Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tecnologias de Inf
Tecnologias de Inf
Manual Administrativo de
Aplicacin General en
Materia de Tecnologas
de la Informacin y
Comunicaciones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1. NDICE
1
2
3
4
4.1
4.2
5
6
7
7.1
7.1.1
7.1.1.1
7.1.1.2
7.1.1.2.1
7.1.1.2.2
7.1.1.2.3
7.1.1.2.4
7.1.1.3
7.1.1.4
7.1.1.5
7.1.2
7.1.2.1
7.1.2.2
7.1.2.2.1
7.1.2.2.2
7.1.2.2.3
7.1.2.2.4
7.1.2.3
7.1.2.4
7.1.2.5
7.1.3
7.1.3.1
7.1.3.2
7.1.3.2.1
7.1.3.2.2
7.1.3.2.3
7.1.3.2.4
7.1.3.3
7.1.3.4
7.1.3.5
7.2.
7.2.1.
7.2.1.1
7.2.1.3
7.2.1.3.1
7.2.1.3.2
7.2.1.3.3
7.2.1.3.4
NDICE
DEFINICIONES Y TRMINOS
INTRODUCCIN
OBJETIVOS
General
Especficos
MBITO DE APLICACIN/ALCANCE
MARCO JURDICO
PROCESOS EN MATERIA DE TIC
DIRECCIN
Establecimiento de la estructura de gobierno de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Planeacin estratgica de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Determinacin de la direccin tecnolgica
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
CONTROL
Administracin del desempeo de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
2
9
21
22
22
22
22
23
24
26
26
26
27
27
29
31
31
32
33
33
34
34
35
35
37
41
42
43
43
44
45
45
46
46
48
52
52
53
53
54
55
55
55
56
56
58
62
62
Pg. 2 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.1.3
7.2.1.4
7.2.1.5
7.2.2.
7.2.2.1
7.2.2.2
7.2.2.2.1
7.2.2.2.2
7.2.2.2.3
7.2.2.2.4
7.2.2.3
7.2.2.4
7.2.2.5
7.2.3
7.2.3.1
7.2.3.2
7.2.3.2.1
7.2.3.2.2
7.2.3.2.3
7.2.3.2.4
7.2.3.3
7.2.3.4
7.2.3.5
7.3
7.3.1
7.3.1.1
7.3.1.2
7.3.1.2.1
7.3.1.2.2
7.3.1.2.3
7.3.1.2.4
7.3.1.3
7.3.1.4
7.3.1.5
7.3.2.
7.3.2.1
7.3.2.2
7.3.2.2.1
7.3.2.2.2
7.3.2.2.3
7.3.2.2.4
7.3.2.3
7.3.2.4
7.3.2.5
7.4
7.4.1.
7.4.1.1
7.4.1.2
7.4.1.2.1
7.4.1.2.2
7.4.1.2.2
7.4.1.2.4
7.4.1.3
7.4.1.4
7.4.1.5
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Cumplimiento regulatorio
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Administracin de riesgos de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
ADMINISTRACIN DE PROYECTOS
Administracin de portafolio de proyectos de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Administracin de proyectos de TIC
Objetivo general del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
ADMINISTRACIN DE PROCESOS
Operacin del sistema de gestin y mejora de procesos de la UTIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
63
63
63
64
64
65
65
67
69
70
71
71
72
73
73
74
74
76
79
80
81
82
82
83
83
83
84
84
86
92
92
94
94
95
96
96
97
97
99
104
105
108
109
109
110
110
110
111
111
113
119
119
123
123
124
Pg. 3 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.
7.5.1.
7.5.1.1.
7.5.1.2.
7.5.1.2.1
7.5.1.2.2
7.5.1.2.3
7.5.1.2.4
7.5.1.3.
7.5.1.4.
7.5.1.5
7.5.2
7.5.2.1
7.5.2.2.
7.5.2.2.1
7.5.2.2.2
7.5.2.2.3
7.5.2.2.4
7.5.2.3
7.5.2.4
7.5.2.5
7.5.3
7.5.3.1
7.5.3.2.
7.5.3.2.1
7.5.3.2.2
7.5.3.2.3
7.5.3.2.4
7.5.3.3
7.5.3.4
7.5.3.5
7.6
7.6.1
7.6.1.1
7.6.1.2
7.6.1.2.1
7.6.1.2.2
7.6.1.2.3
7.6.1.2.4
7.6.1.3
7.6.1.4
7.6.1.5
7.6.2
7.6.2.1
7.6.2.2.
7.6.2.2.1
7.6.2.2.2
7.6.2.2.3
7.6.2.2.4
7.6.2.3
7.6.2.4
7.6.2.5
7.7
7.7.1
7.7.1.1
ADMINISTRACIN DE RECURSOS
Administracin financiera de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte del proceso
Administracin de proveedores
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Adquisiciones de TIC
Objetivo del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
ADMINISTRACIN DE SERVICIOS
Administracin de portafolio de servicios de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Diseo de servicios de TIC
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
DESARROLLO Y ADQUISICIN DE SOLUCIONES
Administracin tcnica de adquisiciones
Objetivo general del proceso
125
125
125
126
126
128
132
132
133
134
135
136
136
137
137
139
141
141
143
143
144
145
145
146
146
148
150
150
151
152
152
153
153
153
154
154
156
159
159
161
161
162
163
163
164
164
166
172
172
174
175
175
176
176
176
Pg. 4 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.1.2
7.7.1.2.1
7.7.1.2.2
7.7.1.2.3
7.7.1.2.4
7.7.1.3
7.7.1.4
7.7.1.5
7.7.2
7.7.2.1
7.7.2.2
7.7.2.2.1
7.7.2.2.2
7.7.2.2.3
7.7.2.2.4
7.7.2.3
7.7.2.4
7.7.2.5
7.7.3
7.7.3.1
7.7.3.2
7.7.3.2.1
7.7.3.2.2
7.7.3.2.3
7.7.3.2.4
7.7.3.3
7.7.3.4
7.7.3.5
7.8
7.8.1
7.8.1.1
7.8.1.2
7.8.1.2.1
7.8.1.2.2
7.8.1.2.3
7.8.1.2.4
7.8.1.3
7.8.1.4
7.8.1.5
7.8.2
7.8.2.1
7.8.2.2
7.8.2.2.1
7.8.2.2.2
7.8.2.2.3
7.8.2.2.4
7.8.2.3
7.8.2.4
7.8.2.5
7.8.3
7.8.3.1
7.8.3.2
7.8.3.2.1
7.8.3.2.2
7.8.3.2.3
177
177
179
181
182
184
184
186
187
187
188
188
191
199
200
203
204
207
208
208
209
209
211
216
217
217
218
219
220
220
220
221
221
223
227
228
230
230
231
232
232
233
233
235
238
239
240
240
241
242
242
243
243
245
247
Pg. 5 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.3.2.4
7.8.3.3
7.8.3.4
7.8.3.5
7.8.4
7.8.4.1
7.8.4.2.
7.8.4.2.1
7.8.4.2.2
7.8.4.2.3
7.8.4.2.4
7.8.4.3
7.8.4.4
7.8.4.5
7.9.
7.9.1
7.9.1.1
7.9.1.2
7.9.1.2.1
7.9.1.2.2
7.9.1.2.3
7.9.1.2.4
7.9.1.3
7.9.1.4
7.9.1.5
7.9.2
7.9.2.1
7.9.2.2
7.9.2.2.1
7.9.2.2.2
7.9.2.2.3
7.9.2.2.4
7.9.2.3
7.9.2.4
7.9.2.5
7.9.3.
7.9.3.1.
7.9.3.2.
7.9.3.2.1
7.9.3.2.2
7.9.3.2.3
7.9.3.2.4
7.9.3.3
7.9.3.4
7.9.3.5
7.9.4
7.9.4.1
7.9.4.2
7.9.4.2.1
7.9.4.2.2
7.9.4.2.3
7.9.4.2.4
7.9.4.3
7.9.4.4
7.9.4.5
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin de la configuracin
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
OPERACIN DE SERVICIOS
Operacin de la mesa de servicios
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin de servicios de terceros
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin de niveles de servicio
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin de la seguridad de la informacin
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
247
247
248
248
249
249
250
250
252
256
257
258
258
259
260
260
260
261
261
265
269
270
272
273
274
275
275
276
276
278
280
281
282
283
284
285
285
286
286
288
289
290
291
292
292
293
293
294
294
296
297
297
301
301
310
Pg. 6 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10
7.10.1
7.10.1.1
7.10.1.2
7.10.1.2.1
7.10.1.2.2
7.10.1.2.3
7.10.1.2.4
7.10.1.3
7.10.1.4
7.10.1.5
7.10.2
7.10.2.1
7.10.2.2
7.10.2.2.1
7.10.2.2.2
7.10.2.2.3
7.10.2.2.4
7.10.2.3
7.10.2.4
7.10.2.5
7.10.3
7.10.3.1.
7.10.3.2.
7.10.3.2.1
7.10.3.2.2
7.10.3.2.3
7.10.3.2.5.
7.10.3.3
7.10.3.4
7.10.3.5
7.11
7.11.1
7.11.1.1
7.11.1.2
7.11.1.2.1
7.11.1.2.2
7.11.1.2.3
7.11.1.2.4
7.11.1.3
7.11.1.4
7.11.1.5
7.11.2
7.11.2.1
7.11.2.2
7.11.2.2.1
7.11.2.2.2
7.11.2.2.3
7.11.2.2.4
7.11.2.3
7.11.2.4
7.11.2.5
7.11.3.
7.11.3.1.
7.11.3.2.
ADMINISTRACIN DE ACTIVOS
Administracin de dominios tecnolgicos
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin del conocimiento
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Integracin y desarrollo del personal
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
OPERACIONES
Administracin de la operacin
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Administracin de ambiente fsico
Objetivos del proceso
Descripcin del proceso
Mapa general del proceso
Descripcin de las actividades del proceso
Descripcin de roles
Descripcin de productos
Indicadores
Reglas del proceso
Documentacin soporte al proceso
Mantenimiento de infraestructura
Objetivos del proceso
Descripcin del proceso
311
311
311
312
312
314
316
316
317
318
319
320
320
321
321
323
326
326
327
327
328
329
392
330
330
332
336
336
337
338
338
339
339
339
340
340
342
344
344
345
346
346
347
347
348
348
350
353
353
353
354
355
356
356
357
Pg. 7 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.3.2.2.
7.11.3.2.3.
7.11.3.2.4.
7.11.3.2.5.
7.11.3.3
7.11.3.4
7.11.3.5
8
9
10
11
357
359
361
361
362
363
363
364
365
372
372
Pg. 8 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
2. DEFINICIONES Y TRMINOS
CONCEPTO
DEFINICIN / SIGNIFICADO
Activo de TIC:
Acuse de recibo
electrnico:
Adquisicin de TIC:
Alineacin:
Ambiente de trabajo:
Amenaza:
Anlisis de riesgos:
Antivirus:
rea administrativa:
Auditora de seguridad de
la informacin:
Autenticacin:
Autenticidad:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Bases de datos:
Carta de aceptacin de un
producto:
Certificado Digital:
Cifrar o cifrado:
Clave privada:
Clave pblica:
Grupo de Seguridad de la
Informacin:
Confidencialidad:
Contrasea:
Serie de caracteres generada por el usuario, que lo identifica y que junto con la
clave de acceso, sirve para acceder a los sistemas electrnicos;
Contrato:
Acuerdo vinculante para las partes en virtud del cual el vendedor se obliga a
proveer el producto, servicio o resultado especificado y el comprador a pagar
por l;
Correo electrnico:
Servicio de red que permite a los usuarios enviar y recibir mensajes mediante
sistemas de comunicacin electrnica;
Cuenta:
Datos personales:
Declaracin de
aplicabilidad
Pg. 10 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
justificacin, seleccin y exclusin de los mismos;
Dependencias:
Disponibilidad:
Documento electrnico
gubernamental:
Entidades:
Entregable:
Evento
Extensin de Archivo:
Firma digital:
Funcionalidad:
Gestin de riesgos:
Gobierno digital:
De acuerdo a ITIL
Pg. 11 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
interoperabilidad entre las Dependencias y Entidades;
Hardware:
Incidente:
Infraestructura de TIC:
Integridad:
Interfaces:
Internet:
Interoperabilidad:
Intrusin:
Accin que una o ms personas realizan para introducirse, sin derecho, en uno
o ms sistemas de informacin;
Manual o el Manual:
Mesa de servicios:
Organizacin o institucin
Plan de contingencia:
Problema:
Proyecto estratgico:
De acuerdo a ITIL
Pg. 12 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Recurso de TIC:
Red de comunicaciones:
Repositorio:
Requerimiento de
certificacin:
Requerimientos
funcionales:
Riesgo:
Amenaza sobre los activos de TIC, que puede ser producto de una
vulnerabilidad y causar una prdida o dao en un activo de informacin;
Seguridad de la
informacin:
Seguridad:
Servicios:
Los medios para entregar valor facilitando resultados que los usuarios,
ciudadanos y sus organizaciones quieren lograr sin la propiedad de costos y
riesgos especficos;
Sistema Automatizado de
Control de Gestin:
Sistema de datos
personales:
Sistema o aplicativo:
Sistema operativo:
Software comercial:
Software de cdigo
abierto:
Software cuya licencia asegura que el cdigo pueda ser modificado y mejorado
por cualquier persona o grupo de personas con las habilidades correctas, el
conocimiento es de dominio pblico;
Software libre:
Software propietario:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
modificarlo o redistribuirlo;
Software:
Subcomisin de Firma
Electrnica Avanzada:
Tarjeta Inteligente:
Titular de un certificado
digital:
Trmite electrnico:
Usuarios:
Validacin:
Una actividad que asegura que un servicio de TIC, proceso, plan u otro
entregable nuevo o modificado satisface las necesidades del negocio;
Verificacin:
Virus informtico:
Vulnerabilidad:
Webservices:
Pg. 14 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
ACRNIMO
DEFINICIN / SIGNIFICADO
AA:
AAF:
AC:
ACMB:
ACNC:
ACNF:
AD:
ADT:
ADTI:
AF:
Pg. 15 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AGD:
ANS:
AO:
AP:
APF:
APP:
APS:
APTI:
APV:
AR:
ARTI:
Pg. 16 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AS:
ASI:
AST:
ATA:
CIDGE:
CMDB:
CMM:
Capability Maturity Model, CMM por sus siglas en ingls. Modelo de evaluacin
de los procesos de TIC en una organizacin;
COBIT:
Control Objectives for Information and related Technology, COBIT por sus siglas
en ingls; marco de referencia de mejores prcticas en TIC;
CN:
CR:
CST:
Pg. 17 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
CN:
DA:
DDT:
DR:
DST:
DSTI:
EEG:
HTTPS:
Secure HyperText Transfer Protocol, por sus siglas en ingls. Protocolo seguro
de transferencia de hipertexto. La aplicacin utilizada para garantizar la
seguridad de las comunicaciones entre el usuario y el servidor web al que dicho
usuario se conecta;
IDP:
LE:
MI:
Pg. 18 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
OLA:
Operating Level Agreement, OLA por sus siglas en ingls. Acuerdo de nivel
operativo que se suscribe entre reas internas de una entidad responsable de
TIC en una organizacin;
OMS:
OP:
OS:
OSGP:
PE:
PETIC:
PR:
SAT:
SE:
Secretara de Economa;
SFP:
Pg. 19 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
SGSI:
SLA:
Por sus siglas en ingls, SLA, Service Level Agreement . El acuerdo o acuerdos
de niveles de servicio de una solucin tecnolgica o servicio de TIC;
SoA:
TE:
THO:
TIC:
UC:
UGD:
UR:
UTIC:
WAN:
Por sus siglas en ingls Wide area network, WAN. Red de rea extensa.
Pg. 20 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
3.
INTRODUCCIN
En el mes de septiembre de 2009, el presidente de los Estados Unidos Mexicanos, Felipe de Jess Caldern
Hinojosa, instruy al C. Titular de la Secretara de la Funcin Pblica profundizar las acciones en materia de
reforma regulatoria y derogar todos aquellos acuerdos, oficios, decretos o reglamentos cuya necesidad no
quedara plenamente justificada, con el propsito de mejorar la eficiencia institucional y la calidad de los
servicios que brindan las diversas dependencias y entidades de la Administracin Pblica Federal.
El trabajo consisti en la simplificacin de la normatividad que enmarca la operacin de adquisiciones,
arrendamientos y servicios; auditora, control, obra pblica, recursos financieros, recursos humanos / servicios
personales, recursos materiales y servicios generales, tecnologas de la informacin y transparencia. Para cada
una de las temticas mencionadas se especificaron tambin procesos y subprocesos eficientes y eficaces,
definiendo responsables de sus actividades y los documentos necesarios para realizarlas.
Las definiciones surgieron de un trabajo en equipo en que participaron las unidades normativas, lderes
tcnicos de las materias tratadas, reas de auditora para desarrollo y mejora de la gestin pblica de algunos
rganos internos de vigilancia y control, quienes fungieron como lderes de los grupos de trabajo, instituciones
federales de distinta ndole, que validaron el contenido de los manuales y la Unidad de Polticas de Mejora de la
Gestin Pblica, quien coordin los trabajos.
La publicacin de nueve instrumentos generales sobre los temas mencionados constituye un importante
esfuerzo por eliminar la sobrerregulacin de los procesos de apoyo, imprescindibles para el buen
funcionamiento de las instituciones pblicas. El perfeccionamiento de los manuales ser posible incorporando
paulatinamente mejores prcticas derivadas de la mejora de la gestin de las dependencias y entidades
federales.
Los cambios vertiginosos originados durante los ltimos aos por el uso de las tecnologas de la informacin y
las comunicaciones han tenido un impacto en diversos aspectos de nuestra sociedad, reflejados en importantes
esfuerzos y logros. En el mbito de la Administracin Pblica Federal, las tecnologas de la informacin y
comunicaciones han venido a transformar los esquemas tradicionales del quehacer pblico directamente para
eficientar los procesos internos y mejorar la entrega de los servicios proporcionados a la ciudadana, para
brindarle una mejor calidad de vida.
La estrategia de desarrollo del gobierno digital en nuestro pas, coordinada por la Secretara de la Funcin
Pblica, a travs de la Unidad de Gobierno Digital, impulsa la utilizacin ptima de las tecnologas de
informacin y de comunicaciones para hacer ms eficiente la gestin gubernamental, proporcionar servicios de
mayor calidad y oportunidad a la sociedad, transparentar la funcin pblica en todos los mbitos de gobierno y
combatir las prcticas de corrupcin al interior de las oficinas gubernamentales.
El presente manual administrativo en materia de TIC forma parte del proyecto de Regulacin Base Cero, que
tiene como fin eliminar toda aquella regulacin o normatividad que limite o impida a la Administracin Pblica
Federal brindar un servicio de forma gil y oportuna a sus ciudadanos y sus organizaciones.
Con relacin a los procesos que integran este manual administrativo, se ha diseado un Marco rector de
procesos fundamentado en las mejores prcticas, de manera que se tenga una cobertura total de la gestin de
las unidades administrativas de tecnologas de la informacin y comunicaciones as como de los servicios que
estas reas proporcionan a sus usuarios, tanto al interior del gobierno, como a los ciudadanos y sus
organizaciones.
Pg. 21 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
4.
OBJETIVOS
Objetivos
General.El presente documento forma parte de un conjunto de manuales de aplicacin obligatoria para todas las
dependencias y entidades de la administracin pblica federal y tienen por objetivo establecer los procesos,
procedimientos, disposiciones normativas, responsables, indicadores y estndares que, respetando el marco
legal, eliminen la sobre regulacin y las actividades que no agregan valor. De este modo la operacin
institucional de apoyo puede ser ms eficiente, oportuna y transparente.
Especficos.1. Simplificar y homologar el marco normativo de los procesos internos relacionados con las tecnologas de la
informacin y comunicaciones.
2. Proporcionar a las dependencias y entidades de la Administracin Pblica Federal la referencia a seguir
que homologa la operacin y las regulaciones en materia de tecnologas de la informacin y
comunicaciones.
3. Establecer indicadores homologados que permitan medir los resultados, productos, avance o impacto de
los procesos de tecnologas de la informacin y comunicaciones, con el fin de brindar recomendaciones e
informacin til para la toma de decisiones, la rendicin de cuentas y fomentar el aprendizaje institucional.
4. Contribuir mediante la aplicacin generalizada del presente manual a alcanzar una mayor eficiencia en las
actividades y procesos institucionales e interinstitucionales, a partir del quehacer orientado al servicio y
satisfaccin del ciudadano.
5.
Pg. 22 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
6.
MARCO JURDICO
1. La Constitucin Poltica de los Estados Unidos Mexicanos; ltima reforma. D.O.F. 24-08-2009.
2. Ley Orgnica de la Administracin Pblica Federal; ltima reforma D.O.F. 17-06-2009.
3. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y su Reglamento; ltima reforma
D.O.F. 28-05-2009.
4. Ley Federal de Presupuesto y Responsabilidad Hacendaria y su Reglamento; ltima reforma D.O.F. 31-122008.
5. Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental y su Reglamento; ltima
reforma D.O.F. 06-06-2006.
6.
Pg. 23 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.
Administracin de proyectos
Administracin del portafolio de
proyectos de TIC
Administracin de proyectos de
TIC
Control
Administracin del desempeo de TIC
Cumplimiento regulatorio
Administracin de riesgos de TIC
Administracin de procesos
Operacin del sistema de gestin y
mejora de procesos de la UTIC
Administracin de recursos
Administracin financiera de TIC
Administracin de proveedores
Adquisiciones de TIC
Desarrollo y adquisicin de
soluciones
Administracin tcnica de adquisiciones
Desarrollo de soluciones tecnolgicas
Calidad de soluciones tecnolgicas
Transicin y entrega
Administracin de cambios
Liberacin y entrega
Transicin y habilitacin de la
operacin
Administracin de la
configuracin
Administracin de activos
Administracin de dominios tecnolgicos
Administracin del conocimiento
Integracin y desarrollo de personal
Administracin de Servicios
Operacin de servicios
Operacin de la mesa de servicios
Administracin de servicios de
terceros
Administracin de niveles de servicio
Administracin de la seguridad de la
informacin
Operaciones
Administracin de la operacin
Administracin de ambiente fsico
Mantenimiento de infraestructura
Figura 1: Marco rector de procesos de tecnologas de informacin y comunicaciones; 31 procesos en 11 grupos especficos
El Marco rector de los procesos de Tecnologas de Informacin y Comunicaciones basa su diseo, y el de los
procesos que lo conforman, en las mejores prcticas con aceptacin internacional en la materia, vigentes a la
fecha de elaboracin del presente manual.
El Marco rector de los procesos de TIC tiene como objetivo fundamental lograr la cobertura total de la gestin,
de punta a fin, de las unidades administrativas de Tecnologas de Informacin y Comunicaciones UTIC, de
manera que independientemente de la estructura organizacional con que cuenten o que llegaran a adoptar, las
funciones se puedan acoplar a los procesos y se logre la cohesin total para una mejor gestin.
En la figura 2 se muestran las relaciones principales entre los grupos de procesos del marco rector:
Pg. 24 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Figura 2: Relaciones principales entre los grupos de procesos o macro procesos del Marco rector
Cada uno de los 31 procesos, que conforman los 11 grupos de procesos o macroprocesos, establece
interrelaciones entre s de acuerdo a las necesidades propias de cada proceso y de la gestin integral de la
UTIC.
En el anexo I del captulo 9 se presenta una descripcin general breve de las mejores prcticas y el mbito de
influencia en los procesos del Marco rector.
Pg. 25 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1
DIRECCIN
7.1.1.
7.1.1.1.
General.Crear un marco de procesos para apoyar la toma de decisiones de la dependencia o entidad, basada en el
anlisis de las oportunidades de aprovechamiento de las TIC y de sus riesgos, as como a promover el uso
adecuado de las TIC para contribuir a los objetivos estratgicos de la dependencia o entidad.
Pg. 26 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.1.2
7.1.1.2.1
APS
APP
PE
AF
Documento de
integracin y
operacin del grupo
de trabajo para la
direccin de TIC
Documento de
integracin y
operacin del grupo
de trabajo
estratgico de TIC
OSGP
UR Involucradas
Todos los procesos
del Marco rector
Lista de asuntos y
acuerdos directivos
Todos los
procesos del
Marco rector
Planes de
administracin
de procesos
Descripciones de roles
y responsabilidades
Segregacin de
responsabilidades
Pg. 27 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 28 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.1.2.2
Factores
crticos
Establecer los grupos de trabajo que aseguren la gobernabilidad de las TIC en la dependencia
o entidad, incluyendo principalmente la eficiencia en el valor de las TIC, la disponibilidad
oportuna de los servicios de TIC y la seguridad de la informacin conjuntamente con la
administracin de riesgos.
Establecer grupos de trabajo para la implantacin y adopcin de los conceptos de
gobernabilidad y gestin de los procesos de TIC basados en sta.
1. Establecer un Grupo de trabajo para la direccin de TIC integrado por titulares de las
unidades de responsabilidad de la dependencia o entidad, encabezados el titular de la
UTIC.
2. Establecer, definir y comunicar el alcance, objetivos, miembros, roles y responsabilidades
del Grupo de trabajo para la direccin de TIC.
3. El Grupo de trabajo para la direccin de TIC deber realizar entre otras actividades las
siguientes:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Factores
crticos
Asignar a las funciones uno o ms roles del Sistema de gestin y mejora de procesos
de la UTIC.
Los titulares de las unidades administrativas debern asegurar que el personal realice
slo las tareas autorizadas.
3. Supervisar.
Sustentar la supervisin en el Sistema de gestin y mejora de procesos de la UTIC.
Implementar prcticas adecuadas de supervisin dentro de la UTIC para asegurar que
los roles y las responsabilidades se ejerzan de forma apropiada.
Evaluar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus
roles y responsabilidades.
4. Revisar la estructura organizacional de la UTIC de forma peridica, a fin de ajustar los
requerimientos de los procesos y de los proyectos de servicios y de soluciones
tecnolgicas de TIC. Considerar las circunstancias cambiantes de TIC y del entorno
interno y externo de la dependencia o entidad.
Relacin de
productos
Segregacin de responsabilidades
Garantizar que las TIC sostienen y extienden las estrategias y objetivos organizacionales de la
dependencia o entidad. Integrar e institucionalizar las buenas prcticas para asegurar que las
TIC son llevadas adelante por con direccin y gobierno.
Factores
crticos
1. El Grupo de trabajo para la direccin de TIC deber reunirse como sea necesario para
atender los asuntos que le sean enviados por los responsables de los procesos del Marco
Pg. 30 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
rector de procesos de TIC.
2. El Grupo de trabajo para la direccin de TIC podr estar constituido a su vez por varios
subgrupos de trabajo de acuerdo a las necesidades y estructura de la dependencia o
entidad.
3. El Grupo de trabajo para la direccin de TIC, principalmente, deber:
7.1.1.2.3
Descripcin de roles
Rol
Descripcin
Grupo de trabajo
para la direccin de
TIC
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo
determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de
requerimientos, inversin y gasto en materia de TIC, define y establece controles de
gobierno y evala los resultados de la UTIC.
Debe asegurar la direccin y el control de los procesos y servicios de TIC.
Grupo formado por titulares que reportan al titular de la UTIC. Este grupo toma
decisiones estratgicas y directivas, referentes a su estructura organizacional, vigilando
que la misma se encuentre orientada a procesos y a una efectiva gobernabilidad.
El cargo de nivel ms alto de atribuciones y responsabilidad de la UTIC en la
dependencia o entidad.
Grupo de trabajo
estratgico de TIC
Titular de la UTIC
7.1.1.2.4
Descripcin de productos
Producto
Descripcin
Documento de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
integracin y
operacin del grupo
de trabajo para la
direccin de TIC
Documento de
integracin y
operacin del grupo
de trabajo
estratgico de TIC
Descripciones de
roles y
responsabilidades
Grupo de trabajo para la direccin de TIC. Incluye los procedimientos para la operacin
del Grupo de trabajo para la direccin de TIC.
Documento que define el alcance, objetivos, participantes, roles y responsabilidades del
Grupo de trabajo para estratgico de TIC.
Documento que define, en una matriz de asignacin, los roles y responsabilidades para
las actividades clave de un proceso.
Esta matriz conoce como RACI, acrnimo de sus siglas en ingls: Responsible,
Accountable, Consulted and Informed, en sta se definen a los responsables de rendir
cuentas, de ejecutar, a los involucrados que son consultados y a aquellos que deben
ser informados.
Segregacin de
responsabilidades
Lista de asuntos y
acuerdos directivos
7.1.1.3
Lista de asuntos y acuerdos resultantes de las sesiones del Grupo de trabajo para la
direccin de TIC.
Indicadores
Nombre
Objetivo
Resultados
del Grupo de
trabajo para
la direccin
de TIC al
respecto del
PETIC
Obtener la
eficacia del
proceso con
referencia en
el PETIC
Resultados
del Grupo de
trabajo para
la direccin
de TIC al
respecto del
Portafolio de
proyectos
Obtener la
eficacia del
proceso con
referencia en
el impacto al
Portafolio de
proyectos de
TIC
Descripcin
Dimensin
Medir la
Eficacia
eficacia del
Grupo de
trabajo para
la direccin
de TIC a
travs de las
mejoras en el
PETIC
Eficacia
Medir a
eficacia del
Grupo de
trabajo para
la direccin
de TIC a
travs de las
mejoras en el
Tipo
Frmula
Responsable
Frecuencia
de clculo
Estratgico % eficacia=
Grupo para la Semestral
(nmero de mejoras direccin de
que afectan al
TIC
PETIC / nmero de
asuntos tratados en
las reuniones del
Grupo) X 100
Estratgico % eficacia=
Grupo para la Semestral
(nmero de mejoras direccin de
que afectan al
TIC
Portafolio de
proyectos / nmero
de asuntos tratados
en las reuniones del
Grupo) X 100
Pg. 32 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
Portafolio de
proyectos de
TIC
Avance en la
implantacin
del gobierno
de TIC
Determinar
la eficacia
del Grupo de
trabajo
estratgico
de TIC
Medir el
grado de
avance en
las acciones
realizadas
para la
implantacin
del gobierno
de TIC
Eficacia
Estratgico % avance=
(numero de
acciones realizadas
para la implantacin
del gobierno de
TIC/ nmero total
de acciones
planeadas para
implantar el
gobierno de TIC) X
100
Grupo de
trabajo
estratgico
de TIC
Semestral
7.1.1.4
1.1
1.2
1.3
1.4
1.5
7.1.1.5
Se hace referencia en el anexo II del captulo 9, de la notacin utilizada para los diagramas del proceso.
Pg. 33 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.2
7.1.2.1
General.Asegurar la contribucin de las TIC al logro de los objetivos de la dependencia o entidad mediante la
elaboracin de un PETIC participativo, alineado a las directrices y disposiciones de los planes y programas
federales.
Especficos.1. Identificar los objetivos y prioridades de la dependencia o entidad con la finalidad de proponer proyectos
eficaces e innovadores, considerando especialmente aquellos relacionados con la mejora sustancial de los
trmites y los servicios pblicos.
2. Identificar las oportunidades y riesgos para el cumplimiento de los objetivos estratgicos de la dependencia
o entidad en materia de TIC, mediante el anlisis del entorno y de la organizacin.
3. Establecer los mecanismos y temticas a considerar para elaborar y operar el PETIC, especialmente
estimaciones del presupuesto de la inversin por proyecto, de los beneficios esperados, de las fuentes de
financiamiento y de la estrategia de adquisicin.
4. Instrumentar los mecanismos para asegurar que el personal de la UTIC entienda cabalmente el PETIC de la
institucin.
5. Establecer un cuadro de mando integral para controlar el cumplimiento del PETIC, que incluya las
Pg. 34 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.2.2
7.1.2.2.1
EEG
Lista de asuntos y
acuerdos directivos
Matriz FODA
Documento
estratgico
de TIC
AD
ACNC
APP
Portafolio de proyectos
de TIC
Inform e de desempeo
del portafolio de
proyectos de TIC
Reportes de
seguimiento y
control del PETIC
APP
EEG
Pg. 35 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 36 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.2.2.2
Factores
crticos
Identificar a travs del anlisis del ambiente externo las principales oportunidades
(situaciones externas positivas que se generan en el entorno y que una vez
identificadas pueden ser aprovechadas para generar valor).
Identificar a travs del anlisis del ambiente externo las principales amenazas
(situaciones negativas, externas a la dependencia o entidad, que puedan afectar el
cumplimiento de sus objetivos, planes y proyectos; llegado el caso, puede ser
necesario disear una estrategia adecuada para enfrentarlas).
Identificar durante el anlisis del ambiente interno las principales fortalezas (elementos
internos y positivos que le dan ventaja a la dependencia o entidad, para cumplir con
sus funciones de manera efectiva y eficiente).
de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
crticos
La visin de la UTIC deber describir de manera breve, la situacin deseada que busca
alcanzar la UTIC a largo plazo, esta visin debe describir el futuro de la UTIC, ser fcil
de recordar y estar alineada a los objetivos estratgicos.
Relacin de
productos
Se deber obtener el compromiso sobre la misin y visin de la UTIC por parte del
Grupo de trabajo para la direccin de TIC.
Factores
crticos
Analizar la perspectiva financiera: analizar los factores crticos que permitan tener una
situacin econmica saludable en la UTIC; esto incluye el uso adecuado de los
recursos financieros, el anlisis del costo de operacin de los servicios de TIC y, en su
caso, la salud financiera de la UTIC.
Analizar la perspectiva de cliente o usuario: analizar los factores crticos que permiten
mantener niveles de satisfaccin adecuados de los usuarios de los servicios de TIC
proporcionados por la dependencia o entidad.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
eficiente y con un adecuado nivel de control, a fin de cumplir con las necesidades de
los usuarios de los servicios de TIC.
Analizar las relaciones y dependencias entre los elementos de las cuatro perspectivas.
Factores
crticos
Identificar las principales iniciativas y/o proyectos que deben ser ejecutados por la
dependencia o entidad, para cumplir con los objetivos estratgicos de la dependencia o
entidad y el mapa estratgico de TIC.
1. Analizar los objetivos estratgicos de la dependencia o entidad y el mapa estratgico de la
UTIC.
2. Determinar las iniciativas y/o proyectos estratgicos de TIC necesarios para cumplir con
los objetivos estratgicos de la dependencia o entidad.
Realizar una lista y priorizar las iniciativas y/o proyectos estratgicos de TIC, a fin de
cumplir con las funciones sustantivas y los objetivos estratgicos de la dependencia o
entidad.
Para cada iniciativa y/o proyecto estratgico de TIC se deber identificar informacin,
de acuerdo a lo que se establezca en el proceso de Administracin de portafolio de
proyectos de TIC.
3. Estimar el presupuesto de alto nivel requerido por la iniciativa y/o proyectos estratgicos
de la UTIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
4. Integrar las iniciativas y/o proyectos estratgicos al Portafolio de proyectos de TIC para su
evaluacin, seleccin y autorizacin.
Relacin de
productos
Se deber priorizar las iniciativas y/o proyectos estratgicos de la UTIC, con base en
su relevancia respecto a los objetivos estratgicos y funciones sustantivas.
Factores
crticos
Disear, documentar y mantener el Plan estratgico de la UTIC que permita establecer los
objetivos, misin, visin y lneas de accin estratgicas en materia de TIC, que guen las
actividades de la dependencia o entidad a corto, mediano y largo plazo.
1. Documentar la informacin relativa a la planeacin estratgica de la UTIC de la
dependencia o entidad.
j.
Mecanismos de seguimiento
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
que incluye de ser posible a representantes de las reas usuarias y/o normativas que
influyen en los requerimientos tecnolgicos y/o que sean receptores de los servicios o
soluciones tecnolgicas que la dependencia o entidad produce y opera
El Plan estratgico de la UTIC deber ser aprobado y firmado por los mandos
superiores de la dependencia o entidad.
Relacin de
productos
Relacin de
productos
7.1.2.2.3
Descripcin de roles
Rol
Descripcin
Director
general /alta
direccin
Responsable
de la UTIC
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Responsable
de la
planeacin de
la UTIC
Grupo de
trabajo para la
direccin de
TIC
7.1.2.2.4
Descripcin de productos
Producto
Descripcin
Matriz de
fortalezas,
oportunidades,
debilidades y
amenazas
(FODA)
Documento
estratgico de
TIC
PETIC
Contiene la informacin de fortalezas y debilidades (FODA, por sus siglas), resultado del
anlisis del entorno interno as como, las amenazas y oportunidades resultado del anlisis del
entorno externo.
Mapa
estratgico de
la UTIC
Cuadro de
Describe de manera cuantitativa las metas y los indicadores que permiten medir el
mando integral cumplimiento de la estrategia de la dependencia o entidad desde las siguientes perspectivas:
a) Perspectiva financiera
b) Perspectiva del usuario
Pg. 42 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
c) Perspectiva de procesos
d) Perspectiva de desarrollo de personal y aprendizaje
Iniciativas y/o
proyectos
estratgicos de
la UTIC
Reportes de
seguimiento y
control del
PETIC
7.1.2.3.
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Oportunidad
en la
elaboracin
y entrega
del PETIC
Medir la
oportunidad
de
elaboracin
y entrega
del PETIC
Eficiencia
De gestin
Entrega en
tiempo
Titular de la
UTIC
Elaboracin
del PETIC
Medir la
calidad del
PETIC
Conocer la
oportunidad
con la que
fue
elaborado y
entregado a
la SFP el
PETIC
Obtener la
medicin de
la calidad del
PETIC en
base al
numero de
ajustes
efectuados
por
situaciones o
riesgos no
considerados
Calidad
De gestin
(nmero de
ajustes al
PETIC por
riesgos no
considerados
/ nmero de
ajustes
totales) * 100
Titular de la
UTIC
Frecuencia
de clculo
Anual
Trimestral
7.1.2.4
1.1
Garantizar una planeacin estratgica eficiente, sta deber incluyendo las directrices del modelo de
gobierno digital y las estrategias planteadas en la Agenda de Gobierno Digital.
Pg. 43 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.2
1.9
La UTIC deber presentar a la UGD el PETIC a travs del sistema que establezca la UGD para tal
efecto.
La UTIC deber asegurar la correcta direccin sobre las prioridades de los proyectos.
El titular de la UTIC deber asegurar la comunicacin y entendimiento del PETIC al personal de las
reas de la UTIC de manera formal.
La UTIC deber establecer un cuadro de mando integral con indicadores que permitan dar
seguimiento al cumplimiento de los objetivos y las estrategias definidas en el documento estratgico
de TIC y en el PETIC.
Las dependencias y entidades de la APF debern mantener actualizada a la UGD acerca del avance
en el PETIC y su proceso de Planeacin estratgica de TIC, de acuerdo a las fechas que establezca
la UGD para tal efecto.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante este mismo proceso.
7.1.2.5
1.3
1.4
1.5
1.6
1.7
1.8
Se hace referencia en el anexo II del captulo 9, de la notacin utilizada para los diagramas del proceso.
Pg. 44 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.3.
7.1.3.1.
Generales.Determinar la direccin tecnolgica de la institucin para crear una arquitectura tecnolgica que facilite la
seleccin, el desarrollo, la aplicacin y el uso de la infraestructura de TIC, de manera que sta responda a la
dinmica de la dependencia o entidad.
Especficos.1. Determinar los requerimientos tecnolgicos derivados de las necesidades de la dependencia o entidad que
debern ser incorporados en la creacin de la arquitectura tecnolgica.
2. Definir un modelo para la arquitectura tecnolgica que incluya los diversos dominios tecnolgicos necesarios
para estandarizar y evolucionar la infraestructura de TIC, de manera que cuente con la capacidad necesaria
para satisfacer las necesidades actuales y futuras de la dependencia o entidad.
3. Asegurar que el Plan de tecnologa tenga un balance entre necesidades, innovacin, beneficios, riesgos y
costos y dirija a la dependencia o entidad hacia el desarrollo de nuevas formas de cumplir con sus objetivos
sustantivos.
Pg. 45 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.3.2
7.1.3.2.1
PE
APP
APS
DSTI
PETIC
Portafolio de proyectos de TIC
Portafolio de servicios de TIC
Plan de capacidad de recursos de
TIC
Paquete de diseo de servicios
ADT
Principios de
dominios
tecnolgicos
Directrices rectoras para la
arquitectura tecnolgica
ADT
ACNC
MI
Plan de
aprovisionamiento
de infraestructura
Repositorio de
requerimientos
tecnolgicos
administrado
DDT-3 Elaborar y actualizar el
Plan de tecnologa
DDT-4 Dar seguimiento a
tendencias futuras y disposiciones
normativas
Mecanismo de seguimiento
a los desarrollos y
tendencias tecnolgicas
Plan de
capacidad de
recursos de TIC
Grupos de procesos
de DR, CN y AS
Plan de tecnologa
Plan de
continuidad de
servicios de
TIC
ADT
DST I
Pg. 46 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 47 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.3.2.2
Factores
crticos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
describe la estructura de los datos fsicos y lgicos de la dependencia o entidad y los
recursos de gestin de estos datos.
Elaborar y mantener un Plan de tecnologa acorde con los planes estratgicos y tcticos de la
UTIC. El plan se basa en la direccin tecnolgica e incluye directrices para la adquisicin de
recursos tecnolgicos. Tambin toma en cuenta los cambios en el ambiente competitivo, en
componentes tecnolgicos, las economas de escala para inversiones y personal y la mejora
en la interoperabilidad de las plataformas y las aplicaciones.
Pg. 49 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Factores
crticos
1. Elaborar el Plan de tecnologa basado en un anlisis por cada uno de los dominios de la
arquitectura tecnolgica:
Describir el estado actual de los componentes del dominio para establecer una lnea
base que sustente la planeacin (de dnde partimos).
2. Integrar en el Plan de tecnologa los planes de cada uno de los dominios, de forma que
conformen un marco integral de arquitectura de la dependencia o entidad, que incorpore
las arquitecturas individuales. Esta integracin permite:
Identificar los factores crticos para la transicin y las iniciativas y/o proyectos de
tecnologa requeridos para pasar del estado actual al deseado, as como evaluar las
dependencias, costos y beneficios de los distintos proyectos.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
interesados se involucren en el desarrollo y aprobacin de los planes de migracin y de
cambio, considerando el impacto en el personal y las operaciones.
10. Establecer un proceso de Control de cambios en la arquitectura tecnolgica, conforme al
proceso Administracin de cambios, para asegurar que los requerimientos de cambios se
atienden en una forma integral desde la perspectiva arquitectnica.
Se determinan las circunstancias bajo las cuales componentes arquitectnicos podrn
cambiarse una vez implementados, as como los pasos para efectuar el cambio, y las
condiciones para iniciar el ciclo de actualizacin de la arquitectura.
Relacin de
productos
Plan de tecnologa
Factores
crticos
1. Asegurar que se cuenta con personal capacitado para dar seguimiento a los desarrollos
y tendencias tecnolgicas, programas y actividades del sector, asuntos de
infraestructura, cambios a requerimientos y disposiciones normativas dentro de la UTIC
2. Consultar expertos externos para validar el entendimiento de las oportunidades y
beneficios derivados de las nuevas tecnologas en la UTIC
3. Participar en los foros y grupos de especialistas que se establezcan para determinar las
mejoras a los marcos regulatorios en materia de TIC administracin pblica.
4. Proveer informacin relevante en materia de tendencias tecnolgicas a los mandos
medios y superiores y a tomadores de decisiones de la dependencia o entidad.
5. Evaluar la posible contribucin de tecnologas emergentes al logro de los objetivos
estratgicos y al crecimiento de la dependencia o entidad.
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
requerimientos.
5. Generar anlisis de impacto de los cambios en los requerimientos para presentarlos al
Grupo de trabajo de arquitectura tecnolgica.
Relacin de
productos
7.1.3.2.3
Descripcin de roles
Rol
Descripcin
Grupo de
trabajo de
arquitectura
tecnolgica
7.1.3.2.4
Descripcin de productos
Producto
Descripcin
Plan de
tecnologa
Directrices
rectoras para la
arquitectura
tecnolgica
Documentacin de los principios tecnolgicos de alto nivel, entendido como los principios
y/o directrices que deben guiar la estrategia tecnolgica, los mecanismos de gobierno y la
seleccin de la plataforma tecnolgica de la dependencia o entidad.
Lista de asuntos
y acuerdos del
grupo de trabajo
de arquitectura
tecnolgica
Mecanismo de
seguimiento a los
desarrollos y
tendencias
tecnolgicas
Repositorio de
requerimientos
tecnolgicos
administrado
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.3.3
Indicadores
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsabl
e
Cumplimient
o del Plan
de
Tecnologa
Medir el
grado de
cumplimient
o en la
implantacin
del Plan de
Tecnologa
Obtener la
eficacia del
proceso de
acuerdo al
avance en la
implementac
in de las
arquitecturas
de los
dominios
Eficacia
De gestin
Grupo de
Trabajo de
Arquitectura
Tecnolgica
Calidad en
la definicin
del modelo
para la
arquitectura
tecnolgica
Medir la
calidad del
modelo para
la
arquitectura
tecnolgica
Obtener el
numero de
retrabados o
ajustes
efectuados
hasta
conseguir el
modelo de
arquitectura
tecnolgica
Calidad
De gestin
% eficacia=
(nmero de
arquitecturas
objetivo de
dominios
con avance
de acuerdo
a lo
planeado /
nmero total
de
Arquitectura
s de dominio
por
implantar) X
100
(numero de
ajustes al
modelo por
necesidades
no
considerada
s / numero
de ajustes
totales) *
100
Titular de la
UTIC
Frecuenc
ia de
clculo
Anual
Trimestral
7.1.3.4
1.1
La UTIC deber establecer una arquitectura tecnolgica que asegure una respuesta eficiente a los
cambios y requerimientos en materia de TIC de la dependencia o entidad.
La UTIC deber integrar un Grupo de trabajo de arquitectura tecnolgica que proporcione las
directrices sobre la direccin de la arquitectura tecnolgica, la asesora y verificacin sobre su
aplicacin y cumplimiento.
La UTIC deber designar a un responsable del proceso Determinar la direccin tecnolgica.
1.2
1.3
1.4
1.5
1.6
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Pg. 53 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.1.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 54 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2
CONTROL
7.2.1
7.2.1.1
General.-
Establecer sistemas de seguimiento y evaluacin as como acciones de mejora, a partir de los resultados de la
planeacin estratgica, del desempeo de los procesos, de los proyectos, del uso y aprovechamiento de los
activos, de los recursos, as como de la entrega de los servicios de tecnologas de informacin y
comunicaciones.
Especficos.1.
Establecer un sistema que permita evaluar en forma integral o parcial el desempeo de TIC o de alguno de
sus componentes.
2.
3.
Establecer y dar seguimiento a las acciones de mejora para prever y corregir desviaciones en el
desempeo de las TIC.
Pg. 55 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.1.2
7.2.1.2.1
Procedimientos de recoleccin y
almacenamiento de datos del
sistema de medicin y anlisis
Herramientas de recoleccin de
datos
Repositorio de
mtricas
Procesos
del Marco
rector
Informes de
medicin y
anlisis
APP
Datos de
medicin
y anlisis
AD-9 Implementar acciones de
mejora
Procesos
del Marco
rector
Reportes de
revisiones
Acciones
de mejora
Informes directivos de
desempeo de TIC
Cuadro de
mando
integral
OSGP
Pg. 56 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 57 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.1.2.2
Establecer los elementos necesarios para instrumentar el sistema que permita dar
seguimiento al avance en la implementacin de la estrategia, al desempeo de los procesos,
al avance de los proyectos, al uso de los recursos y a la entrega de los servicios de TIC.
Factores
crticos
y de resultados.
2. Verificar el diseo de los indicadores establecidos para cada proceso del Marco rector,
de las unidades responsables, los usuarios y los mandos superiores, sobre la importancia
de la evaluacin del desempeo de TIC.
Relacin de
productos
Relacin de
productos
Pg. 58 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AD-3: Especificar procedimientos de recoleccin y almacenamiento
Descripcin
Factores
crticos
medir.
5. Establecer sistemas y mecanismos para la recoleccin automtica de datos cuando sea
apropiado y viable.
6. Priorizar, revisar, aprobar y formalizar tanto las mtricas como los procedimientos de
de
Especificar la definicin de las mtricas del Sistema de evaluacin del desempeo de TIC,
para el anlisis y reporte de los datos.
Factores
crticos
1. Especificar y priorizar los anlisis de informacin que sern realizados y los reportes que
sern preparados.
2. Seleccionar mtodos y herramientas apropiados de anlisis de datos.
3. Especificar procedimientos administrativos para analizar los datos y comunicar los
resultados.
4. Revisar y actualizar el contenido y el formato de los informes para realizar los anlisis
especificados.
5. Especificar los criterios para evaluar la utilidad de los resultados del anlisis y de las
resultados del anlisis al menos una revisin anual. Debern actualizarse las mtricas,
indicadores y criterios que resulte necesario.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
informacin necesaria para entender, interpretar y evaluar las mtricas. Este repositorio
deber ser diseado como un componente del sistema de conocimiento de acuerdo a los
procedimientos del proceso de Administracin del conocimiento.
Factores
crticos
Relacin de
productos
Repositorio de mtricas
Obtener los datos de la especificacin de las mtricas y analizar e interpretar sus datos.
1. Obtener y/o generar los datos de las mtricas
2. Revisar los datos para asegurar su integridad y exactitud.
3. Almacenar la informacin de acuerdo con los procedimientos de almacenamiento de
datos.
4. Afinar criterios para anlisis futuros.
Relacin de
productos
Reportes de revisiones
preliminares.
4. Desarrollar mediciones y anlisis adicionales, segn sea necesario y preparar resultados
para su presentacin.
5. Revisar los resultados iniciales con los grupos relevantes.
6. Mantener informados a los grupos relevantes de los resultados de medicin.
7. Asesorar a los grupos relevantes en el entendimiento de resultados.
Relacin de
productos
Pg. 60 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AD-8: Informar a directivos y responsables de rea
Descripcin
Presentar informes directivos de desempeo de TIC con el fin de proporcionar a los titulares
la informacin necesaria para determinar el logro de los objetivos, la eficiencia de los
recursos de TIC, la calidad de los servicios de TIC y de las soluciones tecnolgicas
desarrolladas.
Factores
crticos
Relacin de
productos
Factores
crticos
Relacin de
productos
Acciones de mejora
Pg. 61 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.1.2.3
Descripcin de roles
Rol
Descripcin
Administrador de
mtricas
7.2.1.2.4
Descripcin de productos
Producto
Descripcin
Objetivos e
indicadores del
sistema de
evaluacin del
desempeo de TIC
Acciones de
mejora
Documento que define los objetivos del Sistema de evaluacin del desempeo de TIC, as
como los indicadores fundamentales que requiere el sistema de evaluacin del desempeo
de TIC.
Herramientas de
recoleccin de
datos
Pg. 62 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.1.3.
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados
del
Sistema de
evaluacin
del
desempeo
de TIC
Conocer la
eficacia con
la que est
operando el
Sistema de
evaluacin
del
desempeo
de TIC
Medir los
problemas
resueltos,
identificados
por medio
del Sistema
de
evaluacin
del
desempeo
de TIC
Eficacia
De
gestin
%
eficacia=(Problemas
resueltos/
problemas
identificados por
medio del sistema
de evaluacin del
desempeo de TIC)
X 100
Administrador
del proceso
Frecuencia
de clculo
Semestral
7.2.1.4.
1.1
La UTIC deber asegurar que la instrumentacin y operacin del Sistema de evaluacin del
desempeo de TIC integre mediciones y reportes que cubran al menos:
Riesgos de TIC y cumplimiento normativo.
Niveles de satisfaccin de usuarios de los servicios de TIC
Indicadores de desempeo de los procesos clave de TIC, incluyendo los procesos de
adquisicin y desarrollo de soluciones tecnolgicas y operacin de servicios.
La UTIC deber considerar en el diseo del Sistema de evaluacin del desempeo de TIC los
requerimientos de datos e informacin para el anlisis de la aplicacin de los procesos del Marco
rector del Manual.
La UTIC deber asegurar que el Sistema de evaluacin del desempeo de TIC sea consistente con
el Sistema de administracin del desempeo de la dependencia o entidad.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en
este mismo.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
1.2
1.3
1.4
1.5
1.6
7.2.1.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 63 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.2.
7.2.2.1.
Cumplimiento regulatorio
Objetivos del proceso
General.-
Asegurar que el diseo y la operacin de los servicios de TIC de la dependencia o entidad cumplan con la
normatividad vigente, mediante mecanismos de control y de supervisin.
Especficos.-
1. Identificar y aplicar oportunamente los requerimientos regulatorios en materia de TIC tanto en los procesos
de la UTIC como en los procedimientos que de cada uno de stos deriven.
2. Evaluar, por medios internos y externos, el cumplimiento del marco regulatorio en los procesos del Marco
rector de este manual.
3. Asegurar que las soluciones tecnolgicas y servicios de TIC que adquiera o desarrolle la UTIC para poner
en operacin cumplan con la normatividad vigente en materia de TIC y aquellas aplicables de otras
materias,
4. Establecer acciones correctivas para resolver los incumplimientos identificados.
5. Proveer informes peridicos sobre el cumplimiento de los requerimientos legales y regulatorios aplicables
en materia de TIC a la dependencia o entidad.
Pg. 64 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.2.2
7.2.2.2.1
Entorno
Regulatorio
AD
Reportes de
revisiones
AD
Pg. 65 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 66 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.2.2.2
Factores
crticos
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
2. Examinar de manera continua los estndares, mejores prcticas, procedimientos y
marco de referencia metodolgico que se utilizan en la dependencia o entidad a fin de
determinar su efectividad, para asegurar el cumplimiento de los requerimientos legales y
regulatorios aplicables en materia de TIC.
3. Obtener asesora adicional, cuando sea necesario, sobre el contenido y la
implementacin de estndares, mejores prcticas, procedimientos y marco de referencia
metodolgico que apoyen al cumplimiento de los requerimientos legales y regulatorios
aplicables en materia de TIC.
4. Actualizar con la informacin obtenida el repositorio de requerimientos regulatorios.
5. Comunicar de manera efectiva los nuevos requerimientos legales y regulatorios, o
cambios a los mismos, en materia de TIC dentro de la dependencia o entidad
Relacin de
Productos
Factores
crticos
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
3. Asegurar que en los contratos con terceros proveedores de bienes o servicios se incluya la
obligatoriedad de un informe peridico del cumplimiento con las leyes y regulaciones
aplicables.
4. Implementar procedimientos, consistentes con los procesos de este Manual, para vigilar e
informar sobre incumplimientos de las regulaciones aplicables en materia de TIC por parte
de los proveedores y, en general, en la dependencia o entidad; identificar la causa raz del
incumplimiento y en su caso, definir y ejecutar las acciones que eliminen las causas de los
incumplimientos con independencia de las medidas correctivas que deban aplicarse de
acuerdo a la normatividad vigente en la materia.
Relacin de
productos
Factores
crticos
Relacin de
productos
7.2.2.2.3
Descripcin de roles
Rol
Descripcin
Mandos medios y
superiores
Responsables de
rea
Pg. 69 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Revisor y
evaluador del
cumplimiento
regulatorio
Grupo interno de
control regulatorio
Personal de TIC
Atender en tiempo y forma los requerimientos regulatorios en materia de TIC que aplican a
los procesos en los cuales participan.
7.2.2.2.4
Descripcin de productos
Producto
Descripcin
Repositorio de
requerimientos
regulatorios
Estndares,
mejores prcticas,
procedimientos y
marco de
referencia
metodolgico
Reportes de
cumplimiento
regulatorio
Informes de
Reportes generados de acuerdo al Sistema de evaluacin del desempeo de TIC, para
medicin y anlisis informar sobre el cumplimiento de los requerimientos legales y regulatorios. Ver el proceso
de cumplimiento
Administracin del desempeo de TIC.
regulatorio
Pg. 70 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.2.3
Indicadores
Descripcin
Dimensin
Objetivo
Cumplimiento
del marco
regulatorio de
TIC
Medir el grado
de
cumplimiento
del marco
regulatorio en
los procesos y
servicios de
TIC
Por medio de
Eficacia
los mecanismos
de control y
supervisin
conocer los
incumplimientos
regulatorios
De
Nmero de
Administrador
gestin incumplimientos del proceso
detectados
mediante los
mecanismos de
control y
supervisin
Eficacia
Cumplimiento
del marco
regulatorio de
TIC
Medir el grado
de
cumplimiento a
la normatividad
vigente en los
procesos y
servicios de
TIC
Conocer por
medio de las
acciones
correctivas que
se ejecutan, la
eficacia del
proceso de
Cumplimiento
regulatorio.
De
Nmero de
Administrador
gestin acciones
del proceso
correctivas
implementadas
/ nmero de
incumplimientos
detectados
mediante los
mecanismos de
control y
supervisin X
100
Eficacia
Eficacia
Tipo
Frmula
Responsable
Frecuencia
de clculo
Nombre
7.2.2.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
Pg. 71 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 72 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.3.
7.2.3.1.
General.-
Disminuir el impacto de eventos adversos, que potencialmente podran afectar el logro de los objetivos de la
dependencia o entidad, mediante la Administracin de los riesgos de TIC.
Especficos.-
2. Establecer medios para una toma de decisiones informada y oportuna sobre la mitigacin de los riesgos en
materia de TIC.
Pg. 73 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.3.2
7.2.3.2.1
Dependencia
o entidad
Informacin del
ambiente
externo e interno
Repositorio de riesgos de
TIC actualizado
Matrices de
riesgos de TIC
actualizadas
Procesos del
Marco rector
Pg. 74 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 75 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.3.2.2
Definir los elementos para la administracin de riesgos de TIC, entre otros, los
siguientes:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
los riesgos en materia de de TIC
Las medidas que sern tomadas para corregir las desviaciones de los
lmites de exposicin al riesgo o los ajustes preventivos a los niveles de
tolerancia al riesgo.
Definir los medios para asegurar su difusin a todo el personal que le aplique.
Relacin de
productos
Asegurar que los riesgos en materia de TIC sean evaluados y presentados en trminos del
impacto a los procesos y servicios de la dependencia o entidad: financieros, de transparencia
y seguridad de la informacin, regulatorios, entre otros.
Factores
crticos
2. Identificar y analizar escenarios de riesgo que permitan definir los impactos potenciales a
la entidad o dependencia sobre elementos como:
Servicios.
Procesos.
Hardware.
Equipos de comunicaciones.
b) Identificar amenazas para aquellos activos identificados, dichas amenazas pueden ser
clasificadas al menos en las siguientes categoras:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Maliciosas
o
No maliciosas
o
Errores humanos
Fraudes,
Robos
Accesos no autorizados
Relacin de
productos
Financieros
Niveles de servicios
Imagen o reputacin
Regulatorios
Factores
crticos
Asegurar que se responde a los riesgos de TIC con base a su nivel de severidad, con base
en las decisiones para su tratamiento y tomado los criterios de priorizacin de implantacin de
controles.
1. Identificar el nivel de severidad del riesgo.
2. Identificar opciones para el tratamiento del riesgo el cual involucra tomar las decisiones
para:
a) Aceptar el riesgo: no se efecta ninguna accin debido a que el nivel de riesgo est
dentro de los niveles aceptables por la entidad o dependencia.
b) Evitar el riesgo. se elimina la causa que produce el riesgo.
c) Transferir el riesgo: se transfiere y comparte el riesgo con una organizacin
aseguradora o un tercero.
d) Mitigar el riesgo: se implementan controles para reducir el riesgo a un nivel aceptable
por la entidad o dependencia
Pg. 78 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
3. Identificar controles predictivos, preventivos y correctivos y mapearlos para cada uno de
los escenarios de riesgos identificados. Estos controles deben ser documentados en la
SoA.
4. Definir planes de mitigacin del riesgo que consideren las actividades para implantar los
controles identificados en las Sentencias de aplicabilidad. Para cada escenario de riesgo
la prioridad de implantacin debe ser definida y acordada. Algunos de los parmetros que
pueden ser considerados en la priorizacin de la implantacin de los controles o
contramedidas son los siguientes:
a) Severidad del riesgo (nivel de riesgo)
b) Nivel de impacto de la implantacin del control en la disminucin de las
consecuencias del riesgo sobre los procesos y servicios de la entidad o
dependencia
c) Costo de implantacin
Sentencias de aplicabilidad
Planes de contingencia
7.2.3.2.3
Descripcin de roles
Rol
Descripcin
Grupo de trabajo
para la direccin
de TIC
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo
determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de
requerimientos, inversin y gasto en materia de TIC, define y establece controles de
gobierno y evala los resultados de la UTIC.
Debe asegurar la direccin y el control de los procesos y servicios de TIC.
Este grupo es responsable de la aprobacin de la Directriz rectora del proceso de
Administracin de riesgos de TIC y de asegurar su cumplimiento.
Responsable del rea administrativa de TIC y responsable de la implementacin del
marco de referencia metodolgico de la administracin de riesgos de TIC.
Responsables dentro de la dependencia o entidad para manejar dominios especficos de
riesgos de TIC.
Responsables de realizar la evaluacin del riesgo de TIC cuando sea requerido.
Resguardan los recursos requeridos para la adquisicin, procesamiento, almacenamiento
y diseminacin de datos/informacin de las TIC que tienen a su cargo.
Titular de la UTIC
Grupos de control
de riesgos de TIC
Personal de TIC
Pg. 79 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.3.2.4
Descripcin de productos
Producto
Descripcin
Directriz rectora
del proceso de
administracin de
riesgos de TIC
Documentan los escenarios de riesgo de los activos evaluados, describen al menos los
siguientes aspectos:
a) Fecha de evaluacin
b) rea
c) Proceso de negocio
d) Activo evaluado
e) Tipo de amenaza
f) Agente de amenaza identificada
g) Probabilidad de ocurrencia de la amenaza
h) Descripcin del riesgo
i) Nivel de riesgo (severidad)
j) Nivel de riesgo residual
k) Impactos a la entidad o dependencia.
l) Descripcin del impacto
m) Nivel de impacto (severidad)
n) Tratamiento del riesgo
Sentencias de
aplicabilidad
Documentan, para cada riesgo, la identificacin y seleccin de los controles que debern
implantarse para reducir el riesgo a niveles aceptables por la entidad o dependencia;
describe al menos los siguientes aspectos:
a) Activo
b) Riesgo asociado
Pg. 80 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Planes de
mitigacin de
riesgos
Planes de
contingencia
Repositorio de
riesgos de TIC
actualizado
7.2.3.3
Nombre
Indicadores
Objetivo
Cumplimiento Obtener la
de la
efectividad del
administracin proceso
de riesgos de
TIC
Descripcin Dimensin
Tipo
Frmula
Conocer el
Efectividad De
% de efectividad=
cumplimiento
gestin (Directrices de
del proceso
administracin de
por la
riesgos de TIC
medicin de
implantadas /
la
Directrices de la
implantacin
administracin de
de las
riesgos de TIC
directrices
planeadas) *100
rectoras del
proceso
Responsable
Frecuencia
de clculo
Administrador Semestral
del proceso
Pg. 81 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.2.3.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
7.2.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 82 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3
ADMINISTRACIN DE PROYECTOS
7.3.1.
7.3.1.1.
General.-
Seleccionar las iniciativas de inversin en TIC que entreguen el mximo valor a la dependencia o entidad,
mediante el establecimiento de reglas para el proceso y la ejecucin de las actividades de identificacin,
evaluacin, seleccin, priorizacin, autorizacin, monitoreo y control del Portafolio de proyectos de TIC.
Las iniciativas de inversin consideran erogaciones tanto por adquisiciones de bienes como por servicios.
Especficos.1.
Establecer las directrices para la constitucin del Portafolio de proyectos de TIC y su administracin.
2.
Permitir una visin integral de los proyectos de TIC que genere sinergias y evite inversiones que no
agreguen valor.
3.
Actualizar el Portafolio de proyectos para minimizar las consecuencias de las desviaciones respecto al
PETIC y de riesgos emergentes.
Pg. 83 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.1.2
7.3.1.2.1.
PE
DDT
APS
OSGP
Criterios de
evaluacin de
iniciativas de
inversin
El Repositorio de
iniciativas de
inversin se
actualizan en
todas las
actividades del
proceso
Lista de asuntos
y acuerdos
directivos
EEG
Casos de
negocio
Repositorio de
iniciativas de
inversin
Acta de cierre
Producto/servicio final
Expediente de
proyecto de TIC
Evaluacin del cierre
del proyecto de TIC
APTI
Reporte de evaluacin de
iniciativas de inversin
PE,
ADTI
AF
Bitcora de cambios al
portafolio de proyectos de TIC
Portafolio de
proyectos de
TIC
Informe final de
iniciativa de inversin
APP-5 Gobernar el
programa/proyecto de la
iniciativa de inversin
Informes de
medicin y anlisis
AD
APTI
APTI
Pg. 84 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 85 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.1.2.2.
APP-1 Establecer directrices para el gobierno y evaluacin del portafolio de proyectos de TIC
Descripcin
Definir los criterios para la toma de decisiones sobre la asignacin y uso de los recursos de la
dependencia o entidad en proyectos de TIC y la realizacin de los beneficios de las
inversiones propuestas.
Factores
crticos
1.
Definir la forma de organizacin, los roles y las responsabilidades del Grupo de trabajo
para la direccin de TIC en el gobierno del Portafolio de proyectos de TIC para la toma
de decisiones acerca de:
Prioridades de las iniciativas de inversin
Inversin, asignacin y reasignacin de los recursos
Alineacin de las inversiones en proyectos de TIC a las necesidades y objetivos de
la dependencia o entidad.
Autorizacin de nuevas iniciativas de inversin, suspensin, cambios o cancelacin de
proyectos/programas y reasignacin de recursos entre proyectos.
Definir los grupos y categoras/tipos de iniciativas de inversin derivadas de los procesos
de planeacin estratgica de TIC, Determinacin de la direccin tecnolgica,
Administracin de portafolio de servicios y Operacin del sistema de gestin y mejora de
procesos de la UTIC, y de aquellas otras fuentes que detonen iniciativas que podrn ser
presentadas al Grupo de trabajo para la direccin de TIC para su autorizacin en el
Portafolio de proyectos, as como las caractersticas de las mismas.
La categora de una iniciativa determina los criterios, niveles de aprobacin y el
procedimiento para la elaboracin del Caso de negocio, evaluacin, seleccin y
autorizacin para el inicio del proyecto. Las categoras pueden incluir sub-categoras
denominadas tipos.
Definir los criterios de evaluacin de iniciativas de inversin de una categora/tipo las
propiedades para otorgar un rango, nivel o peso.
Alineacin/contribucin a los objetivos y estrategias de la dependencia o entidad.
Criterios financieros.
Criterios de riesgos.
Criterios de aspectos normativos y legales.
Criterios de recursos humanos.
Criterios tcnicos.
Criterios de impacto y capacidad de la dependencia o entidad.
Criterio de contrataciones relacionadas.
Definir los parmetros de evaluacin de criterios que sern usados por cada categora.
La asignacin de los parmetros de evaluacin de los criterios permitirn
determinar un orden para la seleccin de iniciativas de inversin.
Pueden ser cualitativos y/o cuantitativos y provienen de la variedad de fuentes de
informacin de la dependencia o entidad.
2.
3.
4.
5.
Relacin de
productos
Pg. 86 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
APP-2 Identificar y documentar iniciativas de inversin
Descripcin
Factores
crticos
Relacin de
productos
Las iniciativas de inversin son evaluadas por grupos y categoras/tipos para proveer
comparaciones y determinar un orden de ejecucin que facilite el proceso de seleccin. Los
resultados de la evaluacin se usan para seleccionar un subconjunto de iniciativas de
Pg. 87 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
inversin que sern propuestas al Grupo de trabajo para la direccin de TIC para su
priorizacin y autorizacin.
Factores
crticos
Relacin de
productos
La asignacin de prioridades permite comparar cada iniciativa del portafolio contra el resto de
las seleccionadas, por grupo y categora/tipo. Priorizar permite determinar cules de las
iniciativas de inversin pueden ser realizadas dentro de las restricciones financieras, humanas
y tecnolgicas de la dependencia o entidad.
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
El Portafolio de proyectos de TIC se compone de todos los proyectos y/o programas de
la dependencia o entidad derivados de iniciativas de inversin autorizadas para su
ejecucin.
Se deben incluir los siguientes aspectos al priorizar los proyectos del portafolio de TIC:
Agregar al portafolio actual de proyectos de TIC los programas de proyectos
derivados de las nuevas iniciativas de inversin autorizadas.
Revisar los informes de rendimiento del Portafolio de proyectos de TIC y tomar
decisiones para suspender, re-priorizar, continuar o cancelar.
En base a los recursos disponibles, restricciones y a la valoracin previa, los
proyectos se categorizan, priorizan y les se asignan recursos; el resultado conlleva
un ajuste de prioridades y, a partir de este punto se convierte en iterativo, hasta su
finalizacin o cancelacin.
Someter a revisin y autorizacin del Grupo de trabajo para la direccin de TIC el
Portafolio de proyectos de TIC ajustado.
El Grupo de trabajo para la direccin de TIC deber asignar los proyectos y/o programas
que integran al Portafolio de proyectos de TIC a los administradores de proyectos y/o
programas de TIC para su ejecucin de acuerdo al proceso de Administracin de
proyectos.
El Administrador del portafolio de proyectos de TIC deber comunicar a la UTIC el
Portafolio de proyectos de TIC y las decisiones tomadas por el Grupo de trabajo para la
direccin de TIC.
Bitcora de cambios al Portafolio de proyectos de TIC.
4.
5.
6.
7.
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
de negocio de cada uno de los proyectos del programa; debe considerar informacin
relacionada con factores tcnicos, de inversin y normativos que puedan aplicar a
cada proyecto.
4. Elaborar un cronograma ejecutivo para el programa de proyectos, que muestre la duracin
y las fechas de inicio y fin de cada proyecto.
Este cronograma incluye los hitos de control, a fin de dar seguimiento puntual al
programa, los cuales son puntos de control ejecutivo y se establecen de acuerdo a las
restricciones, interdependencias entre proyectos del programa y eventos sobre los que
se desea tener visibilidad para la toma de decisiones.
5. Elaborar y emitir las autorizaciones para el inicio de los proyectos del programa y asignar a
los administradores de proyectos, siguiendo el proceso de Administracin de proyectos.
6. Elaborar un Plan para administrar el programa de proyectos.
Este plan establece, para cada resultado clave del programa, la responsabilidad del
logro del resultado, la fecha estimada de obtencin y el mecanismo de seguimiento. El
plan debe incluir un registro detallado de los beneficios esperados por resultado, la
explicacin de los riesgos que pueden representar una amenaza para el cumplimento
de cada resultado clave y cmo estos riesgos deben ser mitigados.
8. Dar seguimiento y controlar el rendimiento del programa para asegurar que la ejecucin se
lleve de acuerdo a los planes acordados.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Factores
crticos
Relacin de
productos
Cerrar administrativamente la iniciativa mediante la integracin del informe final con base en el
caso de negocio autorizado y que incluya la evaluacin de los resultados y de beneficios desde
la perspectiva de la dependencia o entidad.
Factores
crticos
Pg. 91 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
7.3.1.2.3
Descripcin de roles
Rol
Descripcin
Grupo de trabajo
para la direccin de
TIC
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo
determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de
requerimientos, inversin y gasto en materia de TIC, define y establece controles de
gobierno y evala los resultados de la UTIC.
Debe asegurar la direccin y el control de los procesos y servicios de TIC.
Administrador del
portafolio de
proyectos de TIC
Patrocinador de la
Iniciativa
Responsable de la
administracin del
programa de
proyectos
Responsable de la
administracin del
programa
Administradores de
proyectos
7.3.1.2.4
Descripcin de productos
Producto
Descripcin
Criterios de
evaluacin de
iniciativas de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
inversin
Repositorio de
iniciativas de
inversin
Caso de negocio
Reporte de
evaluacin de
iniciativas de
inversin
Bitcora de cambios
al portafolio de
proyectos de TIC
Portafolio de
proyectos de TIC
Descripcin
Plan de gobierno del Integra toda la informacin sobre finanzas, recursos, cronogramas, alcance, riesgos y
programa/ proyecto comunicaciones, que se requiere para dirigir y controlar el programa /proyecto.
Autorizacin para el
inicio de proyecto
Informe de
desempeo del
programa de
proyectos
Informe de
desempeo del
portafolio de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
proyectos de TIC
Informe final de
iniciativa de
inversin
Plan para la
realizacin de
beneficios
Informes de
medicin y anlisis
7.3.1.3
Informe final que integra los resultados y hallazgos de la revisin de resultados de los
proyectos que la componen, elaborado al cierre de la iniciativa de inversin. Contiene las
lecciones aprendidas para mejorar la eficacia y eficiencia de la administracin de
portafolios.
Plan que establece, para cada resultado clave del proyecto/programa, la responsabilidad
para el logro del resultado, su fecha estimada de obtencin y el mecanismo de
seguimiento. Este debe incluir un registro detallado de los beneficios globales
esperados, la explicacin de los riesgos que pueden amenazar el cumplimento de cada
resultado clave y cmo estos riesgos deben ser mitigados.
Este informe comprende los resultados del seguimiento y control del programa a lo largo
de su ciclo de vida, informes de rendimiento y la evaluacin de tendencias y riesgos.
Indicadores
Nombre
Objetivo
Resultados
del proceso
de
Administracin
del portafolio
de proyectos
Conocer los
resultados del
proceso de
Administracin
del portafolio
de proyectos
Medir la
Eficiencia
eficiencia del
proceso por
el numero de
casos de
negocio
desarrollados
De
gestin
Cumplimiento
de beneficios
Conocer la
obtencin de
resultados de
acuerdo al plan
de
realizaciones
de beneficios
Medir la
Eficacia
eficiencia del
proceso por
los
beneficios
alcanzados
De
gestin
7.3.1.4.
1.1.
1.2.
Descripcin Dimensin
Tipo
Frmula
Responsable
% eficiencia=
UTIC
(nmero de
casos de
negocio
desarrollados /
nmero de
solicitudes de
desarrollo de
iniciativas de
inversin) X 100
UTIC
% eficacia=
(Nmero de
beneficios
alcanzados /
Nmero de
beneficios
establecidos en
el programa de
proyectos) X
100
Frecuencia
de clculo
Semestral
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.3
1.4
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
El Administrador del portafolio de proyectos de TIC tendr la responsabilidad de la identificacin,
evaluacin, seleccin, determinacin de prioridades y de la propuesta para autorizacin de las
iniciativas de inversin del Portafolio de proyectos de TIC as como de su actualizacin y de
presentarlas al Grupo de trabajo para la direccin de TIC para la toma de decisiones en caso de
presentarse riesgos, desviaciones y oportunidades.
Se deber dar seguimiento y revisar peridicamente el estatus del Portafolio de proyectos de TIC
para tomar las decisiones y acciones preventivas, correctivas y oportunas sobre la continuidad de la
inversin en recursos y de ser necesario ajustar, modificar, suspender o cancelar proyectos de TIC.
El Grupo de trabajo para la direccin de TIC deber evaluar los resultados de la ejecucin del
Portafolio de proyectos de TIC y de la realizacin de los programas asociados a cada iniciativa, con
el propsito de determinar el cumplimiento de los objetivos y beneficios esperados.
La UTIC deber asegurar que la planeacin y administracin del Portafolio de proyectos de TIC se
apega a la normatividad para el uso y control de recursos financieros y humanos requeridos en los
proyectos a implantar, as como del Marco rector de procesos de TIC.
1.5
1.6
1.7
1.8
1.9
1.10
7.3.1.5.
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 95 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.2.
7.3.2.1.
General.Obtener los resultados esperados de los proyectos de TIC, mediante una planeacin efectiva y la aplicacin de
conocimientos, habilidades, herramientas, tcnicas y recursos en el desarrollo de las actividades de un
proyecto, con el fin de satisfacer, cumplir y superar las necesidades y objetivos de las iniciativas de inversin de
TIC.
Especficos.-
7. Asegurar la calidad del producto o servicio garantizando el cumplimiento de los criterios de satisfaccin
del usuario.
Pg. 96 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.2.2.
7.3.2.2.1.
APV
APTI-1 Iniciar el proyecto
APP
Acta de constitucin
del proyecto
Ciclo de vida
del proyecto
ARTI
APTI-4 Elaborar el plan de
proyecto/fase
Directriz rectora
del proceso de
administracin de
riesgos de TIC
Plan del
proyecto
Estructura de desglose
del trabajo (EDT)
Documentacin del
alcance del proyecto
ATA
DST
Registro de
riesgos
Acta de cierre
Producto/servicio final
Expediente de proyecto de TIC
Evaluacin del cierre del proyecto
de TIC
APV
Reporte del
progreso y
desempeo del
proveedor
Evaluacin de
desempeo del
proveedor
Reporte de
hallazgos
Informe de estatus
del contrato
Lista de verificacin
de compromisos
contractuales
ADTI
Informacin de
trabajo realizado
Contrato suscrito
Pg. 97 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pg. 98 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.2.2.2.
Relacin de
productos
1.
2.
3.
4.
5.
6.
Identificar a los interesados o actores del proyecto que son afectados, participan o son
beneficiados, documentando y conciliando las expectativas sobre el proyecto.
7.
Factores
crticos
1. Definir el ciclo de vida del proyecto considerando entre otros factores, el tamao del
proyecto, restricciones como el tiempo y objetivos de calidad, experiencia y familiaridad del
equipo de trabajo del proyecto con las tecnologas a emplear y los productos a desarrollar.
Utilizar la informacin existente como formatos, lecciones aprendidas, ejemplos de
documentos, modelos de estimacin y mecanismos de comunicacin.
2. Revisar el ciclo de vida del proyecto cada vez que sea necesario.
Puede realizarse cualquier tipo de revisin en la dependencia o entidad de acuerdo al
proceso de Operacin del sistema de gestin y mejora de procesos de la UTIC del
presente Manual.
3. Identificar el ambiente de trabajo necesario para el desarrollo del proyecto (servidores,
Pg. 99 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
equipos de desarrollo, equipos de pruebas, herramientas, infraestructura).
Relacin de
productos
Factores
crticos
1. Acordar el alcance del proyecto, en funcin del producto o solucin tecnolgica a entregar.
2. El alcance del producto deber ser acordado con todos los interesados, particularmente
con el cliente, el patrocinador y el equipo de trabajo del proyecto.
3. Acordar con el equipo de trabajo del proyecto y otros interesados el alcance del trabajo.
4. El alcance del trabajo se documenta en una estructura de desglose del trabajo (EDT) que
documenta las actividades o los entregables que sern ejecutados por el equipo de trabajo
del proyecto, para lograr sus objetivos y crear los productos/entregables requeridos.
5. La EDT organiza y define el alcance total del proyecto.
Relacin de
productos
Factores
crticos
Consiste en establecer el Plan del proyecto con el cual se guiar la ejecucin, se dar
seguimiento y se controlar la realizacin del proyecto a lo largo de su ciclo de vida. El Plan
del proyecto establece como se cumplir con los objetivos del proyecto, tomando en cuenta
los factores, procesos e interacciones que lo componen o afectan durante su ciclo de vida.
1. Elaborar el cronograma del proyecto, partiendo de la EDT y de acuerdo con las
restricciones establecidas en el Acta de constitucin del proyecto. Se deben definir las
actividades, elaborar el diagrama de red con las actividades predecesoras y sucesoras,
realizar los estimados, calcular las duraciones y las fechas de inicio y fin. El cronograma
deber ser elaborado con la participacin de los interesados, particularmente con los
responsables de desarrollar actividades.
2. Elaborar el presupuesto del proyecto partiendo de la EDT, del cronograma del proyecto,
detallando las estimaciones de los recursos necesarios para realizar las actividades
programadas y conforme al presupuesto autorizado en la carta de constitucin del
proyecto. Se debe ajustar el alcance del proyecto y el Plan del proyecto (incluyendo el
cronograma) en caso necesario.
3. Desarrollar el Plan del proyecto.
Documentar un plan que en forma integral documente todos los procesos, mtodos,
herramientas, roles y responsabilidades para la administracin y la realizacin del
producto o servicio del proyecto.
El Plan del proyecto debe integrar a las lneas base para el control del tiempo
(cronograma), costo (presupuesto) y alcance del proyecto (documentacin del alcance
y la EDT) y el ambiente de trabajo del proyecto (servidores, equipos de desarrollo,
equipos de pruebas, herramientas, infraestructura).
El Plan del proyecto deber integrar los planes especficos:
Plan del alcance
Plan del tiempo
Pg. 100 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Para mayor detalle del contenido de cada uno de estos planes ver la descripcin de
producto del Plan del proyecto.
4. Aprobar el Plan del proyecto, ratificando los compromisos y acuerdos en los que se
sustenta el plan.
5. Comunicar el Plan del proyecto a todos los interesados.
6. Revisar el Plan del proyecto cada vez que sea necesario cuidando de mantener el control
de las versiones de las lneas base mediante solicitudes de cambios aprobadas y de
comunicar los cambios a todos los interesados.
Relacin de
productos
Factores
crticos
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Consiste en la direccin y coordinacin de las acciones para ejecutar el Plan del proyecto y su
cronograma respectivo, con el propsito de realizar el trabajo ah descrito.
1. Mantener el ambiente de trabajo del proyecto (servidores, equipos de desarrollo, equipos
de pruebas, herramientas, infraestructura).
2. Asegurar que se realiza el trabajo necesario para elaborar los productos entregables y
dar cumplimiento a los objetivos del proyecto de acuerdo a lo planeado.
3. Durante la realizacin del trabajo se ejecutan las actividades de calidad de acuerdo a lo
establecido en el Plan de Calidad.
4. El responsable de administrar el proyecto deber supervisar la adquisicin de los
recursos y el equipo necesario para la realizacin del trabajo. Es fundamental garantizar
que el equipo de trabajo del proyecto cuente con las habilidades para realizar su trabajo
mediante la provisin del entrenamiento y capacitacin que requiera.
5. Durante la ejecucin se distribuye la informacin requerida de acuerdo al Plan de
administracin del proyecto, con el propsito de mantener informados a los interesados y
administrar adecuadamente sus expectativas.
Informacin de trabajo realizado
Factores
crticos
Comprende las actividades para controlar efectivamente el proyecto a travs del seguimiento
del plan, reportando avances, manteniendo al da el control de cambios y documentando las
lecciones aprendidas a fin de recomendar acciones preventivas como anticipacin de posibles
problemas.
1. Dar seguimiento al rendimiento y avance del proyecto evaluando peridicamente los
puntos de control que permitan identificar las variaciones respecto del Plan del proyecto,
para controlar los cambios y recomendar acciones preventivas como anticipacin de
posibles problemas y adoptar las acciones correctivas cuando sean necesarias para
controlar la ejecucin del proyecto.
2. Integrar los informes de rendimiento y realizar revisiones del avance e hitos del proyecto.
Los informes deben proporcionar la informacin sobre el estado y el avance, con el nivel
de detalles requerido por los diversos interesados, segn lo documentado en el Plan de
comunicaciones.
3. Entregar y revisar con el Administrador del portafolio de proyectos de TIC el informe del
rendimiento del proyecto, as como los riesgos, hallazgos y oportunidades identificadas.
4. Analizar los asuntos del proyecto y darle seguimiento hasta su cierre.
5. Acordar formalmente la aceptacin de entregables; los que se presenten para
aprobacin, debern haber sido sujetos a todas las actividades de calidad que se
establezcan en el Plan de calidad.
6. Realizar el control de los cambios al proyecto, de modo que todos los cambios
aprobados a las lneas base del proyecto (Ej. costos (presupuesto), tiempo (cronograma),
y alcance (documentacin del alcance y EDT)) se revisen, aprueben e incorporen de
manera apropiada al Plan del proyecto.
7. Informar el seguimiento del proyecto y recibir retroalimentacin de quien corresponda
sobre los procesos de Administracin de proveedores, Adquisiciones de TIC,
Administracin financiera y Operacin del sistema de gestin y mejora de procesos de la
UTIC del presente manual.
Pg. 102 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Factores
crticos
Verificar que las actividades definidas en el Plan de proyecto o en una fase, se hayan
realizado. El cierre incluye la entrega ordenada de todos los documentos generados durante el
desarrollo del proyecto o la fase, as como la verificacin del cumplimiento de los acuerdos
contractuales y de la ejecucin de las evaluaciones de desempeo comprometidas.
1. Revisar y validar que el expediente y documentacin de sustento del proyecto de TIC
cumpla con los elementos de calidad del proceso de Operacin del sistema de gestin y
mejora de procesos de la UTIC del presente manual, como la documentacin de lecciones
aprendidas y la mejora continua.
2. Integrar el expediente del proyecto de TIC el cual contendr la documentacin soporte,
resultados finales, archivos, cambios, directorios, evaluaciones y lecciones aprendidas
entre otros.
3. Formalizar el cierre del proyecto a travs del acta de cierre firmada por el cliente y/o
patrocinador y los responsables de la administracin y supervisin del proyecto.
4. Realizar las notificaciones correspondientes de trmino del proyecto a los procesos de
Administracin del Portafolio de proyectos de TIC, Adquisiciones de TIC, Administracin
de proveedores, Administracin financiera y Operacin del sistema de gestin y mejora de
procesos de la UTIC del presente manual, para que se lleven a cabo los procesos de
cierre correspondientes.
5. Concluir y realizar el cierre contractual, en donde se verifiquen los entregables del
proyecto. Los trminos del contrato y sus condiciones pueden determinar procedimientos
especficos para el cierre del contrato. Terminar antes de la fecha programada es un caso
especial de cierre de contrato.
6. Concluir y realizar el cierre administrativo conforme a lo establecido en los procesos de
Administracin de proveedores y Adquisiciones de TIC del presente manual, asegurando y
documentando los resultados del proyecto para formalizar la aceptacin de los entregables
integrados por el administrador del proyecto; stos incluirn las observaciones del cliente
y/o el patrocinador el administrador del contrato (ver proceso de Administracin de
proveedores), los documentos finales, as como el anlisis de efectividad y xito del
proyecto.
7. Asegurar la calidad y disponibilidad del expediente y documentacin soporte del proyecto
de TIC para su uso posterior, con la finalidad de facilitar referencias, desarrollo de futuros
proyectos y auditoras externas o internas.
8. Considerar las actividades necesarias para lograr una transicin efectiva del producto o
servicio, incluyendo capacitacin, materiales y dems herramientas necesarias, con el
propsito de que el usuario final utilice el producto o servicio generado.
9. Obtener la retroalimentacin de todos los involucrados en el proyecto y discutirla con el
equipo, el cliente, el patrocinador, el administrador del contrato (ver proceso de
Administracin de proveedores). La evaluacin servir para documentar el desempeo del
equipo del proyecto al cierre y para capitalizar las lecciones aprendidas. Puntos a evaluar:
Retroalimentacin del proceso de Administracin del portafolio de proyectos de
TIC.
Retroalimentacin del cliente o usuario (cumplimiento de requerimientos)
Pg. 103 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
7.3.2.2.3
Descripcin de roles
Rol
Descripcin
Administrador
del proyecto
Patrocinador
del proyecto
Cliente
Usuario
Equipo de
trabajo del
proyecto
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.2.2.4
Descripcin de productos
Producto
Descripcin
Acta de
constitucin del
proyecto
Documento con el que se autoriza formalmente el inicio del proyecto y que designa al
administrador del proyecto. El Acta de constitucin del proyecto es emitida por el
patrocinador del proyecto cuando es autorizado en el proceso de Administracin del
portafolio de proyectos de TIC.
Define las fases en que se pueden dividir los proyectos, conectando el inicio de un
proyecto con su fin y describe tambin el ambiente en el cual operan los proyectos, con
el propsito de facilitar su gestin.
Incluye la informacin requerida para establecer el alcance del proyecto; la
documentacin del alcance incluye entre otros:
a) Los objetivos detallados del proyecto.
b) La especificacin de los productos y entregables.
c) Los supuestos y restricciones.
d) La documentacin de los requerimientos del proyecto.
e) Criterios de aceptacin para entregables y fases del proyecto.
Establece de manera formal la estrategia, responsabilidades y planes a seguir para
lograr los objetivos del proyecto, e integra la totalidad de la informacin requerida para
administrar el proyecto.
Algunos puntos que deben ser considerados en este documento son:
a) Supuestos, interdependencias, restricciones y exclusiones.
b) Lneas base para el control del tiempo (cronograma), costo (presupuesto) y alcance
(incluyendo la EDT), ambiente de trabajo del proyecto (servidores, equipos de
desarrollo, equipos de pruebas, herramientas, infraestructura).
c) Planes especficos de:
Plan del alcance. Define la metodologa para la definicin del alcance, la
creacin de la EDT, la aprobacin de entregables y el control de cambios del
alcance.
Plan del tiempo. Define la metodologa para la creacin y el control de cambios
del cronograma.
Plan del costo. Define la metodologa para la creacin y el control de cambios
del presupuesto.
Plan de calidad. Define la metodologa para la planeacin de la calidad, el
establecimiento de los objetivos de calidad y las actividades de aseguramiento y
control de la calidad.
Plan de comunicaciones. En este plan se identifican los requerimientos de
informacin de los interesados y se determina cmo se va proporcionar la
informacin necesaria durante la realizacin del proyecto. El Plan de
comunicacin detalla, entre otros, qu informacin se va a comunicar, a quin,
con que propsito, el medio y la frecuencia.
Plan de riesgos. Define la metodologa para la identificacin, clasificacin,
anlisis, atencin y seguimiento de los riesgos.
Plan de recursos humanos. Define la estructura organizacional del proyecto,
establece roles y responsabilidades, define la metodologa para la integracin,
desarrollo y administracin del equipo de trabajo del proyecto. Incluye el Plan de
capacitacin y entrenamiento, as como el sistema de incentivos y
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Repositorio central
del proyecto
recompensas.
Plan de adquisiciones. Define qu se va a adquirir, cmo se van a contratar los
servicios/productos, los criterios de seleccin de proveedores, cundo se debe
contratar, cul es el presupuesto para cada contrato, el tipo de contrato y el
esquema de contratacin.
Plan de configuracin y cambios. Define la metodologa y el sistema de control
de cambios, incluyendo los tipos de cambios y los niveles para la autorizacin
de cambios al proyecto.
Es el conjunto de datos e informacin, resultado de la ejecucin de las actividades
durante el ciclo de vida del proyecto
Informes de
desempeo del
programa de
proyecto
Informes y reportes que organizan y resumen la informacin del avance del proyecto y
presentan los resultados del anlisis comparativo del avance contra el plan.
Acta de cierre
Producto/servicio
final
Registro de riesgos
Lista ordenada de riesgos del proyecto, ordenados y asociados a las acciones para
mitigarlos y/o al Plan de contingencia.
El contenido del registro de riesgos deber contener al menos:
Identificacin del riesgo.
Fecha de registro.
Estado.
Descripcin detallada del riesgo.
Tipo de riesgo.
Descripcin del impacto posible.
Probabilidad estimada de ocurrencia.
Estimacin de impacto.
Prioridad.
Disparadores/ sntomas que indican la posibilidad latente del riesgo.
Responsable a cargo de enfrentar el riesgo.
Plan de mitigacin.
Plan de contingencia.
Fecha de seguimiento
Observaciones
Pg. 106 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Evaluacin del
cierre del proyecto
Formato de retroalimentacin que integra las evaluaciones del equipo de trabajo del
proyecto, del cliente, del patrocinador, administrador, del supervisor del contrato as
como del administrador del proyecto. La evaluacin, entre otros objetivos, para
Pg. 107 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
de TIC
documentar el desempeo del equipo del proyecto al cierre y para capitalizar las
lecciones aprendidas. Al menos deber evaluar los puntos siguientes:
Cumplimiento de requerimientos segn cliente o usuario.
Veracidad, relevancia y oportunidad de reportes ejecutivos.
Efectividad de distribucin de roles y funciones.
Calidad de la prediccin y manejo de riesgos.
Oportunidad de entregas parciales y finales.
Ahorro en costos previstos
Nivel de integracin del equipo del proyecto
Resultados esperados/ resultados obtenidos
Orden en administracin del proyecto
Fundamentacin de decisiones
Integralidad y correccin del Plan del proyecto.
Cumplimiento de los entregables y productos con la calidad comprometida
Cumplimiento del Plan del proyecto
Relacin entre los involucrados en el proyecto (participantes e interesados).
7.3.2.3
Indicadores
Descripcin Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
Nombre
Objetivo
Proyectos en
tiempo
Conocer la
eficiencia del
proceso de
Administracin
de proyectos
Obtener la
eficiencia
del proceso
mediante la
medicin de
proyectos
con avance
en tiempo
de acuerdo
a lo
programado
Eficiencia
De
% de
UTIC
gestin eficiencia=(Nmero
de proyectos que
cumplieron su
cronograma de
trabajo / Nmero
total de proyectos
ejecutados) X 100
Anual
Proyectos
dentro del
presupuesto
planeado
Conocer la
eficiencia del
proceso de
Administracin
de proyectos
Obtener la
Eficiencia
eficiencia
del proceso
mediante la
medicin de
proyectos
con avance
de acuerdo
al
presupuesto
programado
De
% de
UTIC
gestin eficiencia=(Nmero
de proyectos
ajustados al costo
previsto / Nmero
total de proyectos
ejecutados) X 100
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.3.2.4
1.1
Deber designarse un administrador del proyecto para cada proyecto de TIC. El administrador del
proyecto ser responsable de las actividades de direccin, planificacin, seguimiento y control del
proyecto para asegurar que se realice lo establecido en el Plan del proyecto.
Los administradores de proyecto designados debern asegurarse de que todos los proyectos
tengan asociado un Plan del proyecto aprobado formalmente.
Los cambios al Plan del proyecto debern realizarse mediante un proceso de Control de cambios.
Los administradores de proyecto designados debern asegurarse de que cualquier cambio al Plan
del proyecto autorizado se realice mediante un proceso de Control cambios.
El administrador del proyecto deber dar seguimiento al avance del proyecto a fin de cumplir con lo
planeado, utilizando eficientemente los recursos asignados e identificando desviaciones, riesgos y
oportunidades para implementar las acciones que correspondan en cada caso.
El administrador del proyecto deber asegurar que se elaboren informes durante el ciclo de vida
del proyecto que incluyan como mnimo: el avance en el cronograma, las listas de riesgos, asuntos
y cambios. .
El administrador del proyecto deber informar y recibir retroalimentacin del seguimiento al Plan
del proyecto segn el Plan de comunicaciones y de los procesos de Administracin del portafolio
de TIC, proceso de Administracin de proveedores, proceso de Adquisiciones de TIC, proceso de
Administracin financiera, procesos de Operacin del sistema de gestin y mejora de procesos de
la UTIC del presente manual, en lo que a cada uno corresponda.
El administrador del proyecto deber contar con el expediente del proyecto de TIC, con cada
actividad debidamente documentada y actualizada, desde su inicio hasta su cierre.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en
el proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
7.3.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.4
ADMINISTRACIN-PROCESOS
7.4.1
7.4.1.1
General.-
Establecer y operar un Sistema de gestin y mejora de los procesos de la UTIC, alineado al Marco rector de
procesos de presente manual en el que se definan los procesos, su operacin, monitoreo, evaluacin y se
consideren las acciones de mejora necesarias para una operacin eficiente de la UTIC y la entrega de
soluciones tecnolgicas y servicios de TIC de calidad.
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.4.1.2
Modelos,
estndares y
normatividad
Plan estratgico
de la UTIC
(PETIC)
Manual general
de TIC
Documento
estratgico de
TIC
Marco rector de
procesos
Portafolio de
proyectos de TI
Directriz rectora
del proceso de
administracin
de riesgos
Repositorio de
activos de
procesos
Repositorio de
mtricas de
procesos
Plan de administracin
del proceso
Plan de implementacin
de mejoras de procesos
Lecciones aprendidas
Procesos del
Marco rector
Repositorio de
solicitudes de
mejoras
AD,
CR
Plan de evaluacin
Reporte de evaluacin
de procesos
Listas de verificacin
Solicitudes de mejoras de
procesos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.4.1.2.2
Identificar las necesidades, planear y definir los procesos del Sistema de gestin y mejora de
procesos de la UTIC con un enfoque sistmico, alineado al Marco rector de procesos de este
manual.
Factores
crticos
1. Identificar las necesidades y determinar los procesos que formarn parte del Sistema de
gestin y mejora de procesos de la UTIC con base en los siguientes principios:
Considerar los procesos necesarios para dar cumplimiento a los objetivos, misin,
visin y lneas de accin estratgica en materia de TIC establecidas en el PETIC y
en el documento estratgico de TIC de la UTIC.
Entradas y salidas,
Procedimientos
Subprocesos
Pg. 113 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
a) instalaciones, espacio de trabajo y herramientas asociadas,
b) equipo del proceso incluyendo software e infraestructura,
c) servicios de soporte (como transporte, comunicacin o sistemas de
informacin)
14. Integrar en el Plan de administracin del proceso (tambin llamado Plan de calidad del
proceso en un Sistema de gestin de procesos, segn ISO 9001) los elementos
necesarios para la direccin, realizacin y control del proceso
15. Revisar en forma peridica las necesidades de definicin y control de los procesos de TIC
de la dependencia o entidad.
Relacin de
productos
Factores
crticos
Elaborar los planes para la implementacin de mejora de procesos con la finalidad de operar
el Sistema de gestin y mejora de procesos de la UTIC.
1. Elaborar las estrategias y planes de accin detallados en un Plan de implementacin
de mejora de procesos considerando al menos los siguientes elementos:
Establecer los equipos de trabajo que sern involucrados en las actividades del
Plan de implementacin de mejora de procesos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
6. Dirigir, supervisar y controlar el trabajo de los equipos y los involucrados para monitorear
el avance y los resultados del proyecto de implementacin de mejora de procesos.
7. Recopilar las lecciones aprendidas en la definicin, pilotaje, implementacin y despliegue
de las mejoras de los procesos y ponerlas a disposicin de los involucrados e
interesados.
Relacin de
productos
OSGP-3: Monitorear y evaluar la operacin del Sistema de gestin y mejora de procesos de la UTIC
Descripcin
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
La UTIC deber monitorear y medir las caractersticas de los productos y/o servicios de
sus procesos para verificar que los requerimientos se han cumplido. Esto debe
realizarse en momentos apropiados durante el proceso, de acuerdo a un plan
acordado con todos los involucrados. Se debe conservar evidencia de la conformidad
con los criterios de aceptacin. Estos registros debern indicar la persona (o personas)
que autoriza la entrega del producto y/o servicio.
La UTIC deber aplicar mtodos apropiados para monitorear sus procesos. Estos
mtodos debern demostrar la capacidad de los procesos para lograr los resultados
planeados.
Se deber alinear las capacidades del personal con los procesos que operan, en
apego a los procesos EEG e IDP.
El funcionario responsable del rea/ proceso evaluado deber asegurar que se realicen
las acciones para corregir las inconformidades encontradas durante las evaluaciones y
que se implementen acciones correctivas, para evitar que las desviaciones vuelvan a
ocurrir. Se entiende por inconformidad los problemas provocados por la inobservancia
a los estndares, procesos o procedimientos. El estatus de las inconformidades provee
Pg. 117 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
un indicador de la calidad de los procesos de la UTIC.
Dar seguimiento a las inconformidades hasta su cierre y validar que las acciones
correctivas implementadas son efectivas.
los hallazgos y
Plan de evaluacin
Reporte de evaluacin de procesos
Listas de verificacin
Solicitudes de mejoras de procesos
En esta actividad se efecta la administracin de las mejoras de los procesos del Sistema de
gestin y mejora de procesos de la UTIC que le apliquen.
1. El Grupo de trabajo de procesos y mejora continua de la UTIC tendr la
responsabilidad de administrar las mejoras a los procesos de la UTIC de una forma
ordenada y siempre en beneficio de la dependencia o entidad, mediante un proceso de
Control de cambios.
2. Las solicitudes de mejora de procesos debern ser registradas y analizadas por el
Grupo de trabajo de procesos y mejora continua de la UTIC para determinar el impacto
en la UTIC, en la dependencia o entidad, as como los beneficios de su implantacin,
los costos y esfuerzos involucrados.
3. Se debe priorizar y seleccionar las propuestas de mejora, considerando los siguientes
criterios:
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
4. De ser necesario, por tamao, costo o magnitud del esfuerzo, documentar las mejoras
propuestas como iniciativas/proyectos de mejora, conforme a lo establecido en el
proceso de Administracin del portafolio de proyectos de TIC, para su evaluacin,
seleccin y autorizacin por las autoridades correspondientes.
5. Dar seguimiento a las inconformidades hasta su cierre y validar que las acciones
correctivas implementadas son efectivas.
6. Si las acciones realizadas no tienen el resultado esperado, corresponde iniciar un
nuevo ciclo, regresando a la actividad de OSGP-1, para determinar las necesidades
del Sistema de gestin y mejora de procesos de la UTIC.
Relacin de
productos
7.4.1.2.3
Descripcin de roles
Rol
Descripcin
Responsable de
mejora de
procesos
Responsable de
aseguramiento
de calidad
Evaluador de
calidad
Grupo de trabajo
de mejora
continua de TIC
Responsable del
proceso
7.4.1.2.4
Descripcin de productos
Producto
Descripcin
Diagrama de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
arquitectura de
procesos
Repositorio de
activos de
procesos
Plan de
administracin
del proceso
entradas y salidas,
subprocesos,
Plan de
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
evaluacin
dependencia o entidad. Algunos puntos que deben de ser considerados en este documento
son:
Tabla de contenido
Objetivo del documento
Aprobacin del documento
Acrnimos y definiciones
Objetivo de la evaluacin
Objetivo de mejora
Alcance de la evaluacin de los procesos de TIC de la dependencia o entidad
Identificacin de proyectos a evaluar
Actividades
Roles y responsabilidades:
Patrocinador
Grupo evaluador
Participantes
Restricciones de la evaluacin
Riesgos de la evaluacin
Confidencialidad de la evaluacin
Acuerdo de confidencialidad
Entregables de la evaluacin
Actividades
Instalaciones
Calendario detallado
Plan de
implementacin
de mejoras de
procesos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Listas de
verificacin
Documento en que se establecen los criterios y puntos crticos a revisar en una auditora,
revisin o evaluacin.
Reporte de
evaluacin de
procesos
Lecciones
aprendidas
Documento en el que se registran las lecciones aprendidas que aportan valor para
incrementar el conocimiento de la UTIC con respecto a sus procesos y activos de procesos.
Solicitudes de
mejoras de
procesos
Documento que se utiliza para registrar y administrar las reas de oportunidad de mejora en
los procesos de la UTIC y que se identifica como una solicitud para la implementacin de
alguna accin de mejora.
Repositorio de
mtricas de
procesos
Informes de
medicin y
anlisis
Repositorio de
Repositorio utilizado para recolectar y dar seguimiento al estado de las solicitudes de mejora
Pg. 122 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
solicitudes de
mejora
Reporte de no
conformidades
Reporte que refiere los problemas identificados en las evaluaciones que reflejan
inobservancia de los estndares, procesos o procedimientos.
7.4.1.3
Indicadores
Nombre
Objetivo
Descripcin
Dimensin
Cumplimiento
de procesos
apegados al
marco rector
Conocer la
eficiencia del
proceso
mediante el
cumplimiento
del Marco
rector del
procesos del
Manual
Medir el
porcentaje de
cumplimiento
de procesos
conforme al
Marco rector
Eficiencia
Resultados del
Sistema de
gestin y
mejora de
procesos
Conocer la
eficiencia del
proceso
mediante las
acciones de
mejora
implementadas
Medir los
Eficiencia
resultados del
sistema en
cuanto a
implementacin
de mejoras
Tipo
Frmula
De
% de eficiencia=
gestin (nmero de
procesos que se
efectan con
apego al Marco
rector / nmero
de procesos
adoptados del
Marco rector) X
100
De
% de eficiencia=
gestin (Total mejoras
implementadas /
Total de mejoras
identificadas) x
100
Responsable
Frecuencia
de clculo
Grupo de
trabajo para
la direccin
de TIC
Semestral
Grupo de
trabajo para
la direccin
de TIC
Semestral
7.4.1.4
1.1
La UTIC deber regir su gestin con estricto apego a los 31 procesos del Marco rector del presente
manual.
Los procedimientos e instrucciones de trabajo que defina la UTIC debern estar alineados al Marco
rector de procesos.
Todos los procesos establecidos debern contar con indicadores y mtricas para evaluar su
desempeo en forma peridica al igual que los procedimientos que de stos se deriven.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Este proceso deber verificar que los participantes en la ejecucin de los procesos cuenten con las
1.2.
1.3
1.4
1.5
1.6
1.7
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.8
1.9
7.4.1.5
capacidades, habilidades y conocimientos para realizar las actividades y tareas asociadas a su rol,
observando, en todo momento, la Ley del Servicio Profesional de Carrera,.
El responsable de la UTIC para cada proceso deber revisar y aprobar el Plan de administracin del
proceso correspondiente.
Se debern realizar evaluaciones y/o auditoras documentadas a fin de verificar que la operacin de
los procesos corresponda a los planes de administracin del proceso.
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5
ADMINISTRACIN DE RECURSOS
7.5.1
7.5.1.1
General.Administrar y controlar de manera eficiente los recursos financieros asignados a TIC, a fin de maximizar su
contribucin a los objetivos de la planeacin estratgica
Especficos.1. Identificar y consolidar los requerimientos financieros de proyectos y servicios de TIC en los portafolios
correspondientes.
2. Solicitar a la unidad administrativa encargada, en la dependencia o entidad, los recursos financieros
necesarios para la ejecucin del portafolio proyectos y servicios de TIC.
3. Organizar los portafolios de proyectos y servicios de TIC a fin de mejorar su rentabilidad considerando
minimizar los costos, maximizar los beneficios por medio de estrategias adecuadas.
4. Facilitar la toma de decisiones de inversin de TIC al Grupo de trabajo para la direccin de TIC y al titular de
la UTIC, mediante la priorizacin de proyectos que optimicen costos y maximicen beneficios.
5. Elaborar y mantener actualizado el presupuesto de TIC en el repositorio de iniciativas de TIC, para cada
rubro de gasto e inversin, considerando las presiones de gasto.
6. Establecer indicadores y monitorear los resultados del gasto en TIC y su correlacin con los beneficios.
7. Ejecutar acciones correctivas cuando los costos se desvan de los presupuestos asignados y/o acciones
preventivas cuando las tendencias presenten oportunidades de mejora.
8. Asegurar la existencia de un presupuesto suficiente para los otros gastos de TIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.1.2
7.5.1.2.1
PE
Planeacin estratgica
de TIC (PETIC)
Entorno
interno
Presupuesto
asignado a
la UTIC
APTI
Plan de
proyecto
Entorno
interno
Adecuaciones presupuestales,
reasignaciones de gasto, y otras
disposiciones contempladas en
el Manual administrativo de
aplicacin general en materia de
recursos financieros
Presiones de gasto
Lista de iniciativas de inversin de
TIC presupuestadas y priorizadas
ADTI
Presupuesto de TIC.
Solicitud de cambios
al portafolio de
proyectos
APP
APTI
Solicitud de
dictamen de
disponibilidad
presupuestal
Solicitud de
dictamen de
disponibilidad
presupuestal
Reportes de seguimiento y
control del presupuesto.
Indicadores de gasto por
proyecto/rea/funcin
Finanzas
Dictamen de
disponibilidad
presupuestal
ADTI
APP
AD
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.1.2.2
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AF-2 Establecer prioridades en el presupuesto de TIC
Descripcin
Efectuar la toma de decisiones para definir las operaciones, proyectos y mantenimiento que
se privilegiarn al asignar recursos a TIC, a fin de optimizar el retorno de inversin del
Portafolio de proyectos de servicios y los activos de TIC.
Factores
crticos
Relacin de
productos
Presiones de gasto
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
2. El programa de inversin de TIC deber considerar al menos los siguientes componentes:
Presupuesto de TIC
Factores
crticos
Dar seguimiento, monitorear y controlar los costos reales contra los presupuestados. Los
costos se deben monitorear y reportar de acuerdo a la periodicidad requerida por cada
dependencia y/o entidad y respetando los tiempos que determine la normatividad vigente en la
materia, a fin de tener oportunidad de establecer medidas preventivas, correctivas y de
mejora.
1. Dar seguimiento a los costos y presupuesto de TIC, en los portafolios de proyectos, de
servicios de TIC y de otros rubros, para su registro, anlisis, control y seguimiento.
Se deber establecer los elementos de costo de los proyectos que sern asignados a
la unidad responsable de las TIC, y de aquellos que correspondan a las reas usuarias
Pg. 130 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
que reciben los servicios de TIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.1.2.3
Descripcin de roles
Rol
Descripcin
Grupo de
trabajo para la
direccin de
TIC
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo determina
las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos,
inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los
resultados de la UTIC.
Debe asegurar la direccin y el control de los procesos y servicios de TIC.
Responsables
de rea
Administrador
del
presupuesto
7.5.1.2.4
Responsable de tomar las decisiones de alto nivel con respecto a la priorizacin de los
recursos y asignacin del presupuesto a iniciativas de inversin de TIC.
Son aquellos que participan en el establecimiento del presupuesto para los programas,
proyectos y servicios de TIC.
Responsables de:
Documentar los casos de negocio para justificar los beneficios de la inversin de TIC
en programas, proyectos o servicios especficos.
Establecer el presupuesto estimado para la operacin y mantenimiento de la
infraestructura de TIC.
Dar seguimiento a los costos y presupuesto estimado durante la ejecucin de los
programas, proyectos y servicios de TIC.
Responsable de realizar las actividades administrativas para controlar el presupuesto
asignado, dar seguimiento al calendario de gasto de TIC, monitorear el ejercicio y reportar la
informacin asociada al presupuesto.
Descripcin de productos
Producto
Descripcin
Presupuesto
asignado a la
UTIC
Lista de
iniciativas de
inversin de
TIC
presupuestada
s y priorizadas
Presupuesto
de TIC
Documento que seala el presupuesto asignado a la UTIC para realizar sus funciones.
Reportes de
seguimiento y
control del
presupuesto
Lista de
Documento que formaliza las iniciativas de inversin de TIC que sern realizados por la
dependencia o entidad y el presupuesto asignado, calendarizado, para ser ejercido para cada
una de ellos.
Reportes peridicos que informan sobre el uso de los recursos financieros, en comparacin
con el presupuesto asignado, indicando el presupuesto ejercido o por devengar.
Igualmente sealan las desviaciones con respecto a las estimaciones de costo y a la
programacin del presupuesto.
Estos reportes debern contener informacin de seguimiento a las acciones correctivas
establecidas para controlar y administrar el presupuesto.
Documento que en el cual se encuentran etiquetados de acuerdo al catlogo de
Pg. 132 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
conceptos de
TIC
etiquetados
identificadores del gasto, los componentes de los portafolios de proyectos y servicios de TIC.
gasto por
proyecto/rea/f
uncin
Solicitud de
cambios del
portafolio de
proyectos
Dictamen de
disponibilidad
presupuestal
Solicitud de
dictamen de
disponibilidad
presupuestal
7.5.1.3
Indicadores
Nombre
Objetivo
Resultados
del proceso
de
Administraci
n financiera
de TIC
Conocer la
eficiencia de
la gestin del
proceso de
Administraci
n financiera
de TIC
Resultados
del proceso
de
Administraci
n financiera
de TIC
Conocer los
resultados del
proceso de
Administraci
n financiera
de TIC
Descripci
n
Dimensi
n
Conocer la
eficiencia
del proceso
mediante la
medicin del
presupuesto
ejercido en
tiempo y
forma
Conocer la
eficiencia
del proceso
mediante la
medicin de
las
economas
logradas
Responsabl
e
Tipo
Frmula
Eficiencia
De
gesti
n
% de
eficiencia=(Presup
uesto ejercido en
tiempo y forma /
Total del
presupuesto
asignado) * 100
Administrador
del proceso
Eficiencia
De
gesti
n
% de
eficiencia=(Ahorro
s
obtenidos/ahorros
estimados en el
caso de negocio)
X 100
Administrador
del proceso
Frecuenci
a de
clculo
Semestral
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.1.4
1.1
Se deber realizar la administracin financiera de TIC que tome como base el Portafolio de
proyectos establecido mediante las actividades de planeacin estratgica de la dependencia o
entidad de TIC.
La UTIC deber administrar el presupuesto asignado a las TIC en la dependencia o entidad.
Asimismo, integrar la distribucin presupuestal de la dependencia o entidad en lo correspondiente
a TIC con base en los recursos que se establezcan en el Presupuesto de Egresos de la Federacin
para el ao correspondiente y coordinar la planeacin del presupuesto en materia de TIC de la
dependencia o entidad conforme al Portafolio de proyectos de TIC, con la finalidad de definir sus
necesidades de inversin en materia de TIC de corto, mediano y largo plazo.
Para cada programa de inversin en TIC se deber contar con un caso de negocio a fin de
documentar la contribucin de valor al negocio y el costo beneficio
La UTIC deber solicitar a las rea usuaria informen de la asignacin de presupuesto que hayan
obtenido en los rubros relacionados con Tecnologas de Informacin y Comunicaciones
Se debern establecer las prioridades en el uso del presupuesto conforme a lo especificado en el
proceso de Administracin del portafolio de proyectos de TIC.
Anualmente se deber analizar la manera ms efectiva y eficiente de asignar el presupuesto al
portafolio y/o proyectos de TIC. Se deber considerar la ponderacin y prioridades definidas para
maximizar la contribucin de valor, consolidando los criterios y aprobaciones integrales de las reas
usuarias de negocio (sustantivas y adjetivas), reas tcnico-normativas en materia de TIC y reas
financiero-presupuestales.
Se deber formalizar y documentar el presupuesto de TIC y difundirlo a todos los participantes
relevantes tales como responsables rea, lderes y responsables de reas operativas y/o de
servicio.
Se debern documentar los riesgos asociados a la asignacin del presupuesto.
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.14
1.15
1.16
1.17
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.18
1.19
1.20
1.21
1.22
7.5.1.5
El ejercicio del presupuesto para tecnologas especializadas, as como para actividades especficas
no estandarizadas en la industria de cmputo y comunicaciones, deber sujetarse a la normatividad
aplicable
Sin perjuicio de lo establecido en este manual, las dependencias y entidades debern observar, en
lo conducente, las disposiciones emanadas del manual administrativo de aplicacin general en
materia de recursos financieros.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.2.
Administracin de proveedores
7.5.2.1
General.-
Establecer los mecanismos de comunicacin necesarios para asegurar el adecuado cumplimiento de los
compromisos contractuales. con los proveedores
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.2.2
7.5.2.2.1
UR Adquisiciones
ADTI
Contrato
de TIC
Contrato
suscrito
AST
APTI
ATA
AST
Copia de contrato
TIC
Lista de
verificacin de
compromisos
contractuales
Reporte de
revisiones
de procesos
APV-2 Monitorear el
avance y desempeo del
proveedor
APV-3 Revisin de
cumplimiento al contrato
TIC
ATA
Reporte de no conformidades
de auditoria
Reporte de revisiones
tcnicas a componentes del
servicio
Reporte de pruebas a la
prestacin del servicio
suministrado por terceros
Planes de mejora de servicio
suministrado por terceros
APTI
AD
Matriz de rastreo
y trazabilidad del
contrato
Informe de estatus
del contrato
ATA
Carta de aceptacin de
la solucin tecnolgica
Manifestacin de
conformidad para la
liberacin del pago al
proveedor
APV-4 Cierre
administrativo del contrato
ATA
APTI
UR adquisiciones
UR Adquisiciones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.2.2.2
Con base al contrato establecido, se elabora una lista de verificacin para dar seguimiento al
desarrollo del contrato.
Factores
crticos
1. Verificar que el contrato contenga a detalle los trminos y condiciones que normarn la
adquisicin, as como el detalle de los requerimientos contractuales especificados por el
solicitante.
2. Asegurar que los involucrados en el desarrollo y seguimiento del contrato dispongan de
una copia firmada y de un resumen de las obligaciones establecidas y firmadas por los
participantes.
3. Identificar los compromisos y responsabilidades contractuales que permitan dar
seguimiento y monitorear la ejecucin del contrato.
4. Identificar a los responsables, por parte del proveedor y solicitante, de supervisar y
administrar el contrato,
5. Identificar las condiciones en las que se aplicaran penalizaciones a los proveedores.
6. Documentar los entregables, compromisos y responsabilidades contractuales.
7. En los casos en que participen mltiples proveedores en un contrato, es necesario definir
qu requerimientos sern cubiertos por cada proveedor.
Copia de contrato TIC
Lista de verificacin de compromisos contractuales
Relacin de
productos
Verificar que las actividades del proveedor sean desempeadas como est especificado en el
contrato.
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Reporte de hallazgos
Verificar y evaluar que la totalidad de las actividades desarrolladas se realicen con apego a lo
estipulado en los contratos establecidos, con la finalidad de identificar riesgos y
oportunidades, que permitan evitar incumplimientos de los compromisos contractuales,
inclusive por parte de la UTIC y/o del rea solicitante del objeto del contrato.
Factores
crticos
Relacin
productos
de
Comprobar que el proveedor cumpli con la totalidad de sus compromisos, para cerrar el
contrato.
1. Verificar que el servicio y/o soluciones tecnolgicas se han entregado conforme lo
especificado y de conformidad con el contrato.
2. Validar que todas las inconformidades, defectos y/o desviaciones han sido resueltos.
3. Verificar que no exista alguna deduccin y/o penalizacin por aplicar.
4. Confirmar que todos los accesos y/o cuentas proporcionados al proveedor han sido
Pg. 140 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
dados de baja.
5. Validar las afectaciones a las fianzas.
6. Aprobar la carta de terminacin de los servicios y/o soluciones tecnolgicas.
Relacin de
productos
7.5.2.2.3
Descripcin de roles
Rol
Descripcin
Administrador
del contrato
Administrador
del proveedor
7.5.2.2.4
Descripcin de productos
Producto
Descripcin
Carta
terminacin de
servicios del
proveedor
Documento para formalizar el cierre del contrato, basado en lo establecido por los Manuales
Generales de Recursos Financieros. Los siguientes puntos deben considerarse en el
documento:
a) Nombre del responsable de la aprobacin
b) Fecha
c) Caractersticas de la solucin tecnolgica y/o servicio adquirido
Reporte que indica el concentrado de las evaluaciones al desempeo del proveedor, incluye
nivel de satisfaccin, de capacidad tcnica y de calidad.
Describe el grado de apego al contrato tanto por parte del proveedor como del cliente. Los
siguientes puntos deben considerarse:
a) Desviaciones crticas y la manera en que se solventan
b) Riesgos potenciales, as como las acciones para su mitigacin
c) Recomendaciones y, en su caso, dictamen por parte del rea jurdica
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Lista de
verificacin de
compromisos
contractuales
Compromiso contractual
g) Trminos y condiciones
Reporte de
hallazgos
Contiene el registro de las desviaciones y/o defectos encontrados durante las evaluaciones
de capacidades efectuadas al proveedor. Los siguientes puntos deben considerarse en el
documento:
a) Hallazgos
b) Clasificacin del hallazgo con base en su gravedad
c) Estatus del hallazgo
Documento ejecutivo que muestra el resumen del avance en la ejecucin del contrato en un
periodo determinado. Los siguientes puntos deben considerarse en el documento:
a) Principales logros del perodo
b) Desempeo en trmino de niveles de servicio
c) Penalizaciones y/o deducciones, aplicadas y/o por aplicar
Acta de cierre
de contrato
Documento de
liberacin de
fianzas
Manifestacin
Documento por medio del cual se manifiesta que el proveedor ha cumplido con un
de conformidad determinado compromiso contractual (puede ser parcial o total) a satisfaccin del rea
para la
solicitante, autorizando se efecte el pago correspondiente.
liberacin del
pago al
proveedor
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.2.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsabl
e
Cumplimiento
de los
compromisos
del Proveedor
Conocer la
eficacia del
proceso
Medir el
porcentaje de
cumplimiento
de los
compromisos
del Proveedor
conforme al
contrato
Eficacia
De
gestin
UTIC
Satisfaccin
de los
servicios y/o
soluciones
tecnolgicas
proporcionad
as por el
proveedor
Tener una
medicin de
la calidad
del servicio
de los
proveedores
Medir la
calidad de los
servicios y/o
soluciones
tecnolgicas
entregados
Calidad
De
gestin
% de eficacia=
(Nmero de
entregables
cumplidos en
tiempo y con las
caractersticas
requeridas en el
contrato/ Nmero
de Entregables
totales del
contrato)*100
(Nmero de
requerimientos
cumplidos en los
servicios / Total
de
requerimientos
establecidos en
los contratos de
servicios) X 100
Frecuenci
a de
clculo
Semestral
UTIC
Semestral
7.5.2.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.9
1.20
1.21
1.22
7.5.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.3.
7.5.3.1
Adquisiciones de TIC
Objetivos del proceso
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.3.2
7.5.3.2.1
Presupuesto de TIC
Dictamen de disponibilidad presupuestal
Plan de aprovisionamiento de infraestructura
AF, MI
UR
Adquisiciones
Requisitos
administrativos definidos
en el Manual
administrativo de
aplicacin general en
materia de adquisiciones
y arrendamientos
ADTI-2 Preparacin de
expedientes administrativos y
ejecucin del programa de
adquisiciones de TIC
UR Adquisiciones
Anexo tcnico
Reporte de evaluacin
del servicio suministrado
por terceros
Solicitud de
dictamen de
disponibilidad
presupuestal
ATA
AST
AF
Programa calendarizado de
adquisiciones y servicios de TIC
RFI Solicitudes de informacin sobre
soluciones tecnolgicas
RFP Solicitud de propuesta de
soluciones tcnicas
Estudio de mercado
Anexo tcnico
Trminos y condiciones
Estatus de la gestin
de la contratacin
Contrato de TIC
Propuesta tcnica
Prebases para la
adquisicin
UR Adquisiciones
ATA
AST
ADTI- 3 Participacin y
seguimiento de procesos de
adquisicin de proveedores
APTI,ATA, AD
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.5.3.2.2
Estudio de mercado
Anexo tcnico
Trminos y condiciones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
ADTI- 2 Preparacin de expedientes administrativos y ejecucin del programa de adquisiciones de TIC
Descripcin
Factores crticos
Factores crticos
Validar que las especificaciones tcnicas donde se estipulan los deberes del
Pg. 149 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
proveedor y sus compromisos, queden plasmadas en el contrato
Revisar el contrato y verificar que sea aprobado por las partes involucradas
4. Formalizar el contrato
Relacin de
productos
Contrato suscrito
7.5.3.2.3
Descripcin de roles
Rol
Descripcin
UR Adquisiciones
Proveedor
7.5.3.2.4
Descripcin de productos
Producto
Descripcin
Programa de
adquisiciones y
servicios de TIC
Paquete para la
adquisicin
Solicitudes de
informacin
sobre soluciones
tecnolgicas
(RFI)
Solicitud de
propuesta de
soluciones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
tcnicas (RFP)
Estudio de
mercado
Anexo tcnico
Notificacin de
estado del
proceso de
contratacin
Trminos y
condiciones
Solicitud para
iniciar
procedimiento de
adquisicin
Informacin del
proceso de
adquisiciones
Contrato suscrito
Solicitud de
dictamen de
disponibilidad
presupuestal
7.5.3.3
Documento que establece los trminos y condiciones del bien o servicio a adquirir.
Documento para iniciar el procedimiento de contratacin.
Indicadores:
Nombre
Objetivo
Descripci
n
Dimensi
n
Tipo
Frmula
Responsa
ble
Resultados
de la gestin
de
contratacione
s de TIC
Obtener la
medicin de la
eficacia del
proceso basado
en las gestiones
efectuadas
Conocer el
porcentaje
de las
gestiones
realizadas
conforme al
proceso de
adquisicion
es de TIC
Eficacia
De
gesti
n
% de eficacia=
(Nmero de
Gestiones de
adquisicin
efectuadas en
tiempo y forma /
Nmero de
gestiones de
adquisiciones de
TIC solicitadas) X
100
Administra
dor
del
proceso
Frecuenci
a de
clculo
Anual
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripci
n
Dimensi
n
Tipo
Frmula
Responsa
ble
Resultados
del proceso
de
adquisiciones
de TIC
Obtener la
eficiencia del
proceso mediante
la medicin de los
tiempos en que se
ejecuta el proceso
Obtener los
resultados
del proceso
de
adquisicion
es de TIC
Eficiencia
De
gesti
n
% de eficiencia=
( de los tiempos
reales en los
procesos de
contratacin /
de los tiempos
programados para
los procesos de
contratacin) X
100
Administra
dor
del
proceso
Frecuenci
a de
clculo
Anual
7.5.3.4
1.1
Sin perjuicio a lo establecido en el presente manual, todas las actividades desarrolladas para la
adquisicin de TIC incluyendo servicios asociados debern apegarse al manual administrativo de
aplicacin general en materia de adquisiciones y arrendamientos, leyes y reglamentos que apliquen.
Se deber contar con la definicin de los requerimientos funcionales y no funcionales de las reas
usuarias, as como con los requerimientos tcnicos desarrollados por las reas responsables de la
UTIC para conducir los estudios de viabilidad y de mercado y, en funcin de las conclusiones de
stos, iniciar formalmente el procedimiento de adquisicin de TIC.
Todos los acuerdos con el proveedor debern quedar plasmados en el contrato y anexos
respectivos. Si se trata de servicios deber incluirse un acuerdo de nivel de servicio que detalle los
parmetros aceptables y las mtricas acordadas, as como los estndares y metodologas para su
control y seguimiento.
La UTIC, a travs del responsable de las adquisiciones de TIC, deber asegurarse de que los
contratos que firme cumplan con los requisitos administrativos, tcnicos y funcionales, de acuerdo a
la normatividad aplicable en la materia.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
1.2
1.3
1.4
1.5
1.6
1.7
7.5.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6
ADMINISTRACIN DE SERVICIOS
7.6.1
7.6.1.1
General.-
Definir las prioridades, compromisos e inversiones en servicios de TIC, necesarias para el logro de los objetivos
estratgicos de la dependencia o entidad.
Especficos.-
1. Asegurar la gestin del ciclo de vida de los servicios de TIC desde su conceptualizacin, diseo, elaboracin
y entrada en operacin hasta que entren en desuso.
2. Establecer mecanismos para la toma de decisiones de carcter estratgico relacionada con los servicios de
la UTIC.
3. Establecer un esquema de evaluacin, adecuado, comparable, transparente y repetible, que considere el
valor, los beneficios y los riesgos de los casos de negocio, de acuerdo a lo establecido en el proceso de
Administracin del portafolio de proyectos.
4. Implementar mecanismos que aseguren la comunicacin y el involucramiento de la UTIC con los mandos
superiores de la dependencia o entidad, para la toma de decisiones acerca de las inversiones en servicios de
TIC.
5. Proporcionar a los mandos medios y superiores informacin clara y precisa sobre los servicios de TIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.1.2
7.6.1.2.1
PETIC
Requerimientos de
servicios de TIC de la
dependencia o entidad
Entorno
interno
PE
APP
Caso de
negocio de
servicio de TIC
Categoras de
servicios de TIC
Criterios para
la evaluacin
de iniciativas
DDT
Portafolio de
servicios de
TIC
PE
PETIC
Informes de
medicin y
anlisis
Valoracin de
servicios de TIC
AD
Solicitud de cambios al
portafolio de servicios de TIC
Bitcora de cambios
al portafolio de
proyectos de TIC
Reporte de
resultados de
evaluacin
ACMB
APP
Bitcora de cambios al
portafolio de servicios de TIC
Iniciativas de servicios de TIC
APP
EEG, AD
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.1.2.2
Factores
crticos
1. Elaborar la propuesta estratgica del Portafolio de servicios de TIC; para ello se deben
formular las siguientes preguntas:
2. Recolectar informacin de todos los servicios de TIC existentes y de los propuestos, con
el propsito de proveer informacin nica y consistente de los servicios de TIC.
3. Elaborar, para cada servicio previsto en el Portafolio de servicios de TIC, su
correspondiente caso de negocio.
Documentar los requerimientos de informacin para los servicios existentes y los
nuevos
Las definiciones de los servicios de TIC debern ser acordadas entre todos los
involucrados.
Factores
crticos
1. Definir las categoras en las que se agruparn los servicios del Portafolio de servicios de
TIC, con base en el objetivo de los servicios de TIC.
2. Mantener actualizadas las categoras dentro del Portafolio de servicios de TIC segn las
necesidades de la dependencia o entidad.
3. Al momento de establecer las categoras de servicios de TIC se deben considerar los
criterios necesarios para las categoras a manejar en el catlogo de servicios de TIC.
4. Determinar para cada categora las propiedades de los datos e informacin que ser
documentada y administrada dentro del Portafolio de servicios de TIC.
Pg. 156 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Realizar un anlisis para determinar las prioridades del Portafolio de servicios de TIC, con el
propsito de sustentar las decisiones de inversin en iniciativas de servicios de TIC.
Factores
crticos
Relacin de
productos
El Grupo de trabajo para la direccin de TIC analiza las propuestas de iniciativas de inversin
de servicios de TIC para decidir con base en el valor, beneficios, recursos y riesgos implcitos
en cada una. Esta actividad se realiza en forma coordinada con el proceso de Administracin
del portafolio de proyectos de TIC.
Factores
crticos
1. Analizar el desempeo del Portafolio de servicios de TIC y el logro de sus objetivos. Los
criterios de anlisis debern basarse en las necesidades y objetivos estratgicos de la
dependencia o entidad.
2. El Grupo de trabajo para la direccin de TIC debe autorizar o cancelar las
iniciativas/proyectos de servicios de TIC, liberar recursos comprometidos y autorizar el
financiamiento de las operaciones de TIC, en coordinacin con el proceso de
Administracin del Portafolio de proyectos de TIC.
3. Con las aprobaciones realizadas, se procede al correspondiente cambio en el Portafolio
de servicios de TIC y se comunica el mismo al responsable del diseo del servicio de
TIC.
4. Registrar en la bitcora de cambios, los resultados de decisiones sobre los servicios de
TIC, en el portafolio. Se clasifican en cinco categoras:
a) Conservacin Es el caso de los servicios y/o activos alineados con la
Pg. 157 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
estrategia de la dependencia o entidad.
b) Reemplazo Cuando los servicios no corresponden a objetivos de la
dependencia o entidad.
c) Racionalizacin Cuando se constata que se ofrecen servicios mediante
mltiples presentaciones de funciones similares.
d) Renovacin En caso de que los servicios satisfagan los criterios de aptitud
funcional, pero pudieran necesitar el reemplazo de algunos componentes
tcnicos.
e) Retiro Servicios que no cumplen con los niveles mnimos tcnicos y
funcionales.
Relacin de
productos
Factores
crticos
1. Los criterios para la evaluacin del portafolio debern estar correctamente definidos y
actualizados de acuerdo a las necesidades de la dependencia o entidad.
2. La revisin deber determinar las correcciones necesarias a la combinacin de
iniciativas/proyectos de servicios de TIC, servicios de TIC, con el objetivo de optimizar al
mximo el portafolio y reflejar el equilibrio deseado.
3. Establecer evaluaciones peridicas sobre el Portafolio de servicios de TIC con fines de
calidad.
Relacin de
productos
Comunicar los resultados de la revisin al Portafolio de servicios de TIC, para informar sobre
los resultados versus los objetivos del portafolio y demostrar el valor que TIC le est
proporcionando a la dependencia o entidad.
Factores
crticos
1. Los informes deben indicar claramente la alineacin con las metas y objetivos de TIC y de
la dependencia o entidad.
Los informes debern cumplir con los criterios del proceso de Administracin del
desempeo de TIC.
2. Publicar el resultado de la revisin al desempeo del Portafolio de servicios de TIC.
Esta actividad la realiza el Administrador de portafolio de servicios de TIC o los mandos
medios o superiores
Pg. 158 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
7.6.1.2.3
Descripcin de roles
Rol
Descripcin
Administrador
de portafolio de
servicios
Debe asegurar que los requerimientos del cliente sean identificados, entendidos y
documentados en los Acuerdos del nivel de servicios y en los documentos de los
requerimientos del nivel de servicios.
Negociar y acordar con el cliente los niveles de servicios y documentarlos formalmente.
Proporcionar asistencia en la produccin y mantenimiento del Portafolio de servicios de TIC.
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo
Grupo de
determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de
trabajo para la
direccin de TIC requerimientos, inversin y gasto en materia de TIC, define y establece controles de
gobierno y evala los resultados de la UTIC.
Debe asegurar la direccin y el control de los procesos y servicios de TIC.
Este grupo tiene las siguientes responsabilidades:
Administrador
de grupo de
servicios
7.6.1.2.4
Producto
Descripcin de productos
Descripcin
Portafolio de
Repositorio de conocimientos con informacin sobre los servicios de TIC. Incluye los
servicios de TIC
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Disponibilidad
Iniciativas de
Documentacin de las iniciativas de proyectos destinados a la creacin, mantenimiento o
servicios de TIC
Caso de
negocio de
servicio de TIC
Bitcora de
Incluye informacin acerca del estado de las solicitudes de cambio al Portafolio de servicios
cambios al
de TIC. Registra el resultado de las decisiones de conservar, reemplazar, racionalizar,
portafolio de
servicios de TIC renovar o retirar servicios de TIC
Informe del
Informes y reportes que comunican el estado global del desempeo y el cumplimiento de los
desempeo del
objetivos y metas del Portafolio de servicios de TIC.
portafolio de
servicios de TIC
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Reporte de
resultados de
evaluacin
Solicitud de
Solicitud para realizar un cambio al Portafolio de servicios de TIC.
cambios al
portafolio de
servicios de TIC
Categoras de
Grupos de servicios usados para facilitar la Administracin del portafolio de servicios de TIC.
servicios de TIC
Valoracin de
Documento que contiene la relacin de los servicios de TIC con el valor nico que se asigna
servicios de TIC
7.6.1.3.
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados
del proceso
de
Administracin
del portafolio
de servicios
de TIC
Obtener la
eficiencia del
proceso en
base a los
casos de
negocio
desarrollados
Medir el
resultado del
proceso de
Administracin
del portafolio
de servicios
de TIC
Eficiencia
De gestin
% eficiencia=
(nmero de
casos de
negocio
desarrollados
/ nmero de
solicitudes
de desarrollo
de iniciativas
de servicio)
X 100
UTIC
7.6.1.4
Frecuencia
de clculo
Anual
1.1
1.2
El Grupo de trabajo para la direccin de TIC debe designar un responsable para cada iniciativa
de servicio de TIC, que ser denominado Administrador de grupo de servicio/servicio.
Cualquier cambio al Portafolio de servicios de TIC deber ser aprobado por el responsable de la
Administracin del portafolio de servicios y se deber llevar a cabo de acuerdo al proceso de
Administracin de cambios.
El Administrador de grupo de servicio/servicio ser responsable de la revisin del Caso de
negocio.
1.3
1.4
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.5
1.6
1.7
7.6.1.5
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en
el proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.2
7.6.2.1
General.-
Disear y desarrollar servicios, as como mantener o mejorar los existentes, conforme a las necesidades,
prioridades y posibilidades de la dependencia o entidad, a fin de mantener e incrementar la calidad de los
bienes y servicios que la institucin ofrece a la sociedad.
Especficos.-
1.
2.
Disear servicios que contemplen seguridad de TIC, continuidad, disponibilidad, capacidad de la UTIC y
proveedores.
3.
Definir especificaciones de los servicios de TIC que permitan construirlos y desplegarlos en funcin de las
necesidades de la dependencia o entidad.
4.
Identificar y administrar riesgos para que puedan ser eliminados, transferidos y/o mitigados, antes de que
los servicios de TIC pasen al ambiente de produccin.
5.
Disear la arquitectura del ambiente del servicio de TIC, para satisfacer las necesidades actuales y futuras
de la dependencia o entidad.
6.
7.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.2.2
7.6.2.2.1
APS
ASI,
ARTI
Procedimiento de
administracin de riesgos
Sentencia de
aplicabilidad
DDT,
Grupo de
procesos
TE, OS
ADT
Plan de
capacidad de los
recursos de TIC
Paquete de diseo
del servicio de TIC
PETIC
A
DDT, ACNC, y
grupo de procesos
OS, TE
DSTI-4 Administrar la
continuidad de servicios de
TIC
PE
Informe de
medicin y anlisis
MI
Plan de
aprovisionamiento
de infraestructura
Bitcora de
resultados de las
pruebas de
factibilidad
AD
Plan de
continuidad de
servicios de TIC
DDT, ADT
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.2.2.2
Factores
crticos
Funcionalidad o infraestructura.
Funcionalidad y de infraestructura.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Los requerimientos para realizar las pruebas del servicio, sobre todo las de aceptacin
del usuario.
La evaluacin del impacto del servicio en todas las reas de TIC, incluyendo los
recursos necesarios.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
10. Definir las mtricas y mtodos de medicin requeridos para validar el cumplimiento de los
acuerdos de niveles de servicio.
11. Determinar contratos con proveedores externos necesarios para operar el servicio.
12. Integrar en el paquete del diseo de servicio toda la informacin resultante del diseo;
servir de insumo a los grupos de procesos de transicin y entrega y de operacin de
servicios.
13. Los datos e informacin producto del diseo del servicio, incluyendo el paquete del diseo,
se deber incorporar y administrar en un repositorio de conocimiento del sistema de
conocimiento de la UTIC.
Relacin de
productos
Factores
crticos
Activos y/o recursos que requieren ser mejorados (por ejemplo: ms memoria,
dispositivos de almacenamiento ms veloces, procesadores ms poderosos, mayor
ancho de banda).
Costos de la mejora.
El equilibrio entre los costos y los recursos requeridos de forma que las adquisiciones y
los costos se puedan adecuar para procesar las cargas de trabajo, tal como se
necesita para cumplir con los niveles de servicio acordados,
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Evaluar los niveles de capacidad a nivel demanda, servicio y componentes contra los
niveles de servicio acordados y tendencias.
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
tecnologa, en el proceso Determinacin de la direccin tecnolgica.
4. Asegurar el apego a marcos de referencia arquitectnicos, estrategias, procedimientos y
estndares adoptados por la dependencia o entidad
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
para asegurar que el Plan de continuidad de TIC se mantenga actualizado y que refleje de
manera continua los requerimientos de la dependencia o entidad. Es esencial que los
cambios en procedimientos y responsabilidades sean comunicados de forma clara y
oportuna.
5. Probar el Plan de continuidad de TI de forma peridica, para asegurar que los servicios de
TIC pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el
plan permanece aplicable. Esto requiere una preparacin cuidadosa, documentacin,
reporte de los resultados de las pruebas y, de acuerdo con los resultados, la
implementacin de un plan de accin. Considerar el alcance de las pruebas de
recuperacin en aplicaciones individuales, en escenarios de pruebas integrados, en
pruebas de punta a punta y en pruebas integradas con el proveedor.
6. Entrenar en el Plan de continuidad de TIC, para asegurar que todas las partes
involucradas reciban peridicamente sesiones de habilitacin respecto a los
procedimientos, actividades y sus roles y responsabilidades en caso de incidente o
desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia.
7. Asegurar que el Plan de continuidad de TIC se distribuye de manera apropiada y segura y
que est disponible y autorizado para los involucrados cuando y donde se requiera. Se
debe cuidar en hacerlo accesible bajo cualquier escenario de desastre.
8. Planear las acciones a implementar durante el perodo de recuperacin y reanudacin de
los servicios de TIC. Esto puede representar la activacin de sitios de respaldo, el inicio de
procesamiento alternativo, la comunicacin a clientes e interesados, realizar
procedimientos de reanudacin, etc. Asegurarse de que los titulares de las unidades
responsables entiendan los tiempos de recuperacin de los servicios crticos de TIC y las
inversiones necesarias en materia de TIC para sustentar la recuperacin y reanudacin de
los servicios de TIC.
9. Almacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros
recursos de TIC crticos, necesarios para la recuperacin de los servicios de TIC y para los
planes de continuidad de la dependencia o entidad. El contenido de los respaldos a
almacenar debe determinarse entre los responsables de los procesos sustantivos de la
dependencia o entidad y el personal de TIC. La administracin del sitio de almacenamiento
externo a las instalaciones debe apegarse a la poltica de clasificacin de datos y a las
prcticas de almacenamiento de datos de la dependencia o entidad. El titular de la UTIC
debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al
menos dos veces por ao, respecto al contenido, a la proteccin ambiental y a la
seguridad. Asegurarse de la compatibilidad del hardware y del software para poder
recuperar los datos archivados y peridicamente probar y renovar los datos archivados.
10. Activar el Plan de continuidad cuando sea necesario y una vez lograda una exitosa
reanudacin de los servicios de TIC despus de un desastre, evaluar el desempeo contra
el plan, los problemas encontrados y lo adecuado del Plan de continuidad. Actualizar el
plan con los hallazgos y lecciones aprendidas.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.6.2.2.3
Descripcin de roles
Rol
Descripcin
Responsable del
diseo de
servicios de TIC
Propietario del
servicio
Arquitecto de TIC
Administrador de
proyectos
Responsable del
diseo de un
servicio
7.6.2.2.4
Descripcin de productos
Producto
Descripcin
Plan de capacidad
de los recursos de
TIC
El Plan de capacidad se usa para gestionar los recursos de TIC requeridos para proveer
los servicios de TIC incluidos en el Portafolio de servicios de TIC. El plan contiene
escenarios para distintas predicciones de demanda de los servicios y las opciones
valoradas para proveer los niveles y metas de servicios acordados. El Plan de capacidad
incluye los factores para cumplir los requerimientos de desempeo y disponibilidad
actuales y futuros de los servicios. El contenido tpico del Plan de capacidad incluye:
Los cambios que se han realizado desde la ltima emisin del plan.
Supuestos.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Uso actual de los recursos de TIC y predicciones de los niveles de uso futuros.
Estimados de costos.
Recomendaciones en trminos de :
o Beneficios para la dependencia o entidad.
o Impacto potencial si se lleva a cabo la recomendacin.
o Riesgos involucrados.
o Recursos requeridos.
o Costos de adquisicin y de operacin asociados.
Plan de
continuidad de
servicios de TIC
Paquete de diseo
del servicio de TIC
Plan que define los pasos necesarios para recuperar uno o ms servicios. El plan
adems identificar los disparadores de la invocacin del plan, las personas que han de
ser involucradas, las comunicaciones necesarias, entre otros. El Plan de continuidad de
los servicios deber ser parte de un sistema de continuidad de la operacin en la
dependencia o entidad, y contemplar:
Las condiciones y las responsabilidades para activar el plan y/o informar a niveles
superiores.
Procedimientos de emergencia.
Procedimientos de respaldo.
Regulaciones.
Plan de comunicaciones.
Requerimientos:
o Requerimientos de informacin desde la perspectiva del usuario.
Pg. 173 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Diseo de la
arquitectura de
servicios de TIC
7.6.2.3
Documento que contiene los modelos que describen los componentes de la arquitectura
tecnolgica y sus relaciones . Esta arquitectura se considera en el diseo de los servicios
de TIC.
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Satisfaccin
en los
paquetes
de diseo
elaborados
Obtener la
satisfaccin de
la ejecucin
del proceso,
mediante la
medicin de
requerimientos
cumplidos en
Medir la
calidad de
los servicios
y/o
soluciones
tecnolgicas
entregados
Calidad
De
gestin
(Nmero de
requerimientos
cumplidos en los
servicios / Total de
requerimientos
establecidos en las
solicitudes de
diseo de
UTIC
Frecuencia
de clculo
Anual
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Resultados
del proceso
de diseo
de servicios
de TIC
los diseos
Obtener una
medicin de la
eficiencia del
proceso, para
este caso
basada en el
numero de
paquetes de
diseo
elaborados
Descripcin
Dimensin
Tipo
Medir el
resultado
del proceso
de diseo
de servicios
de TIC
Eficiencia
De
gestin
Frmula
servicios) X 100
% de
eficiencia=(Nmero
de paquetes de
diseo de servicios
de TIC elaborados
y aprobados/
nmero de
paquetes de
diseo de servicio
de TIC solicitados)
X 100
Responsable
Responsable
del diseo de
un servicio
Frecuencia
de clculo
Semestral
7.6.2.4
1.1
1.2
El responsable del proceso de diseo de servicios de TIC desarrollar solamente el diseo de los
servicios aprobados por el responsable del Portafolio de servicios de TIC, tanto en caso de nuevos
servicios como de modificaciones a servicios existentes.
El Grupo de trabajo para la direccin de TIC, deber designar a un responsable del diseo del
servicio.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en
el proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
1.3
1.4
1.5
1.6
7.6.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7
7.7.1.
7.7.1.1
General.-
Definir los criterios para la adquisicin de una solucin tecnolgica, desde la definicin de los requerimientos
para la adquisicin hasta la aceptacin de la solucin tecnolgica adquirida.
Especficos.-
1.
2.
Definir las caractersticas tcnicas de la solucin tecnolgica o servicio a ser adquirido, para asegurar que
cubre las necesidades, expectativas y restricciones identificadas.
3.
Evaluar tcnicamente las soluciones o servicios propuestos por los diferentes proveedores, para asegurar
la cobertura de los requerimientos contractuales e identificar la mejor respuesta a las necesidades de la
dependencia o entidad.
4.
Dar seguimiento y revisar las actividades de los proveedores para asegurar el cumplimiento de los
acuerdos establecidos en el contrato.
5. Evaluar las soluciones tecnolgicas o servicios entregados por el proveedor para asegurar el cumplimiento
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.1.2
7.7.1.2.1
Plan de proyecto
DSTI
Paquete de diseo
del servicio de TIC
Anexo tcnico
Trminos y condiciones
Estudio de mercado
ADTI
ADTI
Copia de contrato
Lista de verificacin
de compromisos
contractuales
Matriz de rastreo y
trazabilidad del contrato
APV
Resultado de las revisiones
Reporte de revisiones de
procesos
CST
Reporte de
revisin
APV
Carta de aceptacin de
la solucin tecnolgica
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.1.2.2
Anexo tcnico
Trminos y condiciones
Estudio de mercado
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
ATA-2 Participacin y seguimiento en el proceso de adquisicin
Descripcin
Factores
crticos
Relacin de
productos
2.
3.
4.
5.
Pre-bases (revisadas)
3.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Utilizar la informacin contenida en el contrato como criterios de revisin.
Registrar el cumplimiento con los trminos y condiciones o en su caso
incumplimientos que se han presentado.
Informar los resultados de las revisiones, al proveedor y al responsable de las
adquisiciones de TIC para que, en caso de aplicar, ejecute las penalizaciones
correspondientes.
Relacin de
productos
Asegurarse que la solucin adquirida cumple tcnicamente con los requerimientos y acuerdos
establecidos en el contrato.
1.
Validar la solucin tecnolgica.
Factores
crticos
Relacin de
productos
7.7.1.2.3
Descripcin de roles
Rol
Descripcin
Analista de
requerimientos
para la
adquisicin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Responsable de
Es el responsable de revisar y supervisar las soluciones tecnolgicas y las actividades para
aseguramiento de verificar que cumplan los estndares y procedimientos aplicables y proveer de los
calidad
resultados de esas revisiones al lder tcnico para la adquisicin. Ayudar a asegurar que
Usuario
Unidades
responsables
7.7.1.2.4
los planes, estndares y procedimientos que se han definido sean adecuados para las
necesidades del proyecto y a verificar que sean utilizables para la ejecucin de revisiones a
lo largo del ciclo de vida del proyecto.
Dependencia o entidades, persona, entidad externa o interna que dar uso a los resultados
y beneficios generados por el proyecto de TIC.
Las personas, unidades administrativas de las dependencias o entidades, que tienen la
necesidad a ser cubierta y son los beneficiados con la adquisicin de productos o servicios.
Descripcin de productos
Producto
Descripcin
Anexo tcnico
Trminos y
condiciones
1.
Requerimientos funcionales
2.
Requerimientos no funcionales
3.
Requerimientos de arquitectura
4.
Tiempos de entrega
2.
Capacitacin
3.
Configuraciones y personalizaciones
4.
Actualizaciones
5.
Garanta
6.
Soporte a fallas
7.
8.
Niveles de servicio
9.
Penalizaciones aplicables
Reporte de
revisiones de
procesos
Proceso revisado
2.
Fechas de revisin
Pg. 182 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Resultados de
las revisiones
Descripcin
3.
Revisor
4.
5.
Hallazgos
6.
7.
Impacto y prioridad
Es un informe que se presenta para reportar los avances en el desarrollo de las actividades
del proveedor, en el cual se refleja el cumplimiento o no cumplimiento de los acuerdos
establecidos.
1.
2.
3.
Asuntos y su estatus
4.
Riesgos y su estatus
Matriz de rastreo Documento que permite relacionar los requerimientos con los trminos y condiciones y con
y trazabilidad del los niveles de servicios establecidos en el contrato. Contiene informacin necesaria para
contrato.
relacionar los requerimientos con los productos entregados y los criterios de aceptacin
1.
2.
3.
4.
5.
Reportes de
avances del
proceso de
adquisicin
Estudio de
mercado
Documento que contiene la investigacin concluyente que tiene como objetivo principal la
descripcin legal, econmica, tecnolgica y de infraestructura
Pre-bases
(revisadas)
Dictamen
tcnicoeconmico de
las propuestas
recibidas
Documento de
aclaraciones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
tcnicas
Contrato
aprobado
tcnicamente.
7.7.1.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsabl
e
Cumplimiento
de
requerimiento
s por parte
del proveedor
Obtener una
medicin de
la eficacia
del proceso,
en este caso
en base a
los
requerimient
os
contractuale
s cumplidos
en tiempo y
forma
Medir el
cumplimiento
del
proveedor
con respecto
los
compromisos
contractuales
establecidos,
incluyendo el
plan de
proyecto o
plan de
trabajo
comprometido
Eficacia
De
gestin
% de eficacia=
(Nmero de
requerimientos
contractuales
cumplidos en
tiempo y forma ) /
( Nmero de
requerimientos
contractuales ) X
100
UTIC
7.7.1.4
1.1
1.2
1.3
1.4
1.5
Frecuenci
a de
clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
1.14
1.15
1.16
1.17
1.18
1.19
1.20
Deber preverse la condicin de la disposicin 1.2 anterior, en los contratos que para efectos del
software, sistemas o aplicativos se realicen.
La adquisicin y el desarrollo de software, sistemas y/o aplicativos deber efectuarse
considerando la arquitectura tecnolgica definida por la UTIC; debern quedar asentados en el
dictamen tcnico correspondiente a la adquisicin o al desarrollo considerado.
La UTIC deber asegurarse de inscribir el proyecto de adquisicin y/o desarrollo de software,
sistemas y/o aplicativos en el PETIC, en el Portafolio de proyectos de la UTIC y/o en el apartado
que corresponda al Plan estratgico de tecnologas de la informacin y comunicaciones de la
dependencia o entidad.
Como parte de la metodologa de desarrollo de sistemas y aplicativos que las reas responsables
de la UTIC utilicen para la adquisicin, desarrollo o mantenimiento de software, sistemas y/o
aplicativos, debern someter todo mdulo o componente, desarrollado o adquirido, a pruebas
unitarias de integracin, de funcionalidad, de volumen, de aceptacin del usuario, de seguridad y a
toda prueba que asegure la calidad de la solucin tecnolgica.
Las UTIC debern asegurarse de que las reas requirentes de la adquisicin o desarrollo de
software, sistemas y/o aplicaciones, proporcionen los elementos que apoyen el desarrollo del
sistema (documentacin, bases de datos, desarrollos previos, etctera), cumpliendo con los
tiempos establecidos en los planes de trabajo.
Para todos los casos en los que se integren o adicionen componentes de software, sistemas y/o
aplicativos a un sistema, se debern ejecutar pruebas integrales de funcionalidad, que aseguren la
preservacin de las funciones ya existentes
Las reas responsables de la adquisicin de un software sistema y/o aplicativo o que los haya
desarrollado o dado mantenimiento, debern documentar su liberacin para uso del rea
responsable de la operacin.
Toda adquisicin de soluciones tecnolgicas debe estar sustentada por un caso de negocio y las
autorizaciones definidas en el proceso y los procesos que lo reciben como insumo.
Toda adquisicin debe estar consolidada a nivel de la UTIC de cada dependencia o entidad, de
acuerdo al Portafolio de proyectos.
Toda adquisicin de soluciones deber observar los lineamientos de seguridad emitidos por la
UTIC de la dependencia o entidad.
Equipos independientes a los involucrados en la ejecucin o elaboracin de los productos y
soluciones tecnolgicas debern realizar verificaciones y validaciones a los productos y soluciones
tecnolgicas adquiridas.
Se debern realizar verificaciones y auditorias para asegurar el cumplimiento de los procesos
establecidos, de acuerdo a los trminos y condiciones especificados en el contrato. Estas
verificaciones y auditorias debern de ser realizadas por equipos independientes a los
involucrados en la ejecucin de los procesos.
La plataforma de cmputo y de comunicaciones, el software de desarrollo y de ejecucin, as
como la configuracin sobre la cual operarn las soluciones tecnolgicas, , adquiridos o
desarrollados, deber ser aprobada por el titular de la UTIC, a fin de asegurar el rendimiento y los
tiempos de respuesta de las plataformas mencionadas y de las redes de comunicaciones.
Todo software, sistemas y/o aplicativos adquiridos, debern ser sometidos a pruebas de volumen,
de estrs e integrales de funcionalidad, en los ambientes de pruebas de la UTIC hasta asegurar su
correcta funcionalidad y reunir las evidencias necesarias y suficientes para ser aprobadas por
escrito por el personal de la UTIC y del rea usuaria.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
Pg. 185 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.21
1.22
7.7.1.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.2
7.7.2.1
General.Realizar las actividades para la construccin de una solucin tecnolgica, incluyendo la especificacin de los
requerimientos, el diseo, el desarrollo, la verificacin, validacin e integracin de los componentes o productos
necesarios para su entrega.
Especficos.-
1.
2.
3.
4.
5.
6.
7.
Verificar y validar los componentes de la solucin tecnolgica, en coordinacin con el proceso de Calidad
de soluciones tecnolgicas.
8.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.2.2
7.7.2.2.1
Plan de proyecto
APTI
reas
Usuarias
Necesidades
de las reas
usuarias
Documento de especificacin
de requerimientos
Registro de validacin
de requerimientos
Repositorio central
de requerimientos
DST-5 Administrar la
configuracin y los cambios a los
requerimientos.
Plan de la
configuracin y
cambios
ACMB
ACNF
Reporte de evaluacin de
alternativas de solucin
Modelo de arquitectura de
soluciones tcnicas
ADT
Dictmenes
tecnolgicos
Documento de diseo
Modelo de
implementacin
A
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Documento de diseo
Reporte de evaluacin
de alternativas de
solucin.
CST
Reportes
de revisin
Registro de pruebas
unitarias
Plan de la configuracin
y cambios
CST
Repositorio de
producto/componente
THO,
ACNF
Plan de integracin
Reporte de integracin
ACNF
CST
DST-15 Realizar la entrega
Registro de cambios
Registro de revisiones
Documento de especificacin
de requerimientos
Documento de diseo
Solucin integrada
DST-14 Ensamblar componentes
de la solucin
CST
CST
Reportes de
revisin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.2.2.2
Identificar las necesidades, expectativas, restricciones e interfaces para cada una de las fases
del ciclo de vida de la elaboracin de la solucin tecnolgica y especificar los requerimientos
de manera detallada.
Factores
crticos
Relacin de
productos
Establecer y asociar los componentes o productos asociados a los requerimientos del usuario.
1. Desarrollar los requerimientos.
Analizar la informacin de las necesidades de las reas usuarias.
Especificar y detallar los requerimientos y caractersticas de la solucin tecnolgica.
Identificar los requerimientos necesarios para cada producto o componente de la
solucin, realizando el diseo de la arquitectura, asociando las caractersticas de
calidad del producto, as como las caractersticas de rendimiento, capacidad y
disponibilidad necesarias.
Registrar la trazabilidad de los requerimientos en el ciclo de desarrollo.
2. Identificar interfaces externas e internas.
3. Establecer las relaciones entre los requerimientos.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
DST-3 Establecer la definicin de los requerimientos funcionales.
Descripcin
Factores
crticos
Relacin de
productos
Analizar los requerimientos para asegurar que son los necesarios y suficientes, que estn
asociados y que corresponden a las necesidades y restricciones descritas por los
involucrados, validarlos para asegurar que el producto resultante se podr ejecutar en los
ambientes de operacin de acuerdo a su definicin.
Factores
crticos
1. Analizar los requerimientos, asegurar que estn completos, que son factibles de realizar y
que pueden ser verificados, adems de realizar los escenarios de prueba.
2. Identificar los requerimientos clave, con fuerte incidencia en costos, tiempo, funcionalidad,
riesgo o rendimiento.
3. Identificar los indicadores de rendimiento que sern monitoreados durante el desarrollo de
la funcionalidad.
4. Analizar los requerimientos de operacin y los escenarios de las necesidades del usuario,
las restricciones y las interfaces para, en su caso, identificar nuevos requerimientos.
5. Establecer la simulacin del modelo operacional, facilitando el entendimiento y
corroboracin de la necesidad por parte del usuario, mediante el requerimiento funcional
propuesto.
6. Analizar los requerimientos y establecer un equilibrio entre las necesidades del usuario y
las restricciones (tiempo, costo, recursos tecnolgicos y/o humanos, etc.).
7. Realizar una evaluacin de los requerimientos de los riesgos.
8. Analizar los requerimientos para determinar el riesgo de que el producto no pueda
ejecutarse apropiadamente en el ambiente propuesto.
9. Todos los requerimientos debern ser validados y aprobados por los participantes; la
Pg. 193 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
aprobacin deber documentarse y resguardarse.
Relacin de
productos
Factores
crticos
6. Analizar y evaluar el impacto de los cambios, haciendo uso de los registros de rastreo y
trazabilidad bidireccional de los requerimientos y comunicarlos a los involucrados
relevantes.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
La matriz de rastreo y/o trazabilidad deber ser creada desde el inicio de la solucin y
deber mantenerse actualizada durante todo el ciclo de vida.
La matriz de rastreo y/o trazabilidad deber ser utilizada para el anlisis de impacto
cuando se presenten solicitudes de cambio.
Factores
crticos
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
La documentacin del diseo debe ser generada en trminos tcnicos y debe incluir las
caractersticas y los parmetros necesarios, incluyendo: tamaos, funciones,
interfaces, patrones, etc.
Documento de diseo
Modelo de implementacin
Factores
crticos
Relacin de
productos
Documento de diseo
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
crticos
Relacin de
productos
Repositorio de producto/componente
Factores
crticos
Relacin de
productos
Reporte de revisin.
Repositorio de producto/componente
Manual tcnico
Manual de usuario
Factores
crticos
Establecer la secuencia y los pasos que requieren seguirse para realizar la integracin de los
diversos productos y/o componentes que constituyen la solucin tecnolgica.
1. Identificar los productos o componentes que sern integrados.
Pueden existir productos o componentes a ser integrados, la integracin puede ser algn
elemento externo, accesorios o herramienta de prueba. Una vez analizadas las
alternativas de pruebas de la integracin y la secuencia de ensamblaje para la integracin,
se selecciona la mejor secuencia de integracin. La integracin puede implicar
componentes en diferentes fases del ciclo de vida de desarrollo del producto. Se deber
Pg. 197 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
evaluar la mejor alternativa para la integracin.
2. Identificar los tipos de verificacin que sern ejecutadas durante la integracin.
3. Identificar las alternativas de integracin y de secuencia.
4. Seleccionar la mejor alternativa para la integracin y secuencia, que deber ser
organizada de forma centralizada, con posibilidad de documentarse.
5. Seleccionar la mejor alternativa para la integracin y su secuencia.
6. Realizar revisiones peridicas de la secuencia de integracin y realizar las validaciones
necesarias.
7. Registrar las justificaciones de la toma de decisin.
Relacin de
productos
Repositorio de producto/componente
Plan de integracin
Reporte de integracin.
Factores
crticos
Relacin de
productos
Repositorio de producto/componente
Registro de cambios
Registro de revisiones
Documento de diseo
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
disponibles para realizar la integracin.
2. Asegurar que los componentes son liberados al ambiente de integracin, de acuerdo con
la secuencia de integracin y los procedimientos disponibles.
3. Confirmar la recepcin de cada componente identificado adecuadamente.
4. Asegurar que cada componente recibido cumpla con la descripcin correcta.
5. Validar que los componentes cumplan con la configuracin establecida.
6. Asegurar la disponibilidad del ambiente de integracin.
7. Asegurar que la secuencia de ensamblado es ejecutada de forma adecuada.
8. Llevar a cabo evaluaciones del ensamblado de los componentes siguiendo la secuencia
de integracin del producto, as como los procedimientos disponibles.
9. Mantener un registro de los resultados de la evaluacin.
Relacin de
productos
Repositorio de producto/componente
Solucin integrada
Factores
crticos
Asegurar que los aspectos que puedan afectar el empaquetado y la entrega del
producto han sido identificados y resueltos.
Paquete de entregables
7.7.2.2.3
Descripcin de roles
Rol
Descripcin
Analista de
requerimientos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Arquitecto de
soluciones
tecnolgicas
Diseador de
soluciones
tecnolgicas
El arquitecto es una persona con amplios conocimientos tcnicos, conocedor del negocio de
los proyectos y que, probablemente, est asignado a uno o varios proyectos al mismo
tiempo. Algunas de sus responsabilidades suelen ser definir los lineamientos de diseo, su
arquitectura y dems cuestiones tcnicas de los proyectos.
El diseador realiza las tareas asociadas al diseo de los componentes de las soluciones
tecnolgicas asociadas a los requerimientos, la estructura y relaciones del repositorio, as
como, las interfaces de usuario.
Administrador de
Es responsable de la elaboracin, monitoreo y control de la ejecucin del Plan de la
la configuracin.
Desarrollador
Integrador de la
solucin
tecnolgica.
Ingeniero de
pruebas de
soluciones
tecnolgicas
Revisor
Unidades
responsables
7.7.2.2.4
Descripcin de productos
Producto
Descripcin
Documento de
especificacin de
requerimientos
Situacin actual
Solucin propuesta
Suposiciones y dependencias
Requerimientos funcionales
Requerimientos no funcionales
Pg. 200 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Glosario de trminos
Registro de
validacin de
requerimientos
Documento en el que se registran los datos asociados a las validaciones de cada uno de
los requerimientos y de la conformidad del involucrado responsable con un conjunto de
entregables, realizados de acuerdo a lo establecido.
Documento de
visin del
producto o
servicio
Situacin actual
Objetivo
Oportunidades de negocio
Estndares aplicables
Requerimientos no funcionales:
Requerimientos de documentacin
Documento de
diseo
Describe las especificaciones de los requerimientos a nivel diseo, sirve como una
abstraccin para el diseo detallado y la construccin del cdigo fuente. Se emplea como
una entrada esencial para las actividades de implementacin y pruebas.
Registro de
cambios
Repositorio
central de
requerimientos
Espacio fsico que permite el almacenamiento de las necesidades establecidas por el rea
solicitante. Este repositorio se administrar de acuerdo al proceso Administracin de
cambios.
Matriz de rastreo
y/o trazabilidad
Es una vista que se realiza con el fin de asociar los requerimientos y los entregables o
productos relacionados (tales como casos de uso, clases, componentes, casos de prueba),
Pg. 201 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
a lo largo del ciclo de vida. Esta matriz es importante para identificar las interdependencias
e inconsistencias que pudieran surgir en los requerimientos, as como para evaluar el
impacto de un cambio en los requerimientos. Algunos aspectos que cubre este documento
son:
Reporte de
evaluacin de
alternativas de
solucin.
Tipo de requerimiento
Prioridad
Estatus
Contiene el resultado del anlisis para identificar la mejor opcin para la adopcin de una
solucin durante el proyecto; entre los datos que puede contener el documento estn:
Tipo de anlisis
Justificacin
Modelo de
arquitectura de
soluciones
tcnicas
Modelo de
implementacin
Registro de
pruebas unitarias
Solucin
integrada
Es una versin operacional de una solucin tecnolgica; tambin puede ser solo una parte
de sta.
Registro de
revisiones
Contiene los defectos encontrados durante las revisiones, revisiones entre colegas y
evaluaciones realizadas a los entregables o productos y productos del proyecto; a su vez se
utiliza para dar seguimiento a los defectos hasta su cierre.
Manual de
usuario
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Condiciones iniciales
Interfaces
Acciones requeridas
Condiciones finales
Manual tcnico
Plan de
integracin
Paquete de
entregables
Plan de la
configuracin y
cambios
Documentos de
soporte
Reporte de
revisin
Modelo de flujo
de negocio
Repositorio de
productos/
componentes
Espacio fsico que permite el almacenamiento de los productos y/o componentes de los
productos desarrollados, para su resguardo y uso. Este repositorio se deber encontrar
bajo control de configuraciones.
Reporte de
integracin
Diagrama
conceptual de la
solucin
7.7.2.3
Indicadores:
Nombre
Objetivo
Eficacia en
el proceso
de
Desarrollo
de
Conocer la
eficacia del
proceso de
Desarrollo de
soluciones
Descripcin
Dimensin
Tipo
Frmula
Responsable
Eficacia
De
gestin
% de
eficacia=(Nm
ero de
desarrollos
concluidos en
Administrador
del proceso
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
soluciones
tecnolgicas
tecnolgicas
Satisfaccin
del cliente
Conocer
calidad con
la que se
est
efectuando el
proceso
Descripcin
Obtener la
medicin del
numero de
clientes
satisfechos
Dimensin
Calidad
Tipo
De
gestin
Frmula
tiempo y
forma / total
de
desarrollos) X
100
(Nmero de
clientes
satisfechos
con la calidad
del producto o
servicio /
Nmero total
de productos y
servicios
elaborados) X
100
Responsable
Administrador
del proceso
Frecuencia
de clculo
Semestral
7.7.2.4
1.1
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que las
necesidades de negocio que motivan el desarrollo de soluciones tecnolgicas estn claramente
identificadas y documentadas
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que las
especificaciones de los requerimientos de las soluciones tecnolgicas deben estar alineadas a las
necesidades de negocio identificadas
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que el
proyecto de adquisicin y/o desarrollo de software, sistemas y/o aplicativos queden inscritos en el
PETIC, en el Portafolio de proyectos de la UTIC y/o en el apartado que corresponda al Plan
estratgico de TIC de la dependencia o entidad.
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse de la
inexistencia de productos con una funcionalidad similar a la requerida por el rea usuaria solicitante
a un costo ms bajo que el estimado para el desarrollo en el mercado y que en la APF no existen
aplicaciones de software similares que puedan satisfacer las necesidades del rea usuaria.
Comprobando la viabilidad de adecuaciones a las similares encontradas.
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que se
establecen los criterios de aceptacin y procedimientos de verificacin y validacin que permitan
garantizar que la solucin tecnolgica no presenta defectos y funciona correctamente, para todo
desarrollo en curso.
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que se
establezcan procedimientos documentados para realizar la integracin de los productos y/o
componentes de la solucin tecnolgica, para todo desarrollo en curso.
El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que toda
solucin tecnolgica desarrollada, integrada y validada siga los procesos del grupo de procesos de
Transicin y Entrega.
Para la aplicacin de las mejores prcticas, las UTIC debern seguir una metodologa de desarrollo
de sistemas que integre en sus procedimientos la aplicacin y seguimiento de las mejores prcticas
en el desarrollo de sistemas y aplicativos. Esta metodologa deber estar apegada a CMMI dev,
MOPROSOFT, R.U.P, inclusive a una personalizacin de stas, siempre y cuando se asegure la
1.2
1.3
1.4
1.5
1.6
1.7
1.8
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.9
1.10
1.11
1.12
1.13
1.14
1.15
1.16
1.17
1.18
1.19
1.20
integralidad del desarrollo y el control en cada una de sus fases, recursos aplicados y entregables.
La UTIC definir los estndares tecnolgicos de publicacin en Internet e intranet para la
dependencia o entidad y, para mantener la coherencia de diseo, as como el apego a los objetivos
institucionales, se apoyar del rea de Comunicacin Social o su equivalente.
La UTIC deber asegurar que los usuarios a los que conceda permisos para desarrollos y
publicacin en los sitios institucionales de Internet e intranet conozcan que es su responsabilidad el
manejo de los datos que publicarn, cuidando de apegarse a la normatividad vigente respecto a la
informacin clasificada como confidencial o reservada. Deber quedar una evidencia escrita del
conocimiento del usuario acerca de esta responsabilidad.
Las UTIC debern evaluar el software, sistemas o aplicativos que utilizarn en sus procesos o
proyectos de desarrollo de soluciones tecnolgicas, conforme a los siguientes criterios:
Todas las reas que, por sus atribuciones o proyectos especiales, desarrollen, implementen o
proporcionen mantenimiento a las soluciones tecnolgicas debern revisar las disposiciones
descritas en el presente manual y ser su responsabilidad la ejecucin de los ajustes necesarios
para asegurar que las soluciones tecnolgicas estn alineadas a las definiciones de desarrollo que
se especifiquen en el presente manual.
Las reglas del presente manual aplican para todo sistema que est en fase de gestin de
requerimientos, anlisis, diseo, codificacin, pruebas, liberacin o mantenimiento.
Para la aplicacin de las mejores prcticas, las UTIC debern seguir una metodologa de desarrollo
de sistemas que integre la aplicacin y seguimiento de las mejores prcticas probadas, en el
desarrollo de sistemas y aplicativos. Esta metodologa deber estar apegada a MOPROSOFT,
R.U.P., CMM dev., inclusive a una personalizacin de stas, siempre y cuando se asegure la
integralidad del desarrollo y el control en cada una de sus fases, recursos y entregables.
Como parte de su metodologa de desarrollo de soluciones tecnolgicas, las reas responsables de
la UTIC que adquieran, desarrollen o proporcionen mantenimiento de software, sistemas y/o
aplicativos debern proporcionar evidencias de las pruebas unitarias efectuadas
Siempre que se adicionen componentes de software a un sistema o aplicativo en operacin, se
debern ejecutar pruebas integrales, para asegurar la preservacin de las funciones ya existentes y
la correcta funcionalidad adicionada.
Las dependencias o entidades de la Administracin Pblica Federal, a travs de las UTIC, debern
contar con un catlogo de software de soluciones tecnolgicas: sistemas, aplicativos, componentes,
o cualquier pieza reusable, para promover un mejor aprovechamiento en su uso, por lo que
debern contener una ficha de especificaciones funcionales, no funcionales y de arquitectura
tecnolgica.
Las dependencias y entidades de la APF, efectuarn una revisin peridica, al menos anual, de su
catlogo de software y lo colocarn a disposicin de la UGD, para que pueda ser utilizado en
alguna otra dependencia o entidad.
Las UTIC debern definir e implementar las mediciones de eficiencia en los procedimientos del ciclo
de desarrollo, de forma que stas sirvan para la operacin de indicadores de desempeo, que
permitan establecer acciones de mejora y el aprovechamiento mximo de los recursos que se
aplican en el ciclo de desarrollo de sistemas y aplicativos.
Para el caso de los desarrollos de software, sistemas y/o aplicativos va fbrica de software, las
UTIC debern comprobar, previo a la contratacin, que el proveedor cuenta con metodologas y
mejores prcticas probadas, mediante la presentacin de la documentacin que sustente sus
aseveraciones, en los procesos de investigacin de mercado y de adquisicin.
Pg. 205 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.21
1.22
1.23
1.24
1.25
1.26
1.27
1.28
1.29
1.30
1.31
1.32
1.33
1.34
1.35
El responsable del proyecto de desarrollo por fbrica de software deber asegurarse que la fbrica
siga la metodologa definida y comprometida en el contrato correspondiente y, adicionalmente, la
que utiliza la UTIC para los grupos de procesos de transicin y entrega.
Las UTIC debern proteger el software, sistemas y/o aplicativos desarrollados a efecto de:
Asegurarse que el cdigo y los componentes del software, sistemas y/o aplicativos
desarrollados permanezcan como propiedad intelectual de la institucin.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.36
1.37
1.38
1.39
1.40
1.41
1.42
7.7.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.3.
7.7.3.1.
General.Asegurar que los procesos de desarrollo de las soluciones tecnolgicas desarrolladas o adquiridas, cumplan
con los requerimientos especificados.
Especficos.1.
Definir los criterios de verificacin de las soluciones tecnolgicas, para incluirlas en los requerimientos
contractuales, as como en los planes y programas del proyecto de implantacin.
2.
3.
4.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.3.2
7.7.3.2.1
DST,
ACMB
Repositorio de
producto/componente
Plan de pruebas
Docum ento de diseo
Plan de calidad
Ambiente de
verificaciones
Reporte de revisin
Listas de verificacin
A
Reporte de revisin
Listas de verificacin
Reporte de
revisin
Repositorio de
reportes de revisin
Reporte
de
revisin
DST
Repositorio de
producto/ componente
Documento de diseo
AD
Reportes de
revisin
Escenarios de prueba
Reporte de revisin
Reportes de revisin
Lecciones aprendidas
Plan de calidad
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.3.2.2
Relacin de
productos
Plan de calidad
Ambiente de verificaciones
Factores
crticos
Relacin de
productos
Reporte de revisin
Listas de verificacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
CST-3 Preparar y conducir revisiones entre colegas o iguales
Descripcin
Factores
crticos
Preparar y conducir las revisiones entre colegas o iguales, de los entregables o productos
seleccionados para la identificacin de defectos en una etapa temprana.
1. Determinar el tipo de revisin que se va a efectuar entre colegas o iguales.
2. Establecer y mantener criterios de entrada y salida para la revisin entre colegas o
iguales.
3. Establecer y mantener listas de verificacin para asegurar que los entregables o
productos son revisados consistentemente. Las listas de verificacin se modifican segn
sea necesario para dirigir un tipo especfico de revisin entre colegas o iguales para un
entregable o producto.
4. Planear las revisiones entre colegas o iguales.
5. Ejecutar las revisiones para identificar si los entregables o productos satisfacen los
criterios para una revisin entre colegas o iguales, antes de su distribucin.
6. Distribuir a los participantes con suficiente antelacin los entregables o productos que van
a ser revisados y la informacin relacionada, para hacer posible una adecuada
preparacin de la revisin entre colegas o iguales.
7. Asignar roles para la revisin entre colegas o iguales, segn proceda.
8. Identificar y documentar defectos y otros hallazgos en los entregables o productos.
9. Conducir una revisin entre colegas adicional si los criterios definidos indican la
necesidad de ejecutarla.
10. Asegurar que los criterios de xito, para la revisin entre colegas o iguales, se satisfacen.
11. Almacenar los datos para futuras referencias y anlisis.
12. Proteger los datos de las revisiones entre colegas o iguales, para asegurar que no sean
usados de manera inapropiada.
Relacin de
productos
Reporte de revisin
Listas de verificacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7. Proporcionar informacin sobre la manera de resolver los defectos (incluyendo mtodos
de verificacin, criterios y ambiente de verificacin) y formalizarlas en un documento,
estableciendo responsabilidades y tiempos de resolucin.
Relacin de
productos
Reporte de revisin
Seleccionar los productos y componentes de productos para ser validados y los mtodos de
validacin que sern usados para cada uno.
1. Identificar los principios fundamentales, caractersticas y fases para la validacin de la
solucin tecnolgica durante todo el ciclo de vida de la elaboracin.
2. Determinar las categoras de necesidades de usuarios (operacional, mantenimiento,
capacitacin, o soporte) que sern validadas.
3. Los productos o componentes de productos debern ser sustentables en su propio
ambiente operacional. Este factor crtico tambin se refiere al mantenimiento, capacitacin
y servicios de soporte que pueden ser liberados con el producto.
4. Seleccionar el producto o componentes de la solucin tecnolgica a ser validados.
5. Seleccionar los mtodos para la validacin del producto o componentes de la solucin
tecnolgica que se adquiere, realizando las pruebas y valoracin haciendo uso de
herramientas de apoyo para:
Plan de calidad
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
las diferentes pruebas establecidas.
5. Identificar herramientas para la administracin de las pruebas.
6. Definir un ambiente colaborativo para las herramientas de validacin y establecer los
niveles de acceso necesarios para mantener la integridad, monitoreo y control de los
resultados de las validaciones.
7. Identificar los recursos de validacin disponibles para reutilizacin e integracin de la
solucin.
8. Planear la disponibilidad de los recursos humanos que participarn durante las
validaciones.
Relacin de
productos
Ambiente de validacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Escenarios de prueba
Reporte de revisin
En este tipo de evaluacin se deber contemplar que el personal que realizar estas
actividades sea completamente independiente del que elabora los entregables o
productos.
Reportes de revisin
Lecciones aprendidas
Plan de calidad
Factores
crticos
1. Resolver cada no conformidad con los participantes apropiados del equipo, cuando sea
posible.
Entendiendo por no conformidades los problemas que reflejan la falta de adherencia a
los estndares, procesos o procedimientos, identificados en las evaluaciones.
Los estatus de las no conformidades deben proveer un indicador de las tendencias de
calidad.
2. Documentar las no conformidades cuando no puedan ser resueltas dentro del proyecto.
3. Informar a los niveles superiores sobre las no conformidades que no puedan ser resueltas
dentro del proyecto, para toma de decisiones.
Pg. 215 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
4. Analizar las no conformidades para ver si existen tendencias de calidad que puedan ser
identificadas y corregidas.
5. Asegurar que los involucrados relevantes se enteren oportunamente de los resultados de
las evaluaciones y de las tendencias de calidad.
6. Realizar revisiones peridicas sobre las no conformidades y las tendencias con los
administradores designados.
7. Dar seguimiento a las no conformidades hasta su cierre.
Relacin de
productos
Reportes de revisin
7.7.3.2.3
Descripcin de roles
Rol
Responsabilidad
Administrador
de calidad
Revisor de
calidad
Revisa antes de ser entregados, que los productos y/o entregables generados tengan la
calidad esperada, cumplan con los criterios de calidad definidos y cubran los requerimientos
del solicitante; a su vez reporta las no conformidades detectadas y les da seguimiento hasta
su cierre.
Ingeniero de
pruebas
Responsable de ejecutar las pruebas y dar seguimiento a los defectos encontrados hasta su
cierre, as como de llevar la trazabilidad de los escenarios de prueba.
Auditor de
calidad
Grupo de
aseguramiento
de calidad
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.3.2.4
Descripcin de productos
Nombre
Descripcin
Plan de calidad
Estrategia de calidad
Recursos disponibles
Requerimientos de ambientes
Estimaciones
Ambiente de
verificaciones
Reporte de
revisin
Escenarios de
prueba
Listas de
verificacin
Documento en el cual se establecen los criterios y puntos crticos a revisar en una auditoria
de calidad, revisin o evaluacin, para determinar el adecuado desempeo y su apego al
proceso definido.
Lecciones
aprendidas
Repositorio de
reportes de
revisin.
7.7.3.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Cumplimie
nto a
revisiones
de calidad
Medir la
eficiencia del
proceso por
medio del
cumplimiento
Obtener el
porcentaje de
revisiones
efectuadas
por cada
Eficiencia
De
gestin
% de eficiencia=
(((Nmero de
revisiones de
calidad
efectuadas en el
Respons
able
Administra
dor del
proceso
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
del numero
de revisiones
de calidad
efectuadas
solucin
validada al
respecto de
las revisiones
planeadas
Dimensin
Tipo
Frmula
Respons
able
Frecuencia
de clculo
desarrollo de cada
solucin
tecnolgica)/
(nmero de
revisiones de
calidad planeadas
en cada solucin
tecnolgica)) x
100)
7.7.3.4
1.1
1.2
1.3
1.4
Se debern implementar las acciones correctivas necesarias para cada defecto detectado en los
procesos de verificacin y validacin, as como darles seguimiento hasta su atencin total y
definitiva.
Se debern analizar los resultados de los diferentes tipos de revisiones en forma peridica,
mantener su registro y comunicarlos institucionalmente.
Se deber asegurar la comunicacin oportuna de las lecciones aprendidas del proceso de
revisiones a los productos y servicios de trabajo.
Se debern incluir las actividades necesarias para asegurar que se cubran los requerimientos
especificados en la poltica de seguridad de la dependencia o entidad.
El Plan de calidad deber incluir las actividades necesarias para asegurar la verificacin y
validacin de los productos y procesos, as como la participacin de los recursos humanos y
herramientas necesarias para la ejecucin de las actividades.
El Plan de calidad deber estar incluido en el Plan de proyecto, asegurando la integracin con
otras entidades o interfaces con reas o sistemas.
Todos los resultados obtenidos en las verificaciones y validaciones debern estar almacenadas y
ser comunicadas a los involucrados.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.7.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8
TRANSICIN Y ENTREGA
7.8.1.
Administracin de cambios
7.8.1.1
General.Lograr una integracin eficiente, segura y oportuna de los cambios que modifican el ambiente operativo
mediante la definicin y establecimiento de los mtodos, procedimientos y estndares necesarios.
Especficos.1. Asegurar que toda propuesta de cambio recibida incluya una justificacin tcnica y econmica.
2. Validar y calendarizar la propuesta de cambio mediante revisin detallada de su justificacin.
3. Asegurar que la informacin relacionada con los cambios se documente para su medicin y comunicacin.
4. Administrar adecuadamente los riesgos inherentes a los cambios.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.1.2
7.8.1.2.1
Criterios de seleccin de la
herramienta de software para
el proceso de cambios
Descripcin del punto nico de
gestin de solicitudes de
cambio
OSGP
Procesos
del Marco
rector
Solicitud
de cambios
Equipos responsables de
evaluar y ejecutar los cambios
ACMB-6 Canalizacin de la
solicitud de cambio
Procesos del
Marco rector
Solicitud de
cambio (cerrada)
Visto bueno para
el cierre del
cambio
Repositorio de
solicitudes de
cambios
Bitcora
de
operacin
ACMB-5 Evaluacin y
coordinacin del cambio
Solicitud de cambio
(exitoso o fallido)
Plan de pruebas
Registro de pruebas
Aceptacin de resultados
del cambio
Solicitud de cambio
(canalizada)
rdenes de trabajo
Plan de proyecto
de transicin a la
operacin
THO
A
Calendario de
cambios
THO
Informe de
rendimiento
del proyecto
de transicin
a la operacin
AO, AAF,
MI
CST
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.1.2.2
Relacin de
productos
Se debe establecer un punto nico a travs del cual se administre el ciclo de vida de las
solicitudes de cambio, que permita su seguimiento y control.
1. Con el fin de minimizar la probabilidad de conflictos entre cambios, que derive en una
posible afectacin al ambiente operativo. Establecer el punto central para la
administracin de cambios y realizar la difusin del mismo entre los interesados,
incluidos aquellos que tendrn el rol de solicitante del cambio.
Si se decide que el punto central para gestionar los cambios sea diferente a la mesa de
servicios, deber generarse la interfase de trabajo entre ambos, para lograr
consistencia y comunicacin en las actividades de ambos procesos.
2. Definir y difundir los canales de comunicacin oficiales para la administracin de cambios
(telfono, correo electrnico, pginas y formatos Web)
3. Definir los criterios para seleccionar la herramienta que permita la recepcin y gestin de
la solicitud de cambio.
4. Establecer la interfaz del punto central para cambios, con los procesos y funciones con
los que se relacione la administracin de cambios.
Factores
crticos
1. Definir los datos mnimos que se requieren del solicitante del cambio, tales como nombre y
detalles de contacto.
2. Establecer un control para asegurar que en la solicitud de cambio se identifiquen los
riesgos potenciales derivados del cambio, incluyendo tanto riesgos de tipo tcnico, como
de negocio.
3. Establecer un identificador nico por cada solicitud de cambios, para evitar la duplicidad de
los mismos y facilitar su monitoreo.
4. En caso de tratarse de un cambio derivado de un incidente, problema o iniciativa, incluidas
la de mejora, referir el identificador de esos otros registros.
5. Asegurar que la solicitud incluya una ventana de tiempo del cambio, en la que se
considere el tiempo que demandar aplicar todas las actividades, cuando sea pertinente.
6. Definir con qu autorizaciones previas debe contar el solicitante del cambio para hacer su
solicitud, cuando as aplique.
7. En caso de existir un repositorio o inventario de los elementos del ambiente productivo
(activos, elementos de configuracin, procesos, servicios, formatos, roles), solicitar que se
enlisten los elementos que sern impactados directa o indirectamente por el cambio.
8. Establecer la documentacin mnima que se requerir para soportar la Solicitud de cambio
9. Definir qu documentacin ser la mnima requerida para solicitar un cambio de
Pg. 223 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
emergencia.
10. Determinar qu documentacin sera opcional para ciertos tipos de cambio.
11. Definir los tipos de cambio posibles, para la clasificacin de las solicitudes de cambio; se
debe considerar al menos los tres tipos referidos en el marco de mejores prcticas de ITIL:
Cambio de rutina
Cambio normal
Cambio de emergencia
12. Desarrollar un procedimiento en particular para cada tipo de cambio.
13. Establecer un mecanismo para diferenciar aquellos cambios que resultan de un incidente o
problema, de los que tienen como motivo una mejora.
14. Definir durante el diseo del proceso de Administracin de cambios, los estatus que
reflejen los diferentes estados por los que puede pasar un cambio.
15. Los estatus del cambio debern estar disponibles para su uso en la herramienta de
software del proceso y debern poderse cambiar conforme se requiera.
16. Definir las reglas que aplicarn para el cambio de estatus de un registro de cambio en la
herramienta de software.
17. Debern considerarse al menos los cuatro tipos de prioridad referidos en el marco de
mejores prcticas de ITIL:
Baja
Normal
Alta
Urgente
18. Definir los niveles que se necesitarn para categorizar los cambios.
19. Definir las categoras de cambio que se prev puedan abarcar la mayor parte de los
posibles tipos de cambio, considerando su naturaleza.
20. Las categoras de los cambios deben describir el rubro afectado, por ejemplo procesos,
hardware, software, aplicaciones.
21. Las subcategoras debern estar relacionadas con la categora del nivel anterior y refieren
el detalle de ese nivel.
Relacin de
productos
Con base en el origen, complejidad y alcance de los cambios que se presentan, se debern
definir los equipos responsables de evaluar y ejecutar los cambios que se autoricen.
Factores
crticos
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
ACMB-4 Registro y clasificacin de la solicitud de cambio
Descripcin
Factores
crticos
Relacin de
productos
Factores
crticos
El procedimiento de evaluacin del cambio depende de la clasificacin con que haya sido
registrada la solicitud. Dependiendo del tipo de cambio, prioridad y categora, podr variar
quin, qu y cmo se evala el cambio.
1. En general, para la evaluacin de un cambio se deben considerar las respuestas a los
siguientes cuestionamientos:
Quin solicit el cambio?
Cul es la justificacin del cambio?
Qu beneficios se logran a partir del cambio?
Qu riesgos estn asociados al cambio?
Qu recursos se requieren para realizar el cambio?
Quines son responsables de la ejecucin prueba e implementacin del cambio?
Cules es la relacin de este cambio con otros previos?
2. La evaluacin del cambio regularmente se lleva a cabo en dos ocasiones. Una primera
evaluacin generalmente la lleva a cabo el equipo de especialistas, mientras que la
segunda es realizada por el Grupo de trabajo asesor de cambios y/o Grupo de trabajo
asesor de cambios de emergencia y el Administrador de cambios.
3. Definir el riesgo implcito en el cambio mediante una matriz de categorizacin del riesgo.
4. Se debe determinar si la prioridad o categora del cambio necesitan ser actualizados.
5. Con base en el resultado de la evaluacin y de ser autorizado el cambio, definir los planes
asociados al cambio, cuando sea necesario.
6. Actualizar y compartir el calendario de cambios con los involucrados en el cambio.
7. Documentar todas las actividades realizadas en el registro del cambio.
8. Si se aprueba el cambio, generar las rdenes de trabajo para su ejecucin.
9. Se coordinan las actividades para que el equipo responsable de ejecutar el cambio lo
realice.
Pg. 225 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Factores
crticos
Relacin de
productos
Relacin de
productos
Ejecucin de las pruebas para la implantacin del cambio y de las pruebas despus de
implantado el cambio.
Un cambio necesita ser probado antes y despus de su aplicacin, an cuando se trate de
cambios de emergencia.
En el primer caso, las pruebas se realizan para validar a travs de un ambiente controlado,
que con el cambio se logran los resultados esperados sin que resulten afectaciones a la
dependencia o entidad.
Las pruebas posteriores a la implantacin del cambio, se efectan para validar si el cambio
cumpli o no con su objetivo, si arroj los resultados esperados y si no deriv en un dao
colateral en el ambiente operativo de la dependencia o entidad, que puede incluso implicar
detener el cambio y regresar los elementos afectados a su estado original. En los ambientes
de prueba, se debe emular el ambiente de produccin.
1. Para los cambios de emergencia, hay que adecuar la requisicin de pruebas para que se
realicen, de acuerdo al tiempo y necesidad que plantee el escenario que se experimente
en la operacin.
2. Los resultados de las pruebas previas al cambio, podran solicitarse como parte de la
documentacin que debe sustentar la propuesta del cambio.
3. Las pruebas a realizar una vez que se haya implementado el cambio, debern haber sido
documentadas y entregadas junto con la solicitud de cambio.
4. El Plan de pruebas y su ejecucin son imperativos para cualquier tipo de cambio, incluido
el de emergencia.
5. Todo cambio deber incluir un Plan de restauracin a travs del cual sea posible regresar
el entorno a su estado original.
6. Documentar todas las actividades realizadas, en el registro del cambio.
7. Proveer informacin detallada e inmediata acerca de un cambio ejecutado en un activo o
elemento de CMDB, al proceso de Administracin de la configuracin.
Solicitud de cambio (exitoso o fallido)
Plan de pruebas
Pg. 226 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Registro de pruebas
Aceptacin de resultados del cambio
Factores
crticos
Cuando un cambio ha sido ejecutado, se debern valorar y validar los resultados logrados.
Para stos se determina si el cambio fue exitoso o fall, si se logr cumplir con el objetivo
fijado, si el cambio provoc incidentes o problemas en el ambiente de operacin y si tanto el
solicitante como los interesados, incluyendo los representantes de la dependencia o entidad,
estn satisfechos con la ejecucin y los resultados logrados.
1. Considerar las respuestas a los siguientes cuestionamientos:
Se cumplieron los objetivos previstos?
Cul ha sido la percepcin de los usuarios respecto al cambio?
Se pusieron en marcha los planes de retorno en alguna fase del proceso? Por qu?
2. Determinar si las actividades realizadas en el cambio se hicieron conforme a lo planeado y
si se experiment alguna desviacin importante que haya derivado en un riesgo para el
ambiente operativo o para el cambio mismo, o haya resultado en la falla del cambio.
3. Confirmar si el cambio logr su objetivo.
4. Verificar con el representante de la dependencia o entidad y con los usuarios, si surgieron
o no incidentes o problemas a partir de la aplicacin del cambio.
5. En general, medir la satisfaccin del solicitante del cambio, del usuario y de todos los
involucrados respecto a la ejecucin del cambio y a los resultados logrados.
6. Documentar todas las actividades realizadas, en el registro del cambio.
7. La evaluacin de desempeo del proceso deber realizarse mediante el proceso de
Administracin del desempeo de TIC.
Solicitud de cambio (cerrada)
Visto bueno para el cierre del cambio
Relacin de
productos
7.8.1.2.3
Descripcin de roles
Rol
Descripcin
Administrador de
Recibe, registra y clasifica el cambio, convoca al Grupo asesor de cambios y al Grupo
cambios
Grupo de trabajo
asesor de
cambios
Grupo de trabajo
cambios de
emergencia
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Solicitante del
cambio
Equipo
responsable de
ejecutar el
cambio
Solicita el cambio mediante el formato definido para este fin, integrando a dicha solicitud
toda la informacin y documentacin que aplique y sea requisito para el tipo de cambio en
cuestin. Tambin valida el cierre del cambio despus de realizar una verificacin de su
ejecucin y resultados logrados.
Los cambios pueden ser solicitados a partir de necesidades derivadas de la ejecucin de los
procesos del marco rector.
Equipo de expertos en el mbito de aplicacin de una o ms categoras de cambios,
responsable de evaluar conceptual y tcnicamente la solicitud de cambio recibida. El Equipo
de expertos es responsable de la implementacin de los cambios aprobados dentro de la
ventana de tiempo, costo y actividades establecidas en los planes de cambios, as como de
documentar las actividades realizadas y aplicar el procedimiento de restauracin cuando un
cambio falla en su implementacin.
7.8.1.2.4
Descripcin de productos
Producto
Descripcin
Descripcin del
punto nico de
gestin de
solicitudes de
cambio
Documento que define las actividades para la gestin de una solicitud de cambio, desde
su registro hasta su cierre y evaluacin del resultado obtenido, contiene entre otra
informacin, la siguiente:
Solicitud de
cambio
Formato para documentar el propsito y detalles del cambio propuesto, que es sometido a
consideracin y valoracin por la autoridad, para decidir su procedencia o rechazo.
Caractersticas:
Requisitos para el
plan de
implementacin
del cambio
Definicin de los requerimientos mnimos del plan donde se definirn de forma detallada
las actividades a ejecutar para la implementacin del cambio, incluyendo tiempos y
recursos.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Requisitos para el
plan de
restauracin
Plan de pruebas
Plan donde se describen las pruebas a ejecutar para determinar el xito o fracaso del
cambio o del Plan de restauracin.
Registro de
pruebas
Registro de los resultados y defectos localizados durante la ejecucin de las pruebas del
cambio.
Procedimiento de
Conjunto de acciones especficas a seguir para cada tipo de cambio.
gestin por tipo de
cambio
Catlogo de
Documento donde se enlistan y describen los estatus que podrn utilizarse durante el ciclo
estatus del cambio de vida del cambio, las reglas que aplican para pasar de uno a otro y quienes estn
involucrados.
Tabla de verdad de Tabla para determinar la prioridad del cambio, medida por medio del impacto al negocio y
la prioridad del
el nivel de urgencia solicitado.
cambio
Catlogo de
categoras del
cambio
Documento donde se definen los niveles que debe cubrir un cambio para poder ser
categorizado, con base en los elementos que se vern afectados.
Criterios de
seleccin de la
herramienta de
software para el
proceso de
cambios
Especificaciones para poder seleccionar una herramienta mediante la cual sea posible
automatizar algunas o todas las actividades del proceso de cambios. Cada criterio
describe las caractersticas y funcionalidades que se deben evaluar de acuerdo a las
necesidades del negocio.
Agenda del grupo Documento donde se describen los temas y cambios a resolver y acordar durante las
de trabajo asesor
sesiones del Grupo de trabajo asesor de cambios o del Grupo de trabajo asesor de
de cambios y del
cambios de emergencia.
grupo de trabajo
asesor de cambios
de emergencia
Planes
actualizados
asociados al
cambio
Son los planes originales de instalacin, pruebas y regresin de un cambio, con las
adecuaciones que hayan resultado de su evaluacin.
Visto bueno para el Aprobacin del cambio realizada por el solicitante y todos los involucrados.
cierre del cambio
Calendario de
cambios
Calendario donde se registran todo los cambios aprobados para ejecucin, que se
comparte con los interesados.
Criterios para
asignar urgencia,
impacto y
prioridad
Documento donde se describen las pautas para clasificar un cambio: urgencia, impacto y
prioridad.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
rdenes de trabajo Documentos a travs de los cuales se solicita la ejecucin de un cambio.
Aceptacin de
resultados del
cambio
Equipos
responsables de
evaluar y ejecutar
los cambios
Lista de personas con el perfil adecuado para evaluar y ejecutar un cambio solicitado, de
acuerdo a su impacto y urgencia.
7.8.1.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsabl
e
Eficiencia en
las solicitudes
de cambios
Conocer la
eficiencia en
la atencin a
las
solicitudes
de cambio
Obtener la
medicin de
la eficiencia
del proceso
por medio del
numero de
cambios
exitosos y su
relacin con
el total de
cambios
ejecutados
Eficacia
De
gestin
% de eficiencia=
(Nmero de
cambios
exitosos) / (total
de cambios
ejecutados) X
100
Administrado
r del proceso
7.8.1.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
Frecuenci
a de
clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.9
1.10
1.11
1.12
1.13
1.14
1.15
1.16
7.8.1.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.2.
7.8.2.1
Liberacin y entrega
Objetivos del proceso
General.-
Garantizar que la solucin tecnolgica o servicio que se entregue para su puesta en operacin, cumpla con los
requerimientos tcnicos necesarios.
Especficos.-
1. Asegurar que se elaboren planes de liberacin y entrega aprobados por las partes involucradas.
2. Garantizar que el paquete de liberacin de una solucin tecnolgica o servicio sea construido, instalado,
probado y desplegado eficientemente en el ambiente de implementacin de manera oportuna y exitosa.
3. Asegurar que los paquetes de liberacin puedan ser rastreados, verificados, desinstalados y respaldados
gilmente para responder oportunamente a cambios o eventos inesperados.
4. Asegurar que el paquete de liberacin de la solucin tecnolgica o servicio que se entregue para su puesta
en operacin as como sus elementos habilitadores, entreguen los requerimientos de servicio
comprometidos.
5. Asegurar que los paquetes de liberacin y los componentes que los constituyen, sean registrados total y
correctamente en CMDB, para que los involucrados garanticen el mantenimiento, la continuidad y la
disponibilidad del servicio.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.2.2
7.8.2.2.1
ACMB
Solicitud de
cambio
(canalizada)
rdenes de
trabajo
Criterios de definicin de
unidades de liberacin
Criterios de definicin de
paquetes de liberacin
ACNF
Estructura de la
CMDB
Definicin de
elementos de
configuracin
Nomenclatura para
identificacin de versiones
Gua de identificacin de
versiones
Documento de mtodo de
liberacin y entrega
CMDB
ACNF
THO, ACMB
THO, ACMB
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.2.2.2
Factores
crticos
Relacin de
productos
Factores
crticos
Relacin de
productos
Identificar individualmente y de manera nica las versiones. La identificacin debe incluir una
referencia al elemento de configuracin que representa, as como un nmero de versin, que
normalmente se compone de varias partes que indican el nivel e importancia de esa versin
en particular.
1. Establecer reglas para la identificacin de las unidades y paquetes de liberacin.
2. El identificador de la versin deber incluir una referencia al elemento de configuracin
que representa y el nmero de versin.
3. Considerar el uso de un sistema para administrar las versiones.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
LE-3 Elegir la opcin de liberacin ms conveniente
Descripcin
Factores
crticos
Elegir el mtodo ms adecuado de liberacin, considerando las ventajas as como los riesgos,
y dependiendo del tipo, volumen, nmero de ubicaciones y complejidad de la liberacin que se
vaya a realizar.
1. Para el despliegue del paquete de liberacin se deben elaborar mtodos que consideren:
Considerar en el diseo y uso de los diversos mtodos de despliegue, la infraestructura
y recursos disponibles; cada mtodo de liberacin exigir recursos, procedimientos,
riesgos y complejidad diferentes en distintos tiempos de la liberacin.
Considerar en el diseo y uso de los diversos de despliegue, las caractersticas crticas
de la solucin tecnolgica y su alcance:
i. liberacin masiva solo si el riesgo y recursos demandados son bajos,
cuando sea rutinario o si la liberacin es emergente.
ii. por fases cuando el riesgo sea admisible y se necesite realizar
comprobaciones antes de una liberacin masiva o cuando necesite afinarse
el procedimiento.
iii. liberacin obligatoria cuando se requiera forzar el paso a produccin de la
liberacin.
iv. liberacin de acceso voluntario cuando se pueda centralizar el
almacenamiento de la liberacin y se quiera dar la opcin de elegir el
momento del despliegue al usuario.
v. liberacin automtica que permita lograr repetitividad y consistencia,
previamente verificar la compatibilidad del elemento destino para recibir la
liberacin, seleccionar la poblacin destino especfico e incluso automatizar
mediante calendario, hacer el despliegue con el mnimo de intervencin
humana.
2. Considerar la tolerancia e impacto de errores de la liberacin en la dependencia o
entidad, cuando se escoja un mtodo de liberacin manual.
3. El mtodo de liberacin que se elija para cada paquete de liberacin debe justificarse y
aprobarse. Debe comunicarse a los representantes de la dependencia o entidad y reas
especialistas interesadas.
Relacin de
productos
Factores
crticos
Desarrollar el Plan de liberacin y entrega que funciona como un conjunto de guas para la
liberacin en produccin.
1.
2.
3.
4.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
productivo de la dependencia o entidad, debern ser autorizados mediante el proceso
de cambios.
Describir el contenido de las liberaciones y la relacin entre las diferentes etapas de
liberacin, cuando aplique.
Al definir el piloto, determinar su tiempo de duracin, participantes, recursos de soporte,
etc.
Para el o los pilotos, establecer la diversidad, inclusiones y excepciones de
participantes.
5.
6.
7.
Relacin de
productos
Factores
crticos
Ejecucin de las actividades del Plan de liberacin y entrega que comprenden la construccin
del paquete de liberacin, las pruebas y soporte temprano.
Para la construccin del paquete de liberacin debe considerarse:
1.
Determinar el ambiente que se necesita para construir las liberaciones.
2.
Definir los procedimientos, metodologas, herramientas y lista de verificacin que
deberan aplicarse para asegurar que el paquete de liberacin sea construido de
manera estndar, controlada y replicable.
3.
Hacer uso de modelos y metodologas especializadas para la gestin de las
actividades de construccin.
4.
Asegurar que las actividades de construccin, as como el ambiente, cumplen con las
reglas y regulaciones, incluyendo las de seguridad de la informacin.
5.
Los avances en la construccin y pruebas debern registrarse.
6.
Probar los elementos que compondrn la liberacin
7.
Empaquetar las liberaciones considerando el modelo y definicin de los paquetes y
unidades de liberacin.
8.
Planear las actividades de transicin a la operacin: transferencia de responsabilidad
de recursos e instalaciones.
9.
Establecer las actividades para el pase de la documentacin y la experiencia a la
operacin, mediante el proceso de Administracin del conocimiento.
10. Transferir los compromisos con motivo de contratos, licencias, fondos y pagos.
11. Asegurar la disponibilidad de los recursos a emplear, principalmente de capital
humano.
12. Identificar la necesidad y solicitar la autorizacin de operar en dos ambientes cuando
exista una liberacin por fases.
13. Planear la liberacin de recursos en prstamo.
14. Documentar la construccin y liberacin
Para las pruebas del paquete de liberacin deber considerarse:
1.
Determinar el ambiente necesario para probar las liberaciones, procurando que sea lo
ms similar posible al ambiente productivo en el que se realizar la liberacin.
2.
Asegurar que las actividades de prueba, as como el ambiente, cumplen con las reglas
y regulaciones, incluyendo las de seguridad de la informacin.
3.
Establecer controles y procedimientos para medir el impacto de la liberacin en el
ambiente, una vez que se haya desplegado.
4.
Integrar actividades mediante las cuales se verifique que tanto el ambiente, como los
Pg. 237 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
servicios y usuarios afectados por la liberacin, estn listos para recibir la liberacin.
Lograr un balance entre los recursos a usar en las pruebas y los beneficios que se
derivarn.
Para el soporte temprano debe considerarse:
1. Establecer un plan de la operacin del paquete con los recursos y la aplicacin de las
experiencias generadas durante la construccin y la liberacin.
2. Delimitar el alcance y duracin del soporte temprano
5.
Relacin de
productos
Factores
crticos
Verificar que el servicio y ambiente sobre el que se realiza la liberacin y la entrega final, recibe
de facto los beneficios esperados que originaron el cambio y la liberacin, con un impacto
limitado en caso de surgir alguna situacin negativa inesperada.
1.
Verificar que la integridad del o los paquetes de liberacin se haya mantenido durante
las actividades de liberacin y se registre en el repositorio de configuraciones.
Validar que una vez liberado el paquete, el servicio en el que participa cumple con los
niveles de servicio.
Identificar si hay impacto no previsto en el ambiente, que se manifieste en forma de
incidentes o problemas.
Verificar que el servicio se puede usar como se esperaba.
Probar los servicios y/o componentes dependientes o afectados directa e
indirectamente por la liberacin.
Lograr patrocinio para el o los pilotos, considerando que pueden demandar tiempo y
productividad de los usuarios
Reportar el avance y resultados de las pruebas sobre las liberaciones.
Verificar y reportar si la liberacin se cumpli dentro del tiempo y costo previstos.
Confirmar que el monto de incidentes y problemas que pudieran derivarse de la
liberacin sean aceptables por la dependencia o entidad y los usuarios.
2.
3.
4.
5.
6.
7.
8.
9.
Relacin de
productos
7.8.2.2.3
Descripcin de roles
Rol
Descripcin
Responsable de la
implementacin del
paquete de
liberacin
Responsable de la
construccin del
paquete de
liberacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Administrador de
Responsable de la eficiencia y despliegue seguro de los cambios de solucin tecnolgica
liberacin y entrega
7.8.2.2.4
Descripcin de productos
Producto
Descripcin
Criterios de
definicin de
paquetes de
liberacin
Nomenclatura para Documento donde se define y describe la nomenclatura que deber cumplirse para la
identificacin de versiones.
identificacin de
versiones
Gua de
identificacin de
versiones
Documento de
mtodo de
liberacin y
entrega
Plan de liberacin
y entrega
Resultado de las
pruebas del
servicio
Reporte donde se describen los resultados de las pruebas realizadas despus de las
liberaciones.
Reporte de
entrega
Paquete de
liberacin
entregado a
ambiente
productivo
CMDB actualizada
Criterios de
definicin de
unidades de
liberacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.2.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Eficiencia
en el
proceso de
liberacin y
entrega
Conocer los
resultados
del proceso
mediante la
medicin de
su eficiencia.
Obtencin
de la
relacin de
paquetes de
liberacin
entregados
en tiempo y
forma y las
solicitudes
programada
s de
construccin
de los
paquetes de
liberacin
Eficiencia
De gestin
% de
eficiencia=(N
mero de
paquetes de
liberacin
registrados
en tiempo y
forma en la
CMDB /
Total de
paquetes de
liberacin
solicitados)
X 100
Responsabl
e
Administrado
r del proceso
Frecuencia
de clculo
Semestral
7.8.2.4
1.1
La UTIC deber garantizar que toda liberacin de soluciones tecnolgicas o hardware sea
gestionada mediante el proceso de Administracin de cambios, sin excepcin.
Toda liberacin e implementacin de soluciones tecnolgicas o hardware, deber ser finalmente
registrada en la Base de datos de configuraciones (CMDB)
Los procedimientos y reglas que apliquen para el proceso, debern ser definidos, documentados y
aprobados por la administracin del ambiente productivo, quien se asegurar que sean
comunicados a travs de la dependencia o entidad y a todos los proveedores relevantes del
proceso.
Los procedimientos y reglas que apliquen para el proceso, debern estar alineados al marco de
gobierno que impere en la administracin de servicios y en la dependencia o entidad.
Toda no conformidad con alguna poltica del proceso, debe ser investigada, documentada,
reportada y corregida.
El proceso de Liberacin y entrega deber alinearse a los procesos y sistemas de la dependencia o
entidad con el fin de mejorar la eficiencia y efectividad.
El proceso de Liberacin y entrega deber ser regido con un enfoque de uso de la informacin,
procedimientos y soluciones tecnolgicas ya existentes.
Procedimientos automticos repetitivos debern ser desarrollados para incrementar la eficiencia y
eficacia de las actividades clave del proceso, tales como distribucin e instalacin.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
La UTIC deber realizar pruebas del software, sistema o aplicativo a liberar, incluyendo pruebas
individuales, de estrs, de volumen, integrales, de regresin, antes de liberar una versin a
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.13
1.14
1.15
1.16
1.17
1.18
1.19
1.20
7.8.2.5.
produccin.
La UTIC deber garantizar la liberacin de la versin final de las soluciones tecnolgicas, evitando
la exposicin del cdigo de lectura o escritura a los usuarios y de ser el caso, hacia Internet.
La UTIC deber asegurar y mantener evidencia de la realizacin de las pruebas efectuadas,
previas a la liberacin, a las configuraciones del sistema, incluyendo sistema operativo, controles
de seguridad, bases de datos y cualquier componente que interacte con el software a liberar.
No est permitido el uso de datos de produccin, para el uso de pruebas en el desarrollo de las
soluciones tecnolgicas; si fuera necesario, debe estar autorizado por los responsables de los
activos de informacin y ser de conocimiento del Grupo de desarrollo de las soluciones
tecnolgicas y del responsable del proceso de Administracin de cambios.
En caso de que se usen datos de produccin en el ambiente de pruebas, la UTIC deber mantener
evidencia de la utilizacin y salvaguarda de stos. Deben mantenerse como confidenciales y
destruirse una vez concluidas las pruebas.
La UTIC deber asegurar y mantener evidencia de la eliminacin definitiva de todos los datos de
pruebas, cuentas creadas, contraseas, y de cualquier otra informacin de prueba antes de
efectuar una liberacin.
La UTIC deber asegurar y mantener evidencia la verificacin del cdigo antes de ser liberado a
travs de herramientas especializadas, para identificar potenciales vulnerabilidades.
La UTIC deber asegurar y mantener evidencia de la aprobacin de liberacin incluyendo la de las
reas usuarias, del responsable del equipo de desarrollo y del responsable del centro de datos.
La UTIC deber asegurar y mantener evidencia de haber etiquetado la versin definitiva que se
libera y actualizado la CMDB de acuerdo al proceso correspondiente, respaldado y resguardado
todos los componentes del paquete de liberacin.
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.3.
7.8.3.1
General.Poner en operacin una solucin tecnolgica liberada para que los usuarios utilicen el producto o servicio
mediante la planeacin y ejecucin de un Plan de transicin y puesta en operacin.
Especficos.-
1. Asegurar que se elaboren y comuniquen los planes de transicin y puesta en operacin de la solucin
tecnolgica y que en los mismos estn integrados los requerimientos originales de diseo del servicio y
operacin.
2. Identificar y realizar los ajustes necesarios en la solucin tecnolgica o el elemento de TIC, previamente a
la puesta en operacin.
3. Coordinar la ejecucin del plan para asegurar la integridad del ambiente de operacin en el que residir la
solucin tecnolgica.
4. Asegurar la transicin de la solucin tecnolgica de TIC a la operacin en el tiempo y costo previstos y
con la calidad esperada.
5. Transferir la informacin y conocimiento necesarios para operar la solucin tecnolgica puesta en
operacin.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.3.2
7.8.3.2.1
DSTI
rdenes de trabajo
Solicitud de cambio
Bitcora de resultados de las
pruebas de factibilidad
Paquete de liberacin entregado
a servicio
Resultado de Pruebas
Reporte de entrega
Manual tcnico
Manual de usuario
Reporte de revisin
Plan de proyecto de
transicin a la operacin
Criterios de aceptacin del
servicio revisados
DST
Solicitud de cambio
(canalizada)
Informe de rendimiento
del proyecto de transicin
a la operacin
ACMB
ACMB
APTI
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.3.2.2
Elaborar el Plan del proyecto de transicin. Considerar actividades para lograr la habilitacin
operativa y mantenimiento de los productos a entregar al rea responsable de operar y
sustentar el servicio.
Factores
crticos
Las actividades para transicin hacia la operacin y el soporte, deben incluir las validaciones
(con apego a lo indicado en el proceso de Operacin del sistema de gestin y mejora de
procesos de la UTIC), la transferencia de responsabilidades a la operacin, la realizacin del
entrenamiento, as como la obtencin y disposicin de los recursos, incluyendo las entradas de
otras etapas y procesos, fondos y patrocinio, acceso a repositorios de informacin y ambientes
de pruebas y lo necesario para realizar la transferencia exitosa del servicio o elemento.
Factores
crticos
Establecer controles adecuados para identificar que la transicin (cambio) del servicio nuevo o
modificado, efectivamente provee el valor que la dependencia o entidad requiere, bajo los
trminos establecidos.
1. Se debe involucrar directamente al usuario para las pruebas finales de aceptacin de la
entrega y medicin de los resultados en comparacin con los SLA esperados.
Pg. 245 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
2. Asegurar que se tiene la comprensin completa, por parte del grupo de trabajo
asignado, de la totalidad de los requerimientos de nivel de servicio y de los Criterios de
aceptacin del servicio, as como de los puntos o hitos de control dentro del Plan de
transicin del servicio.
3. Identificar con certeza y, partiendo de las especificaciones de diseo, prever la
utilizacin de los elementos de configuracin y componentes para realizar pruebas con
el grado de calidad requerido para realizar la transicin.
4. Establecer los controles que sern aplicados por los Grupos de auditora interna o
externa.
Relacin de
productos
Asegurar que la transicin del servicio nuevo o modificado se haga con apego al Plan de
proyecto de transicin a la operacin acordado.
Factores
crticos
Relacin de
productos
Monitorear y asegurar que la transicin del servicio nuevo o modificado se haga con apego al
Plan de proyecto de transicin a la operacin acordado.
Factores
crticos
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.3.2.3
Descripcin de roles
Rol
Descripcin
Administrador de la
Gestin y control del da a da sobre los equipos de trabajo y sus actividades mediante la
transicin del
planeacin de la transicin, coordinacin de las funciones, presupuestos, contabilidad,
servicio
trato con el usuario respecto a la transicin, aseguramiento del cumplimiento del proceso
y logro de los resultados esperados.
Administrador del
conocimiento del
servicio
7.8.3.2.4
Descripcin de productos
Producto
Descripcin
Plan de proyecto de
transicin a la
operacin
Criterios de aceptacin Son los atributos que restringen los diversos aspectos de un servicio; deben ser
del servicio revisados
satisfechos, para considerar que el servicio cumple con lo requerido en cada fase de su
7.8.3.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
Eficiencia en
el proceso de
transicin y
puesta en
Medir la
eficiencia del
proceso en
base al
Conocer los
resultados
del proceso
mediante la
Eficiencia
De gestin
% de
eficiencia
=(Nmero de
transiciones
UTIC
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
operacin.
numero de
transiciones
de acuerdo a
lo planeado
relacin
entre del
numero de
planes de
trabajo
concluidos
en tiempo y
forma y el
numero de
planes de
trabajo
ejecutados
en un
periodo
determinado
de tiempo
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
de
soluciones
tecnolgicas
a la
operacin
con tiempo,
costo y
calidad
previstas/
Nmero total
de
transiciones
de
soluciones
tecnolgicas
a la
operacin
efectuadas)
X 100
7.8.3.4
1.1
Para toda transicin, el administrador del proceso de Transicin a la operacin, deber nombrar un
responsable del Plan de proyecto de transicin a la operacin.
El responsable del Plan de proyecto de transicin a la operacin deber asegurarse de que la
informacin recopilada durante la ejecucin del plan tenga como fuente directa el rea que la gener
y se entregue a la operacin.
Toda informacin que sea transferida a la operacin y soporte, deber ser validada previamente para
asegurar su calidad y efectividad.
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Todos los cambios que se generen a partir del proyecto de transicin a la operacin, debern
hacerse mediante el proceso de Administracin de cambios.
La adicin, remocin o modificacin de elementos de configuracin relacionados con las actividades
de transicin, debern ser reportadas en el proceso de Administracin de la configuracin.
1.2
1.3
1.4
1.5
1.6
1.7
1.8
7.8.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.4.
Administracin de la configuracin
7.8.4.1
General.-
Mantener y tener disponible la informacin funcional y tcnica relativa a las soluciones tecnolgicas, los
entornos de pruebas, de calidad, de pre-operacin y de operacin para hacer eficiente la ejecucin de los
procesos cuya operacin requiera acceder a los datos de configuraciones, versiones y caractersticas de los
servicios.
Especficos.-
1. Identificar, registrar, controlar, auditar y verificar los datos de las soluciones tecnolgicas, los entornos
de pruebas, de calidad, de pre-operacin y de operacin, incluyendo sus atributos, relaciones con otros
elementos, versiones, memorias tcnicas de desarrollo y documentacin relacionada.
2.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.4.2
7.8.4.2.1
ADT
Documento de definicin del
alcance del proceso
Estructura de relaciones
de elementos
Catlogo de estados de
elementos de configuracin
Procedimiento para el uso de
estado de un elemento de
configuracin
Seleccin de elementos
con lnea base y mtodo
para obtenerla
DST
Paquete de entregables
Manual tcnico
Manual de usuario
Reporte de revisin
Plan de configuracin y
cambios
ACNC
ADT
Plan de evaluacin
Plan de auditoria
Procedimiento de
auditoria
OSGP
Modelo de control
de la configuracin
ACNF-8 Desarrollar y controlar
las libreras y almacenes en la
CMDB
CMDB
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.8.4.2.2
Factores
crticos
Relacin de
productos
Factores
crticos
Definir e identificar los activos y elementos de configuracin, as como sus estructuras, que se
administrarn a travs del proceso, estableciendo la estructura de la CMDB, (Configuration
Management Data Base).
1. Definir los atributos de los activos y elementos de configuracin. Al menos debern
considerarse: identificador nico, nombre, descripcin, componentes, ubicacin, lnea
base, estatus, versin, rol responsable e histrico, as como los criterios de relaciones
con otros elementos y las clases y categoras que estarn disponibles para clasificar y
controlar los elementos.
2. Establecer las propiedades mnimas que conformarn la lnea base de cada elemento y
activo que se integrar al proceso de Administracin de la configuracin.
3. La identificacin de los activos y elementos de configuracin se realiza no slo cuando se
llena por primera vez el repositorio de la configuracin, sino que se trata de una actividad
continua, principalmente despus de la ejecucin de proyectos de cambios, ordenes de
trabajo, liberaciones y transiciones a la operacin.
4. Establecer una convencin de nombres (nomenclatura) para los elementos y referir en el
Pg. 252 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
nombre la versin, clase, grupo, tipo, asegurndose de que sea corto e ilustrativo.
5. Verificar que las nomenclaturas, datos y su estructura, as como los procedimientos de
recopilacin, actualizacin y despliegue de informacin de la configuracin, cumplan con
las disposiciones establecidas en las leyes, y regulaciones gubernamentales y todas
aquellas aplicables, incluidas aquellas que se refieren a la seguridad de la informacin.
6. De ser necesario corregir las desviaciones identificadas en el punto anterior.
7. Rehusar en la medida de lo posible las definiciones, estructuras y cdigos que pudieran
ya existir en la dependencia o entidad. Utilizar cuando sea posible, herramientas
tecnolgicas para la identificacin y actualizacin de elementos de configuracin, que
aplica mayormente para hardware y software.
8. Decidir el procedimiento y formato de etiquetado de los elementos fsicos.
9. Comprobar que los procedimientos establecidos se apeguen a las regulaciones vigentes.
10. Desarrollar el modelo lgico del repositorio de la configuracin, en el que se describen
las relaciones y posicin de un elemento de configuracin en cada estructura definida.
11. Partir de un modelo de la configuracin que vaya de lo general a lo particular, esto es
desde el elemento de configuracin padre, hasta los componentes del elemento de
configuracin descendiente.
Definicin de elementos de configuracin
Estructura de la CMDB
Repositorio de conocimientos de dominios tecnolgicos
Relacin de
productos
Ubicar las relaciones entre los elementos tangibles e intangibles para lograr un mapa
conceptual del ambiente y para que esta informacin apoye la toma de decisiones.
1. Definir las relaciones vlidas y las reglas que regirn las tareas relacionadas con la toma
de decisiones.
2. Definir y estructurar las relaciones entre los elementos de configuracin y tambin con
elementos de otros procesos y sistemas tales como Acuerdos de niveles de servicio, roles,
documentacin, registros de incidentes, problemas, cambios y liberaciones, entre otros.
3. Definir las dependencias y jerarquas entre los elementos (relaciones padre-hijo), as como
entre los elementos y sus componentes.
4. Determinar qu tipo de relaciones son vlidas desde el punto de vista de bases de datos:
uno a uno, uno a todos, todos a uno.
Estructura de relaciones de elementos
Factores
crticos
Identificar aquellos elementos para los que se fijarn y rastrearn lneas base. Definir lneas
base permite establecer la configuracin oficial y autorizada de un elemento de configuracin,
que servir como punto de referencia para controlar el ambiente operativo, as como para
tener una base de copia de configuracin y de comparacin, en caso de necesitarse replicar u
auditar ese elemento.
1. Definir lneas base.
Considerar que los elementos de configuracin a los que se le fijarn lneas base
pueden limitarse inicialmente solo a aquellos ms crticos en los servicios provistos.
Posteriormente el alcance podra incrementarse segn se necesite, se madure el
proceso y se disponga de recursos.
Para identificar una lnea base, mediante un identificador, no usar nombres que denoten
una etapa o momento, sino versiones.
Pg. 253 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
El punto inicial de lnea base deber ser previamente acordado con los interesados e
impactados y deber validarse contra las necesidades de la dependencia o entidad.
La lnea base de un elemento puede variar y adaptarse conforme se necesite. Sin
embargo cualquier cambio deber ser previamente autorizado y gestionado siguiendo el
proceso de Administracin de cambios.
2. Establecer procedimientos que regulen las actualizaciones o cambios a las lneas base.
3. Mantener el histrico de todas las lneas base.
Pueden existir diferentes lneas base que correspondan a diferentes etapas del
elemento al que pertenecen.
Considerar que un elemento de configuracin puede tener ms de una lnea base
vigente.
Seleccin de elementos con lnea base y mtodo para obtenerla
Relacin de
productos
Relacin de
productos
Definir los estados que podrn usarse para identificar de manera exacta y clara la condicin
del elemento al momento de la consulta.
1. Todo elemento de configuracin debe referir de manera correcta y actualizada el estado
actual del elemento.
2. El cambio de estado de un activo o elemento deber estar autorizado y llevarse a cabo de
acuerdo al proceso de Administracin de cambios.
3. Definir el procedimiento, roles y autorizaciones que se requerirn para que un activo o
elemento pase de un estado a otro.
4. Justificar y documentar todo cambio de estado.
5. Asegurar que ningn dato de un activo de TIC o elemento de configuracin retirado, sea
eliminado de la CMDB. Establecer estados que indiquen una condicin de fuera de uso y
que inhabiliten su uso e impidan que pueda ser relacionado con elementos activos.
6. Establecer identificadores de estados descriptivos y cortos. Ejemplos de algunos de estos
estados son:
En desarrollo
Borrador
Aprobado
Activo
Suspendido
Fuera de uso
Catlogo de estados de elementos de configuracin
Criterios para el uso de estado de un elemento de configuracin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Factores
crticos
1.
2.
3.
4.
5.
6.
7.
8.
Relacin de
productos
Controlar los elementos utilizados para la entrega de servicios. Una parte de esos activos se
encuentra resguardada en repositorios fsicos y lgicos, referidos como libreras y
almacenes, mediante los cuales se ponen disponibles para su uso en el ambiente operativo.
Factores crticos
1. Integrar o desarrollar los repositorios lgicos y fsicos de configuraciones tales como
la librera segura, librera definitiva de medios, almacn seguro, repuestos definitivos
y dems repositorios que se precisen, en el proceso de Administracin de la
configuracin.
Pg. 255 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
2. Desarrollar procedimientos para la actualizacin en el Sistema de administracin de
la configuracin, de la informacin que se derive de los repositorios.
3. Establecer las regulaciones para el acceso a la informacin, diferenciando los
privilegios que por rol sean definidos.
4. Implementar controles para la seguridad de los repositorios lgicos y fsicos, que
debern estar sujetos a las regulaciones de seguridad vigentes.
Catlogo de libreras y almacenes
Definicin de las libreras y almacenes
Relacin de
productos
7.8.4.2.3
Descripcin de roles
Rol
Administrador de
activos de servicio
Responsable del
proceso de
Administracin de la
configuracin
Descripcin
Analista de la CMDB
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Administrador de la
CMDB
Administrador del
sistema de
administracin de la
configuracin CMS
7.8.4.2.4
realiza
activos
Descripcin de productos
Producto
Descripcin
Documento de
definicin de alcance
para el proceso de
administracin de la
configuracin
Definicin de
elementos de
configuracin
Documento con los objetivos especficos que se pretende alcanzar por fases,
considerando activos, elementos de configuracin y servicios.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Definicin de las
libreras y almacenes
Repositorio de
conocimientos de
dominios tecnolgicos
Documentos mediante los cuales se definen las libreras y almacenes que sern
implementados en el ambiente de configuraciones.
Repositorio con los datos e informacin que sustenta el conocimiento de un dominio,
incluye el conjunto de principios, modelos, normas y estndares del dominio.
7.8.4.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Cumplimiento
del proceso
de
administraci
n de la
configuracin
Conocer el
cumplimiento
del proceso
Medir la
eficacia del
proceso
mediante la
medicin del
numero de
inconsistenci
as
encontradas
en las
auditorias
que se
efecten
sobre la
CMDB.
Eficacia
De
gestin
% de
inconsistenci
as
encontradas
en la CMDB=
(nmero de
inconsistenci
as
encontradas
en la CMDB/
numero total
de elementos
de la CMDB)
X 100
UTIC
7.8.4.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.8
1.9
1.10
1.11
1.12
1.13
1.14
1.15
1.16
7.8.4.5.
Cualquier proceso o actividad que modifique cualquier elemento o activo del ambiente operativo en el
proceso, estar obligado a comunicar dichos cambios a los responsables del proceso de
configuraciones.
Cualquier consulta de informacin a la CMDB se har mediante los procedimientos definidos para
este fin en el proceso de configuraciones.
La informacin de los elementos y activos contenida en la CMDB deber ser verificada de manera
peridica contra los elementos que componen el ambiente operativo de la dependencia o entidad, con
fines de seguridad de la informacin, de continuidad de la operacin y de auditora.
La informacin de los elementos y activos del ambiente productivo que pertenezcan a proveedores
pero estn en el alcance del proceso de Administracin de la configuracin se debern sujetar a este
proceso, a sus reglas de operacin as como a los procedimientos que deriven de este proceso.
Todo elemento o activo del ambiente productivo y gestionado mediante el proceso de Administracin
de la configuracin, deber estar relacionado con un servicio que se proporcione en la dependencia o
entidad.
Toda modificacin a la estructura de la CMDB, a cualquiera de los elementos que la definen y
controlan, a las polticas, a la definicin de roles, a las actividades y procedimientos, deber
gestionarse mediante el proceso de Administracin de cambios.
Cuando un elemento o activo del ambiente productivo sea retirado del entorno fsico de la
dependencia o entidad, su informacin en la CMDB no deber ser borrada, se pasar a un estatus de
inactividad.
La informacin contenida en la CMDB deber estar disponible para consulta de los procesos
autorizados para hacerlo.
Deber existir, bajo los mismos mecanismos de seguridad y control que la CMDB de produccin, una
CMDB para los ambientes de desarrollo, pruebas y preproduccin.
Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9
OPERACIN DE SERVICIOS
7.9.1
7.9.1.1
General.-
Establecer y operar un punto nico de contacto para que los usuarios de los servicios hagan llegar sus
solicitudes de soporte, recibirlas, registrarlas, clasificarlas, categorizarlas, atenderlas y documentarlas.
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.1.2.
7.9.1.2.1
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Procesos de los
grupos AS, TE,
OS, OP, CN
Registro de solicitud
(validada)
Repositorio de
solicitudes de
soporte
Narrativa de la solicitud
Encuesta o
cuestionario
Solucin probada
Base de conocimiento
OMS-10 Medir la
satisfaccin del usuario
Informacin relativa
a la atencin de la
solicitud de soporte
Reporte de
monitoreo
Solucin entregada
OMS-8 Monitorear y
comunicar
Procesos del
Marco rector
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.1.2.2
Relacin de
productos
Establecer un punto nico a travs del cual se administre de manera centralizada el ciclo de
vida de las solicitudes de soporte y que permita la evaluacin del servicio de soporte,
1. Establecer el punto nico para la recepcin y gestin de las solicitudes de soporte y
realizar su difusin entre los usuarios de los servicios de TIC.
2. Definir y difundir los canales de comunicacin oficiales para la recepcin y gestin de
las solicitudes de soporte (telfono, correo electrnico, formatos web, entre otros).
3. Implementar las herramientas tecnolgicas que permitan la recepcin y el ciclo de vida
de las solicitudes de soporte.
Plan de comunicacin del punto central para la gestin de las solicitudes
Factores
crticos
Relacin de
productos
Definir el instrumento mediante el cual el usuario de activos y servicios de TIC requerir el del
apoyo de la mesa de servicios para satisfacer una necesidad en forma de servicio o
aprovisionamiento de activos de TIC.
1. La solicitud deber contener la informacin mnima necesaria para que sea posible
registrarla y gestionarla, por lo que es necesario definir la informacin que se requiere
del usuario solicitante
2. Definir los datos mnimos que se requieren del usuario, tales como nombre y datos
generales de contacto.
3. Definir qu autorizaciones previas debe obtener el usuario para hacer la solicitud.
4. Solicitar informacin a las reas operativas sobre la informacin mnima suficiente para
poder diagnosticar adecuadamente un incidente, requerimiento, problema o cambio.
5. Identificar elementos coincidentes de la informacin proporcionada por las reas
operativas.
6. Identificar informacin crtica y particular, para que un rea operativa en particular,
atienda la solicitud.
7. Realizar los ajustes necesarios para estandarizar la recopilacin de informacin.
8. Definir los tipos de solicitudes que estarn disponibles para la clasificacin del caso.
Podrn considerarse los siguientes tipos:
Incidente
Requerimiento de servicios
Problema
9. Definir los estatus que reflejen los diferentes estados por los que puede pasar un
registro durante su ciclo de vida.
10. Los estatus de la solicitud debern estar disponibles en la herramienta habilitadora del
proceso para su uso y debern poderse cambiar conforme se requiera.
11. Definir las reglas que aplicarn para el cambio de estado de una solicitud en la
herramienta de software para la gestin de las solicitudes.
Informacin bsica para el registro y atencin de solicitudes de soporte
Documento de definicin de los tipos de solicitudes de servicio
Catlogo de estatus y cierre de la solicitud de soporte para cada tipo
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
OMS-3 Establecer procedimientos para atender y solucionar las solicitudes de soporte
Descripcin
Factores
crticos
Los procedimientos especficos para atender y solucionar las solicitudes de soporte deben
definirse, para darles el tratamiento adecuado. Debern definirse procedimientos para atender,
principalmente, incidentes, requerimientos de servicios y problemas.
1. Definir el procedimiento para la atencin de incidentes.
Definir la naturaleza de los incidentes.
Definir la clasificacin y categorizacin de los incidentes.
Las categoras de las solicitudes deben describir el rubro que ser afectado, por
ejemplo procesos, documentacin, hardware, software, aplicaciones, entre otros. Las
categoras deben establecerse en una estructura de rbol.
Definir el ciclo de vida de los incidentes.
Establecer procedimientos para la investigacin y diagnstico de los incidentes.
Establecer procedimientos para la solucin de los incidentes y restauracin del servicio.
Establecer el impacto del incidente en los procesos de la dependencia o entidad,
identificando requerimientos de servicio, configuraciones, cambios, SLA, entre otros.
Definir los cdigos de cierre.
Generar repositorios de conocimiento y disponer de ellos, para la solucin de incidentes.
Establecer procedimientos de escalamiento jerrquico y funcional.
2. Definir el procedimiento para la atencin de requerimientos de servicio.
Definir la clasificacin y categorizacin de los requerimientos de servicio.
Definir el ciclo de vida de los requerimientos de servicio.
Establecer procedimientos para responder a los requerimientos de servicio.
Generar las interfaces con el resto de procesos de la dependencia o entidad tales como
configuraciones, cambios, SLA, entre otros.
Definir los cdigos de cierre.
Generar y disponer de documentacin gua para la atencin de las solicitudes.
Establecer procedimientos de informacin a superiores jerrquicos y funcionales.
Definir una matriz de autorizacin de requerimientos.
3. Definir el procedimiento para la atencin de problemas.
Definir los criterios para identificar e informar a superiores sobre los problemas.
Definir la clasificacin y categorizacin de los problemas.
Definir el ciclo de vida de los problemas.
Establecer procedimientos para la investigacin y diagnstico de los problemas, con
base en metodologas probadas para la identificacin de causas raz.
Establecer procedimientos para la solucin de los problemas y restauracin del servicio.
Generar las interfaces con el resto de procesos de la dependencia o entidad tales como
incidentes, configuraciones y cambios.
Generar y compartir la base de datos de errores conocidos con el proceso de incidentes.
4. Definir procedimientos para determinar el impacto y la urgencia de los incidentes,
requerimientos de servicio y problemas, mediante una tabla de verdad.
El impacto no deber deducirse considerando nicamente un enfoque cuantitativo.
Determinar la urgencia estableciendo la medicin del tiempo que tomar en aparecer un
impacto en la dependencia o entidad.
5. Asegurar que todos los usuarios de las soluciones tecnolgicas, servicios y bienes de TIC
Pg. 266 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
conozcan las responsabilidades inherentes a su uso, solicitud y resguardo, otorgados
mediante la entrega de nombres de usuario y contraseas, as como por el equipamiento
propio del cargo.
Relacin de
productos
Relacin de
productos
Definir la forma en que la mesa de servicios estar estructurada, tanto jerrquicamente como
en lo referente a las herramientas y personal.
1. Definir la cantidad de personal necesario para integrar la mesa de servicio, con base en
el nmero de usuarios a atender, el volumen anticipado y distribucin de solicitudes y el
horario de operacin de la dependencia o entidad..
2. Definir el perfil del personal que se requerir para integrar la mesa de servicio
considerando la complejidad y especializacin del ambiente operativo, los SLA
comprometidos y los recursos disponibles, tales como tiempo y costos.
3. Definir la forma en que la mesa de servicios interactuar con los administradores de otros
procesos.
4. Definir las prcticas de gestin de las solicitudes en todo el ciclo de vida.
5. Promover la mesa de servicios como nico punto de contacto para la recepcin de
solicitudes.
6. Documentar todos los procedimientos de atencin a solicitudes.
7. Contar con todos los catlogos y las clasificaciones adecuadas, aprobadas y conocidas
por el personal de la mesa de servicio.
8. Establecer una herramienta habilitadora de las funcionalidades de registro, correlacin,
flujo de trabajo, manejo de alertas y seguridad, que permita que en su conjunto, los
procesos asociados a la mesa de servicio, se realicen de forma gil y eficiente en un
repositorio de datos.
9. Establecer mecanismos de comunicacin giles para la interrelacin entre la mesa de
servicios y los usuarios.
Mesa de servicio operando
Documento con las prcticas de gestin de las solicitudes de soporte
Repositorio de solicitudes de soporte
Relacin de
productos
Una vez registrada la solicitud, la mesa de servicios debe realizar una clasificacin inicial y
Pg. 267 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Factores
crticos
Relacin de
productos
Relacin de
productos
Factores
crticos
Relacin de
productos
Una vez atendida la solicitud de soporte, el personal que entrega la solucin debe evaluar si
todo se ha resuelto y debe sealar su conclusin. Sin embargo, es el usuario es quien
finalmente determina, si se puede cerrar la solicitud de soporte.
1. Asegurar que el personal que resuelva una solicitud de soporte realice la evaluacin del
resultado de la entrega y que verifique que el servicio opere dentro de los lmites
establecidos y acordados.
2. Asegurar que todas las actividades realizadas son registradas con precisin y consistencia,
para construir mejores fuentes de informacin y contribuir a la administracin del
conocimiento.
3. Establecer claramente los criterios para el cierre de cada tipo de solicitud de soporte.
4. Asegurar que se cuenta con un procedimiento y mecanismo para registrar la evaluacin
proporcionada por el usuario.
Solucin entregada
Pg. 268 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
OMS-9 Monitorear y comunicar
Descripcin
Factores
crticos
Relacin de
productos
Reporte de monitoreo
Determinar la satisfaccin del usuario a travs del uso de los indicadores de desempeo de
cada proceso, adems de conducir encuestas o cuestionarios de forma peridica para
identificar reas de oportunidad y poder luego mejorar la atencin.
1. Haber diseado encuestas o cuestionarios pertinentes, para obtener resultados confiables.
2. Establecer claramente los objetivos, metas y propsitos de las encuestas y cuestionario
asociados y difundirlos efectivamente tanto a la unidad TIC como a los usuarios.
3. Determinar y escoger la muestra representativa dentro de los usuarios, para elaborar las
encuestas y/o cuestionarios.
Encuesta o cuestionario
Repositorio de solicitudes de soporte
Factores
crticos
Relacin de
productos
7.9.1.2.3.
Descripcin de roles
Rol
Descripcin
Administrador
de mesa de
servicios
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Administrador
de incidentes
Administrador
de
requerimientos
Personal de la
mesa de
servicios
Equipos
responsables
de atender y
solucionar las
solicitudes
7.9.1.2.4.
Descripcin de productos
Producto
Descripcin
Informacin bsica
para el registro y
atencin de
Listado y descripcin de los datos mnimos requeridos para registrar y gestionar cada
tipo de solicitud de soporte. Esto incluye los datos del usuario y del tipo de apoyo que
solicita.
Pg. 270 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
solicitudes de
soporte
Documento de
definicin de los
tipos de solicitudes
de servicio
Catlogo de estatus
y cierre de la
solicitud de soporte
para cada tipo
Tabla donde se definen los cdigos de estatus vlidos para cada tipo de solicitud de
soporte en el alcance de los procesos involucrados.
Tabla de verdad de
la prioridad de la
solicitud de soporte
para cada tipo
Catlogo de las
categoras de
solicitud de soporte
para cada tipo
Documento donde se definen los niveles que debe cubrir una solicitud de soporte para
poder ser categorizada, con base en los elementos afectados.
Mesa de servicio
operando
Documento con las Documento que incluye las mejores prcticas que se deben de implementar en la mesa
prcticas de gestin de servicio para la gestin de las solicitudes durante todo el ciclo de vida:
de las solicitudes de
Etiqueta de inicio
soporte
Procedimientos de atencin
Narrativa de
solicitud
Repositorio de
solicitudes de
soporte
Etiqueta de salida
Es la informacin que describe el incidente o falla que, proporcionada al personal de
mesa de servicio y registrada en la herramienta para su interpretacin por el rea,
permitir atender la solicitud.
Son el conjunto de datos relacionados con las solicitudes, registrados en la herramienta
habilitadora. Este registro va modificndose, conforme avanza la solicitud en su ciclo de
vida.
Base de
conocimiento
Encuesta o
cuestionario
Es un documento diseado para conocer la percepcin real del usuario, sobre los
servicios de la mesa de servicio.
Plan de
comunicacin que
del punto central
para la gestin de
Solucin entregada
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
las solicitudes
Procedimientos de
incidentes,
problemas y
requerimientos de
servicio
Documentos en los que se establecen las actividades para la gestin de las solicitudes
de soporte, sus categoras, su ciclo de vida, as como su prioridad e impacto.
Registro de
solicitud (validada)
Solucin probada
Informacin relativa
a la atencin de la
solicitud de soporte
Reporte de
monitoreo
7.9.1.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Eficiencia de
del proceso
de
operacin
de la mesa
de servicios
Conocer la
eficiencia
con que se
atienden las
solicitudes
en la mesa
de servicios
Medir el
numero de
solicitudes
de soporte
resueltas en
el tiempo
comprometi
do
Eficiencia
De gestin
Administrador
del proceso
Satisfaccin
del cliente
Conocer la
satisfaccin
del cliente
en el
proceso de
operacin
de la mesa
de servicios
Medir el
proceso en
funcin del
la
satisfaccin
de los
clientes que
reciben el
servicio del
proceso
Calidad
De gestin
% de
eficiencia=(N
mero de
solicitudes
resueltas en el
tiempo
comprometido /
Numero de
solicitudes
recibidas)
* 100
(Nmero de
clientes
satisfechos con
la calidad del
servicio /
Nmero total de
servicios
proporcionados
) X 100
Administrador
del proceso
Frecuencia
de clculo
Semestral
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.1.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.710
1.11
1.12
1.13
1.14
1.15
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.1.5 Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.2.
7.9.2.1.
General.Definir los lineamientos para desarrollar revisiones tcnicas y auditoras al proceso del proveedor, as como
pruebas tcnicas del servicio, con el fin de evaluar los niveles de servicio y su cumplimiento conforme a los
trminos acordados
Especficos.-
1. Asegurar la calidad del servicio prestado por terceros mediante la evaluacin del cumplimiento de los
requerimientos tcnicos, operativos, contractuales, SLA establecidos y procesos acordados.
2. Planear, ejecutar y dar seguimiento a revisiones tcnicas durante el desarrollo de los servicios.
3. Auditar los procesos del proveedor para desarrollar un servicio, asegurando el cumplimiento de los niveles
establecidos en los acuerdos contractuales.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.2.2
7.9.2.2.1
APV
Copia de contrato
Lista de verificacin
de compromisos
contractuales
Reporte de no conformidades
de auditoria
APV
AD
Informe de
medicin y
anlisis
AD, APV
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.2.2.2.
Relacin de
productos
Relacin de
productos
Evaluar el apego a los procesos, durante el desarrollo del servicio, conforme a lo establecido
en los acuerdos contractuales.
1. Establecer los procesos de los servicios del proveedor que sern auditados.
2. Identificar los criterios a utilizar para la ejecucin de la auditora a los procesos y servicios,
dichos criterios debern contemplar:
Procesos a evaluar.
Requerimientos tcnicos y operativos del servicio.
Acuerdos contractuales establecidos.
3. Evaluar objetivamente los procesos y productos
o comparando los procesos ejecutados en la prestacin del servicio y las
descripciones tcnicas y operativas aplicables de los procesos;
o desarrollados contra las caractersticas tcnicas definidas.
4. Identificadas registrar los hallazgos o desviaciones de los procesos.
5. Comunicar al proveedor y al responsable de la administracin del contrato las no
conformidades o desviaciones identificadas.
6. Establecer los planes de accin correspondientes a la solucin de los hallazgos o
desviaciones detectadas.
7. Dar seguimiento a la ejecucin de los planes de accin definidos por el proveedor y
asegurar el cierre de los hallazgos o desviaciones resultantes.
8. Establecer registros de los resultados de las auditoras y del resultado de las actividades
de monitoreo ejecutadas.
Reporte de no conformidades de auditora
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AST-3 Ejecutar revisiones tcnicas a componentes del servicio
Descripcin
Factores
crticos
Relacin de
productos
Seleccionar componentes del servicio para evaluar los aspectos tcnicos y operativos
establecidos para el desarrollo del servicio, con el objetivo de asegurar que el servicio cuente
con la funcionalidad y las capacidades necesarias para cubrir los requerimientos establecidos
en el contrato.
1. Identificar los componentes del servicio a ser revisados.
2. Establecer los criterios para ejecutar las revisiones tcnicas.
Se tienen que tomar en cuenta los requerimientos tcnicos y operativos del servicio, los
requerimientos contractuales y los niveles de servicio establecidos en el contrato.
Estos criterios deben tener como objetivo la revisin de los componentes definidos para
la prestacin del servicio.
3. Establecer las condiciones y el ambiente requerido para la ejecucin de las revisiones
tcnicas a la prestacin del servicio.
4. Registrar los resultados de las revisiones efectuadas a los componentes del servicio.
Reporte de revisiones tcnicas a componentes del servicio.
Relacin de
productos
Factores
crticos
Recopilar los resultados de las evaluaciones de niveles de servicio suministrados por terceros
y revisar los resultados de las auditoras a procesos y de las revisiones tcnicas a la
prestacin de los servicios, comparndolos con los niveles de servicio establecidos
contractualmente.
1. Recopilar y consolidar los resultados de las evaluaciones realizadas a los niveles de
servicio, a los compromisos y al cumplimiento de los acuerdos establecidos, as como la
informacin relacionada, para evaluar el desempeo de los servicios del proveedor,
considerando los requerimientos funcionales y de capacidad ofertados.
2. Evaluar los resultados obtenidos respecto a lo establecido en los acuerdos contractuales;
esta evaluacin deber de conducirse tomando en cuenta:
Requerimientos funcionales y operativos del servicio.
Requerimientos contractuales.
Pg. 279 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Factores
crticos
Relacin de
productos
Dar a conocer los resultados de la evaluacin del servicio, para establecer los planes de
accin que permitirn alinear las actividades de prestacin de dicho servicio, conforme a los
acuerdos contractuales establecidos.
1. Recopilar y consolidar los resultados de las actividades de administracin de servicios
suministrados por terceros.
2. Comunicar los resultados de la evaluacin, conforme a los medios establecidos; esta
comunicacin deber darse a travs de mtodos formales y hacerse del conocimiento de
todos los involucrados relevantes.
3. Registrar los acuerdos a los que se compromete el proveedor, para lograr mejorar los
niveles de servicio establecidos y cumplir con lo definido en el contrato de servicio.
4. Establecer las fechas compromiso para el cumplimiento de los acuerdos.
5. Monitorear el cumplimiento de los acuerdos establecidos para el cumplimiento de los
niveles de servicio y corregir las desviaciones identificadas.
Planes de mejora para el servicio suministrado por terceros
7.9.2.2.3.
Descripcin de roles
Rol
Descripcin
Proveedor
Auditor
Revisor
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Responsable de la
prestacin de
servicios
Asegurador de
calidad
Es el responsable de:
reas usuarias
7.9.2.2.4.
Descripcin de productos
Producto
Descripcin
Plan de
administracin de
servicios de
terceros.
Reporte de no
conformidades de
auditora
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Reporte de
revisiones
tcnicas
Reporte de
pruebas a la
prestacin del
servicio
suministrado por
terceros.
Reporte de
evaluacin del
servicio
suministrado por
terceros
Planes de mejora
para el servicio
suministrados por
terceros
Documento donde el proveedor define los compromisos que asume con respecto al
incumplimiento de los SLA y de las no conformidades detectadas; en l se describen las
acciones correctivas para dar cumplimiento a los acuerdos contractuales establecidos.
Desviacin o no conformidad.
Plan de accin.
Responsable.
Fecha compromiso.
7.9.2.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados del
proceso de
administracin
de servicios a
terceros
Conocer los
resultados
del proceso
en cuanto a
compromisos
Medir la
eficiencia del
proceso
mediante el
numero de
Eficiencia
De
gestin
% de
eficiencia=((
Nmero de
no
conformidade
Administrador
del proceso
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Cumplimiento
a revisiones
tcnicas
7.9.2.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
Objetivo
Descripcin
contractuales
de los
proveedores
no
conformidad
es corregidas
en las
revisiones
efectuadas
Conocer el
cumplimiento
de las
revisiones
tcnicas
planeadas a
los servicios
de terceros
Medir la
eficiencia del
proceso
mediante el
nmero de
revisiones
efectuadas a
los servicios
de terceros
Dimensin
Eficiencia
Tipo
De
gestin
Frmula
s corregidas
en revisiones
a los
compromisos
contractuales,
entregables y
servicios) /
(Nmero de
no
conformidade
s detectadas
en las
revisiones
efectuadas))
X 100)
% de
eficacia=(((
Nmero de
revisiones
tcnicas
efectuadas a
los servicios
de terceros)/
(nmero de
revisiones
tcnicas
planeadas a
los servicios
de terceros))
x 100)
Responsable
Administrador
del proceso
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.8
1.9
1.10
En las revisiones y auditoras deben considerarse los aspectos de seguridad, para que el servicio
proporcionado por terceros y el intercambio de informacin entre stos y la dependencia o entidad
cumplan con los requerimientos de seguridad establecidos.
7.9.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.3.
7.9.3.1.
General.-
Asegurar que se definan los SLA y OLA para los servicios existentes en el catlogo de servicios.
2.
Asegurar que los SLA y OLA permitan cumplir con los estndares de servicio de la dependencia o
entidad.
3.
4.
Asegurar que la UTIC, usuarios y proveedores del servicio de TIC conozcan los niveles de servicio que
sern entregados.
5.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
G7.9.3.2
7.9.3.2.1
Usuario
Requerimientos
de servicios
Paquete de diseo
del servicio
DSTI
Portafolio de
servicios de
TIC
APS
Encuesta o cuestionario
Reporte de monitoreo
Repositorio de solicitudes
de soporte
AD
Informes de medicin
y anlisis
AD
Reporte de revisin de
servicios
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.3.2.2
Factores crticos
Definir los SLA basados en el catlogo de servicios de las UTIC, de acuerdo con los
requerimientos de la operacin y las necesidades de los usuarios de cada uno de los
servicios definidos
1. Definir los SLA en concordancia con los objetivos estratgicos de la dependencia o
entidad, con la capacidad de entrega del servicio y con los planes de disponibilidad
y operacin.
3. Acordar los SLA con todos los interesados, incluyendo al usuario, antes de que el
contenido pueda ser aprobado.
5. Establecer los OLA entre la UTIC, los usuarios y los proveedores de servicio
externos, para asegurar apropiadamente el logro de los SLA establecidos.
Relacin de
productos
Contratos de soporte
Relacin de
productos
Determinar los reportes e informes que sern usados para comunicar los
resultados.
Utilizar los reportes de logro de niveles de servicio, para identificar y revelar reas de
oportunidad, existentes o potenciales, entre los niveles de servicios entregados y los
requeridos.
Pg. 288 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Factores crticos
Relacin de
productos
Recomendar mejoras a los SLA, como consecuencia de las insatisfacciones del cliente o
el no cumplimiento de acuerdos establecidos.
1. Establecer el Plan de mejora de servicios, considerando lo siguiente:
Las mejoras pueden tener foco en modificar los objetivos de los servicios,
considerando ajustes a la entrega, monitoreo y al mismo SLA.
7.9.3.2.3
Descripcin de roles
Rol
Descripcin
Gestor de niveles
de servicios
Proveedor
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Auditor
Revisor
Asegurador
calidad
de
reas usuarias
7.9.3.2.4
Descripcin de productos
Producto
Descripcin
Acuerdo de niveles Es conveniente estructurar los SLA ms complejos en diversos documentos de tal forma
de servicio
que cada grupo involucrado reciba exclusivamente la informacin correspondiente al nivel
en que se integra, ya sea en el lado del usuario como del proveedor. La elaboracin de un
SLA
SLA requiere tomar en cuenta aspectos no tecnolgicos, entre los que se encuentran la
naturaleza de la dependencia o entidad, aspectos organizativos del proveedor y del
usuario, as como aspectos culturales locales.
Algunos puntos que deben ser descritos en este documento son:
a) Todos los detalles del servicio brindado en un lenguaje comprensible para el
usuario.
b) El horario en que se proveer el servicio.
c) Los costos asociados o valor del servicio.
d) El dueo y el usuario del servicio.
Acuerdos de
niveles operativos
OLA
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
UC
Mtricas para la
Necesidades de informacin para la evaluacin del desempeo de los servicios de TIC.
medicin y anlisis Incluyen la documentacin de las mtricas y anlisis que se requieren para evaluar el
de los servicios de logro de las metas de servicio establecidas en los SLA.
TIC
Reporte de niveles
de servicio
alcanzado
Informe acerca del desempeo actual y grado de cumplimiento de las metas y niveles de
servicio acordados.
Reporte de
revisin de
servicios
7.9.3.3
Nombre
Indicadores:
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
Pg. 291 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados
del proceso
de
administracin
de niveles de
servicio
Obtener el
porcentaje de
servicios que
han mantenido
su nivel de
servicio dentro
de valores
comprometidos
Medir el
cumplimiento
del proceso
en relacin al
numero de
servicios que
se han
mantenido en
el nivel de
servicio
comprometido
Eficiencia
De
gestin
% de
eficiencia
=(Nmero de
servicios en
operacin en
el nivel de
servicio
comprometido)
/ (Nmero
servicios en
operacin) X
100
Administrador
del proceso
7.9.3.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
7.9.3.5
Frecuencia
de clculo
Semestral
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.4
7.9.4.1
General.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.4.2
7.9.4.2.1
ARTI
Todos los
procesos del
Marco rector
ARTI
Repositorio de
riesgos de TIC
AD
Informe de auditorias
Requerimientos de medicin y anlisis del
desempeo de seguridad de la informacin
Informes de medicin y anlisis (monitoreo)
Resultado de las revisiones gerenciales
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.4.2.2
Factores
crticos
Asegurar que los controles, procesos y procedimientos del SGSI sean implementados de
manera que se cumpla con los requerimientos de seguridad regulatorios y contractuales y,
para mitigar los riesgos identificados.
1. Documentar un Plan de mitigacin de riegos que contenga estrategias de corto, mediano y
largo plazo para enfrentar y mitigar los riesgos de seguridad de la informacin
identificados.
2. Implementar los controles de seguridad identificados y documentados en la SoA.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Informe de auditoras
Requerimientos de medicin y anlisis del desempeo de seguridad de la informacin
Informes de medicin y anlisis (monitoreo)
Resultado de las revisiones gerenciales
Factores
crticos
1. Establecer los planes de accin correctivos y preventivos con la finalidad de minimizar las
brechas de seguridad identificadas.
2. Implantar y dar seguimiento a los planes de accin correctivos y preventivos.
Relacin de
productos
7.9.4.2.3
Descripcin de roles
Rol
Descripcin
Grupo de seguridad
de la informacin
Responsable de la
seguridad de la
informacin
Responsable de llevar a cabo las revisiones gerenciales con el fin de aprobar las
iniciativas que promuevan las acciones de mejora en el proceso de Administracin de la
seguridad de la informacin y en el SGSI.
Responsable de implementar los controles de seguridad en la UTIC, sus procesos, sus
activos y servicios, y conducir a las reas usuarias en la implementacin de los que les
correspondan.
Auditores de
seguridad
Propietarios de la
informacin
7.9.4.2.4
Descripcin de productos
Producto
Descripcin
Informe de
resultados de
anlisis de riesgos
Activo
Pg. 297 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Declaracin de
aplicabilidad (SoA)
Plan de mitigacin
de riesgos
Controles implementados
Vulnerabilidades
Amenazas
Riesgos
Impactos
Controles a implementar
La Declaracin de aplicabilidad (SoA, por sus siglas en ingls), documenta los objetivos
de control y controles que son relevantes y aplicables al SGSI de la dependencia o
entidad; debern considerarse los objetivos de control o controles en la norma ISO
27002. El documento deber describir al menos los siguientes aspectos:
Denominada tambin Poltica del SGSI, documenta los valores y las necesidades de
seguridad percibidas por los mandos medios y superiores de la dependencia o entidad
sobre la seguridad de la informacin. Para que la informacin, en tanto activo valioso de
la dependencia o entidad, tenga el nivel de seguridad requerido por la dependencia o
entidad, deber describir al menos los siguientes aspectos:
Alcance de aplicabilidad
Apartado con actividades para que la directriz rectora sea conocida por todo el
personal de la dependencia o entidad
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
aspectos:
Resultado de las
revisiones
gerenciales
Requerimientos de
medicin y anlisis
del desempeo de
seguridad de la
informacin
Presupuesto de seguridad
Mecanismos de comunicacin
Requerimientos de recursos
Requerimientos de negocio
Obligaciones contractuales
Describe de manera cuantitativa cmo una dependencia o entidad, a travs del uso de
mtricas de seguridad de la informacin, identifica la eficiencia y eficacia de los
controles de seguridad implementados; deber describir al menos los siguientes
aspectos:
Objetivo de la medicin
Pg. 299 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Informes de
medicin y anlisis
(monitoreo)
Planes de accin
correctivas y
preventivas
Objetos de la medicin
Frecuencia
Responsable de la implantacin
Informe de
Documenta la confirmacin de la implementacin de las acciones correctivas y
seguimiento de las
preventivas. Al menos debe incluirse en el informe:
acciones correctivas
Hallazgos o reas de oportunidad
y preventivas
Informe de
auditoras
Objetivo
Alcance
Exclusiones
Hallazgos
Pg. 300 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.4.3
Recomendaciones
Conclusiones
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados
del proceso
de seguridad
de la
informacin
Medir los
resultados de
la operacin
del sistema de
gestin de
seguridad de
la informacin
Medir la
eficiencia del
proceso
mediante el
conteo del
numero de
incidentes de
seguridad
corregidos va
el SGSI
Eficiencia
De
gestin
% eficiencia=
(Nmero de
incidentes de
seguridad
corregidos
mediante el
Plan de
acciones
correctivas y
preventivas
del proceso y
el sistema) /
(Nmero de
incidentes de
seguridad
registrados) x
100
Administrador
del SGSI
7.9.4.4
Frecuenci
a de
clculo
Semestral
1.1
La UTIC deber promover y asegurar que los mandos superiores de la dependencia o entidad
apoyen las iniciativas y estrategias de seguridad a travs de:
Proveer los recursos suficientes para administrar la seguridad de la informacin
Definir y autorizar una directriz rectora de seguridad
Establecer roles, funciones y responsabilidades de seguridad
Asegurar el establecimiento de objetivos y planes de seguridad de la informacin
Comunicar a la dependencia o entidad la importancia del cumplimiento de la poltica
Asegurar la realizacin de auditoras de seguridad para el mejoramiento de la proteccin de
la informacin
1.2
1.3
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.4
1.5
1.6
personal externo que utilice, administre o desarrolle infraestructura y servicios cumpla con las
disposiciones de este manual.
La UTIC deber seguir las mejores prcticas para establecer el SGSI, de manera que se generen
o adecuen los procedimientos en estricto apego a las mejores prcticas y factores crticos
descritos en este proceso, para su administracin y la del SGSI.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en
el proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Reglas mnimas que debern se observadas en los procedimientos de las dependencias y
entidades, relacionados con la seguridad de la informacin (ordenadas por objetivo de
control segn el marco ISO 27000)
A.5 Poltica de seguridad
1. Todo el personal de la dependencia o entidad est obligado a operar en un ambiente de trabajo
que garantice la confidencialidad, integridad y disponibilidad de la informacin, de acuerdo a las
disposiciones de la presente norma.
2. Las reglas de operacin de los procedimientos de seguridad de la informacin, debern revisarse
y actualizarse cuando cambien las condiciones de las soluciones tecnolgicas o cuando cambie la
legislacin aplicable.
A.6 Organizacin de la seguridad de la informacin
1. El personal de la UTIC responsable de la seguridad de los recursos de TIC deber certificar que
el personal externo, que tenga cualquier tipo de contacto con recursos de TIC institucionales,
cumpla con las disposiciones de este manual.
2. Las dependencias o entidades no otorgarn el derecho de intercambio de informacin con
entidades externas en caso de que los controles identificados por la UTIC en stas ltimas no
cumplan satisfactoriamente con la prevencin de los riesgos de integridad y confidencialidad de la
informacin de la dependencia o entidad.
3. Se permitir al personal de los proveedores de servicios el acceso a los puntos de red
nicamente con la autorizacin del responsable del proyecto o proceso en el que trabaje ese
personal.
4. El personal de la UTIC con atribuciones para ello ser responsable de autorizar los accesos del
personal de los proveedores de servicios y del registro correspondiente.
A.7 Administracin de activos
1. Los propietarios de la informacin son los responsables de la custodia y buen uso de la
informacin que se almacena, procesa y transmite dentro de las dependencias o entidades.
2. Los usuarios de TIC y, en particular los propietarios de la informacin almacenada en medios
electrnicos, definirn los requerimientos de seguridad de su informacin y de sus sistemas de
informacin.
Pg. 302 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
3. El personal de la UTIC que administre la infraestructura de TIC debe mantener actualizadas las
listas de autorizacin de acceso a personal de proveedores de servicios de terceros y llevar el
control de accesos presenciales y remotos indicados en el punto anterior.
4. Se permitir al personal de los proveedores de servicios el acceso a los puntos de red -incluyendo
el acceso a los nodos de la red de la dependencia o entidad- solo bajo la supervisin del
responsable de las instalaciones fsicas de TIC. El personal de los proveedores de servicios deber
presentar identificacin oficial y de la empresa que representa al momento de solicitar el acceso.
5. El personal de la UTIC debe instalar la infraestructura de TIC en ambientes fsicos adecuados
para su operacin, administracin, monitoreo y control de acceso, para minimizar las riesgos,
amenazas y condiciones de operacin fuera de las especificaciones indicadas por los proveedores
correspondientes.
6. Los usuarios de equipos de cmputo de escritorio deben asegurarse de utilizar y mantener
cerradas las chapas de seguridad de estos equipos. Los usuarios de equipos porttiles debern
asegurarse de colocar el cable y candado de seguridad correspondientes.
7. Va la mesa de servicios, el personal de la UTIC responsable de la seguridad de los recursos de
TIC, se asegurar de que el equipo de escritorio, porttil, o de cualquier otro tipo, que utilizar la
conexin a la red institucional se encuentre libre de virus informtico.
8. La UTIC, siguiendo el proceso de Administracin de la infraestructura fsica de TIC, deber
evaluar y certificar la seguridad de las instalaciones elctricas, de comunicaciones, de sistemas
contra incendios, de aire acondicionado y de otros recursos, que garanticen las condiciones
adecuadas de seguridad para la operacin de la infraestructura fsica de TIC de la dependencia o
entidad.
9. Las UTIC debern asegurar que los nodos de comunicaciones a las redes institucionales estn
ubicados en lugares cerrados y resguardados
A.10 Gestin de las comunicaciones y operaciones
1. Va la mesa de servicios, el personal responsable de la seguridad de los recursos de TIC se
asegurar de que el equipo que utilizar la conexin a la red institucional se encuentre libre de virus
informticos, as como de lo necesario para mantener su seguridad y la de la red institucional.
2. Los usuarios y el rea de soporte tcnico de la UTIC de forma peridica (semestral, mensual,
quincenal) deben realizar copias de seguridad de la informacin crtica que almacenen en su equipo.
3. La UTIC deber solicitar por escrito a los usuarios responsables de los servicios, las necesidades
de respaldo de sus datos. Estos debern tomar en cuenta el tipo de informacin y las necesidades
de operacin de los propios servicios, en apego a la normatividad aplicable.
El rea de la UTIC designada responsable de la ejecucin de los respaldos deber efectuarlos en
estricto apego a los requerimientos indicados por los usuarios.
4. El rea de la UTIC designada responsable deber elaborar el calendario de respaldos y
comunicarlo a la UTIC, considerando las necesidades de los usuarios responsables de los servicios,
as como las necesidades de las soluciones tecnolgicas y centro de datos de la UTIC.
Pg. 304 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
respaldos en los medios fsicos de informacin, de personal no autorizado.
18. Las UTIC deben asegurarse de implementar bitcoras de seguridad en las que queden
registrados todos los eventos realizados por cuentas con permisos especiales, al menos:
administrator, guest, root y system.
19. La UTIC deber implementar un mecanismo de seguridad para que la bitcora electrnica de
auditora slo pueda ser consultada por la cuenta de administracin del responsable de seguridad
del elemento de TIC considerado.
20. La UTIC debe definir e instrumentar un mecanismo de seguridad para evitar intrusiones a la
infraestructura de TIC, incluyendo ataques externos va Internet, extranet e inclusive intranet.
21. La UTIC debe implementar un mecanismo para mantenerse informada de las actualizaciones de
seguridad del software utilizado en la dependencia o entidad, de la aparicin de nuevos virus
informticos que puedan atacar las soluciones tecnolgicas y los equipos de los usuarios de la
dependencia o entidad.
22. La UTIC, al identificar la existencia de un virus informtico no cubierto por los antivirus
institucionales en operacin en servidores y en equipos de los usuarios, notificar a la mesa de
servicios de manera que, a travs de sta, se difundan las medidas necesarias a los usuarios y
stos se protejan hasta que la UTIC corrija la intrusin del virus y lo elimine.
23. La UTIC deber instrumentar mecanismos de administracin de los equipos de proceso y de
comunicaciones, que incluyan revisiones peridicas de las bitcoras de los elementos de la
infraestructura de TIC, para identificar si se han presentado intentos de ataques o de explotacin de
vulnerabilidades.
24. El rea de la UTIC deber habilitar el registro de los incidentes de seguridad relacionados con
los accesos a las soluciones tecnolgicas y a las actividades realizadas por los usuarios.
A.11 Control de acceso
1. El personal de la UTIC que administre la infraestructura de TIC debe controlar el acceso
presencial y remoto a los componentes de cada uno de los elementos de la infraestructura de TIC
de la dependencia o entidad.
2. Las UTIC debern implantar mecanismos de seguridad para acceder a los datos almacenados,
que respeten los principios de identidad, responsabilidad y rastreabilidad de los usuarios que los
acceden, en funcin del nivel de exposicin y revelacin de los mismos.
3. Las UTIC debern asegurar que las capacidades de los usuarios para acceder a datos estn
limitadas de acuerdo al perfil que corresponda a sus funciones, previa definicin de las UR
propietarias de los datos y de las soluciones tecnolgicas que hacen uso de ellos.
4. Las UTIC son las encargadas de implementar los mecanismos de seguridad necesarios para la
asignacin de los permisos de acceso a los usuarios, determinados por las UR responsables de la
informacin.
5. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe instrumentar
Pg. 306 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
el registro de usuarios y la administracin de la seguridad de las soluciones tecnolgicas de
informacin que son accedidos en forma local y/o remota a travs de la red de comunicaciones.
6. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe instrumentar
mecanismos para que se efecte la personalizacin de las cuentas para las actividades de
administracin de servidores, bases de datos, servicios o sistemas institucionales, as como para el
monitoreo de las actividades realizadas por los usuarios.
7. La UTIC deber instrumentar un mecanismo de seguridad para que, desde su creacin, todo
usuario tenga definido el ambiente de trabajo acorde a sus funciones; ste no deber poder ser
modificado por el usuario, sino a travs de una solicitud a la mesa de servicios.
8. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas
deber asegurar que un solo responsable asigne cuentas de usuario para cualquiera de los
servicios y/o sistemas que operan dentro de la dependencia o entidad.
9. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas
indicar a los usuarios las caractersticas de las contraseas.
10. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas
deber identificar y autenticar claramente al usuario antes de asignarle una cuenta.
11. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas
deber eliminar cualquier cuenta de usuario que haya cambiado de situacin laboral o no labore
ms en la dependencia o entidad.
12. Las contraseas no deben ser mostradas en pantalla mientras son tecleadas, ni deben viajar por
la red sin ser cifradas.
13. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas
deber facilitar a los usuarios del correo electrnico, el cambio de contrasea cuando stos lo
estimen conveniente, o de acuerdo en lo establecido en el lineamiento de cambio de contrasea por
caducidad
14. Los usuarios deben verificar que su equipo de cmputo tenga configurado el protector de
pantalla con contrasea, con la finalidad de evitar el acceso no autorizado a su informacin en caso
de retiro temporal.
15. Los usuarios estn obligados a considerar que las cuentas y contraseas asignadas son
personales e intransferibles. Las consecuencias jurdicas y/o administrativas de los actos ejecutados
con las mismas son responsabilidad exclusiva del usuario dueo de la cuenta.
16. Los usuarios deben evitar la repeticin de contraseas al efectuar los cambios peridicos de las
mismas.
17. Los usuarios deben cambiar su contrasea en caso de sospechar que alguien ms la conoce.
18. Los usuarios deben evitar exponer o difundir su contrasea independientemente del medio en el
cual sea almacenada.
Pg. 307 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
19. En caso de utilizar hardware de seguridad, tales como generadores de contraseas o tarjeta
inteligente, los usuarios deben traerlos siempre consigo.
20. La UTIC facultar personal tcnico para asegurar que todos los equipos de cmputo de
escritorio y porttiles que se puedan conectar a la red institucional de la dependencia o entidad
cumplan con los siguientes controles de acceso: nombre de equipo que identifique al responsable
del equipo y su ubicacin; integracin a un dominio; tener instalado el software de antivirus
institucional; contar con la ltima versin y parche del sistema operativo liberado por el proveedor.
21. La UTIC deber implementar un mecanismo de seguridad en todos los elementos de
comunicaciones para que todos los intentos de conexin hacia la infraestructura de TIC que soporta
las aplicaciones o servicios institucionales pasen a travs de un firewall.
22. La UTIC deber implementar in situ los mecanismos de seguridad necesarios para el rea de
produccin, y en caso de accesos remotos, deber instrumentar el uso de software de cifrado de
canal.
23. La UTIC deber implementar un mecanismo de control para proveer el servicio de acceso
remoto a la red institucional, a las soluciones tecnolgicas, a los servicios de red y colaboracin, as
como a la informacin. El acceso ser otorgado nicamente a los funcionarios y a los proveedores
que lo requieran.
24. La UTIC deber definir e implementar las herramientas de deteccin de intrusos y proteccin a
vulnerabilidad alineadas a la infraestructura de TIC, sistemas de informacin, necesidades de
servicios de red y colaboracin de la dependencia o entidad.
25. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe limitar el
acceso a los servidores, a sus sistemas operativos, a las soluciones tecnolgicas institucionales y a
las bases de datos, mediante la identificacin del usuario, a travs de su cuenta nica y contrasea;
la UTIC deber llevar un control de perfil y privilegios de acceso por usuario.
26. La UTIC deber implementar en las soluciones tecnolgicas y servicios a los usuarios, mensajes
de ingreso en los cuales se les advierta que: el sistema y/o servicio slo podr ser utilizado por
personal autorizado, que las actividades realizadas son monitoreadas y rastreables y que cualquier
intento de ingreso no autorizado ser sancionado.
27. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas o en su
defecto, las soluciones tecnolgicas y aplicaciones, debern bloquear el acceso a toda cuenta de
usuario despus de 3 intentos consecutivos fallidos de acceso a las soluciones tecnolgicas o red.
28. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas o en su
defecto, las soluciones tecnolgicas y aplicaciones designadas como sensibles o crticas, debern
restringir el nmero de sesiones por usuario.
29. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas, o en su
defecto las soluciones tecnolgicas y aplicaciones designadas como sensibles o crticas, debern
bloquear cualquier cuenta de usuario que no se haya firmado en el sistema o la red despus de 30
das.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
A.12 Adquisicin, desarrollo y mantenimiento de informacin
1. La UTIC deber asegurar que la informacin institucional que se transmita a travs de las redes
internas o externas se encuentre cifrada, con independencia de la clasificacin confidencial o
reservada a la que se encuentre sujeta. Para el caso del almacenamiento de los datos de acuerdo a
la clasificacin de la informacin, las definiciones del Grupo de seguridad del SGSI y de los
requerimientos que los usuarios definan para sus sistemas o servicios, la informacin ser
encriptada.
2. La UTIC deber implementar un mecanismo de control para que todo el personal responsable o
poseedor de manuales, procedimientos, guas e instructivos de operacin (en medio electrnico o
papel) de los equipos de cmputo, telecomunicaciones y sistemas, controle y reporte el acceso y
uso de los mismos, bajo su estricta responsabilidad.
A.13 Gestin de incidentes en la seguridad de la informacin.
1. Los usuarios que presencien o sospechen actos citados en la disposicin anterior debern
notificarlo por escrito a su inmediato superior y al responsable del rea de seguridad de la
informacin.
2. El siniestro, extravo o robo de equipo de cmputo y/o perifricos deben ser reportados de forma
inmediata por el usuario afectado (aquel que tiene bajo su resguardo el equipo siniestrado) al rea
administrativa correspondiente, para que se realicen las gestiones pertinentes
A.15 Cumplimiento
1. Los datos clasificados como confidenciales o reservados debern tener fechas programadas de
eliminacin y deber destruirse la identificacin del medio y cualquier marca de uso, en estricto
apego a la normatividad vigente en la materia y asegurando conservar la evidencia correspondiente
del apego a la regla.
2. La informacin confidencial o reservada no necesaria deber ser destruida, los listados debern
ser triturados y los desechos empacados antes de deshacerse de ellos, en estricto apego a la
normatividad vigente en la materia y asegurando conservar la evidencia correspondiente del apego
a la regla.
3. En caso de inobservancia y ,a fin de garantizar la integridad, confiabilidad y disponibilidad de la
informacin de las dependencias o entidades, el personal responsable de la seguridad de los
recursos de TIC tendr la obligacin de suspender de manera inmediata los servicios de TIC al o los
usuarios que hubieren infringido alguna de las disposiciones del presente manual.
4. La UTIC deber asegurarse de que cualquier intento para obtener acceso no autorizado a la
infraestructura, a los servicios o a los datos, la revelacin no autorizada de informacin, el
procesamiento, almacenamiento o transmisin de datos, los cambios a las caractersticas de los
activos de TIC sin autorizacin, o cualquier otra actividad en materia de TIC, que afecte a los
intereses de la dependencia o entidad, sean informados a las instancias facultadas, para promover
las sanciones aplicables de acuerdo a la reglamentacin y la legislacin vigente aplicable, .
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.9.4.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.
ADMINISTRACIN DE ACTIVOS
7.10.1.
7.10.1.1.
General.-
Planear e implementar arquitecturas tecnolgicas robustas y efectivas para cada una de las agrupaciones
lgicas denominadas dominios tecnolgicos.
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.1.2
7.10.1.2.1
DDT
Plan de tecnologa
Repositorio de
requerimientos
tecnolgicos
administrado
Todos los
procesos
del Marco
rector
ADT-2 Determinar la direccin del
dominio tecnolgico y su
arquitectura
DDT
ACNF
Repositorio de
conocimiento de los
dominios tecnolgicos
Diseo de la arquitectura de
servicios del TIC
Modelo de arquitectura de
soluciones tcnicas
Plan de tecnologa
Plan de capacidad de los
recursos de TIC
Definicin de elementos de
configuracin
Estructura de la CMDB
DST
DDT
DSTI
ADT
ACNF
Dictmenes tcnicos
ACNC
DSTI, DST
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.1.2.2
Factores
crticos
Relacin de
productos
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Pblica Federal para el dominio tecnolgico, con el propsito de compartir experiencias y
participar en la determinacin de los estndares que se requieran a nivel de una
arquitectura y que minimicen la incompatibilidad entre los recursos de infraestructura
procurando la interoperabilidad de tecnologas a nivel de gobierno federal.
Relacin de
productos
Estndares tecnolgicos
Factores
crticos
1. Asegurar que los estndares tecnolgicos institucionales son aprobados por el Grupo
de trabajo de arquitectura tecnolgica y se comunican a lo largo de la dependencia o
entidad mediante foros tecnolgicos.
4. Establecer, como parte del proceso, la estructura del plan de capacidad, de acuerdo
con lo establecido en el proceso de Determinacin de la direccin tecnolgica.
Relacin de
productos
Dictmenes tcnicos
Pg. 315 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.1.2.3
Descripcin de roles
Rol
Descripcin
Grupo de expertos
tcnicos
Responsable de
dominio
tecnolgico
7.10.1.2.4
Descripcin de productos
Producto
Descripcin
Arquitectura de
dominio
tecnolgico
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Principios de los
dominios
tecnolgicos
Documento que define las directrices que conducen el uso y evolucin de cada dominio
tecnolgico en la UTIC de la dependencia o entidad.
Repositorio con los datos e informacin que sustenta el conocimiento de los dominios
Repositorio de
conocimiento de los tecnolgicos y que incluye el conjunto de principios, modelos, configuraciones, reglas y
estndares del dominio.
dominios
tecnolgicos
Estndares
tecnolgicos
Lineamientos que establecen disposiciones acerca del tipo y propiedades que debern
cumplir los componentes de un dominio tecnolgico.
Dictmenes
tcnicos
7.10.1.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsabl
e
Cumplimient
o del proceso
de
administraci
n de los
dominios
tecnolgicos
Obtener la
medicin de
la eficiencia
del proceso
Medir la
eficiencia del
proceso
mediante la
obtencin del
porcentaje de
avance en la
implementaci
ny
actualizacin
de la
arquitectura de
los dominios
tecnolgicos
Eficiencia
De
gestin
% eficiencia=
(Nmero de
arquitecturas
tecnolgicas de
los dominios
tecnolgicos
implementadas
o actualizadas) /
(Nmero de
propuestas de
actualizacin
acuerdo al Plan
de tecnologa) x
100
Administrad
or del
proceso
Frecuenci
a de
clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.1.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
mantenimiento del fabricante. para no afectar las condiciones de garanta durante su vigencia.
El responsable del dominio tecnolgico de Internet/Intranet deber asegurar la instrumentacin,
operacin y administracin de los elementos de ste para la habilitacin de los servicios de
Internet/Intranet as como los servicios asociados de los sitios de Internet institucionales, sitios
intranet, servicios de colaboracin y acceso a sistemas de la dependencia o entidad, incluyendo
todos aquellos servicios que se publiquen por estas vas.
El responsable del dominio tecnolgico de Internet/Intranet deber definir, establecer y administrar
la plataforma de operacin de stos servicios, con el soporte y ayuda de las dems reas
involucradas de la UTIC.
El responsable del dominio tecnolgico de Internet/Intranet deber asegurar la disponibilidad,
adecuada operacin y funcionalidad de los servicios descritos en el punto anterior.
El responsable del dominio tecnolgico de Internet/Intranet deber establecer los mecanismos de
vigilancia de las bitcoras de los servicios que operan en el dominio.
El responsable del dominio tecnolgico de Internet/Intranet deber establecer conjuntamente con
el responsable del dominio tecnolgico de seguridad, los mecanismos necesarios para mantener
la integridad de la informacin.
El responsable del dominio tecnolgico de Internet/Intranet deber determinar el estado de
contingencia de los servicios, en caso de ser necesario, y ser el nico facultado para dirigir las
acciones que se requieran, previa aprobacin de responsable del proceso de Administracin de
riesgos de TIC.
El responsable del dominio tecnolgico de Internet/Intranet ser el responsable de evaluar la
contratacin del servicio de Internet.
El responsable del dominio tecnolgico de seguridad deber asegurar que todos los equipos de
cmputo de usuario que se conecten a la red de datos tengan instalada una herramienta de
antivirus, antispyware y las ltimas actualizaciones del sistema operativo.
El responsable del dominio tecnolgico de cmputo central deber asegurar que se instrumente
un Plan de contingencia en materia de TIC.
El responsable del dominio tecnolgico de cmputo central deber asegurar que el Plan de
contingencia sea revisado y actualizado al menos cada 6 meses.
El responsable del dominio tecnolgico de cmputo central deber asegurar que los cambios en
la operacin y en la infraestructura del dominio se reflejen de inmediato en el Plan de
contingencia.
7.10.1.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.2.
7.10.2.1.
General.Asegurar que el personal de la UTIC pueda difundir y compartir informacin que genere conocimiento.
Especficos.-
1. Establecer y mantener actualizado un repositorio central de informacin que permita compartir informacin
terica de TIC, histrica de eventos, proyectos y lecciones aprendidas de la UTIC.
2. Asegurar la calidad de la informacin contenida en el repositorio central de informacin para que sea
fuente de conocimiento.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.2.2
7.10.2.2.1
Todos los
procesos
del Marco
rector
Directrices para
la administracin
del conocimiento
Necesidades de repositorios de
informacin y datos de los
procesos de la UTIC
Plan de
acciones
de mejora
Repositorio de
conocimiento
Todos los
procesos
del Marco
rector
Criterios de administracin
de repositorios de
conocimiento
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.2.2.2.
Factores
crticos
Relacin de
productos
Factores
crticos
2. Documentar las caractersticas que deben tener los datos e informacin para
almacenarlos en el repositorio de conocimiento.
3. Disear la arquitectura lgica del Sistema de conocimiento, incluyendo los subsistemas
de conocimiento y la estructura de los repositorios de activos de conocimiento (datos e
informacin).
4. Establecer los roles y responsabilidades en la administracin de los repositorios de
activos de conocimiento.
Pg. 323 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
5. Seleccionar la configuracin por tipo de datos e informacin que compone cada uno de
los repositorios de conocimiento. Clasificar los datos e informacin de conocimiento por
tipo de dato e informacin, como ayuda para identificar el uso, estado y localizacin.
6. Especificar los atributos de mayor importancia por tipo de activo.
7. Identificar aquellos datos e informacin de conocimiento que deben alojarse en los
repositorios de conocimiento.
Relacin de
productos
Repositorio de conocimientos
Determinar los procedimientos para administrar el contenido de cada uno de los repositorios
de conocimiento.
Incluye la determinacin de los medios de almacenamiento, procedimientos, y herramientas
para registrar y acceder a los elementos del repositorio.
Factores
crticos
1. Especificar los procedimientos y sus reglas, para almacenar y recuperar elementos del
repositorio.
2. Definir los mecanismos de operacin y control: alimentacin, consulta, mantenimiento y
respaldo.
Identificar los momentos en el ciclo de vida de los procesos, servicios y/o proyectos en
los que se deber recolectar los datos.
Establecer la autoridad y la responsabilidad sobre todos los elementos del repositorio.
3. Documentar los mecanismos
mantenimiento y respaldo.
de
operacin
control:
alimentacin,
consulta,
Identificar los momentos en el ciclo de vida de los procesos, servicios y/o proyectos en
los que se debern recolectar datos e informacin.
Establecer la autoridad y la responsabilidad sobre todos los elementos del repositorio.
4. Determinar las vistas y perspectivas de elementos disponibles para los usuarios del
repositorio.
5. Definir los procedimientos requeridos para mantener disponibles los datos y la
informacin a sus usuarios.
6. Asegurar su confidencialidad, integridad y disponibilidad, estableciendo niveles de
categorizacin y acceso a los elementos del repositorio de acuerdo a las reglas del SGSI
aplicables.
Relacin de
productos
Factores
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
crticos
Relacin de
productos
Factores
crticos
Relacin de
productos
Resultado de revisiones
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.2.2.3
Descripcin de roles
Rol
Descripcin
Responsable del
proceso de
administracin del
conocimiento
Responsable del
repositorio de
conocimiento
7.10.2.2.4
Descripcin de productos
Producto
Descripcin
Directrices para la
administracin del
conocimiento
Documento que contiene las directrices para la administracin integral del conocimiento
de la UTIC, contiene, al menos, las definiciones siguientes:
Criterios de
administracin de
repositorios de
conocimiento
Repositorio de
conocimiento
Modelo de gobierno
Mediciones de desempeo
Criterios de de seguridad
los servicios
Pg. 326 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
los proyectos
la arquitectura tecnolgica
configuracin (CMDB)
capacitacin
Plan para la
comunicacin del
conocimiento
Resultado de
revisiones
Plan de acciones de
mejora
Contiene las acciones correctivas y de mejora, derivadas del anlisis causa raz de los
hallazgos resultantes de las revisiones efectuadas al repositorios de conocimiento.
7.10.2.3
Indicadores:
Nombre
Objetivo
Descripcin
Cumplimiento
del Plan de
comunicacin
de los activos
de
conocimiento
Obtener la
eficiencia del
proceso de
Administraci
n del
conocimiento
Medir la
eficiencia del
proceso
mediante el
avance en la
implantacin
del Plan de
comunicacin
de activos de
conocimiento
Dimensi
n
Eficiencia
Tipo
Frmula
Responsable
De
gestin
% eficiencia=
(Nmero de
acciones
implantadas del
plan de
comunicacin/
nmero total de
acciones del
plan de
comunicacin)
X 100
Responsable
del proceso de
administracin
del
conocimiento
Frecuencia
de clculo
Semestral
7.10.2.4
1.1
1.2
1.3
1.4
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
administracin tcnica de los repositorios de conocimiento.
1.5
1.6
1.7
7.10.2.5
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.3
7.10.3.1
General.Desarrollar las habilidades y el conocimiento del personal de TIC para que puedan realizar sus funciones con
eficacia y eficiencia.
Especficos.-
personal en la UTIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.3.2
7.10.3.2.1
DDT
Plan de
Tecnologa
Necesidades estratgicas
de capacitacin
PE
Necesidades de desarrollo de
personal de la UTIC
Necesidades de capacitacin
especif icas de TIC
Documento
estratgico
Autorizacin para
el inicio de
proyecto
Material de capacitacin
Programa de capacitacin
AD
IDP-7 Establecer y mantener
actualizado el repositorio de
capacitacin de la UTIC
IDP-6 Proporcionar la
capacitacin y monitorear su
cumplimiento
Registro de incidencias
Acciones de
mejora de la
capacitacin
Repositorio de
capacitacin de
la UTIC
AD
ACNC
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.10.3.2.2
Definir los objetivos a corto, mediano y largo plazo, para crear las capacidades que permitan
administrar y operar los procesos de la UTIC.
Factores
crticos
Relacin de
productos
Factores
crticos
Definir los objetivos a corto, mediano y largo plazo que permitan aprovechar y fortalecer el
talento del personal, orientados a motivar al empleado hacia su desarrollo dentro de la
dependencia o entidad
1. Asegurar que todos los servidores pblicos de nuevo ingreso cuenten con una induccin
proporcionada por la UTIC, que incluya capacitacin sobre:
a. Las polticas y procesos.
b. La importancia de satisfacer los requerimientos del usuario, los estatutarios y los
legales y la necesidad de garantizar la satisfaccin del usuario.
c. La importancia y la trascendencia de sus actividades y la manera en que
contribuyen al logro de los objetivos de la dependencia o entidad.
2. Revisar e incorporar la normatividad aplicable en la materia.
3. Identificar las necesidades de desarrollo de capacidades del personal de la UTIC.
Considerar que:
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
IDP-3 Definir las necesidades especficas de capacitacin que son responsabilidad de la UTIC
Descripcin
Factores
crticos
Relacin de
productos
Factores
crticos
Tpicos de capacitacin.
Compromisos de capacitacin.
Cronograma.
2. Establecer compromisos con el plan. (Documentar los compromisos con los principales
responsables de implementar y soportarlo).
3. Revisar y aprobar el Plan de capacitacin.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
IDP-5 Establecer los mecanismos de capacitacin
Descripcin
Factores
crticos
b)
Material de capacitacin
Programa de capacitacin
3. Verificar que se efecten las evaluaciones tanto de conocimiento, como del curso y que
se entreguen los reconocimientos establecidos.
Pg. 334 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
Evaluaciones
Factores
crticos
Relacin de
productos
Registro de incidencias
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
individuales.
3. Anlisis de las evaluaciones de los participantes de cmo las actividades de capacitacin
cumplen con sus necesidades.
Relacin de
productos
7.10.3.2.3
Descripcin de roles
Rol
Descripcin
Administrativo
de capacitacin
Responsable de
capacitacin de
la UTIC
Unidad de
coordinaciones
Participantes
7.10.3.2.4
Descripcin de productos
Producto
Descripcin
Plan de capacitacin de
la UTIC
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Necesidades de
capacitacin
Material de capacitacin
Repositorio de
capacitacin de la UTIC
Registro de incidencias
Contenido:
Acciones de mejora de
la capacitacin
7.10.3.3
Tiempo de ejecucin.
Indicadores.
Beneficiarios.
Listas de asistencia
Indicadores
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Satisfaccin
del cliente
Medir la calidad
del Plan de
capacitacin
Obtener la
medicin de la
satisfaccin
del personal
al respecto de
la
capacitacin
Calidad
De
gestin
(Nmero de
capacitados
satisfechos
con la
capacitacin
recibida /
Nmero total
Administrador
del proceso
Frecuencia
de clculo
Anual
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
Dimensin
recibida
Tipo
Frmula
Responsable
Frecuencia
de clculo
de
capacitados) X
100
7.10.3.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
7.10.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11
OPERACIONES
7.11.1
Administracin de la operacin
7.11.1.1
General.Administrar y operar la infraestructura, para entregar los servicios de TIC conforme a los niveles acordados.
Especficos.-
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.1.2
Acuerdos de niveles de
servicio
Acuerdos de niveles
operativos
Contratos de soporte
Solicitudes de soporte
escaladas
Repositorio de Solicitudes de
Soporte
Sentencias de aplicabilidad de
seguridad de la informacin
Repositorio de riesgos de TIC
Repositorio de solicitudes
de cambios
rdenes de trabajo
Calendario de cambios
Plan de proyecto de
transicin a la operacin
Planes de liberacin y
entrega
CMDB
APS, DSTI
MI, AAF
Portafolio de servicios
Plan de capacidad de
los recursos de TIC
Plan de continuidad
de los servicios de TIC
Bitcora de
mantenimiento de
infraestructura
Plan de
mantenimiento de la
infraestructura
Bitcora de proteccin
del recurso de
infraestructura
Sistema de acceso
fsico a las reas
reservadas a la UTIC
Plan de
aprovisionamiento de
infraestructura
Bitcora de resultados
de las pruebas de
factibilidad
AO-1 Establecer
procedimientos e instrucciones
de operacin
AO-2 Programar y ejecutar
tareas de la operacin
Procedimientos
de operacin
OSGP
Programa de
ejecucin de
tareas
AO-3 Monitorear la
infraestructura de TIC
Bitcora de la operacin
Solicitudes de cambios
relacionadas con la operacin
Solicitudes de soporte
relativas a incidentes de
operacin (actualizadas)
ACMB
OMS
AD
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.1.2.2
Factores
crticos
Contienen las actividades que deben realizarse en caso de surgir una excepcin o de
requerir un cambio.
Establecer los tiempos permitidos fuera de servicio por incidentes en los programas de
ejecucin de tareas para la operacin.
Procedimientos de operacin
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
inicial y sus cambios.
Debern ser autorizados todos los procesos y tareas que se incluyan en el calendario
de ejecucin, as como cualquier cambio de los componentes o de su programacin.
y rectificar
Bitcora de la operacin
Solicitudes de cambios relacionadas con la operacin
Solicitudes de soporte relativas a incidentes de operacin (actualizadas)
Programa de ejecucin de tareas
Factores
crticos
Definir los distintos tipos de eventos para establecer reglas de administracin por tipo.
Algunos tipos de eventos pueden ser:
Eventos que denotan excepciones. Por ejemplo, un usuario intenta acceder a una
aplicacin a la que no tiene acceso.
Eventos que denotan operacin inusual pero que no son excepciones. Por ejemplo,
el nivel de utilizacin de la memoria de un servidor alcanza un 5% de su nivel ms
alto aceptable.
3. Asegurar que cualquier tarea o proceso que se ejecute como parte de la operacin sea
Pg. 343 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
registrado.
Los datos registrados se usan para identificar la causa raz de los incidentes
detectados, as como para confirmar la ejecucin satisfactoria de las tareas y procesos.
4. Identificar y mantener una lista de datos e informacin de infraestructura que necesitan ser
monitoreados y/o supervisados, basados en servicios crticos y en la relacin entre los
datos e informacin de configuracin y servicios que dependen de ellos.
5. Definir e implementar reglas para la deteccin de incidentes relacionados con la
administracin de eventos.
6. Se debern catalogar en incidentes menores y mayores, para no generar un registro de
informacin innecesaria.
7. Resguardar la informacin de los incidentes, para poder realizar un anlisis en la solucin
de problemas, prevencin o mejora.
8. Establecer procedimientos para monitorear los registros de incidentes y conducir revisiones
peridicas.
9. Asegurar que los registros de incidentes son creados en el momento en que se identifican
Relacin de
productos
7.11.1.2.3
Descripcin de roles
Rol
Descripcin
Descripcin de productos
Producto
Descripcin
Bitcora de la
operacin
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Producto
Descripcin
Procedimientos
de la operacin
Formato para documentar el propsito y detalles del cambio propuesto, que es sometido a
consideracin y valoracin por parte de la autoridad, para decidir su procedencia o rechazo.
Caractersticas:
Contiene los detalles de las propuesta del cambio
Nombre y detalles del contacto
Se le asigna un identificador nico
Se anexan al formato, documentos de soporte: evidencias de pruebas unitarias, de usuario,
integrales, entre otros.
7.11.1.3
Indicadores
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Nmero de
incidentes en
la ejecucin
de la
programaci
n de tareas
para la
operacin de
los servicios
de TIC
Interrupcin
de los
servicios por
incidentes en
la ejecucin
de los
Eficacia en el
proceso
Obtener el
numero de
incidentes en
la operacin
Eficacia
De
gesti
n
% eficacia=
(Nmero de
incidentes en la
operacin/numer
o de tareas
programadas) X
100
Administrador
del proceso
Eficacia en el
proceso
Conocer la
eficiencia del
proceso en
relacin a los
minutos de
interrupcin
Eficacia
De
gesti
n
% eficacia=
( de minutos de
interrupcin en
los servicios por
incidentes en la
ejecucin de
Administrador
del proceso
Frecuenci
a de
clculo
Semestral
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
procesos
programados
Descripcin
Dimensin
de los
servicios
Tipo
Frmula
Frecuenci
a de
clculo
Responsable
tareas y
procesos) /
(tiempo mximo
acumulado de
minutos
establecido para
interrupcin por
incidentes en la
ejecucin de
tareas y
procesos) X 100
7.11.1.4
1.1
1.2
1.3
1.4
1.5
7.11.1.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.2
7.11.2.1
General.Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de las TIC contra acceso
fsico no autorizado, dao, robo, o mal uso de los recursos, minimizando el riesgo de una interrupcin del
servicio.
Especficos.-
1. Administrar y mantener las condiciones de energa elctrica, temperatura y seguridad, necesarias para
la operacin del centro de datos.
2. Definir las mediciones para monitorear la estabilidad del ambiente fsico del centro de datos, tomando
las medidas preventivas y correctivas pertinentes.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.2.2
7.11.2.2.1
DSTI
ARTI
Plan de continuidad
de servicios de TIC
Plan de capacidad de
los recursos de TIC
Especificaciones
del centro de datos
Repositorio de
riesgos de TIC
ARTI
Repositorio de riesgos
de TIC
A
Sentencias de
aplicabilidad
Calendario de
cambios
Sistema de seguridad
fsica al centro de datos
ARTI
ACMB
ARTI
Sistema de acceso
fsico a las reas
reservadas a la UTIC
AO
Repositorio de
riesgos de TIC
A
ARTI
Plan de aprovisionamiento
de infraestructura
MI
AAF-4 Establecer la proteccin
contra riesgos ambientales
ARTI
Solicitudes de soporte
relativas a incidentes de AAF
OMS
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.2.2.2
Definir y seleccionar los centros de datos fsicos para el equipo de las TIC.
Factores crticos
1.
2.
Asegurar que la seleccin y/o diseo del centro de datos tome en consideracin las
leyes y regulaciones aplicables.
3.
Para su seleccin o diseo, se debe identificar los riesgos potenciales y las amenazas
para los centros de datos y evaluar su impacto en la dependencia o entidad.
4.
Seleccionar o disear los centros de datos de forma en que se minimicen los impactos
de los riesgos ambientales, de acuerdo a su ubicacin geogrfica.
5.
Relacin de
productos
Factores
crticos
1.
Asegurar que todos los incidentes sobre la seguridad fsica sean registrados,
supervisados, administrados, reportados y resueltos.
Pg. 350 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Relacin de
productos
AAF-3: Establecer medidas de control de acceso fsico a las reas reservadas de la UTIC
Descripcin
Factores crticos
1.
Aplicar los criterios definidos mediante el SGSI para determinar el acceso fsico a las
reas de la UTIC.
2.
Con apego a los controles que establezca el SGSI, definir e implementar un mecanismo
para controlar el acceso a las reas reservadas de la UTIC, que mnimamente cubra:
Relacin de
productos
3.
4.
Factores
crticos
1.
2.
Identificar cmo el equipo de TIC, incluyendo el equipo mvil y fuera de sitio, se protege
contra riesgos y amenazas ambientales.
3.
4.
Comparar las medidas y los planes de contingencia contra los clausulados y requisitos de
las plizas de seguro, cuando aplique.
5.
Relacin de
productos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
AAF-5: Administrar las instalaciones fsicas.
Descripcin
Factores crticos 1.
2.
3.
Asegurar que las instalaciones para alojar las soluciones tecnolgicas de TIC tengan
suministro de energa alterno.
4.
5.
6.
7.
Asegurar que todos los incidentes sobre la seguridad fsica sean registrados,
supervisados, administrados, reportados y resueltos.
Estas actividades debern estar alineadas a lo sealado en el proceso de Operacin de
la mesa de servicios.
Relacin de
productos
8.
Asegurar que los centros de datos y equipo se mantienen operando conforme a los
parmetros y especificaciones de servicio requeridos por el proveedor, adems de
verificar la vigencia de las garantas y contratos de servicios.
9.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.2.2.3
Descripcin de roles
Rol
Descripcin
Administrador del
proceso de
administracin de
ambiente fsico
Es responsable del ambiente fsico del centro de datos as como de definir, establecer
y aplicar las mejoras al proceso de Administracin del ambiente fsico.
7.11.2.2.4
Descripcin de productos
Producto
Descripcin
Especificaciones del
centro de datos
Contiene las caractersticas fsicas que debe tener el centro de datos de la dependencia
o entidad.
Sistema de seguridad
fsica al centro de
datos.
Contiene los lineamientos y las medidas de seguridad fsica adoptadas para el centros
de datos.
Sistema de acceso
fsico a las reas
reservadas a la UTIC.
Contiene los lineamientos y las medidas adoptadas, para el control de acceso a todas
las reas reservadas a la UTIC.
Medidas de proteccin Contiene las medidas de cmo el centro de datos es protegido contra los riesgos
identificados en el proceso de Administracin de riesgos de TIC, relacionados con
contra riesgos
amenazas por factores ambientales.
ambientales.
Solicitudes de soporte Actualizacin de las solicitudes de soporte relativas a los incidentes que ocurren en las
instalaciones del centro de datos.
relativas a incidentes
de administracin de
ambiente fsico
actualizadas
7.11.2.3
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Medidas de
seguridad de
ambiente fsico
implementadas
Obtener la
medicin de
la eficacia
del proceso
Medir la
eficacia en la
implementacin
de las medidas
de seguridad
de ambiente
fsico
Eficacia
De
gestin
% eficacia=
(Nmero de
medidas de
seguridad de
ambiente fsico
implementadas /
Nmero de
medidas de
seguridad de
ambiente fsico
definidas en la
poltica de
Administrador
del proceso
Frecuencia
de clculo
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
seguridad fsica
para su
implementacin)
x 100
Interrupcin de
los servicios
por incidentes
en el ambiente
fsicos
Eficiencia
en el
proceso
Medir la
eficiencia del
proceso
obteniendo el
porcentaje de
minutos de
interrupcin por
incidentes
derivados de
elementos del
ambiente fsico
de operacin
Eficiencia
De
gestin
% eficiencia=
( de minutos
de interrupcin
en los servicios
por incidentes
de ambiente
fsico) / (tiempo
mximo
establecido para
interrupcin por
incidentes de
ambiente fsico)
X 100
Administrador
del proceso
Semestral
7.11.2.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a
este proceso.
La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el
proceso de Administracin del desempeo de TIC.
Los roles y responsabilidades de este proceso debern definirse mediante el proceso de
Establecimiento de estructura de gobierno de TIC.
El administrador del proceso de Administracin del ambiente fsico deber asegurar que se realicen
las actividades peridicas de mantenimiento al ambiente fsico de TIC, a fin de mantener operando
los servicios de manera adecuada.
El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han
establecido los mecanismos de control para garantizar la seguridad del centro de datos.
El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han
establecido los mecanismos que mitiguen los riesgos de falla causados por factores ambientales.
El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han
establecido los controles suficientes para el acceso al centro de datos y a los activos de TIC que
ah se resguarden.
Se debern realizar de manera peridica revisiones de los mecanismos de control y de seguridad a
fin de evaluar su efectividad para garantizar la seguridad y el correcto funcionamiento del centro de
datos.
Pg. 354 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
1.12
1.13
7.11.2.5
El administrador del proceso de Administracin del ambiente fsico es responsable del cumplimiento
de las Declaraciones de aplicabilidad de seguridad de la informacin de la dependencia o entidad.
La UTIC asegurar que se mantenga la temperatura ptima de operacin de los equipos de
comunicaciones a travs de aire acondicionado y evitar fallas por altas temperaturas.
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.3.
7.11.3.1.
Mantenimiento de infraestructura
Objetivos del proceso
General.Adquirir, instalar y mantener actualizada la infraestructura tecnolgica para garantizar la continuidad de los
servicios de TIC.
Especficos.-
1. Establecer un Plan de adquisicin de tecnologa alineado con los planes de tecnologa y de capacidad de
los recursos de TIC.
2. Adquirir y mantener una infraestructura de TIC integrada y estandarizada.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.3.2
7.11.3.2.1
DDT
DSTI
ADTI
ACNF
ADT
ASI
ARTI
Plan de tecnologa
Plan de capacidad de los recursos de TIC
Paquetes de diseo de servicios de TIC
Programa de adquisiciones y servicios de TIC
CMDB
Principios de los dominios tecnolgicos
Sentencias de
aplicabilidad
Repositorio de
riesgos de TIC
AAF,
AO,
DSTI,
ADTI
Plan de aprovisionamiento
de infraestructura
ACNF
ACMB
CMDB
Solicitud de cambio
rdenes de trabajo
Calendario de cambios
Solicitudes de
cambio
MI-3 Mantenimiento de la
infraestructura
AO
ACMB
APTI
DSTI
THO
Plan de proyecto
Paquete de diseo del
servicio
Plan de transicin a la
operacin y soporte
Plan de mantenimiento de la
infraestructura
Bitcora de mantenimiento de
infraestructura
Solicitudes de soporte relativas
a incidentes de mantenimiento
Bitcora de resultados de
las pruebas de factibilidad
AO
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
7.11.3.2.2
Factores
crticos
Relacin
productos
de
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
de
Solicitudes de cambio
Factores
crticos
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
para su consideracin en el proceso de planificacin de la gestin de incidencias.
Relacin de
productos
Factores
crticos
1. Disear un enfoque de los planes estratgicos acorde con la tecnologa, que permita la
creacin y simulacin de ambientes adecuados para verificar la viabilidad de las
adquisiciones previstas o desarrollos. Considere la posibilidad de que sea en sitio y
tambin opciones externas, incluidas las visitas de referencia, laboratorios de pruebas de
proveedores, creacin de prototipos, los pilotos de modelos, y prueba de concepto de la
evolucin, en funcin de la complejidad, los aspectos prcticos y los costos.
2. Crear un entorno de prueba que considere la funcionalidad, configuracin de hardware y
de software, integracin y pruebas de rendimiento, la migracin entre los entornos, control
de versin, datos de prueba, herramientas, y seguridad.
Relacin de
productos
Solicitudes de cambios
TIEMPO TOTAL DEL PROCESO: VARIABLE
7.11.3.2.3
Descripcin de roles
Rol
Descripcin
Administrador
mantenimiento
infraestructura
7.11.3.2.4
Descripcin de productos
Producto
Descripcin
Plan de
mantenimiento de
infraestructura
Este plan contiene todas las tareas necesarias para prevenir los principales fallos que
puede tener la instalacin de algn elemento de la infraestructura. El Plan de
mantenimiento es un conjunto de tareas de mantenimiento agrupadas; el objetivo de
este plan es evitar determinadas fallas.
Pg. 361 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Bitcora de
mantenimiento de
infraestructura
Bitcora de
proteccin del
recurso de
infraestructura
Bitcora de
resultados de las
pruebas de
factibilidad
Solicitud de cambio
Solicitud de
soportes relativas a
incidentes de
mantenimiento
Plan de
aprovisionamiento
de infraestructura
7.11.3.3
Registros de los resultados del Plan de pruebas para soportar las acciones a desarrollar
con los elementos probados.
Formato para documentar el propsito y detalles de un cambio propuesto (ver proceso
ACMB).
Actualizacin de la informacin de las solicitudes de soporte relativas a incidentes que
ocurran en el mantenimiento de infraestructura.
Documento donde se establece la estrategia a seguir para adquirir e instalar
infraestructura tecnolgica de acuerdo a las necesidades de la dependencia o entidad,
contiene: especificaciones funcionales, especificaciones tcnicas, extensiones futuras de
la infraestructura, costos, riesgos, vida til, retorno de inversin y la fecha probable en
que ser requerida.
Indicadores:
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados del
proceso
Obtener una
medicin de
la eficiencia
del proceso
Medir los
resultados del
proceso por
medio de las
acciones
efectuadas en
tiempo y forma
Eficiencia
De
gestin
Administrador
del proceso
Interrupcin de
los servicios
por incidentes
en el ambiente
fsicos
Obtener una
medicin de
la eficacia en
el proceso
Medir el
numero de
interrupciones
en los servicios
por
incumplimiento
del proceso
Eficacia
De
gestin
%
eficiencia=
(Solicitudes
de soporte
de
mantenimie
nto
realizadas
segn lo
planeado) /
Nmero de
solicitudes
recibidas)
X 100
% eficacia
=(nmero
de
interrupcion
es por no
contar con
los
insumos
necesarios)
/ (nmero
Administrador
del proceso
Frecuencia
de clculo
Semestral
Semestral
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula
Responsable
Frecuencia
de clculo
total de
interrupcion
es en el
servicio) X
100
7.11.3.4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
7.11.3.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
RGANOS COLEGIADOS
De acuerdo a las necesidades de los procesos del Marco rector de este Manual, se indica, en los que
corresponde, que deben establecerse diversos grupos de trabajo, indicando su rol principal y participacin en
las macro-actividades de cada uno de los 31 procesos que conforman el Marco rector en el presente
instrumento.
Estos grupos de trabajo y los responsables que para cada uno de ellos se requiere debern ser conformados
en las dependencias y entidades, a travs de la UTIC, de acuerdo a sus estructuras organizacionales y sus
objetivos institucionales mediante el proceso EEG Establecimiento de la estructura de gobierno de TIC.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
ANEXOS/FORMATOS
Modelo Rector
CMMI
Marca registrada ante el
U.S. Patent and
Trademark Office por
Carnegie Mellon
University.
(www.sei.cmu.edu/cmm
i/)
Descripcin general
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
servicios de TI.
El CMMI-DEV es el modelo de procesos para la mejora y evaluacin de la
capacidad de los procesos de una organizacin que desarrolla y da
mantenimiento a software. Especifica los procesos de desarrollo de soluciones
tecnolgicas desde la perspectiva de la organizacin que desarrolla.
El CMMI-ACQ es el modelo de procesos que gua a las organizaciones en la
gestin de la adquisicin de productos y servicios. El modelo se centra en
desarrollar las capacidades de los procesos de una organizacin que adquiere
servicios de desarrollo de software y tambin en el proceso de compra, e integra
los cuerpos de conocimiento esenciales para que las adquisiciones resulten
exitosas, utilizando las mejores prcticas desde la concepcin de la compra,
establecimiento de los requisitos necesarios, los acuerdos requeridos con el
proveedor, conduccin de la adquisicin, evaluacin del avance y de los
productos/servicios resultantes, los procesos para ejecutarlos as como su
aceptacin, transicin y liberacin. Este modelo complementa al CMMI-DEV al
especificar los procesos desde la perspectiva del comprador.
mbito de influencia en el marco rector
COBIT
RISK-IT
VAL-IT
Marcas registradas del
IT Governance Institute
(www.itgi.org)
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
referencia para la gestin de TI. Puede consultarse una descripcin detallada en
el documento COBIT Mapping Overview of International IT Guidance, 2nd Edition
disponible en la pgina Internet del ITGI.
El ITGI ha publicado una serie de documentos que complementan COBIT, en
particular para el diseo del Marco rector fueron considerados:
VAL-IT: Documento que detalla las mejores prcticas para la gestin de las
inversiones en TI.
RISK-IT: Documento que detalla las mejores prcticas para la gestin de
riesgos de TI.
ISO 27001
Estndar de la
International
Organization for
Standardization.
(www.iso.org)
La norma ISO 9001 fue usado como referencia secundaria para la seleccin
de las prcticas clave y el diseo de los factores crticos de los grupos de
procesos de Administracin de procesos, Administracin de recursos y
Procesos de control.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
mbito de influencia en el marco rector
ITIL
Marca registrada en el
Office of Government
Commerce. (UK)
(www.itil.co.uk)
La norma ISO 27001 fue usada como referencia primaria para la seleccin de
las prcticas clave y factores crticos de procesos de Administracin de
riesgos de TI y Administracin de la seguridad de la informacin.
Project Management
Body of Knowledge
(PMBoK) Guide
marca registrada del
Project Management
Institute
ITIL fue usado como referencia primaria para la seleccin de las prcticas
clave y factores crticos de los grupos de procesos de Administracin de
servicios de TIC, de Transicin y entrega y de Operacin de servicios. En
forma secundaria ITIL influy en el diseo de los procesos de los grupos de
Administracin de activos y de Operaciones.
The Standard for Portafolio Management es emitido por el PMI. Contiene las
mejores prcticas de administracin de portafolios de inversiones asociadas a la
Pg. 368 de 372
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
TOGAF
The Open Group
Architecture Framework
/TOGAF) es copyright
del The Open Group
(www.opengroup.org)
TOGAF fue usado como referencia primaria para la seleccin de las prcticas
clave y factores crticos de los procesos para Determinar la direccin
tecnolgica y de Administracin de dominios tecnolgicos.
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Actividad
Repositorio de informacin
Comentario
Conector
10
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
Inicia proceso
Actividad
Conector
Fin de actividad/proceso
TECNOLOGAS DE LA
INFORMACIN Y
COMUNICACIONES
10.
VIGENCIA
11.