y comunicaciones debe ser revisado por un comit de seguridad (ver ms adelante
la conformacin de este comit) al menos dos veces al ao, considerando dentro de
esto lo siguiente:
Una correcta aplicabilidad de las directrices que estn operando: Se refiere
al hecho de determinar si las directrices que se hayan establecido son
aplicables para la Institucin, o si deben ser modificadas o eliminadas.
Incorporacin de nuevas directrices de acuerdo a requerimientos en
seguridad que puedan surgir producto de cambios en el ambiente o de
nuevas tecnologas o servicios incorporados dentro de la Contralora.
Requerimientos especficos de la Administracin Superior.
B3. Establecimiento de esquemas de sensibilizacin y capacitacin al

personal para el uso adecuado de las TICS a nivel institucional.
Se deben definir y revisar por parte del Oficial de Seguridad en Tecnologas de
Informacin (CSO)1, los procesos y planes necesarios de sensibilizacin y capacitacin
al personal, para la mejor utilizacin de las TICS. Este debe ser un proceso permanente y
debe evaluarse peridicamente con el propsito de garantizar su adecuada aplicacin.
1
Ms adelante se define formalmente la figura del Oficial de Seguridad en TIC.
C. Organizacin de la seguridad de la informacin.

C1. Estructura funcional de la seguridad de la informacin.
La estructura necesaria para garantizar la vigencia y continuidad de la seguridad en
tecnologas de informacin es la siguiente:
1. El Despacho es el encargado de aprobar o improbar las directrices de seguridad
que sean consideradas como parte de la gestin de la seguridad y podr apoyarse
en las recomendaciones del Comit Gerencial de Tecnologas de Informacin y
Comunicacin (CGTIC).
2. Comit de seguridad en TIC. (CSTIC): Grupo interdisciplinario de funcionarios
destinado al mantenimiento de las directrices de seguridad a nivel institucional. El
CSTIC se rene semestralmente o cuando sea requerido por alguno de sus miembros
y dentro de sus funciones estn:
a. Analizar la incorporacin de nuevas directrices de seguridad acorde a
requerimientos especficos de la administracin superior, o requerimientos
producto de los monitoreos que sean realizados por el encargado de la
seguridad en TIC (Oficial de Seguridad).
b. Analizar la aplicacin de las directrices existentes y proponer medidas para
asegurar su cumplimiento.
c. Someter al Despacho de las seoras Contraloras las nuevas directrices con
el propsito de que sean aprobadas y oficializadas.
Como parte del grupo interdisciplinario de funcionarios que conforman el CS, debern
considerarse al menos las siguientes reas:
Despacho de las Contraloras Generales.
Unidad de Recursos Humanos.
Divisin de Contratacin Administrativa
Unidad de Servicios Generales.

Unidad de Sistemas y Tecnologas de Informacin.
Divisin de Fiscalizacin Operativa y Evaluativa.
La Auditoria interna, en casos de que se considere pertinente, debe participar en
calidad asesora con el propsito de fortalecer el sistema de control interno institucional.
1. El Oficial de Seguridad en TIC (CSO). Es el coordinador del CSTIC y dentro de sus
funciones estn:
a. Coordinar el CSTIC a nivel Institucional.
b. Analizar y recomendar la implementacin de directrices relacionadas con
la utilizacin de las TIC, en pro del mejoramiento de los niveles de seguridad
de la informacin en la CGR.
c. Coordinar con los encargados de los servicios y
con los usuarios, la
implementacin de las medidas de seguridad.

d. Velar
por
el
debido
cumplimiento
de
las
directrices
definidas
institucionalmente respecto a la seguridad y utilizacin de las tecnologas

de informacin y comunicaciones.
e. Coordinar con la jefatura de la USTI para la aplicacin de medidas de
seguridad necesarias para minimizar posibles vulnerabilidades que puedan
poner en riesgo la informacin o recursos tecnolgicos.
f. Coordinar con la jefatura de la USTI la aplicacin adecuada y la verificacin
de la integridad de los respaldos, por parte de los responsables de las reas
funcionales.
g. Coordinar junto con la Jefatura de la USTI, la vigencia de la informacin
almacenada dentro del sistema de Contingencias.
h. Asesorar durante el desarrollo, adquisicin o implementacin de soluciones
tecnolgicas con el propsito de garantizar productos que cumplan con las
directrices de seguridad institucional.
i. Coordinar con las reas correspondientes de la organizacin, los procesos

necesarios de sensibilizacin y educacin a nivel de seguridad en las TIC
para todos los funcionarios.
j. Coordinar las acciones correspondientes cuando se suscite algn incidente
de seguridad que ponga en riesgo la informacin de la CGR
k. Participar en reuniones de diseo de los nuevos servicios o sistemas,
apoyando al grupo de trabajo para la elaboracin de un producto que
cumpla con los requerimientos de seguridad institucional. El punto de
referencia son las directrices institucionales en seguridad de informacin.
l. Determinar la presencia de eventos que puedan poner en riesgo la
seguridad o continuidad de las TIC, coordinar con los responsables y tomar
las medidas correctivas.
El CSO mantendr en coordinacin con
la jefatura de la USTI, comunicacin
permanente con los responsables de las principales reas funcionales (Soporte a

usuarios, Servidores Principales, Redes y Telefona y Desarrollo de Sistemas) de la
USTI, para garantizar la aplicacin de las medidas de seguridad necesarias sobre las
TICS.
La vigilancia y aplicacin de las directrices relacionadas con la seguridad informtica
es responsabilidad de cada encargado de los servicios. As, por ejemplo, las directrices
relacionadas con la seguridad de la base de datos le corresponden en su aplicacin,
al encargado de esta rea. En el caso de directrices que ataen a las estaciones de
trabajo, deben ser definidas por la USTI y aplicadas por los usuarios.
C2. Auditorias respecto a la seguridad.

La CGR debe someter cada dos aos sus funciones de seguridad informtica a
procesos independientes de verificacin de su funcionamiento, aplicabilidad,
efectividad y eficiencia.
Este proceso de verificacin debe contemplar:

Anlisis de vulnerabilidades sobre los servidores o recursos que se
determinen pertinentes por la USTI. (Recursos crticos).
Pruebas de penetracin sobre estos equipos.
Evaluacin de la poltica de seguridad institucional.
La revisin independiente debe rendir un informe con el detalle de los resultados
de las pruebas efectuadas, de la
evaluacin de la poltica de seguridad, y las
recomendaciones para mejorar los puntos crticos detectados como parte del estudio.
D. Gestin de Activos.
D1. Inventario de activos.
Se debe contar con los mecanismos automatizados para el registro y control de
los activos institucionales. Especficamente todo lo relacionado a Tecnologas de
Informacin y Comunicaciones debe estar registrado dentro de un sistema de
informacin automatizado.
Los activos de TIC deben estar clasificados segn su nivel de criticidad, considerando
dentro de este inventario tanto los recursos fsicos (computadoras, servidores, equipos
de comunicaciones) como los recursos lgicos (sistemas, paquetes, licencias).
Los niveles de criticidad sern analizados y definidos por los patrocinadores de las
soluciones tecnolgicas.
D2. Responsabilidad de los activos.

Cada activo de TI debe tener asociado un responsable de su custodia. La responsabilidad
sobre los activos incluye:
La asignacin de un responsable para cada activo que se adquiera.
La reasignacin de un responsable cuando el activo cambia de ubicacin.

La reasignacin de un responsable cuando el activo es devuelto o desechado.
El sistema de control de activos debe mantener la asignacin de los responsables de
los activos intangibles tales como sistemas, programas o informacin.
D3. Uso aceptable de los activos.

La USTI debe mantener directrices generales actualizadas para el uso adecuado
de los activos de TIC. Estas directrices deben estar aprobadas por las autoridades
superiores de la CGR y comunicados a todos los funcionarios. Debe contarse con los
procedimientos correspondientes para poner en aplicacin las directrices establecidas.
Estos procedimientos igualmente deben estar aprobados por la USTI y comunicados
por las vas que se establezcan a nivel institucional, a todos los funcionarios.
E. Compromiso del personal con la seguridad.

Este captulo corresponde al cumplimiento del punto 1.4.2 de la Normativa de la CGR.
E1. Informacin a los usuarios.

La CGR debe contar con los mecanismos necesarios para informar a todos los
funcionarios sobre sus responsabilidades en el uso de las Tecnologas de Informacin
y Comunicaciones. Para esto se deben realizar en coordinacin con la Unidad de
Recursos Humanos charlas de induccin y sensibilizacin1 respecto a las TIC.
Se deben establecer los esquemas necesarios para garantizar la aceptacin,
entendimiento y aplicacin adecuada por parte de los funcionarios respecto a las
directrices existentes dentro de la institucin para el uso adecuado de las TIC.
Se entiende por sensibilizacin el proceso mediante el cual se pretende inculcar en los funcionarios la conciencia del uso
adecuado de las TIC para garantizar los niveles adecuados de seguridad que requiere la institucin.
La USTI debe definir un proceso de informacin a los usuarios respecto al uso de las
tecnologas. Este mecanismo debe considerar al menos:
Informacin sobre las directrices existentes en el uso de las TIC, debidamente
aprobados por las autoridades superiores de la institucin.
Informacin respecto a los procedimientos especficos del uso adecuado
de las tecnologas.
Mensajes informativos de sensibilizacin en el uso adecuado de las TIC.
Charlas peridicas relativas a la seguridad y utilizacin de las TIC.
E2. Seguimiento.
El CSO debe definir los mecanismos de revisin respecto a la aplicacin de las
directrices institucionales para la utilizacin de las TIC.
Las Unidades a las que le corresponda dentro de la Contralora, deben definir
claramente el esquema de sanciones que deben aplicar a nivel institucional por el
incumplimiento de las directrices. Ese esquema de sanciones debe ser aprobado por
las autoridades superiores de la Institucin y publicarse oficialmente por los medios
que corresponda.
F. Seguridad Fsica y del Entorno.

F1. Permetros de Seguridad Fsica.

El CSO debe definir los niveles de seguridad necesarios para garantizar las medidas
de proteccin a los activos tecnolgicos de la CGR. Estos niveles de seguridad deben
estar asociados al nivel de criticidad y seguridad que se le definan a los activos.
Se definen tres niveles de criticidad, los cuales estarn asociados a diferentes controles
segn el nivel. Los niveles son:
Activos crticos: Son aquellos que su ausencia provoca que se imposibiliten los
procesos bsicos de la Contralora, provocando problemas internos y externos.
Activo medianamente crticos: Son aquellos activos que son necesarios para el quehacer
de la CGR, sin embargo se puede disponer de un tiempo determinado para volverlo a
poner en operacin en caso de que falle.
Activos no crticos: Son aquellos que su ausencia temporal no presenta ningn riesgo
para el quehacer de la CGR. El recurso debe volver a ponerse en funcionamiento.
Para cada uno de estos tres tipos de criticidad, se asocian niveles de control y seguridad
sobre los activos. Estos niveles son:
Nivel 1: Nivel mximo. En este nivel se establecen controles sobre activos (equipos e
informacin) que sean considerados como crticos a nivel Institucional.
Nivel 2: Nivel intermedio. Este nivel debe contemplar controles sobre activos (equipos
e informacin) que sean menos crticos, y que no contemplen todas las medidas de
seguridad establecidas para el permetro Nivel 1-.
Nivel 3: Nivel bajo. Este nivel debe contemplar el resto de la plataforma de TIC, la cual
estar regida segn las directrices institucionales en el uso de las tecnologas, pero
no estar protegida por los esquemas de seguridad considerados en los niveles 1 y 2.
F2. Consideraciones de control de acceso fsico.

Para cada uno de los permetros de seguridad fsica definidos en el punto anterior, se
deben considerar condiciones bsicas de seguridad. Estas condiciones deben ser:
Nivel 1:
Recinto privado con acceso restringido.
Cmaras de vigilancia con capacidad de almacenamiento de la informacin
de al menos una semana de tiempo y transmisin en vivo de la imagen a
un centro de control.
Sensores de calor, humedad con conectividad a un centro de control para
el envo de alertas.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Administracin por parte de un encargado formalmente definido.
Control mediante bitcora del personal que acceda al recinto.
Control mediante bitcora de los ingresos y salidas de equipos al recinto.
Dispositivos de control de fuego.
Aires acondicionados acordes a la capacidad instalada de equipos y con
conexin a unidades alternas de energa. (Para garantizar su operacin
ante fallo del sistema elctrico).
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Registro, por medio de bitcoras de los accesos a los equipos por parte de
personal de mantenimiento externo.
Diagramas disponibles respecto a las fuentes de almacenamiento elctrico
de los equipos ubicados dentro del recinto.
Nivel 2:
Recinto privado con acceso restringido.
Puertas de seguridad para el acceso al recinto.
Control y registro electrnico de los accesos que se realicen al recinto.
Dispositivos de control de fuego.
Si es necesario aires acondicionados.
Conexin elctrica con proteccin y fuentes ininterrumpidas de poder.
Ubicacin fsica de los equipos considerando la facilidad de manipulacin
por parte de personal tcnico, y alejados de fuentes posibles de riesgo:
rayos del sol en forma directa, humedad, emisiones contaminantes y calor.
Nivel 3:
Existencia de un responsable del activo debidamente establecido.
Lineamientos existentes sobre el uso de los activos.
Proteccin mediante unidades ininterrumpidas de poder.
Ubicacin adecuada del activo dentro de zonas comunes con acceso
controlado.
Identificacin de activos mediante identificadores electrnicos.
F3. Controles de acceso a reas restringidas.

Segn el nivel establecido para los permetros de seguridad, la CGR debe considerar
la incorporacin de los siguientes elementos dentro de los esquemas de acceso a los
permetros:
Cmaras de video, con capacidad de grabacin y almacenamiento de los
videos de al menos una semana de antigedad. Deben tener conectividad
a un centro de monitoreo en donde se pueda estar vigilando la actividad
sobre los recintos protegidos.
Personal disponible para vigilar el video.
Acceso mediante tarjeta magntica a los recintos protegidos. Deben existir

los roles correspondientes dentro del sistema de acceso para el control de
autorizacin a los recintos.
Registro de bitcoras electrnicas respecto a los accesos realizados por
funcionarios en las zonas protegidas.
Identificacin de personal autorizado para el acceso a las zonas protegidas.
Asignacin de roles y permisos dependiendo de los niveles de autorizacin
de acceso del personal.
Bitcora de control de accesos a las zonas restringidas.
Sistemas de deteccin y control de fuego, humo y humedad.
Sistemas de aire acondicionado
Ubicacin adecuada de equipos dentro de los permetros de seguridad,
para facilitar las actividades de mantenimiento.
Procedimientos claramente establecidos respecto al ingreso, uso y
mantenimiento de los equipos ubicados dentro de las reas de seguridad.
Ubicacin fsica segura de dispositivos de almacenamiento secundario
donde se almacenen respaldos de informacin sensible. Control adecuado
mediante bitcoras de la manipulacin de esta informacin.
Sistemas adecuados de seguridad en las conexiones elctricas. (Tierra en
los tomas elctricos).
Sistemas de suministro ininterrumpido de poder para los equipos ubicados
dentro de los permetros de seguridad.
Distribucin de la alimentacin elctrica independiente para los equipos
que cuenten con fuentes de poder redundantes.

Registro de ingreso y salida de equipos a las reas restringidas. Control

sobre equipos en prueba mediante bitcoras.
Deben existir diagramas de las conexiones de red de los equipos ubicados

dentro de las reas restringidas que muestre claramente adonde se est
conectando cada uno de los equipos ubicados en las reas restringidas.
(Conexin equipo a switch, switch a switch, conexiones externas a switches,
etc). Esta documentacin deber estar disponible para ser accedida por las
personas que se definan dentro de los esquemas de acceso al centro de
cmputo:
Jefe de la Unidad de Sistemas
Encargado del Centro de cmputo
Encargado del rea de redes
Deben existir diagramas de las instalaciones elctricas, con fin de determinar
la relacin entre equipo y fuente de alimentacin elctrica correspondiente.
F4. Mantenimiento de los equipos.

Para cada uno de los activos TIC considerados como crticos se tiene que contar con
un esquema de mantenimiento asociado, sea este preventivo o correctivo en donde
se identifique:
Tipo de mantenimiento contratado.
Equipos de respaldo (stand by) que puedan ser utilizados en caso necesario.
Nombres, telfonos y correos electrnicos de contactos tcnicos (internos y
externos) para aplicar en caso de ser necesario.
Periodicidad del mantenimiento preventivo (si lo tuviera).
Condiciones del mantenimiento correctivo (horarios, costos adicionales,
horas mensuales).
Los responsables de cada uno de estos activos; en coordinacin con la jefatura de
la USTI, deben definir las condiciones en que se deben realizar las acciones de
mantenimiento preventivo a los mismos, garantizando:
Minimizacin del tiempo fuera de servicio del recurso.
Programacin de los servicios de mantenimiento en horas no laborables.
Esquemas de planificacin de los servicios de mantenimiento por anticipado.
Sistemas para informar a los usuarios respecto a los servicios de

mantenimiento programados.
Mapeo entre recursos y servicios, con el fin de determinar la relacin entre
el mantenimiento de un recurso y los servicios que se vean afectados.
Verificacin previa de esquemas de respaldo y recuperacin en caso de
falla al retornar el servicio a produccin.
Disponibilidad del personal tcnico asociado al recurso para apoyar las
labores de mantenimiento.
F5. Seguridad de equipos fuera de las instalaciones principales de la

CGR.
La USTI debe establecer los procedimientos que aplican para los casos en donde
los funcionarios utilicen los equipos a su cargo en sitios externos al edificio principal.
Estos procedimientos deben contemplar:
La forma en que sern registrados dentro de las bitcoras de la USTI, los
equipos que salen de la institucin.
Consideraciones tcnicas a aplicar para los equipos que estaran saliendo
de las instalaciones de la CGR.
Programas necesarios que debe tener el equipo que est saliendo de la
institucin.
Forma de actualizacin de los programas (Ejemplo: antivirus) para los
equipos que se encuentren fuera de la Institucin.
Esquema de soporte tcnico para dar apoyo a los funcionarios que estn
ubicados fuera de la institucin.
F6. Seguridad en la reutilizacin de equipos.

Con el propsito de garantizar la privacidad de la informacin contenida dentro de los
equipos de los funcionarios, la USTI debe definir los procedimientos para los casos
de reubicacin de responsables de un equipo. Se debe garantizar:
La eliminacin de informacin sensible contenida en las unidades de

almacenamiento asociadas al equipo.
La eliminacin de programas que no sean necesarios.
La eliminacin de configuraciones particulares que no se vayan a utilizar
ms.
F7. Seguridad en equipos que ingresan a la Institucin.

La USTI debe definir la poltica que aplica para equipos externos (no-propiedad de
la CGR), que requieran conectarse a la red institucional prevaleciendo el inters de
garantizar la seguridad de la informacin almacenada dentro de las bases de datos
institucionales.
Se debe contar con un esquema fsico o lgico de separacin de redes garantizando
que equipos externos conectados a la red institucional pasen por sistemas de control
y proteccin distintos a los equipos internos.
G. Gestin de comunicaciones y operaciones

G1. Documentacin de los procedimientos de operacin.

Los responsables de las reas funcionales de la USTI, deben elaborar y darle
mantenimiento a los procedimientos de operacin, respaldo y recuperacin de los
recursos TIC a su cargo. Todos estos procedimientos debern estar almacenados y
accesibles a quien se disponga por parte de la USTI.
Los procedimientos deben estar registrados electrnicamente y contar con un respaldo

fsico que pueda ser accedido fcilmente sin necesidad de contar con un acceso a la
red de comunicacin institucional.1
Trimestralmente cada responsable de recursos, deber proceder a validar la informacin
contenida en los procedimientos bajo su responsabilidad.
Se debe llevar dentro de cada procedimiento un registro para control de cambios
efectuados al mismo, contemplando la fecha de la modificacin del procedimiento, el
responsable de la modificacin y un detalle de la modificacin efectuada.
G2. Separacin de ambientes de trabajo.

El ambiente utilizado para el desarrollo de aplicaciones debe estar separado del
ambiente de produccin. Para esto se deber considerar una separacin fsica o
virtual, garantizando la independencia de estos ambientes. Los desarrolladores de
sistemas no deben tener acceso a los sistemas y datos en produccin, y las pruebas
que se efecten sobre sistemas en desarrollo se deben hacer sobre una plataforma
independiente a la de produccin, con un ambiente totalmente controlado.
G3. Controles contra cdigo malicioso.

La CGR debe contar con tecnologa adecuada para el control de software o actividades
maliciosas detectadas dentro de la red de datos institucional. En este sentido el CSO
debe vigilar el entorno respecto a programas y tcnicas dainas que puedan poner en
riesgo la seguridad interna de la CGR, y aplicar las medidas necesarias para minimizar
las posibilidades de ser vulnerada.
Esto se define de esta manera considerando un evento en donde los sistemas y recursos tecnolgicos no estn disponibles.
La CGR dispondr continuamente de la tecnologa necesaria para poder vigilar en

forma centralizada, la actividad reportada por estos programas de control de software
malicioso.
Se debe supervisar en forma regular el comportamiento de la plataforma de TIC de la
institucin, para identificar y atender posibles incidentes de seguridad.
El CSO debe definir los procedimientos para actuar ante la aparicin de cdigo
malicioso dentro de la Plataforma de TIC Institucional. Estos procedimientos deben
indicar:
Forma de reporte de una propagacin de virus u otro software maliciosos.
Acciones para controlar la diseminacin de estos virus.
Procedimientos para volver a la normalidad un equipo daado.
La Unidad Tcnica (USTI) debe contar con mecanismos de sensibilizacin a los
usuarios sobre los riesgos sobre la informacin por una mala utilizacin de las TICS.
Se deben establecer mecanismos peridicos de informacin a los usuarios respecto a
programas maliciosos. Esta periodicidad debe ser de al menos una vez al mes.
Los canales utilizados para el proceso de sensibilizacin a los usuarios sern los que
se consideren ms apropiados, contemplando al menos:
Correo electrnico
Charlas.
Documentos tcnicos disponibles en forma electrnica.
intranet
Respecto al control de cdigo malicioso, se deben establecer los siguientes niveles de

seguridad:
A. En las estaciones de trabajo:
1. Antivirus instalado y debidamente actualizado.
2. Antispyware instalado y debidamente actualizado.
3. Bloqueo de puertos, mediante firewall y/o antivirus, para el control de
programas maliciosos que puedan utilizar vulnerabilidades sobre estos
puertos para tomar control del equipo.
4. Sistema de deteccin y prevencin de intrusos a nivel de estaciones
de trabajo, garantizando que el trfico de informacin desde y hacia la
estacin de trabajo no sea daino, permitiendo bloquear cualquier intento
de intrusin al equipo por parte de conexiones externas.
5. Contar con tecnologa apropiada para proveer esquemas de cifrado a la
informacin que se considere necesaria dentro de las estaciones de trabajo.
6. Proceso automatizado de las actualizaciones de seguridad sobre aplicaciones
y sistema operativo.
7. Tecnologa para el manejo automatizado de respaldos de la informacin del
directorio de trabajo de las estaciones de trabajo.
8. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y
9. Manejo de respaldos automatizados para garantizar la restauracin completa
de la informacin a un momento determinado. (ver punto G4)
B. En los servidores:
1. Contar con firewall a nivel de servidores que permita lograr un nivel de
seguridad adicional al brindado por el firewall corporativo.
2. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y
3. Procesos regulares para aplicacin de actualizaciones de seguridad.

C. En la red:
1. Contar con sistemas de deteccin y prevencin de intrusos a nivel de
red que constantemente estn monitoreando el canal y determinando y
controlando posibles ataques que puedan estar ocurriendo.
2. Sistema de control sobre equipos que no cumplan con las directrices de
seguridad previamente establecidas a nivel institucional. (Control de acceso
al medio)
G4. Respaldo de la informacin

Los encargados de las distintas reas funcionales de la USTI, deben definir los
procedimientos de respaldo de la informacin almacenada tanto en los servidores
principales de la CGR como en los equipos de los usuarios finales, considerando:
Para servidores principales:
-- Procedimientos de respaldo diario de la informacin
almacenada en las bases de datos.
-- Procedimiento de respaldo semanal de la informacin.
Ubicacin distante de estos respaldos.
-- Procedimientos de respaldo de configuraciones.
-- Registro en bitcoras de los procesos de respaldo efectuados.
Se debe registrar en esta bitcora la informacin necesaria
para poder acceder a los registros en caso de que sea
necesario.
Para equipos de comunicacin u otros con menor cantidad de datos
almacenados.
-- Procedimientos de respaldo de configuraciones.
-- Procedimientos de respaldo de datos, en los casos en que

sea necesario.
Para estaciones de trabajo.
-- Procedimientos de respaldo de la informacin de los usuarios.
Se debe suplir a los usuarios con la tecnologa necesaria
para el respaldo de la informacin contenida dentro de sus
equipos.
Los encargados de las distintas reas funcionales de la USTI deben establecer los
procedimientos de verificacin de la funcionalidad de los respaldos. Se deben efectuar
pruebas peridicas (al menos 1 vez cada tres meses) para garantizar la integridad de
estos respaldos.
G5. Seguridad de las redes de comunicacin.

Todos los equipos que se encuentran conectados a la red de datos institucional,
debern ser controlados mediante un sistema de seguridad,
Para garantizar esquemas adecuados de seguridad, se deben considerar esquemas
fsicos o lgicos de separacin de las redes internas de datos segn el tipo de equipo
que est ubicado en cada una de esas redes. Todos los accesos especficos a equipos
crticos deben estar controlados por un sistema de seguridad.
Se debe contar con tecnologa que permita detectar actividad anmala sobre las redes
de comunicacin de datos institucionales. Esta tecnologa debe tener la capacidad de
detectar, informar y corregir, si fuera necesario cualquier tipo de ataque sobre equipos
internos de la institucin.
Se debe contar con una documentacin clara y fcilmente accesible sobre la topologa
de la red Institucional. Esta documentacin debe contener con al menos informacin
respecto a:
Ubicacin fsica y lgica de equipos principales, equipos de comunicaciones

y equipo de seguridad.
Ubicacin fsica y lgica de la segmentacin de redes.
Mapeo de conexiones fsicas dentro del Centro de Cmputo.
Topologa general de las redes considerando:
-- Direcciones IP
-- Sistema Operativo de los equipos
-- Conexiones existentes con otros equipos.
-- Redes virtuales definidas (Vlans)
-- Redes privadas virtuales existentes.
-- Conexiones con sitios externos, velocidades y direccionamiento
IP.
G6. Seguridad en las conexiones inalmbricas.

Toda conexin que sea establecida desde dispositivos inalmbricos hacia la red interna
de la CGR debe contemplar esquemas de autenticacin, confidencialidad e integridad.
La USTI debe mantener actualizadas y en funcionamiento las directrices especficas
para el uso y administracin de la red inalmbrica institucional.
Se deben tener las siguientes consideraciones respecto a la seguridad de las conexiones
inalmbricas:
a. Todo equipo inalmbrico que se conecte a la red institucional debe estar
claramente identificado por la unidad Tcnica de la CGR. (USTI).
b. Se deben identificar y manejar en forma separada dos tipos de conexiones
inalmbricas: las que requieren acceso a las redes internas institucionales y
las que solamente requieren acceso a la Internet. Para cualquiera de estos
accesos se deben utilizar esquemas de autenticacin, inclusive cualquier
red inalmbrica catalogada como no confiable.
c. El acceso a la red institucional por parte de las conexiones inalmbricas

debe contar con los esquemas de control que sean establecidos para las
redes alambicas.
d. Los equipos concentradores de conexiones inalmbricas (access point) se
deben instalar considerando que el rea de cobertura de los mismos se
circunscriba a los lmites del edificio.
e. La solucin inalmbrica que se utilice debe contar con mecanismos de
seguridad tales como:
-- Sistemas de deteccin de intrusos.
-- Manejo de la autenticacin por medio de certificados digitales.
(A nivel de equipo y no de usuario).
-- Manejo de esquemas de cifrado seguros para la transmisin
de la informacin por el medio inalmbrico.
f. Deben realizarse anlisis peridicos de la red inalmbrica con el propsito
de detectar equipos no autorizados. (Access point y/o clientes).
G7. Seguridad de la informacin disponible en servidores de acceso

pblico.
La USTI debe contar con los mecanismos necesarios para que la informacin que sea
puesta a disposicin de los usuarios externos de la CGR, cuente con los esquemas de
seguridad necesarios contra posibles accesos indebidos.
Un usuario que se conecte externamente, no podr acceder directamente a las Bases
de Datos institucionales, sino que su acceso lo debe hacer mediante una solicitud a
un servidor intermedio de la CGR, el cual se debe encontrar en la zona pblica, y este
servidor es el que realiza el acceso hacia las bases de datos, obtiene la informacin y
se la entrega al usuario final.
Para los casos de registro por parte de usuarios de informacin sensible, se debe contar
con esquemas que garanticen la seguridad de la informacin transmitida (cifrado de
datos), y autenticidad del sitio (certificados digitales).
G8. Vigilancia de la actividad sobre la informacin almacenada en las

Bases de Datos Institucionales.
Se debe contar con tecnologa adecuada para la vigilancia de los accesos y manipulacin
de la informacin almacenada en las bases de datos institucionales (bitcoras).
Para ello es necesario considerar:
La informacin que ser sujeta a monitoreo.
La permanencia de los datos monitoreados.
Los esquemas de revisin de estas bitcoras (periodicidad y mtodo de
revisin).
Los responsables de la revisin de la informacin almacenada en las
bitcoras.
Los esquemas de seguridad (roles) para las personas que harn anlisis
sobre las bitcoras correspondientes.
Los servidores institucionales debern estar debidamente sincronizados con un
servidor de tiempo nico, de tal forma que la hora de los equipos sea congruente, esto
para efectos de los anlisis que se deban realizar sobre la actividad registrada en los
reportes correspondientes de los servidores.
Los responsables de las reas funcionales de la USTI deben realizar, para los casos en
donde se determine (producto de la verificacin de las bitcoras) las investigaciones
necesarias para cualquier incidente sobre los accesos a la informacin.
Puede ser el procedimiento actual, traslado a bodega con indicaciones

de deshecho o donacin, y la limpieza de los discos y memorias.
G9. Seguridad en el registro y transferencia de informacin.
Se deben establecer mecanismos para garantizar que los datos que sean considerados
como crticos se transfieran en forma segura a travs de las redes internas de
comunicacin de la CGR.
Par tal efecto se deben implementar por parte de la USTI, los mecanismos necesarios
para garantizar no negacin, autenticidad, integridad y confidencialidad de la
informacin.
H. Control de Acceso.
H1. Administracin de usuarios.

Deben establecerse los procedimientos para el registro de usuarios nuevos a los
sistemas institucionales. Estos procedimientos debern considerar:
Los responsables del registro,
Los servicios a los cuales los usuarios tendrn acceso y
Las razones del acceso.
Todo registro de un usuario debe ser producto de una solicitud formal en donde se
indiquen los roles y privilegios a los que este usuario tendr acceso.
Deben establecerse los mecanismos para la revisin peridica de los roles y privilegios
asignados a los usuarios y los procedimientos de revocacin de estos privilegios
cuando ya no se requieran.
Se deben garantizar los esquemas de seguridad necesarios para la identidad asignada
a un usuario (cdigo usuario y password) para el acceso a los servicios asociados a l
(usuario/password). Asociado a la asignacin de contraseas deben existir directrices
claramente establecidas a nivel institucional para su correcto uso. Deben considerarse:
Polticas de asignacin de password fuertes y difciles de robar.
Polticas de seguridad en el mantenimiento de estos password.
Sensibilizacin sobre las responsabilidades en el uso adecuado de los
password asignados.
Procedimientos para la renovacin peridica de los password.
H2. Accesos asociados al usuario.

Se deben establecer en forma clara los privilegios de acceso a los servicios de acuerdo
con el perfil de seguridad asociado a cada usuario.
Cualquier acceso (interno o externo) a un servicio que requiere identificacin de
usuario, debe estar controlado con esquemas de autenticacin y autorizacin.
I. Seguridad en los sistemas de informacin.

I1. Anlisis de especificaciones y requisitos de seguridad.

El proceso de desarrollo e insercin de software considerar las directrices
de
seguridad de TI, de forma tal que sus productos sean conformes con las directrices
de seguridad institucionales.
Debe existir una metodologa en el desarrollo de sistemas de informacin que garantice
los controles de seguridad necesarios en las aplicaciones o sistemas nuevos, as como
la calidad de los mismos. Dentro de esta metodologa se debe considerar:
La validez de los datos de entrada a las aplicaciones, evitando el ingreso
de registros incorrectos (que pongan en riesgo aspectos de integridad de
la informacin).
La autenticidad de la informacin que es registrada dentro de las bases
de datos. Para esto se deben establecer los mecanismos necesarios para
brindar los esquemas de seguridad en la autenticacin de los usuarios a las
aplicaciones o servicios.
Procedimientos definidos para los procesos de prueba de los sistemas o
soluciones que se vayan a poner en produccin.
Se deben definir, basado en los niveles de criticidad de la informacin, los esquemas
de privacidad requeridos para los datos. En este sentido se debe considerar la
implementacin de mecanismos de cifrado (utilizando la tecnologa que se considere
oportuna) tanto en los procesos de transmisin de la informacin por la red, como de
almacenamiento de datos, todo esto con el objetivo de garantizar la seguridad de la
informacin.
I2. Implementacin y actualizacin de soluciones tecnolgicas.

Cualquier cambio realizado sobre la infraestructura tecnolgica deber someterse a
un procedimiento de aprobacin previo y a una validacin integral de las implicaciones
del cambio ante el entorno.
Todo cambio realizado debe quedar registrado basado en un sistema de control de
cambios.
I3. Autorizacin de nuevos servicios en TIC.

Cualquier requerimiento en TIC debe ser canalizado por las unidades solicitantes a la
USTI utilizando un esquema jerrquico:
1. La unidad solicitar a la USTI el nuevo servicio que requiere. Esta solicitud
se debe hacer mediante nota dirigida al Jefe de la USTI.
2. El jefe de la USTI evaluar preliminarmente la solicitud y determinar si es
viable de realizar. En caso de que sea viable lo someter a consideracin
de la Comisin Ad Hoc coordinada por la Subcontralora, para que ah se
decida su elevacin al CGTIC de donde se emitir la recomendacin de
aprobacin o no de la solucin tecnolgica que ser comunicada a la
Unidad Solicitante.
3. Se excluyen del punto anterior soluciones que no impliquen mayores
recursos y que no requieran de un lder de proyecto asignado por el
Patrocinador.
I4. Acuerdos sobre confidencialidad.

Se deben definir los criterios de privacidad respecto a la informacin institucional.
En este sentido es necesario establecer como parte del modelo de arquitectura de
informacin la identificacin de los datos, su nivel de criticidad y su nivel de privacidad.
Con base en el modelo se deben establecer por parte de la unidad de Recursos

Humanos los acuerdos de confidencialidad y de no-divulgacin respecto a la utilizacin
de la informacin considerada como crtica.
Se deben contemplar los procedimientos para evaluar la vigencia de los acuerdos y
posibles cambios que deban considerarse en caso necesario.
J. Gestin de incidentes de la seguridad de la informacin.

J1. Manejo de los incidentes:
Se debe contar con una poltica claramente establecida respecto al manejo que se le
deba dar a los incidentes de seguridad presentados sobre la plataforma tecnolgica
de la CGR.
Los eventos de seguridad deben clasificarse segn su nivel de criticidad y el manejo
que se le d deber estar soportado por un sistema de informacin que permita apoyar
el tratamiento del evento, permitiendo registrar la informacin relativa al mismo.
Se deben tener definidos los procedimientos adecuados para la atencin de los
incidentes de seguridad, los cuales deben considerar:
La forma en que se debe atender el incidente.
El grupo de trabajo responsable de la atencin del incidente.
El acceso a informacin de localizacin de las personas responsables del
rea tcnica par atender el incidente. (internas y externas)
El uso de las bitcoras de informacin primaria para investigar.
La documentacin que se debe generar del incidente.
K. Continuidad del negocio.

K1. Manejo de la continuidad del negocio.

El manejo de cualquier incidente relacionado con la continuidad de los servicios
brindados por la CGR se debe tratar como una contingencia y debe ser canalizado segn
procedimientos claramente establecidos y accesibles por las personas responsables
de la operacin de los mismos.
Los planes de continuidad del negocio deben estar soportados por un sistema de
informacin que permita disponer, en forma eficiente, de toda la informacin
relacionada con el tema de las contingencias.
ANEXO 1
El rol del CISO: Chief Information SecurityOfficer
Tomado de Internet.
En la actualidad las empresas producen un 60% ms de informacin por ao y el
nmero de ataques a la misma se incrementa a pasos agigantados, sin embargo
en muchos casos se sigue sin implementar polticas acorde a este crecimiento.
Sin dudas, la informacin que genera una empresa es uno de los activos ms
importantes que esta posee. Tener control de las actividades que comprenden
uso y generacin de informacin requiere de polticas bien definidas en virtud de
garantizar disponibilidad, integridad y confiabilidad de la misma as como contar con
una persona que pueda llevar a cabo la planificacin de las actividades necesarias
para lograr estos objetivos.
De acuerdo a la Encuesta Global 2007 de Seguridad & Privacidad de la consultora
Deloitte, el 80 % de los ataques que una organizacin recibe procede de errores humanos.
Al ranking de las brechas de seguridad lo lideran los ataques va e-mail con un 52%.
Luego ms abajo se encuentra las actividades vricas, un 40%, las actividades de
phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware
con 26% y la ingeniera social (17%). Es importante destacar que el informe menciona
que la efectividad de los ataques internos producidos por los propios empleados es de
un 39%.
El informe tambin menciona que ms empresas estn optando por tener entre sus filas
el rol de CISO o Chief Information Security Officer. Si sumamos los datos enunciados
anteriormente, se puede comprender mucho mejor el porque de esta decisin ya que
viendo la seguridad de la informacin como proceso integral que comprende polticas,
procesos orientados al riesgo y enfocados al negocio de la empresa, se requiere que la
coordinacin, planificacin, organizacin y control de la informacin este en manos de
una persona encargada de velar por el cumplimiento de los objetivos de la organizacin

y que este rol tiene que estar en directa comunicacin con el Directorio para poder
realizar estas tareas.
Este rol que cumple el CISO tiene su actividad principal orientada a garantizar que
la informacin de la organizacin sea fidedigna y accesible por los miembros de la
empresa que tengan que acceder a ella en base a sus objetivos. Para ello, tiene que
contar con la posibilidad de implementar las medidas de control que crea conveniente
as como coordinar actividades centrado en su misin.
Se pueden detallar las siguientes actividades que estarn bajo el control del CISO de
acuerdo a un revelamiento llevado a cabo entre las personas que estn ocupando
dichos cargos en latinoamrica durante el 1er CISOs Meeting 2005 y que estn
ordenadas por orden de criticidad.
1. concientizacin de usuarios internos y externos
2. anlisis de riesgos de negocio y tecnolgicos
3. business continuity plan
4. administracin de seguridad
5. control proactivo
6. monitoreo y reporting
7. anlisis de normativas y regulaciones
8. definicin de normativas internas
9. seguridad fsica de centros de cmputos
10. anlisis de contingencias legales, forensics
11. capacitacin / actualizacin permanente
12. gestin de mejoras en procesos
13. aplicacin de tecnologa para cumplir esquema disciplinario propuesto por
rr.hh.
14. administracin del rea
15. anlisis de riesgos en nuevas tecnologas
16. integracin con gestin de ti
17. interaccin con gerentes y usuarios diariamente

18. justificacin del presupuesto
19. soporte a terceros
20.
Durante mucho tiempo muchas de estas actividades estaban controladas
principalmente por el rea de sistemas (en el mejor de los casos), contando, en
ocasiones, con personal que tuviera conocimientos de seguridad informtica.
Las amenazas actuales as como la cantidad de informacin que se tiene que gestionar
ha aumentado tan drsticamente que requiere de una verdadera centralizacin de
las decisiones que garanticen lo mejor posible la proteccin de la informacin. Estas
decisiones principalmente polticas dentro de la organizacin no tendran que estar
supeditada a la disponibilidad de un rea que tiene mltiples actividades asociadas
como es el rea de sistemas.
Es importante entender que las actividades del CISO no son tcnicas totalmente y
tienen que ser comparadas con las actividades que puede desarrollar un CEO (Chief
Executive Officer) dentro de la empresa, pero orientada a la informacin de la misma.
Sus conocimientos si tienen que estar al alcance de comprender cuales son las
polticas y procesos necesarios para cumplir con sus tareas.
Como antes se menciono, su contacto con el Directorio es algo muy importante a fin
de que la comunicacin sea directa y que se pueda contar con el apoyo necesario.
Este tipo de organizacin de actores est incluyndose actualmente como una de
las buenas prcticas de seguridad. De esta forma, el Directorio tambin podr estar
permanentemente informado de los riesgos que se estn incurriendo y as aplicar las
medidas adecuadas en caso de ser necesario.
El CISO podr contar, dependiendo de lo que entienda necesario, con un equipo a cargo de
hacer cumplir las polticas y/o tercerizar la partes tcnicas a empresas teniendo bajo su cargo
el cumplimiento de los objetivos que comprendan las implementaciones que se requieran.
Este tipo de relacin tiene virtudes muy importantes. Primeramente, la
organizacin contar con una persona que vele por la seguridad de la informacin
y segundo, reducir sus costos al tercerizar las actividades de implementacin
al tiempo que podr elegir los mejores actores para llevarlas a cabo.
Por el lado de la empresa que se haya contratado, esta contara con una persona
de contacto que tiene poder de decisin dentro de la organizacin as como la
informacin necesaria para poder realizar el trabajo en el menor tiempo posible y con
los mejores resultados dado que no perder recursos en tratar de dilucidar cuales son
los requerimientos.
Como se vio en la lista de tareas enunciadas anteriormente, otra de las reas que
estn a cargo del CISO son las referentes a la seguridad fsica (control de alarmas de
incendio o robo, guardias de seguridad, cmaras, etc) dado que no solo es a travs
de actividades lgicas que se puede comprometer la seguridad. Para ello podr contar
con herramientas que le permita en todo momento conocer el estado de las distintas
dependencias de la organizacin al tiempo que podr dirigir las actividades y recursos
fsicos de seguridad para lograr su objetivo.
A fin de contar con toda la informacin requerida para cumplir con sus actividades,
se puede contar con la implementacin de herramientas como los tableros de control,
que permitirn tener una visualizacin general de las actividades y de los incidentes
reportados. Para poder mantener esta herramienta, es necesaria una concientizacin
del personal a fin de que los mismos reporten las incidencias de seguridad. Por
supuesto, el personal tiene que poder ver el beneficio de este tipo de reportes ya que
si no, solo se sentirn controlados lo que originara problemas internos al tiempo que
podra propender a tratar de saltar los controles instituidos.
Se podr observar que el rol del CISO es de extrema importancia en las decisiones
tomadas por el directorio y que su consulta se hace necesaria para poder cumplir
con los objetivos de la empresa al tiempo que se protegen sus activos. Siendo que
el directorio o la alta gerencia no necesariamente tiene que conocer los aspectos
fundamentales de la seguridad fsica y lgica, el contar con un actor como el CISO,
permitir concentrar sus esfuerzos en las actividades que permitan el crecimiento sin
comprometer a la seguridad de la organizacin por el simple desconocimiento.
Anexo - NTP11
Mapeo Elctrico
Introduccin
En coordinacin con la Unidad de Servicios Generales se llevaron a cabo una serie
de actividades relaciones con energa elctrica, segn se identifican en el siguiente
apartado, con el objetivo de aprovechar el conocimiento y la experiencia de su
personal para documentar los sistemas elctricos, sensores y alarmas relacionados
con la gestin de tecnologas de informacin; tomando como referencia la siguiente
normativa, como prctica lder:
Las Normas tcnicas para la gestin y el control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE).
Mediante este documento se cumple con parte de la normativa de la CGR,
especficamente en lo que corresponde al punto 1.4, en los aspectos citados en el
siguiente apartado.
Requerimientos
Mapeo de conexiones elctricas
Documentacin clara de cada una de las conexiones elctricas que se encuentran
dentro del Centro de Cmputo, etiquetando tableros y los cables e identificndoles con
las fuentes de alimentacin elctrica correspondientes; as como de un mapeo de
cada conexin y su correspondiente fuente elctrica, con el propsito de conocer con
exactitud a qu est conectado cada uno de los equipos de tecnologa ubicados en el
rea de servidores del piso 10.
Distribucin de cargas por unidades de poder (UPS)

Identificar y documentar las cargas que est soportando cada una de las UPSs
que alimentan los equipos de tecnologas con el objetivo de asegurar una correcta
distribucin de las mismas, evitando que las fuentes de poder redundantes de
un equipo estn conectados a una misma UPS, y para evitar que una UPS est
sobrecargada con respecto a otra.
Procedimientos para resolver problemas elctricos

Como parte del plan de contingencias en Tecnologas de Informacin y Comunicaciones,
debemos tener documentados los procedimientos que se deben seguir para atender de
la mejor forma cualquier problema elctrico. Estos tienen que incluir los responsables
de su ejecucin, y las personas alternativas ante la ausencia del responsable principal,
sus nmeros de telfono o medios de localizacin, para incluirlos en un manual de
escalamiento.
Procedimientos de mantenimiento preventivo para el aire acondicionado

Tambin, se tienen que incluir en el plan de contingencias los procedimientos
documentados respecto al plan de mantenimiento preventivo y correctivo relacionado
con los aires acondicionados del Centro de Cmputo.
Lmparas de emergencia ante problemas elctricos

Se requiere contar con lmparas de emergencia que se activen automticamente dentro
del Centro de Cmputo cuando falle la corriente elctrica, para que los encargados de
tecnologas puedan desplazarse en forma segura en estas circunstancias.
.
Aseguramiento de los cuartos de comunicaciones
Segn el esquema de niveles de seguridad establecidos, los cuartos de

comunicaciones ubicados en los distintos pisos tanto del edificio principal como del
anexo tienen que estar asegurados e integrados al sistema de UPS.
Al igual que en el Centro de Cmputo, no se tiene que permitir el acceso directo del
pblico o funcionarios no autorizados a los equipos. Este aseguramiento debe ser fsico,
considerando el control de los mismos por parte de los funcionarios responsables de

los equipos.
Control de acceso
El control de acceso al piso 10 y a los cuartos de comunicacin tiene que estar
documentado, incluyendo los mecanismos en uso y los contactos en caso de fallas.
Extintores
El o los extintores en uso tienen que estar documentados, as como el protocolo de
uso y activacin, el tipo de elemento (gas u otro) utilizado para amortiguar o apagar
posibles conatos de incendio.
Alarmas
Documentar los parmetros de activacin de las alarmas por incendio, de sensores,
temperatura y otros en uso.
Actividades realizadas
En coordinacin con la Unidad de Gestin Administrativa se realizaron y calendarizarn
las actividades comentadas a continuacin.
1. Mapeo de conexiones elctricas

Se realiz una revisin de conexiones elctricas, logrando identificar los circuitos a los
cuales estn conectadas las regletas de cada uno de los equipos. Esto se muestra en
la figura No.1.
Se logr identificar que las cargas de los tableros A y B estn balanceadas, esto debido
a que la diferencia de las corrientes en cada fase de cada tablero de distribucin es
la normal.
Acciones correctivas
1. Cambio de posicin de dos interruptores que alimentan un equipo 220
voltios
2. Plazo de ejecucin: 15 de junio 2009
3. Reacomodo de la caja de interruptores A y B segn figura 2.
5. Etiquetar algunas salidas de toma corrientes con su respectivo interruptor
Distribucin de salidas de c 1
Figura No.1 Distribucin de salidas de corriente segn interruptor correspondiente
Figura No.2 Ubicacin de los interruptores que alimentan las cargas de centro de cmputo
1. Procedimiento para resolver problemas elctricos

Se defini un esquema de deteccin y correccin de fallas elctricas en los sistemas
de cmputo para determinar el procedimiento a seguir en caso de ocurrencia de cada
una de las fallas principales. En la figura No.3 se muestra el esquema.
Figura No.3 Esquema de ocurrencia de fallas elctricas y su respectivo plan de accin
Procedimiento de mantenimiento preventivo para el aire

acondicionado
Plan de mantenimiento preventivo
Para los sistemas de aire acondicionado se realizan revisiones semanales y trimestrales,
las primeras son realizadas por el personal de la CGR y las semanales son realizadas
por una empresa subcontratada.
Las revisiones semanales incluyen lo siguiente:
VERIFICAR EL CORRECTO FUNCIONAMIENTO DE LAS UNIDADES DE AIRE
ACONDICIONADO DE USTI
ANOTAR TEMPERATURA DEL CUARTO DE CMPUTO (DIARIA)
MEDIR AMPERAJES DE COMPRESORES DE LOS DOS EQUIPOS PRINCIPALES
Mantenimiento correctivo
Hay un procedimiento de mantenimiento correctivo en caso de falla de los equipos:
Este proceso da inicio cuando se detecta una falla o el no funcionamiento de un
equipo de aire acondicionado en la institucin. Las formas de detectar una falla en el
sistema de airea condicionado son: a) La alarma ubicada en el puesto de ascensores
de seguridad se activa. B) Cualquier reporte de los funcionarios que laboran en la
Unidad de Servicios de Tecnologas e Informacin.
Se presentan dos vas por las cuales el/la usuario/a puede notificar la falla o el
no funcionamiento del equipo: a) llamando directamente a Mantenimiento b)
comunicando a la Unidad de Gestin Administrativa (UGA) el dao que presenta
en el equipo. En esta segunda opcin, la UGA comunica a Mantenimiento el reporte
recibido.
Si es un aire acondicionado ubicado en el piso 10, se da alta prioridad al requerimiento,

por encontrarse la Unidad de Sistemas y Tecnologa de Informacin en este piso y por
ende, los servidores de la institucin.
Si la alarma se diera en horario de oficinas el personal de seguridad procede a llamar
al centro de cmputo a la extensin 8134 para comunicarse con la persona que se
encuentre en el sitio. Si no contestara nadie, entonces llamar a USG o Mantenimiento.
Si la alarma se diera fuera de horario de oficinas, debe desplazarse al dcimo piso y
revisar cual es la temperatura del sensor ubicado en el cielo raso. Esta temperatura
debe estar entre 22C y 24C como mximo. Se debe anotar en bitcoras la temperatura
a la que se encontr el sensor.
Si la temperatura es superior a los 25C, revisar la unidad de aire acondicionado
principal est encendido. Esta debe de marcar la temperatura en la pantalla que se
ubica propiamente en la unidad. Si esta encendido entonces apagar con el control
esperar 15 segundos y volver a encender y esperar que la temperatura se ajuste al
valor permitido.
Si la unidad esta apagada apagar y encender como el en caso anterior. Si no enciende
la unidad se debe de se debe encender con el control la unidad de respaldo, (unidad
grande) y esperar que la temperatura se ajuste al valor permitido. Verificar que la
unidad este encendida. Esta debe de marcar la temperatura en la pantalla que se
ubica propiamente en la unidad. Si esta unidad no enciende entonces reportar a
Mantenimiento inmediatamente y abrir ventilas, puertas y colocar abanicos.
Si la temperatura no llega a su valor permitido en 15 minutos, se debe de se debe
encender con el control la unidad de respaldo, (unidad grande) y esperar que la
temperatura se ajuste al valor permitido. Verificar que la unidad este encendida. Esta
debe de marcar la temperatura en la pantalla que se ubica propiamente en la unidad.
Si esta unidad no enciende entonces reportar a Mantenimiento inmediatamente y

abrir ventilas, puertas y colocar abanicos.
Lmparas de emergencia ante problemas elctricos
Estas se estarn instalando en la siguiente fecha:
Plazo de ejecucin: 22 de junio 2009
Aseguramiento de los cuartos de telecomunicaciones

En estos momentos solamente 4 cuartos de telecomunicaciones que no se encuentran
totalmente cerrados, por los que se van a cerrar. Para esto se requiere colocar paneles
de madera y una puerta con llave para su aseguramiento.
Plazo de ejecucin: 30 de julio 2009
Sistema de extincin y alarmas

En estos momentos se cuenta con un sistema de deteccin de incendio activo. El
sistema de supresin se encuentra instalado pero inactivo ya que falta la capacitacin
del personal para su activacin. Esta capacitacin se tiene programada para la semana
del 01 al 05 de junio del 2009. Los procedimientos en caso de activacin de los
sistemas se tendrn para esa misma fecha.
Anexo - NTP12
Plan Continuo de Capacitacin

en TI
Estudio para la elaboracin del plan de educacin continua en

tecnologas de informacin y comunicacin
Introduccin
El presente trabajo denominado Estudio para La Elaboracin del Plan De Educacin
Continua En Tecnologas De Informacin Y Comunicacin es un producto intermedio
del Proyecto Educacin Continua en Tecnologas de Informacin Y Comunicacin
(TICs) que a su vez forma parte de las iniciativas del Plan Estratgico de Tecnologas
de Informacin y Comunicacin (PETIC)
Para ubicar el estudio en el contexto que le dio creacin, a continuacin se citan
los resultados esperados del Proyecto de Educacin Continua en Tecnologas de
Informacin Y Comunicacin (TICs):
Personal capacitado y actualizado en el uso de las TICs para la gestin de
los procesos institucionales
Personal capacitado y actualizado para la gestin de TICs
Este Proyecto espera llegar a desarrollar un recurso humano entusiasta y dispuesto a
aprovechar las tecnologas de informacin y comunicacin que la CGR le facilita para
la ejecucin de su trabajo y por ello su objetivo principal es incrementar la capacidad
de todo el personal de la Contralora General de la Repblica en el tema de TICs..
Bajo ese enfoque el presente estudio pretende realizar un diagnstico de necesidades
de capacitacin en materia de TICs, que brinde los insumos suficientes para la
elaboracin del Plan de capacitacin continua que permita alcanzar los resultados del
proyecto.
Mediante la aplicacin de este Plan se espera disminuir sensiblemente la brecha

existente en las habilidades y destrezas requeridas para el mejor uso de las TICs, as
como mantener la competencia tcnica del personal dicha materia.
METODOLOGIA APLICADA EN EL ESTUDIO

Este estudio se realiz utilizando una serie de consultas por medio de instrumentos
como entrevistas, encuestas y algunos talleres de trabajo, asegurando la participacin
de la casi la totalidad de los funcionarios encuestados y adems la opinin funcionarios
expertos en el uso de las TICs y con un conocimiento amplio del quehacer de esta
Contralora General.
Luego de la aplicacin de los instrumentos, se procedi a la tabulacin de la informacin
recolectada, estandarizando las respuestas y manteniendo una clasificacin temtica
que permitiera una adecuada comprensin de los datos y una presentacin de
informacin relevante para seleccionar los temas que deben formar parte del Plan de
Capacitacin Continua en TICs.
Instrumentos aplicados
A continuacin se describen los principales instrumentos que se desarrollaron,
aplicaron y tabularon en el presente estudio:
Consulta sobre los Conocimientos, Destrezas y

Habilidades en materia de TICs
Se realiz una consulta a diferentes Unidades de la Contralora General de la Repblica
sobre los principales conocimientos, destrezas y habilidades que deben tener los
diferentes funcionarios que laboraran en la Institucin en materia de TICs.
A partir de dicha informacin se elaboraron y aplicaron diferentes instrumentos para

obtener la informacin necesaria para realizar un diagnstico de la situacin actual de
los funcionarios en cuanto a dichos temas.
Encuesta aplicada en la Divisin De Fiscalizacin Operativa Y

Evaluativa (DFOE)
Se aplic una encuesta en la DFOE, a todos los funcionarios de nivel de Fiscalizador,
Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar de Fiscalizador, donde se
obtuvo como resultado las necesidades de capacitacin requeridas en materia de
TICs, que son de tipo general. (Ver anexo 1).
Se obtuvo informacin sobre necesidades de capacitacin en TIC`s aplicables a
cualquier tipo de Fiscalizacin, as como para la Fiscalizacin de la Gestin y Control
de las TICs, esto principalmente por medio del Macroproyecto de Tecnologas de
Informacin y Comunicacin (Ver anexo 2). En este momento se encuentran asignados
21 funcionarios a dicho Macroproyecto, los cuales deben tener especial atencin en la
planificacin de la capacitacin relacionada con TICs (Ver anexo 3)
Parte de la encuesta consult sobre las competencias de los funcionarios, donde
se incluyeron algunas relacionadas con la utilizacin de TICs en las labores que les
corresponde ejecutar. (Ver anexo 4)
Encuesta aplicada en las Divisiones de Desarrollo Institucional (DDI),

Estrategia Institucional (DEI), Asesora y Gestin Jurdica (DAGJ) y en
Contratacin Administrativa (DCA)
Se aplic una encuesta en las Divisiones DDI, DEI, DAGJ Y DCA, a todos los funcionarios
de nivel de Fiscalizador, Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar
de Fiscalizador, donde se obtuvo como resultado las necesidades de capacitacin
requeridos en materia de TICs, tanto de nivel general como especfico (Ver anexo 5).

Encuesta aplicada en la Unidad de Tecnologas de Informacin y

Comunicacin (USTI)
Por la naturaleza de las funciones que realiza la USTI, se realiz una encuesta
especfica para los funcionarios de esta Unidad, ya que sus necesidades en materia
de capacitacin en TICs requieren conocimientos avanzados, orientados al desarrollo
de aplicaciones, gestin de bases de datos, soporte a usuarios, entre otras.
La encuesta se aplic a todos los funcionarios de la USTI, de los cuales se obtuvo la
informacin necesaria para determinar sus necesidades de capacitacin en materia
de TICs (Ver anexo 7).
Entrevista para determinacin de necesidades de capacitacin en

materia de TICs para los niveles de Jefatura de esta Contralora
General.
Para obtener informacin sobre las principales necesidades de las Jefaturas en materia
de TICs, se realiz una entrevista al Jefe de la USTI, quien desde su posicin de experto
en la materia y adems de homologo en sus labores de jefatura, nos dio sus valiosas
opiniones sobre lo consultado. Es meritorio sealar que se obtuvo informacin acorde
con el nivel de la poblacin meta y totalmente alineada con la Estrategia Institucional
(Ver anexo 9).
Entrevista para determinacin de necesidades de capacitacin en

materia de TICs para el nivel secretarial de esta Contralora General.
Se procedi a entrevistar a un selecto grupo de secretarias que por su nivel y
experiencia, como lo son las secretarias del Despacho, la Secretaria de Divisin de la
DFOE, de la Secretara Tcnica y de la USTI, las cuales poseen el expertiz necesario
para realizar aportes significativos en relacin con las necesidades de sus colegas en
materia de TICs (Ver anexo 10)
ENTREVISTA-TALLER PARA DETERMINACIN DE NECESIDADES DE

CAPACITACIN EN MATERIA DE SISTEMAS DE INFORMACIN DE
LA CONTRALORA GENERAL DE LA REPBLICA
Para obtener informacin sobre las principales necesidades de los funcionarios en
materia de conocimiento y uso de los sistemas de informacin existentes en la Institucin,
se realiz una entrevista y a la vez un taller de trabajo con el coordinador de desarrollo
de sistemas de la USTI, quien desde su posicin de experto en la materia, nos dio
sus valiosas opiniones sobre lo consultado y conjuntamente con el entrevistador, se
realiz un trabajo de definicin de requerimientos de aprendizaje en esa materia (Ver
anexo 11). Al respecto, se determinaron los sistemas y las unidades que requieren
capacitacin tanto para efectos de registro como para efecto de consulta.
Coordinacin con el Proyecto de Maletn Electrnico

Se realizaron reuniones de coordinacin con los integrantes del proyecto de Maletn
Electrnico, para revisar los alcances de ambos proyectos y preveer que dichos
esfuerzos no se dupliquen, sino que por el contrario, se complementen. Cabe sealar
que un funcionario de la Unidad de Recursos Humanos, encargado de la planificacin
de la Capacitacin, est integrando actualmente ambos proyectos.
Anlisis de la Informacin recolectada

Se realiz un anlisis de la informacin recolectada mediante los instrumentos descritos
anteriormente, la cual consisti en comparar los conocimientos que requieren los
puestos en esta Contralora General de la Repblica, con los conocimientos que los
funcionarios perciben tener. De este anlisis se obtuvieron aquellos temas en que
mayormente se requiere aplicar actividades de aprendizaje para llevar a los funcionarios
al perfil requerido.
Este listado de temas se sometieron al anlisis del criterio experto del Jefe de la USTI, a
partir del cual, se reclasificaron o conjuntaron algunos conocimientos que pertenecan
a un mismo tema, se eliminaron otros que ya estaban incluidos en otro tema y se
eliminaron algunos temas que ya deben estar superados debido a que se ha impartido
suficiente capacitacin y adems se consideran como requisitos mnimos que los
funcionarios deben poseer.
Despus se aplic un criterio experto para aplicar una prioridad de 1 a 3 a todos los
temas, siendo 1 la mayor prioridad y 3 la menor, no obstante que todos los temas
incluidos en esta lista son los de mayor prioridad en la Institucin y por lo tanto deben
ser incluidos en el Plan de Capacitacin Continua en TICs.
En cuanto a la consulta sobre la aplicacin de las competencias relacionadas con
TI, se consult sobre tres comportamientos, uno correspondiente a la competencia
Liderazgo y dos sobre la competencia Innovacin.
Sobre la competencia Liderazgo, se consult sobre el comportamiento Toma
decisiones acertadas y consistentes apoyado en las TICs, y al respecto un 69%
acumula a los funcionarios que opinan que no aplican ese comportamiento o que lo
aplican en un nivel bajo y a un nivel medio. (Ver anexo 12)
Sobre la competencia Innovacin, se consult sobre dos comportamientos, Asimila

e incorpora fcilmente la aplicacin de nuevas TICs en los trabajos y Actualiza sus
conocimientos en temas de inters para la Institucin y en el uso de TICs, a los cual
respondieron, en el primer caso un 56% y en el segundo 62% de los funcionarios, que
no lo aplican, lo aplican a un nivel bajo y a nivel medio. (Ver anexo 12)
Con base en lo anterior, es importante rescatar que existe alto porcentaje de los
funcionarios encuestados que no aplican esos comportamientos o que los aplican
en forma baja o media. Esto muestra la existencia de una brecha u oportunidad
de desarrollo para subir el nivel de aplicacin y llevarlo a nivel alto, como es lo
esperado. En relacin con este punto, existen varias razones que propician que los
comportamientos en anlisis no se apliquen en un nivel alto, algunas veces se aduce
falta de conocimiento, dificultad para llevar a la prctica los conocimientos que poseen,
por falta de iniciativa y algunas veces se da que luego de la capacitacin, se le asignan
otros trabajos en los que no se presenta la oportunidad de aplicar lo aprendido en el
corto plazo lo que provoca algunas veces que los conocimientos se desactualicen o
se olviden. Sin embargo, por el momento, con el presente estudio, se espera que
se desarrolle un Plan de Capacitacin Continua en TICs que coadyuve al desarrollo
de los conocimientos en la materia, as como generar la motivacin suficiente para
facilitar que los puedan llevar a la prctica en sus labores.
Como se mencion anteriormente, en el presente estudio tambin se investig y
coordin con el proyecto de Maletn Electrnico, el cual inici como un esfuerzo por
dotar de herramientas y conocimientos en materia de TICs a los funcionarios de la
DFOE. Por el alcance de los temas del Maletn, es necesario que el proyecto se
haga extensivo a todos los funcionarios de la Institucin. Al respecto, se puede
decir que los temas que est considerando el Maletn Electrnico, estn totalmente
comprendidos en el presente estudio, sin embargo, se han tomado las previsiones y
coordinacin necesarias para que ambos esfuerzos se complementen.
TEMAS DEL PLAN DE CAPACITACIN CONTINUA EN TECNOLOGAS DE

INFORMACIN
Luego del anlisis de la informacin que fue comentada en prrafos anteriores, como
resultado final se presentan a continuacin los temas que forman parte del plan de
capacitacin continua en TICs para la Contralora General de la Repblica, los cuales
sern una gua para la planificacin e implementacin de los planes anuales de
Fiscalizadores
Tcnico-Secretarial
Administrativos
capacitacin en dicha materia, del 2009 al 2012.
2
2
3
2
3
3
Jefaturas
CONTINUA EN TICs
Prioridad
TEMAS PARA EL PLAN DE CAPACITACION
SOFTWARE APLICATIVO
Elaboracin de Presentaciones, manejo y edicin de
imgenes, fotografas, video y audio, cambio de formato
Manejo de Proyectos
Software para la creacin de flujos de procesos
Cartografa
Estadstica
Mapas Mentales
Manejo de GPS
HERRAMIENTAS Y UTILITARIOS: el conocimiento para el uso
X
X
X
X
de este tipo de herramientas puede lograrse mediante la

utilizacin de guas virtuales
Investigacin en la Web, uso de buscadores, diccionarios y
3
traductores
Reuniones virtuales y chat, mensajera unificada
3
Seguridad de la informacin, compresin y empaquetamiento
2
de archivos
CICLO DE CHARLAS SOBRE NORMATIVA, PLANEACIN,
MODELOS DE GESTIN Y CONTROL DE TICs
Normas tcnicas para gestin y control de TICs
1
Plan Estratgico en Tecnologas de Informacin y
1
Comunicacin (PETIC)
Dirigido especficamente a los funcionarios del
Macroproyecto de TICs de la FOE, similar a la Maestra
fiscalizacin de TI
Proceso de auditora operativa y su aplicabilidad a la
evaluacin de la gestin y control de las TI

1
Modelos de gestin y control con TI
En qu consiste un sistema de gestin de calidad para los
SEVRI y la vinculacin que tiene con ste la valoracin de 1
procesos de TI (importancia de la emisin de polticas)

El proceso de valoracin de riesgos segn la normativa del
riesgos en TI.
Normas ISO 27001 e ISO 27002 y su aplicacin a la Gestin
de TI
Administracin de Proyectos (PMI y PMBoK)
X
X
X
Administrativos
X
X
EN FISCALIZACION DE GESTION Y CONTROL DE LAS
sobre Auditora de TI de la UCR.

Conceptos fundamentales de auditora aplicables a la
X
X
CUALQUIER TIPO DE FISCALIZACIN

Modelado de Datos
1
Extraccin y anlisis de datos con Excel
1
Extraccin y anlisis de datos con ACL O IDEA
1
Pruebas de auditora sobre procesos de e informacin
1
electrnica y recopilacin de evidencia
CONOCIMIENTOS ESPECFICOS DE TICs APLICABLES
TICs:
Tcnico-Secretarial
Plan Tctico (PETAC)

1
Modelo de Arquitectura de Informacin (MAI)
1
Proceso de valoracin del Riesgo (SEVRI y riesgos en TI)
1
COSO (Committee of Sponsoring Organizations of the
1
Treadway Commission)
COBIT (Control objectives for Information and related
1
Technology)
ITIL (Information Technology Infrastructure Library)
1
CONOCIMIENTOS GENERALES DE TI APLICABLES A
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
capas, objetos, etc.

1
Administracin de la tercerizacin de TI
Plataforma Tecnolgica (Operaciones, Telecomunicaciones,
Seguridad, Base de Datos, otros)

Conceptos sobre administracin de datos
CICLO DE CHARLAS SOBRE LOS
(conceptos claves: o aplicaciones entiendo los siguientes

conceptos: teoras, etapas del CVDS, CMMi, Casos de uso,
SISTEMAS
INSTITUCIONALES: Corresponde a charlas sobre todos los
sistemas Institucionales, como aprovecharlos al mximo,
tecnolgica
Desarrollo e implementacin de sistemas de informacin
Administrativos
seguimiento)
1
Planificacin estratgica de TI
Modelo de Arquitectura de Informacin y de infraestructura
Tcnico-Secretarial
Marco jurdico relacionado con las TI (Importancia y
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
utilizando la informacin
CICLO DE CHARLAS SOBRE TI PARA LOS NIVELES DE
JEFATURA: Difundir todos los recursos que en materia de
TI posee la Institucin y como puede sacar provecho de
ellos
Modelo de Arquitectura de la Informacin (MAI) y su relacin
con los procesos Institucionales definidos en el MAGEFI
Infraestructura Tecnolgica (Redes, Telefona, Bases de
Datos, Seguridad, Servidores)

1
Metodologa de Gestin de Proyectos de TI
1
Herramientas de Software disponibles y su utilidad
Aprovechamiento de la Informacin para la toma de
1
decisiones
Rol del usuario en la Metodologa de Desarrollo de Sistemas 1
MAESTRAS
Maestra en Computacin del TEC
2
X
X
X
X
Informacin
CERTIFICACIONES
Certified Information Systems Auditor (CISA) Certificacin

para auditores respaldada por la Asociacin ISACA 1
(Information Systems Audit and Control Association).

Certificacin en Gobierno de Tecnologas de la Informacin
en Empresas, Governance of Enterprise IT Certification
(CGEIT), creada por ISACA para apoyar las demandas
crecientes relacionadas con el gobierno de TI, promover
la buena prctica del mismo y reconocer profesionistas

talentosos en el rea
CISM (Certified Information Security Management) es
una certificacin para administradores de seguridad de la
informacin respaldada por la ISACA. Est enfocada en la
gerencia y define los principales estndares de competencias
y desarrollo profesionales que un director de seguridad de
la informacin debe poseer, competencias necesarias para
dirigir, disear, revisar y asesorar un programa de seguridad
de la informacin.
Administrativos
Tcnico-Secretarial
Maestra Profesional en Auditora de Tecnologas de la
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
publicados por la Organizacin Internacional para la

Estandarizacin
(ISO)
la
Comisin
Electrotcnica
Internacional (IEC). La serie contiene las mejores prcticas

recomendadas en Seguridad de la informacin para
2
2
1
1
1
X
X
X
X
X
1
1
X
X
1
1
1
1
1
1
X
X
X
X
X
X
desarrollar, implementar y mantener Especificaciones para

los Sistemas de Gestin de la Seguridad de la Informacin
(SGSI).
Certificacin en La Biblioteca de Infraestructura de
Tecnologas de Informacin, ITIL (del ingls Information
Technology Infrastructure Library), es un marco de trabajo
de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin (TI). ITIL resume
un extenso conjunto de procedimientos de gestin ideados
para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI.
Certificacin en Administracin de Proyectos (PMI)
Certificacin en Administracin de Bases de Datos ORACLE
Certificacin en Desarrollo bajo la herramienta ORACLE
Certificacin en Administracin de Servidores de Microsoft
Certificacin en redes para transmisin (Voz, datos, vdeo)
TEMAS ESPECFICOS PARA LA USTI
Casos Uso y Prueba (Metodologas)
XML / Webservises
JAVA / SQL/QUERY / HTML / XHTML / PHP / JAVA SCRIPT
/ CSS
ORACLE (Herramientas de Desarrollo/Bases de Datos)
Datawarehouse
Seguridad en TICs
Adm. de Redes
ATM Telefona
Sistemas operativo/soft Usuario Final
Administrativos
Tcnico-Secretarial
Certificacin ISO/IEC 27000 son estndares de seguridad
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
X
X
X
X
Administrativos
2
2
2
1
Tcnico-Secretarial
Adm. de Proyectos
Gestin de TICs
Gestin Calidad en TICs
Elementos de diseo de sitios Web
Jefaturas
CONTINUA EN TICs
Prioridad
Fiscalizadores
RECOMENDACIONES
A continuacin se exponen algunas sugerencias o recomendaciones que coadyuven a
fortalecer los efectos y alcances de los resultados este Plan de Capacitacin Continua
en TICs:
El presente Plan de Capacitacin Continua en TICs tiene una vigencia del 2009 al
2012, por lo que requiere de una implementacin paulatina en los diferentes planes
anuales de capacitacin, esto permitir que la inversin en tiempo de los participantes
y en el costo de los eventos quede prorrateada en los respectivos Planes Operativos y
Presupuestos Anuales de la Institucin.
Es recomendable la emisin de una poltica que promueva que se incluya en los
procedimientos de trabajo de la Institucin, la utilizacin intensiva las TICs y que la
supervisin de sus resultados asegure su buen uso, lo cual se pueda evidenciar en la
calidad y la oportunidad de los productos.
En la medida de lo posible, se recomienda que se realicen exmenes de ubicacin
antes de llevar los eventos, de forma que se pueda determinar el nivel de conocimiento
previo que tiene el participante, lo que brindar insumos para el instructor y tambin
permitir medir el nivel de aprendizaje logrado en el evento. En ese mismo sentido,
se recomienda que las actividades tengan mecanismos de evaluacin final que
evidencien el conocimiento adquirido en el curso. De esta forma se podr sustentar
la aprobacin respectiva y se podr llevar un registro ms claro del nivel adquirido por
el participante.
Se deber hacer un uso intensivo de la plataforma tecnolgica existente para apoyar
los eventos de aprendizaje, a saber: la red institucional, el laboratorio de micros, el
campus virtual, entre otros), de forma que se potencie la efectividad y el alcance de
los eventos, as como la oportunidad de acceder a cursos no presenciales.
Se deber llevar un registro eficiente de las actividades de aprendizaje recibidas por

los funcionarios, relacionadas con los temas del presente plan. Esto permitir llevar
el pulso del avance del proyecto y brindar informacin sobre los conocimientos
individuales de los participantes, lo cual podr ser utilizado para la toma de decisiones.
La evaluacin del desempeo debe incorporar informacin sobre la aplicacin de la
tecnologa en los trabajos y la disposicin a utilizarla por parte del funcionario de la
Contralora General de la Repblica y evidenciar las brechas que tiene con respecto
al perfil del puesto. Asimismo, en cada evaluacin se deber proponer un plan de
accin para disminuir las brechas sealadas en el punto anterior, el cual ser un
insumo para la planificacin de las actividades de aprendizaje.
Se debern revisar los perfiles de puestos, para asegurar que contienen los
conocimientos necesarios en materia de TICs, de forma que se complementen
con las competencias que sobre sta materia han sido emitidos por la Unidad de
Recursos Humanos. Esto impulsar con mayor claridad, la bsqueda del desarrollo
de los funcionarios para dotarlos de los conocimientos, habilidades y destrezas que
los faculten para el ejercicio eficaz y eficiente de las funciones que les corresponde
ejecutar en este rgano Contralor.
Se debe procurar la inclusin en los Planes Operativos Anuales de las diferentes
Unidades de la Institucin, el tiempo correspondiente a las actividades de aprendizaje
en materia de TICs, tanto para los funcionarios participantes como para aquellos
que funjan como profesores, facilitadores o expertos de contenido, para lo cual se
deber coordinar el respectivo apoyo institucional.
Esto ayudar a solventar
las limitaciones presupuestarias actuales y adems permitir que los eventos sean
muy enfocados a las necesidades de la Contralora, dado el conocimiento que los
instructores tienen sobre la Institucin
Se deber gestionar la incorporacin de los recursos econmicos necesarios para

apoyar las actividades de aprendizaje del presente Plan de Capacitacin, para solventar
aquellas que deban ser contratadas externamente.
ANEXOS
ANEXO 1
Porcentaje de aplicacin de conocimientos de tipo general en materia

de TICs
Encuesta aplicada en la DFOE

ANEXO 2
Resumen de Conocimientos Generales de TICs aplicables a cualquier

fiscalizacin y Especficos para la Fiscalizacin de la Gestin y Control
de las TICs.
Encuesta aplicada en la Divisin DFOE

ANEXO 3
MACROPROYECTO DE FISCALIZACIN DE LA GESTIN DE LAS TICS

FUNCIONARIO PARTICIPANTES POR REA DE FISCALIZACIN

ANEXO 4
Nivel de aplicacin del comportamiento o competencia

Encuesta aplicada en la DFOE

ANEXO 5
Grado de Conocimientos sobre TICs

Encuesta Aplicada en DDI, DEI, DAGJ y en DCA

ANEXO 5 (Continuacin)


ANEXO 6


ANEXO 7

Encuesta Aplicada en USTI

ANEXO 8


ANEXO 9
Conocimientos que deben tener las Jefaturas sobre las TICs

Segn entrevista realizada a la Jefatura de USTI

ANEXO 10
Conocimientos que deben tener las Secretarias en materia de TICs

Segn entrevista realizada a las secretarias del Despacho, la secretaria
de Divisin de la DFOE, de la Secretara Tcnica y de la USTI
ANEXO 11
Conocimientos sobre los Sistemas de la CGR

Segn entrevista realizada al coordinador de desarrollo de sistemas de
la USTI
ANEXO 12
Resumen de comportamientos relacionados con la aplicacin de TICs

Encuestas realizadas a la DFOE, DDI, DEI, DAGJ, DCA, USTI

Anexo - NTP13
Plan de la Capacidad en TI
PROCESO: GESTIN DE LA CAPACIDAD

1.
Introduccin
El propsito de este documento es proporcionar una gua para la planeacin de la

capacidad de la tecnologa de informacin y comunicaciones de la Contralora General
de la Repblica (CGR), con el objetivo de aprovechar mejor los recursos institucionales
y permitir que se adquiera la tecnologa adecuada y con la capacidad para cubrir
eficientemente y con el mejor desempeo las necesidades y requerimientos reales,
presentes y futuros.
La Unidad de Tecnologas de Informacin (UTI) tiene la responsabilidad de mantener
as tecnologas de Informacin y comunicaciones (TIC) actualizadas y optimizadas
como herramientas para apoyar y facilitar la gestin de fiscalizacin y dems tareas
sustantivas de la institucin. Como consecuencia de la gestin de la informacin
automatizada y el cambio permanente en las TICs, la institucin se ha propuesto
mantener su infraestructura tecnolgica operando eficaz y eficientemente para el
cumplimiento de sus objetivos.
Como producto del aumento constante en la automatizacin de procesos en la CGR,
se requiere el estar gestionando nuevos requerimientos con miras a fortalecer las
necesidades de procesamiento, almacenamiento, consulta y extraccin de informacin.
Bajo esta perspectiva, es necesario administrar y planificar la capacidad requerida de
la infraestructura tecnolgica de la CGR.
Debido a lo anterior y para cumplir con las exigencias de las normas tcnicas emitidas
por la CGR en materia de tecnologas de informacin para las instituciones pblicas,
en este documento se establece un modelo para medir la capacidad para evaluar y
proyectar la infraestructura tecnolgica actual y requerida por la institucin.
Los componentes que se incluyen dentro de este plan consideran hardware, bases de
datos, sistemas operativos y telecomunicaciones.
Por ltimo, es importante recordar que la planificacin de la capacidad debe realizarse
peridicamente y debe llevarse a cabo por personal capacitado y con experiencia en
este campo.
Es importante mencionar que este documento facilita el cumplimiento de los puntos
2.3, 3.3 y 4.2 de las Normas Tcnicas emitidas por la CGR.
1.1.
Infraestructura tecnolgica

1.2.
Implementacin de infraestructura tecnolgica

e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello
debe considerar lo que resulte aplicable de la norma 3.1 y los ajustes necesarios a la
infraestructura actual.
Norma
4.1 La organizacin debe mantener la plataforma tecnolgica en
Administracin ptimas condiciones, minimizar su riesgo de fallas y proteger la

y operacin de integridad del software y de la informacin. Para ello debe:
la
plataforma
tecnolgica
Establecer y documentar los procedimientos y las responsabilidades

asociados con la operacin de la plataforma.
Vigilar de manera constante la disponibilidad, capacidad,
desempeo y uso de la plataforma, asegurar su correcta
operacin, mantener un registro de sus eventuales fallas,
identificar eventuales requerimientos presentes y futuros,
establecer planes para su satisfaccin, garantizar la oportuna
adquisicin de recursos de TI requeridos tomando en cuenta la
obsolescencia de la plataforma, contingencias, cargas de trabajo
y tendencias tecnolgicas.
Controlar la composicin y cambios de la plataforma y mantener
un registro actualizado de sus componentes (hardware y
software), custodiar adecuadamente las licencias de software y
realizar verificaciones fsicas peridicas.
Controlar la ejecucin de los trabajos mediante su programacin,
supervisin y registro.
Mantener separados y controlados los ambientes de desarrollo y
produccin.
Brindar el soporte requerido a los equipos principales y perifricos.
Controlar los servicios e instalaciones externos.
Definir formalmente y efectuar rutinas de respaldo, custodiar los
medios de respaldo en ambientes adecuados, controlar el acceso
a dichos medios y establecer procedimientos de control para los
procesos de restauracin.
1.3.
Tareas de la Gestin de la Capacidad
Conocer el estado actual de la tecnologa en la CGR.

Analizar el entorno relacionado con TIC.
Alinear las TIC a los planes de la institucin; el plan estratgico en TIC.
Considerar los acuerdos de servicio establecidos.
Comparar el rendimiento de la infraestructura contra los parmetros
definidos.
Realizar modelos y simulaciones de capacidad para diferentes escenarios
futuros previsibles.
Dimensionar adecuadamente los servicios y aplicaciones alinendolos a los
procesos de la CGR y necesidades reales de los usuarios.
Gestionar la demanda de servicios tecnolgicos racionalizando su uso.
Considerar el recurso humano necesario.
La gestin de la capacidad de TIC facilita el dimensionamiento de la infraestructura a
utilizar para un mayor aprovechamiento de las inversiones necesarias en tecnologas.
Los principales beneficios derivados de una correcta Gestin de la Capacidad son:
Se optimiza el rendimiento de los recursos humanos y tecnolgicos.
Se dispone de la capacidad necesaria en el momento oportuno, evitando
as que se pueda resentir la calidad del servicio.
Se evitan gastos innecesarios producidos por compras de ltima hora.
Se planifica el crecimiento de la infraestructura adecundolo a las
necesidades reales.
Se reducen los gastos de mantenimiento y de administracin asociados a
equipos y aplicaciones obsoletos o innecesarios.
Se disminuye el riesgo de posibles incompatibilidades y fallos en la
infraestructura informtica.
En resumen, se racionaliza la gestin de las compras y el mantenimiento de los servicios

en TIC con la consiguiente reduccin de costos e incremento en el rendimiento.
Los principales problemas a los que se enfrenta la implementacin de una adecuada
poltica de Gestin de la Capacidad son:
Informacin insuficiente para una planificacin realista de la capacidad.
Expectativas injustificadas sobre el ahorro de costos y mejoras del
rendimiento.
Insuficiencia de recursos para el correcto monitoreo del rendimiento.
Infraestructuras informticas distribuidas y excesivamente complejas en las
que es difcil un correcto acceso a los datos.
No existe el compromiso suficiente de los niveles superiores por implementar
rigurosamente los procesos asociados.
La rpida evolucin de las tecnologas puede obligar a una revisin
permanente de los planes y escenarios contemplados.
Un incorrecto dimensionamiento de la propia Gestin de la Capacidad.
2.
Objetivos
1.1.
Objetivo General:
El objetivo primordial de la Gestin de la Capacidad es poner a disposicin de clientes,

usuarios y la propia UTI, los recursos tecnolgicos necesarios para desempear de
una manera eficiente sus tareas a un costo razonable.
En otras palabras, asegurar que la Infraestructura Tecnolgica satisfaga las necesidades
actuales y futuras de TIC para la operacin eficiente de la CGR.
1.1.
Objetivos especficos:
Minimizar cantidad e impacto de futuros incidentes que degraden la calidad

del servicio.
Racionalizar el uso de la capacidad de la infraestructura TI.
Administrar costos razonables en infraestructura de TI.
Aumentar la productividad y satisfaccin de los usuarios.
3.
Alcance
Este documento define las actividades necesarias para asegurar que las mejoras,
cambios y los nuevos servicios que afecten la infraestructura tecnolgica, proveern
un ambiente que cumple con los estndares de servicio acordados y las necesidades
de la CGR.
Los componentes a los que se aplicar la gestin de capacidad son los servidores de
bases de datos, aplicaciones, y correo institucional, la base de datos de produccin,
enrutadores, ancho de banda Internet, Firewall, programas protectores contra virus
informticos y cdigo malicioso, detectores de intrusos, switches de RED y la central
telefnica.
3.1.
Responsables
Las personas encargadas de administrar cada uno de los componentes seleccionados,

sern los responsables de gestionar su capacidad.
4.
Actividades por realizar para cada componentes
Con el fin de generar la informacin requerida por el plan de la capacidad, en este

apartado se deben definir claramente los detalles de cmo y cundo se obtendr esta
informacin - por ejemplo, las previsiones de la CGR obtenidas a partir de los planes
PETIC y PETAC, las previsiones del volumen de trabajo de los usuarios (modelo o
arquitectura de informacin), o las proyecciones de nivel de servicio obtenido por el
uso de herramientas de modelacin-; as como las caractersticas de capacidad por
cada uno de los componentes para apoyar la toma de decisiones.
4.1.
Identificar las herramientas de medicin
Identificar las herramientas de medicin a utilizar para evaluar el comportamiento

de un componente tecnolgico ante determinadas cargas de trabajo, as como para
establecer o realizar proyecciones de capacidad ante el cambio de los requerimientos
de TI.
4.2.
Establecer las variables de medicin
Establecer las variables de medicin as como las mtricas y los parmetros sobre las
que se van a comparar y medir.
4.3.
Tendencias de mercado y consecuencias
Al estudiar las tendencias y cambios tecnolgicos en el mercado y con base en los

acuerdos de servicio, los nuevos requerimientos y el anlisis de la infraestructura
tecnolgica actual se puede estimar que cambios o adquisiciones se deben realizar
en el futuro.
4.4.
Definir procesos y calendario de medicin
La herramienta de medicin que se utilice para cada componente determinar la

frecuencia y los procesos que se requieren para realizar el anlisis, las mediciones y
la generacin de resultados. Por lo general se analizan datos histricos que permitan
establecer, variaciones importantes, problemas de infraestructura, capacidad excedida
o sobrestimada y tendencias o proyecciones.
4.5.
Sustitucin
Evaluar si por obsolescencia tecnolgica, costos de mantenimiento, anlisis financiero

o por incompatibilidad con la infraestructura tecnolgica en uso, se hace necesario la
sustitucin de alguno de los componentes de TICs.
4.6.
Riesgos
Establecer cual sera la probabilidad y el impacto de una falla de un componente

tecnolgico en la infraestructura de TI, de tal forma que se pueda mitigar el riesgo
asociado. Asimismo, contemplar las oportunidades que pueda brindar el mercado en
el lanzamiento de nuevas tecnologas.
4.7.
Prioridades
Como es bien entendido por la mayora de administradores de infraestructura

tecnolgica, se deben establecer cules componentes son prioritarios de conformidad
con el sistema de continuidad de servicio y tambin para cumplir con los acuerdos de
servicio y los requerimientos de TI.
4.8.
Presupuesto
Finalmente, no se pueden dejar de lado los costos de la infraestructura tecnolgica

y cul sera el presupuesto requerido y justificado para satisfacer las necesidades
actuales y futuras en materia de TICs, de tal forma que se puedan realizar las
previsiones financieras adecuadas.
De los requerimientos de TICs y de los acuerdos de servicio se debe obtener la
informacin necesaria para:
Definir cules son los perodos en los que requiere mayor capacidad (picos).
Niveles de servicio esperados.
Tiempo de respuesta esperada.
Complejidad.
Capacidad de crecimiento requerida.
Requerimientos nuevos.
Nuevos proyectos tecnolgicos.
Recurso humano necesario.
Con base en todo lo anterior, se debe realizar un proceso continuo de Gestin de la
Capacidad que involucra las siguientes actividades:
4.9.
Seguimiento y control continuo
Seguimiento continuo de la infraestructura tecnolgica en uso para anlisis de

rendimiento y de necesidades de ajustes para satisfacer adecuadamente los
requerimientos de la CGR.
Un correcto seguimiento de la capacidad disponible, permite reconocer puntos dbiles
de la infraestructura de TIC o cuellos de botella y evaluar posibilidades de balanceo
de cargas o redistribucin de servicios o datos para continuar dando un servicio de
calidad.
La Gestin de la Capacidad debe evaluar a priori, basndose en la experiencia, los
resultados y las tendencias del mercado.
En resumen el monitoreo debera permitir:
Analizar las tendencias de demanda de capacidad.
Evaluar el uso real que se hace de ella.
Emitir informes de rendimiento,

Validar las mtricas para la evaluacin de la capacidad real y su impacto en
la calidad del servicio.
5.
Anlisis y Evaluacin de datos
Los datos recopilados deben ser analizados para tomar decisiones relacionadas con
la ejecucin de acciones correctivas que permitan mantener una infraestructura
tecnolgica acorde con las necesidades de la CGR.
5.1.
Ajustes
Con base en el monitoreo y en el anlisis de datos se deben determinar los ajustes

requeridos para la optimizacin de uso de los recursos de TIC mediante la Gestin del
cambio, Generando el proceso necesario para la implementacin del mismo.
5.2.
Almacenar la informacin
Se contar con una aplicacin que permitir almacenar la informacin relativa a la

capacidad, incluyendo los planes de capacidad y los informes de gestin sobre los
recursos de TI.
5.3.
Base de Datos de la Capacidad (BDC)
La BDC debe almacenar toda la informacin institucional, financiera, tcnica y de

servicio que reciba y genere la Gestin de la Capacidad, relativas a la capacidad de la
infraestructura y sus elementos.
Idealmente, la BDC debe estar interrelacionada con la BDCG (Base de datos de la
capacidad gerencial) para que esta ltima ofrezca una imagen integral de los sistemas
y aplicaciones con informacin relativa a su capacidad. Esto no es bice para que

ambas bases de datos puedan ser fsicamente independientes.
5.4.
INSUMOS
Riesgos en materia de TIC.

Incidentes registrados.
Acuerdos de servicio establecidos
La arquitectura de informacin de la CGR.
Plan de Contingencia o para continuidad de servicios.
Rendimiento esperado por servicio o componente.
Avances o actualizacin tecnolgica relacionada.
Requerimientos de informacin, de procesamiento y de telecomunicaciones.
Informacin relativa a la capacidad de la infraestructura de TIC.
Las previsiones o perspectivas de la CGR sobre necesidades.
Los cambios necesarios para adaptar la capacidad de TI a las novedades
tecnolgicas y las necesidades emergentes de usuarios y clientes.
La disponibilidad esperada.
Posibilidades presupuestarias.
6.
Anlisis de capacidad
A continuacin se establecen las variables a medir por cada componente seleccionado

y los parmetros sobre los cuales se aplicar la medicin; as como el instrumento a
utilizar.
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS DE SEGURIDAD
Consideraciones bsicas
A. Ancho de Banda Internet.
Variables a medir:
1. Ancho de banda utilizado de entrada
2. Ancho de banda utilizado de salida
3. Eficiencia de la red. (entrada y salida)
4. Delay de transacciones por aplicacin.
Valor normal
Punto crtico
Alerta
4Mb
2Mb
90%
< 2 seg
5Mb
3Mb
75%
5 seg
> 5 Mb
> 3 Mb
> 75%
> 5 seg
100%
15%
50%
70%
< 50%
> 70%
10%
70%
> 70%Mas de 180/255
45% del canal
80% del canal
> 80% del canal
30%
60%
70%
20%
50%
1Mbps
30% del ancho de
banda total
40%
70%
6Mbps
50% del ancho de banda total
65%
80%
8Mbps
>70 % del ancho de banda total
20%
50%
70%
70%
80%
80%
25%
25%
60%
60%
15%
75%
80%
10%
80%
Punto crtico
Alerta
Instrumento de medicin: Packeteer.

B. Enrutadores
1. Confiabilidad de la interface.
2. Indice de carga de la interface de
transmision TX
3. Indice de carga de la interface de
recepcin RX
4. Estadsticas para 5 minutos:
4.1 Tasa de transferencia en bits por
segundo.
5. Utilizacin de CPU
Instrumento de medicin: Comandos
sistema operativo
C. Firewall
1. Utilizacin de CPU
2. Memoria utilizada.
3. Tasa de transferencia por subred
4. Ancho de banda utilizado por subred
Instrumento de medicin: Programa ASDM
instalado en el Firewall.
D. Appliance E-3100 Mc.Afee
1. Carga de CPU.
2. Memoria utilizada / memoria disponible
Instrumento de medicin: Programa
administrador del Appliance.
E. Detectores de intrusos.
1. Carga del CPU
2. Memoria disponible
3. Disco utilizado/disponible
Comandos Sistema operativo
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS PRINCIPALES

Tiempo de medicin: Continuo
Servidor es de base de datos y aplicaciones
Variables a medir:
Valor normal
1. Utilizacin de UPC. La utilizacin ptima de

la UPC son los siguientes:

60% para usuarios

20% para el sistema

10% para E/S

10% desocupado
2. Utilizacin de Memoria
65%
85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
< 65%
>85%
>90%
3.Paginacin
5%
10%
15%
30%
5. Tasa utilizacin disco %iowait
10%
15%
6. %Crecimiento anual de disco
50%
70%
75%
Valor normal
Punto crtico
Alerta
1. % Utilizacin CPU.
65%
85%
2. % Utilizacin de Memoria
< 65%
>85%
90% o ms de un 50% de
utilizacin de la UPC por sistema
operativo
>90%
3.Promedio de tiempo de escritura del redo

log
30s
90s
100s
4. Lock wait
10s
30s
60s
5. I/O wait
5%
15%
25%
6. Network wait
2%
10%
15%
7. Latch wait
1%
10%
15%
Instrumento de medicin: Foglight y

comandos del sistema operativo (Solaris
ESTABLECIMIENTO DE METRICAS PARA BASES DE DATOS

Tiempo de medicin: Continuo
Base de datos ORACLE
Mtricas:
Instrumento de medicin: Foglight y

comandos del sistema operativo (solaris)
ESTABLECIMIENTO DE METRICAS PARA REDES Y TELEFONA
A. Switches.
Switch de Servidores
Switch de Backbone
Switch de Acceso
Mtricas:
B.
% Utilizacin Ancho de banda

POR SUBRED
< 70%
70%
>75%
< 70%
70%
>75%
< 70%
70%
>75%
Instrumento de medicin: EPI-Center de

Extreme Networks
B. Access Point (red inalmbrica)

Mtricas:
% Utilizacin Ancho de banda por puerto de
access point
Instrumento de medicin: Hipath de
Siemens y EPI-Center de Extreme Networks
C. Media Gateway con Proveedor de Servicio
Mtricas:
% Utilizacin de canales E1s
Instrumento de medicin: OTM de Nortel
Networks
Anexo - NTP14
Acuerdo de Nivel de Servicio

Proceso Gestin de Tecnologas de Informacin
Acuerdo de Nivel de Servicio
Introduccin
En aras de mejorar el servicio en tecnologas de informacin y comunicacin y la
satisfaccin del cliente, se establece el presente Acuerdo de Nivel de Servicio (SLA por
sus siglas en ingls), de acuerdo con las Normas Tcnicas emitidas por la Contralora
General de la Repblica (CGR) en su captulo IV sobre prestacin de servicios y
mantenimiento.
Objetivo
Fijar el nivel de calidad del servicio en Tecnologas de Informacin y Comunicacin
(TICs); manteniendo alineada la tecnologa con los planes de la CGR, entre la Unidad
de Tecnologas de Informacin como el proveedor de servicios de TICs; representada
por su jefatura, y la Gerencia de la Divisin XXXX como el cliente; representada por
su Gerente.
Servicios tecnolgicos
A continuacin se establecen los servicios que forman parte de este SLA:
1. Correo Electrnico
2. Red Convergente
3. Internet
4. Disponibilidad de la informacin
5. Telefona a nivel de servidores
Requerimientos del Cliente

A continuacin se enumeran los requerimientos del cliente a nivel de servicios de
tecnologas de informacin.
1. Alta disponibilidad para acceder a la informacin.
2. Alta disponibilidad en el servicio de correo electrnico.
3. Suficiente espacio para almacenamiento de sus datos.
4. Servicio para control de programas maliciosos.
5. Acceso telefnico permanente.
6. Custodia, confidencialidad e integridad de sus datos residentes en los
servidores principales.
Acuerdos por servicio

A continuacin se especifica el nivel de servicio a brindar por el proveedor para cada
uno de los servicios contemplados en este documento de acuerdos.
Correo Electrnico
Compromisos del Proveedor
1. Disponibilidad del servicio 24x7.
2. 100 MB de almacenamiento de datos para cada cliente de correo.
3. Encriptacin de la clave de acceso de cada cliente de correo.
4. Eliminacin en un 90% de correo spam o basura.
5. Eliminacin en un 95% de virus incluidos en documentos entrantes.
6. Privacidad de correo entrante y saliente para cada cliente.
7. Custodia y respaldo de la base de datos de correo.
8. Recuperacin de la base de datos en un plazo mximo de 3 horas.
Compromisos del cliente

1. Cumplimiento de las directrices de seguridad vigentes.
2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas,
a efectos de prevenir la expansin de la misma.
3. Reportar el uso indebido de informacin o activos de la CGR por parte de
usuarios internos o personal externo.
Red convergente
Compromisos del proveedor
1. Disponibilidad de red 24x7.
2. Conexin a velocidades de 10/100/1000.
3. Redundancia de los componentes primarios de la red convergente.
4. Disponibilidad complementaria y alternativa de conexin inalmbrica.

1. Cumplimiento de las directrices de seguridad vigentes
Internet
2. 8 Mb de ancho de banda.
3. Aplicacin de filtro de Contenidos.
4. Recuperacin del servicio en un plazo mximo de 3 horas.

Disponibilidad de la Informacin
2. Brindar los controles que garanticen el acceso seguro y debido a la
informacin.
3. Custodia y respaldo de la base de datos.
4. Iniciar la atencin inmediata de recuperacin de la base de datos en horario
normal y en un plazo mximo de 2 horas fuera de horario.

3. Reportar oportunamente cualquier cambio en el rol operativo de algn
usuario de la BD, que amerite una modificacin en el respectivo control de
acceso a la informacin.
Telefona
2. Buzn para grabacin de mensajes de hasta 10 Mb.
3. Facilidad de candado electrnico en el telfono.
4. Privacidad de las llamadas entrantes y salientes para cada cliente.
5. Custodia y respaldo de las llamadas recibidas y efectuadas.

6. Recuperacin de la base de datos en caso de contingencias, en un plazo
mximo de 3 horas.
7. Proveer herramientas que faciliten la gestin de la telefona en cumplimiento
de la normativa de control interno vigente.

3. Hacer un uso racional de los servicios telefnicos.
4. Seguimiento para identificar niveles extremos de uso telefnico y para
gestionar la correccin de prcticas inapropiadas.
5. Limpiar frecuentemente los buzones de mensajes.
Centro de Llamadas
A efectos de facilitar la administracin de incidentes relacionados con tecnologas de
informacin, el proveedor pone a disposicin de sus clientes un sistema automatizado
para su registro y control, denominado Solicitud rden de Servicio (SOS) 24x7, la
posibilidad de solucin remota y la atencin en sitio en horario normal.
Los incidentes deben ser reportados en horario normal a la extensin telefnica
indicada por el proveedor o mediante registro en el SOS.
Suspensin de servicios
El proveedor no podr brindar los servicios incluidos en este SLA, cuando ste se
suspenda por razones de mantenimiento preventivo a servidores, red o bases de datos;
previamente acordado y comunicado a todos los funcionarios, o por mantenimiento
correctivo, producto de fallas fuera del control del proveedor, o por interrupcin del
servicio por proveedores externos como en el caso de telefona o acceso a servicios

externos va enlaces de comunicacin contratados a terceros, o por fallas de la
infraestructura tecnolgica nacional.
Disminucin de la calidad del servicio

La calidad del servicio se puede ver afectada si previa negociacin se decide
brindar un tiempo de respuesta mejorado para acceder a una solucin
tecnolgica para el registro, consulta o recibo de datos externos. Cuando los
servicios no se encuentren dentro de los parmetros establecidos, el Proveedor
trabajar en la solucin del problema e informar al Cliente sobre el avance. Si el
desempeo no mejora, se realizar una reunin conjunta, para discutir y resolver los
problemas que han ocasionado la disminucin del nivel de servicio y se elaborar
un informe completo para la administracin sobre los asuntos en referencia.
Evaluacin
Se llevar a cabo una reunin semestral cliente/proveedor para evaluar el servicio
prestado durante los seis meses y para considerar eventuales cambios a realizar sobre
el SLA con base al anlisis de eventos presentados.
Vigencia
Este Acuerdo de Servicios tiene una vigencia de un ao a partir de la firma de aceptacin
de las partes y se prorroga automticamente por perodos iguales, si ninguna de las
partes decide su finalizacin con un mes de anticipacin en das naturales.
Se firma este Acuerdo de Nivel de Servicios en San Jos, a las 11 horas del da xx del
mes de junio del 2009.
Miguel Aguilar Zamora
Gerente de Divisin
Jefe UTI
Gerente de Divisin
Anexo - NTP15
Marco Jurdico en Tecnologas

de Informacin
1. Introduccin
Como resultado de la recopilacin de leyes, normativa, pronunciamientos, contratos,
resoluciones y directrices; entre otras, y en cumplimiento a la norma Nro. 1.7 del
documento Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE) aprobadas mediante Resolucin del Despacho de
la Contralora General de la Republica, Nro. R-CO- 26-2007 del 7 de junio del 2007,
se elabora este Marco Jurdico a ser utilizado para la gestin y gobernabilidad de las
tecnologas de informacin y comunicacin (TIC`s) de la Contralora General de la
Repblica (CGR).
La referida
norma 1.7 ya citada, establece el cumplimiento de obligaciones
relacionadas con la gestin de TI; para el cual toda organizacin debe identificar y
velar por el cumplimiento del Marco Jurdico que tiene incidencia sobre la gestin de
las tecnologas de informacin, con el propsito de evitar posibles conflictos legales
que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
2. Antecedentes
La Contralora General de la Repblica, ha venido organizndose y tomando medidas
necesarias para implantar mecanismos y sistemas de informacin, que ayuden al
control y fiscalizacin de los recursos del Estado y que sirvan como herramientas
aplicables a los entes e instituciones de fiscalizacin. Es as, como en el ao 2008
se lleva a cabo una revisin integral del Manual General de Fiscalizacin Integral,
denominado MAGEFI, con el propsito de actualizar y mejorar este instrumento
normativo, con los siguientes objetivos:
a. Adecuar los procesos institucionales de conformidad con los cambios
normativos en el marco legal relacionados con el quehacer del rgano
contralor.
b. Ajustar dichos procesos a la luz de las nuevas ideas rectoras de la Contralora

General cuya revisin participativa implic cambios en la misin, visin y
valores institucionales.
c. Reforzar el enfoque de procesos interrelacionados en la gestin institucional
orientada al logro de la misin.
Subyace a la dinmica e integracin de procesos del MAGEFI, el concepto de cadena
de valor, el cual se refiere a un instrumento de gestin estratgica orientada a la
generacin de valor pblico.
Mediante el presente Marco Jurdico, aplicable a la gestin de las tecnologas de
informacin y comunicacin para la Contralora General de la Repblica, se pretende
reforzar y fortalecer el uso apropiado de las tecnologas de informacin. Lo anterior,
mediante una mayor regulacin a la informacin que produce la institucin , en
funcin de su aplicabilidad, proteccin de datos personales, resguardo del flujo de
datos, proteccin de licencias de uso de programas; as como la debida aplicacin de
las licencias de software adquiridas, polticas asociadas con proveedores de software
y deteccin gil en cuanto a regulaciones por delitos informticos fraudes u otras
acciones no legales, en los contratos relacionados con TICs , sus requerimientos de
garantas contractual y sus principales repercusiones, principalmente.
3. Objetivo
Elaborar el Marco Jurdico que contenga el compendio de leyes, pronunciamientos,
contratos y otros aplicables a las Tecnologas de Informacin, utilizadas por la
Contralora General de la Repblica, el cual estar incorporado en el sistema de
Expediente Electrnico de la CGR.
Dicho Marco Jurdico, estar conformado por las leyes, decretos, resoluciones,
contratos, procedimientos, directrices, estndares y prcticas relacionadas con la
identificacin,
revisin y toma de acciones correctivas continuas, en relacin con
las obligaciones legales, gubernamentales, tcnicas, contractuales, de seguridad y

sobre confidencialidad y sensibilidad de los datos en los procesos de transferencia
electrnica de datos interna y externa a la Contralora General.
4. Lineamientos generales con relacin a la ejecucin de contratos

4.1 La adquisicin de bienes y servicios se paga contra recibo a satisfaccin de la
Unidad de Tecnologas de Informacin, fecha a partir de la cual inicia el perodo de
garanta.
4.2 La factura del proveedor debe ser revisada por el administrador del contrato y por
la asistente presupuestaria para que con su visto bueno (VB) se autorice el pago por
parte de la jefatura como Unidad tcnica responsable.
4.3 En caso de incumplimientos contractuales por parte de la Contratista, y que no
obedezcan a fuerza mayor o caso fortuito debidamente documentado, la CGR se
reserva el derecho de resolver el contrato y de ejercer las medidas que correspondan
para resarcir los eventuales daos y perjuicios que se le pudieren haber ocasionado.
4.4 Las licencias contratadas son para utilizar nicamente en equipos de la CGR.
4.5 Para todos los efectos, el expediente de la contratacin, en especial el cartel, la
oferta y el acto de adjudicacin, forman parte integral del contrato.
4.6 Los horarios de servicio se establecen contractualmente de lunes a viernes entre
las 8 a.m. y las 5 p.m.
4.7 Los servicios de escalamiento se encuentran registrados en el Sistema automatizado
de Contingencias.
5. Documentos relacionados
Con el propsito de poner a disposicin de los funcionarios el Marco Jurdico que rige
el accionar institucional en tecnologas de informacin y comunicacin, a continuacin
registramos todas aquellas leyes y dems, a las que estamos supeditados y obligados.
5.1
Leyes
Constitucin Poltica de la Repblica de Costa Rica, de 7 de noviembre de

1949.
Ley No. 7494, Ley de Contratacin Administrativa, Gaceta 110, Alcance
90 de 8 de junio de 1995.
Ley No. 8292 Ley General de Control Interno, de 4 de setiembre del 2002.
Ley No. 8474, Ley de certificados, firmas y documentos electrnicos, LA
GACETA 197 DEL 13-10-2005.
Ley 8422 contra la corrupcin y el enriquecimiento ilcito en la funcin
pblica, Decreto No. 00000-J.
Ley de Derechos de autor y derechos conexos.
5.2 Lineamientos internos
Lineamientos para la atencin de denuncias planteadas ante la CGR.
Lineamientos para el uso de la pizarra electrnica.
Lineamientos para desarrollo de sitios Web.
5.3Reglamentos
Reglamento autnomo de servicio para la regulacin del correo electrnico
masivo o no deseado, La Gaceta N 151 Mircoles 4 de agosto del 2004
(RACSA).
Reglamento para la administracin de los bienes y derechos de propiedad
intelectual de la CGR, La gaceta No. 175 del 7 de setiembre del 2004.
Reglamento para la Utilizacin del Sistema de Compras Gubernamentales

CompraRed, La gaceta no. 204 del 24-10-2005, decreto 32717-h.
Reglamento a la Ley de Certificados, Firmas Digitales y Documentos
Electrnicos La Gaceta 77 Viernes 21 de abril del 2006 DECRETO 33018 Reforma al Reglamento a la Ley de Contratacin Administrativa, La Gaceta
93 Mircoles 16 de mayo del 2007DECRETO 33758-H.
Reglamento para la administracin de los bienes y derechos de propiedad
intelectual de la CGR, La Gaceta No. 175 Martes 7 de setiembre del
2004.
5.4 Decretos
Reforma al Decreto Ejecutivo Nmero 33411-H del 27 de Setiembre del
2006, Reglamento a la Ley de Contratacin Administrativa, La Gaceta N
88 Viernes 08 de mayo de 2009 Decreto N 35218-H DEL 30/04/2009.
Decreto No. 25038-H, Reglamento General de Contratacin Administrativa,
Gaceta 62 del 28 de marzo de 1992.
5.5 Normas
Normas Tcnicas para la gestin y el control de las Tecnologas de
Informacin, N-2-2007-CO-DFOE.
5.6 Estatutos
Estatuto Autnomo de Servicios, Resolucin No. 4-DHR-96.
5.7 Resoluciones
R-CO-44-2007, Contralora General de la Repblica, Actualizar los lmites
econmicos que establecen los incisos a) al j) de los artculos 27 y 84 de la
Ley de Contratacin Administrativa y sus reformas, La Gaceta No. 23
R-CO-62-2006. Modificar el inciso b) de las disposiciones transitorias de la

resolucin D-4-2005-CO-DDI, de las diez horas del 14 de diciembre del dos
mil cinco, publicada en La Gaceta nmero 243 del viernes 16 de diciembre
del 2005, mediante la cual se emitieron las Directrices para el registro,
la validacin y el uso de la informacin sobre la actividad contractual
desplegada por los entes y rganos sujetos al control y la fiscalizacin de la
contralora general de la repblica,
R-CO-62 Contralora General de la Repblica Directrices generales
a los sujetos pasivos de la Contralora General de la Repblica para el
adecuado registro o incorporacin y validacin de informacin en el
sistema de informacin sobre presupuestos pblicos (SIPP) D-2-2005-CODFOE. La Gaceta no. 131 del 7-07-2005 contralora general de la repblica
resoluciones
5.8 Directrices
R-CO-61-2007 Directrices sobre Seguridad y Utilizacin de Tecnologas de
Informacin y Comunicaciones
5.9 Contratos
En la actualidad, la administracin de contratos en TIC esta distribuida por reas
especializadas, esto con el fin de facilitar la gestin y comunicacin correspondiente
entre los proveedores y la Contralora General.
A continuacin se muestran los proveedores actuales y el tipo de servicio que brindan,
as como datos importantes relacionados con el contrato vigente.
5.9.1 Administracin de redes

AEC Electrnica, servicio de reemplazo avanzado de partes o equipo completo; todos
nuevos, en un plazo de 48 horas, as como el servicio de atencin de valor agregado
24x7 para los switches de backbone de la CGR y la actualizacin de versiones de
software para los equipos marca Extreme Networks, segn contrato No. 2008-000019,
2008-000018 y especificaciones en Anexo 1, por un ao.
AEC Electrnica, servicio de reemplazo para un switch Black Diamond modelo 6808
y servicio de soporte en lnea de atencin 48hr AHR, ambos por un ao. Resolucin
administrativa 1-2009 de ampliacin.
Siemens Enterprise Communications C.A.M. S.A., adquisicin, instalacin y puesta
en funcionamiento de una solucin inalmbrica en toda la institucin excepto los
pisos 9 y 11, con una garanta de funcionamiento de tres aos y con una capacidad
instalada de 108 Mbps por piso. El mximo de capacidad instalada que proveern
los Access Point es de300 Mbps en el modo especfico de operacin del estndar
802.11n-draft-2.0. Contrato No. 2008-000017 y Anexo 1.
5.9.2 Administracin de microcomputadores e impresoras
Central de Servicios, garanta de funcionamiento de tres aos por 11 Microcomputadores,
Contrato No. 2006-000004.

Componentes El Orbe, garanta de funcionamiento de tres aos por 13 Microcomputadores,
10 terminales para operar con software CITRIX y 11 monitores LCD, Contrato No.
2008-000006.
Componentes El Orbe, garanta de funcionamiento de tres aos por 3 Microcomputadores,
2 ordenadores PALM con dos aos de garanta y 2 Docking Station, Contrato No.
2007-000016.
I.S. Productos de Oficina Centroamrica S.A., adquisicin de 3 impresoras lser de red
Kyocera Mita modelo FS-2000D, 1 fax Kyocera KM-1116 MFP y una reproductora
digital marca Duplo modelo DP-S550, todos con tres aos de garanta. Contrato No.
2008-000008.
5.9.3 Administracin de Servidores
Control Electrnico S.A., Arreglo de discos (SAN) y Servidores con garanta de tres
aos. Contrato No. 2008-000018.
Control Electrnico S.A., Mantenimiento preventivo y correctivo de hardware y software;
incluyendo reemplazo de partes, por un ao y cinco meses y medio, en un servidor, en
un arreglo de discos (SAN) y en una unidad para generacin de respaldos. Contrato
No. 2009-000005.
Componentes El Orbe, garanta de funcionamiento por tres aos de 4 Servidores Server
Blade y 2 Docking Station. Contrato No. 2007-000019.
ComputerNet
Centroamericana S.A., software para respaldos automticos de 4
servidores con sistema operativo Solaris y 2 con sistema operativo Windows en UNIX
(Solaris), Oracle (Solaris) y Windows; incluye un ao de garanta y dos visitas al ao
para mantenimiento preventivo. Contrato No. 2007-000023.
5.9.4 Administracin de la Seguridad
Consulting Group Chami Centroamericana S.A., 501 Licencias de Antivirus y de
antispyware p/Windows y 5 Licencias p/Macintosh, contrato prorrogable por 4 aos
segn Pedido No. 20130, solicitud 280517, desde el 14 de diciembre del 2008 hasta
el 13 de diciembre del 2012.
SPC Internacional S.A., Servicios de Mantenimiento de los Smarnets para un firewall,
tres routers y dos detector de intrusos, con una duracin de un ao y cinco meses,
hasta el 15 de diciembre del 2010. Contrato No. 2009-000009.
SPC Internacional S.A., adquisicin de una solucin de Control y Filtro de Contenido
(Websense) y actualizaciones para el acceso a Internet de una poblacin de 500
usuarios y un ancho de banda de 8 Mbps por un plazo mximo de cuatro aos. La
no prrroga del contrato debe comunicarse con 90 das de anticipacin. Contrato No.
2008-0023 con vigencia a partir del 7 de diciembre del 2008.
5.9.5 Administracin de la Telefona
Continex S.A., adquisicin, instalacin y puesta en funcionamiento de una solucin
telefnica con mensajera unificada, contestador automtico, distribucin automtica
de llamadas, sistema de correo de voz, sistema bsico para envo y recepcin de fax
y respuesta de voz interactiva; incluye tres aos de garanta y dos visitas al ao para
mantenimiento preventivo. La Contratista garantiza el abastecimiento de repuestos y
reparacin de unidades durante un perodo de cinco aos. Contrato No. 2005-000020.
Continex S.A., adquisicin, Instalacin y configuracin de bienes para la Solucin

Telefnica, 63 transformer (IP) y administracin de OTM Billing, 8 licencias, 3 clientes
Soft Phone y 13 Headset; incluye tres aos de garanta. Contrato No. 2007-000003.
5.9.6 Administracin de Telecomunicaciones
Instituto Costarricense de Electricidad (ICE), marcacin directa a la extensin soportado
por un enlace PRI-RDSI, cuyo rango de numeracin es del 501-8000 al 501-8999 con
600 extensiones en operacin y 400 en reserva, asociado a nmero de identificacin
296-J015 y al equipo terminal marca Nortel. La comercializacin de tonos de invitacin
a marcar para accesar la red del pas es una prohibicin; entre otras, establecidas en
la clusula 8. Es un contrato permanente.
Radiogrfica Costarricense S.A. (RACSA), servicios de telecomunicaciones: 1 puerto de
Internet dedicado a 8 MB, 1 Frame Relay a 256 Kbps para conexin con el Ministerio
de Hacienda, 1 Frame Relay a 128 Kbps para conexin con la Asamblea Legislativa,
1 cuenta conmutada y los componentes para lograr la conectividad, por un mximo
de cuatro aos. De acuerdo con clusula Quinta, inciso i) la CGR no puede vender
ni proveer a terceros bajo ninguna circunstancia, servicios de telecomunicaciones,
especficamente transporte de voz, datos y facsmil. Contrato No. 2008-00022 y sus
dos Anexos.
Informtica Trejos S.A., adquisicin de un administrador de ancho de banda marca
Packeteer y su licencia PacketWise y sus actualizaciones para administracin de 10
Mbps, con una garanta de un ao. Contrato 2008-00013.
5.9.7 Acceder a informacin de Base de Datos

Sistemas Maestros de Informacin S.A., suscripcin de 20 usuarios para acceder a la
base de datos Master Lex Normas y Master Lex Jurisprudencia, su instalacin y sus
actualizaciones, con una duracin mxima de tres aos. Incluye frmula para reajuste
de precios y un Anexo con las caractersticas de los productos contratados. Contrato
2008-000003.
5.9.8 Administracin de Base de Datos
Oracle de Centroamrica S.A., servicio de Soporte Tcnico y actualizacin de productos
indicados en la clusula stima, las cuales se brindan conforme a las polticas de
servicios de soporte de Oracle Corporation segn Anexo 1, con una duracin de tres
aos. Aplican para los productos incluidos en este contrato las leyes y reglamentos
de exportacin de los Estados Unidos de Amrica (USA). Contrato No. 2008-000009.
6. Conclusiones
Como es posible apreciar, la cantidad de normativa que aplica a la gestin contractual
se convierte en un riesgo alto para la ejecucin, control y seguimiento, en el tanto no
se tenga claro y documentado cules son las normas que aplican a dicha gestin.
Es por ello que se convierte en un factor clave de xito para nuestra gestin contractual,
el repasar constantemente este Marco Jurdico y el mantenerlo actualizado de acuerdo
con la normativa o documentos relacionados, as como con base a la generacin de
nuevos documentos aplicables a las tecnologas de informacin y comunicacin.
Finalmente, se considera que la incorporacin de este Marco Jurdico dentro del
sistema de Expediente Electrnico, permitir una mejor observancia del mismo y
por ende, minimizar los riesgos asociados al seguimiento normativo en la gestin
contractual institucional.
Anexo - NTP16
Informe de gestin 2009-01

Normas Tcnicas para la gestin y el control de las Tecnologas
de Informacin
Resolucin Nro. R-CO-26-2007, La Gaceta Nro. 119, 21/06/2007
Informe de seguimiento 2009-01
Introduccin
Basados en el cronograma de actividades elaborado para cumplir con la implementacin
de las normas tcnicas de acuerdo con la resolucin Nro. R-CO-26-2007 emitida
por el Despacho de la Contralora General, en La Gaceta Nro. 199 del 21/06/2007,
a continuacin se incluye una descripcin corta de lo realizado al 30 de mayo del
2009, un anexo sobre el cumplimiento de cada una de las normas, y un CD con los
productos elaborados a la fecha para su consideracin y recomendaciones.
Actividades ejecutadas
1. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la
elaboracin del plan que permita el cumplimiento de las Normas Tcnicas.
El grupo lo coordina la Sra. Sub Contralora General, Lic. Marta Acosta, y lo
integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos Alpzar,
y Miguel Aguilar, en representacin de las diferentes unidades.
2. Como responsable de la implementacin se design a la Unidad de Sistemas
y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien
coordina reuniones peridicas con los especialistas de las diferentes reas
de la USTI, para seguimiento del plan de ejecucin; contando para ello con
la asesora de Jos Alpzar.
3. Se mantiene en funcionamiento el Comit Gerencial de Tecnologas de
Informacin y Comunicacin (CGTIC), el cual est presidido por la Sub
Contralora General.
4. Se elabor un diagnstico de la situacin al 30 de diciembre de 2007,

el cual incluye las acciones y productos esperados para el cumplimiento
de la normativa y para cerrar la brecha existente, as como el respectivo
cronograma. Ambos documentos fueron validados por el CGTIC.
5. Como parte de la promulgacin y divulgacin de un marco estratgico,
se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan
Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre
el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico
Institucional.
6. Se aprobaron y actualizaron en el CGTIC las prioridades y los proyectos a
desarrollar, de acuerdo con la cartera incluida en el PTAC. Se crearon los
equipos de trabajo con sus respectivos lderes, y se les capacit en el uso
de herramientas para elaboracin y seguimiento de proyectos; inicialmente,
y posteriormente en la elaboracin de casos de uso para levantado de
requerimientos y de casos de prueba.
7. Se identificaron y definieron los riesgos generales en TI, se elabor un
manual de riesgos para la gestin y valoracin trimestral, y se capacitaron
dos funcionarios de USTI en SEVRI. Se est a la espera del estndar
institucional a generar por parte de la Divisin de Estrategia Institucional
(DEI), para integrar estos riesgos de T.I. con los definidos a nivel de la
institucin. Se realiz la primera revisin del documento original con fines
de actualizarlo y de seleccin de los riesgos ms relevantes a incorporar en
la Gua Metodolgica para desarrollo de proyectos de TI.
8. A efectos de generar productos de calidad, se elabor un documento
para la Gestin de Calidad sobre el desarrollo y evolucin de soluciones
tecnolgicas, el cual se comenzar a aplicar a partir de su validacin por el
CGTIC.
9. Se desarroll y est operando un sistema de informacin para facilitar el
registro de solicitudes por servicios relacionados con TI, en aras de mejora
continua y control de calidad en TICs.
10. Los proyectos de TI siguen siendo fortalecidos por una participacin

cada vez ms comprometida de los patrocinadores, evidente al asumir
y mantener la direccin del proyecto y en el aporte de recurso humano
calificado. Buscando la estandarizacin en cada equipo, se les brind la
induccin necesaria para que apliquen la Gua Metodolgica para desarrollo
de proyectos, capacitacin en el uso de la herramienta de software para
administracin de proyectos y para la elaboracin de casos de uso en el
levantado de requerimientos y desarrollo de pruebas.
11. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en
la USTI una revisin de sta, recopilando una serie de mejoras propuestas
por el mismo personal que desarrolla aplicaciones. Dichas propuestas
sern revisadas para definir su posible incorporacin al nuevo documento
de metodologa, que deber estar integrado con la actual metodologa de
desarrollo de proyectos al 30 de junio del 2009.
12. Basndonos en la norma ISO-27001, se elabor un Marco de Seguridad
en Tecnologas de Informacin a divulgar en la CGR durante el mes de
junio del 2009, el cual incluye las Directrices de Seguridad aprobadas y en
ejecucin por la CGR. Para efectos de divulgacin; entre otros, se coordin
con RH para que como parte de la induccin se incluya lo correspondiente
a seguridad en TI.
13. Sobre planificacin de la capacidad en TICs, se trabaja en la elaboracin
de un manual; que debe ser evolucionado con base a la experiencia que
se genere, el cual estar terminado al 15 de junio del 2009. Este incluir
las unidades de medida, mtricas e indicadores bsicos que sustenten las
decisiones orientadas hacia la optimizacin y evolucin de la plataforma
tecnolgica.
14. Los compromisos de gestin y la elaboracin del PAO se confeccionan
alineados a los objetivos estratgicos de la CGR y a la gestin estratgica
de TI.
15. Se concluy el desarrollo del modelo de la Arquitectura de Informacin,

basndose en la metodologa del Bussines System Planning. El modelo
incorpora el nivel base y se continuar con su desarrollo en paralelo a la
elaboracin de los procedimientos del MAGEFI. Previamente se gener un
diagnstico para dirigir y orientar el desarrollo.
16. Como parte de los proyectos de Maestra, se est desarrollando un Marco
Jurdico relacionado con TICs para su aplicacin en la CGR.
17. Est concluida la recopilacin de informacin para obtener el DNC
relacionado con TI y su procesamiento estar concluido para el 15 de junio
del 2009.
18. En coordinacin con la Unidad de Recursos Humanos se insertaron las
competencias tecnolgicas en los distintos puestos de la CGR.
19. En relacin con las directrices de seguridad fsica y ambiental se ha
fortalecido el soporte elctrico mediante la instalacin de un transformador
exclusivo para el manejo de los aires acondicionados y por la adquisicin
e implementacin de una unidad de poder ininterrumpido (UPS) para
continuidad de los servicios tecnolgicos. Se instalaron sensores de humo,
de temperatura y de incendio, alarmas y alertas por fallas relacionadas con
el ambiente, cmaras para el registro de accesos a las reas restringidas
y control de acceso, y una unidad de aire acondicionado adicional. En
conjunto con la Unidad de Servicios Generales, para finales de abril se
espera contar con un mapeo elctrico del Centro de Cmputo que permita
distribuir adecuadamente las cargas elctricas en caso de ser necesario.
20. El presupuesto de inversiones del 2010 se elabor con base al PTAC.
Al 30 de mayo del 2009 se considera que la implementacin de las normas tcnicas
avanza satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento
de las mismas en la fecha establecida.
Anexo - NTP17
Estado de las normas tcnicas

20090730
Cumplido
Pendiente
Cumplido
Elaboracin de riesgos en TIC
Marco de seguridad integral

documentado
Plan de divulgacin
Niveles de criticidad de los recursos
de TI
1.4 Gestin de la seguridad de

la informacin
1.4.1 Implementacin de la
seguridad de la informacin
Cumplido
Directrices de seguridad fsica y

ambiental
Directrices de seguridad en la
operacin y comunicacin
1.4.4 Seguridad en la operacin

y comunicacin
Cumplido
Cumplido
Divulgacin y aplicacin del manual

de directrices de seguridad
1.4.2 Compromiso del personal

con la seguridad de la
informacin
1.4.3 Seguridad fsica y
ambiental
Cumplido
Cumplido
Manual de gestin de la calidad

sobre las reas de accin de TI
Estado actual
Cumplido
Producto segn Diagnstico inicial

Plan de divulgacin campo de accin
E, PETIC, PTAC
Norma
Se realiz y document un Mapeo Elctrico por la Unidad de Gestin

de Apoyo, incluyendo acciones a realizar. Esta UGA debe mantener
actualizado el documento. Se tienen sistemas de alarma, de
supresin de incendio, detectores de humo y de vdeo vigilancia.
Se incorporaron certificados digitales en los servicios sensitivos
de acceso al pblico; como declaraciones juradas, acorde con la
autenticidad, integridad y confidencialidad de las transacciones que
requiere la CGR y se documentaron los procedimientos relacionados.
Ver sistema de contingencias en la Intranet.
El campo de accin E fue eliminado.

Se elabor el Marco general para la Gestin de la Calidad en
Tecnologas de Informacin y Comunicaciones, el cual debe ser
implementado a partir del segundo semestre del 2009.
Se elabor el manual que denominado Evaluacin de Riesgos en
Tecnologas de informacin y se actualiz al 30 de mayo del 2009.
Sus principales riesgos forman parte de la Gua para desarrollo de
proyectos en TI y son evaluados para cada proyecto de TI.
Se elabor el Marco de seguridad en Tecnologas de Informacin,
del cual se debe generar el informe de brechas respecto al estado
actual, a efectos de establecer las acciones que estaran cerrando la
brecha.
Se programar para realizarlo en el segundo semestre del 2009.
Se estn registrando en el sistema de contingencias. El sistema se
encuentra en produccin desde el primero de julio y en actualizacin
constante. . La versin definitiva se libera el 1 de julio. ?? Tenemos
hasta junio?? El 30
Se complementar con la divulgacin del marco de seguridad.
Observaciones
La divulgacin de los planes se realiz por medio de charlas al nivel
gerencial e institucional y su publicacin en la Intranet.
1. Descripcin del Estado de las Normas al 30 de julio del 2009
Comit de Salud Ocupacional

operando
Gua metodolgica para la gestin de
proyectos de TI
1.4.11 La salud y seguridad

ocupacional
Cumplido
Cumplido
Cumplido
Administracin de contratos
1.4.10 La terminacin normal

de contratos, su rescisin o
resolucin
Para efectos de acceso a la informacin por parte de terceros, se

requiere de convenios o contratos previamente establecidos, o de la
solicitud del jerarca de una institucin, para la asignacin de un rol
que le facilite la consulta controlada, igual en contrato de servicios
mediante clusulas de confidencialidad.
Se realiza por medio del Sistema Integrado de Gestin y Documentos
(SIGYD). Los documentos se clasifican por tipos documentales y
estn disponibles de acuerdo con la tabla de plazos autorizada por
el Archivo Nacional. Para TI aplica el estndar establecido en la
Metodologa para desarrollo de Proyectos de TI.
La UTI mantiene como poltica la administracin de contratos
relacionados con TI, a travs de los coordinadores; segn
especialidad y afinidad, con el objetivo de un control peridico y
directo sobre la ejecucin, su continuidad, rescisin o la resolucin
del mismo.
La CGR cuenta con un Comit de Salud Ocupacional que se ocupa
permanentemente de este tema y con el cual se ha coordinado la
ergonoma de los puestos de trabajo y su entorno.
Metodologa para el desarrollo de
Proyectos de Tecnologa Informacin y Comunicaciones. Actualmente
en uso para todos los proyectos de TI. Se mantiene en ejecucin
la cartera de proyectos aprobada por el Despacho de las seoras
Contraloras y que se encuentra incorporado en el PTAC.
Cumplido
Cumplido
Se implement el sistema de contingencias a partir del 1 de julio
Mediante un sistema de asignacin de roles y privilegios en uso, no

slo se controla el acceso lgico a la informacin, sino que tambin
se facilita el seguimiento de las operaciones realizadas por los
usuarios de los sistemas de informacin operando. Fsicamente
se complementa con los controles de acceso establecidos en
coordinacin con la UGA.
La UTI cuenta con un ambiente controlado e independiente,
destinado a la ejecucin de desarrollo de aplicaciones que aseguren
la no interferencia con las operaciones diarias y que garanticen el
cumplimiento de los requerimientos de usuario, un ambiente para
efectos de pruebas de usuario y capacitacin, as como obviamente
el ambiente para sistemas operando.
Cumplido
Administracin de documentos
Plan de continuidad
Plan de contingencia actualizado
para garantizar la continuidad de los
servicios de TI
Control de acceso a la informacin por
parte de proveedores de servicios y de
terceros.
Cumplido
Cumplido
1.4.9 El manejo de la
documentacin
1.4.8 El acceso a la informacin

por parte de terceros y la
contratacin de servicios
prestados por stos.
1.4.7 Continuidad de los

servicios de TI
Directrices de seguridad en la
implementacin y mantenimiento de
software e infraestructura tecnolgica.
1.4.6 Seguridad en
la implementacin y
mantenimiento de software e
Gua metodolgica para el desarrollo
de proyectos.
Directrices de seguridad del control

de acceso
1.4.5 Control de acceso
Cumplido
Cumplido
Estructura orgnica actualizada

acorde con PETIC
Programa de actualizacin,
informacin a usuarios
Cumplido
Plan de capacidad
2.4 Independencia y recurso

humano de la funcin de TI
Cumplido
Infraestructura tecnolgica alineada

a PETIC
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Cumplido
Modelo de arquitectura de informacin

nivel 1.
Compromisos de gestin y PAO

alineado al PETIC y PTAC
Seguimiento oportuno a contratos de

TI.
Seguimiento al PETIC y PTAC
Funcionamiento efectivo del

Comit Gerencial de Tecnologas de
Informacin y Comunicacin
Marco jurdico con incidencia en TI
disponible, actualizado y aplicado.
2.2 Modelo de arquitectura de

informacin
2.1 Planificacin de las

tecnologas de informacin
1.7 Cumplimiento de
obligaciones relacionadas con la
gestin de TI
1.6 Decisiones sobre asuntos

estratgicos de TI
El PETIC garantiza una visin institucional y promueve la

independencia funcional en el desarrollo de soluciones tecnolgicas.
Actualmente la UTI depende de la Divisin de Gestin de Apoyo y
su independencia funcional se ve fortalecida por medio de una
participacin directa del Despacho en distintas comisiones ad hoc
enfocadas a la funcin de TI en la Institucin, por la existencia de
una cartera de proyectos a desarrollar y la existencia del CGTIC
Se elabor un estudio para la elaboracin del Plan de Educacin
continua en tecnologas de informacin y comunicacin.
El comit gerencial atiende convocatorias a reuniones, segn sea

necesario. Adems, cuenta con un comit Ad hoc para anlisis
preliminar de las propuestas de soluciones tecnolgicas.
Se elabor un Marco Jurdico bsico- de aplicacin en la CGR,
el cual es de actualizacin permanente en trminos de leyes,
normativa, resoluciones y contratos, entre otros, con el propsito de
evitar posibles conflictos legales que lleguen a ocasionar eventuales
perjuicios econmicos y de otra naturaleza a la institucin. Se
actualizar con un proyecto de maestra del ITEC y se someter a
revisin a la DCA.
Existe una gestin prctica por rea de la administracin de los
contratos en UTI.
Seguimiento de proyectos constante a travs de reuniones peridicas
con los lderes de proyectos.
Proyectos del PTAC fungen como compromisos de gestin de cada
rea.
Se ha respetado el mecanismo de inclusin de proyectos definido en
el PTAC.
Los siguientes niveles del modelo de informacin, dependen del
desarrollo de la siguiente fase del MAGEFI en lo que respecta a
procedimientos, de donde se deben generar los insumos necesarios
para los siguientes niveles y para la elaboracin del diccionario de
datos.
La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratgico en TI definido en el
PETIC.
Se elabor el Manual Plan de la Capacidad en TI, que le permitir a
la UTI mejorar la actualizacin de su infraestructura tecnolgica a
partir del segundo semestre del 2009.
Cumplido
Cumplido
Software en uso de acuerdo con las

necesidades de la institucin
Aplicacin de la gua metodolgica
para el desarrollo de sistemas
Infraestructura tecnolgica alineada
al PETIC
4.2 Administracin y operacin

de la plataforma tecnolgica.
3.4 Contratacin de terceros

para la implementacin y
mantenimiento de software e
infraestructura
4.1 Definicin y administracin
de acuerdos de servicios
Polticas y procedimientos revisados y

actualizados
Pendiente
Identificacin completa y registrada

y seguimiento de los servicios de la
funcin de TI
Diagnstico anual de capacidad,
mantenimiento y evolucin de la
plataforma tecnolgica
Cumplido
Cumplido
Cumplido
Servicios contratados a terceros con

base en estndares institucionales
Cumplido
Cumplido
Metodologa para desarrollo

de proyectos de TI aplicada
institucionalmente
3.1 Consideraciones generales

de la implementacin de TI. La
organizacin debe implementar
y mantener las TI requeridas
en concordancia con su marco
estratgico, planificacin,
modelo de arquitectura de
informacin e infraestructura
tecnolgica.
3.3 Implementacin de
Cumplido
Presupuesto de inversiones con base

en el PTAC
2.5 Administracin de recursos

financieros
En el Sistema de Contingencias, disponible en la Intranet, se

encuentran registrados 221 procedimientos asociados con la
operacin de la plataforma y los responsables por recurso tecnolgico.
De acuerdo con los requerimientos de usuario se asegura la validez
de las transacciones mediante funciones tecnolgicas integradas a
la base de datos; su integridad, almacenamiento y su vigencia.
Se definieron los acuerdos de nivel de servicio a firmar con los

Gerentes de Divisin, est pendiente la revisin y firma para su
aplicacin y administracin.
Se elabor el Manual Plan de la Capacidad en TI para implementar
en el segundo semestre del 2009.
El software que se desarrolla e implementa es con base al PTAC

al plan de compras derivado del PETIC, ambos aprobados por el
Despacho de las seoras Contraloras.
Para todos los proyectos de TI se aplica a nivel institucional la
Metodologa para desarrollo de proyectos.
La CGR cuenta con una infraestructura tecnolgica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
Aplica todo lo relacionado a metodologas, guas, procedimientos,
organizacin, controles y ambientes de trabajo, entre otros.
Las TI se implementan con base a PETIC y PTAC.
Se cuenta con un modelo de Arquitectura de Informacin en su nivel

inicial.
El presupuesto de inversiones de la UTI y sus modificaciones,

se deriva del PTAC y es aprobado por el Despacho con base en
las recomendaciones que emita el CGTIC y el comit ad hoc de
seguimiento al PETIC-PTAC.
La cartera de proyectos de TI se desarrolla e implementa con base a
esta metodologa y es aplicada por los Patrocinadores y el equipo de
trabajo en su totalidad.
Pendiente
Sistema de conocimiento efectivo que

genere aprendizaje y autoservicio
Resolver y documentar los incidentes
en funcin de la mejora continua
5.3 Participacin de la Auditora
Auditora interna auditando,

asesorando y recomendando mejoras
en materia de TI.
Cumplido
Cumplido
Cumplido
Compromisos de gestin y PAO

alineados
Diseo e implementacin de medidas
de control interno en TI, integradas
al SCI
5.2 Seguimiento y evaluacin del

control interno en TI
Cumplido
Evaluacin peridica del PETIC, PTAC
5.1 Seguimiento de los procesos

de TI
Cumplido
Servicios contratados a terceros con

base en estndares internacionales
Cumplido
Cumplido
Centro de atencin a usuarios

centralizado.
4.6 Administracin de servicios

prestados por terceros
4.4 Atencin de requerimientos

de los usuarios de TI
Esta es una labor que se mantiene muy bien ejecutada por la

Auditora Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno.
La UTI debe rendir cuentas sobre la gestin con base al PTAC y al

PAO, adems de que todos los funcionarios de la institucin se
convierten en controladores de la buena operacin de la tecnologa en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento
trimestral al cumplimiento del PTAC.
Se relaciona con la norma 2.1
Todo tipo de situacin especial es analizada por funcionarios de la

UTI en aras de lograr la mejor solucin y tratndose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar
el riesgo de recurrencia y para agilizar el tiempo de respuesta en
caso de que se materialice de nuevo.
En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en clusulas
especficas o anexos del mismo, aplicando buenas prcticas.
La organizacin cuenta con un marco de referencia que es el Plan
Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Informacin, el Manual General de Fiscalizacin
(MAGEFI) como un marco de procesos, la Auditora Interna como
un elemento de advertencia y asesora y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la funcin de TI;
adems del CGTIC y la comisin Ad hoc.
Se recomienda evolucionar a la implementacin de un centro de

atencin de usuarios tipo call center.
Se realiz un estudio para desarrollar un Plan de Educacin en TI.
La UTI tiene implementado un sistema de control de cambios que

facilita al usuario la solicitud de ajustes o de incorporacin de nuevas
funcionalidades a los sistemas que estn operando en la Institucin y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en lnea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitacin dirigida.

Tecnicas y Comunu

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tecnicas y Comunu

Cargado por

Copyright:

Formatos disponibles

Contralora General de la Repblica

Divisin de Gestin de Apoyo

Informe final Versin 1.0.0

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3

4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 5

El equipo de trabajo est coordinado por la seora Subcontralora.

Normas de Aplicacin General

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 9

10 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

1.2 Gestin de la calidad

Se elabor un manual para la gestin y aseguramiento de la

calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 11

1.3 Gestin de riesgos

valoracin de riesgos institucional, generando un manual de riesgos y

1.4 Gestin de la seguridad de la informacin

12 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

1.4.2 El compromiso del personal con la seguridad de la informacin.

Mediante un sistema de asignacin

de roles y privilegios en uso, no slo se controla el acceso lgico a

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 13

operaciones realizadas por los usuarios de los sistemas de informacin

14 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

asignacin de un rol que le facilite la consulta controlada. De igual

1.5 Gestin de proyectos

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 15

1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se

1.6 Decisiones sobre asuntos estratgicos de TI

16 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

requerimientos de las unidades y que estn relacionados con TI, para

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 19

Captulo II Planificacin y organizacin

20 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

2.2 Modelo de arquitectura de informacin

2.3 Infraestructura tecnolgica

y actualizada a las necesidades sustantivas y de apoyo,

producto de un direccionamiento estratgico en TI definido en el PETIC.

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 21

2.4 Independencia y recurso humano de la Funcin de TI

motivado y actualizado de acuerdo con el plan de

22 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

2.5 Administracin de recursos financieros

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 25

Captulo III Implementacin de tecnologas de informacin

26 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

activamente y con responsabilidades en el desarrollo e implementacin

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 27

g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los

conocimiento y la capacidad del personal de UTI nos permite

seleccionar objetivamente la solucin tecnolgica ms adecuada para

28 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

3.2 Implementacin de software

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 29

con el Visto Bueno del patrocinador en todas sus fases y la asistencia

30 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

3.3 Implementacin de Infraestructura tecnolgica

y actualizada a las necesidades sustantivas y de apoyo,

producto de un direccionamiento estratgico en TI definido en el PETIC.

3.4 Contratacin de terceros para la implementacin y mantenimiento

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 31