Normas Téc en TI y Comunics

Contralora General de la Repblica
Divisin de Gestin de Apoyo Unidad de Tecnologas de Informacin
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Informe nal Versin 1.0.0 Julio 2009
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3
Introduccin
Las Normas tcnicas para la gestin y el control de las tecnologas de informacin (TI), en adelante referidas como NT, segn la resolucin No. R-CO-26-2007 mediante la cual se emitieron, constituyen los criterios bsicos de control que deben ser observados en la gestin institucional de esas tecnologas, de frente a un adecuado uso de los recursos invertidos en ellas y a facilitar su control y la scalizacin. De manera congruente con este objetivo, estos criterios bsicos de control sobre las TI se incorporan a las Normas de Control Interno para el Sector Pblico, N-2-2009CO-2009, como lo consigna la norma No. 5.9: 5.9 Tecnologas de Informacin. El jerarca y los titulares subordinados, segn sus competencias, deben propiciar el aprovechamiento de tecnologas de informacin que apoyen la gestin institucional mediante el manejo apropiado de la informacin y la implementacin de solu ciones giles y de amplio alcance. Para ello deben observar la normativa relacionada con las tecnologas de informacin, emitida por la CGR. Conscientes de que las tecnologas de informacin constituyen un factor crtico y estratgico para la modernizacin de los procesos de trabajo y para el desarrollo de soluciones tecnolgicas de calidad, que apoyen las labores sustantivas y de apoyo, a continuacin se emite un informe con los principales aspectos desarrollados en la Contralora General, como Administracin Activa, en atencin de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contralora y las instituciones y rganos sujetos a su scalizacin, ha contado con dos aos a partir del 31 de julio de 2007, para cumplir con la serie de criterios bsicos de gestin y control de las NT.
4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Al cabo de ese perodo, se logra culminar un primer esfuerzo de cumplimiento razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto obste para ir profundizando y actualizando los resultados obtenidos, as como para atender nuevos requerimientos derivados de la normativa y del entorno.
Metodologa
Para atender la normativa se inici con el trabajo de preparacin delineado en el artculo 6 de la Resolucin No. R-CO-26-2007, a saber: La constitucin de un equipo de trabajo. La designacin de un responsable del proceso de implementacin, coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar el plan denido. El estudio detallado de las normas tcnicas referidas, para identicar las que apliquen a la entidad u rgano de conformidad con su realidad tecnolgica y con base en ello establecer prioridades de implementacin. Una planicacin debidamente documentada, que considere actividades, plazos para cada una, responsables, costos estimados y cualquier otro requerimiento asociado (infraestructura, personal, recursos tcnicos.). Para su implementacin, la seora Contralora, mediante ocio No. CO-0272 del 15 de agosto de 2007, design como equipo de trabajo a la comisin ad hoc ya existente, que haba coordinado la elaboracin de los planes estratgico y tctico de tecnologas de informacin y comunicacin de la Contralora, y que apoya en su implementacin y seguimiento. A este equipo se le asign el objetivo de elaborar el cronograma de trabajo para el cumplimiento de las NT y darle seguimiento a la ejecucin del mismo.
El equipo de trabajo est coordinado por la seora Subcontralora. La responsabilidad de la implementacin tcnica de las normas se deleg en la jefatura de la Unidad de Tecnologas de Informacin (UTI), quien a su vez constituy y coordin distintos grupos de trabajo para la consecucin del objetivo. Esto ltimo sin perjuicio de la responsabilidad del jerarca, titulares subordinados y los dems funcionarios de la institucin, en cuanto al cumplimiento de sus roles en materia de control interno en general y sobre el componente funcional de Sistemas de Informacin en particular. Se elabor un diagnstico institucional sobre el estado de TI con respecto a las NT, incluyendo en ste una propuesta de productos, acciones y un cronograma de ejecucin de las mismas. El documento fue presentado por el grupo ad hoc al Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), siendo avalado por este comit y tomado como base para la implementacin de las NT. Ver minuta Nro. 3 del 12 de marzo de 2008, acuerdo 1, apartado 3. Asimismo, se planic la implementacin de las NT con base al cronograma resultante del referido diagnstico institucional. Ver documento NTP0 Diagnstico Inicial y NTP1 Cronograma de Implementacin. El contenido del informe consigna en negrilla el texto de las normas y seguidamente, se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los cuales se hace referencia al resumir el trabajo realizado estn hipervinculados a su versin digital.
Captulo I
Normas de Aplicacin General
Captulo I Normas de Aplicacin General

1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco estratgico constituido por polticas organizacionales que el personal comprenda y con las que est comprometido. 1.1.1 Con la representacin de las reas sustantivas y de apoyo de la CGR, se elabor para su puesta en marcha y ejecucin el Plan Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), del cual deriv un Plan Tctico (PTAC). Por su parte, en el Plan Anual Operativo las Unidades han incorporado los proyectos correspondientes para dar cumplimiento al dimensionamiento estratgico y tctico de TI, todo debidamente alineado al Plan Estratgico Institucional. Ver documentos PETIC y PETAC. 1.1.2 Se realiz la divulgacin de los planes indicados en el punto 1.1.1 mediante charlas generales y especcas; as como por su publicacin en la Intranet institucional, logrando el compromiso de los patrocinadores y funcionarios en el desarrollo de soluciones tecnolgicas. 1.1.3 El CGTIC analiz la cartera de proyectos y estableci las prioridades de ejecucin de los mismos, recomendando al Despacho de las seoras Contraloras su incorporacin en el PTAC.
1.2 Gestin de la calidad

La organizacin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eciencia y mejoramiento continuo. 1.2.1 Se elabor un manual para la gestin y aseguramiento de la
calidad durante el desarrollo y evolucin de las soluciones tecnolgicas, el cual ser aplicado a partir del segundo semestre del 2009. Ver documento NTP8 Marco General para la Gestin de la Calidad en TIC. 1.2.2 Con el objetivo de iniciar la generacin de datos para la toma de decisiones relacionadas con el mejoramiento continuo, se desarroll e implement un sistema de informacin dirigido al registro de solicitudes de servicio y de su solucin, los tiempos empleados y el procedimiento ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS), disponible en la Intranet, permite la medicin y el control de calidad, especialmente en el servicio de soporte tcnico que se brinda en la UTI. 1.2.3 Se ajustaron e integraron la gua metodolgica para el desarrollo de sistemas de informacin automatizados y la gua para el desarrollo de proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante una mayor participacin de los patrocinadores de proyectos en el desarrollo y pruebas de las soluciones tecnolgicas. Ver documento NPT7 Metodologa para el desarrollo de proyectos de TIC.
1.3 Gestin de riesgos

La organizacin debe responder adecuadamente a las amenazas (ver este concepto con respecto a la denicin , no son solo amenazas) que puedan afectar la gestin de las TI, mediante una gestin continua de riesgos que est integrada al sistema especco de valoracin del riesgo institucional y considere el marco normativo que le resulte aplicable. 1.3.1 Se denieron y valoraron los riesgos de TI integrados a la
valoracin de riesgos institucional, generando un manual de riesgos y una seleccin de los principales riesgos a considerar. Ver documento NTP3 Evaluacin de riesgos en TIC. Estos riesgos se incorporaron en la Gua para desarrollo de soluciones tecnolgicas. 1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.
1.4 Gestin de la seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la condencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o modicacin no autorizados, dao o prdida u otros factores disfuncionales. Para ello debe documentar e implementar una poltica de seguridad de la informacin y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relacin con los siguientes aspectos: 1.4.1 La implementacin de un marco de seguridad de la informacin. La CGR elabor un Marco de Seguridad para su aplicacin en toda la Institucin, el cual ser divulgado en el segundo semestre del 2009. Ver documento NTP10_Marco de Seguridad en Tecnologas de Informacin.
1.4.2 El compromiso del personal con la seguridad de la informacin. Mediante la elaboracin, implementacin y divulgacin del manual denominado Lineamientos y directrices de seguridad, toda la organizacin se encuentra comprometida con el tema de la seguridad en general. En adicin, se han impartido charlas especcas sobre seguridad al personal, se ha insertado la seguridad va mensajes por correo electrnico y mediante artculos en el sitio Web del Club de tecnologas y enviados por e-mail. Ver documento Directrices sobre Seguridad y Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC). 1.4.3 La seguridad fsica y ambiental. Se cuenta con un sistema de seguridad perimetral que involucra control de acceso electrnico en reas de seguridad, cmaras para vdeo vigilancia, sensores de humo, alarma contra incendio, extintores, sistema de supresin de fuego especializado para equipo de computo registro en cmara y fsico de ingresos al Centro de Procesamiento de Datos y una ubicacin estratgica del mismo. 1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad en las operaciones se da en trminos de la ejecucin de procedimientos elaborados con el n de asistir al funcionario que realice estas actividades y la supervisin de las mismas, as como de las comunicaciones. Se incorporaron certicados digitales en los servicios sensitivos de acceso al pblico; como declaraciones juradas, acorde con la autenticidad, integridad y condencialidad de las transacciones que requiere la CGR. Ver documento NTP10_Marco de Seguridad en Tecnologas de Informacin. 1.4.5 El control de acceso. Mediante un sistema de asignacin
de roles y privilegios en uso, no slo se controla el acceso lgico a la informacin, sino que tambin se facilita el seguimiento de las
operaciones realizadas por los usuarios de los sistemas de informacin operando. A lo interno los niveles gerenciales y de jefatura son los que denen los roles y privilegios que sus funcionarios pueden tener para acceder a determinada aplicacin; hacia lo externo es el mximo jerarca de la entidad quien dene estas asignaciones y en ambos casos deben realizar solicitud formal para que sea aplicada. La asignacin de roles y privilegios es una funcin que ha venido asumiendo el Centro de Operaciones de la CGR y en casos muy calicados el Patrocinador del sistema, de acuerdo con las Directrices sobre Seguridad y Utilizacin de Tecnologas de Informacin y Comunicaciones (DSUTIC). 1.4.6 La seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica. De acuerdo con la Gua para desarrollo de proyectos de TI, la UTI cuenta con un ambiente controlado e independiente, destinado a la ejecucin de desarrollo de aplicaciones que aseguren la no interferencia con las operaciones diarias y que garanticen el cumplimiento de los requerimientos de usuario, un ambiente para efectos de pruebas de usuario y capacitacin, as como obviamente el ambiente para sistemas operando. 1.4.7 La continuidad de los servicios de TI. Se desarroll e implement el Sistema de informacin para la continuidad de los servicios de TI (SCS), disponible en la Intranet, que permite el registro y actualizacin de eventos que afecten los servicios, su solucin, su criticidad y su impacto, recursos, escalabilidad, procedimientos de recuperacin y responsables. 1.4.8 El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos. Para efectos de acceso a la informacin por parte de terceros, se requiere de convenios o contratos previamente establecidos, o de la solicitud del jerarca de una institucin, para la
asignacin de un rol que le facilite la consulta controlada. De igual manera, aplica para la contratacin de servicios a terceros, en donde se establecen clusulas especcas sobre la condencialidad de la informacin. Ver DSUTIC. 1.4.9 El manejo de la documentacin. Se realiza por medio del Sistema Integrado de Gestin y Documentos (SIGYD). Los documentos se clasican por tipos documentales y estn disponibles de acuerdo con la tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios de informacin se responsabiliza por administrar ecientemente la documentacin fsica y electrnica. Desde el punto de vista de TI, se mantiene un estndar de documentacin para proyectos de tecnologa. 1.4.10 La terminacin normal de contratos, su rescisin o resolucin. La UTI mantiene como poltica la administracin de contratos relacionados con TI, a travs de los coordinadores; segn especialidad y anidad, con el objetivo de un control peridico y directo sobre la ejecucin, su continuidad, rescisin o la resolucin del mismo. 1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comit de Salud Ocupacional que se ocupa permanentemente de este tema y con el cual se ha coordinado la ergonoma de los puestos de trabajo y su entorno.
1.5 Gestin de proyectos

La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto ptimos preestablecidos.
1.5.1 Se elabor la Gua para desarrollo de proyectos en TI que se desarrollo. Ver documento NTP7 Metodologa para el desarrollo de proyectos de TIC. 1.5.2 Con base en la Gua para desarrollo de proyectos de TI, los proyectos son liderados y administrados por los patrocinadores, con la asesora e incorporacin de la UTI, quien busca mediante la coordinacin de proyectos su integracin y la orientacin para satisfacer las necesidades en cuanto a calidad, tiempo y presupuesto. 1.5.3 Se mantiene en ejecucin la cartera de proyectos aprobada por el Despacho de las seoras Contraloras y que se encuentra incorporado en el PTAC, el cual es un documento viviente que se actualiza de acuerdo con las nuevas necesidades y disposiciones. Ver minutas de seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora de una representacin razonable de la organizacin que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada atencin de los requerimientos de todas las unidades de la organizacin. 1.6.1 El Despacho de las seoras Contraloras se apoya en el CGTIC para la toma de decisiones relacionadas con aspectos estratgicos de tecnologas de informacin, atendiendo sus recomendaciones sobre prioridad de ejecucin de las inversiones en TI, asignacin de recursos y ejecucin de proyectos. 1.6.2 El Despacho cuenta con un comit Ad hoc que apoya la gestin tecnolgica y que se encarga de analizar en primera instancia los
requerimientos de las unidades y que estn relacionados con TI, para posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC, PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

La organizacin debe identicar y velar por el cumplimiento del marco jurdico que tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza. 1.7.1 Se elabor un Marco Jurdico bsico- de aplicacin en la CGR, el cual es de actualizacin permanente en trminos de leyes, normativa, resoluciones y contratos, entre otros, con el propsito de evitar posibles conictos legales que lleguen a ocasionar eventuales perjuicios econmicos y de otra naturaleza a la institucin. Ver documento NTP15 Marco Jurdico en Tecnologas de Informacin.
Captulo II
Planicacin y organizacin
Captulo II Planicacin y organizacin

2.1 Planicacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos mediante procesos de planicacin que logren el balance ptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes y emergentes. 2.1.1 El funcionamiento de las TI es centralizado y opera con base al Plan Estratgico Institucional, a cual se alinean el PETIC y el PTAC. 2.1.2 Los coordinadores patrocinadores de proyecto se renen peridicamente, convocados por la UTI, para compartir avances e integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio en el contexto del seguimiento trimestral y la evaluacin semestral y anual del PAO, en coordinacin con la UTI para establecer los ajustes que sean necesarios de aprobacin en las instancias superiores. La comisin ad hoc para el seguimiento del PETIC-PTAC conoce de los avances en los proyectos a efectos de recomendarle al CGTIC lo que corresponda. De todo este trabajo se llevan minutas por parte de los lderes y reportes de avance segn corresponda. 2.1.3 La comisin ad hoc tiene entre sus funciones la integracin y actualizacin de los planes de TI como apoyo a la gestin de TI.
2.2 Modelo de arquitectura de informacin

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de informacin de manera que se identique, capture y comunique, en forma completa, exacta y oportuna, slo la informacin que sus procesos requieren. 2.2.1 Se actualiz el modelo de Arquitectura de Informacin (MAI) tomando como insumo principal la nueva versin del manual general de scalizacin (MAGEFI). Esta versin del MAI est alineada al nuevo MAGEFI y dene el modelo a nivel de insumos, actividades y productos de los procesos de la CGR. Se continuar con su evolucin integral alineado al desarrollo de la documentacin de los procedimientos derivados de estos mismos procesos. El modelo de Arquitectura de Informacin sirve de base para actualizar el PTAC y ha sido divulgado para su utilizacin en la CGR. Ver documento NPT9 Modelo de Arquitectura de informacin y el Manual General de Fiscalizacin (MAGEFI).
2.3 Infraestructura tecnolgica

La organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI. 2.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI denido en el PETIC. Con base en este direccionamiento, anlisis de capacidad de TI, riesgos, y al monitoreo del entorno, se elabora el presupuesto y se realizan las compras relacionadas.
2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suciente, competente y a la que se le haya denido, de manera clara y formal, su responsabilidad, autoridad y funciones. 2.4.1 El PETIC garantiza una visin institucional y promueve la independencia funcional en el desarrollo de soluciones tecnolgicas. Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su independencia funcional se ve fortalecida por medio de una participacin directa del Despacho en distintas comisiones ad hoc enfocadas a la funcin de TI en la Institucin, por la existencia de una cartera de proyectos a desarrollar y la existencia del CGTIC. 2.4.2 La UTI mantiene una estructura orgnica actualizada y acorde con la gestin estratgica de TI. Cada uno de sus integrantes conoce muy bien sus obligaciones y responsabilidades. Su organizacin es plana y especializada por reas. 2.4.3 El equipo de trabajo de la UTI es personal muy calicado, competente, capacitacin. motivado y actualizado de acuerdo con el plan de
2.5 Administracin de recursos nancieros

La organizacin debe optimizar el uso de los recursos nancieros invertidos en la gestin de TI procurando el logro de los objetivos de esa inversin, controlando en forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte aplicable. 2.5.1 El presupuesto de inversiones de la UTI y sus modicaciones, se deriva del PTAC y es aprobado por el Despacho con base en las recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento al PETIC-PTAC.
Captulo III
Implementacin de tecnologas de informacin
Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planicacin, modelo de arquitectura de informacin e infraestructura tecnolgica. Para esa implementacin y mantenimiento debe: a. Adoptar polticas sobre la justicacin, autorizacin y documentacin de solicitudes de implementacin o mantenimiento de TI. 3.1.1 El desarrollo de nuevos proyectos requiere de la elaboracin de una cha que de manera simple indique sus alcances, objetivos, recursos, relaciones, tiempos estimados y factores crticos de xito. Esta solicitud representada por la cha compite con otros proyectos de inters de los patrocinadores. El ajuste de soluciones tecnolgicas por solicitud del patrocinador, requiere de un formulario de requerimientos. Ver documento NTP7 Metodologa para el desarrollo de proyectos de TIC. b. Establecer el respaldo claro y explcito para los proyectos de TI tanto del jerarca como de las reas usuarias. 3.1.2 Con base a la Metodologa para el desarrollo de proyectos de TIC; debidamente aprobada, se establece que el patrocinador de la solucin tecnolgica debe aportar los recursos necesarios para su desarrollo e implementacin. c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas. 3.1.3 Por medio de la implementacin de la Metodologa para el desarrollo de proyectos de TIC se obliga al Patrocinador a participar
activamente y con responsabilidades en el desarrollo e implementacin de la solucin. d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad. 3.1.4 Por medio de la implementacin de la Metodologa para el desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar un lder de proyecto con responsabilidades claras en el desarrollo e implementacin de la solucin. Ver documentos (designacin de patrocinadores de proyectos a partir del PTAC) en los archivos de la UTI. e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos. 3.1.5 La Metodologa para el desarrollo de proyectos establece como fase inicial un diagnstico de la solucin con posibles alternativas a evaluar para tomar la mejor decisin por parte del Patrocinador o bien el CGTIC. Ver documentos de diagnstico sobre proyectos PTAC, en el expediente de cada uno. f. Contar con una denicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo benecio. 3.1.6 Todas las soluciones tecnolgicas se desarrollan o se adquieren partiendo de requerimientos claros segn se establece en la Metodologa para el desarrollo de proyectos de TIC, considerando aspectos de control, seguridad y auditora.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos. 3.1.7 Con base a la cartera de proyectos y las prioridades establecidas por el CGTIC, se somete a la aprobacin del Despacho el presupuesto o asignacin de recursos adicionales de TI, que permitan cumplir con la ejecucin del PTAC. h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos. 3.1.8 Todos los proyectos de la CGR incorporan un anlisis de riesgos con el objetivo de administrarlos, para ello la Gua para desarrollo de proyectos de TI contempla los riesgos ms relevantes en materia de TI con el n de que sean valorados en cada proyecto. Ver documentos Informe mensual sobre proyectos PTAC. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios. 3.1.9 Si bien es cierto es sumamente difcil independizarse de proveedores de hardware y de software en trminos de que siempre se tendr que acudir a ellos; aunque sea para aplicar actualizacin de versiones, la CGR ha venido fortaleciendo a su personal de TI para que en un alto porcentaje se desempee de la forma ms independiente posible. 3.1.10 Nuestros estudios de capacidad, el anlisis del entorno, el conocimiento y la capacidad del personal de UTI nos permite seleccionar objetivamente la solucin tecnolgica ms adecuada para suplir las necesidades de la CGR.
3.2 Implementacin de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3.1 anterior. 3.2.1 Aplica prcticamente la totalidad de la norma indicada. b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la denicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post implantacin de la satisfaccin de los requerimientos. 3.2.2 Para estos efectos la UTI se apoya en la aplicacin de la Gua para desarrollo de proyectos de TI, la cual incluye todas las fases indicadas. c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementacin y mantenimiento de software. 3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se encuentran productivos y operando, uno para desarrollo de aplicaciones y otro para capacitacin y pruebas a realizar por los equipos de trabajo que se encuentran implementando software. La administracin de los permisos est bajo responsabilidad del administrador de base de datos (DBA) y del administrador de sistemas operativos en ausencia del DBA, segn se establece en la Metodologa para desarrollo de proyectos. d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin. 3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de Datos), con base al procedimiento establecido, debe contarse adems
con el Visto Bueno del patrocinador en todas sus fases y la asistencia del Lder Tcnico. Ver Metodologa para desarrollo de proyectos en TI. Que es un DBA e. Denir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos. 3.2.5 Generalmente los proveedores de software envan componentes para actualizar sus productos con nes de cerrar vulnerabilidades o de optimizar su producto, o se reciben va Internet. Estas actualizaciones son revisadas, probadas cuando es factible, y aplicadas por los especialistas en la materia. Respecto al software desarrollado localmente, previamente se debe validar y probar su adecuada funcionalidad; por parte del Lder Tcnico y los usuarios, en un ambiente de pruebas ya establecido. En relacin con los datos, estos deben ser modicados por el usuario autorizado en el sistema, la UTI no altera datos en sus sistemas. f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento. 3.2.6 Esta labor es compartida por el Coordinador de proyectos de la UTI, por el desarrollador del sistema y por el DBA, apoyndose en herramientas y bitcoras propias de Oracle a nivel de Aplicattion Server.
3.3 Implementacin de Infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual. 3.3.1 La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI denido en el PETIC. 3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para la actualizacin de la infraestructura necesaria para soportar el software, con base a las necesidades que se generan de los diagnsticos para desarrollo de soluciones tecnolgicas, del plan de capacidad, riesgos y del monitoreo del entorno. Ver plan en ejecucin y el proyectado para el prximo ao, 2010.
3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementacin o mantenimiento de software e infraestructura. Para lo anterior, debe: a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores. 3.4.1 Aplica todo lo relacionado a metodologas, guas, procedimientos, organizacin, controles y ambientes de trabajo, entre otros.
b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura. 3.4.2 Producto del plan de capacidad, monitoreo del entorno, obsolescencia tecnolgica y necesidades de TI, se somete a consideracin del comit Ad hoc y del CGTIC la contratacin de productos; debidamente justicados, as como el presupuesto necesario para su aprobacin y ejecucin, todo con base al plan de compras anual de TI derivado del PTAC. c. Contar con la debida justicacin para contratar a terceros la implementacin y mantenimiento de software e infraestructura tecnolgica. 3.4.3 Para la contratacin se requiere la aprobacin de la jefatura superior, quien a su vez debe tomar la decisin dependiendo de la necesidad, la justicacin y el presupuesto disponible. d. Establecer un procedimiento o gua para la denicin de los trminos de referencia que incluyan las especicaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas. 3.4.4 Se utiliza el estndar de la CGR para la elaboracin de carteles, en coordinacin con la Unidad de Gestin de Apoyo. Ver documentos (ejemplos de compras tpicas). e. Establecer, vericar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software. 3.4.5 Para toda solucin tecnolgica se establece un documento de requerimientos que deben satisfacerse para su aprobacin, mediante las pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento de pruebas aplicado en la adquisicin de la red inalmbrica entre otros.
f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia de la organizacin respecto de terceros contratados para la implementacin y mantenimiento de software e infraestructura tecnolgica. 3.4.6 En toda implementacin por tercerizacin, la UTI promueve un equipo de trabajo con funcionarios de la Unidad que absorban el conocimiento de la empresa contratada en esta materia, con nes de mantener la solucin operando una vez terminado el contrato.
Captulo IV
Prestacin de servicios y mantenimiento
Captulo IV Prestacin de servicios y mantenimiento

4.1 Denicin y administracin de acuerdos de servicio
La organizacin debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluacin del desempeo. Para ello deben: a. Tener una comprensin comn sobre: exactitud, oportunidad, condencialidad, autenticidad, integridad y disponibilidad b. c. Contar con una determinacin clara y completa de los servicios y sus atributos, y analizar su costo y benecio. d. e. Denir con claridad las responsabilidades de las partes y su sujecin a las condiciones establecidas. f. g. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin de cambios en ellos. h. i. Denir los criterios de evaluacin sobre el cumplimiento de los acuerdos. j. k. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con terceros. 4.1.1 Se denieron acuerdos de servicio a rmar con las distintas Gerencias de Divisin, incorporando servicios que faciliten la evaluacin de la funcin de TI y la delimitacin de responsabilidades hasta su vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.
4.2 Administracin y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. 4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se encuentran registrados 221 procedimientos asociados con la operacin de la plataforma y los responsables por recurso tecnolgico. b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin y mantener un registro de sus eventuales fallas. 4.2.2 Se cuenta con herramientas para monitoreo de la capacidad de TI en sus distintas funcionalidades y a partir de la implementacin del Sistema de Contingencias se estn registrando electrnicamente los eventos, su impacto y su solucin. Ver NTP13 Manual Plan de Capacidad en TI. c. Identicar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin y garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. 4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecucin de la cartera de proyectos, se inician los procedimientos de contratacin para la adquisicin de bienes y servicios informticos de acuerdo a la planicacin de compras generada desde el PTAC e incluidas en el PAO.
d. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar vericaciones fsicas peridicas. 4.2.4 Se mantiene bajo control de la UTI el registro de licencias adquiridas por la CGR, as como el medio fsico para su instalacin. En el Sistema de Contingencias se encuentran actualizados los recursos informticos disponibles en la infraestructura tecnolgica. 4.2.5 Se realiza peridicamente un control de inventarios de software instalado total o parcial mediante un programa especializado. Ver reportes electrnicos ms recientes con sus resultados. e. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. 4.2.6 El desarrollo de proyectos y actividades tecnolgicas se controlan mediante cronogramas de trabajo supervisados por los coordinadores de rea de la UTI; segn su especialidad, y mediante sesiones de seguimiento. Ver Metodologa para desarrollo de proyectos y cronogramas con corte al 30 de junio de 2009. f. Mantener separados y controlados los ambientes de desarrollo y produccin. 4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente separados y controlados. g. Brindar el soporte requerido a los equipos principales y perifricos. 4.2.8 El soporte requerido se brinda mediante contratos de mantenimiento preventivo y correctivo, garanta de funcionamiento, mantenimiento interno y por medio de contratacin directa de un proveedor si es necesario. Se utilizan como herramientas de apoyo los sistemas SOS y SCS.
h. Denir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin. 4.2.9 Se mantiene un plan de actividades para la generacin de respaldos diarios, semanales y mensuales, y un procedimiento para custodia interna y externa. Ver procedimientos registrados en el SCS. i. Controlar los servicios e instalaciones externos. 4.2.10 Mediante la administracin de los contratos y el monitoreo de los servicios contratados, se controla la buena ejecucin de los servicios e instalaciones externas.
4.3 Administracin de los datos

La organizacin debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones vlidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma ntegra y segura. 4.3.1 De acuerdo con los requerimientos de usuario se asegura la validez de las transacciones mediante funciones tecnolgicas integradas a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atencin de requerimientos de los usuarios de TI

La organizacin debe hacerle fcil al usuario el proceso para solicitar la atencin de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera ecaz, eciente y oportuna; y dicha atencin debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
4.4.1 La UTI tiene implementado un sistema de control de cambios que facilita al usuario la solicitud de ajustes o de incorporacin de nuevas funcionalidades a los sistemas que estn operando en la Institucin y disponiendo un sistema para auto servirse o registrar su requerimiento (Ver SOS), o realizando una llamada para registro o servicio remoto en lnea. La UTI atiende estos requerimientos en orden de urgencia, importancia, prioridad y mediante capacitacin dirigida.
4.5 Manejo de incidentes

La organizacin debe identicar, analizar y resolver de manera oportuna los problemas, errores e incidentes signicativos que se susciten con las TI. Adems, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario. 4.5.1 Todo tipo de situacin especial es analizada por funcionarios de la UTI en aras de lograr la mejor solucin y tratndose de incidentes o eventos, estos son registrados en los SCS o de SOS, para minimizar el riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de que se materialice de nuevo.
4.6 Administracin de servicios prestados por terceros

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eciente. Con ese n, debe: a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. 4.6.1 Los roles se establecen desde que se inicia el procedimiento de contratacin y se verican para efectos de establecer responsabilidades con la confeccin del contrato y la reunin inicial de trabajo con el proveedor de bienes y servicios de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. 4.6.2 En lo que respecta a servicios de terceros, se establecen los requerimientos como parte del contrato, ya sea en clusulas especcas o anexos del mismo, aplicando buenas prcticas. Ver ejemplos de contrato. c. Vigilar que los servicios contratados sean congruentes con las polticas relativas a calidad, seguridad y seguimiento establecidas por la organizacin. 4.6.3 La UTI mantiene coordinadores por rea funcional que se encargan de administrar los contratos de sus respectivos proveedores, asegurando la calidad del producto contratado y su congruencia con los estndares manuales y lineamientos o directrices institucionales. Ver asignacin de coordinaciones en expedientes de UTI. d. Minimizar la dependencia de la organizacin respecto de los servicios contratados a un tercero. 4.6.4 La UTI logra este objetivo por medio de conformar equipos de trabajo en donde se incluye la contraparte que absorber los conocimientos necesarios para la continuidad de la solucin tecnolgica contratada. e. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados. 4.6.5 Se conforman grupos anes a la solucin tecnolgica para que veriquen la calidad del producto contratado y por medio del administrador del contrato se le da seguimiento al cumplimiento y calidad del mismo.
Captulo V
Seguimiento
Captulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que dena el alcance, la metodologa y los mecanismos para vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso. 5.1.1 La organizacin cuenta con un marco de referencia que es el Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo de Arquitectura de Informacin, el Manual General de Fiscalizacin (MAGEFI) como un marco de procesos, la Auditora Interna como un elemento de advertencia y asesora y una Unidad de Gobierno Corporativo que se encarga de darle seguimiento a la funcin de TI; adems del CGTIC y la comisin Ad hoc.
5.2 Seguimiento y evaluacin del control interno en TI

El jerarca debe establecer y mantener el sistema de control interno asociado con la gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas. 5.2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC y al PAO, adems de que todos los funcionarios de la institucin se convierten en controladores de la buena operacin de la tecnologa en uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al cumplimiento del PTAC.
5.3 Participacin de la Auditora Interna

La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organizacin proporcione una garanta razonable del cumplimiento de los objetivos en esa materia. 5.3.1 Esta es una labor que se mantiene muy bien ejecutada por la Auditora Interna de la CGR, suministrando recomendaciones de valor agregado para el fortalecimiento del control interno. Ver informes recientes 2007-2009 y ocios de atencin de recomendaciones.
Productos elaborados
A continuacin se indican los productos elaborados durante la puesta en marcha de las Normas Tcnicas.
Productos generados durante el proceso

Producto NTP0-Diagnstico Inicial NTP1-Cronograma de implementacin NTP2-Plan de Implementacin NTP3-Evaluacin de riesgos en TI NTP4-Instrumento metodolgico MAI NTP5-Diagnstico Inicial MAI NTP6-Informe de gestin 2008-01 NTP7-Metodologa para el desarrollo de Proyectos en TI NTP8-Marco General para la gestin de calidad en TI NTP9-Modelo de Arquitectura de informacin NTP10-Marco de Seguridad en TI Fecha Dic. 2007 Ene.2008 Ene.2008 Mar.2008 Jun.2008 Jun.2008 Jul.2008 Jul. 2008 Ene.2009 Mar.2009 May.2009
NTP11-Mapeo Elctrico NTP12-Plan continuo de capacitacin NTP13-Plan de la Capacidad en TI NTP14-Acuerdo de Nivel de Servicio NTP15-Marco Jurdico en TI NTP16-Informe de gestin 2009-01
Jun.2009 Jun.2009 Jun.2009 Jun.2009 Jul.2009 Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contralora General de la Repblica ha logrado un cumplimiento razonable de la normativa, generando un conjunto de productos que le servirn de base para evolucionar a modelos de madurez superiores a los actuales. Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y lo que se tiene, evolucionar la Arquitectura de Informacin en paralelo al avance del Manual General de Fiscalizacin (MAGEFI), aplicar algunos de los productos como el Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos, aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009, los productos obtenidos; as como denir responsables de cada uno de ellos. Finalmente, garantizar un adecuado seguimiento de la implementacin de estos productos.
Anexo - NTP0
Diagnostico Inicial
Normas tcnicas para la gestin y control de las tecnologas de informacin Diagnstico Inicial
Introduccin Con base al anlisis grupal realizado por los coordinadores de las diferentes reas de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las normas tcnicas el producto esperado y las acciones a realizar para cerrar la brecha que pudiese existir entre la situacin actual y lo requerido por las normas tcnicas. Cuando las acciones son de ndole normales; es decir operativas, se indica con la frase: Labor Permanente y no se incluyen en el cronograma. Los coordinadores de la USTI son: Joaqun Gutirrez (Seguridad, redes, telefona), Maureen Pea (Plataforma de micros), Johnny Umaa (Plataforma de Servidores), Jorge Len (Desarrollo y Evolucin de Sistemas). En adicin, Maureen asiste a la jefatura de Unidad en la elaboracin de carteles, seguimiento, y compra de bienes y servicios tecnolgicos. Este documento es la base para la elaboracin del cronograma plurianual que estar siendo ejecutado hasta el 30 de junio del 2009.
Captulo I Normas de Aplicacin General

1.1 Marco estratgico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prcticas cotidianas de la organizacin, mediante un proceso continuo de promulgacin y divulgacin de un marco estratgico constituido por polticas organizacionales que el personal comprenda y con las que est comprometido.
Situacin actual
Se reformul el campo de accin E. Se elabor un nuevo Plan Estratgico (PETIC). Se elabor un Plan Tctico con los proyectos a desarrollar.
Producto
Plan de divulgacin del campo de accin E, PETIC y PTAC.
Acciones
El Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC) debe establecer o aprobar las prioridades para el desarrollo de proyectos recomendados en el PTAC. Planicar una charla sobre el PTAC para el mes de febrero a Jefaturas, una para la USTI, y dos para funcionarios.

La organizacin debe responder adecuadamente a las amenazas que puedan afectar la gestin de las TI mediante una gestin continua de riesgos que est integrada al sistema especco de valoracin del riesgo institucional y considere el marco normativo que le resulte aplicable.
Situacin actual
Aplicacin del SEVRI a nivel institucional, no se tiene un Unidad u ocina responsable del seguimiento y rectora relacionado con la gestin de riesgos.
Producto
Unicacin de esfuerzos relacionados con la administracin de riesgos que puedan afectar las TICs, divulgar an ms el SEVRI, y gestionar riesgos por Unidad con base a un manual o sistema de riesgos denido. Se recomienda la creacin de una ocina rectora que dicte; institucionalmente, las polticas sobre riesgos.
Acciones
Capacitacin a coordinadores de la USTI. Integrar reas relacionadas (Caso de administracin de planta elctrica y UPS) Evaluacin y actualizacin trimestral de riesgos que afecten las TICs.

La organizacin debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eciencia y mejoramiento continuo.
Situacin actual
Se realizan pruebas de calidad sobre los sistemas de informacin y se validan contra los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opcin de que el usuario registre su calicacin sobre el servicio brindado para valorar la gestin de la USTI y el mejoramiento continuo.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas y generacin de mtricas sobre la calidad de los productos y servicios brindados por la USTI, con el objetivo de planicar para el mejoramiento continuo de TI.
Acciones
Encuestas de satisfaccin, son permanentes producto del registro que realiza el usuario. Labor permanente. Denir parmetros y mtricas para evaluar calidad por cada tipo de servicio. Aplicacin peridica de mtricas. Labor permanente. Fortalecer; institucionalmente, el registro de solicitudes de servicio en el sistema de informacin. (Charlas, circulares, registro obligado para atender solicitud). Labor permanente.

La organizacin debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los trminos de calidad, tiempo y presupuesto ptimos preestablecidos.
Producto
Aplicacin institucional de la Gua Metodolgica para desarrollo de sistemas.
Acciones
Aprobacin de la Gua Metodolgica actualizada. Fortalecer la administracin de proyectos con los patrocinadores. Labor permanente. Seguimiento y control sobre los proyectos por parte de la USTI. Labor permanente.
1.5 Gestin de la Seguridad de la informacin

La organizacin debe garantizar, de manera razonable, la condencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, divulgacin o modicacin no autorizados, dao o prdida u otros factores disfuncionales. Para ello debe documentar e implementar una poltica de seguridad de la informacin y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relacin con los siguientes aspectos: La implementacin de la seguridad de la informacin. El compromiso del personal con la seguridad de la informacin. La seguridad fsica y ambiental. La seguridad en la operacin y comunicacin. El control de acceso. La seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica. La continuidad de los servicios de TI. Adems debe establecer las medidas de seguridad relacionadas con: El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos. El manejo de la documentacin. La terminacin normal de contratos, su rescisin o resolucin. La salud y seguridad del personal. Las medidas o mecanismos de proteccin que se establezcan deben mantener una proporcin razonable entre su costo y los riesgos asociados.
Situacin actual
La informacin se mantiene restringida para el acceso de aquellos debidamente autorizados, se tiene muy buena seguridad fsica y ambiental, control sobre el acceso del personal y de terceros, as como sobre la implementacin de software, y en el manejo de la comunicacin.
Producto
Manual de seguridad y utilizacin de las TIC, recin aprobado por el Consejo Consultivo.
Acciones
Divulgacin del Manual de Seguridad. (Correos, dos charlas en febrero, cpsulas tecnolgicas)
1.5.1 Implementacin de la seguridad de la informacin

La organizacin debe implementar un marco de seguridad de la informacin, para lo cual debe: a. Establecer un marco metodolgico que incluya la clasicacin de los recursos de TI, segn su criticidad, la identicacin y evaluacin de riesgos, la elaboracin e implementacin de un plan para el establecimiento de medidas de seguridad, la evaluacin peridica del impacto de esas medidas y la ejecucin de procesos de concienciacin y capacitacin del personal. b. Mantener una vigilancia constante sobre todo el marco de seguridad y, denir y ejecutar peridicamente acciones para su actualizacin. c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la organizacin como de terceros relacionados.
Situacin actual
Se tienen los recursos clasicados por criticidad, as como una evaluacin de riesgos, y un plan de implementacin de la seguridad. Se realizan los anlisis de comportamiento de la seguridad constantemente y se debe fortalecer la capacitacin del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementacin de las medidas de seguridad en tecnologas de informacin, y plan de capacitacin institucional actualizados.
Acciones
Actualizar los niveles de criticidad por recurso de TI. Actualizar plan de implementacin de las medidas de seguridad. Actualizar plan de capacitacin interna en seguridad. Incorporar seguridad en TI como parte de la Induccin a nuevos funcionarios.
1.5.2 Compromiso del personal con la seguridad de la informacin

El personal de la organizacin debe conocer y estar comprometido con las regulaciones sobre seguridad y condencialidad con el n de reducir los riesgos de error humano, robo, fraude o uso inadecuado de los recursos de TI. Para ello, el jerarca, por s o mediante el funcionario que designe al efecto, debe: a. Informar y capacitar a los empleados sobre sus responsabilidades en materia de seguridad, condencialidad y riesgos asociados con el uso de las TI. b. Implementar mecanismos para vigilar el debido cumplimiento de dichas responsabilidades.
c. Establecer, cuando corresponda, acuerdos de condencialidad y medidas de seguridad especcas relacionadas con el manejo de la documentacin y rescisin de contratos.
Situacin actual
Se tiene un manual de directrices sobre tecnologas de informacin en uso, y se est planicando la divulgacin de su reciente actualizacin aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas peridicas, y cpsulas tecnolgicas a todo el personal.
Acciones
Plan de divulgacin. Impartir charlas.
1.5.3 Seguridad fsica y ambiental

La organizacin debe proteger los recursos de TI estableciendo un ambiente fsico seguro y controlado, con medidas de proteccin sucientemente fundamentadas en polticas vigentes y anlisis de riesgos. Como parte de esa proteccin debe considerar: a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o reas de trabajo, proteccin de ocinas, separacin adecuada de reas. b. La ubicacin fsica segura de los recursos de TI. c. El ingreso y salida de equipos de la organizacin. d. El debido control de los servicios de mantenimiento.
e. Los controles para el desecho y reutilizacin de recursos de TI. f. La continuidad, seguridad y control del suministro de energa elctrica y del cableado de datos g. El acceso de terceros. h. Los riesgos asociados con el ambiente.
Situacin actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se encuentran ubicados en un ambiente bastante seguro, se cuenta con planta elctrica y unidades de poder para suministro de energa elctrica constante, y la denicin de riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicacin de los puntos anteriores, y un plan de compras si se requiere.
Acciones
Documentar los procedimientos y controles. Denir plan de accin.
1.5.4 Seguridad en la operacin y comunicacin

La organizacin debe implementar las medidas de seguridad relacionadas con la operacin de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacin. Para ello debe:
a. Implementar los mecanismos de control que permitan asegurar la no negacin, la autenticidad, la integridad y la condencialidad de las transacciones y la transferencia o intercambio de informacin. b. Establecer procedimientos para proteger la informacin almacenada en cualquier tipo de medio jo o removible (papel, cintas, discos, otros medios), incluso los relativos al manejo y desecho de esos medios. c. Establecer medidas preventivas, detectivas y correctivas con respecto a software malicioso o virus.
Situacin actual
Se mantienen medidas de seguridad muy efectivas, las cuales podran ser fortalecidas con la puesta en marcha de la rma digital en coordinacin con el Banco Central. Se tienen procedimientos para la proteccin de la informacin almacenada en los medios magnticos bajo control y custodia de la USTI. Se cuenta con medidas altamente preventivas y correctivas contra software malicioso o virus.
Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo el software necesario. Mantener software de seguridad actualizado.
Acciones
Continuar con la gestin que se viene realizando al respecto. Implementar rma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso

La organizacin debe proteger la informacin de accesos no autorizados.
Para dicho propsito debe: a. Establecer un conjunto de polticas, reglas y procedimientos relacionados con el acceso a la informacin, al software de base y de aplicacin, a las bases de datos y a las terminales y otros recursos de comunicacin. b. Clasicar los recursos de TI en forma explcita, formal y uniforme de acuerdo con trminos de sensibilidad. c. Denir la propiedad, custodia y responsabilidad sobre los recursos de TI. d. Establecer procedimientos para la denicin de perles, roles y niveles de privilegio, y para la identicacin y autenticacin para el acceso a la informacin, tanto para usuarios como para recursos de TI. e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las polticas de la organizacin bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la informacin son responsables de denir quines tienen acceso a la informacin y con qu limitaciones o restricciones. f. Implementar el uso y control de medios de autenticacin (identicacin de usuario, contraseas y otros medios) que permitan identicar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompaarse de un procedimiento que contemple la requisicin, aprobacin, establecimiento, suspensin y desactivacin de tales medios de autenticacin, as como para su revisin y actualizacin peridica y atencin de usos irregulares. g. Establecer controles de acceso a la informacin impresa, visible en pantallas o almacenada en medios fsicos y proteger adecuadamente dichos medios. h. Establecer los mecanismos necesarios (pistas de auditora) que permitan un adecuado y peridico seguimiento al acceso a las TI. i. Manejar de manera restringida y controlada la informacin sobre la seguridad de las TI.
Situacin actual
Se tienen polticas sobre el acceso a la informacin pero deben ser documentadas y fortalecidas en funcin de las normas tcnicas, documentar la propiedad y custodia de los recursos de TI, se tienen procedimientos para asignacin de roles con sus niveles de privilegios y la autenticacin de los usuarios, y los controles de acceso a la informacin.
Producto
Procedimientos y poltica de acceso a la informacin, actualizados.
Acciones
Centro de Operaciones con el control de roles y asignacin de passwords. Ocializar responsables de la informacin (Sistemas). Actualizar procedimientos de acceso a la informacin. Activar Log Miner como herramienta para anlisis de manipulacin de datos y modicaciones a programas fuente.
1.5.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica

La organizacin debe mantener la integridad de los procesos de implementacin y mantenimiento de software e infraestructura tecnolgica y evitar el acceso no autorizado, dao o prdida de informacin. Para ello debe: a. Establecer obligatoriamente la denicin previa de requerimientos de seguridad que deben ser implementados como parte del software e infraestructura.
b. Contar con procedimientos claramente denidos para el mantenimiento y puesta en produccin del software e infraestructura. c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de desarrollo o mantenimiento y de produccin. d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situacin actual
Se tienen ms de 150 procedimientos documentados y un plan de requerimientos de seguridad para los prximos tres aos, as como ambientes separados para los ambientes de desarrollo y produccin, y control sobre los programas fuentes y los datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
Revisar documentacin, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI

La organizacin debe mantener una continuidad razonable de sus procesos y su interrupcin no debe afectar signicativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en prctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organizacin, la valoracin e impacto de los riesgos y la clasicacin de sus recursos de TI segn su criticidad.
Situacin actual
Se tiene ms de 150 procedimientos actualizados que facilitan la continuidad de los servicios, se deben documentar los eventos que se presenten para crear base de conocimientos, y denir los esquemas de continuidad.
Producto
Procedimientos de recuperacin e instalacin actualizados e integrados, y eventos documentados.
Acciones
Mantener procedimientos actualizados y funcionales. Labor permanente. Documentar eventos preventivos y correctivos, y cambios a la plataforma. Denir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratgicos de TI

El jerarca debe apoyar sus decisiones sobre asuntos estratgicos de TI en la asesora de una representacin razonable de la organizacin que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignacin de recursos y a la adecuada atencin de los requerimientos de todas las unidades de la organizacin.
Situacin actual
Se tiene un CGTIC que es convocado peridicamente.
Producto
Comit Gerencial de Tecnologas de Informacin y Comunicacin activo.
Acciones
Convocar peridicamente al CGTIC.

La organizacin debe identicar y velar por el cumplimiento del marco jurdico que tiene incidencia sobre la gestin de TI con el propsito de evitar posibles conictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
Situacin actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a equipos, as como restricciones tcnicas para el uso de software no licenciado.
Producto
Marco Jurdico con incidencia en TI disponible y actualizado.
Acciones
ptima gestin de contratos. Labor permanente. Uso institucional de slo las licencias contratadas. Labor permanente.
Captulo II Planicacin y Organizacin

2.1 Planicacin de las tecnologas de informacin
La organizacin debe lograr que las TI apoyen su misin, visin y objetivos estratgicos mediante procesos de planicacin que logren el balance ptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologas existentes y emergentes.
Situacin actual
Se tienen planes muy bien denidos que facilitan la planicacin.
Producto
PETIC, PTAC, Compromisos de gestin y PAO alineados a la estrategia.
Acciones
Mantener actualizados los planes. Labor permanente.

La organizacin debe optimizar la integracin, uso y estandarizacin de sus sistemas de informacin de manera que se identique, capture y comunique, en forma completa, exacta y oportuna, slo la informacin que sus procesos requieren.
Situacin actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de informacin, y se cuenta con un diccionario de datos al cual se le deben agregar reglas de sintaxis para cada dato.
Producto
Arquitectura de Informacin actualizada
Acciones
Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA). Denir ujos de informacin. Documentar las reglas de sintaxis de los datos. Actualizar diccionario de datos con reglas de sintaxis. Actualizar Arquitectura de Informacin.

La organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI.
Situacin actual
Se tiene una infraestructura tecnolgica muy actualizada y optimizada para las funciones de la CGR.
Producto
Infraestructura tecnolgica optimizada y actualizada.
Acciones
Mantener actualizada la infraestructura. Labor permanente.
2.4 Independencia y recurso humano de la Funcin de TI

El jerarca debe asegurar la independencia de la Funcin de TI respecto de las reas usuarias y que sta mantenga la coordinacin y comunicacin con las dems dependencias tanto internas y como externas. Adems, debe brindar el apoyo necesario para que dicha Funcin de TI cuente con una fuerza de trabajo motivada, suciente, competente y a la que se le haya denido, de manera clara y formal, su responsabilidad, autoridad y funciones.
Situacin actual
Al depender en el ltimo ao directamente del Despacho, los logros han sido altamente satisfactorios, producto de mantener una independencia funcional que ha facilitado la puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
Denir independencia funcional de la USTI. Mantener independencia. Ejecutar el plan de capacitacin. (DNC). Labor permanente.
2.5 Administracin de recursos nancieros

La organizacin debe optimizar el uso de los recursos nancieros invertidos en la gestin de TI procurando el logro de los objetivos de esa inversin, controlando en forma efectiva dichos recursos y observando el marco jurdico que al efecto le resulte aplicable.
Situacin actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades tecnolgicas de la institucin; someter a la consideracin del CGTIC, y con base a sus recomendaciones someterlo a la aprobacin del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
Someter el plan de inversiones a la aprobacin del Despacho por recomendacin del CGTIC.
Captulo III Implementacin de tecnologas de informacin

3.1 Consideraciones generales de la implementacin de TI
La organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planicacin, modelo de arquitectura de informacin e infraestructura tecnolgica. Para esa implementacin y mantenimiento debe: a. Adoptar polticas sobre la justicacin, autorizacin y documentacin de solicitudes de la implementacin o mantenimiento de TI. b. Establecer el respaldo claro y explcito para los proyectos de TI tanto por parte de las reas usuarias como del jerarca. c. Garantizar la participacin activa de las unidades o reas usuarias, las cuales deben tener una asignacin clara de responsabilidades y aprobar formalmente las implementaciones realizadas. d. Instaurar lderes de proyecto con una asignacin clara, detallada y documentada de su autoridad y responsabilidad. e. Analizar alternativas de solucin de acuerdo con criterios tcnicos, econmicos, operativos y jurdicos, y lineamientos previamente establecidos. f. Contar con una denicin clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditora bajo un contexto de costo benecio. g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos econmicos, tcnicos y humanos requeridos. h. Formular y ejecutar estrategias de implementacin que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los trminos de tiempo y costo preestablecidos. i. Promover su independencia de proveedores de hardware, software, instalaciones y servicios.
Situacin actual
Para el desarrollo de proyectos se utiliza la Gua Metodolgica la cual cubre los puntos de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne a reparacin de equipos, lo cual se cubre va contratos de mantenimiento.
Producto
Gua Metodolgica para desarrollo de sistemas aplicada institucionalmente.
Acciones
Aplicacin de la Gua Metodolgica para desarrollo de sistemas. Labor permanente. Participacin muy activa de los patrocinadores. Labor permanente. Capacitacin de funcionarios de USTI. Labor permanente.
3.2 Implementacin de software

La organizacin debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: a. Observar lo que resulte aplicable de la norma 3.1 anterior. b. Desarrollar y aplicar un marco metodolgico que gue los procesos de implementacin y considere la denicin de requerimientos, los estudios de factibilidad, la elaboracin de diseos, la programacin y pruebas, el desarrollo de la documentacin, la conversin de datos y la puesta en produccin, as como tambin la evaluacin post-implantacin de la satisfaccin de requerimientos. c. Establecer los controles y asignar las funciones, responsabilidades y mantenimiento de software. y permisos de acceso al personal a cargo de las labores de implementacin
d. Controlar la implementacin del software en el ambiente de produccin y garantizar la integridad de datos y programas en los procesos de conversin y migracin. e. Denir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorizacin, registro, supervisin y evaluacin tcnica, operativa y administrativa de los resultados de esos cambios y accesos. f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.
Situacin actual
Se cuenta con ambientes de pruebas y produccin muy bien denidos, procedimientos de instalacin de software y control de versiones, migracin de datos, y la procedencia e importancia de los cambios. Se debe establecer un procedimiento para control de cambios.
Producto
Software en uso de acuerdo con las necesidades de la institucin.
Acciones
Revisar y documentar los criterios de aplicacin de cambios.
3.3 Implementacin de infraestructura tecnolgica

La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual.
Situacin actual
La USTI ha contado con el apoyo del Despacho para la adquisicin razonable de las tecnologas necesarias para mantener una infraestructura tecnolgica optimizada y acorde con las necesidades de la CGR.
Producto
Infraestructura tecnolgica ptima y actualizada.
Acciones
Inversiones para mantener actualizada la infraestructura de soporte a la arquitectura de informacin institucional, incluye plan vivo de actualizacin y compras. Labor permanente.
3.4 Implementacin de software e infraestructura contratada a terceros

La organizacin debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementacin o mantenimiento de software e infraestructura. Para lo anterior, debe: a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores. b. Establecer una poltica relativa a la contratacin de productos de software e infraestructura. c. Contar con la debida justicacin para contratar a terceros. d. Establecer un procedimiento o gua para la denicin de los trminos de referencia que incluyan las especicaciones y requisitos o condiciones requeridas o aplicables, as como para la evaluacin de ofertas. e. Establecer, vericar y aprobar formalmente los criterios, trminos y conjunto de pruebas de aceptacin de lo contratado; sean instalaciones, hardware o software.
f. Implementar un proceso de transferencia tecnolgica que minimice la dependencia del tercero que presta el servicio.
Situacin actual
Para la contratacin de los bienes y servicios de TI se consideran las ltimas especicaciones, los cambios tecnolgicos, las necesidades de la CGR y las experiencias que se han tenido; los resultados han sido muy buenos. Para la aceptacin del objeto contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es del conocimiento de los proveedores, y se considera la transferencia tecnolgica para mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener poltica para contratacin de bienes y servicios en TI. h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del proveedor. i. Continuar con el proceso de transferencia de conocimientos establecido para la tecnologa adquirida. Todas son labores permanentes. j.
Captulo IV Prestacin de servicios y mantenimiento

4.1 Denicin y administracin de acuerdos de servicios
La organizacin debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Funcin de TI segn sus capacidades. El jerarca y la Funcin de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluacin del desempeo. Para ello deben:
a. Tener
una
comprensin
comn
sobre:
exactitud,
oportunidad,
condencialidad, autenticidad, integridad y disponibilidad. b. Contar con una determinacin clara y completa de los servicios y sus atributos, y analizar su costo y benecio. c. Denir con claridad las responsabilidades de las partes y su sujecin a las condiciones establecidas. d. Establecer los procedimientos para la formalizacin de los acuerdos y la incorporacin de cambios en ellos. e. Denir los criterios de evaluacin sobre el cumplimiento de los acuerdos. f. Revisar peridicamente los acuerdos de servicio, incluidos los contratos con terceros.
Situacin actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene claridad con respecto a disponibilidad, condencialidad e integridad de la ellos. Es conveniente documentar los acuerdos y la forma de evaluacin que se estara realizando para cada servicio.
Producto
Polticas aplicadas en la contratacin de terceros.
Acciones
Actualizacin de polticas en los contratos que se celebren. Documentar acuerdos de servicio y forma de evaluacin.
4.2 Administracin y operacin de la plataforma tecnolgica

La organizacin debe mantener la plataforma tecnolgica en ptimas condiciones, minimizar su riesgo de fallas y proteger la integridad del software y de la informacin. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. b. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin, mantener un registro de sus eventuales fallas, identicar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin, garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. c. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar vericaciones fsicas peridicas. d. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. e. Mantener separados y controlados los ambientes de desarrollo y produccin. f. Brindar el soporte requerido a los equipos principales y perifricos. g. Controlar los servicios e instalaciones externos.
h. Denir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin.
Situacin actual
Se tienen documentados todos los procedimientos para el mantenimiento de la plataforma tecnolgica, excepto la solucin telefnica que se tiene parcial. La plataforma est siendo monitoreada constantemente y con base a su comportamiento se ana, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los componentes, ambiente separados para desarrollo y produccin, rutinas y polticas de respaldo, y control sobre la ejecucin de trabajos.
Producto
Diagnstico anual sobre la capacidad de las tecnologas en uso y el crecimiento proyectado.
Acciones
Planicar y ejecutar un anlisis anual de capacidad en TI. Mantener procedimientos documentados y operativos. (Solucin telefnica) Efectuar gestin de tecnologas ecientemente. Todas son labores permanentes.

La organizacin debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones vlidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma ntegra y segura.
Situacin actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada una de las unidades relacionadas con los sistemas. Es necesario denir una poltica para desechar datos, de comn acuerdo con los patrocinadores de los sistemas, vericando la existencia de los procedimientos adecuados.
Producto
Sistemas de informacin actualizados mediante procedimientos ociales.
Acciones
Denir poltica para desechar datos, asegurando la existencia de procedimientos ociales para la actualizacin de sistemas de informacin. Mantener la bitcora para registro y control de acceso activa. Utilizar la herramienta de software Log Miner para anlisis de bitcoras.
4.4 Asistencia y asesoramiento a los usuarios de TI

La organizacin debe resolver en forma centralizada, oportuna y eciente las necesidades que enfrente el usuario al utilizar las TI. Su atencin debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
Situacin actual
Se imparte capacitacin para un mejor aprovechamiento de los sistemas en uso, y se capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de informacin.
Acciones
Continuar con la capacitacin a usuarios en el uso de los sistemas. Fortalecer cultura en TICs va charlas, cpsulas tecnolgicas y cursos. Labor permanente.

La organizacin debe identicar, analizar y resolver de manera oportuna los problemas, errores e incidentes signicativos que se susciten con las TI. Adems, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.
Situacin actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento para la mejora continua.
Producto
Mantener el registro y documentacin de incidentes actualizado.
Acciones
Continuar con la resolucin de incidentes cada vez que se presenten, manteniendo un registro documentado de los mismos para minimizar el riesgo de incidencia y fortalecer los conocimientos. Labor permanente.
4.6 Administracin de servicios prestados por terceros

La organizacin debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eciente. Con ese n, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. c. Vigilar que los servicios contratados sean congruentes con sus polticas relativas a calidad, seguridad y seguimiento. d. Asignar a un responsable con las competencias necesarias que evale peridicamente la calidad y cumplimiento oportuno de los servicios contratados.
Situacin actual
Los contratos son administrados; segn rea de trabajo, por los coordinadores respectivos.
Producto
Administracin de contratos con nfasis en clusulas sobre responsabilidades, claras y aplicables.
Acciones
Mantener la administracin efectiva de contratos, va coordinadores.
Captulo V Seguimiento
La organizacin debe asegurar el logro de los objetivos propuestos como parte de la gestin de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que dena el alcance, la metodologa y los mecanismos para vigilar la gestin de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso.
Situacin actual
Se tiene un marco de referencia clara, siendo necesaria la denicin del proceso de seguimiento para vigilar la gestin de TI. Se propone una rendicin de cuentas peridica.
Producto
PETIC, PTAC, Compromisos de Gestin y PAO totalmente alineados.
Acciones
Rendicin de cuentas peridica ante el CGTICS. Labor permanente.

El jerarca debe establecer y mantener el sistema de control interno asociado con la gestin de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas.
Situacin actual
El sistema de control interno se aplica sobre la gestin de TI, y se aplican medidas correctivas en funcin de las excepciones que se presenten.
Producto
Gestin de control interno en TICs asociado al sistema institucional.
Acciones
Mantener la gestin de TI asociada al sistema institucional. Labor permanente.
5.3 Participacin de la Auditora Interna

La actividad de la Auditora Interna respecto de la gestin de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organizacin proporcione una garanta razonable del cumplimiento de los objetivos en esa materia.
Situacin actual
Se solicita asesora a la AI cada vez que se considera de provecho para el desarrollo y ejecucin de proyectos.
Producto
Auditora interna con amplios conocimientos sobre la gestin de TI
Acciones
Participacin consultora de la Auditora Interna en desarrollos de TI. Labor permanente.
Conclusin
De acuerdo con los anlisis realizados, es totalmente viable y factible cumplir con la normativa en el plazo establecido, siendo la actualizacin del modelo para la
Arquitectura de Informacin la actividad ms larga del proyecto y de nalizacin en el 2009. Las fechas recomendadas estaran inuyendo en el desarrollo de sistemas y otros proyectos de TI. Es urgente la denicin de prioridades en el desarrollo de sistemas por parte del CGTIC.
Anexo - NTP2
Cronograma de Implementacin

Apndice #3 Cronograma estimado par al ejecucin del plan de implementacin
El siguiente cronograma muestra los plazos estimados de las actividades generales que permitirn obtener un nivel de cumplimiento razonable con las normas tcnicas. Este instrumento detalla solamente las normas para las cuales la Comisin consider aplicar esfuerzos de mejoramiento.
Cronograma de implementacin de Normas Tcnicas TI

Acciones a realizar por cada norma I Semestre 1.1 Marco estratgico de TI Plan de divulgacin PETIC y PTAC, Campo E. 1.2 Gestin de Riesgos Definicin de riesgos tecnolgicos e institucionales Valorar y actualizar los riesgos TIC 1.3 Gestin de la Calidad Elaborar el manual de gestin de calidad Desarrollar el sistema de registro, medicin y control 1.4 Gestin de Proyectos Adaptar y aplicar la gua metodolgica 1.5 Gestin de la Seguridad Aplicar las directrices de seguridad Desarrollar directrices de seguridad complementarias Divulgar el marco de seguridad de TIC Coordinar las directrices con la valoracin de riesgos 1.6 Decisiones sobre asuntos estratgicos 1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI Dar seguimiento al marco jurdico de TI 2.1 Planificacin de las tecnologas de informacin Validar el plan tctico con el CGTIC 2.2 Modelo Arquitectura de Informacin Desarrollar el modelo de arquitectura 2.3 Infraestructura tecnolgica Dar seguimiento al entorno tecnolgico 2.4 Independencia y recurso humano TIC Integrar servicios y funciones de TIC 2.5 Administracin de recursos financieros Aprobar el plan de inversiones (CGTIC) 3.1 Implementacin de TI Aplicar gua metodolgica para proyectos Capacitar en gestin de proyectos 3.2 Implementacin de software Aplicar gua metodolgica para proyectos de desarrollo de sistemas Revisar y documentar los criterios de aplicacin 3.3 Implementacin de la infraestructura tecnolgica Dar seguimiento al entorno tecnolgico 3.4 Implementacin de software e infraestructura contratada a terceros Agregar procedimientos de outsourcing a la gua de proyectos Actualizar la poltica para contratacin 4.1 Definicin y administracin de acuerdos de servicio Elaborar y actualizar el catlogo de servicios 4.2 Administracin y operacin de la plataforma tecnolgica Desarrollar diagnstico de capacidad 4.3 Administracin de los Datos Elaborar procedimientos de procesamiento de transacciones Implementar sistema de contingencias 4.4 Asistencia y asesoramiento a los usuarios de TI Implementar plan de capacitacin de TI Establecer la funcin de atencin de usuarios centralizada Implantar los procedimientos para atencin usuarios 4.5 Manejo de incidentes Mejorar los criterios de significancia 4.6 Administracin de servicios prestados por terceros Agregar procedimientos de outsourcing a la gua de proyectos Actualizar la poltica para contratacin 5.1 Seguimiento de los procesos de TI 5.2 Seguimiento y evaluacin de control interno Revisar y mejorar continuamente el CI 5.3 Participacin de la auditoria interna Aprovechar oportunidades de asesora Programar auditorias de TI 2008 II Semestre 2009 I Semestre
Anexo - NTP3
Evaluacin de Riesgos en Tecnologas de Informacin
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de proyectos, la proyeccin de la formacin y perl del personal de la CGR en los temas tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado con los objetivos de la institucin. En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de TI. Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras distribuidas dentro de la organizacin y en los grupos externos de scalizacin. Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento en red; conectadas con bra a servidores, con capacidades en disco de 500 GB y de 700 GB, con una ocupacin total cercana al 70% de su espacio total. Adems, dispone de servidores para la ejecucin de programas de seguridad, monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las necesidades y prioridades que se deriven de la insercin tecnolgica deseada. Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad para enlazar a los funcionarios con sistemas de informacin automatizados, correo electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnolgicas en la gestin de la scalizacin. Adems, se utiliza software especializado para administrar el ancho de banda y ltrar el acceso a Internet, software de antivirus, administrador de las direcciones del protocolo de Internet (IP), la administracin del rewall, los certicados privados, un administrador de proyectos, software para registro de atencin de averas, el directorio activo de todos los funcionarios de la CGR, la administracin de la central telefnica, el software de capacitacin en lnea, y la vigilancia de la seguridad de las instalaciones. Lo anterior, representa una base tecnolgica que requiere ser complementada con software especializado para la scalizacin, y software colaborativo; entre otros, que permitan una scalizacin ampliamente soportada en tecnologa de punta. Finalmente, se cuenta con varios sistemas de informacin que soportan tanto las tareas sustantivas como las de apoyo al nivel institucional; considerndose algunos como muy crticos.
Modelo de anlisis de riesgos

Contexto estratgico
La CGR es un rgano de control de la Asamblea Legislativa y tiene bajo su scalizacin 472 instituciones pblicas, ms Juntas de Educacin, Asociaciones, y empresas privadas que administren fondos pblicos, para que con base en los estudios realizados se le permita a la ciudadana conocer, acerca de cmo sus gobernantes y funcionarios pblicos estn utilizando los recursos que se les asignaron. Presupuestariamente depende de un presupuesto aprobado por la Asamblea Legislativa. Para transparentar la gestin pblica se basa en su ley orgnica, la ley de control interno, en el sistema para evaluacin de riesgos, en resoluciones de cumplimiento
obligatorio, y en normas tcnicas sobre la gestin en tecnologas de informacin comunicacin. La clientela de la CGR la conforma prcticamente todo el pas: ciudadana, proveedores, instituciones, empresas, y organismos internacionales; los cuales confan en la gestin que lleva a cabo la Contralora para garantizarle a la ciudadana el buen manejo de la Hacienda Pblica. Adems de la transparencia hacia la ciudadana sobre la gestin de los funcionarios pblicos, tambin es muy importante mantener el control poltico con el objetivo de evaluar cualquier situacin que pueda afectar la estrategia. Otro aspecto que es de importancia para la CGR es la imagen que se pueda reejar a la ciudadana, con el objetivo de mantener y mejorar la conanza que se tiene en la institucin como garante de la Hacienda Pblica. Para dar cumplimiento al propsito de fortalecer el buen gobierno, todos los funcionarios deben tener presentes aspectos importantes de nuestra gestin, como los siguientes: Clasicacin de las instituciones pblicas con base en factores de riesgo. Esto signica que el monto del presupuesto no va a ser la nica variable para determinar hacia dnde dirigir la scalizacin, sino que tambin interesa la calidad de la administracin y sus rganos de decisin, de la auditora interna, la contratacin, la planicacin, las variables nancieras y otras. Es necesario que denamos un conjunto de variables y no busquemos el sistema perfecto para identicar las entidades de ms riesgo y a partir de ah denir a dnde vamos a ir y qu vamos a hacer. Esto tambin signica que no solo la institucin est clara hacia donde vamos, sino que los que estn en el entorno tambin lo tengan claro, ya que lo ms operativo lo
debern asumir las auditoras internas y el mismo sistema de control de cada institucin. Aplicacin de los temas estratgicos para la scalizacin, segn las particularidades de las reas de scalizacin y los resultados de la clasicacin anterior, es decir, cada rea deber dedicarse prioritariamente a algunos de los temas aqu planteados, no necesariamente a todos. Seguimiento de disposiciones como elemento esencial para ir midiendo el impacto de nuestra gestin. Elaboracin de indicadores sencillos para medir los resultados propuestos en el plan de trabajo. Ejecucin efectiva de la agenda de mejoras internas, ya que los proyectos que se denan darn el salto cualitativo que la institucin requiere para tener un nivel mayor de incidencia en la gestin de las administraciones pblicas. Recurso humano y tecnologa. En relacin con las personas, stas deben ser capaces, si existe una brecha frente a las necesidades de los procesos de trabajo, esta debe cerrarse por medio de capacitacin u otras acciones que les permitan desarrollar mejor sus competencias. El gerente tiene una responsabilidad importante en materia de recurso humano, tiene una responsabilidad en forma directa e inmediata en su manejo, buscando el equilibrio para lograr un desarrollo integral de la gente y hacer converger los objetivos de las personas con los de la institucin. Por su parte, la tecnologa es fundamental para apoyar el trabajo no solo en la simplicacin sino tambin siendo utilizada para almacenar y proporcionar informacin que apoye la toma de decisiones. Medicin del desempeo en funcin de resultados. Hay que darle un cambio a la evaluacin del desempeo. Debe verse como una retroalimentacin. Esta debe asociarse al logro de los objetivos de la unidad, ms los compromisos personales. Es una evaluacin asociada con resultados de proyectos tangibles.
Estos lineamientos contribuirn a la organizacin del trabajo y a la formulacin de los planes de trabajo operativos de los prximos aos de las diferentes Divisiones, reas y Unidades de la Contralora General, base fundamental sobre la cual, rendiremos cuentas a la ciudadana. De acuerdo con sanas prcticas de gestin, todo plan institucional en la Contralora General, debe estar directamente relacionado con los objetivos estratgicos, estrategias, factores clave de xito y las orientaciones del Plan Estratgico Institucional 20082012, de ah que el plan estratgico en tecnologas de informacin y comunicacin (PETIC) no es una excepcin, en este sentido, la gestin institucional de tecnologas de informacin y comunicacin para el perodo 2008-2012, se debe realizar de acuerdo con las siguientes orientaciones estratgicas: a. Control como medio y no como n b. No afectacin del inters pblico c. No coadministrar d. Mayor proactividad, presencia, impacto y oportunidad e. Enfoque preventivo f. nfasis en los resultados de la gestin pblica g. Fiscalizacin y control sobre una base costo-benecio h. Aplicacin de procesos con base en el Manual General de la Fiscalizacin Integral i. Cultura de medicin continua de la gestin j. Mejora continua que fortalezca la autocrtica constructiva Con base a las orientaciones estratgicas se pueden observar posibles riesgos nancieros, sociales, operativos, tcnicos, legales, y humanos, sobre los cuales vamos a estar trabajando en el presente anlisis y valoracin de riesgos, siempre que estn relacionados con tecnologas de informacin.
Factores claves de xito

El cumplimiento de la estrategia institucional 2008-2012 est en funcin de lograr la articulacin de esfuerzos institucionales alrededor de los siguientes elementos: a. Desarrollo de las competencias de los funcionarios ajustadas a los requerimientos de la CGR para enfrentar el entorno b. Aprovechamiento de las tecnologas de informacin en las scalizacin y la toma de decisiones c. Integracin institucional que facilite la toma de decisiones y la consistencia de los productos de scalizacin.
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que scaliza el uso de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a efecto de implementar la visin y misin institucionales: Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo diario. Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus derechos y deberes. Integridad: Es realizar todas las acciones con rectitud. Compromiso: Es sentirse identicado con la Contralora General y as dar el mximo esfuerzo. La CGR tiene cuatro macro procesos: a. Fiscalizacin Integral b. Gobierno Corporativo c. Gestin del Conocimiento d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro procesos:
a. Infraestructura b. Seguridad y Control c. Suministro de Servicios d. Insercin Tecnolgica Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales estn expuestos, y el nivel de exposicin de los mismos.
La Unidad de Tecnologa de Informacin (UTI)

El Reglamento Orgnico de la Contralora General de la Repblica, emitido mediante resolucin No. R-CO-34-2009 del 22 de mayo de 2009, en su Captulo II, Seccin CUARTA, artculo 26, establece con respecto a la Unidad Tecnologas de Informacin:
Es la unidad encargada de implementar, desarrollar y evolucionar soluciones tecnolgicas y de comunicacin, para apoyar y facilitar la ejecucin de los procesos internos Para ello lidera el proceso de gestin de tecnologas de informacin y comunicacin y participa del proceso de asesora interna en materia de su competencia.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato a la informacin, con ecientes herramientas tecnolgicas de apoyo para realizar scalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de informacin y comunicacin para fortalecer la scalizacin superior, la transparencia, la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI: a. Contar con una infraestructura de Tecnologas de Informacin y Comunicaciones (TICs) estable y adecuada a las necesidades de la Institucin y del pas. b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales, integrada a procesos y actividades, y puesta al servicio de los usuarios internos y externos.
c. Desarrollar la infoestructura de soluciones y servicios denidos y priorizados en el Plan Institucional, en aras de impulsar la eciencia, la ecacia, la transparencia, la participacin ciudadana y el combatir de la corrupcin. d. Fortalecer el Gobierno Electrnico mediante transparentar la gestin pblica, la simplicacin de procesos, la generacin de trmites electrnicos y la participacin ciudadana. e. Coordinar con el Centro de Capacitacin, la capacitacin de los funcionarios de la Contralora General de la Repblica y de otras instituciones para mejor uso y aprovechamiento de las TICs. f. Mantener una organizacin actualizada con las tendencias modernas de tecnologas de informacin y comunicaciones (TICs), y con los requerimientos de informacin y tecnologa de la institucin.
Contexto de la administracin de riesgos

La administracin de riesgos se lleva a cabo considerando los procesos de USTI que estn relacionados con las tecnologas de informacin y la Plan Estratgico 2008 2012, a efectos de establecer y fortalecimiento los controles necesarios en aquellos que as lo requieran. En la identicacin de riesgos se consideran los efectos que una mala gestin pueda tener en la imagen de la CGR, las prdidas producto de inversiones que no generen rditos, y las orientaciones estratgicas. En los anexos 1 y 2 se presentan los riesgos relacionados con los objetivos del Plan Estratgico Institucional 2008-2012 y con los objetivos del Plan Tctico Institucional 2009-2011; riesgos que constituyen el fundamento para la valoracin de riesgos a nivel operativo, y que estarn siendo aplicados y revisados en el contexto de la ejecucin y seguimiento del PAO 2009 y de la formulacin detallada del PAO 2010.
La evaluacin de riesgos se llevar a cabo sobre los procesos de la USTI: Infraestructura, Seguridad y Control, Suministro de Servicios, e Insercin tecnolgica, basados en COBIT.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante denir claramente el marco de trabajo que ser utilizado para la gestin de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son los siguientes: a. Contar con un marco de referencia para la gestin de los riesgos; este marco de referencia debe ser conocido y comprendido por todos los miembros de la Unidad. b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra los servicios prestados por la UTI. c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro de las posibilidades de la Institucin, a mantener la continuidad de las operaciones. d. Fortalecer la imagen institucional por medio de una operacin tecnolgica ms estable y conable. La estrategia para la administracin de los riesgos est basada en los siguientes aspectos: Utilizar los sub procesos de COBIT por gua y referencia para la identicacin de riesgos de gestin. Complementar la identicacin de riesgos basndose en los procesos de la Unidad, esto para identicar riesgos operativos. Utilizar escalas de calicacin de los riesgos (impacto, probabilidad, exposicin) de acuerdo con modelos internaciones.
El alcance de este ejercicio de anlisis de riesgos comprende lo siguiente: Actividades de gestin de la UTI las cuales estn a cargo de la jefatura y de los coordinadores. Procesos de la UTI que incluyen las operaciones continuas y el desarrollo de proyectos Proyectos tecnolgicos de trascendencia institucional lo cuales inuyen en la imagen que se proyecta a la ciudadana. Riesgos relacionados con el recurso ms importante de la organizacin: el recurso humano.
Criterios de evaluacin de riesgos

Para la evaluacin de riesgos se utilizarn, como valores primarios, la calicacin de impacto y probabilidad de cada riesgo. Para ambos casos se utilizarn tablas de 5 valores con las equivalencias que se sealan a continuacin. A partir de esos valores se calcular el nivel de exposicin y la severidad de los riesgos representndolos en el mapa trmico. Para clasicar los riesgos se utilizarn 5 categoras asociadas con el origen del riesgo. Se utilizarn criterios de referencia especcos para cada categora con el propsito de de facilitar la evaluacin de impacto para cada riesgo.
Calicacin de la probabilidad
Para la calicar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
Probabilidad Signicado
P 5
4 3 2 1
Casi seguro Muy probable Probable Poco probable Raro
Calicacin del impacto

Para calicar el impacto se utilizar una tabla general de referencia con 5 valores; adicionalmente se utilizarn tablas especcas donde se describirn los criterios para asignar la calicacin de impacto segn la categora de cada riesgo:
Impacto Signicado
I 5
4 3 2 1
Mayor Importante Signicativo Regular Menor
Severidad del riesgo

Para medir la severidad del riesgo se utilizarn 4 valores que se determina segn la calicacin del impacto y la probabilidad, es decir el nivel de exposicin:
Severidad Signicado
4 3 2 1
Extrema Alta Moderada Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la calicacin de impacto y probabilidad el riesgo es calicado por corlo en su nivel de severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta, el color amarillo claro severidad moderada y el color verde claro severidad baja:
5 4 Impacto 3 2 1
M M B B
A A M M
E A A M B
3
E E A A M
4
E E E A M
5
B
1
B
2
Probabilidad
Categoras de los riesgos

Las categoras utilizadas son las siguientes:
Categora
Gestin
Descripcin
Riesgos relacionados con la ausencia o aplicacin incorrecta de mtodos de gestin de las tecnologas de informacin y comunicaciones.
Incumplimiento de directrices, procedimientos y Operacin metodologas y estndares en los procesos operativos de la UTI. Riesgos relacionados con las fallas potenciales de la infraestructura tecnolgica utilizada en la CGR. Eventos que atentan contra la condencialidad, integridad y disponibilidad de la informacin. Relacionados con el desempeo y regularidad de los recursos humanos.
Infraestructura Seguridad Recurso humano
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras; por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un evento de seguridad. En estos casos el riesgo ser asociado a la categora que se considere ms relevante o donde el impacto sea mayor.
Impacto de los riesgos segn su categora

Gestin I Signicado 5 Mayor 4 3 2 1 Importante Signicativo Regular Menor
Criterios de calicacin Evento que impedir el logro de los objetivos institucionales. El logro de objetivos institucionales se ve afectado de manera importante. Evento que representar un retraso signicativo en el logro de objetivos institucionales. El evento afecta levemente el logro de objetivos de la UTI y de la CGR. Evento que afecta la gestin de la UTI sin llegar a impactar en el logro de los objetivos.
Operacin
I
5
Signicado Mayor Importante Signicativo
Criterios de calicacin Evento que paraliza la prestacin de servicios por parte de la unidad afectando a la institucin de manera considerable. Evento que provoca la interrupcin parcial de servicios. Evento que provoca interrupciones intermitentes. Evento que provoca la interrupcin momentnea de los servicios de la unidad, esta interrupcin es percibida por la institucin. Evento que provoca una disminucin en los tiempos de respuesta que experimentan los usuarios. Evento que afecta slo las operaciones de la UTI.
4 3
Regular
Menor
Infraestructura
I
5
Signicado Mayor Importante Signicativo Regular
Criterios de calicacin Falla severa en un componente vital de la infraestructura tecnolgica que impide la operacin normal de la institucin. Falla en un componente de la infraestructura tecnolgica que afecta parcialmente la prestacin de servicios. Falla en un componente de la infraestructura tecnolgica que afecta de manera intermitente la prestacin de servicios. Falla en un equipo que afecta la prestacin de servicios slo en la UTI. Falla en un componente que puede ser sustituido de inmediato por mantener equipo similar en inventario. Se afecta la operacin de la institucin por minutos.
4 3 2
Menor
Seguridad
I Signicado Criterios de calicacin La seguridad es vulnerada y se desconocen sus efectos. Un ente no autorizado tiene acceso a informacin condencial. Informacin total en la disponibilidad de informacin. Los datos institucionales han sido alterados.
Mayor
Un ente no autorizado tiene acceso a informacin sensitiva. 4 Importante Interrupcin de ms de 1 da hbil en la disponibilidad de la informacin. Se reciben ataques masivos sobre la plataforma. Un funcionario de la institucin tiene acceso a informacin a la cual no est autorizado. 3 Signicativo Interrupcin de 1 da hbil en la disponibilidad de la informacin. Prdida de datos que se pueden restaurar por medio de los procesos de recuperacin. Entes no autorizados tienen acceso a informacin parcial en 2 Regular modo consulta. Interrupcin de 4 horas en la disponibilidad de la informacin. Hay intentos de acceso a la informacin. Interrupcin momentnea en la disponibilidad de la 1 Menor informacin. Un ente no autorizado tiene la oportunidad de observar datos que se estn utilizando en la operacin de la institucin.
Recurso humano (Revisar objetivos)

I Signicado Criterios de calicacin Se prescinde de un funcionario importante para el logro de los objetivos. 5 Mayor El evento imposibilita a todo el personal de la UTI para realizar sus funciones de manera indenida. Evento que provoca que un funcionario exceda en ms de un 40% el tiempo estimado para nalizar una actividad.
Los objetivos a lograr exceden las cargas de trabajo de los recursos asignados a la UTI. 4 Importante Evento que imposibilita que el personal de la UTI pueda laborar durante un da hbil. Evento que provoca que un funcionario exceda en un 40% el tiempo estimado para nalizar una actividad. No se tiene participacin del patrocinador para el logro de los objetivos. 3 Signicativo Evento que imposibilita a un funcionario de la UTI para laborar durante cinco das hbiles en el lapso de un mes. Situacin que provoca que un funcionario exceda en un 20% el tiempo estimado para nalizar una actividad. Evento que provoca que un funcionario exceda en un 10% el tiempo estimado para nalizar una actividad. 2 Regular Evento que afecta, de manera temporal y no mayor de 4 horas, que los funcionarios de la UTI puedan realizar sus funciones. Se asignan objetivos adicionales que afectan levemente la 1 Menor carga de trabajo. Evento que imposibilita a un funcionario de la UTI para laborar durante un da hbil.
Criterios para la aceptacin de riesgos

Se aceptarn aquellos riesgos cuya severidad, la cual se obtiene del impacto del riesgo y su probabilidad, est calicada como Baja y Moderada; estos valores se representan en el mapa trmino con los colores verde claro y amarillo claro respectivamente.
Estructura de los riesgos

Como se indic anteriormente, la UTI apoya los macro procesos institucionales por medio de cuatro procesos; stos son los siguientes: Infraestructura El proceso de infraestructura se reere al soporte tecnolgico brindado por medio de la red de comunicaciones interna, conexiones inalmbricas, acceso va Internet a la CGR, a las unidades para almacenamiento de datos en red, a los servidores, a la plataforma de usuario nal, al software en uso debidamente autorizado y soportado por la CGR, a la solucin telefnica en uso, y a todos los componentes necesarios para mantener el ambiente necesario para su operacin. Seguridad y Control En este proceso estamos hablando de las cmaras de vdeo, acceso al Centro de Cmputo y a la UTI en general, software y hardware necesario para fortalecer la seguridad y el control, monitoreo en general, administracin de componentes o funcionalidades. Suministro de Servicios El suministro de servicios abarca acuerdos de atencin de usuarios, niveles de disponibilidad de la plataforma, atencin de averas, desarrollo y evolucin de sistemas, operacin de equipos, continuidad de los servicios, mantenimiento y reparacin de equipos, conexiones de red, y evacuacin de dudas. Insercin Tecnolgica Se pretende con este proceso que todos los funcionarios utilicen la tecnologa con mucho entusiasmo, que le saquen todo el provecho posible, que producto de su uso hagan aportes que faciliten el mejoramiento continuo de la plataforma, y que las inversiones en TI permitan una mejor gestin y scalizacin.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit se realizar la identicacin de los riesgos y el posterior anlisis. De este modo se determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso. El benecio de utilizar los procesos de la UTI, como elemento central en la estructura de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el ejercicio ms manejable.
Identicacin de riesgos
La identicacin de riesgos corresponde a la confeccin de una lista de los posibles eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de impacto se les asocia la categora correspondiente: Id 1
2 3 4 5 6 7 8
Descripcin del Riesgo Adquisicin de soluciones automatizadas que no satisfagan las necesidades de la institucin. Desarrollar productos que no especicaciones. Desarrollar productos basados cumplen en con las
Categora
Gestin Gestin Gestin Gestin Gestin Gestin Operacin
requerimientos
9
10 11
incorrectos. Versiones de software desactualizadas. Adquirir software sin programas fuentes. Adquirir software que no tiene representacin en el pas. Equipo daado no puede ser reparado. Red inalmbrica insegura. Dao fsico en los equipos de la plataforma tecnolgica. Obsolescencia de la infraestructura tecnolgica. Desarrollo de sistemas y servicios que son difciles de utilizar para el usuario.
Operacin
Operacin Gestin Gestin
12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Gestin No existe gua de usuario para el uso del sistema. Gestin Retrasos en los procesos de contratacin administrativa. Se adquiere equipo no compatible con la infraestructura
en uso. Se adquiere equipo sin que existan talleres para la
Gestin Gestin
reparacin y mantenimiento de los mismos. Operacin Trabajar directamente en equipos de produccin. Versiones de software para desarrollo y produccin diferentes. No contar con la metodologa y procedimientos necesarios para la administracin de los cambios. Libertad en el uso de componentes tecnolgicos (software libre). Instalacin de parches sin seguir las recomendaciones del proveedor. Ausencia de niveles de servicio aceptados que faciliten la gestin. Denicin de niveles de servicio que sobrepasan la capacidad instalada de TI. No contar con los recursos necesarios para cumplir con los
Operacin Operacin Gestin Operacin Gestin Gestin Gestin
niveles de servicio. Gestin No existe contrato de mantenimiento Debilidad en la administracin de servicios de terceros que implica que stos no cumplan satisfactoriamente los Gestin requerimientos del negocio. Gestin Incumplimiento de las polticas denidas por las partes. Operacin Tiempo de respuesta degradado. No hacer planeamiento de la capacidad. Gestin Los recursos de la infraestructura tecnolgica no son sucientes para atender las demandas de servicios. Recuperacin de software no es factible Suspensin de servicio de Internet Fallas en los equipos de comunicaciones Fallas en los servidores (computadores principales) Equipo de usuario nal inseguro.
Gestin Operacin Infraestructura Infraestructura Infraestructura Seguridad
29
30 31 32 33 34
Ausencia de controles cruzados que comprueben la

35
integridad de la informacin y el funcionamiento correcto Seguridad de las aplicaciones. Errores en la creacin de usuarios y en la asignacin de privilegios de acceso. Sistemas sin mecanismos de trazabilidad de transacciones (pistas de auditora). No se conocen los costos asignados a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que estn asociados a los servicios de TI. El personal no cuenta con el tiempo suciente para recibir, de manera completa, la capacitacin correspondiente. El personal no cuenta con las actitudes y aptitudes las soluciones automatizadas. La capacitacin que se brinda a los usuarios no es efectiva
36 37 38 39 40
Seguridad Seguridad Gestin Gestin Gestin
41
requeridas para hacer uso de la informacin por medio de RRHH
42
para que puedan utilizar ecientemente los recursos Gestin informticos disponibles. No se cuenta con presupuesto para disear e implementar programas de capacitacin para los usuarios. No contar con una respuesta oportuna y efectiva para incidentes. Las soluciones que se aplican, ante los incidentes reportados por los usuarios, no son efectivas. Los usuarios no estn informados sobre los procedimientos que se deben seguir para reportar los incidentes. No se cuenta o no se aplica el procedimiento denido para la asignacin, atencin y seguimiento de los incidentes. No se realiza una adecuada gestin de mtricas sobre los incidentes reportados y atendidos.
43
Gestin
44
las consultas de los usuarios de TI y a la atencin de los Operacin
45 46 47 48
Operacin Gestin Operacin
Gestin
49
50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66
Se realizan cambios operativos que no se reejan en la documentacin. Se realizan cambios en la conguracin de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer cambios en los componentes de la conguracin. No se aplica el procedimiento ocializado para la gestin
Operacin Operacin Operacin Operacin
de problemas. No se documentan las soluciones aplicadas a los problemas. Operacin Hay dicultad para denir el mbito de accin de los proveedores para la solucin de problemas. Alteracin o prdida de la informacin registrada en base
Gestin
de datos o equipos. Operacin Informacin desactualizada o incorrecta. Seguridad Acceso no autorizado a la informacin. Instalaciones fsicas mal diseas que pongan en peligro la integridad del equipo de cmputo y del personal. Seguridad Acceso no autorizado al centro de cmputo. Seguridad Ausencia de detectores de humo. Fallas en los equipos que mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No aplicacin de las polticas para la generacin de respaldos. No efectuar un monitoreo constante sobre la operacin de la plataforma. Suspensin de servicios sin seguir el procedimiento establecido. No contar con un proceso para revisar peridicamente el
Gestin
Seguridad
Infraestructura Operacin Operacin Operacin Gestin
desempeo actual y la capacidad de los recursos de TI. Gestin No percibir los cambios que se realizan en el entorno. Utilizacin de indicadores sobre el desempeo de TI que no son relevantes y que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI.
Gestin
67
No contar con un programa de control interno efectivo para

68
TI que incluya auto-evaluaciones y revisiones por parte de Gestin terceros. Gestin No contar con la documentacin de los procesos de TI. Seguridad Uso de software no licenciado Exceder la cantidad de usuarios autorizados para utilizar un producto licenciado. Facilitar los medios para la instalacin de software a terceros. Contar con un plan estratgico no alineado a la estrategia
69
70 71 72 73 74 75 76 77 78 79 80 81 82 83
Operacin Operacin Gestin
institucional. Gestin Se tiene Plan Estratgico desactualizado. No contar con un modelo de informacin del negocio que sea utilizado en la creacin y actualizacin de los sistemas Gestin de informacin. Gestin Arquitectura de informacin desactualizada. Arquitectura de informacin no responde a la cadena de valor. Adquisicin de tecnologas que no aportan valor a la organizacin. Contar con equipo costoso que no cuenta con contratos de mantenimiento. No aplicacin de los canales de comunicacin establecidos
Gestin Gestin Gestin Gestin
para informar sobre la gestin de TI. No se tienen documentados los canales de comunicacin. Gestin RRHH No se tiene dominio sobre las herramientas en uso. Equipo de trabajo con baja motivacin, poco creativo y no comprometido con el logro de los objetivos. Contar con un sistema de administracin de la calidad procedimientos para el desarrollo de las TIC en la institucin. Desarrollar productos que no cumplen con los requerimientos de calidad. No administrar los riesgos de TI.
RRHH
84
deciente en la denicin y aplicacin de procesos y Operacin
85 86
Operacin Gestin
87 88
Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional. El personal no est capacitado adecuadamente para realizar una gestin efectiva de los riesgos. No contar con el contenido presupuestario para la ejecucin
Gestin
Gestin
Gestin
89
90 91 92
de los proyectos. Gestin Inestabilidad en el equipo de proyecto. Gestin Desarrollo de proyectos no alineados al Plan Estratgico Gestin Los proyectos no estn documentados No contar con un marco de referencia para la gestin de los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Exceder el tiempo planicado para la ejecucin de los proyectos. Falta de apoyo del patrocinador del proyecto.
Gestin
93
94 95
Gestin
Gestin
Identicacin de causas
Cada uno de los riesgos identicados est asociado con una o varias causas, conocer las causas es importante para enfocar los posteriores esfuerzos de mitigacin y contingencia as como para calicar los controles existentes. Las causas asociadas a cada riesgo identicado son las siguientes: Id Descripcin del riesgo Adquisicin 1 de soluciones Especicacin requerimientos producto. Errores no analizar producto no Causas de adecuada.
automatizadas que no satisfagan las necesidades de la institucin.
No se valid el cumplimiento del de las concepto al
Desarrollar
productos
que
especicaciones
cumplen con las especicaciones.
No se validaron los componentes del
Desarrollar productos basados en requerimientos incorrectos.
Ausencia de
de
validacin requerimientos
Patrocinador sin compromiso No hay contrato de mantenimiento. software Personal para no est el capacitado software. actualizar
Versiones desactualizadas.
de
No est planicada la actualizacin. Mala gestin en la 5 Adquirir software sin programas adquisicin fuentes. Adquirir software que no tiene representacin en el pas. Equipo daado no puede Adquisicin imprescindible 6 No se tiene otra opcin No hay contrato de mantenimiento. 7 ser No se tienen repuestos en el pas. No hay repuestos para ese equipo. No hay presupuesto para reparacin. La red es vulnerable 8 Red inalmbrica insegura. No se tiene la capacidad para congurar adecuadamente la red Impericia humana 9 Dao fsico en los equipos de la Alteracin plataforma tecnolgica. Medio Sabotaje No se 10 Obsolescencia de la infraestructura para tecnolgica. mantenimiento del sistema no la elctrico apropiado expertise actualizarla ambiente tiene reparado. de de software software es
Que no se renueven los contratos de
Desarrollo de sistemas y servicios 11 que son difciles de utilizar para el usuario.
Mentalidad desarrollo
compleja de
para sistemas
No se piensa en las facilidades para su elaboracin
12 13
el cliente No existe gua de usuario para el uso Se omiti del sistema. Retrasos en los procesos
El sistema es muy simple de usar de Se apela el cartel o la adjudicacin. Negligencia administrativa. Elaboracin especicaciones de
contratacin administrativa. Se adquiere equipo no compatible con la infraestructura en uso. Se adquiere equipo sin que existan
14
incorrectas
Aceptacin de un modelo diferente No se solicita en las especicaciones en el pas Se obtuvieron ambiente de de compra El proveedor es representante nico passwords produccin
15
talleres
para
la
reparacin
mantenimiento de los mismos.
16
Trabajar directamente en equipos de del produccin.
Se autoriza realizar trabajo en este ambiente No se mejor han actualizado
17
Versiones de software para desarrollo y produccin diferentes. No contar con la metodologa y
El soporte en Costa Rica no es el
18
procedimientos necesarios para la No ha sido prioritario su desarrollo. administracin de los cambios. No se respetan las polticas denidas Libertad en el uso de componentes No se tienen las herramientas tecnolgicos (software libre). necesarias instalacin para controlar su
19
No 20 Instalacin de parches sin seguir las los recomendaciones del proveedor.
se
tiene parches
control
sobre
autorizados
No se revisa la documentacin del
21
proveedor Ausencia de niveles de servicio No hay acuerdos de servicios de aceptados que faciliten la gestin. niveles. Denicin de niveles de servicio que No se realiza el anlisis de capacidades sobrepasan la capacidad instalada No se considera el recurso humano de TI. No contar con los recursos disponible Fallas de hardware y software superan Se necesarias No se el estimado las tiene realizado daan herramientas presupuesto.
22
23
necesarios para cumplir con los niveles de servicio.
24
No existe contrato de mantenimiento Se encuentra en periodo de garanta. Est en trmite. Debilidad en la administracin de No se han denido contrato. contratos no
25
servicios de terceros que implica que responsables stos no cumplan satisfactoriamente Administracin
por de
26
los requerimientos del negocio. adecuada. Incumplimiento de las polticas No se gestiona con base en las denidas por las partes. polticas denidas Servidores d e g r a d ocasionalmente a d o s
27
Tiempo de respuesta degradado.
Servidores ocasionalmente saturados Ataque a los componentes de la red Sistema consume muchos recursos (AB,CPU)
La 28 No hacer planeamiento de la del capacidad.
actividad plan
no de
es
parte gestin
No se tiene la capacidad para realizarlo No se planicaron las compras
Los recursos de la infraestructura con 29 tecnolgica no son sucientes para de atender las demandas de servicios.
base la
al
crecimiento infraestructura
Se da un crecimiento en recursos no planicado Procedimiento para incorrecto
30
Recuperacin de software no es recuperacin factible recuperarlo Fallas en
No se cuenta con el recurso para el del equipo del
31
Suspensin de servicio de Internet
proveedor
servicio
Se dao un componente interno Deciencias en la administracin Impericia humana
32
Fallas
en
los
equipos
de Alteracin Se Sabotaje Impericia
del
sistema el
elctrico equipo humana
comunicaciones
dao
33
Fallas
en
los
servidores El Se
equipo alter la
se
dao
(computadores principales)
conguracin
Alteracin del sistema elctrico Se libera el equipo de algunas polticas 34 Equipo de usuario nal inseguro. se de seguridad a una cuando trasladan Institucin
La instalacin de componentes no es controlada en algunos casos
Ausencia de controles cruzados 35 que comprueben la integridad de la informacin y el funcionamiento correcto de las aplicaciones. Errores en la creacin de usuarios 36 y en la asignacin de privilegios de acceso. Sistemas 37 sin mecanismos
No Los dbiles No se
se controles
programaron programados son
tiene
el
conocimiento
necesario para realizar la funcin Se desconoce la cobertura autorizada las pruebas
para cada privilegio de No se realizaron
trazabilidad de transacciones (pistas completas sobre el sistema que se de auditora). puso en produccin No se conocen los costos asignados No se tiene un modelo de costos a los servicios prestados por TI. No se maneja contabilidad de costos No se cuenta con un proceso de No se tienen los insumos necesarios anlisis para mejorar los costos que No ha sido prioritario estn asociados a los servicios de TI. El personal no cuenta con el Las cargas de trabajo tiempo suciente para recibir, de no correspondiente. autorizado El personal no cuenta con las actitudes y aptitudes requeridas estn balanceadas manera completa, la capacitacin No se tiene un plan de capacitacin
38
39
40
41
para hacer uso de la informacin por medio de las soluciones automatizadas. La capacitacin que se brinda a los
La utilizacin del sistema es compleja No se tiene cultura informatizada
42
usuarios no es efectiva para que puedan utilizar ecientemente los recursos informticos disponibles.
El instructor no tiene facilidad para la transferencia de conocimientos La capacitacin no fue prctica
No se cuenta con presupuesto para No 43 disear e implementar programas las
se partidas
presupuestaron necesarias
44
45
46
de capacitacin para los usuarios. Se recort la partida presupuestaria No contar con una respuesta Personal no capacitado. oportuna y efectiva para las consultas Desinters por el usuario nal. de los usuarios de TI y a la atencin Saturacin de consultas. de los incidentes. No se aprueba la solucin Las soluciones que se aplican, ante por parte del usuario los incidentes reportados por los El tcnico carece del conocimiento usuarios, no son efectivas. necesario No se han divulgado Los usuarios no estn informados los procedimientos para sobre los procedimientos que se realizar los reportes deben seguir para reportar los Los usuarios han estado fuera de la incidentes. institucin por meses No se cuenta o no se aplica el Se presentan solicitudes procedimiento denido para la de un nivel superior asignacin, atencin y seguimiento Se atienden incidentes no registrados de los incidentes. en el sistema No se realiza una adecuada gestin El sistema no genera la informacin
47
48
de mtricas sobre los incidentes necesaria para generar las mtricas reportados y atendidos. No se dispone del tiempo necesario No se tiene un sistema control de cambios Se realizan cambios sin que exista la documentacin formal Se realizan cambios en la conguracin de componentes de la infraestructura y no se reejan en la documentacin. Los cambios se realizan bajo presin No existe un sistema para control de cambios
49
Se realizan cambios operativos que para no se reejan en la documentacin.
50
No se conoce el impacto de hacer 51 cambios en los componentes de la conguracin.
No se tiene el ambiente completo para Urga pruebas la preliminares de la correccin
conguracin No se aplica el procedimiento Se brindan soluciones sin que 52 ocializado problemas. para la gestin de se realice la gestin requerida Urge la solucin del problema No es costumbre del
53
No se documentan las soluciones informtico aplicadas a los problemas. omisin No se contractuales problema Violacin de la Programa
realizarlo
No se aplican sanciones por la denieron reglas claras
Hay dicultad para denir el mbito 54 de accin de los proveedores para la solucin de problemas.
Los proveedores se trasladan el de con la fallas seguridad de lgica
Alteracin 55
prdida
informacin registrada en base de Recuperacin de la base de datos datos o equipos. con un respaldo desactualizado Fallas en disco no perceptibles Registro de datos incorrecta
56
Informacin incorrecta.
desactualizada
o Falla
en
el
Webservices
Desconocimiento del sistema por parte del personal usuario Se comparte password entre el usuarios
57
Acceso
no
autorizado
la
Violacin de la seguridad Instalaciones fsicas mal diseas que Estructura vieja no pensada para TI. 58 pongan en peligro la integridad del No equipo de cmputo y del personal. es importante para la administracin.
informacin.
59
Acceso no autorizado al centro de cmputo. Ausencia de detectores de humo.
Administrador del CC lo permite Personal autorizado facilita el ingreso de otros No se tiene el presupuesto necesario contrato energa cintas los de
60
para comprarlo Fallas en los equipos que mantienen No existe el medio ambiente apropiado mantenimiento de inapropiado Falta de para la operacin de TI (UPS, Aire Suministro acondicionado)
61
preventivo elctrica para respaldos
62
No aplicacin de las polticas para la generar generacin de respaldos. respaldos Exceso de estabilidad
Dao en los equipos para toma de seguridad de la por
63
No efectuar un monitoreo constante sobre la operacin de la plataforma. Suspensin de servicios sin seguir el procedimiento establecido. No contar con un proceso para revisar
plataforma
No se tienen todas las herramientas Iniciativas para suspensin de servicios sin colegiarlas La suspensin es urgente No existe sistema para evaluacin del desempeo. Modicaciones legales el que
64
65
peridicamente el desempeo actual y la capacidad de los recursos de TI.
66
No percibir los cambios que se inciden realizan en el entorno.
en
desarrollo
Cambios tecnolgicos en el entorno que afectan el desarrollo
Utilizacin de indicadores sobre el desempeo de TI que no son 67 relevantes y que no colaboran en la No se realiz un anlisis de los identicacin de oportunidades de indicadores que se requieren en TI mejora en los procesos importantes de TI. No contar con un programa de 68 control interno efectivo para TI que incluya auto-evaluaciones y revisiones por parte de terceros. 69 No contar con la documentacin de los procesos de TI.
No
se
tienen
directrices
No hay planicacin para llevar a cabo el auto control La documentacin no fue actualizada No se tiene manual para Gobierno Corporativo En equipo de usuario nal las polticas no estaban aplicadas Se emite una autorizacin temporal
70
Uso de software no licenciado
para pruebas Exceder la cantidad de usuarios El software permite exceder la cantidad 71 autorizados para utilizar un producto No se tiene control sobre los usuarios licenciado. 72 Facilitar los medios para la instalacin de software a terceros. instalados Se viol la seguridad para trasladar medios de instalacin de software Desconocimiento contractual Se modica la estrategia no se comunica
73
Contar con un plan estratgico no y
alineado a la estrategia institucional. Se desarrollan sistemas que no Se tiene Plan responden a la estrategia institucional Estratgico No se tiene un administrador del PETIC.
74
desactualizado.
No contar con un modelo de informacin 75 del negocio que sea utilizado en la creacin y actualizacin de los sistemas de informacin. Arquitectura desactualizada. de No se tienen los recursos para elaborarlo
76
informacin No se tiene un administrador de la arquitectura No se diseo de a informacin la cadena la arquitectura con de base valor
77
Arquitectura de informacin no responde a la cadena de valor.
Se construy primero la arquitectura de informacin Se instalan tecnologas a convenios
78
Adquisicin de tecnologas que no con aportan valor a la organizacin.
base
Se incluyen como parte del software adquirido Se venci se tiene contratar la el garanta y no para
Contar con equipo costoso que 79 no cuenta con contratos de mantenimiento. No aplicacin de los canales de 80 comunicacin establecidos para informar sobre la gestin de TI.
presupuesto
mantenimiento gestin de
No se autoriza el gasto Problemas de Facilidad de canales
comunicacin no incluidos en los canales formales Funcionan muy canales bien informales
81
No se tienen documentados los los canales de comunicacin.
No se han documentado los canales informales El personal no fue capacitado La transferencia tecnolgica no funcion
82
No se tiene dominio sobre las herramientas en uso.
Equipo 83
de
trabajo
con
baja laboral no adecuado
motivacin, poco creativo y no Clima objetivos. Contar con administracin
comprometido con el logro de los Se desconocen los objetivos un de y sistema la de de experiencia de la en la calidad
calidad Falta
84
deciente en la denicin y aplicacin administracin de procesos
procedimientos No existe existen directrices para
para el desarrollo de las TIC en la administrar la calidad institucin. Desarrollar 85 calidad. productos que no Ausencia de de validacin requerimientos
cumplen con los requerimientos de
Omisin de pruebas de calidad Incumplimiento de plan de calidad No existe la administracin basada en riesgos
86
No administrar los riesgos de TI. Utilizar un marco de
No se tienen los recursos necesarios trabajo No se ha brindado la necesaria.
87
deciente para la gestin de riesgos, capacitacin
y no alineado con el apetito del riesgo No existe la administracin basada institucional. en riesgos. El personal no est capacitado No se ha brindado la capacitacin adecuadamente para realizar una necesaria. gestin efectiva de los riesgos. Elaboracin de No contar con el contenido presupuesto incorrecto. presupuestario para la ejecucin de No presupuestar proyectos. los proyectos. Recorte presupuestario. Inestabilidad en el equipo de Reduccin de personal. proyecto. Clima laboral inadecuado.
88
89
90
Aceptar proyecto que no han sido 91 Desarrollo de proyectos no alineados al Plan Estratgico validados contra el Plan Estratgico. D e s c o n o c i m i e n t o del Plan Estratgico. Es obligatorio desarrollarlo. El personal omite la documentacin La documentacin existente es omisa un marco de
92
Los
proyectos
no
estn
documentados No contar con
referencia para la gestin de los 93 proyectos en cuanto a su iniciacin, No hay metodologa ocial para la planicacin, ejecucin, control gestin de proyectos. y cierre, o aplicar ese marco de referencia decientemente. 94 Exceder el tiempo planicado para la ejecucin de los proyectos. Planicacin no adecuada Modicacin en los requerimientos Reduccin de recursos
No hay personal disponible
95
Falta de apoyo del patrocinador del No se tiene inters en el proyecto proyecto.
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican actualmente. Como fue denido anteriormente, la calicacin se realiza utilizando dos criterios primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
se deriva el nivel de exposicin (P * I) y la severidad de los riesgos (se utiliza la escala de colores del mapa trmico para su representacin): Id
1 2 3 4 5 6 7 8 9 10 11 12
Riesgo Adquisicin de soluciones automatizadas que no satisfagan las necesidades de la institucin. Desarrollar productos que no cumplen con las
P 3 2 2 3 1 1 3 5 3 3 3
I 3 4 4 4 4 4 3 5 4 4 3
S 9 8 8 12 4 4 9 25 12 12 9
especicaciones. Desarrollar productos basados en requerimientos incorrectos. Versiones de software desactualizadas. Adquirir software sin programas fuentes. Adquirir software que no tiene representacin en el pas. Equipo daado no puede ser reparado. Red inalmbrica insegura. Dao fsico en los equipos de la plataforma tecnolgica. Obsolescencia de la infraestructura tecnolgica. Desarrollo de sistemas y servicios que son difciles de utilizar para el usuario. No existe gua de usuario para el uso del sistema. Retrasos en los procesos de contratacin administrativa. Se adquiere equipo no compatible con la infraestructura en uso. Se adquiere equipo sin que existan talleres para la reparacin y mantenimiento de los mismos. Trabajar directamente en equipos de produccin. Versiones de software para desarrollo y produccin diferentes. No contar con la metodologa y procedimientos necesarios para la administracin de los cambios. Libertad en el uso de componentes tecnolgicos (software libre). Instalacin de parches sin seguir las recomendaciones del proveedor. Ausencia de niveles de servicio aceptados que faciliten la gestin.
3
3 2 4 3 4 3 3 3 3
3
3 3 3 4 4 4 3 3 3
9
9 6 12 12 16 12 9 9 9
13
14 15 16 17 18 19 20 21
22 23 24 25 26 27 28 29 30 31 32
Denicin de niveles de servicio que sobrepasan la capacidad instalada de TI. No contar con los recursos necesarios para cumplir con los niveles de servicio. No existe contrato de mantenimiento Debilidad en la administracin de servicios de terceros que implica que stos no cumplan satisfactoriamente los requerimientos del negocio. Incumplimiento de las polticas denidas por las partes. Tiempo de respuesta degradado. No hacer planeamiento de la capacidad. Los recursos de la infraestructura tecnolgica no son sucientes para atender las demandas de servicios. Recuperacin de software no es factible Suspensin de servicio de Internet Fallas en los equipos de comunicaciones Fallas en los servidores (computadores principales) Equipo de usuario nal inseguro. Ausencia de controles cruzados que comprueben la integridad de la informacin y el funcionamiento correcto de las aplicaciones. Errores en la creacin de usuarios y en la asignacin de privilegios de acceso. Sistemas sin mecanismos de trazabilidad de transacciones (pistas de auditora). No se conocen los costos asignados a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que estn asociados a los servicios de TI. El personal no cuenta con el tiempo suciente para recibir, de manera completa, la capacitacin correspondiente. El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la informacin por medio de las soluciones automatizadas.
2 2 3 3 3 3 3 3 2 3
3 3 4 3 3 3 3 4 4 4
6 6 12 9 9 9 9 12 8 12
2
2 4 2
5
5 3 4
10
10 12 8
33
34 35
36 37 38 39 40
3 3 3 3 2
4 4 3 3 3
12 12 9 9 6
41
La capacitacin que se brinda a los usuarios no es efectiva

42
para que puedan utilizar ecientemente los recursos informticos disponibles. No se cuenta con presupuesto para disear e implementar programas de capacitacin para los usuarios. No contar con una respuesta oportuna y efectiva para las consultas de los usuarios de TI y a la atencin de los incidentes. Las soluciones que se aplican, ante los incidentes reportados por los usuarios, no son efectivas. Los usuarios no estn informados sobre los procedimientos que se deben seguir para reportar los incidentes. No se cuenta o no se aplica el procedimiento denido para la asignacin, atencin y seguimiento de los incidentes. No se realiza una adecuada gestin de mtricas sobre los incidentes reportados y atendidos. Se realizan cambios operativos que no se reejan en la documentacin. Se realizan cambios en la conguracin de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer cambios en los componentes de la conguracin. No se aplica el procedimiento ocializado para la gestin de problemas. No se documentan las soluciones aplicadas a los problemas. Hay dicultad para denir el mbito de accin de los proveedores para la solucin de problemas. Alteracin o prdida de la informacin registrada en base de datos o equipos. Informacin desactualizada o incorrecta. Acceso no autorizado a la informacin. Instalaciones fsicas mal diseas que pongan en peligro la integridad del equipo de cmputo y del personal. Acceso no autorizado al centro de cmputo.
43
44
45 46 47 48 49 50 51 52
2 2 2 3 3 3 3
4 3 3 3 4 4 4
8 6 6 9 12 12 12
3
4 2 2 3 3 2 3
3
5 3 4 4 5 3 3
9
20 6 8 12 15 6 9
53
54 55 56 57 58 59
60 61 62 63 64 65 66 67
Ausencia de detectores de humo. Fallas en los equipos que mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No aplicacin de las polticas para la generacin de respaldos. No efectuar un monitoreo constante sobre la operacin de la plataforma. Suspensin de servicios sin seguir el procedimiento establecido. No contar con un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. No percibir los cambios que se realizan en el entorno. Utilizacin de indicadores sobre el desempeo de TI que no son relevantes y que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI. No contar con un programa de control interno efectivo para
3 3 3 3 3 3 2 3
3 5 4 3 3 3 3 4
9 15 12 9 9 9 6 12
68 69 70 71 72
TI que incluya auto-evaluaciones y revisiones por parte de terceros. No contar con la documentacin de los procesos de TI. Uso de software no licenciado Exceder la cantidad de usuarios autorizados para utilizar un producto licenciado. Facilitar los medios para la instalacin de software a terceros. Contar con un plan estratgico no alineado a la estrategia institucional. Se tiene Plan Estratgico desactualizado. No contar con un modelo de informacin del negocio que sea utilizado en la creacin y actualizacin de los sistemas de informacin. Arquitectura de informacin desactualizada. Arquitectura de informacin no responde a la cadena de valor. Adquisicin de tecnologas que no aportan valor a la organizacin.
2 2 2 2
3 3 3 3
6 6 6 6
3
4 4 3 3 2 2
3
4 4 3 4 3 3
9
16 16 9 12 6 6
73
74 75 76 77 78
79 80 81 82 83
Contar con equipo costoso que no cuenta con contratos de mantenimiento. No aplicacin de los canales de comunicacin establecidos para informar sobre la gestin de TI. No se tienen documentados los canales de comunicacin. No se tiene dominio sobre las herramientas en uso. Equipo de trabajo con baja motivacin, poco creativo y no comprometido con el logro de los objetivos. Contar con un sistema de administracin de la calidad deciente en la denicin y aplicacin de procesos y procedimientos para el desarrollo de las TIC en la institucin. Desarrollar productos que no cumplen con los requerimientos de calidad. No administrar los riesgos de TI. Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional. El personal no est capacitado adecuadamente para realizar una gestin efectiva de los riesgos. No contar con el contenido presupuestario para la ejecucin de los proyectos. Inestabilidad en el equipo de proyecto. Desarrollo de proyectos no alineados al Plan Estratgico Los proyectos no estn documentados No contar con un marco de referencia para la gestin de los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Exceder el tiempo planicado para la ejecucin de los proyectos. Falta de apoyo del patrocinador del proyecto.
2 2 2 3 3
3 2 2 4 4
6 4 4 12 12
84
16
85 86 87 88 89 90 91 92
3 4 4 3 2 2 4
3 4 4 3 5 3 3
9 16 16 9 10 6 12
16
93
16
94 95
4 4
3 4
12 16
P = Probabilidad, I = Impacto, S = Severidad
Mapas trmicos riesgos absolutos

Infraestructura
5 4 32, 33 31, 49, 61
50, 51
14 7, 27 10
Impacto
3 2 1
1
Probabilidad
Seguridad y control
5 57 4, 9, 18, 36, 37, 56, 62 16, 19, 20, 26, 52, 59, 60, 63, 72, 53 17, 84, 86, 87 15, 34 8
5, 6,
30, 35, 55 47, 54, 58, 68, 70, 71
Impacto
1 1 2 3 4 5
Probabilidad Suministro de servicios

5 4
45 23, 40, 41, 43, 46 29, 82, 83 11, 12, 21, 38, 44, 64 92, 93
Impacto
3 2 1
1
94
42
Probabilidad
Insercin tecnolgica (Gestin)

5 4 89
2, 3, 22, 66, 69, 77, 78, 79, 67, 76 1, 13, 25, 28, 39, 48, 73, 74,95
Impacto
3 2 1 1
91,
81
Probabilidad Identicacin de controles

Id Descripcin del riesgo Adquisicin 1 de Controles Se realiza un diagnstico sobre necesidades adquirir y la factibilidad solucin.
soluciones las
automatizadas que no satisfagan de las necesidades de la institucin.
Se le da participacin del usuario para validar las necesidades. Pruebas de productos
Desarrollar
productos
que
no basadas
en
casos
de
uso.
cumplen con las especicaciones.
Aprobacin de fases de anlisis y diseo para comprobar el alcance.
Utilizar 3 requerimientos incorrectos.
casos los
de
uso
para
Desarrollar productos basados en especicar
requerimientos.
Validacin y aprobacin de los requerimientos por el patrocinador. Por medio de los contratos de mantenimiento se la planican directriz equipos y aplican actualizaciones del software. Se que estableci todos para estn los
Versiones desactualizadas.
de
software
estandarizados en cuanto a las versiones del software. Como parte de los carteles de licitacin se solicitan todos los programas fuente. La presentacin del software en el de los procesos de contratacin administrativa. Mantener vigentes los contratos de mantenimiento para los equipos. Contar con equipos de respaldos. Se utiliza un esquema de seguridad acceso 8 Red inalmbrica insegura. a para la red restringir el inalmbrica.
Adquirir software sin programas fuentes.
Adquirir software que no tiene pas es requisito de admisibilidad representacin en el pas.
Equipo daado no puede ser reparado.
La red inalmbrica existente entre el estacionamiento y el edicio principal est totalmente separada de la red institucional.
Se cuenta con planta de diesel y UPS. Est restringido el acceso al Centro 9 Dao fsico en los equipos de la de Cmputo. Se ha dispuesto una plataforma tecnolgica. cmara de seguridad en la puerta. Se cuenta con sensores de temperatura y humedad. Plan de renovacin y fortalecimiento 10 Obsolescencia de la infraestructura de la infraestructura tecnolgica. tecnolgica. Planicacin de adquisiciones con anticipacin. Supervisin los productos constante de
Desarrollo de sistemas y servicios 11 que son difciles de utilizar para el usuario.
desarrollados.
Revisiones de los productos por parte de los clientes. Se incluye informacin en lnea para cada opcin del sistema de modo que el usuario no necesite el manual. Se desarrollan tutores virtuales sobre la utilizacin de los sistemas. Se revisan previamente los carteles para validar que estn redactados
12
No existe gua de usuario para el uso del sistema.
13
Retrasos
en
los
procesos
de
contratacin administrativa.
14
de forma clara y precisa. Se adquiere equipo no compatible Revisin de los carteles. Adquisicin con la infraestructura en uso. de tecnologa de arquitectura abierta. Es un requisito de admisibilidad, y contratacin administrativa, que los potenciales oferentes cuenten con el respectivo taller de servicio.
Se adquiere equipo sin que existan dentro de los procedimientos de 15 talleres para la reparacin mantenimiento de los mismos.
Se 16 Trabajar directamente en equipos de produccin. servidor
cuenta de
con
un
desarrollo.
Aplicacin del procedimiento para la puesta en produccin de los nuevos programas. Aplicacin del procedimiento para la puesta en produccin de los programas nuevos y modicados. Se han denido y funciones.
17
Versiones
de
software
para
desarrollo y produccin diferentes.
No contar con la metodologa y responsabilidades 18 administracin de los cambios.
procedimientos necesarios para la Se cuenta con un procedimiento para aplicar los cambios en los sistemas de informacin. Denicin y aplicacin polticas institucionales de software para la Libertad en el uso de componentes el tecnolgicos (software libre). y uso de sobre
19
autorizado institucin.
estndar
Los perles de usuario no tienen autorizacin para instalar software. Se revisan las indicaciones 20 Instalacin de parches sin seguir las de recomendaciones del proveedor. los proveedores. Los parches se aplican primero en equipo de prueba. Se utiliza un software para gestionar 21 Ausencia de niveles de servicio las solicitudes de servicio pero los aceptados que faciliten la gestin. tiempos de respuesta esperados no estn acordados.
Anlisis del PAO y portafolio de Denicin de niveles de servicio que proyecto en conjunto con la Gerencia 22 sobrepasan la capacidad instalada de Divisin tomando en cuenta de TI. No 23 contar con los las cargas de trabajo y el personal actual. recursos Se cuenta con equipo renovado estabilidad. Desarrollo peridico del Diagnstico de Necesidades de Capacitacin (DNC). 24 No existe contrato de mantenimiento Ejecucin del programa de capacitacin (de acuerdo con el disponible presupuestario). En el rea de infraestructura se realiza un seguimiento peridico de el los contratos para de validar derechos cumplimiento
necesarios para cumplir con los que presenta niveles aceptables de niveles de servicio.
Debilidad en la administracin de 25 servicios de terceros que implica que stos no cumplan satisfactoriamente los requerimientos del negocio. Incumplimiento de las polticas denidas por las partes.
adquiridos por la institucin. Se analizan las clusulas de los contratos y se giran las instrucciones del caso. Monitoreo de los servicios para determinar cargas de trabajo. Balanceo de cargas de trabajo (distribucin de funciones entre los servidores).
26
27
Tiempo de respuesta degradado.
Antes sobre
de
liberar las y
un
nuevo
servicio se realizan proyecciones capacidades disponibles. requeridas 28 capacidad.
No hacer planeamiento de la Una vez al ao se realiza un ejercicio para valorar la capacidad instalada y las proyecciones de nuevos requerimientos; esto se hace como insumo para el Plan de Compras Institucional. Se planica tecnologa la para adquisicin mantener de la
Los recursos de la infraestructura 29 tecnolgica no son sucientes para atender las demandas de servicios.
capacidad de procesamiento de informacin. Revisin de los respaldos generados. pueden utilizar, ante contingencias, para reestablecer los servicios. Se cuenta con una red moderna
30
Recuperacin de software no es Se cuenta con equipos que se factible
31
Suspensin de servicio de Internet
que da estabilidad en la operacin interna. Contratos de mantenimiento.
32
Fallas
en
los
equipos
de Equipo de contingencia y aplicacin de respaldos de acuerdo con las polticas denidas. Contratos de mantenimiento.
comunicaciones
33
Fallas
en
los
servidores Equipo de contingencia y aplicacin de respaldos de acuerdo con las polticas denidas.
(computadores principales)
Aplicacin polticas medio Perles 34 Equipo de usuario nal inseguro. para de de de instalar
automtica seguridad Active usuarios software en el
de por
Directory. limitados y hacer equipo.
modicaciones
Los equipos se encuentran en garanta. A los equipos se les ha aplicado el Service Pack recomendado por el proveedor. Ausencia de controles cruzados 35 que comprueben la integridad de la informacin y el funcionamiento correcto de las aplicaciones. Por medio del Centro de Operaciones se revisa la calidad de la informacin en sistemas clave. El personal que tiene a cargo la Errores en la creacin de usuarios 36 y en la asignacin de privilegios de acceso. implementacin de la seguridad est capacitado para estas funciones. Como parte del desarrollo de proyectos se deben denir los roles sin mecanismos de y una descripcin. de Se ha denido la utilizacin de pistas programacin. Se utiliza el LogMiner. Se debe mejorar el registro de costos contar con informacin precisa en
Sistemas 37 trazabilidad
transacciones como parte de los estndares de
(pistas de auditora).
38
No se conocen los costos asignados asociados a cada servicio para a los servicios prestados por TI. este sentido. No se cuenta con un proceso de Se debe mejorar el registro de costos
39
anlisis para mejorar los costos que asociados a cada servicio para estn asociados a los servicios de contar con informacin precisa en TI. este sentido.
El personal no cuenta con el Se informa con anticipacin a las 40 tiempo suciente para recibir, de jefaturas sobre las actividades de manera completa, la capacitacin capacitacin para que se tome en correspondiente. cuenta en la asignacin de trabajos. El personal no cuenta con las Peridicamente, por medio del actitudes y aptitudes requeridas Centro de Capacitacin, se realizan para hacer uso de la informacin charlas para fomentar la cultura por medio de las soluciones informtica en la institucin. automatizadas. Se preparan guas para la La capacitacin que se brinda a los 42 usuarios no es efectiva para que puedan utilizar ecientemente los recursos informticos disponibles. capacitacin que sirva de apoyo a los estudiantes e instructores. Se Se preparan seleccionan tutores los virtuales. instructores
41
buscando personal con facilidad de expresin. Se est fomentando el uso de
No se cuenta con presupuesto para capacitacin virtual que reduce 43 disear e implementar programas signicativamente los costos. Para de capacitacin para los usuarios. esto se ha equipado al Centro de Capacitacin. Utilizacin de un software para No contar con una respuesta 44 oportuna y efectiva para las consultas de los usuarios de TI y a la atencin de los incidentes. automatizar el la presentacin de los incidentes, la asignacin y seguimiento correspondiente. Manejo de niveles de prioridad por procesos y usuarios crticos para la institucin.
Se da capacitacin a los tcnicos Las soluciones que se aplican, ante en 45 usuarios, no son efectivas. los nuevos productos. los incidentes reportados por los Se solicita al usuario que rme la solicitud de servicio cuando el trabajo est concluido. Por medio del correo electrnico frecuentemente se envan mensajes a los funcionarios recordndoles polticas y procedimientos en materia de TI. Se cuenta para El personal con las la Se claras de un software solicitudes. USTI sobre cuenta tiene el con del
Los usuarios no estn informados 46 sobre los procedimientos que se deben seguir para reportar los incidentes.
No se cuenta o no se aplica el 47 procedimiento denido para la asignacin, atencin y seguimiento de los incidentes.
gestionar
instrucciones procedimiento. un funcionario
responsable
No se realiza una adecuada gestin 48 de mtricas sobre los incidentes reportados y atendidos.
seguimiento. Se aplican encuestas a los usuarios para conocer su nivel de satisfaccin y sus recomendaciones para mejorar el servicio prestado. Documentacin de los
49
Se realizan cambios operativos que procesos
operativos.
no se reejan en la documentacin. Actualizacin de guas de trabajo cuando se realizan cambios.
Se implement una bitcora donde Se 50 realizan cambios en la se registran todos los cambios realizados en la conguracin de TI. Parte del procedimiento, para la aplicacin de los cambios, es la actualizacin de la documentacin correspondiente. Se tiene documentada la relacin de componentes de TI necesarios para la implementacin y funcionamiento
conguracin de componentes de la infraestructura y no se reejan en la documentacin.
No se conoce el impacto de hacer 51 cambios en los componentes de la conguracin.
de los servicios clave. No se aplica el procedimiento Se tiene que ocializar y aplicar ocializado para la gestin de el proceso para la gestin de problemas. problemas. Se est elaborando el documento para la documentacin, el proveedor si lo realiza por obligacin contractual Se especica claramente, en los carteles de los procedimientos, las responsabilidades de los proveedores y los servicios requeridos. Peridicamente revisan Alteracin o prdida de la los se respaldos.
52
53
No se documentan las soluciones aplicadas a los problemas. Hay dicultad para denir el mbito
54
de accin de los proveedores para la solucin de problemas.
Se tienen denidos roles de acceso por usuario y se revisa que no exista conicto en los roles asignados. Se revisan los programas, con mucho detalle, antes de ponerlos en produccin.
55
informacin registrada en base de datos o equipos.
Se del 56 Informacin incorrecta. desactualizada o Se de la
revisa cdigo cre la CGR de gestin una
la
calidad generado. dependencia en
especializada la
informacin.
Se brinda asesora y capacitacin constante a los usuarios. Se han denido polticas de TI con responsabilidad para los usuarios. 57 Acceso no autorizado a la Se ha implementado automtico para un que esquema
informacin.
los usuarios cambien sus claves. No se gestionan claves por medios informales de comunicacin. Las instalaciones tienen puertas
Instalaciones fsicas mal diseas con control de acceso restringido. 58 que pongan en peligro la integridad En el ao 2005 se acondicionaron del equipo de cmputo y del los sitios de trabajo para tener ms personal. visibilidad y fomentar el trabajo en equipo. Se cuenta con acceso restringido (por tarjeta) y cmaras de vigilancia. Se tiene una bitcora de acceso. Est pendiente por restricciones de presupuesto. Se han realizado revisiones de la instalacin elctrica. Se cuenta con planta y UPS.
59
Acceso no autorizado al centro de cmputo. Ausencia de detectores de humo. Fallas en los equipos que mantienen
60
61
el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado)
Denicin de 62 No aplicacin de las polticas para la generacin de respaldos. El generacin personal
de de
procedimiento para la debe respaldos.
contingencia
responsable
informar cuando se presenta alguna dicultad en la generacin de los respaldos. Se cuenta para con con los herramienta la software servidores red. para de
monitorear cuenta
63
No efectuar un monitoreo constante Se
sobre la operacin de la plataforma. monitorear sistemas. Bitcoras
aplicaciones, bases de datos y de cambios y Se e han en la
64
Suspensin de servicios sin seguir el procedimiento establecido.
conguracin de servicios. procedimientos personal.
suspensin denido al instruido
No 65 para
contar revisar
con
un
proceso el
peridicamente
Est
pendiente
la
denicin
desempeo actual y la capacidad de los recursos de TI.
ocializacin del procedimiento para realizar esta actividad. La institucin, por medio de
Estrategia Institucional, mantiene 66 No percibir los cambios que se un monitoreo constante sobre los realizan en el entorno. cambios en el entorno. Se encarga de reejarlos en los planes de trabajo.
Utilizacin de indicadores sobre el desempeo de TI que no son 67 relevantes y que no colaboran en la Se debe mejorar la denicin y identicacin de oportunidades de anlisis de indicadores de TI. mejora en los procesos importantes de TI. No contar con un programa de 68 control interno efectivo para TI que incluya auto-evaluaciones y revisiones por parte de terceros.
Se realizan las auto evaluaciones solicitadas en la Ley General de Control Interno. Se cuenta con descripcin de
69
No contar con la documentacin de procesos los procesos de TI. de TI. Los perles
procedimientos.
Los procesos se describen en el plan de usuario tienen
70
Uso de software no licenciado
restriccin para la instalacin de software. Se lleva el inventario de licencias
Exceder la cantidad de usuarios 71 autorizados para utilizar un producto licenciado.
adquiridas y licencias instaladas. Los usuarios no tienen autorizacin para instalar software (se restringe por perl de usuario en Active Directory). Se ha instruido, sobre el tema, al personal de Servicio al Cliente que tiene a cargo la gestin de medios.
72
Facilitar
los
medios
para
la
instalacin de software a terceros.
El ejercicio para la denicin del Plan Estratgico y sus posteriores revisiones 73 Contar con un plan estratgico no alineado a la estrategia institucional. de se realizan de las con la participacin todas representantes Divisiones.
Se cuenta con el apoyo y seguimiento del Despacho de las Srs. Contraloras sobre el uso de las tecnologas de informacin. El Plan Estratgico se revisa
74
Se
tiene
Plan
Estratgico anualmente y se ajusta cuando se realizan cambios en la planicacin
desactualizado.
estratgica institucional. No contar con un modelo de El modelo de informacin est informacin 75 del negocio que documentado a nivel de las bases sea utilizado en la creacin y de datos y se cuenta con una actualizacin de los sistemas de aplicacin automatizada que genera informacin. los informes. Se design un funcionario para de informacin que conozca la informacin de la institucin y valide los proyectos pero no se han establecido los controles documentales del caso. Se deben mejorar la documentacin de la arquitectura de la informacin en funcin de la cadena de valor. Se revisan las caractersticas de los productos de acuerdo con las necesidades de la institucin.
76
Arquitectura desactualizada.
77
Arquitectura de informacin no responde a la cadena de valor. Adquisicin de tecnologas que no aportan valor a la organizacin.
78
Contar con equipo costoso que 79 no cuenta con contratos de mantenimiento.
Se
tiene
un de
plan
de
renovacin
equipo.
Dentro del presupuesto se reservan las partidas correspondientes. Peridicamente se realizan reuniones informativas con todo el personal de la USTI. Igualmente se mantiene informado al Despacho sobre la evolucin de los proyectos y
No aplicacin de los canales de 80 comunicacin establecidos para informar sobre la gestin de TI.
81
la operativa de TI. No se tienen documentados los Est pendiente de documentarse los canales de comunicacin. canales formales. Desarrollo peridico del Diagnstico de Necesidades de Capacitacin (DNC). Ejecucin del programa de capacitacin (de acuerdo con el disponible presupuestario). Se realizan dos evaluaciones Equipo de trabajo con baja de sobre y clima los laboral planes por de de ao. trabajo gestin. Comunicacin compromisos constante
82
83
motivacin, poco creativo y no comprometido con el logro de los objetivos.
Gestin orientada al logro de los objetivos.
Estn denidos los estndares y Contar con en de un de la sistema la de procedimientos que se deben aplicar en el desarrollo de los productos. Se realizan revisiones de de cumplimiento alcance.
administracin 84 deciente y aplicacin
calidad denicin y
procesos
procedimientos para el desarrollo de las TIC en la institucin.
Se aplican pruebas para identicar errores antes de liberar versiones nuevas o actualizadas de los y en plan un productos de software. Aplicacin de estndares procedimientos Capacitacin del de personal un realiza
Desarrollar 85 calidad.
productos
que
no
cumplen con los requerimientos de
calidad.
tcnicas de calidad. Se cuenta con contra Anualmente se
contingencias.
86
No administrar los riesgos de TI.
ejercicio de valoracin de riesgos. Se aplican los instrumentos denidos para el cumplimiento del SEVRI
Utilizar 87
un
marco para la
de
trabajo de
deciente
gestin
Se aplican las indicaciones del SEVRI. Se realizan auto evaluaciones de
riesgos, y no alineado con el apetito
riesgos a nivel de procesos. del riesgo institucional. El personal no est capacitado Se utilizan las instrucciones denidas 88 adecuadamente para realizar una dentro del marco orientador del gestin efectiva de los riesgos. No 89 contar con el contenido SEVRI. Exposicin de la importancia de los proyectos en la Asamblea Legislativa para darles prioridad. Recurrir a cooperacin internacional.
presupuestario para la ejecucin de los proyectos.
Documentacin de los proyectos. 90 Inestabilidad en el equipo de Divulgacin proyecto. dentro del del proyecto equipo. proyectos
Desarrollo de talleres Planicacin de 91 al Plan Estratgico
Desarrollo de proyectos no alineados de acuerdo con el PAO y la aprobacin del Gerente de Divisin Organizacional. Vericacin de que con los la de
92
Los
proyectos
no
estn
proyectos metodologa Validar el
cumplen
documentados
correspondiente. cumplimiento
No contar con un marco de referencia para la gestin de los 93 proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente.
estndares. Se cuenta con una metodologa ocializada de de para la la gestin cual es obligatoria. proyectos aplicacin
Capacitacin sobre el tema para los directores de proyecto y los ingenieros de la USTI. Seguimiento frecuente los proyectos los (por de Reasignacin Fortalecer planicacin.
Establecimiento de de de Planes gestin. Anuales compromisos Vinculacin usuarias.
de
94
Exceder el tiempo planicado para la ejecucin de los proyectos.
semana). recursos. de
ejercicios
95
Falta de apoyo del patrocinador del proyecto.
Operativos entre la USTI y unidades
Evaluacin de riesgos controlados

Id
1 2 3 4 5 6
Riesgo Adquisicin de soluciones automatizadas que no satisfagan las necesidades de la institucin. Desarrollar productos que no cumplen con las
I 3 4 4 4 4
S 3 4 4 8 4
1
1 1 2
7
8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
especicaciones. Desarrollar productos basados en requerimientos incorrectos. Versiones de software desactualizadas. Adquirir software sin programas fuentes. Adquirir software que no tiene representacin en el pas. Equipo daado no puede ser reparado. Red inalmbrica insegura. Dao fsico en los equipos de la plataforma tecnolgica. Obsolescencia de la infraestructura tecnolgica. Desarrollo de sistemas y servicios que son difciles de utilizar para el usuario. No existe gua de usuario para el uso del sistema. Retrasos en los procesos de contratacin administrativa. Se adquiere equipo no compatible con la infraestructura en uso. Se adquiere equipo sin que existan talleres para la reparacin y mantenimiento de los mismos. Trabajar directamente en equipos de produccin. Versiones de software para desarrollo y produccin diferentes. No contar con la metodologa y procedimientos necesarios para la administracin de los cambios. Libertad en el uso de componentes tecnolgicos (software libre). Instalacin de parches sin seguir las recomendaciones del proveedor. Ausencia de niveles de servicio aceptados que faciliten la gestin. Denicin de niveles de servicio que sobrepasan la capacidad instalada de TI.
1 1
1 2
4
3 3 4 3 3 2 3 3 3 4 4 4 3 3 3 3
4
3 6 4 6 6 4 6 3 3 4 4 8 3 3 6 3
1
2 2 2
2
1 1 1
1
2 1 1
2
1
23 24 25 26
No contar con los recursos necesarios para cumplir con los niveles de servicio. No existe contrato de mantenimiento Debilidad en la administracin de servicios de terceros que implica que stos no cumplan satisfactoriamente los requerimientos del negocio. Incumplimiento de las polticas denidas por las partes. Tiempo de respuesta degradado. No hacer planeamiento de la capacidad. Los recursos de la infraestructura tecnolgica no son sucientes para atender las demandas de servicios. Recuperacin de software no es factible Suspensin de servicio de Internet Fallas en los equipos de comunicaciones Fallas en los servidores (computadores principales) Equipo de usuario nal inseguro. Ausencia de controles cruzados que comprueben la integridad de la informacin y el funcionamiento correcto de las aplicaciones. Errores en la creacin de usuarios y en la asignacin de privilegios de acceso. Sistemas sin mecanismos de trazabilidad de transacciones (pistas de auditora). No se conocen los costos asignados a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que estn asociados a los servicios de TI. El personal no cuenta con el tiempo suciente para recibir, de manera completa, la capacitacin correspondiente. El personal no cuenta con las actitudes y aptitudes requeridas para hacer uso de la informacin por medio de las soluciones automatizadas.
2 1
3 4 3
6 4 6
2 1
1 2
3
3 3 4 4 4 3 3 3 3
3
3 6 4 4 8 6 6 3 6
27
28 29 30 31 32 33 34 35
1
1 2 2
2
1 2
36 37 38 39 40
4 2 3 3 3
4 2 9 9 3
1
3 3 1
41
La capacitacin que se brinda a los usuarios no es efectiva

42
para que puedan utilizar ecientemente los recursos informticos disponibles. No se cuenta con presupuesto para disear e implementar programas de capacitacin para los usuarios. No contar con una respuesta oportuna y efectiva para las consultas de los usuarios de TI y a la atencin de los incidentes. Las soluciones que se aplican, ante los incidentes reportados por los usuarios, no son efectivas. Los usuarios no estn informados sobre los procedimientos que se deben seguir para reportar los incidentes. No se cuenta o no se aplica el procedimiento denido para la asignacin, atencin y seguimiento de los incidentes. No se realiza una adecuada gestin de mtricas sobre los incidentes reportados y atendidos. Se realizan cambios operativos que no se reejan en la documentacin. Se realizan cambios en la conguracin de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer cambios en los componentes de la conguracin. No se aplica el procedimiento ocializado para la gestin de problemas. No se documentan las soluciones aplicadas a los problemas. Hay dicultad para denir el mbito de accin de los proveedores para la solucin de problemas. Alteracin o prdida de la informacin registrada en base de datos o equipos. Informacin desactualizada o incorrecta. Acceso no autorizado a la informacin. Instalaciones fsicas mal diseas que pongan en peligro la integridad del equipo de cmputo y del personal. Acceso no autorizado al centro de cmputo.
43
44
45 46
1 1
1 2
3
3 3 4 4 4 3 5 3 4 4 5 3 3
3
3 6 4 8 8 9 20 3 4 4 5 3 6
47
48 49 50 51 52 53 54 55 56 57 58 59
1
2 2 3
4
1 1 1
1
1 2
60 61 62 63 64 65 66
Ausencia de detectores de humo. Fallas en los equipos que mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No aplicacin de las polticas para la generacin de respaldos. No efectuar un monitoreo constante sobre la operacin de la plataforma. Suspensin de servicios sin seguir el procedimiento establecido. No contar con un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. No percibir los cambios que se realizan en el entorno. Utilizacin de indicadores sobre el desempeo de TI que no son relevantes y que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI. No contar con un programa de control interno efectivo para
3 3 4 3 3 3
9 9 4 6 6 9
3
1 2 2
3 1
3
3
4
3
12
67
68 69 70 71 72 73 74 75 76 77 78
TI que incluya auto-evaluaciones y revisiones por parte de terceros. No contar con la documentacin de los procesos de TI. Uso de software no licenciado Exceder la cantidad de usuarios autorizados para utilizar un producto licenciado. Facilitar los medios para la instalacin de software a terceros. Contar con un plan estratgico no alineado a la estrategia institucional. Se tiene Plan Estratgico desactualizado. No contar con un modelo de informacin del negocio que sea utilizado en la creacin y actualizacin de los sistemas de informacin. Arquitectura de informacin desactualizada. Arquitectura de informacin no responde a la cadena de valor. Adquisicin de tecnologas que no aportan valor a la organizacin.
3 3 3 3 3 4 4 3 4 3 3
6 3 3 3 6 4 4 6 8 6 3
1
1 1 2
1
1 2 2
2
1
79 80 81 82 83
Contar con equipo costoso que no cuenta con contratos de mantenimiento. No aplicacin de los canales de comunicacin establecidos para informar sobre la gestin de TI. No se tienen documentados los canales de comunicacin. No se tiene dominio sobre las herramientas en uso. Equipo de trabajo con baja motivacin, poco creativo y no comprometido con el logro de los objetivos. Contar con un sistema de administracin de la calidad deciente en la denicin y aplicacin de procesos y procedimientos para el desarrollo de las TIC en la institucin. Desarrollar productos que no cumplen con los requerimientos de calidad. No administrar los riesgos de TI. Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional. El personal no est capacitado adecuadamente para realizar una gestin efectiva de los riesgos. No contar con el contenido presupuestario para la ejecucin de los proyectos. Inestabilidad en el equipo de proyecto. Desarrollo de proyectos no alineados al Plan Estratgico Los proyectos no estn documentados No contar con un marco de referencia para la gestin de los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Exceder el tiempo planicado para la ejecucin de los proyectos. Falta de apoyo del patrocinador del proyecto.
1 1
3 2 2 4 4
3 2 4 8 4
2
2 1
84
85 86
2 2
2 2
4
4 3 5 3 3 4
8
8 6 10 3 3 8
87
88 89 90 91 92
2
1 1 2
93
94 95
2 2
3 4
6 8
P = Probabilidad, I = Impacto, S = Severidad
Mapas trmicos riesgos controlados Infraestructura

5
4 24, 49 31, 50, 51
Impacto
3 2 1
7, 14, 27
10, 32, 33
61
Probabilidad
Seguridad y control
5 57 5, 6, 9, 16, 4 17, 30, 36, 55, 56, 62, 84
15, 19, 20, 3 26, 34, 47, 54, 58, 70 8, 35, 59, 63, 68, 72, 88 52, 60
53
4, 18, 86, 87
Impacto
2 1
37
Probabilidad Suministro de servicios

5
4 29, 45, 83 40, 41, 43, 44, 46 42 82, 92, 93 11, 21, 23, 94 12, 64
Impacto
38
1
1 2 3 4 5
Probabilidad
Insercin tecnolgica
5
4 2, 3, 73, 74
76, 89
95 67
Impacto
1, 22, 66, 3 69, 78, 79, 90, 91

2 80
13, 25, 28, 48, 75, 77, 85

81
39, 65
1
1 2 3 4 5
Probabilidad
Para facilitar el anlisis del nivel de riesgo de los procesos de TI se presenta en siguiente cuadro en el cual se presentan los valores totales de cantidad de riesgos, por cada proceso, en las evaluaciones de riesgos absolutos y riesgos controlados. Posteriormente esta informacin se presenta en grcos y cuadros de porcentajes: Proceso de TI Infraestructura Severidad Extrema Alta Moderada Baja Total de riesgos Seguridad y control Extrema Alta Moderada Baja Total de riesgos Suministro de Extrema Alta servicios Moderada Baja Total de riesgos I n s e r c i n Extrema Alta tecnolgica Moderada Baja Total de riesgos
R. Absolutos 1 10 1 0 12 7 22 8 0 37 2 11 R. Controlados 0 4 5 3 12 1 6 19 11 37 0 4
6
0 19 3 15 9 0 27
9
6 19 0 6 12 9 27
En los siguientes grcos y cuadros se observa la evaluacin de los riesgos, segn cada proceso de TI, tanto a nivel absoluto como a nivel controlado. De esta manera se puede notar fcilmente el efecto de los controles en la distribucin de los riesgos segn su severidad la cual est representada en lo grcos por los colores usados en los mapas trmicos.
Riesgos de infraestructura
Riesgos absolutos Riesgos controlados
10
Severidad Extrema Alta Moderada Baja
Riesgos absolutos 8% 84% 8% 0%
Riesgos controlados 0% 33% 42% 25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura, se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos identicados y relacionados con este proceso.
Riesgos se seguridad y control Riesgos absolutos Riesgos controlados
10
15
20
25
10
15
20
La mayor cantidad de riesgos identicados estn asociados con el proceso de seguridad y control, de los 37 riesgos 7 estn en las categoras de severidad extrema y alta por lo cual deben ser gestionados. Esos 7 riesgos representan el 19% de los riesgos identicados. Es importante notar que en la valoracin de riesgos absolutos la cantidad el porcentaje de riesgos clasicados en esa categora es de 78% lo cual signica que la aplicacin de los controles colabor, de manera muy importante, para reducir la cantidad de riesgos cuya severidad es extrema y alta.
Riesgos de suministro de servicios

10
12
10
En la calicacin de riesgos absolutos el 78% de los riesgos identicados (en total 19 para el proceso de suministro de servicios) se encuentran con calicacin de severidad extrema o alta. En la segunda calicacin, considerando la aplicacin de los controles actuales, en la calicacin de riesgos con severidad extrema se tiene 4%, eso representa el 21% de los riesgos identicados para el proceso.
Riesgos de insercin tecnolgica

10
12
14
16
10
12
En cuanto al proceso de insercin tecnolgica se identicaron 27 riesgos, es el segundo proceso en cantidad de riesgos identicados. De estos riesgos el 67% tienen una calicacin absoluta con severidad extrema y alta. Despus de calicarlos, tomando en cuenta la aplicacin de los controles actuales, este porcentaje baja a 22% que corresponde a 6 riesgos con calicacin de severidad alta.
Valoracin del nivel de riesgo de los procesos

Es importante conocer la calicacin global de riesgo que tiene cada proceso tanto a nivel en la calicacin de riesgos absolutos como de riesgos controlados; este valor se obtuvo con el promedio de la calicacin de exposicin (impacto * probabilidad) para los riesgos en cada proceso. Los resultados son los siguientes: Proceso de TI Infraestructura Seguridad y control Suministro de servicios Insercin tecnolgica En promedio
10.9 10.6 9.3

8.9 9.9
5.7 5.2 5.0

5.4 5.3
Se puede notar fcilmente que la calicacin de los procesos es muy similar, a nivel de riesgos absolutos los procesos de infraestructura as como de seguridad y control son los que tienen las calicaciones ms altas a nivel de severidad promedio de sus riesgos. En vista de que para los cuatro procesos de TI la calicacin est entre 8 y 12 les corresponde un nivel promedio de severidad de alta (representada en color anaranjado). En cuanto a los riesgos controlados tambin la calicacin es muy similar para todos los procesos, en este caso son los procesos de infraestructura e insercin tecnolgica los que tienen las calicaciones mayores. Todos los procesos tienen calicaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado como promedio de severidad de sus riesgos que se representan en color amarillo. Segn ests calicaciones la situacin de los procesos es muy similar tanto a nivel de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la calicacin de riesgos absolutos como de riesgos controlados se ha determinado que los siguientes riesgos son de prioritaria atencin: Id 4
Descripcin del riesgo Proceso de TI relacionado
Versiones
de
software
desactualizadas. No contar con la metodologa y
Seguridad y control
18 31 38
procedimientos necesarios para la Seguridad y control administracin de los cambios. Suspensin de servicio de Internet Infraestructura No se conocen los costos asignados Suministro de servicios a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que Insercin tecnolgica estn asociados a los servicios de TI. Se realizan cambios en la
39
50
conguracin de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer
Infraestructura
51
cambios en los componentes de la Infraestructura conguracin. No se aplica el procedimiento
52
ocializado
para
la
gestin
de Seguridad y control
53 60
problemas. No se documentan las soluciones aplicadas a los problemas. Ausencia de detectores de humo.
Seguridad y control Seguridad y control
Fallas en los equipos que mantienen 61 el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No contar con un proceso para revisar 65 peridicamente el desempeo actual Insercin tecnolgica y la capacidad de los recursos de TI. Utilizacin de indicadores sobre el desempeo de TI que no son 67 relevantes y que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI. Arquitectura de informacin Insercin tecnolgica Infraestructura
76 82 86
desactualizada. No se tiene dominio sobre las
Insercin tecnolgica
Suministro de servicios herramientas en uso. No administrar los riesgos de TI. Seguridad y control Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional. No contar con el contenido Seguridad y control
87
89
presupuestario para la ejecucin de Insercin tecnolgica los proyectos. Los proyectos documentados no estn
92
Suministro de servicios
No
contar
con
un
marco
de
referencia para la gestin de los 93 proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. 95
Falta de apoyo del patrocinador del proyecto. Insercin tecnolgica
Suministro de servicios
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta: Id Descripcin del riesgo Se Versiones de Planes de accin presupuestaron las partidas
para contratar el mantenimiento 4 software y se incluy en el PAO la actividad para actualizacin de plataforma. En el diagnstico de capacitacin se incorpor la capacitacin necesaria. Con base al manual de normas No contar con la metodologa y tcnicas 18 sobre tecnologas de procedimientos necesarios para informacin, se revisar y actualizar la administracin de los cambios. el mtodo para administracin de los cambios En el presupuesto del 2008 se 31 Suspensin Internet de servicio de incluy el alquiler de un canal alterno al proveedor actual del servicio para la solucin de fallas locales en el ISP desactualizadas.
No 38
se
conocen a los
los
costos Se desarrollar un modelo de costos servicios para conocer el costo por servicios o
asignados
39
prestados por TI. productos No se cuenta con un proceso En paralelo al modelo de costos se de anlisis para mejorar los realizar el modelo para el anlisis costos que estn asociados a los respectivo servicios de TI. Se realizan cambios en la Se enfatizar en el personal conguracin de componentes la reejan en la documentacin. No se conoce el impacto de hacer obligacin de actualizar la de la infraestructura y no se documentacin con los cambios que se realicen a la infraestructura Se coordinarn los cambios previo a realizarlos para proyectar el impacto, incluyendo de ser posible al proveedor Se realizar un taller para analizar las razones por las cuales no se aplica en algunos casos el procedimiento, y para generar las acciones correctivas Se incluy como parte del manual para continuidad de la operacin, la obligacin de documentar soluciones aplicadas para el mejoramiento continuo. Sin incluy en el presupuesto del 2008 la adquisicin de la solucin
50
51
cambios en los componentes de la conguracin. No se aplica el procedimiento
52
ocializado para la gestin de problemas.
53
No se documentan las soluciones aplicadas a los problemas.
60
Ausencia de detectores de humo.
El CC mantiene una UPS exclusiva Fallas 61 en los equipos que para equipos crticos y se compr una adicional para respaldo de las tres que soportan toda la institucin. Se est elaborando el procedimiento institucional para soporte de medio
mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado)
No 65
contar
con
un
ambiente. proceso A partir del 2008 se aplicar un
para revisar peridicamente el nuevo mtodo de evaluacin del desempeo actual y la capacidad desempeo basado en compromisos de los recursos de TI. de desempeo Utilizacin de indicadores sobre el desempeo de TI que no son Con base a los planes tcticos y relevantes y que no colaboran en la nueva cartera de proyectos se la identicacin de oportunidades redisearon los indicadores para de mejora en los procesos medir el desempeo Se tiene programada la revisin de importantes de TI. Arquitectura desactualizada. de informacin la arquitectura para ajustarla de ser necesario, con base a la nueva cartera de proyectos Se desarrollar la capacitacin
67
76
82
necesaria para que el personal utilice las herramientas adecuadamente Se establecern administradores de riesgos por rea de coordinacin, y reuniones mensuales de seguimiento para auto evaluacin y mejora
86
No administrar los riesgos de TI.
Utilizar un marco de trabajo 87 deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional.
Se lleva a cabo estudio de auditora, se desarrollo un sistema automatizado para control de riesgos, y se est realizando una evaluacin de riesgos. Ajustar la cartera de proyectos al
No contar con el contenido presupuesto aprobado y elaborar 89 presupuestario para la ejecucin un presupuesto extraordinario para de los proyectos. reprogramar los proyectos en caso de que este se apruebe Se harn auditorias sistemas peridicas
92
Los
proyectos
no
estn
documentados No contar con un marco de
para control de los expedientes de
referencia para la gestin de Se acord capacitar en el 2008 a los 93 su proyectos iniciacin, en cuanto a todos los gerentes sobre la necesidad planicacin, de aplicar la metodologa, e iniciar
ejecucin, control y cierre, o cada proyecto capacitando a todo el aplicar ese marco de referencia equipo de proyecto decientemente.
A partir de la nueva cartera de proyectos, los gerentes de Divisin tienen que Falta de apoyo del patrocinador del asegurar los recursos a los proyectos proyecto. en los cuales son patrocinadores; total o compartido, e incluirlos como parte de su PAO
95
Evaluacin de riesgos tratados

En la siguiente tabla se presenta la calicacin de los riesgos proyectando la aplicacin de los planes de tratamiento (riesgos tratados): Id
4 18 31 38
Riesgo Versiones de software desactualizadas. No contar con la metodologa y procedimientos necesarios para la administracin de los cambios. Suspensin de servicio de Internet No se conocen los costos asignados a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que estn asociados a los servicios de TI. Se realizan cambios en la conguracin de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer cambios en los componentes de la conguracin. No se aplica el procedimiento ocializado para la gestin de problemas. No se documentan las soluciones aplicadas a los problemas. Ausencia de detectores de humo. Fallas en los equipos que mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No contar con un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. Utilizacin de indicadores sobre el desempeo de TI que no son relevantes y que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI. Arquitectura de informacin desactualizada. No se tiene dominio sobre las herramientas en uso. No administrar los riesgos de TI. Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional.
P
1 1 2
I
3 4 2
S
3 4 4
1
1
3
3
3
3
39
50
51
1 2
1 2 2
4 3
5 3 3
4 6
5 6 6
52 53
60 61
65
67
76 82 86
1 1
4 3
4 3
1 1
4 4
4 4
87
89
92
No contar con el contenido presupuestario para la ejecucin de los proyectos. Los proyectos no estn documentados No contar con un marco de referencia para la gestin de los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Falta de apoyo del patrocinador del proyecto.
1 1
5 4
5 4
93
95
Es interesante observar la evolucin de los riesgos en cada uno de los niveles de evaluacin (absoluto, controlado y tratado); seguidamente se presenta la calicacin para los riesgos prioritarios.
ID Riesgo Absoluto
12
Controlado
8
Tratado
3
4
18
Versiones de software desactualizadas. No contar con la metodologa y procedimientos necesarios para la administracin de los cambios. Suspensin de servicio de Internet No se conocen los costos asignados a los servicios prestados por TI. No se cuenta con un proceso de anlisis para mejorar los costos que estn asociados a los servicios de TI. Se realizan cambios en la conguracin
12
12 9
31 38
8 9
4 3
39
50
de componentes de la infraestructura y no se reejan en la documentacin. No se conoce el impacto de hacer cambios en los componentes de la conguracin. No se aplica el procedimiento ocializado para la gestin de problemas.
12
51
12
9
8
9
4
6
52
53 60
No
se
documentan
las
soluciones
aplicadas a los problemas. Ausencia de detectores de humo. Fallas en los equipos que mantienen el medio ambiente apropiado para la operacin de TI (UPS, Aire acondicionado) No contar con un proceso para revisar
20
20 9
5 6
9
15
61
65
peridicamente el desempeo actual y la capacidad de los recursos de TI. Utilizacin de indicadores sobre el desempeo de TI que no son relevantes y
67
que no colaboran en la identicacin de oportunidades de mejora en los procesos importantes de TI. Arquitectura de informacin
12
12
76
82 86
desactualizada. No se tiene dominio sobre las herramientas en uso. No administrar los riesgos de TI. Utilizar un marco de trabajo deciente para la gestin de riesgos, y no alineado con el apetito del riesgo institucional. No contar con el contenido presupuestario para la ejecucin de los proyectos. Los proyectos no estn documentados No contar con un marco de referencia para la gestin de los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Falta de apoyo del patrocinador del proyecto.
12
12 16
8 8
3 4
87
16
89 92
10 16
10 8
5 4
93
16
95
16
Organizacin para la gestin de los riesgos

A efectos de mantener una organizacin adecuada para la Gestin de los Riesgos en la USTI, y con el objetivo de mantener riesgos actualizados, controlados, y planes de tratamiento para mitigarlos, se adecua la organizacin mediante asignar un asistente de la jefatura que recopile riesgos en un nivel preliminar, los procese, y para que actualice el mapa trmico para conocimiento de la jefatura y los coordinadores de rea. La identicacin y evaluacin de los riesgos debe ser sustentado por un sistema participativo de planicacin que considere la misin y la visin institucionales, as como objetivos, metas y polticas; por esa razn se estarn realizando reuniones una vez al mes con los coordinadores de rea para considerar el tema. Se reforzar la administracin basada en riesgos para los coordinadores de rea y asistente de la jefatura, con el objetivo que darle robustez a la organizacin y a la UTI en su gestin, siempre bajo el modelo de administracin de riesgos de la CGR, la poltica de valoracin de riesgos emitida por el Despacho, la metodologa para valoracin de riesgos, y los lineamientos generados por la Divisin de Estrategia Institucional. Los insumos para la identicacin de riesgos estarn basados principalmente en los que a continuacin se indican: Planes institucionales, sectoriales y nacionales. Anlisis del entorno interno y externo. Evaluaciones institucionales. Descripcin de la organizacin (procesos, presupuesto, sistema de control interno). Normativa externa e interna asociada con la proceso/proyecto e institucin. Documentos de operacin diaria y de la evaluacin peridica.
A continuacin se incluye el organigrama de la UTI; segn la propuesta en donde se identica al asistente de la jefatura, y a los coordinadores en su ltimo nivel.
Or ganizacin
Despacho C ontr alor aG ener al C omitG erencial deT I C s Divisin G estindeA poyo Unidad TecnologasI nfor macin Presupuestoy C ompr as Secretar a
Sopor tea C lientes
Desar rollo Sistemas
Platafor made R edes
Platafor ma Tecnolgica
C entrode C mputo
(1)
DivisindeDesar r olloI nstitucional UnidaddeSistemasyT ecnologadeI nfor macin
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que se incorporan a continuacin en el presente documento. a. Mantener un mapa trmico actualizado con los riesgos controlados que estn identicados con una severidad alta o extrema. b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de la UTI evale con los coordinadores de rea los planes de tratamiento que se estn aplicando a los riesgos del mapa trmico identicados como alto o extremo, con el objetivo de actualizarlos si se considera que es factible mejorarlos para mitigar el riesgo. c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin, mediante capacitacin peridica y con base en los anlisis que se realicen en las reuniones los das lunes primero de mes. d. Centralizar la actualizacin preliminar de los riesgos identicados, controlados, y planes de tratamiento, en un asistente de la jefatura de UTI que se encargar de preparar el material de la reunin de los lunes, y de alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo riesgo que clasique como alto o severo. e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con nes de clasicarlos, para alertar a la jefatura en caso de riesgos extremos o altos. f. Cada coordinador de rea debe administrar con base a los riesgos detectados, reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos controles que han sido aplicados, a n de mantener la administracin de riesgos actualizada; sin importar para este caso el nivel de riesgo; todos deben ser reportados para procesarlos. g. Adquisicin de un software institucional que facilite la administracin basada en riesgos.
Anexo - NTP4
Instrumento metodolgico MAI
Proyecto para el desarrollo de un Modelo de Arquitectura de Informacin para la Contralora General de la Repblica.
Instrumento metodolgico.
Descripcin de la metodologa a utilizar La Arquitectura de Informacin (MAI) de la Contralora General de la Repblica ser actualizada a partir de los procesos denidos o modicados en la ms reciente versin ocializada del Manual General de Fiscalizacin (MAGEFI). Para la denicin de dicha Arquitectura se utilizar la metodologa de Business System Planning (BSP) (Planicacin de los Sistemas del Negocio), la cual implementa un enfoque estructurado para ayudar a la organizacin a establecer los ujos de informacin y el manejo de los datos que son utilizados por los procesos. Se utilizar una versin simplicada de la metodologa BSP, dado que a la fecha se dispone nicamente de la descripcin macro de todos los procesos de la organizacin. El MAGEFI ser el marco conceptual general, a partir del cual se detallarn los ujos de informacin y los datos involucrados. Se plantea inicialmente aplicar BSP a manera de plan piloto (posiblemente aplicado a por lo menos dos procesos representativos), para adaptar y anar el mtodo a nuestras necesidades, para luego abarcar todos los procesos con el apoyo de los expertos funcionales de cada una de las reas de la organizacin.
Para cada uno de los procesos se deber generar una tabla que incluya: Nombre del proceso rea(s) que lo ejecuta(n) deniendo responsables y participantes. Detalle de los diferentes insumos y productos del proceso a nivel de entidad de informacin1. Clientes inmediatos de los productos (internos y externos). Sistemas de informacin involucrados. Necesidad de sistemas de informacin u otras soluciones. Con dicha informacin se aplicarn cada uno de los pasos denidos en la tcnica del BSP, a saber: Paso 1: Denir los procesos del Negocio Lista de procesos Breve descripcin de cada proceso reas responsables y participantes Paso 2: Denir clases de datos Clase de datos: grupo de datos categorizado lgicamente a nivel de entidad de informacin. Crear la Matriz de Proceso/Base de Datos Sujeto, indicando quin crea la informacin y quin la usa. Paso 3: Mapear como utiliza la organizacin los datos (a nivel de entidad de informacin) Generar matriz de procesos y responsables Generar matriz de procesos y sistemas
Una entidad es una cosa u objeto en el mundo real que es distinguible de todos los dems objetos. Una entidad tiene un conjunto de propiedades y los valores para algn conjunto de estas propiedades pueden identicar a una entidad de forma univoca. Un conjunto de entidades es la totalidad de las entidades de mismo tipo que comparten las mismas propiedades.
Paso 4: Denir la arquitectura de informacin Ordenar las bases de datos sujeto por proceso Agrupar procesos y datos en sistemas principales Se trazan los ujos de datos de un sistema a otro, del que lo crea al que lo utiliza. Poner nombres (tentativos) a los subsistemas de informacin. Paso 5: Elaborar la matriz de prerrequisitos para determinar la secuencia de desarrollo. Paso 6: Identicacin bsica de macrosistemas y subsistemas.
Opciones para la recopilacin de la informacin

En la recopilacin de la informacin requerida por el BSP para la denicin de la Arquitectura de Informacin, es fundamental la participacin de expertos funcionales para cada proceso denido en la ltima versin del MAGEFI. Estos mismos expertos sern los que en su momento debern documentar y detallar a nivel de procedimientos, todas las actividades denidas para el proceso por ellos conocido. Para el xito de ambos proyectos es fundamental la disponibilidad de tiempo y el compromiso de dichos expertos. Teniendo presente que la fecha lmite, planteada para cumplir con lo que establece la norma 2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las Tecnologas de
Informacin, de contar con un modelo de Arquitectura de Informacin, est denida como

30 de junio del ao 2009, se hace necesario analizar las siguientes alternativas de accin: Opcin 1: Realizar el levantamiento de informacin requerida para la denicin del MAI, unindose al proceso de detallar los procesos denidos por el MAGEFI y documentar los respectivos procedimientos.
Ventajas: Se realiza un proceso coordinado mediante el cual los expertos funcionales de cada proceso responden a un nico requerimiento de denicin de los procesos, tanto para detallar el MAGEFI como para crear el MAI. En el anlisis detallado de los procesos los expertos funcionales pueden determinar de mejor manera las entidades y ujos de informacin inmersos en el proceso. Desventajas: Se ve difcil lograr recabar toda la informacin requerida para crear el MAI, con el suciente tiempo para tener dicho modelo bien documentado a junio 2009; a no ser que la documentacin detallada de los procesos del MAGEFI se logre enmarcar dentro de las mismas fechas y esto para todos los procesos compilados en dicho manual. En la denicin detallada de los procesos del MAGEFI podra suceder que no todos los procesos puedan ser atendidos al mismo ritmo debido a las mltiples ocupaciones de los expertos funcionales, lo cual afectara la denicin del MAI debido al faltante de la informacin de esos procesos. Opcin 2: Realizar el levantamiento de informacin requerida para la denicin del MAI realizando una coordinacin directa entre el equipo de proyecto MAI y los expertos funcionales conocedores de los procesos, adelantndose al levantamiento de informacin que realizar el equipo MAGEFI. Ventajas: Se puede recopilar la informacin necesaria para crear el MAI con suciente tiempo para cumplir con la fecha lmite planteada (junio 2009). Se contara con el apoyo del Despacho para que los expertos funcionales respondan primero a los requerimientos de informacin para crear el MAI, los cuales son menores en cantidad respecto a lo requerido para detallar los procesos del MAGEFI y documentar los procedimientos.
Se tendra una muy buena base para la denicin de procesos del MAGEFI. Desventajas: Los expertos funcionales debern responder inicialmente a lo que el proyecto de creacin del MAI les demande, para luego trabajar en detallar y documentar los procesos del MAGEFI. Podra darse una duplicidad de esfuerzos, aunque este riesgo se puede mitigar con la apropiada asesora a los expertos y la coordinacin respecto a los requerimientos planteados por ambos proyectos (MAGEFI y MAI). El levantamiento de informacin para crear el MAI se adelanta a la denicin de los procesos y a la documentacin de los procedimientos, pudiendo estos cambiar cuando se realice el correspondiente anlisis detallado. Se corre el riesgo de denir un modelo de arquitectura de informacin que reeja los datos y los ujos a como se hacen las cosas hoy y no a como el MAGEFI lo plantea, esto por cuanto este manual introduce cambios de visin respecto al cmo se hacen las cosas. Recomendacin:
Teniendo como fecha lmite para contar con el Modelo de Arquitectura de Informacin el 30 de junio de 2009, recomendamos la aplicacin de la opcin 2, la cual permitir contar a tiempo con los insumos requeridos para crear el MAI y dar as cumplimiento a lo establecido por la norma 2.2 del Manual de Normas Tcnicas para la Gestin y el Control de las
Tecnologas de Informacin.
Dado que el MAI es un modelo vivo dentro de la organizacin, todo cambio en los procesos se puede y deber aplicar posteriormente. Es as como cualquier cambio que surja con la posterior institucionalizacin de los procesos del nuevo MAGEFI, puede ser aplicado al modelo de Arquitectura de Informacin sin ningn problema.
El equipo de proyecto MAI ve difcil lograr coordinar las fechas del proyecto MAGEFI con la fecha lmite de 30 de junio de 2009, tomando en cuenta las mltiples ocupaciones de los expertos en los procesos y las temporadas pico en procesos como lo son la tramitacin de presupuestos ordinarios o los procesos de contratacin administrativa que se incrementan conforme se acerca el n y principio del ao. Adicionalmente, debe considerarse la dicultad de documentar un procedimiento por cada actividad que conforma cada proceso; si se consideran entre 3 y 5 actividades por proceso y en total se tienen 26 procesos, estamos hablando de que sern cerca de 120 procedimientos por documentar.
Anexo - NTP5
Diagnostico inicial MAI
Proyecto para el desarrollo de un Modelo de Arquitectura de Informacin para la Contralora General de la Repblica.
Documento de Diagnstico Necesidad que atiende el presente documento
El presente documento expone los resultados de una investigacin de mejores prcticas metodolgicas a tomar en consideracin para el desarrollo de un modelo de arquitectura de informacin (MAI) para la Contralora General de la Repblica (CGR), tomando en cuenta que est acorde con las ltimas orientaciones estratgicas y tcticas, que la institucin se ha dictado para gestionar las tecnologas de informacin y comunicacin. Esta propuesta constituye el primer producto documental del proyecto a ser aprobado formalmente, que conocer la jefatura de la Unidad de Sistemas y Tecnologa de Informacin en primera instancia, para que la retroalimente y le d el trmite necesario para su aprobacin. De esa forma el trabajo sucesivo del proyecto puede contar con el respaldo superior necesario, para llevarlo a buen trmino en el mbito institucional.
Justicacin
La informacin y las comunicaciones son medios indispensables para el funcionamiento de cualquier organizacin, ms an para organizaciones como la Contralora General, que procesa informacin o datos, por medio del conocimiento, para generar y comunicar nueva informacin (evaluaciones, refrendos, tasas, criterios tcnicos, lineamientos, disposiciones, aprobaciones, etc.) En ese contexto, el manejo y aprovechamiento de la informacin y de las comunicaciones requiere importantes esfuerzos y costos, que deben verse compensados por el valor agregado que generan.
Asimismo, los esfuerzos y costos para gestionar la informacin y las comunicaciones dependen, indiscutiblemente, de las tecnologas relacionadas (TIC). La inversin en stas y en el conocimiento necesario para que las personas las aprovechen al mximo, bien puede considerarse entre los principales rubros en los presupuestos de las organizaciones modernas, para mantenerse actualizadas en la materia. Es sumamente riesgoso que las organizaciones hagan altas inversiones en TIC sin una idea clara de cmo debe ordenarse sistemticamente el ujo de datos y las comunicaciones; para apoyar de manera intencionada la operacin de los procesos, as como el cumplimiento de la estrategia y planes organizacionales. La teora y prctica administrativa y del control interno, en virtud del carcter estratgico e importancia relativa de estas inversiones, cada vez con ms urgencia llaman la atencin sobre las mejores prcticas en esta materia. Es as como la Contralora General, en las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin, emitidas mediante la Resolucin del Despacho de la Contralora General de la Repblica, Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro.119 del 21 de junio de ese mismo ao, incluye una norma referida al modelo de arquitectura de informacin, en los siguientes trminos:
En efecto, un asunto trascendental en este contexto de alta dependencia de las TIC para la gestin estratgica, tctica y operativa de la informacin y las comunicaciones; es disponer de un Modelo de Arquitectura de Informacin (MAI), que soportado en el modelado de los procesos de la organizacin, establezca cual es la informacin que
en stos uye, el manejo que debe drsele y la integracin entre los procesos a nivel de ujos de informacin. Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos, como principio bsico para justicar la inversin en los elementos tecnolgicos que apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la cual se construya la abilidad y el valor agregado de la incorporacin de las TIC a los procesos de la organizacin. La CGR emprende, actualmente, importantes esfuerzos para aplicar las referidas Normas Tcnicas para la Gestin y el Control de las TIC, como mejores prcticas de apoyo para la gestin estratgica institucional. El Modelo de Arquitectura de Informacin (MAI), es una pieza fundamental para esos efectos, tal como lo han contemplado el Plan Estratgico de TIC 2007-2010 (PETIC) y su correspondiente Plan Tctico 20082010 (PTAC), que conforman el antecedente ms cercano en esta materia. Con la elaboracin del MAI, la CGR cumple adems con el referido numeral que especcamente regula este aspecto en las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin, emitidas por este rgano Contralor.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones. An cuando nunca se haya dado a la tarea de identicarla ni documentarla, la existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura. Al respecto, denir y documentar un modelo de arquitectura de informacin es un nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de una decisin intencionada para mejorar la administracin de TICs.
Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de informacin que, en buena medida, ha determinado el inventario de sistemas de informacin y de soluciones tecnolgicas disponibles. Ese modelado, el conocimiento y la experiencia generada al construirlos sern insumo importante para el presente proyecto. Ese modelado previo requiere ser actualizado para que responda a los aspectos cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan requisitos que aquel modelo no contempl en su momento. Esa realidad queda evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha dictado para gestionar las TIC institucionales, las cuales se resumen y presentan en el anexo 1 del presente documento. Estas orientaciones estratgicas y tcticas planteadas en el PETIC y en el PTAC constituyen un insumo bsico para analizar y escoger el marco metodolgico para desarrollar un modelo de arquitectura de informacin en la CGR. Este MAI deber ser una herramienta a usar por el nivel estratgico de la organizacin, que ayude a visualizar con base en prioridades y lineamientos del Plan Estratgico Institucional, el aporte o apoyo que las TICs brindan al logro de objetivos institucionales. Es por ello que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico de TIC (PETIC). Se puede indicar que un buen PETIC incorpora un estado actual y futuro del MAI y al mismo tiempo un buen MAI debe considerar los lineamientos o fundamentos bsicos del PETIC.
Esquema metodolgico
El equipo de trabajo investig varias metodologas relacionadas con el desarrollo de un Modelo de Arquitectura de Informacin, viendo este modelo como una pieza importante dentro de un modelo mayor que le da sentido y utilidad. Ese modelo
mayor es el Modelo de Arquitectura Empresarial (MAE) el cual busca establecer la forma en que los procesos de la organizacin se interrelacionan, apoyados por TICs en cuanto al manejo y procesamiento de la informacin. Este Modelo de Arquitectura Empresarial se divide en dos perspectivas: la perspectiva orientada al negocio, en donde se ven los procesos, sus interrelaciones y los datos involucrados (es aqu donde se tiene el MAI); y la perspectiva tcnica que establece la forma en que se organiza y disponen las TIC para dar soporte a los procesos. El MAE constituye una herramienta vital en orden a orientar toda inversin en tecnologa, proveyendo elementos imparciales que sustenten no slo justicar dicha inversin, sino tambin la medicin del impacto que se obtendr en el logro de los objetivos institucionales. Dentro de este modelo general el MAI es verdaderamente una herramienta de gestin y toma de decisiones en materia de TIC, esto en la medida en que la perspectiva tcnica responda a lo que el arquitecto plantea, en relacin a lo que los procesos de la organizacin necesitan para el manejo de la informacin y los datos. Este documento presenta el siguiente esquema metodolgico, tendiente a establecer un marco de referencia que permita conocer la forma en que debe desarrollarse una arquitectura de informacin, dentro de un enfoque incremental basado en un modelo de madurez. Para ello, a continuacin seala como puntos de referencia los componentes del modelo de arquitectura empresarial (dentro del cual, una de las piezas es la arquitectura de la informacin) y un esquema de madurez para denirla y guiar su implementacin en la CGR, desde un nivel bsico hasta uno ptimo.
El modelo empresarial deber considerar los siguientes componentes: 1. Procesos del negocio de la CGR a. Misin, visin, valores, objetivos estratgicos b. Modelo de gestin de la CGR c. Macroprocesos y procesos de la cadena de Valor de la CGR. 2. Informacin y comunicaciones a. Flujos de datos basado en el modelo organizacional b. Manejo operativo, plazos, responsables, propiedad y custodia, seguridad sobre los datos c. Denicin e integracin de los macrosistemas para la organizacin. 3. Aplicaciones a. Inventario de sistemas y soluciones b. Interfaces y relaciones, ujos de datos c. Enlaces de telecomunicacin y servicios extendidos (Internet, extranet, intranet) 4. Tecnologa a. Plataformas fsicas b. Conectividad c. Seguridad de los datos d. Sistemas de base e. Gestores de bases de datos f. Lenguajes y herramientas de desarrollo El modelo empresarial describir los procesos de la CGR y la forma en que esos procesos funcionan, los datos involucrados y el ujo que presentan; los recursos tecnolgicos y de otras naturalezas que requieren para operar de manera ptima.
El MAI deber entonces establecer el diseo general de los sistemas de informacin (no necesariamente ya automatizados), los datos y sus interrelaciones, documentar un diccionario de datos del negocio (institucional) con su esquema de clasicacin, estableciendo criticidad, sensitividad y propiedad de los datos. Finalmente deber establecer los controles de seguridad apropiados para cada una de las clasicaciones. Para la implementacin de un MAE es claro que debe considerarse un desarrollo gradual por niveles, en el cual, ubicando la situacin de la organizacin respecto de los diversos componentes del modelo, se establece un estado actual y se trabaja ordenadamente para lograr alcanzar el nivel inmediato superior. Para ello nuestra propuesta de niveles de capacidades asociados a cada componente es la siguiente:
C: \Documentsand Settings\jleon\Escritorio\TrabajoActual\MAI \ESQUEMADEMADUREZDELOSCOMPONENTESDELMAI . doc
Evolucin segn modelo de madurez

La Contralora General procurar evolucionar su modelo de informacin desde una perspectiva de madurez de capacidades. El equipo de trabajo aplicar un diagnstico para determinar el estado actual de la CGR con respecto al modelo de referencia, el cual puede ser objeto de mejoras conforme se vaya desarrollando el proyecto. El horizonte de tiempo para ir alcanzando estados de madurez sucesivos, depender de lo que el modelo de procesos establezca y de la dedicacin de recursos para alcanzarlo, segn la relacin que debe existir entre el MAI y el MAE como se explic en el enfoque metodolgico.
Alcances y limitaciones
Coma ya se indic la elaboracin de cualquier modelo de informacin deber partir de la perspectiva de los procesos del negocio, para que as logre los resultados esperados. El insumo fundamental para desarrollar el modelado de la arquitectura de informacin de la CGR, es la denicin de los macro procesos y procesos institucionales de primer nivel, debidamente formalizada en el ms reciente Manual General de Fiscalizacin (MAGEFI). El nivel de desarrollo del MAI en la CGR ser hasta el nivel que lo permita el modelado organizacional existente; inicialmente en trminos de insumo, actividades del proceso y productos, que es lo denido en el nuevo MAGEFI. Las personas con conocimiento experto en los procesos, mismas que debern implementar en la organizacin lo que el MAGEFI plantea, sern las personas que debern aportar la visin de datos asociada a los procesos, que servir como insumo para desarrollar el MAI de la CGR.
Estrategia de desarrollo
El equipo del proyecto MAI realizar un diagnstico dirigido a ubicar la situacin actual de la CGR en el modelo de capacidades planteado como punto de referencia. Una vez ubicado el estado actual se trabajar para lograr las condiciones requeridas en el siguiente nivel. Para la recopilacin de la informacin relacionada con los datos que utilizan y uyen por los diferentes procesos de la organizacin se recurrir a los expertos en los diferentes procesos. Para orientar y estandarizar la forma en que estos expertos documentan la visin del negocio desde la perspectiva de los datos, el equipo del proyecto MAI desarrollar los instrumentos de captura de informacin apropiados.
Para ello este equipo aplicar antes los instrumentos desarrollados en un proceso piloto para evaluarlos y ajustarlos. Una vez que se cuente con dichos instrumentos para el levantamiento de la informacin requerida para hacer el MAI, ser necesario desarrollar talleres con expertos funcionales de las diversas divisiones operativas de la CGR, con el n de explicarles el trabajo a realizar, el instrumento metodolgico a utilizar y los plazos sugeridos para recopilar la informacin para cada uno de los procesos. Se utilizar como referencia el ltimo modelado de procesos denido para la CGR, con a las actividades all propuestas, sean stas vigentes o estn por implementarse, conforme a la propuesta del MAGEFI. Los expertos documentarn sobre la informacin que cada uno de sus procesos requiere o genera y harn llegar al equipo del proyecto MAI los formularios debidamente llenos. El equipo del proyecto MAI procesar la informacin que remitan los expertos funcionales y elaborar el modelo de informacin que incluye el diseo de su representacin lgica, el diccionario de datos institucional y el modelo de referencia para la clasicacin de los datos. Deber considerar el uso compartido de la informacin, su integridad, exibilidad, y la correcta, eciente y econmica, oportuna y segura operacin. El modelo deber estar debidamente documentado, tanto en forma narrativa como mediante una representacin grca que permita resumir y visualizar con suma claridad los ujos de informacin y la forma en que interactan los procesos institucionales a nivel de datos. Deber clasicar los datos a nivel institucional permitiendo identicar los propietarios y responsables de los datos, catalogar los datos con base en su criticidad, sensitividad, multimedios y ubicacin fsica. Deber facilitar la determinacin de los privilegios de acceso de los usuarios, as como los requerimientos de respaldo y disponibilidad, retencin (tiempo de almacenamiento), desecho, y necesidad relativa
de cifrado (encripcin). El modelo debe promover la seguridad informtica en todos los alcances pertinentes. A partir del MAI actualizado ser posible plantear los macro sistemas sustantivos y de apoyo, as como los sistemas o soluciones adicionales que requiere la institucin para operar. Esta propuesta de macrosistemas, unida al MAI ser el insumo indispensable para que la USTI desarrolle una intensa actividad tendiente a inventariar las necesidades de informacin, documentarlas y confrontarlas contra los sistemas actuales, para luego identicar sistemas que requieren modicaciones, as como nuevos sistemas a incluir dentro de un plan de sistemas. Finalmente el proyecto de desarrollo del MAI establecer una actividad de evaluacin de resultados, con el n de diagnosticar el cumplimiento del objetivo, as como del logro de los productos previstos. El anexo 2 contiene un cuadro de tareas a realizar estableciendo el plazo estimado y los responsables de realizarlas.
Modelo sostenible en el tiempo

El modelo debe mantener vigencia, por lo que la organizacin deber desarrollar los procedimientos de actualizacin y documentacin pertinentes. El modelo deber ser la referencia para denir, estandarizar y habilitar la infraestructura tecnolgica de la organizacin, de forma que sea tanto una herramienta de administracin de la informacin, como la base para dirigir la inversin tecnolgica con alineacin estratgica institucional. Finalmente la organizacin deber revisar peridicamente el MAI para medir el alcance de sus resultados y determinar las actividades que requieren seguimiento o mejora.
Asimismo el PETIC deber contemplar actividades tendientes a mantener vigente el MAI y alinear la perspectiva de desarrollo tecnolgico a este modelo, tomando en cuenta tanto los sistemas que ya estn operando, como la plataforma tecnolgica instalada.
Objetivo del proyecto

Actualizar y mejorar el modelo de arquitectura de la informacin de la CGR, en el transcurso de los prximos doce (12) meses, mediante la identicacin, denicin y documentacin del conjunto de datos requeridos para apoyar la operacin y la toma de decisiones en los diversos macro procesos y procesos de la CGR, y proponer un modelo de macro sistemas que apoyen el manejo de esos macro procesos.
Productos
Modelo de arquitectura de informacin de la CGR (MAI) Propuesta de modelo de macro sistemas que soporten los macro procesos de Fiscalizacin Integral, Gobierno Corporativo, Gestin del Conocimiento y Gestin de Recursos.
Subproductos
a. Representacin lgica del ujo de informacin institucional, totalmente alineado al modelado organizacional planteado en el ltimo MAGEFI. Debe considerar la creacin y uso compartido de la informacin institucional de forma ntegra, exible, funcional, eciente y econmica, as como oportuna, y con la debida seguridad. b. Modelo de referencia para clasicar datos a nivel institucional, que permita catalogar los datos con base en su criticidad y sensitividad, propiedad, niveles de seguridad (acceso, respaldo y disponibilidad, as como
requerimientos de cifrado), retencin y desecho. El modelo de referencia debe ser documentado. c. Diccionario de datos institucional debidamente actualizado y documentado, con las respectivas reglas de sintaxis, que identique y regule la utilizacin de los datos en los procesos; los clasique y establezca la seguridad a aplicar. d. Procedimientos de actualizacin y documentacin del modelo de arquitectura de informacin.
Factores crticos de xito del MAI y gestin de riesgos

Como parte del alineamiento del Plan Estratgico y del Plan Tctico de Tecnologas de Informacin y Comunicacin (PETIC-PTAC), el proyecto de Modelo de Arquitectura de Informacin depende de un conjunto de factores crticos de xito (FCE) consignados en esos planes, respecto de los cuales se puede establecer una correspondencia para el MAI, a saber: FCE de PETIC y PTAC
Potencial humano: La participacin del personal a partir de un perl de competencias claramente denido y adecuado a las tecnologas de informacin facilitar el logro de las iniciativas contenidas en este plan.
Correspondencia para el MAI

El equipo encargado del desarrollo del MAI debe estar conformado por representantes de las diversas unidades de la CGR, de manera que, en conjunto, renan suciente conocimiento y experiencia sobre la institucin, sus cometidos estratgicos, sus procesos y adems sobre metodologas ampliamente aceptadas para el desarrollo de modelos de arquitectura.
Los funcionarios que se consulten en las diversas fases de desarrollo del MAI deben tambin ser de amplia experiencia en la institucin y en los procesos respectivos.
Evolucin:
Depuracin,
documentacin
Los requisitos para el desarrollo del MAI deben contemplar los aspectos de depuracin,
y desarrollo del modelo de informacin y comunicacin institucional.
documentacin y desarrollo, partiendo de los insumos disponibles en la CGR.
Reactivacin del comit gerencial de tecnologas de informacin y comunicacin.
El Comit Gerencial de Tecnologas de informacin y comunicacin debe conocer y aprobar el modelo de arquitectura, para que en conjunto con el modelo de infraestructura tecnolgica, sea usado como base para la evolucin en materia de tecnologas dentro de la organizacin.
Planicacin detallada: se reere al proceso de planicacin tctica, el cual desarrollar el portafolio de proyectos, y al grupo de indicadores de gestin necesarios para gestionar las
El
PTAC
en
sus
futuras
revisiones
reformulaciones deber tomar como referencia el modelo de arquitectura de informacin y alinear la cartera de proyectos para que dicho modelo sea desarrollado, orientando las acciones hacia el logro de los objetivos para los cuales el MAI fue creado.
actividades de ejecucin continua que resulten pertinentes.
El MAI debe incluir una especicacin de variables a medir u observar para dar cuenta de en qu medida est logrando un valor agregado al manejo de la informacin y las comunicaciones en la CGR. Asimismo, el PETIC y PTAC estn expuestos a riesgos internos y externos que requieren medidas de gestin para aprovechar las probables oportunidades y mitigar las potenciales consecuencias negativas, segn lo establecen ambos planes, respecto de lo cual tambin se puede establecer una correspondencia para el MAI:
reas generales de riesgo en PETIC- PTAC EXTERNOS
Correspondencia para el MAI
Contenido presupuestario: En vista de Debe preverse oportunamente si el que el presupuesto de la CGR depende desarrollo e implementacin del MAI va del presupuesto nacional, pueden ocurrir a demandar recursos adicionales a la recortes en algunos rubros que obliguen dedicacin de los funcionarios de CGR a disminuir el alcance y cumplimiento del que participarn en su planteamiento, portafolio de proyectos. O bien, puede tales como determinada disponibilidad suceder que an existiendo el contenido tecnolgica, asesoras, capacitacin y presupuestario, ste no haya sido referencias bibliogrcas. estimado de forma adecuada, de manera que los recursos sean insucientes para cumplir con los objetivos planteados.
No disponer de recursos externos, alianzas y convenios con entidades que tengan experiencia en el desarrollo de modelos de arquitectura de informacin. INTERNOS
Viabilidad de los proyectos: Los proyectos requieren condiciones particulares para realizarlos, segn sus caractersticas tecnolgicas, naturaleza. jurdicas y de otra
No contar con un marco de referencia para la gestin del los proyectos en cuanto a su iniciacin, planicacin, ejecucin, control y cierre, o aplicar ese marco de referencia decientemente. Dependencia del proyecto MAGEFI: Que el nivel de detalle de la documentacin de los procesos que se requiere no sea suciente para el desarrollo del MAI.
Potencial humano capacitado: Contar El personal no cuenta con el tiempo con personal humano capacitado, suciente para dedicarse a las tareas un perl apropiado y el proceso de propias del desarrollo del modelo de capacitacin facilitar an ms que el arquitectura de informacin. personal pueda desarrollar sus tareas y apoyar el cumplimiento de los objetivos institucionales. Los expertos funcionales requeridos para el desarrollo del proyecto MAI tienen a su vez que dedicarse a las exigencias del proyecto de MAGEFI, en cuanto al desarrollo detallado de la documentacin de los procesos de la organizacin.
Referencias investigadas
a. Cuenca Gonzlez et al. Arquitectura de Empresa, Visin General. IX Congreso de Ingeniera de Organizacin. Setiembre 2005. b. Garrett, Jesse James. The elements of user experience. www.jjg.net/ia/ Marzo 30, 2000. c. IT Governance Institute. COBIT 4.1. Rolling Meadows, Chicago, Illinois, 2007. www.itgi.org d. Ofce of Management and Budget (OMB). Federal Enterprise Architecture. http://www.whitehouse.gov/omb/egov/a-1-fea.html e. The Open Group. The Open Group Architecture Framework (TOGAF), versin 8.1.1, enterprise edition. 2007. f. United States Departament of Commerce. Enterprise Architecture Capability Maturity Model (ACMM). Version 1.2. December 10, 2007. g. Zachman, J.A. A framework for information systems architecture. IBM Systems Journal, Vol. 26, No. 3, 1987.
Anexo 1
Orientaciones estratgicas para el modelo de arquitectura de informacin y comunicacin institucional

El PETIC de la Contralora General establece una situacin deseada a mediano plazo (2010), caracterizada en los siguientes trminos: Gestin de TIC. La CGR contar con un marco de gestin basado en mejores prcticas, con los mtodos, tcnicas, mtricas y herramientas respectivas que permitan la eciencia, ecacia y economa de los servicios de TIC. Infraestructura tecnolgica. En los prximos 5 aos, la CGR fortalecer la infraestructura tecnolgica en trminos de capacidad, disponibilidad, eciencia, y actualizacin. Para tal efecto, se considerar los equipos principales, el software de apoyo y de seguridad, la capacidad de almacenamiento masivo, el apoyo al usuario nal, y la creacin de capacidad del recurso humano. Comunicaciones. La CGR incrementar su capacidad de conectividad externa e interna de forma til y eciente, segura y con alta disponibilidad. Se procurar la incorporacin de tecnologas de comunicacin inalmbrica y equipos mviles de computacin de alto desempeo, as como redes convergentes (v.gr. datos, voz, vdeo) y telefona basada en servicios de Internet. Sistemas de informacin. La CGR desarrollar sistemas de informacin mediante la integracin de los macro procesos institucionales. La contratacin de servicios por outsourcing ser una opcin para el desarrollo de soluciones, dependiendo del sistema y del personal disponible en la CGR. Suministro de servicios. Se facilitar el intercambio y el registro de la informacin desde las instituciones y entidades privadas sujetas de scalizacin, para que oportunamente la CGR analice, procese, y genere
productos soportados en tecnologas, tal como un almacn de datos gubernamental, junto con sistemas aplicativos que permitan explotar tal informacin. La CGR fortalecer su Centro de Llamadas con el objetivo que nuestros clientes externos tengan un adecuado soporte para el mejor uso de los sistemas de informacin y comunicacin. Potencial humano. Se contar con un recurso humano entusiasta y dispuesto a fundamentar la ejecucin de su trabajo en las tecnologas de informacin y comunicacin que la Contralora le facilita. Lo anterior, requiere denir y actualizar constantemente el perl del funcionario que rena las condiciones que permitan implementar este plan. Adems, el PETIC seala que esa situacin deseada responde a un modelo de informacin y comunicacin institucional que, en un nivel preliminar de esbozo, muestra: Los macro procesos institucionales y su relacin sistmica apoyada en la gestin estratgica de las TIC, expresada en cuatro lneas de accin denidas como base para el alineamiento del PETIC con la Estrategia Institucional, a saber:
Seguridad y Control, Insercin tecnolgica, Suministro de servicios e Infraestructura Tecnolgica;
Ese funcionamiento integrado de los macroprocesos institucionales, soportado en bases de datos para la gestin del conocimiento y el apoyo a la toma de decisiones, con una orientacin hacia la administracin de riesgos, se esquematiza en el PETIC.
Orientaciones tcticas para el modelo de informacin y comunicacin institucional

Por su parte, consecuentemente con el referido planteamiento del PETIC, el correspondiente PTAC, en punto al referido esbozo del modelo de informacin y comunicacin institucional, establece que: Cada macro proceso institucional estar soportado por un macro sistema. Cada macro sistema estar compuesto a su vez por una serie de soluciones que solventan necesidades especcas de informacin, y Los macro sistemas estarn integrados funcionalmente, para apoyar el proceso de toma de decisiones. El PTAC pregura esa orientacin de la siguiente manera:
Ins erc inT ec nolgic a
C ontraloraG eneralde laR epblica

Implicamapeo delos proces os
Macroproces o G obierno C orporativo
Macroproces o F is calizacin Integral
Macroproces o G es tinde R ecurs os
Macroproces o G es tndel C onocimiento
S eguridadyc ontrolInformtic o
Implicaanlisis de s is temas legados
Macros is tema
Macros is tema
Macros is tema
Macros is tema
B as ededatos paralages tindelconocimiento Infraes tructuradeT ecnologas deInformacin
Adicionalmente, el PTAC, al suministrar algunos elementos adicionales que ayuden a construir ese modelo de informacin y comunicacin institucional, seala que:
La integracin de los macro sistemas y sus aplicaciones conllevar a la creacin de un almacn de datos (datawarehouse) que depositar las variables de datos ms importantes para apoyar el negocio institucional. Los sistemas locales aportarn datos para la mayora de esas variables, y en el caso de informacin no disponible internamente, la CGR tendr que convenir con otras instituciones para que pueda extraer datos de sus repositorios y bases de datos externas. Este almacn de datos institucional debe facilitar la minera de datos, que bsicamente consiste en el anlisis de tendencias, evaluacin de datos comparativos y la generacin de alertas sobre condiciones de riesgo en la administracin de la Hacienda Pblica. Al efecto, si bien la Contralora General cuenta actualmente con un nico repositorio de datos, no cuenta con las herramientas, experiencia, y desarrollo necesario. ste carece de las funcionalidades de minera descritas, no obstante representa un importante avance en las aspiraciones de integracin mencionadas. La integracin de la informacin implica un proceso de varias etapas. En primer lugar, la coordinacin con la Divisin de Estrategia Institucional en cuanto al mapeo y actualizacin de los macro procesos institucionales y la visualizacin de las soluciones y servicios tecnolgicos que correspondan, tales como acceso a tecnologas mviles, conectividad, telefona, y seguridad, entre otros. Posteriormente, se debe analizar y evaluar la vigencia y nivel de servicio de los sistemas existentes y de aquellos que estn en desarrollo actualmente. Por cuanto la institucin cuenta con un nico repositorio de informacin, ser relativamente menos compleja la obtencin de datos para la generacin de alertas y de informacin relevante para la scalizacin, lo que permitir un trabajo ms eciente y de mejor calidad. Este proceso de integracin sistemtica de la informacin debe estar soportado por una infraestructura tecnolgica que garantice la seguridad y
el mximo aprovechamiento de la capacidad tecnolgica, a la cual la CGR dar mantenimiento y actualizacin. Asimismo, para el desarrollo de los macro sistemas y para la infraestructura tecnolgica, la CGR aplicar una estrategia de seguridad y control basada en mejores prcticas. Precisamente, por su importancia estratgica, la CGR planicar la infraestructura de la tecnologa de informacin simultneamente con el desarrollo de los procesos anteriores. La institucin desarrollar y promover el uso de conexiones inalmbricas, la transmisin de voz sobre Internet, la optimizacin de los canales de acceso a Internet y otros servicios de conectividad, que permitan el acceso agilizado de los scalizadores al repositorio de bases de datos institucional. Lo anterior implica necesariamente el incremento de la capacidad de procesamiento, almacenamiento y conectividad de los servidores institucionales.
Anexo 2
Tabla de actividades propuestas y estimacin de tiempo.

Actividad Responsable(s) Tiempo estimado Junio 2008
Desarrollo de un diagnstico de la situacin Equipo MAI actual de la CGR respecto del modelo de madurez propuesto. Desarrollar instrumentos para la captura Equipo MAI de informacin que sirva de insumo para crear el MAI. Coordinar con equipo MAGEFI. Realizar talleres con expertos en los Equipo MAI diversos procesos de la CGR. Coordinacin con
Junio 2008
Julio 2008
Equipo MAGEFI Documentacin por parte de los expertos Expertos en los procesos Segundo de los datos asociados a cada proceso. semestre 2008 Clasicacin de los datos de los procesos, Expertos en los procesos Segundo tipicar criticidad y seguridad. Reunir y tabular la informacin que los Equipo MAI expertos provean respecto a la informacin que se utiliza en su proceso. Elaborar representacin lgica del MAI. Equipo MAI semestre 2008 Noviembre 2008 Enero 2009 Primer semestre Elaborar documentacin y diccionario del Equipo MAI MAI. Plantear Macro-Sistemas que soporten los Equipo MAI macro-procesos. 2009 Primer semestre 2009 Mayo 2009
Plantear
los
procedimientos
de DEI Equipo MAI
Segundo semestre 2009 Segundo semestre 2009

Segundo semestre 2009
actualizacin futura del MAI.
Utilizacin del MAI como herramienta DEI para dirigir la inversin tecnolgica con USTI alineacin estratgica institucional. Evaluacin de resultados y revisin de DEI logro de objetivos y productos previstos.
Equipo MAI
Anexo - NTP6
Informe de gestin 2008-01
Contralora General de la Repblica Normas Tcnicas Informe de seguimiento 2008-01

Introduccin
El propsito de este documento es informar sobre las actividades realizadas al 30 de junio del 2008; en la Contralora General de la Repblica, con base al cronograma en ejecucin establecido para cumplir con la implementacin de las normas tcnicas para la gestin y el control de las tecnologas de informacin, de acuerdo con la resolucin Nro. R-CO-26-2007 emitida por el Despacho de la Contralora General, en La Gaceta Nro. 199 del 21/06/2007.
Actividades ejecutadas
a. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la elaboracin del plan que permita el cumplimiento de las Normas Tcnicas. El grupo lo coordina la Sra. Sub Contralora General, Licda. Marta Acosta, y lo integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos Alpzar, y Miguel Aguilar, en representacin de las diferentes unidades. b. Como responsable de la implementacin se design a la Unidad de Sistemas y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien coordina reuniones semanales con los especialistas de las diferentes reas de la USTI, para seguimiento del plan de ejecucin; en esta actividad se cuenta con la asesora de Jos Alpzar. c. Se reactiv el Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), el cual est presidido por la Sub Contralora General. Norma 1.6. d. La comisin elabor un diagnstico de la situacin actual, el cual incluye las acciones y productos esperados para cerrar la brecha existente, as
como el respectivo cronograma. Ambos documentos fueron validados por el CGTIC. e. Como parte de la promulgacin y divulgacin de un marco estratgico, se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico Institucional. Norma 1.1. f. Se aprobaron en el CGTIC las prioridades y los proyectos a desarrollar, de acuerdo con las recomendaciones del PTAC. Se crearon los equipos de trabajo con sus respectivos lderes, y se les capacit en el uso de herramientas para elaboracin y seguimiento de proyectos. Norma 1.1. g. Se identicaron y denieron los riesgos generales en TI, se elabor un manual de riesgos para la gestin y valoracin trimestral, y se capacitaron dos funcionarios de USTI en SEVRI. Se est a la espera del estndar institucional a generar por parte de la Divisin de Estrategia Institucional (DEI), para integrar estos riesgos de T.I con los denidos a nivel de la institucin. Norma 1.2. h. Ya se tiene la estructura del Manual de Gestin de Calidad sobre las reas de accin de TI; as como el diseo de un sistema de informacin que permita el registro de solicitudes por servicios de TI, soluciones, y mtricas para mejora continua y control de calidad; se iniciar con la construccin del mismo. Norma 1.3. i. Los proyectos de TI estn siendo fortalecidos por una participacin cada vez ms comprometida de los patrocinadores, evidente en el aporte de recurso humano. Buscando la estandarizacin en cada equipo, se les brind la induccin necesaria para que apliquen la Gua Metodolgica para desarrollo de proyectos. Norma 1.4. j. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en la USTI una revisin de sta, recopilando una serie de mejoras propuestas por el mismo personal que desarrolla las aplicaciones. Se elabor la nueva
gua y se distribuy a todos los lderes de proyecto, los cuales quince das despus emitieron sus observaciones y recomendaciones para ser consideradas en a versin nal, generndose un nico instrumento metodolgico para guiar el rumbo de accin de los proyectos de tecnologa en la CGR, el cual se encuentra en su etapa nal. Norma 1.4, 3.2 k. Se elabor un Marco de Seguridad integral actualmente en borrador-, en proceso de revisin, el cual incluye las Directrices de Seguridad aprobadas y en ejecucin. Para efectos de divulgacin; entre otros, se coordin con RH para que como parte de la induccin se incluya lo correspondiente a seguridad en TI. Norma 1.5. l. Sobre planicacin de la capacidad, se trabaja en la elaboracin de un manual actualmente en borrador- para denir las unidades de medida, mtricas e indicadores que sustenten las decisiones y orienten la evolucin de la plataforma tecnolgica. Norma 4.2. m. Los compromisos de gestin y el PAO estn alineados a la gestin estratgica de TI. Norma 2.1. n. Se tiene un equipo de trabajo actualizando el modelo de la Arquitectura de Informacin, para lo cual elabor un diagnstico de situacin y un instrumento metodolgico para su construccin. Este equipo ha realizado una investigacin de mejores prcticas metodolgicas para el desarrollo de dicho modelo, y se tom la decisin de utilizar la metodologa Bussiness System Process (BSP). Norma 2.2. o. El presupuesto de inversiones del 2009 est elaborado con base al PTAC. Norma 2.5.
Al 30 de junio se considera que la implementacin de las normas tcnicas avanza satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento de las mismas en la fecha establecida. Saludos cordiales, Miguel Aguilar
Anexo - NTP7
Guia Metodolgica para administracin Proyectos TI
1. Introduccin.
Con el n de establecer un lenguaje comn a nivel institucional; as como un estndar en la ejecucin y documentacin de proyectos de tecnologas de informacin y comunicacin, se dene en este documento la Gua Metodolgica que se debe aplicar en la Contralora General de la Repblica (CGR). La presente Gua Metodolgica, se elabora no slo para efectos de estandarizacin, sino tambin en cumplimiento con lo establecido en el Manual de Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin, emitidos por la CGR. Esta metodologa para la administracin de proyectos de TIC tiene como objetivo, esbozar una serie de pasos comunes a seguir, con el n de mejorar las probabilidades de xito de los proyectos, teniendo siempre presente que en ltima instancia el xito de los mismos est en funcin del nivel de motivacin y mstica de que estn impregnados en los integrantes del equipo de trabajo, de la disponibilidad de recursos y del nivel de apoyo que brinde oportunamente la alta Gerencia. Un proyecto en Tecnologas de Informacin y Comunicaciones (TIC) es todo aquel que introduzca en la organizacin elementos tecnolgicos que soporten y hagan ms eciente la ejecucin o el desarrollo de un proceso. Se consideran como proyectos de este tipo, el desarrollo de un sistema automatizado, o la implantacin de una solucin tecnolgica de hardware o de software, lo cual hace que el mismo proyecto sea muy distinto y variado en cuanto a sus actividades se reere. Todo proyecto en TIC deber estar siempre orientado al logro de los objetivos institucionales y obtiene su sentido en la medida que aporta un valor agregado a la organizacin, respondiendo a sus necesidades de manejo de la informacin y del conocimiento.
Para los efectos de esta metodologa, se dene un proyecto como: Una secuencia de tareas con un principio y un nal, limitadas en el tiempo por los recursos y los resultados deseados. Esto signica que un proyecto tiene un resultado deseado especco, una fecha lmite o fecha objetivo en la que el proyecto debe estar realizado y un presupuesto que limita la cantidad de personal, suministros y dinero que pueden utilizarse para realizar el proyecto. Si el equipo a cargo del proyecto esta consciente de que su trabajo es importante y necesario para la organizacin, estar en una mejor posicin para enfrentar y vencer, la serie de obstculos que todo proyecto sin excepcin enfrenta. En el desarrollo de todo proyecto existen diferentes actores cuyos roles sern debidamente establecidos dentro de la presente gua metodolgica. En el anexo 1 se presentan cada uno de los diferentes roles involucrados, que sern partcipes de las actividades planteadas en cada una de las etapas del proyecto. Como todo instrumento metodolgico est sujeto a mejoras en el tiempo, aspecto que se explica en el anexo 2. Sin importar los objetivos que los proyectos busquen, se puede ver que todos presentan etapas bsicas, con algunas pequeas variantes. Cada una de stas ser detallada en la presente gua.
2. Objetivo
Denir la gua metodolgica para el desarrollo de proyectos en Tecnologas de Informacin y Comunicaciones, que ser aplicada en la Contralora General de la Repblica.
3. Objetivos especcos
a. Denir un marco de referencia comn para todos los proyectos de TIC, uniformando tcnicas y mtodos de trabajo. b. Establecer las etapas y actividades a realizar, as como los entregables en cada una de ellas. c. Denir para los proyectos que contemplen el desarrollo de un sistema de informacin automatizado, las fases a cumplir con sus diferentes entregables. d. Sealar la organizacin, las funciones y las responsabilidades de los involucrados en el proceso de desarrollo de un proyecto de TIC.
4. Etapas de los Proyectos de TIC

A continuacin se presentan las etapas de un proyecto, con un breve detalle de los objetivos para cada una de ellas, en funcin de lograr los resultados deseados a tiempo y dentro del presupuesto esperado. (Ver gura # 1) 4.1. Etapa 0. Anteproyecto. La organizacin identica una serie de necesidades que pueden ser atendidas mediante el desarrollo de un proyecto. Se determinan las expectativas generales de los interesados, as como el efecto y resultados esperados. Identicar los actores involucrados en el proyecto a desarrollar. Confeccionar la cha de anteproyecto. Someter el anteproyecto a la evaluacin del Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), el cual valorar su viabilidad y prioridad dentro de la organizacin.
4.2. Etapa 1. Iniciacin. Corroborar las expectativas generales de los usuarios, gerentes y de cualquier otro interesado, para establecer los resultados esperados y el alcance del proyecto. Denir la organizacin del proyecto y seleccionar el equipo de trabajo. Realizar un informe de diagnstico que permita establecer las diferentes opciones de solucin a ser evaluadas. Elegir la alternativa de solucin a ser desarrollada. 4.3. Etapa 2. Planeacin. Revisar los objetivos y alcances del proyecto en funcin de un adecuado balance entre resultado, tiempo y recursos. Listar las tareas y actividades que se deben ejecutar para lograr los alcances denidos del proyecto. Secuenciar u ordenar las actividades en funcin de las dependencias tcnicas entre ellas y de los recursos disponibles. Elaborar el calendario de requerimientos de recursos en el tiempo, para lograr los alcances deseados. Obtener la aprobacin para el plan de trabajo. Mantener los planes de trabajo balanceados durante todo el desarrollo del proyecto, en funcin de las variaciones que se produzcan en los alcances, tiempos y recursos. 4.4. Etapa 3. Ejecucin. Asignar, controlar, supervisar y liderar el desarrollo de las actividades planeadas. Efectuar reuniones de trabajo entre los integrantes del equipo de trabajo y el lder del proyecto.
Comunicacin constante entre los diferentes participantes en el proyecto y hacia la Unidad Ejecutora; comunicacin que debe ser promovida por el lder del proyecto. Gestionar la solucin de los problemas que puedan surgir durante la ejecucin y asegurar la consecucin de recursos (dinero, gente, equipo), para llevar a cabo el proyecto. Si el proyecto tiene como objetivo el desarrollo de un sistema automatizado, deber desarrollar las fases indicadas en el anexo 4. 4.5. Etapa 4. Control. Monitorear las desviaciones del plan y determinar sus posibles causas. Efectuar las acciones correctivas para lograr la ejecucin del plan. Evaluar los requerimientos de cambios solicitados por los patrocinadores y los miembros del grupo; determinando el impacto en los alcances, en el tiempo o en los recursos. Detectar variaciones en los alcances, en la asignacin de recursos o en el tiempo en que se deseen lograr los resultados. Retornar a la Etapa de planeacin para hacer ajustes a las metas del proyecto y obtener aprobacin de los patrocinadores, si fuese necesario. 4.6. Etapa 5. Conclusin. Documentar las lecciones aprendidas durante su ejecucin. Informar sobre la terminacin y los alcances logrados. Consolidar toda la documentacin generada. Elaborar el informe nal de proyecto. Liberar los recursos asignados. Entregar el informe nal al Patrocinador.
Figura # 1. Fases de un Proyecto.
Inicio
Pl
an
ea
Eje
cu
ci
ci
Control
A continuacin se presenta de forma detallada las acciones que se deben realizar en cada una de las etapas.
Cierre
6. Anteproyecto (Etapa 0)
Todo proyecto tecnolgico a desarrollar debe estar contemplado en el Plan Tctico de TIC (PTAC), el cual responde a las orientaciones que plantea el Plan Estratgico de Tecnologas de la Informacin y Comunicaciones (PETIC) de la Contralora General de la Repblica (CGR). El proceso de actualizacin del PTAC, que se realiza peridicamente; establece segn las prioridades de la organizacin, cuales son los proyectos que se deben desarrollar con el n de aportar el soporte tecnolgico que la organizacin necesita para mantenerse actualizada y apoyada para el cumplimiento de sus metas y objetivos. Todo proyecto a desarrollar debe tener su cha de anteproyecto, misma que ser evaluada y priorizada por el Comit Gerencial de Tecnologas de Informacin y Comunicaciones (CGTIC), a solicitud de la Unidad de Sistemas y Tecnologas de Informacin (USTI). Este comit elige de los anteproyectos planteados, aquellos que sern tomados en cuenta en la cartera de proyectos del PTAC. Los anteproyectos que no sean incluidos en el PTAC debern ser re-evaluados en sus alcances y objetivos, cada vez con un mayor nivel de detalle, hasta que llegue el momento de incluirlo en una reformulacin del PTAC. Dados los procesos de planeacin estratgica, el anteproyecto sobrevivir y llegar a ser un proyecto operativo, mientras el mismo tenga como alcances una funcin estratgica dentro de la organizacin. Si el mismo perdiera vigencia o dejara de ser importante para la organizacin, el mismo proceso de planeacin se encargara de eliminarlo. La organizacin como un todo y la USTI, realizarn cada ao el ejercicio de planeacin operativa (PAO), con un horizonte de planeacin de dos aos. Tomando como insumo la cartera de proyectos del PTAC, la USTI dene los alcances, se detallan los recursos y se plantea un horizonte de tiempo esperado, para cada uno de los proyectos.
Para la estimacin del tiempo, se puede recurrir a diferentes tcnicas, como lo es el juicio experto o la comparacin con proyectos ya concluidos. Se debe tener claro que en esta etapa, an no se ha creado un equipo de trabajo ni se ha realizado una evaluacin profunda, sobre las tres variables bsicas de todo proyecto a saber: tiempo, recursos y alcances. Por lo tanto es de esperar, que al crearse el equipo de trabajo y se entre a los niveles de detalle como en la etapa de planeacin, los contenidos de dichas variables cambien. 5.1. Planteamiento de los anteproyectos Todo anteproyecto de TIC intenta resolver una serie de necesidades que maniesta la organizacin en el desarrollo o actualizacin de alguno de sus procesos. En el proceso de planeacin estratgica de la CGR se determinarn dichas necesidades y de un primer anlisis de stas se deber plantear ante la jefatura de la USTI, una cha de anteproyecto. Dicha jefatura realizar un anlisis inicial de la propuesta antes de someterla a evaluacin del CGTIC; el cual asignar una prioridad con la cual determinar si debe permanecer en espera de ser atendido o si es contemplado dentro de la siguiente revisin y reformulacin del PTAC; todo conforme al proceso de planeacin explicado anteriormente. El formato para la cha de anteproyecto se encuentra detallado en el anexo 7. 5.2. Ajustes a los anteproyectos Cuando un anteproyecto requiera ajustes o replanteamientos, deber reformularse la cha de proyecto y volver a someterlo ante la jefatura de la USTI, quien le realizar un anlisis y lo someter a consideracin del CGTIC.
Cualquier cambio en cuanto a los resultados esperados, alcance planeado, efecto, objetivos o productos, requiere de ser aprobado por el CGTIC antes de proceder con la etapa de iniciacin del proyecto. 5.3. Productos de la etapa: Ficha de anteproyecto 5.4. Punto de Control: Evaluacin y priorizacin del anteproyecto por parte del CGTIC.
6. Iniciacin (Etapa 1)
En esta etapa se corroboran los alcances globales del proyecto y las expectativas generales de los diferentes interesados. Adems se dene la organizacin del proyecto estableciendo las funciones y responsabilidades de cada uno de los involucrados, as como el perl deseable de los integrantes del equipo de trabajo. Ver anexo 1. Una vez establecido formalmente quienes asumen las funciones de Patrocinador(es) de Proyecto, Lder de Proyecto y Lder Tcnico de Proyecto; estos inicialmente proceden a realizar un diagnstico de la situacin con el n de establecer estrategias de solucin, para que el patrocinador del proyecto determine la forma en que se desarrollar. 6.1. Organizacin para el proyecto Es necesario que las personas a cargo del proyecto tengan una estructura organizativa que garantice un formalismo operacional, que permita lograr los nes propuestos. Esta estructura podra variar en funcin de la magnitud y complejidad de los proyectos y puede ser matricial. La organizacin del proyecto requiere la interaccin de personas de las diferentes reas, segn la siguiente denicin de estructuras: Unidad Ejecutora Grupo de Apoyo Equipo de Trabajo Equipo de apoyo tcnico Cada uno de los participantes tiene asignadas tareas y responsabilidades especcas, para un adecuado desempeo de su funcin.
Los participantes en el proyecto que conforman la organizacin descrita, son identicados como sigue: Participantes por parte de la unidad(es) patrocinadora(s): Patrocinador(es) del Proyecto Lder del Proyecto Equipo de Trabajo Participantes por parte de la USTI:

Coordinador de Proyectos (Jefatura o funcionario asignado) Lder Tcnico Equipo de apoyo tecnolgico Para la conformacin de la organizacin del proyecto de TIC se deber considerar el siguiente organigrama:
Organigrama del proyecto
Patrocinador del proyecto Grupo de apoyo Lder de proyecto Lder Tcnico

Unidad Ejecutora
Coordinador de proyectos
Equipo de trabajo
Equipo de apoyo tcnico
Para un mayor detalle de los perles y de las responsabilidades de los miembros permanentes ejecutores de un proyecto de TIC, rerase al anexo 3 de la presente metodologa. A continuacin se presenta una explicacin de cada uno de estos ejecutores del proyecto: 6.1.1. Unidad Ejecutora La Unidad Ejecutora es el ente coordinador de los aspectos relacionados con el desarrollo del proyecto de TIC. Sus responsabilidades principales son: Aprobar la organizacin, los recursos, y el cronograma del proyecto. Velar por la calidad de los productos de cada una de las etapas y hacer las recomendaciones necesarias. Resolver las situaciones que puedan afectar el buen funcionamiento del proyecto. Aprobar los productos generados y ejercer los puntos de control establecidos en cada etapa. Est constituida por: Patrocinador(es) del Proyecto (Coordinador) Coordinador de Proyectos (Jefe de la USTI o a quien designe) Lder del Proyecto. Lder Tcnico. 6.1.2. Patrocinador del Proyecto

Es el jefe de la Unidad Organizacional para la cual se va a desarrollar un proyecto de TIC. Segn sea el proyecto pueden verse involucrados ms de un patrocinador.
6.1.3. Grupo de Apoyo Lo conforman funcionarios cuya experiencia y conocimientos son de gran ayuda a nivel de asesora para el equipo de proyecto. Tambin lo pueden integrar grupos de usuarios con inters en los resultados del proyecto. 6.1.4 Coordinador de proyectos Esta funcin la lleva a cabo el Jefe de la USTI con nes de armonizar y asegurar el aprovechamiento de componentes tecnolgicos, puede ser ejecutada por el coordinador de proyectos de la USTI. 6.1.5. Lder del Proyecto El Lder del Proyecto es un funcionario con gran conocimiento de su rea funcional, aspecto por el cual se le ha conferido la capacidad de tomar decisiones y la responsabilidad de participar activamente en la direccin del proyecto. Vela tanto por los mejores intereses de su rea como por los de la Contralora General de la Repblica, en lo que respecta al proyecto de TIC. Es el responsable directo del proyecto y de los productos entregados. En aquellos casos en donde el proyecto tenga un mayor componente tcnico en materia de introduccin de nueva tecnologa, estar justicado que la direccin sea asumida por un representante de la USTI, por su mayor experiencia en la materia tecnolgica. 6.1.6. Lder Tcnico del Proyecto Este es un funcionario al cual, por su formacin en el rea de informtica, experiencia y capacidad, se le ha conferido la responsabilidad de administrar los aspectos tecnolgicos de un proyecto de desarrollo informtico. Es el responsable directo del
desarrollo del proyecto en lo que corresponde a la parte tcnica, para ello aplica las polticas, normas y procedimientos de trabajo aprobados. 6.1.7. Equipo de apoyo tecnolgico Son los funcionarios especialistas en el rea de tecnologas de informacin que apoyan la labor del Lder Tcnico, en materias tales como programacin, base de datos, conguracin y operacin de equipos principales, y conectividad. 6.1.8. Equipo de trabajo Son usuarios de los procesos funcionales involucrados en el proyecto de TIC a desarrollar, conocedores de las necesidades a resolver e involucrados en la implementacin de la solucin. Un aspecto de primer orden para garantizar el xito de un proyecto, estar en la escogencia de un excelente equipo de trabajo. 6.1.9. Equipo de proyecto Lo conforman el Lder de Proyecto, el Lder Tcnico, el equipo de trabajo y el equipo de apoyo tecnolgico. 6.2. Organizacin del Proyecto La informacin relacionada con la organizacin del proyecto debe quedar debidamente formalizada y documentada, para lo cual en el anexo 8 encontrar el formato de documento a utilizar.
6.3. Informe de diagnstico: El informe de diagnstico especica los resultados de la valoracin efectuada sobre la solicitud de desarrollo de un proyecto de TIC. Este documento es confeccionado en conjunto por el Lder Tcnico y el Lder de Proyecto; debiendo contener las siguientes secciones: 6.3.1. Situacin actual El Lder Tcnico con la colaboracin del Lder de Proyecto debe realizar un anlisis de la situacin actual donde se describa la forma como el proceso se est realizando; ya sea con alguna herramienta tecnolgica existente o de forma totalmente manual. En este anlisis se debe hacer nfasis en la bsqueda de oportunidades de mejorar los procesos actuales, en procura de que la insercin de tecnologa permita la realizacin de actividades de forma ms eciente y efectiva. 6.3.2. Alcances del proyecto Los alcances establecen de manera clara, hasta dnde llegar el proyecto de TIC y debern permitir el manejo de expectativas comunes entre todos los interesados y participantes del proyecto. Uno de los aspectos ms crticos de todo proyecto, es detallar y comunicar lo que cada uno de los interesados (muchos de ellos patrocinadores) esperan. Por ello resulta imprescindible que para cada interesado se establezca lo que espera obtener cuando ste concluya. Las expectativas de cada interesado debern ser conocidas por los dems y por todos los integrantes del equipo de trabajo y debern quedar documentadas en este
apartado del diagnstico. Estas expectativas sern de referencia obligada para el equipo de trabajo, con el n de mantener enfocado el proyecto. Si en algn momento se determinase que alguna de las expectativas enumeradas no podr ser alcanzada, el grupo de proyecto est en la obligacin de comunicar esta situacin al interesado con las justicaciones del caso, no sin antes haber evaluado la posibilidad de modicar el proyecto para su cumplimiento. Si en algn momento, se determina que no es factible lograr alguna de las expectativas enumeradas, se deben realizar las modicaciones sustanciales del proyecto, sin descartar la posibilidad de cancelarlo, en caso de que fuese imposible lograr los alcances esperados. Si el proyecto lo que busca es el desarrollo de un sistema de informacin, en este apartado deber incluir al menos una descripcin de lo que se pretende obtener y hasta dnde se desea llegar con la automatizacin. 6.3.3. Objetivos del proyecto Denicin de los objetivos generales y especcos esperados con el sistema o solucin tecnolgica, con base en lo planteado en la cha de anteproyecto. Se reeren al nivel de desempeo que se debe lograr para satisfacer una necesidad determinada. En caso de requerir un cambio en los objetivos del proyecto, esto se ver como un cambio a lo establecido en la cha de anteproyecto y deber atenderse como se estableci en el punto 5.2 de esta gua metodolgica.
6.3.4. Anlisis de riesgo El Lder de Proyecto y el Lder Tcnico debern hacer un anlisis de riesgos del proyecto de acuerdo con la metodologa establecida institucionalmente, basndose en los siguientes riesgos y otros que considere de relevancia: a. El proyecto no est alineado con la Estrategia Institucional. b. El proyecto no est incluido dentro de la cartera de proyectos del PTAC. c. El proyecto no cuenta con un patrocinador comprometido. d. No se tiene el recurso humano necesario y calicado para el desarrollo del proyecto e. El recurso humano asignado al proyecto no dispone del tiempo requerido para el mismo. f. No se tiene el presupuesto necesario para la ejecucin del proyecto. g. No se tiene la infraestructura tecnolgica (interna y externa) apropiada para la puesta en operacin de la solucin tecnolgica. h. El personal no tiene la suciente capacitacin para utilizar las herramientas tecnolgicas requeridas por el proyecto. i. No se cuenta con el personal calicado en las materias relacionadas con el proyecto. j. Incumplimiento del plan de trabajo k. Los objetivos y alcances del proyecto pueden ser modicados. l. No se tiene la estructura administrativa (interna y externa) para soportar la operacin de la solucin tecnolgica. 6.3.5. Identicacin de estrategias de solucin y su factibilidad Establecer y explicar las diferentes estrategias de solucin para la construccin de la solucin tecnolgica de acuerdo a los alcances denidos, considerando el anlisis de factibilidad econmica, operativa y tcnica.
Cuando se planteen dos o ms estrategias de solucin se deber realizar un anlisis comparativo entre ellas de ventajas y desventajas. Dentro de este anlisis y en la medida de lo posible, se deber realizar un anlisis de costo/benecio de las estrategias propuestas para hacer una evaluacin de su factibilidad econmica denida en trminos de costos y ahorros. No slo tomando en cuenta los costos de implementacin de la solucin sino tambin los costos asociados a su sostenibilidad durante su operacin. Este anlisis econmico es fundamental para los proyectos donde se tenga adquisicin de nueva tecnologa. Para ello se sugiere tener en cuenta los costos administrativos, operativos, laborales, tecnolgicos, y otros. Se deben considerar los benecios tangibles e intangibles que se obtienen con el sistema, por ejemplo: tiempo requerido para la actualizacin o conclusin del proceso, desplazamiento de personas, aprovechamiento de equipo y las herramientas existentes, aprovechamiento de mejores prcticas en el mercado, reduccin de gastos y simplicacin de trmites. El nivel de detalle de esta evaluacin depender directamente de la complejidad del proyecto y de los recursos disponibles para la elaboracin del estudio. En cualquier caso deber contemplar las variables bsicas que determinen la viabilidad del proyecto y su permanencia en el tiempo. Si bien es cierto se cuenta con unas fechas de inicio y de n sugeridas, esta denicin de tiempo para el desarrollo del proyecto se debe ir anando conforme el equipo de trabajo conozca ms detalles del mismo. Con base en los alcances identicados del proyecto, estudio de la situacin actual y el anlisis de riesgos se deber presentar la estimacin inicial del tiempo que se requiere para cada una de las opciones de las soluciones sealadas; acompaadas de los supuestos y restricciones que apoyan dichas estimaciones.
Para cada una de las estrategias de solucin se deber identicar: Ventajas y desventajas (Costo/Benecio) Factibilidad operativa, tcnica, econmica y legal Riesgos asociados Complejidad tcnica en el desarrollo y en la implementacin 6.3.6. Recomendacin de una estrategia de solucin Cuando se tengan dos o ms estrategias de solucin y basado en las consideraciones anteriores; el equipo de proyecto recomendar una de las estrategias de solucin; o segn sea el caso podra recomendar no continuar con el desarrollo del proyecto, al no considerarlo factible desde el punto de vista econmico, operativo, legal o tcnico. 6.4. Seleccin de la estrategia de solucin: La Unidad Ejecutora del proyecto deber indicar su criterio sobre la forma en que debe desarrollarse, basado en los resultados obtenidos en el diagnstico realizado. En la seleccin de la opcin la Unidad Ejecutora puede recomendar al CGTIC alguna de las siguientes decisiones: Seleccionar alguna de las opciones recomendadas. Posponer el proyecto para un momento ms oportuno, esto de acuerdo con los intereses y prioridades de la Institucin. Cancelar el proyecto ya que el mismo no es viable desde el punto de vista operativo, legal, econmico o tcnico; o porque las prioridades institucionales as lo requieren.
Cuando la Unidad Ejecutora haya seleccionado el curso de accin para el proyecto que considere ms adecuado, deber documentarlo utilizando el formulario que se detalla en el anexo 9. 6.5. Insumos de la etapa: Ficha de anteproyecto. 6.6. Productos de la Etapa: Informe de diagnstico. Descriptivo de la Organizacin del Proyecto. Estrategia de solucin para el proyecto. 6.7. Puntos de Control: El patrocinador (o patrocinadores) del proyecto ocializa(n) los nombramientos del lder de proyecto, as como la conformacin de los equipos de trabajo, y la USTI la del lder tcnico y la del equipo de apoyo tcnico. La Unidad Ejecutora del proyecto dene la estrategia de solucin para el proyecto, eligiendo el curso de accin a partir del anlisis de las diferentes opciones planteadas en el informe de diagnstico.
7. Planeacin (Etapa 2)
El principal objetivo de esta etapa es especicar a un nivel detallado, las diferentes actividades a realizar, reejadas en un plan de trabajo. Para ello el equipo de trabajo deber empezar por analizar los objetivos y alcances del proyecto, deber identicar los recursos requeridos y establecer un cronograma de proyecto. Se debe utilizar el software institucional para administracin de proyectos. Como requisito para iniciar con esta etapa, el equipo de trabajo debe ya estar formalmente constituido y se debe tener una estrategia de solucin, establecida a partir del anlisis de los resultados del diagnstico elaborado en la etapa anterior, la cual determina el curso de accin para las tareas que deber realizar el equipo de proyecto, con miras a lograr el objetivo propuesto. Siendo la labor de planeacin cclica, como se muestra en la gura # 1, la misma se debe realizar tanto para el inicio, como durante la realizacin del proyecto. Si el proyecto mostrase atrasos considerables en alguna de sus etapas, que no pudiesen ser absorbidos por las holguras de los proyectos, o bien por un esfuerzo adicional que ubique de nuevo el proyecto en su planeacin inicial, se debe realizar un nuevo plan de proyecto, para el resto de las actividades a cumplir. Esta nueva versin del plan puede variar los alcances del proyecto, o bien la calidad y cantidad de recursos asignados. El elaborar el plan es una labor muy delicada y se debe realizar con la participacin de todos los miembros del equipo. Como en toda actividad grupal surgirn una serie de opciones sobre como realizar las cosas, por lo que ser habilidad del Lder de Proyecto conciliar criterios, de modo tal que se llegue a un consenso sobre cuales son las actividades a desarrollar, para llegar a cumplir las nalidades del proyecto.
7.1. Elaboracin del Plan de Trabajo: Teniendo siempre presente cual es el objetivo que se pretende, se recomienda cumplir con los siguientes pasos, en un trabajo grupal. a. Se debe elaborar una lista o enumeracin de todas las actividades que se deben realizar para cumplir la meta. b. Por cada actividad se debe tener claro cual es su propsito y el producto a lograr a su conclusin. c. El producto a lograr por cada actividad debe ser claro y conciso, si no es as se debe desglosar o partir la actividad, en tantas como sea necesario para que cada actividad tenga un producto denido y claro. d. Cuando se tengan las actividades debidamente enmarcadas en cuanto al producto a lograr, se debe proceder a denir que recursos humanos o tcnicos requiere cada una de ellas. e. Ntese que hasta el momento no nos hemos preocupado por la duracin de las actividades ni en que momento se han de ejecutar, nos hemos preocupado por crear consenso sobre lo que se quiere lograr y como lograrlo. El siguiente paso ser determinar cuanto tiempo tomaremos en cumplir cada una de las actividades, en funcin de los recursos que tendremos disponibles. f. El siguiente paso consistir en agrupar aquellas actividades cuyo producto intermedio o nal, sea un componente de un mismo resultado. Todas estas actividades las podemos agrupar en una etapa o subproyecto, al nal del cual siempre debe haber un producto claramente denido, al que llamaremos entregable intermedio o nal, segn sea el caso. La denicin de las etapas o subproyectos, depende del tamao del proyecto, del nivel de control que es necesario tener y del nivel de conocimiento que el grupo tenga sobre la materia.
g. Una vez agrupadas las actividades en etapas o subproyectos, se debe proceder a determinar cual es el tipo de relacin que existe entre cada actividad, pudiendo sta ser, predecesora inmediata o sucesora inmediata o sin relacin. Predecesora inmediata ser aquella actividad que debe haber sido concluida para que otra sucesora inmediata inicie. h. Entre una actividad predecesora inmediata y otra sucesora inmediata, puede haber un lapso de tiempo que llamaremos holgura, la cual puede ser negativa, cero o positiva. Ser cero cuando una actividad de acuerdo al plan debe iniciar de inmediato, tan pronto concluye su predecesora. Ser positiva cuando entre el tiempo de conclusin de la predecesora y el inici de la sucesora, pueden transcurrir n cantidad de das. Ser negativa cuando la actividad sucesora, puede iniciar segn el plan, n cantidad de das antes de que concluya la actividad antecesora. i. Con toda la informacin anterior, se debe proceder a balancear las actividades de manera tal que el entregable de la etapa o subproyecto se logre en el menor tiempo posible. Entendemos como balanceo el agrupar las actividades, de manera tal que muchas de ellas se puedan ejecutar en paralelo, cuando los recursos y las dependencias entre actividades lo permitan. Se debe evitar que un recurso quede sobrecargado ms all de lo razonablemente aceptable. En el caso de los recursos humanos, se deben considerar las ausencias planicables, programando por cada recurso el tiempo formalmente comprometido al proyecto. j. Todas aquellas actividades que al nal del proceso de planeacin presenten una holgura de cero, formarn lo que conoceremos como la ruta crtica. Estas son las actividades que no se deben retrasar, ya que su retrazo implica un atraso de la etapa o subproyecto. Se debe tener presente que aquellas actividades que presenten holguras positivas, una vez consumidas stas entran a la ruta crtica y podra tambin retrazar el proyecto.
7.1.1. Fases para el desarrollo de un sistema de informacin automatizado En el caso de que el proyecto tenga como objetivo el desarrollo de un sistema de informacin automatizado, el plan de trabajo deber contemplar las actividades propias de las fases explicadas ampliamente en el anexo 4. Para este caso el cronograma deber detallar actividades agrupndolas por cada fase. Cuando un sistema requiera de ajustes por la atencin de nuevos requerimientos, sin que esto pueda ser calicado como un cambio de versin en dicho sistema, su atencin deber cumplir con las fases propias del control de cambios para el mantenimiento de sistemas, mismas que estn explicadas en el anexo 5. Si los cambios que un sistema requiere son de tal impacto que realmente se estara generando una nueva versin, el tratamiento de tales requerimientos deber atenderse con la rigurosidad de un proyecto de desarrollo de sistemas normal. 7.2. Formulario de planeacin de recursos: Para documentar los diferentes recursos que se necesitan en el proyecto y el momento en que se requieren, deber utilizarse el formulario que se detalla en el anexo 10. De ser necesario, durante el transcurso del proyecto se documentar en el mismo formulario, cualquier variacin de los mismos. 7.3. Insumos de la etapa: Informe de diagnstico. Descriptivo de la Organizacin del Proyecto. Estrategia de solucin para el proyecto.
7.4. Productos de la Etapa: Plan de trabajo para el proyecto (Cronograma). Formulario de planeacin de recursos. 7.5. Puntos de Control: La Unidad Ejecutora del Proyecto revisa y da su visto bueno al plan de trabajo del proyecto y a la planeacin de recursos, como requisito para poder continuar con la etapa de ejecucin. Si el plan no satisface las expectativas de los integrantes de la Unidad Ejecutora, sta puede solicitar al equipo de trabajo una reformulacin.
8. Ejecucin (Etapa 3)
El objetivo de esta etapa es propiamente desarrollar y cumplir el plan elaborado en la etapa anterior. En reuniones peridicas el equipo de proyecto programa la ejecucin de las acciones a realizar y las metas a alcanzar, acorde con las actividades enumeradas en el plan general. Durante esta etapa el Lder de Proyecto deber mantener informada a la Unidad Ejecutora respecto del avance en el desarrollo de las actividades, situaciones no planeadas que se presenten, actividades no programadas y resolucin de problemas. Dependiendo del mismo plan de trabajo y del tipo de proyecto, durante la etapa de ejecucin se crearn productos intermedios que debern ser revisados y aprobados por la Unidad Ejecutora. 8.1. Minutas de reuniones: No se debe menospreciar la importancia de las reuniones, por lo que es de suma importancia el dejar documentados todos los asuntos y acuerdos tratados en las reuniones, sean estas calendarizadas o no. El Lder de Proyecto deber mantener como parte de la documentacin del proyecto, las minutas de las reuniones que se realicen. Para la creacin de las minutas deber utilizarse el formulario que se presenta en el anexo 6. 8.2. Informes de avance: Los informes de avance debern emitirse con una periodicidad no mayor al mes, estableciendo valoraciones sobre el desempeo general del proyecto, resaltando aquellos aspectos que afectan el cumplimiento de los tiempos y de las metas planeadas.
El informe de avance deber ser corto y contener las siguientes secciones: Tareas planeadas y completadas. Tareas planeadas no completadas. Tareas completadas no planeadas. Grco de avance mensual y de avance acumulado. Administracin del riesgo. Acciones correctivas o preventivas ejecutadas. Observaciones. El informe de avance va dirigido a la Unidad Ejecutora del Proyecto y es responsabilidad del Lder del Proyecto no solo entregarlo, sino asegurarse de que es comprendido. 8.3. Productos intermedios propios del proyecto de TIC. Dependiendo del tipo de proyecto, durante su ejecucin se presentarn productos intermedios (documentales o no) que debern ser evaluados y en algunos casos aprobados por la Unidad Ejecutora. En el caso de un proyecto de desarrollo de sistemas de informacin los productos intermedios estn debidamente identicados en el anexo 4 para cada una de las fases. 8.4. Insumos de la etapa: Plan de trabajo para el proyecto (Cronograma). Formulario de planeacin de recursos. 8.5. Productos de la Etapa: Minutas de reuniones. Informes de avance. Productos intermedios propios del proyecto de TIC.
8.6. Puntos de Control:
La Unidad Ejecutora del Proyecto revisa los informes de avance que emite el equipo de proyecto, as como los ajustes y actualizaciones realizadas al cronograma de trabajo. La Unidad Ejecutora del Proyecto revisa los productos intermedios propios del tipo de proyecto de TIC que se desarrolla. En algunos casos el equipo de trabajo requerir que se apruebe determinado producto intermedio, antes de continuar con el desarrollo de tareas subsiguientes.
9. Control (Etapa 4)
Antes de ver el control como una etapa separada, se debe tener claro que ste es una accin que siempre est presente durante el desarrollo del proyecto. Su n primordial es detectar desviaciones del plan de ejecucin en forma oportuna, de manera que permita tomar acciones correctivas y preventivas. De ser necesario se deber retomar el proceso de planeacin, para ejecutar las acciones necesarias, reejndolas en una nueva versin del plan. La meta del control es lograr que los objetivos denidos en el plan de trabajo se cumplan, a partir del seguimiento, ajuste y realimentacin de las acciones planeadas y ejecutadas. El proceso de control del proyecto valora como insumo los cambios en el entorno, los cambios en los recursos, los cambios en las necesidades a solventar, las acciones realizadas y el plan de trabajo; para emitir acciones correctivas y acciones preventivas. 9.1. Cronograma de proyecto actualizado: El cronograma debe actualizarse peridicamente con el detalle de las actividades que se han completado, el porcentaje de avance de las actividades que estn en proceso y los ajustes propios de un proyecto en ejecucin donde se presentan nuevas tareas no planeadas o la necesidad de ajustar fechas, producto de desfases que deben quedar debidamente documentados. Se debe hacer todo el esfuerzo porque el plan se cumpla, sin embargo todo plan no es ms que una aproximacin del futuro y por ms cuidado y experiencia que se haya puesto en la elaboracin del mismo, siempre existirn una serie de factores que se pueden haber escapado durante la elaboracin del mismo. Otro aspecto muy
importante es que el plan esta enmarcado en una realidad de la organizacin, siendo la misma un ente vivo y cambiante, y as lo ser el plan. 9.2. Control de avance por unidades de logro El Lder de Proyecto y el Lder Tcnico deben llevar un control del avance del proyecto, que no sea por estimacin o por algn criterio experto, sino que sea totalmente objetivo, enfocando el logro real de cada tarea. Para ello deben hacer uso de la asignacin de Unidades de Logro (UL) a las tareas del plan de trabajo y crear un seguimiento de las unidades alcanzadas por el proyecto de forma acumulada y mensual. A cada tarea planeada se le asigna una cantidad de unidades de logro y para la contabilizacin de unidades deber tenerse en cuenta que slo las tareas completas ofrecen logro y que el aporte al logro varia dependiendo de si la tarea pertenece a la ruta crtica o no. Para la aplicacin de unidades de logro debern seguirse los siguientes pasos: Debe pasarse a una hoja electrnica la lista de tareas planeadas en el proyecto A partir del cronograma de trabajo deben identicarse cuales son las tareas que pertenecen a la ruta crtica del proyecto. A las tareas que son de ruta crtica se les asignar un aporte al logro de 1 UL por cada 2 das que se planea que dure la tarea. Por ejemplo: tarea de ruta crtica que dure 11 das aportar 5.5 UL. A las tareas que no son de ruta crtica se les asignar un aporte al logro de 1 UL por cada 5 das que se planea que dure la tarea. Por ejemplo: una tarea que no sea de ruta crtica que dura 11 das aportar 2.2 UL. La tarea aportar sus UL al mes que corresponda con la fecha de nalizacin planeada. Por ejemplo: Si la tarea inicia el 15/06/200X y naliza el una
08/08/200X, las unidades de logro de esa tarea se acumularn para el mes de agosto (por esto es importante dividir grandes tareas en tareas menores que mejor contabilicen el logro por mes). Se suman por mes las UL para tener el total general de UL del proyecto. Se sumarizan los totales por mes en la tabla de Logro Planeado y Logro Real, segn hoja electrnica presentada ms adelante. Ntese que de esta forma se hace diferencia entre el logro alcanzado y el avance en el tiempo, haciendo del manejo del porcentaje de avance una valoracin real y no una estimacin por criterio personal. Con dicha informacin se puede crear una hoja electrnica que calcule de forma real el porcentaje de avance con relacin a lo planeado y a lo ejecutado; que lo muestre por mes y por acumulado general para el proyecto. A continuacin se presenta una hoja electrnica ejemplo que puede ser ajustada para cualquier proyecto.
ControlAVP_Machote . xls
9.3. Formularios de acciones correctivas y preventivas: Cuando en el proceso de control se detecten o prevean desviaciones con respecto a lo que establece el plan de trabajo, de manera oportuna debern ejecutarse acciones correctivas y preventivas que vengan a mitigar el impacto de dichas desviaciones sobre el logro de los objetivos y metas del proyecto. Las acciones correctivas o preventivas deben estar claramente explicadas e indicar el o los responsables de ejecutarlas. De ser necesario estas acciones deben quedar incorporadas en el plan de trabajo para su futuro seguimiento y documentadas en formularios cuyo formato se detalla en el anexo 11. debidamente
9.4. Control de cambios. Durante la ejecucin de cualquier proyecto se pueden presentar cambios que afecten directa o indirectamente el logro de los objetivos y de las metas. El proceso de control del proyecto deber analizar; entre otros, los cambios en las condiciones del entorno, los cambios en los recursos, los cambios en las necesidades a solventar, los cambios en la tecnologa, cambios en los objetivos, y cambios en la estrategia de solucin. Todo cambio que afecte el curso de accin, los alcances o la estrategia de solucin; debe quedar documentado, sobre todo si dichos cambios impactan el cronograma de proyecto. Adems el Lder del Proyecto deber hacer del conocimiento de la Unidad Ejecutora todo cambio importante, la cual tiene que aprobar si se atiende o no dicho cambio. Para llevar el control de cambios del proyecto se debe usar el formulario que se detalla en el anexo 12. 9.5. Insumos de la etapa: Informes de avance. Plan de trabajo para el proyecto (Cronograma). Formulario de planeacin de recursos. 9.6. Productos de la Etapa: Cronograma de proyecto actualizado. Control de avance por unidades de logro. Grcos de avance acumulado y avance mensual. Formularios de acciones correctivas. Control de cambios.
9.7. Puntos de Control: La Unidad Ejecutora del Proyecto revisa los informes que emite el equipo de proyecto y el control de avance; cuando identique tareas desfasadas aprobar acciones correctivas o preventivas tendientes a mitigar el desfase. La Unidad Ejecutora puede decidir retomar el proceso de planeacin y generar una nueva versin del plan.
10. Etapa 5: Conclusin

En esta etapa se debe revisar el cumplimiento de las metas iniciales a efectos de realizar el cierre del proyecto. Toda etapa de conclusin de un proyecto debe cumplir con las siguientes actividades bsicas. Enterar a los patrocinadores sobre los resultados del proyecto. Entrega de productos con su respectiva aprobacin. Liberar los recursos que an estn asignados al proyecto. Documentar los procesos nales, entendiendo que el proceso de documentacin fue un proceso rutinario durante toda la vida del proyecto; por lo que en esta etapa deber dejarse actualizado el respectivo expediente de proyecto. 10.1. Informe de conclusin del proyecto: Todo Lder de Proyecto, con el apoyo del resto de los integrantes del equipo, tiene que elaborar el informe nal de cierre del proyecto, el cual debe cubrir los siguientes puntos: Resumen ejecutivo con los principales logros, comparados con las metas originales del proyecto. Puntos o tareas que quedaron pendientes, ya sea porque requieren de una mayor investigacin o elaboracin; o porque se debern retomar para una segunda versin del proyecto. Resumen de los asuntos conictivos y soluciones. Recomendaciones para mejorar la administracin y ejecucin de proyectos futuros.
Costo total del proyecto. Explicacin de las variaciones en el presupuesto. 10.2. Aceptacin a satisfaccin de los productos nales del proyecto: La Unidad Ejecutora debe revisar y dar por aceptados a satisfaccin los productos nales del proyecto. Si algn producto no se considera como terminado el proyecto no est en fase de conclusin. Luego de la respectiva revisin, el coordinador de la Unidad Ejecutora debe dejar constancia de la aceptacin de los productos mediante el formulario detallado en el anexo 13. 10.3. Expediente actualizado del proyecto: Es necesario recordar que toda la informacin relativa al proyecto que recin termina, es de vital importancia para otros proyectos o trabajos futuros. Es por ello que el Lder del Proyecto deber dejar debidamente actualizado el expediente. Este expediente debe contener todos los entregables de cada fase del proyecto, y debe mantenerse en formato digital de acuerdo al expediente electrnico denido en la CGR. La Unidad de Sistemas y Tecnologas de Informacin ser la encargada de mantener toda la documentacin almacenada en un solo expediente o carpeta y de facilitar los medios para que todo funcionario interesado tenga acceso a dicha informacin. 10.4. Insumos de la etapa: Cronograma actualizado con ejecucin de tareas. Documentos desarrollados durante el proyecto.
10.5. Productos de la Etapa: Informe de conclusin del proyecto Formulario de aceptacin a satisfaccin de los productos. Expediente actualizado del proyecto 10.6. Puntos de Control: La Unidad Ejecutora del Proyecto revisa el informe nal del proyecto y lo hace del conocimiento de todos los interesados. La Unidad Ejecutora da por aceptados los productos nales del proyecto.
Anexo 1
Denicin de roles
En el desarrollo de un proyecto de TIC se presentan diferentes actores con funciones y responsabilidades que se describen a continuacin:
Comit Gerencial de Tecnologas de Informacin y Comunicaciones (CGTIC): por delegacin del mximo jerarca (Contralor o Contralora General), es el mximo ente en lo referente a recomendar sobre las directrices y lineamientos a seguir en la planicacin y direccin de los procesos de desarrollo tecnolgico. Est conformado por representantes de alto nivel gerencial, por el Jefe de Auditoria Interna como asesor del Comit y por el Jefe la Unidad de Sistema y Tecnologas de Informacin (USTI). Este Comit reporta al mximo jerarca, quien lo preside. Patrocinador del proyecto: es el mximo jerarca o en quien ste delegue, de la Unidad Organizacional para la cual se va a desarrollar el proyecto de TIC. Coordinador de proyectos: este rol es asumido por la jefatura de la USTI o delegado en un funcionario de la misma Unidad, para velar por la adecuada ejecucin de los proyectos de TIC observando aspectos como integracin, calidad, logro de objetivos y eciencia en los diseos y desarrollo de las soluciones. Lder del proyecto: es un funcionario con gran conocimiento de su rea funcional, aspecto por el cual se le ha conferido la capacidad de tomar decisiones y la responsabilidad de liderar activamente el proyecto; vela tanto por los mejores intereses de la Contralora General de la Repblica, como por los de su rea en lo que al proyecto concierne. En casos justicados y por recomendacin del CGTIC, la direccin puede ser asumida por un representante de la USTI.
Lder Tcnico del proyecto: ste es un funcionario al cual, por su formacin en el rea de informtica, experiencia y capacidad, se la ha conferido la responsabilidad de administrar los aspectos tecnolgicos de un proyecto de TIC. Analista de sistemas: es el recurso profesional en informtica (funcionario o no de la Contralora General de la Repblica) que trabaja bajo la coordinacin y direccin del Lder Tcnico del proyecto para la realizacin de tareas propias del proyecto de TIC, cuyas actividades entre otras son: anlisis, diseo, desarrollo de los programas, pruebas, capacitacin de usuarios, documentacin y apoyo tcnico a los usuarios en la puesta en operacin de una solucin tecnolgica. Programador de sistemas: es el recurso profesional en informtica (funcionario o no de la Contralora General de la Repblica) que trabaja bajo la coordinacin y direccin del Lder Tcnico del proyecto para la realizacin del sistema y cuyas actividades entre otras son: el desarrollo de los programas, pruebas y documentacin de los programas. Usuario de TIC: se considera a todo aquel individuo (funcionario o no de la Contralora General de la Repblica) que tenga acceso autorizado a sistemas de Informacin, o que se benecie de alguna solucin tecnolgica. Para efectos de la metodologa vamos a considerar usuarios registradores y generadores de informacin, usuarios de consulta y usuarios expertos de los sistemas o de la tecnologa, quienes adems de tener acceso o interaccin con el sistema o solucin tecnolgica, son usuarios de amplio dominio sobre el negocio que dicha tecnologa o sistema soporta. Es posible que la misma persona desempee ms de un rol en el desarrollo del proyecto, especialmente si pertenece a la USTI; pero en todo proyecto siempre se debe contar con el apoyo de la contraparte usuaria que tiene las necesidades especcas de manejo de la informacin y del conocimiento.
Anexo 2
Actualizacin de la Gua Metodolgica para el Desarrollo de Proyectos de Tecnologa de Informacin y Comunicaciones.

Dado el ritmo acelerado que impone el entorno tecnolgico y los cambios que toda organizacin debe realizar para mantenerse actualizada, se establece la necesidad de realizar peridicamente las revisiones y los ajustes que corresponda a la Gua Metodolgica para el desarrollo de Proyectos de TIC. El responsable de esta actualizacin ser la Unidad de Sistemas y Tecnologas de Informacin, quien podr pedir el apoyo y la asesora de otros funcionarios de la Contralora General de la Repblica, que estime conveniente. Esta Unidad adicionalmente deber considerar las solicitudes de modicacin expresas y aportes hechos por Lderes de Proyectos, producto de experiencias previas de aplicacin de la misma gua y sus respectivas lecciones aprendidas. Una vez hechos los ajustes correspondientes, los puntos modicados o agregados debe ser sometidos a consideracin del Comit Gerencial de Tecnologas de Informacin y Comunicaciones quien debe recomendar su aplicacin para proceder a su publicacin y a la divulgacin respectiva.
Anexo 3
Responsabilidades de los miembros del proyecto Patrocinador del Proyecto

Entre sus responsabilidades se destacan las siguientes: Aprobar formalmente la organizacin del proyecto. Designar al Lder del Proyecto. Aportar el personal de apoyo adecuado para llevar a cabo un anlisis integral sobre la factibilidad tcnica, legal, funcional y econmica, del proyecto a realizar. Apoyar en la solucin de problemas y en la consecucin de los recursos. Aprobar los productos de cada etapa en el proceso de desarrollo del proyecto. Evaluar, peridicamente, el progreso del proyecto, con base en los planes y los informes de avance, y hacer las recomendaciones que correspondan. Aprobar ajustes al cronograma, en caso de ser necesario. Aprobar cualquier cambio en procedimientos de trabajo que requiera la solucin tecnolgica para ser implementada. En el caso de un nuevo sistema automatizado, debe aprobar el plan para levantamiento de informacin, conversin y carga de datos. Aprobar el plan para capacitacin de usuarios. Aprobar la solucin tecnolgica y fecha para su entrada en operacin.
Coordinador de Proyectos de la USTI.

Entre sus responsabilidades se destacan las siguientes: Actuar como un integrador de los alcances de los diferentes proyectos. Balancear la utilizacin de los diferentes recursos de la USTI, sobre todo aquellos que estn siendo utilizados en varios proyectos, tanto humanos como tecnolgicos.
Velar porque en cada proyecto se tenga un expediente con la informacin relevante. Generar informacin histrica sobre el desarrollo de cada proyecto y ponerla a disposicin de los grupos de trabajo de los nuevos proyectos, para ser utilizada como referencia. Detectar desviaciones en los diferentes planes de trabajo y velar porque se tomen las medidas correctivas del caso. Velar porque los diferentes proyectos en ejecucin mantengan las orientaciones planteadas tanto en el Plan Estratgico de Tecnologas de Informacin y Comunicaciones (PETIC), como en el correspondiente Plan Tctico (PTAC). Generar informacin operativa de los proyectos para el apoyo a la toma de decisiones por parte de la Jefatura de la USTI. Apoyar en todos los pasos necesarios para dar inicio a los nuevos proyectos, desde las etapas preparatorias de conceptualizacin, hasta dejar constituidos y funcionando los equipos de trabajo. Preparar y motivar a los integrantes de los equipos de trabajo, para que conozcan y cumplan el rol que se espera de ellos. Mantener el equilibrio en el uso de los recursos asignados a los diferentes proyectos. Mantener una secuencia lgica entre los alcances de los diferentes proyectos. Brindar capacitacin al equipo de trabajo en el uso de la Gua metodolgica para desarrollo de proyectos en TIC.
Jefe de la USTI.
El jefe de la USTI puede delegar algunas responsabilidades de coordinacin en un funcionario que rena los requisitos necesarios. Entre sus responsabilidades respecto a los proyectos de TIC se destacan las siguientes: Coordinar la ejecucin de los proyectos aprobados por el CGTIC. Velar porque el desarrollo de los proyectos de TIC estn de acuerdo con las estrategias y orientaciones denidas en los planes. Apoyar en la solucin de problemas y en la consecucin de los recursos. Recibir, analizar y tramitar las solicitudes por nuevos proyectos de TIC. Asignar al lder tcnico que trabajar en el proyecto. Participar en las reuniones de la Unidad Ejecutora cuando sea requerido. Aprobar las diferentes etapas de aquellos proyectos que as lo requieran. Apoyar al Lder Tcnico en los asuntos del desarrollo del proyecto que lo requieran. Coordinar el cumplimiento del cronograma de trabajo, en conjunto con el Lder del Proyecto y el Lder Tcnico. Identicar situaciones que puedan afectar el cumplimiento de los objetivos, y coordinar las acciones preventivas o correctivas necesarias.
Lder del Proyecto

Perl: El Lder del Proyecto debe ser un representante, del rea funcional que propone e impulsa el desarrollo de proyecto de TIC. Debe coordinar estrechamente con el patrocinador del proyecto, por cuanto sus responsabilidades incluyen la toma de decisiones, la resolucin de problemas y el logro de la colaboracin necesaria de otras unidades organizacionales, cuando sea requerida.
Debe tener las siguientes caractersticas: Amplio conocimiento y dominio de las actividades y procesos involucrados en el proyecto, as como de la problemtica y perspectivas futuras que giren en torno a dichas actividades o procesos. Disponer del tiempo suciente que le demande el proyecto para participar muy activamente junto con el Lder Tcnico y su equipo de trabajo, en las fases del proyecto donde su participacin es crtica. Mostrar alto nivel de compromiso e identicacin con el proyecto en desarrollo. Estar familiarizado con los conceptos bsicos del desarrollo de proyectos de TIC y preferiblemente tener alguna experiencia al respecto. Habilidad para administracin de personal. Facilidades para administrar proyectos. Responsabilidades Principales Administrar (planicar, dirigir, controlar, ejecutar y evaluar) las fases de un proyecto de TIC con eciencia y ecacia. Funciones a. Comprobar la aplicacin de las actividades establecidas en la Gua Metodolgica para el Desarrollo de Proyectos de TIC. b. Elaborar, revisar y aprobar los planes del proyecto correspondientes a cada una de las fases del desarrollo y velar por su cumplimiento. c. Evaluar peridicamente el avance del proyecto, con base en lo planeado y ajustarlo en caso de que sea necesario. Elaborar informes peridicos sobre el desarrollo y cumplimiento del plan de trabajo. d. Facilitar y promover el trabajo en equipo.
e. Atender los problemas administrativos (disponibilidad de recursos, conictos, modicacin de procedimientos o procesos) que requieran su atencin. f. Mantener las vas de comunicacin adecuadas, para informar a todos los interesados en el proyecto, sobre los detalles del mismo. g. Lograr la colaboracin apropiada de otras unidades organizacionales, que se vean afectadas o involucradas por el desarrollo del proyecto, con el objetivo de implementar una solucin integral, ecaz y eciente al problema. h. Denir los procedimientos administrativos en torno a la solucin tecnolgica que se desarrolle o implante. i. Denir las nuevas funciones y responsabilidades por puesto o la actualizacin de stas, las cuales se deriven por el proyecto en desarrollo. j. Participar activamente en la denicin de requerimientos y alcances del proyecto, considerando las necesidades propias de su rea funcional, de otras reas que por su funcin estn relacionadas con el proyecto, as como de los niveles de decisin. k. Participar en el estudio de paquetes de software, cuando sea requerido para el proyecto y emitir las observaciones pertinentes. l. Cuando el proyecto involucre un nuevo sistema de informacin deber: revisar y aprobar, junto con el Lder Tcnico, el diseo funcional del sistema. Evaluar el prototipo del sistema de informacin, recomendaciones pertinentes y aprobarlo formalmente. Participar activamente en la denicin de volmenes de informacin, aspectos operacionales del sistema, criticidad, usuarios del sistema, procesos de entrada y salida, diseo de reportes, aspectos de seguridad y controles, interfaces, y requerimientos de hardware. Evaluar el diseo nal del sistema en sus apartados de seguridad y controles, procesos de entrada y salida, e interfaces y funcionalidad hacer las
del sistema, emitir las recomendaciones pertinentes y aprobarlo formalmente. Participar y aprobar el plan de pruebas y del paralelo, y emitir, para tal efecto, las recomendaciones pertinentes. Coordinar el levantamiento de datos para las pruebas y para la ejecucin del paralelo del sistema. Asignar personal de su rea funcional para la digitacin de datos no disponibles automticamente. Coordinar y participar activamente en las pruebas integradas del sistema, formular las recomendaciones pertinentes velando porque ste se ajuste al prototipo y diseo nal aprobados, con exactitud y completitud conforme a los resultados deseados. Identicar a los funcionarios que debern recibir entrenamiento para el paralelo. Participar activamente en la ejecucin del paralelo, llevando registro de las modicaciones requeridas. Identicar al personal de su rea funcional, que requerir entrenamiento en la operacin del sistema. Coordinar el planeamiento y ejecucin del plan de capacitacin. Revisar y aprobar los manuales del usuario, capacitacin, y operacin del sistema. Participar activamente en la planicacin e implantacin del sistema. Hacer un seguimiento del sistema post-implantacin y emitir las recomendaciones que procedan. Participar en la evaluacin posterior a la implantacin de la solucin desarrollada, llevando a cabo un anlisis de los benecios reales contra los planeados.
Lder Tcnico del proyecto

Perl: Ser un individuo con una preparacin acadmica adecuada que lo faculte para llevar a cabo con xito, el seguimiento, y el desarrollo de un proyecto de sistemas de informacin. A la vez, debe ser una persona experimentada, segn lo que requiera el proyecto, en aspectos como el desarrollo de sistemas de informacin o el manejo tcnico de herramientas tecnolgicas especcas (bases de datos, redes, elementos de seguridad, comunicaciones, paquetes, entre otros), o sobre la solucin tecnolgica a desarrollar o implementar. Tener capacidad de asimilar los procesos de las reas funcionales relacionadas con su proyecto en desarrollo y aportar ideas creativas que mejoren los procesos, al operar ste como agente de cambio en la Organizacin. Mantener una constante preocupacin por mantenerse actualizado acerca de los ltimos avances en la tecnologa informtica en el entorno, con el objetivo de analizarlos y determinar su aplicabilidad o adaptabilidad, si esto fuese requerido para el logro de los objetivos del proyecto. Responsabilidad principal Colaborar con la Administracin en llevar a cabo las fases de un proyecto de desarrollo tecnolgico, sea en forma interna o servicio contratado, con eciencia y ecacia.
Funciones a. Apoyar en la elaboracin de los planes del proyecto requeridos y correspondientes a cada una de las etapas, de acuerdo con la metodologa y estndares vigentes. b. Revisar los planes propuestos por el contratista e identicar y sugerir las modicaciones necesarias, para salvaguardar los intereses del usuario y de la Contralora General de la Repblica, en caso de contratacin externa. c. Llevar un control de toda la informacin (documentacin) que se genera en torno al proyecto tanto formal como informal, con el objetivo de respaldar cualquier incidente, debido a problemas de comunicacin. d. Supervisar y controlar la ejecucin real del proyecto, de acuerdo con los estndares vigentes, para vericar la observacin de los planes y etapas especcas, con la nalidad de identicar oportunamente cualquier desfase o incumplimiento, interno o externo, y tomar las medidas correctivas. e. Detectar y analizar cualquier problema actual o potencial que ocasione variacin sobre lo planeado, coordinando las medidas correctivas con el usuario responsable. f. g. Identicar y gestionar cualquier intervencin o ayuda requerida, para el desarrollo del proyecto. h. El Lder Tcnico debe velar por la aplicacin de los cambios tecnolgicos que llegue a conocer y que afecten el proyecto. i. Resolver los problemas y conictos internos del proyecto que estn a su alcance y elevar a los mandos superiores los que no pueda solucionar. j. Presentar y justicar tcnicamente el proyecto tanto frente a los usuarios, como ante otros coordinadores tcnicos y jefaturas. k. Revisar y evaluar la calidad de los productos generados en las diferentes etapas del proyecto, desarrollados en forma interna o por el contratista, de acuerdo con los estndares vigentes y los planes. Por otra parte, identicar
las modicaciones necesarias y presentar las recomendaciones pertinentes para su consideracin, por parte del usuario responsable, la jefatura de la USTI y el contratista si lo hubiera. l. Revisar y evaluar cualquier recomendacin hecha por un miembro del proyecto antes de presentarla a otras personas o ante una eventual empresa contratada. m. Mantener una estrecha relacin con los otros Lderes Tcnicos de proyecto, el Equipo de Apoyo Tecnolgico, y el coordinador de proyectos; con la nalidad de determinar y facilitar los enlaces requeridos entre sistemas; analizar la viabilidad tcnica de las propuestas y compartir las experiencias del desarrollo de proyectos. Con esto se pretende identicar, entre otros aspectos, los requerimientos en reas tales como: software, hardware, interfaces, comunicacin y topologa. n. Administrar con responsabilidad y discrecin toda aquella informacin que, por su ndole, lo amerite. o. Ofrecer continuos aportes y sugerencias de acuerdo con su conocimiento y experiencia en el uso de metodologa, y estndares, que coadyuven en su depuracin y mejoramiento, con la nalidad de ecientizar los mtodos de trabajo. p. Mantener informado al Lder del Proyecto, al coordinador de proyectos y a la jefatura de la USTI, acerca de la ejecucin del proyecto. En particular, si el proyecto se desarrolla bajo el esquema de contratacin, en lugar de coordinar al equipo de apoyo tecnolgico, tendra las siguientes funciones: a. Efectuar el control de calidad de los productos que entregue el proveedor contratado. b. Garantizar una transferencia tecnolgica adecuada, de tal forma que inmediatamente que el proveedor entregue la herramienta pueda ser administrada tcnicamente por la USTI.
c. Fungir como facilitador tcnico para el proveedor contratado, de tal forma que suministre oportunamente la informacin tcnica que se requiera, para que el proyecto se desarrolle sin contratiempos. d. Velar por el cumplimiento de los tiempos de entrega de los productos, segn lo acordado con el proveedor. Proponer acciones correctivas en caso de desfases. e. Fungir como contraparte tcnica por parte de la Contralora General en defensa de los intereses institucionales, velando por el debido cumplimiento de los compromisos suscritos por el proveedor contratado.
Equipo de apoyo tecnolgico

Entre sus responsabilidades est: Asistir la labor del Lder Tcnico en materias como programacin, diseo y optimizacin de bases de datos, operacin de equipos principales, paso a produccin de un sistema, sistemas operativos, seguridad, comunicaciones y denicin de perles de acceso.
Equipo de trabajo
Entre sus responsabilidades est: Brindar toda la informacin y colaboracin necesaria al Lder de Proyecto y al Lder Tcnico, en todas las etapas, actividades y tareas que lo requieran. Atender las tareas que el Lder del Proyecto les asigne.
Grupo de Apoyo
Entre sus responsabilidades est: Colaborar con el Lder de Proyecto en todas las etapas, actividades y tareas que lo requiera. Atender las tareas que el Lder del Proyecto les solicite.
Matriz de Responsabilidades
Anexo 4
Fases para el desarrollo de sistemas 1. Anlisis integral de requerimientos

1.1. Consideraciones
Con el anlisis integral de requerimientos del sistema a automatizar se espera: Identicar, analizar y documentar los requerimientos funcionales y nofuncionales que debe soportar el sistema o solucin propuesta. Los requerimientos funcionales se reeren a las cosas que el sistema debe realizar, por ejemplo que informacin se debe registrar y de que manera se debe procesar; los requerimientos no funcionales se reeren a los aspectos operativos del sistema como tiempos de respuesta, respaldos de informacin y presencia en la Internet o en la Intranet de la Contralora. Priorizar los requerimientos que ha de cubrir el nuevo sistema o solucin, convirtindose en punto de referencia bsico para validar el sistema nal, comprobando que se ajusta a las necesidades del usuario. El proceso de anlisis de requerimientos se puede representar en la siguiente gura:
El usuario o usuarios del futuro sistema deben realizar la especicacin de los requerimientos funcionales y no funcionales del nuevo sistema, los cuales debern ser priorizados de acuerdo a su grado de aporte a la consecucin de los objetivos del proyecto. Para ello tendr la colaboracin del personal informtico asignado al proyecto. Estos requerimientos sern analizados por los Analistas de Sistemas asignados al proyecto con el apoyo del Lder Tcnico y si fuera necesario se podr solicitar a los usuarios profundizar en la especicacin de uno o varios de los requerimientos con la nalidad de que stos sean lo ms claros y especcos posibles. Paralelamente en este proceso de anlisis se deben identicar posibles ajustes a la planeacin de los recursos requeridos por el proyecto; as como los requerimientos crticos para el xito del mismo. Con esta informacin se confeccionar el Documento de Anlisis y se ajustar el cronograma para la conclusin del proyecto. 1.2. Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto. En lo referente a la fase de anlisis integral de requerimientos para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Especicacin de requerimientos: se entiende por especicacin de requerimientos un documento con la descripcin precisa y detallada que hace el usuario de las necesidades a ser resueltas con el sistema solicitado y sus restricciones. Documento de anlisis: en este documento se presentan los resultados obtenidos en la fase de Anlisis y debe hacer referencia a la valoracin de complejidad y prioridad preliminar de los requerimientos. Puede establecer
ajustes al formulario de recursos requeridos para la realizacin del proyecto y presentar ajustes al cronograma para la completitud del proyecto. 1.2.1. Especicacin de requerimientos La especicacin de requerimientos es la descripcin precisa y detallada que hace el usuario de las necesidades a ser resueltas con el sistema solicitado y sus restricciones. Para ello, el Lder Tcnico y el analista asignado deben trabajar en conjunto con el grupo de usuarios, de manera que generen experiencia en traducir en requerimientos (descripcin precisa y detallada de la funcionalidad del sistema), las necesidades que poseen y que sean muy comprensibles. Para lograr este propsito el usuario experto puede aportar la documentacin que considere pertinente, como boletas, formularios, legislacin, normativa, documentos y tipos de reportes. Los requerimientos se pueden agrupar en funcionales y no funcionales: a. Requerimientos funcionales Son las indicaciones de servicio que el sistema debe proveer en cuanto a actualizacin de datos, opciones de consulta, reportes a generar, interaccin con otros sistemas, bitcoras de seguimiento y pistas de Auditoria (en coordinacin con la Auditoria Interna). Entre las caractersticas que se espera que posean los requerimientos funcionales estn las siguientes: Correcto: Cada requerimiento debe describir con exactitud la funcionalidad que se obtendr del sistema, de manera que no exista conicto entre ellos. Debe tener una referencia a la fuente del requerimiento, sea este el cliente o bien un requerimiento propio de la implementacin del sistema.
Factible: Se reere a la posibilidad tcnica, operativa, legal, econmica y presupuestaria de implementar cada uno de los requerimientos dentro de la capacidad y limitaciones del sistema y su ambiente de desarrollo. El desarrollador debe chequear cada uno de los requerimientos y determinar qu se puede desarrollar y qu no, y qu puede desarrollarse pero tiene un costo excesivo. Necesario: Cada uno de los requerimientos debe documentar una necesidad del usuario o bien un requisito del sistema, interfase o estndar. Debe poder indicarse el rastro del requerimiento desde su origen, de tal forma que sea vlido y por ende necesario. Claro: El lector del documento de requerimientos debe ser capaz de interpretarlo de una nica forma. Para esto cada requerimiento debe describirse en forma sucinta, simple, en un lenguaje comprensible por el usuario. Para vericar la claridad de los requerimientos se pueden crear escenarios que ilustren la funcionalidad de porciones especcas del sistema. Vericable: Un requerimiento es vericable si se puede utilizar algn tipo de pruebas tales como inspeccin o demostracin para determinar si el requerimiento satisface las necesidades de los usuarios. Si el requerimiento no es vericable, determinar si se implement correctamente. Para la especicacin de los requerimientos funcionales del sistema se utilizarn los casos de uso del UML (Unied Modeling Language), lenguaje cuyo estndar es promovido por el OMG (Object Management Group) y que permite modelar, construir y documentar los elementos que forman un sistema de informacin, especialmente, orientado a objetos. Los casos de uso representan la funcionalidad que ofrece el sistema en lo que se reere a su interaccin externa, desde el punto de vista del usuario y especicando
qu respuestas debe ofrecer el sistema a las diversas acciones de los usuarios o, en general, los agentes externos al sistema. En esta tarea se elabora el modelo de casos de uso identicando: Actores y casos de uso. Descripcin del escenario de cada caso de uso. Para completar la descripcin del escenario, es preciso especicar el siguiente detalle:
Casos de uso de alto nivel:

Caso de Uso Actores Nombre del caso de uso Lista de actores (agentes externos), indicando quin inicia el caso de uso. Usualmente son roles, pero puede ser cualquier tipo de sistema Tipo Primario: proceso principal
Secundario: casos de uso menores Opcionales: proceso que puede no ser tomado en cuenta en el sistema ________________________________________________________ Esencial: denido a nivel abstracto, independiente de la tecnologa y la implementacin Descripcin Real: describe concretamente el proceso en trminos del diseo real. Muy breve descripcin del caso de uso
Casos de uso expandidos:

Caso de Uso Actores
Nombre del caso de uso Lista de actores (agentes externos), indicando quin inicia el caso de uso. Usualmente son roles, pero puede ser cualquier tipo de sistema Intencin del caso de uso
Propsito
Tipo
Primario:
proceso principal
Secundario: casos de uso menores Opcionales: proceso que puede no ser tomado en cuenta en el sistema Esencial: Real: denido a nivel abstracto, independiente de la describe concretamente el proceso en
tecnologa y la implementacin trminos del diseo real. Referencias Casos de uso relacionados Precondicin Condiciones dadas antes del proceso Curso Tpico de Descripcin de la interaccin entre los actores y el sistema eventos mediante las acciones numeradas de cada uno (se disponen en forma columnar) Describe la secuencia ms comn de eventos, bajo condiciones de normalidad y el proceso se Poscondicin Cursos Alternativos completa satisfactoriamente. Condiciones resultantes despus del proceso Se describe la excepcin al caso normal y se seala el punto en que se dara.
Los casos de uso se describen en forma detallada en el anexo 14. a. Requerimientos no funcionales Son las propiedades y restricciones del sistema, pueden ser de ndole organizacional, como consecuencia de alguna poltica organizacional o de procedimiento, o pueden ser de operabilidad como los son: conabilidad, tiempo de respuesta, almacenamiento, capacidades de dispositivos de E/S, migracin de herramienta, y conversin de archivos.
1.2.2. Documento de anlisis Este documento rene los resultados del proceso de anlisis y ser la base, en conjunto con la especicacin de requerimientos, para la planicacin de las fases posteriores en lo referente a la construccin del sistema. Debe contener, al menos, la siguiente informacin: a. Identicacin de recursos para desarrollo Teniendo ahora mayor claridad respecto a lo que el sistema debe resolver y el trabajo a realizar, se debe ajustar el formulario de recursos del proyecto Identicando requerimientos de recurso humano, hardware, software, comunicaciones, ambiente fsico, volumen de datos, materiales, capacitacin y otros recursos que sern requeridos para el desarrollo del proyecto. Si al ejecutar esta tarea se tiene un estimado de los recursos requeridos para las etapas de Implantacin y operacin, esto puede ser descrito en esta tarea, revisado y ajustado ms adelante. b. Anlisis de requerimientos Los requerimientos estudiados se analizan para identicar los siguientes elementos de cada solicitud: Identicacin del requerimiento: Debe ser una secuencia conformada por las siglas o cdigo del sistema y un consecutivo que identique de manera nica al requerimiento (en el proyecto o sistema actual) Breve descripcin: Breve descripcin y propsito del requerimiento. Prioridad: asignada por el Patrocinador o Lder del Proyecto. Se recomienda utilizar tres valores posibles en concordancia con la priorizacin de requerimientos, es decir, Alto, Medio y Bajo. Complejidad: nivel de dicultad para la solucin de lo solicitado. Se recomienda utilizar tres valores posibles: Alta, Media y Baja.
Tipo de requerimiento: Identicar si se trata de requerimiento funcional o de un requerimiento no funcional. Dependencia con otros requerimientos: Hacer referencia a los requerimientos que estn relacionados y que de alguna manera representan una dependencia; es decir, que para su atencin se requiera resolver previamente otros requerimientos o que su atencin es obligatoria para el cumplimiento de otros aspectos. Tiempo estimado de construccin: estimacin preliminar del tiempo requerido para la atencin del requerimiento. Se debe utilizar una unidad de medida uniforme para cuanticar todos los requerimientos (horas, das, semanas) Seguidamente se presenta un ejemplo de la matriz de requerimientos:
ID Descripcin del req. Prioridad Complejidad Tipo Req. Dependencia Das const.
Con esta matriz se puede realizar un anlisis cuantitativo de los requerimientos que permita identicar aquellos que son crticos para el xito y completitud del proyecto; adems ofrece un elemento importante para la toma de decisiones por parte del Lder de Proyecto y Lder Tcnico. c. Denicin de infraestructura tecnolgica Se debe detallar la infraestructura computacional que soportar el sistema cuando est en operacin, a nivel de equipo principal y de usuarios, lenguaje de programacin y especicacin de la base de datos; y cualquier otro aspecto requerido para el funcionamiento del sistema. En trminos generales, el tipo de tecnologa a utilizar dependiendo del tipo de sistema; incluyendo aquella que no est disponible en la CGR y que se constituye en un riesgo tecnolgico.
d. Cronograma ajustado de las fases posteriores del proyecto Con mayor claridad de lo que deber desarrollarse se puede ahora ajustar el cronograma del proyecto para las siguientes etapas, indicando las fechas de inicio y nalizacin para cada una de ellas as como los responsables de las actividades. e. Aprobacin de los requerimientos Se debe realizar una presentacin a la Unidad Ejecutora de los requerimientos identicados, a efectos de efectuar los ajustes necesarios hasta obtener la aprobacin por parte de la UE y continuar con la siguiente etapa.
2.
Diseo conceptual de la solucin

Esta fase tiene el propsito de identicar los primeros elementos de diseo del nuevo sistema. Los insumos principales de esta fase son: el documento de especicacin de requerimientos y el documento de anlisis. En la siguiente gura se diagraman las principales actividades de esta fase:
2.2.
Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto.
En lo referente a la fase de diseo conceptual de la solucin para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Documento de diseo conceptual: a travs de este documento se presentan los resultados de la primera actividad de diseo como la descripcin general de procesos, identicacin de relaciones de integracin de sistemas, la identicacin de usuarios y roles. Tiene el propsito de mostrar, de manera general, cmo estar constituido el nuevo sistema y ser la base, en conjunto con la especicacin de requerimientos, para el diseo detallado del sistema. 2.2.1. Documento de diseo conceptual Este documento deber contener, al menos, la siguiente informacin: a. Identicacin de mdulos Un mdulo es una parte o divisin del sistema. Consiste en agrupar funcionalidad que est relacionada y que soporta un eje o situacin especca del negocio sobre la cual se est desarrollando el proyecto. b. Descripcin de mdulos y sub-mdulos y su interaccin Con base en el diseo conceptual de la solucin, se detalla la estructura modular del sistema en cuanto a la jerarqua de los mdulos y la forma en la que interactan. Adems de la descripcin de los mdulos se debe confeccionar el diagrama de contexto y el diagrama de ujo de datos. El diagrama de contexto establece las relaciones que el mdulo tiene con otros sistemas, otros mdulos o entidades externas. El diagrama de ujo de datos es la representacin grca de las entradas, procesos y salidas de un mdulo mostrando la interrelacin de los procesos.
c. Identicacin de interrelaciones con otros sistemas o mdulos Se reere a la identicacin de sistemas o mdulos que estarn relacionados con el sistema en construccin y la descripcin de estas relaciones en lo referente al tipo y mtodo de comunicacin. Adems, se debe indicar si es requerida la modicacin de algn sistema existente para ajustarlo a la solucin que se est diseando. En esta actividad es importante que se analice la estructura de datos existente en los sistemas que estarn relacionados para la creacin de un modelo lgico de datos en la siguiente fase. d. Identicar tipos de usuarios Identicar los tipos de usuarios y el rol a cumplir por ellos dentro del sistema, especicndose quines pueden ingresar, modicar, borrar o consultar informacin y cul informacin. Qu tipos de usuarios utilizan cada uno de los mdulos y qu funciones lleva a cabo.
3.
Diseo detallado de la aplicacin

El diseo detallado de la solucin establece, con mayor detalle, las caractersticas que tendr el nuevo sistema. Adems, ser la base para la fase de construccin o programacin de los mdulos. La base de informacin para las actividades del diseo detallado son los documentos de especicacin de requerimientos, documento de anlisis y diseo conceptual. El documento de diseo detallado debe especicar los mdulos que tendr el sistema, caractersticas de validacin y restricciones sobre los elementos de datos, especicacin de procesos, detalle de controles y seguridad, caractersticas de la interfaz de usuario y principales reportes que ofrecer el sistema. Todos estos aspectos sern identicados con base en los requerimientos funcionales del proyecto y, de ser necesario, de las consultas efectuadas a los usuarios, Lder de Proyecto o contraparte y Patrocinador del proyecto. En la siguiente gura se muestra el esquema funcional de esta etapa en la construccin de sistemas:
El diseo detallado de la aplicacin ser revisado y aprobado por la Jefatura de la USTI o por quien ste designe para comprobar que el desarrollo propuesto est dentro de los estndares de la Unidad y que es consistente con la planicacin de crecimiento tecnolgico de la Institucin. Dicha revisin debe ser consignada como visto bueno del documento.
3.2.
Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto. En lo referente a la fase de diseo detallado para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Documento de diseo detallado: se reere al documento donde se describen, con ms detalle los elementos del nuevo sistema como descripcin de mdulos, modelado de datos, procesos, controles de acceso y seguridad, interfaz de usuario y reportes. Diseo de pruebas: se reere a un documento donde se estipulan los aspectos a considerar en el proceso de pruebas, con el propsito de contar con el suciente tiempo para su planicacin. 3.2.1. Documento de diseo detallado Este documento deber contener, al menos, la siguiente informacin: a. Descripcin de procesos Consiste en desagregar los mdulos identicados en el diseo conceptual y describir las entradas, los procesos y las salidas que considera el sistema de acuerdo con el estndar jado. Para la realizacin de esta actividad se utilizar la herramienta de software aprobada por la USTI. b. Diagrama lgico del modelo de datos Especicacin del modelo entidad-relacin del sistema, de la composicin fsica que tendrn las tablas relacionales y su normalizacin. Este modelo debe ser validado por el DBA.
c. Deniciones de dominios para los datos Se reere a la especicacin de aspectos como: Formato Valor que asume por defecto Rango de valores permisibles Listas de valores Mensajes informativos sobre los elementos Adems se deben especicar las restricciones a nivel de bases de datos. d. Estimacin del volumen de datos Estimacin de la cantidad de registros que se ingresaran para cada tabla denida en el modelo de datos lo cual se debe realizar con el apoyo del Administrador de las Bases de Datos de acuerdo con el estndar respectivo. e. Denicin de controles y seguridad a utilizar Denir los puntos de control que garanticen la seguridad, integridad y condencialidad de la informacin a nivel de roles en la base de datos y control de acceso a las transacciones en la aplicacin. Se deben identicar los tipos de eventos que debern dejar registros de auditoria, bitcoras y otros controles que se establezcan en la denicin de estndares para el desarrollo de sistemas. f. Disear la interfaz de usuario Establecer la apariencia de las pantallas con base en los estndares establecidos. Denir la estructuracin del men y los roles de usuario que tendrn acceso a cada opcin del sistema.
g. Organizacin para la operacin del sistema Identicar y denir los requerimientos operativos a nivel del ambiente administrativo donde se implantara el nuevo sistema. Podran plantearse cambios en los procedimientos actuales, necesidades de reubicar o de obtener nuevo personal, cambios en los ujos de la informacin en los puntos de control de la misma. 3.2.2. Diseo de pruebas: Con la nalidad de guiar el proceso de pruebas y realizar las tareas correspondientes para esta actividad con la debida anticipacin, se debe efectuar un diseo de pruebas basado en casos de uso y orientadas a: Asegurar que el producto cumple con lo solicitado por los usuarios Certicar que el aplicativo funciona correcta y ecientemente El documento de diseo de pruebas debe contener los siguientes aspectos: a. Especicacin de tipos de pruebas Identicar los tipos de pruebas a realizar: pruebas unitarias, pruebas de mdulos, pruebas de integracin, pruebas de esfuerzo, tiempos de respuesta y trco en la infraestructura de comunicaciones. Pruebas unitarias: son las pruebas que se realizan a cada programa del sistema Pruebas de mdulos: pruebas que se aplicarn a los mdulos o partes funcionales del sistema, incluye a todos los programas del mdulo. Pruebas de integracin: pruebas totales del sistema y de su integracin con otros sistemas, incluye todos los programas. Pruebas de esfuerzo: comprobacin de recursos computacionales para soportar la aplicacin (servidor de bases de datos, servidor Web, recursos de las mquinas de usuario, red)
Tiempo de respuesta: vericacin de que el tiempo de respuesta es aceptable de acuerdo con los estndares de la industria Trco en la infraestructura de comunicaciones: comprobacin de capacidad de transmisin de datos (ancho de banda) para la operacin del sistema b. Requerimientos para las pruebas La plataforma de Hardware, Software, conectividad y base de datos requerida. Si el sistema tendr integracin con otros sistemas o mdulos deber disponerse de un ambiente de pruebas de dichos sistemas. c. Casos y datos de prueba Identicar todos los escenarios posibles con diversidad de datos de entrada y acciones realizadas por el usuario, con el propsito de identicar posibles puntos de error en el sistema. Si se requiere la existencia de datos para la pruebas, se deber sealar el mtodo de captura de stos en las estructuras de la base de datos. d. Usuarios para las pruebas Determinar las caractersticas y cantidad de los usuarios que sern requeridos en el proceso de pruebas y el tiempo a invertir en dicho proceso. Esto es importante para que las Unidades puedan efectuar la coordinacin correspondiente con la debida anticipacin.
4.
Programacin y pruebas
En esta fase se confeccionan los programas y se realizan las pruebas a partir de los documentos de requerimientos, casos de uso, especicacin de programas, anlisis y diseo. Como producto se tendrn los componentes de programacin, una constancia de pruebas y de aceptacin del producto. En la siguiente gura se muestra el ujo de procesos esperado en esta fase donde es posible que se deban realizar ajustes en la programacin para cumplir con las especicaciones del usuario:
Diseo detallado
Construccin Construccin
Ajustes Ajustes
Pruebas Pruebas
Aceptacin Aceptacin
Implementacin
Figura No. 5: Construccin y pruebas
4.2.
Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto. En lo referente a la fase de programacin para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Scripts de creacin de objetos en la BD: para la creacin de tablas, llaves primarias y forneas, ndices, constraints, roles, usuarios y cualquier otro componente de la base de datos. Componentes de programacin: elementos de programacin como menes, formas, reportes, procedimientos y funciones almacenados en la base de datos, triggers de bases de datos y cualquier otro componente del nuevo sistema. Constancia de pruebas: documentacin de las pruebas donde se indiquen los resultados obtenidos y los ajustes a realizar. Aceptacin del sistema: nota del Lder del Proyecto donde se exprese que el nuevo sistema cumple satisfactoriamente con lo solicitado y que se pueda continuar con las actividades de capacitacin e implementacin. 4.2.1. Desarrollo o Construccin a. Implementacin del modelo fsico de datos Escribir las rutinas (scripts) para la creacin de objetos en la base de datos de acuerdo con el modelo entidad relacin, especicando llaves primarias y llaves forneas. Cuando el DBA reciba los scripts los completar con los parmetros de almacenamiento adecuados de acuerdo con el tamao de los registros y de las tablas. Estos scripts debern ser revisados por el Administrador de Bases de Datos y aplicados en conjunto.
b. Creacin de roles y de usuarios Se crean los roles y se asocian a los usuarios que se denan, segn las acciones que les correspondan. Se debe implementar la seguridad en la base de datos. c. Programacin Durante el desarrollo de esta etapa se generan los programas que componen el Sistema de Informacin. Conforme se avanza en la programacin se debe documentar cada uno de los componentes desarrollados de acuerdo con el estndar denido. Adicionalmente, el desarrollador debe adoptar los estndares establecidos en la nomenclatura, el manejo de versiones, y la documentacin de los programas que establece el manual de estndares. d. Conversin y levantamiento de datos En caso de requerirse una migracin de datos desde una aplicacin anterior o bien desde un ingreso masivo de informacin, se debe tomar en cuenta la depuracin que requiera esta informacin. El Lder de Proyecto deber considerar este traspaso como un subproyecto adicional, donde incluir los requerimientos de recurso humano y tecnolgico para su ejecucin, asimismo deber negociar estos recursos. Esta conversin o ingreso masivo de informacin se ejecutar durante la etapa de implantacin. Cada uno de los mdulos generados deber estar sujeto tipo tcnico para garantizar su calidad. a una revisin de su
funcionalidad por parte del Lder de Proyecto o quien l designe y a una revisin de
4.2.2. Pruebas a. Preparacin y levantamiento de informacin para las pruebas Se debe retomar el documento de diseo de pruebas para comprobar que est acorde con las caractersticas del sistema y que est vigente en cuanto a los casos de prueba a realizar y a la denicin de usuarios que van a participar en este proceso. De ser necesario se realizar la generacin de datos para las pruebas de los mdulos. b. Ejecucin de pruebas especcas Se debe probar el funcionamiento (cumplimiento de los requerimientos), facilidad de uso por el usuario (interfaz con el usuario), dilogos con el usuario y su control, para cada pantalla con la que debe interactuar el usuario. c. Ejecucin de pruebas por el usuario nal Esta actividad requiere que se pruebe la operacin integral de todos los componentes del sistema y su interaccin con otros sistemas, de manera que se asegure el cumplimiento de los requerimientos de integracin especicados. Estas pruebas deben ser realizadas por el usuario nal con al apoyo y colaboracin del equipo de desarrollo. d. Documentacin de los resultados de las pruebas Generar la documentacin que corresponda para dejar constancia de los resultados del proceso de pruebas, incluyendo los casos en donde stos no fueron satisfactorios, lo cual implica ajustes a los programas y la aplicacin de las pruebas correspondientes. Es importante que quede documentado quines y cundo realizaron las pruebas, as como sus observaciones.
4.2.3. Ajustes de programacin Si en la realizacin de pruebas se identica la necesidad de efectuar ajustes en la programacin, despus de llevarlos a cabo se deben realizar las pruebas especcas y de integracin de manera interactiva con los usuarios; de tal forma que al nalizar las modicaciones se realicen las pruebas correspondientes para que el sistema concluya satisfactoriamente. Se debe actualizar la documentacin de los programas con base a las modicaciones realizadas.
4.2.4. Aceptacin del sistema Una vez concluido el proceso de pruebas y los ajustes a la programacin, el Patrocinador del proyecto debe emitir una nota dirigida a la Jefatura de la USTI, mediante la cual maniesta que est satisfecho con el sistema dndolo por aceptado y autorizando a que se proceda con su implementacin.
5.
Documentacin
La documentacin del sistema se genera durante el desarrollo de todas las fases del proyecto; sin embargo, hay un conjunto de documentos especcos a generar: manual de usuario, manual de operacin y manual tcnico. La documentacin del proyecto se debe mantener actualizada en todo momento y formar parte de un expediente o archivo por proyecto donde todos los documentos producidos estn reunidos. 5.2. Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto. En lo referente a la fase de documentacin para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Manual de usuario: gua para la utilizacin del sistema por los usuarios. Manual tcnico: descripcin, a nivel tcnico, de todos los componentes del sistema. Manual de operacin: descripcin de procesos operativos del sistema. 5.2.1. Documentacin del proyecto Son todos los documentos generados e identicados como entregables, en cada una de las fases, y que deben formar parte del archivo del proyecto: Documentos de organizacin del proyecto Cronograma original
Cronograma ajustado Correspondencia generada Solicitud para el desarrollo de un sistema de informacin Memorando de solicitud Informe de diagnstico Memorando de resultado del estudio Seleccin de la solucin Solicitud formal del proyecto Anlisis integral de requerimientos Especicacin de requerimientos Priorizacin de requerimientos Documento de anlisis Diseo conceptual de la solucin Documento conceptual de la solucin Diseo detallado de la aplicacin Documento de diseo detallado Diseo de pruebas Programacin y pruebas Scripts de creacin de objetos Inventario de componentes de programacin Constancia de pruebas Aceptacin del sistema Capacitacin Constancia de la capacitacin
Implementacin Plan de implementacin Aprobacin del inicio de operacin Entrega del sistema Manual de usuario Manual tcnico Manual de operacin 5.2.2. Manual de usuario El manual del usuario debe ser conciso y prctico, sin dejar de ser exhaustivo, de manera que los usuarios encuentren en l toda la informacin necesaria para interactuar con el sistema. Se debe combinar la descripcin textual, con la grca, de manera que al usuario se le facilite su uso. El manual debe contener lo siguiente: Introduccin Estndares del Sistema Requerimientos tecnolgicos Cmo se ingresa al Sistema Descripcin del Men Principal del Sistema Descripcin textual y grca de cada pantalla (sea de registro o consulta) Descripcin del uso e impresin de reportes Cmo y a quin reportar errores del sistema
5.2.3. Manual tcnico En este manual se deben describir, de manera detallada, todos los componentes del sistema desde el punto de vista tcnico. En dicha documentacin deben explicarse todos los aspectos necesarios para el posterior mantenimiento de la aplicacin. 5.2.4. Manual de operacin Manual donde se describan todas las actividades operativas del sistema como creacin de usuarios, procedimientos de respaldo y recuperacin, procesos diarios o peridicos, generacin de datos para otros sistemas o entidades y la descripcin de cualquier otro proceso.
6.
Capacitacin
De acuerdo con la complejidad en el uso del sistema desarrollado y de la cantidad de usuarios del sistema, se debe coordinar con el Centrro de Capacitacin y con la Unidad de Recursos Humanos el lugar, hora y la cantidad de sesiones que va a comprender la capacitacin. En caso de ser necesario se coordinar el uso del laboratorio de microcomputadoras de manera que la capacitacin se lleve por medio de una interaccin total sistema-usuario.
7.
Implementacin
El Lder de Proyecto, siguiendo criterios de impacto, materialidad, riesgo asociado, sensibilidad y criticidad de la informacin involucrada, deber considerar el tipo de pruebas adicionales que requiera el proyecto, logrando un adecuado balance costo/ benecio. Entre otras podr considerar pruebas en paralelo cuyo objetivo ser vericar que el sistema nuevo genera resultados similares al sistema que estuviera en ese momento en funcionamiento manual o automatizado-, pruebas de esfuerzo cuyo objetivo es poner a prueba el sistema y la plataforma frente a una fuerte demanda de los servicios. Estas pruebas pueden ser reales o simuladas, dependiendo de la disponibilidad de recursos humanos y tecnolgicos. El proceso se muestra en la siguiente gura: 7.2. Entregables
Se entiende como entregables aquellos documentos confeccionados en esta fase y que formarn parte del expediente o archivo del proyecto.
En lo referente a la fase de implementacin para el Desarrollo de un Sistema de Informacin se identican los siguientes entregables: Plan de implementacin: breve documento donde se describen las actividades a realizar para la implementacin del sistema, desde el punto de vista tcnico y organizacional. Aprobacin del inicio de operacin: nota o acta del Patrocinador donde autoriza el inicio de operacin en produccin del sistema en vista de que fueron cumplidos todos los requerimientos funcionales y no funcionales. Entrega del sistema: noticacin a los usuarios y a la , administracin en general (si fuese necesario), de la culminacin del proyecto y sobre la fecha del inicio de operacin del sistema. 7.2.1. Plan de implementacin De acuerdo con la complejidad del sistema se debe generar un plan de implementacin que incluya la calendarizacin de actividades, la ejecucin de pruebas en paralelo, pruebas de esfuerzo y el traslado al ambiente de produccin. a. Estrategia de implementacin Denicin del mtodo de implementacin ms adecuado para el proyecto donde se considera si se realiza un paralelo o no, mtodo de carga de datos a utilizar y cualquier otra decisin estratgica para la nalizacin exitosa del proyecto. Esta estrategia debe ser acordada con el Patrocinador del proyecto, el Lder del proyecto, el Lder Tcnico y la Jefatura de la USTI. b. Calendarizacin de actividades Se reere a un cronograma especco para esta etapa. Se deben revisar las actividades, recursos y tiempos programados en la planicacin inicial del proyecto para hacer las modicaciones que se requieran. Estas modicaciones deben ser del conocimiento
del Patrocinador del proyecto, de la Jefatura de la USTI, de los usuarios y de los analistas. 7.2.2. Instalacin del sistema Las actividades a realizar son las siguientes: Preparar los aspectos relacionados con el ambiente fsico y computacional para dar inicio con la operacin del sistema Para lo anterior y de acuerdo a las caractersticas del sistema, se recomienda lo siguiente: Activar los componentes de seguridad de acceso al sistema: identicacin de usuarios, palabras de paso y atributos de usuario (roles), con la nalidad de garantizar que el ingreso al sistema en operacin se realizar de forma segura. Vericar que los requerimientos de hardware, de software y de comunicaciones se encuentran disponibles. Vericar que se tenga el mobiliario, la instalacin elctrica (toma corrientes, conexin a tierra, protectores de picos) y el espacio fsico necesario y acondicionado para su operacin. Vericar que los materiales que use el sistema se encuentren disponibles. Por ejemplo formularios especiales, papelera, cintas para impresora, medios de almacenamiento de datos y vdeos, cobertores para el equipo, as como todos los otros materiales requeridos. Realizar la instalacin del sistema en el ambiente de produccin en coordinacin con el DBA.
7.2.3. Conversin y carga inicial automatizada de datos En caso de requerirse una migracin de datos desde una aplicacin anterior o bien mediante el ingreso masivo de informacin, el Lder de Proyecto deber considerar este traspaso como un subproyecto, donde incluir los requerimientos de recurso humano y tecnolgico para su ejecucin y sus respectivos controles de calidad y completitud. Las actividades a realizar son las siguientes: Conrmar que el ambiente computacional (software, hardware) y personal, requerido para la carga o digitacin de los datos al sistema, se encuentre disponible, segn lo indicado en el plan. De lo contrario, realizar los ajustes necesarios para asegurar que la carga de los datos iniciales se haga en una forma satisfactoria. Ejecutar las aplicaciones desarrolladas para la conversin y carga inicial de los datos al sistema. Es recomendable realizar una depuracin de los datos por convertir, para asegurar que no se incluyan datos errneos al sistema. Vericar que los datos introducidos se encuentren correctos y completos. Comprobacin por parte del Lder del Proyecto y del analista responsable, que la conversin y carga de datos se realiz en una forma satisfactoria. 7.2.4. Ejecucin del paralelo Las actividades a realizar son las siguientes: Justicar la necesidad de ejecucin de un procesamiento en paralelo. Esta decisin la toma el Lder de Proyecto, considerando las caractersticas e impacto del sistema. Determinar la duracin y forma en que se realizar el paralelo, de acuerdo con la naturaleza y complejidad del sistema.
Determinar las funciones y responsabilidades del personal tcnico y del usuario que participa en el paralelo. Establecer los criterios de aceptacin esperados para evaluar los resultados que se tengan al nal de la ejecucin del paralelo. Iniciar el paralelo brindando asistencia al usuario en forma continua, para asegurar que los procedimientos se realizan en la forma correcta. Asimismo, identicar y corregir los problemas que se presenten. Documentar los resultados de la ejecucin del paralelo, considerando los criterios de evaluacin establecidos. Indicar el criterio de aceptacin considerado y el nombre de la persona que aprueba. Dar un visto bueno, por parte del Lder del Proyecto, haciendo constar que el paralelo se concluy en forma satisfactoria. 7.2.5. Aprobacin formal del sistema para el inicio de su operacin. Esta aprobacin la hace el Patrocinador, mediante un acta de aceptacin y puesta en operacin del sistema. Aqu se conrma que el sistema terminado cumple con los requisitos acordados y que puede ser puesto en produccin. 7.2.6. Hacer la entrega del sistema al usuario. El Patrocinador y el Jefe de la USTI noticarn formalmente acerca de la puesta en operacin del sistema desarrollado 7.2.7. Hacer la entrega de programas fuente Cuando el sistema cuenta con la aceptacin del Patrocinador o el Lder de Proyecto y ya est instalado en los equipo de produccin, se debe entregar para su custodia, todos los programas, fuente en su versin nal, generados en el desarrollo del sistema. Estos programas deben ir acompaados de la documentacin especicada en el
procedimiento. Adems se debe depurar el inventario de programas de manera tal que solo se haga entrega de los que realmente se requieren para la operacin del sistema (borrar los programas temporales o transitorios, versiones de prueba y cualquier otro programa que no es denitivo).
8.
Evaluacin post-implantacin
Es necesario establecer el tiempo necesario (de una semana a 3 meses segn el tamao del sistema), para que se realice una evaluacin durante su operacin, y para que se hagan los ajustes necesarios, de manera que se satisfagan los requerimientos previamente establecidos. Esta etapa supone la realizacin de una sesin con el equipo de proyecto para discutir las lecciones aprendidas en el proceso de desarrollo e implantacin, de donde incluso pueden derivarse mejoras a ser incorporadas a esta Gua Metodolgica de acuerdo al proceso establecido para su actualizacin. Adicionalmente se generar una rendicin de cuentas nal y la relacin costo/benecio efectiva del proyecto.
Anexo 5.
Mantenimiento de sistemas.
1. Mantenimiento de sistemas Para el mantenimiento de un sistema se tiene que elaborar la solicitud de modicacin por escrito por parte del usuario administrador del sistema. Para ello la USTI tiene denido un estndar de formulario para control de cambios que el interesado deber llenar y enviar para su respectivo trmite. Una vez aprobado el ajuste con base a lo establecido por el procedimiento de control de cambios, se conforma el equipo de trabajo para el desarrollo correspondiente, dndole tratamiento como un proyecto normal, ajustando todo al tamao y condiciones del trabajo a realizar. Durante la ejecucin del trabajo de mantenimiento se debern cumplir las siguientes fases: 1.1. Planicacin del trabajo de mantenimiento
Es necesario que se asignen los recursos necesarios (humanos, tcnicos, y materiales), as como establecer un calendario de seguimiento: fechas de reunin con los usuarios y fechas de validacin con el Patrocinador. Para llevar a cabo el mantenimiento se debe hacer una lista con las actividades por medio de las cuales ste se realizar. Con esta lista de actividades, se determinar si es necesario formular un cronograma para esta etapa, o simplemente efectuar un acuerdo entre el Lder de Proyecto y el Lder Tcnico sobre cmo se realizar, y cul ser el alcance que tendr.
1.2.
Especicacin de los nuevos requerimientos
En la misma forma en que fueron especicados en la fase de anlisis de requerimientos, deben ser especicadas las nuevas necesidades. Podra ser que obedezcan a solicitudes que anteriormente tuvieran muy baja prioridad, por lo que no se les tom en cuenta en esa oportunidad. De ser as debe quedar claro en el nuevo listado. Para especicarlos debe existir una sesin de trabajo, en la cual el Lder Tcnico deje claro qu se puede atender y qu no, de manera que todos los requerimientos que sean viables se implementen en el mantenimiento, con el visto bueno del Lder de proyecto.
1.3.
Ajustes en programacin y pruebas
Realizar los ajustes correspondientes a la programacin y a la base de datos si fuera necesario, para dar cumplimiento a lo solicitado. Adems, se debe valorar el tipo de pruebas a realizar (pruebas funcionales y pruebas de integracin) segn el impacto de los nuevos requerimientos en el sistema. Es importante que se asegure que las pruebas aplicadas cubren todos los aspectos afectados por las recientes modicaciones en el sistema para asegurar la estabilidad de la aplicacin. 1.4. Actualizacin de la documentacin y de los programas fuente
Realizar los ajustes que correspondan en la documentacin del sistema, en el manual de usuario, en el manual de operacin y en el manual tcnico, con la nalidad de que dichos documentos se mantengan vigentes en todo momento. Los cambios realizados en la programacin y la base de datos deben manejarse como versiones de acuerdo con lo establecido en el estndar respectivo.
1.5.
Capacitacin
Dependiendo del tipo de ajuste realizado, se ver la conveniencia de comunicarlos por medio de un correo o una pequea charla. De lo contrario se deber efectuar una capacitacin de acuerdo a lo estipulado en la presente metodologa referente a este tema. 1.6. Implementacin de los cambios
Con todos los ajustes aprobados y efectuada la capacitacin, se realizarn los ajustes necesarios en el equipo de produccin (tanto en el equipo principal como en el equipo perifrico, segn corresponda), implementando el sistema actualizado, de acuerdo con los estndares denidos. 1.7. Evaluacin post-implantacin
Dependiendo del tipo de ajuste realizado, se deber realizar una etapa de postimplantacin, segn lo establecido en esta Gua.
Anexo 6.
Formulario para documentacin de las reuniones del proyecto.

Proyecto: <<Nombre del proyecto>> Memoria de Reunin No. XX-AO
Divisin/rea: Lugar: ASISTENCIA:

Invitado
Elaborado por: Fecha: Hora inicio: Hora nalizacin:
Dependencia
Pre
Aus
X ASUNTOS PENDIENTES Y SEGUIMIENTO DE ACUERDOS:

Asunto Responsable
Grado de avance / Finalizacin prevista
ASUNTOS TRATADOS:
Asuntos tratados 1) 2)
ACUERDOS:
Comentarios Generales
Acuerdos 1) 2) 3)
Responsable (s)
F e c h a prevista
Anexo 7.
Ficha de Anteproyecto.
FICHA DE ANTEPROYECTO Nombre del Proyecto ________________________________________________________ Resultado esperado Efecto Objetivo Productos Enfoque Alcance Relaciones de Coordinacin Responsable Prioridad Requerimientos Iniciales Fecha de inicio: _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ ______________ Fecha de finalizacin: _______________________
Elaborado por: ___________________________________ Fecha:_____________________ Explicacin Detallada Nombre del proyecto:

Es el ttulo o enunciado que identifica al proyecto. Las principales caractersticas deseables al definir el nombre del proyecto son:
Identicar la naturaleza del proyecto. Ubicar el contexto en el que se desarrollar. Debe ser conciso.
Resultado esperado:
Deben establecerse los resultados esperados en los campos de accin de la Contralora que aparecen en la estrategia institucional, con los cuales se considere que el proyecto contribuye. En este apartado debe anotarse tanto la numeracin como el resultado esperado tal y como se consignan en el documento de la Estrategia Institucional. Lo anterior con el objeto de interrelacionar ordenadamente la planicacin con la estrategia institucional. En el caso de existir contribucin directa con ms de un resultado esperado, stos deben incluirse respetando un criterio de mayor a menor contribucin.
Efecto:
Para que un proyecto sea viable dentro de la CGR, el mismo debe aportar un valor agregado a la misma, o sea que el mismo coadyuve a que la organizacin cumpla sus nes y objetivos. En estos trminos se deben aportar los razonamientos que muestren como el proyecto ayudar a que la CGR sea ms eciente y productiva. Un proyecto que no se pueda justicar en los trminos anteriores, simplemente no se debe realizar.
Objetivo:
Es el nivel de desempeo que se debe lograr para satisfacer una necesidad determinada. Los objetivos deben tener una relacin directa con dicha necesidad, y es conveniente que se estructuren segn los siguientes componentes: Escala de medicin: La variable que indica la magnitud o avance del objetivo, como pueden ser el porcentaje o el volumen. Horizonte de tiempo: El periodo denido para lograr la consecucin del objetivo, por ejemplo en seis meses.
El para qu: cuando sea necesario se puede indicar para qu se quiere alcanzar el objetivo, lo cual est en funcin de la necesidad que se desea satisfacer, de manera que el lector perciba expresamente esa necesidad an cuando no tenga conocimiento en la materia. Segn sea el caso puede denir un objetivo general y varios objetivos especcos.
Productos:
Los resultados inmediatos del proyecto que propiciarn el alcance del objetivo.
Enfoque:
Determina la(s) caracterstica(s) u orientacin particular con que se quiere desarrollar el proyecto. Por ejemplo: participativo, consensuado, externalizacin, scalizacin horizontal o unilateral.
Alcance:
mbito de accin propio del proyecto.
Relaciones de coordinacin:
Denen la interaccin del proyecto, deniendo en principio lo que se requiere para su desarrollo (identica proveedores), y lo que debe aportar a otras unidades organizacionales o a otros proyectos (identica clientes). En primer lugar se establecen los clientes del proyecto, que llevan al producto deseado, lo cual conduce a los proveedores que suministran los recursos para obtener los productos. En este aparte se debe denir el rol que asume cada uno de los involucrados en el proyecto.
Responsable:
Unidad patrocinadora a la que se le asignar la responsabilidad de administrar el proyecto, y en consecuencia la que debe rendir cuentas por el logro de los objetivos planteados.
Prioridad:
El grado de urgencia del asunto. Debe estar relacionado con el impacto de los productos y con la disponibilidad de tiempo para la ejecucin. Se dene en funcin del tiempo con que se cuenta para tener los productos y de su impacto.
Requerimientos iniciales:
Indican en forma general los aspectos o acciones necesarias que deben desarrollarse en el proyecto, con el propsito de que ste brinde los efectos y resultados esperados. Dichos requerimientos deben analizarse segn los componentes del modelo gerencial de esta Contralora General: Procesos Internos, Recursos Humanos y Sistemas de Informacin.
Fecha de inicio y de nalizacin del proyecto:

Se establecen fechas de inicio y n propuestas que enmarquen el proyecto dentro de un tiempo especco; estas fechas deben ser de comn acuerdo con todas las reas involucradas. Podran estar determinadas por un periodo previamente asignado, negociado, establecido por ley o se puede partir del hecho de que la administracin requiere que el proyecto est para determinada fecha, en cumplimiento de objetivos estratgicos. Es muy importante para efectos de planeacin, realizar un estimado de la duracin del proyecto; ya que las diferentes reas involucradas debern aportar los recursos que sean necesarios para que la duracin del proyecto se cumpla. Los supuestos en que se basa la estimacin de tiempos resultan fundamentales a efecto de crear expectativas realistas y acordes con los recursos y alcances esperados.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 8.
Descriptivo de la Organizacin del Proyecto.
DESCRIPTIVO DE LA ORGANIZACIN DEL PROYECTO PROYECTO: Nombre del proyecto Cdigo de Proyecto: _____________ Siglas: _____________ Objetivo
_________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ Integrantes del equipo de trabajo
Lder de Proyecto: Lder Tcnico:
Nombre ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________
Unidad _____________________________ _____________________________ _____________________________ _____________________________ _____________________________
Integrantes del equipo de apoyo tcnico Nombre ______________________________________ ______________________________________ ______________________________________ Unidad _____________________________ _____________________________ _____________________________
Patrocinador(es) del Proyecto Nombre Puesto ________________________________________________ ____________________ ________________________________________________ ____________________ ________________________________________________ ____________________ Elaborado por: ___________________________________ Fecha : ____________________
Explicacin Detallada. Nombre del Proyecto:

Es el ttulo o enunciado que identica al proyecto. Las principales caractersticas deseables al denir el nombre del proyecto son: Identicar la naturaleza del proyecto. Ubica el contexto en el que se desarrollar. Debe ser conciso.
Cdigo de Proyecto:
Para efectos prcticos y con el n de mejorar aspectos de documentacin y archivo, todo sistema ser conocido por un cdigo asignado tomando como referencia el nmero de gestin y proceso que tendr el proyecto en el Sistema de Gestin y Documentos (SIGYD). Con dicho nmero se podr entonces revisar en el SIGYD toda la correspondencia asociada, el detalle del equipo de trabajo, fechas importantes y las horas dedicadas. Por ejemplo: 2008000123-5.
Siglas:
Se deben consignar las siglas que la USTI le asigne al proyecto.
Lder de Proyecto y Lder Tcnico:

Nombres del lder de proyecto y del lder tcnico designados.
Integrantes del equipo de trabajo y del equipo de apoyo tcnico:

Se indicar en cada lnea el nombre y la unidad de la persona que integrar cada uno de estos equipos. Para denir cada equipo deber coordinarse con las respectivas reas involucradas para que asignen a cada recurso con el tiempo suciente para atender las tareas propias de su participacin en el proyecto.
Patrocinadores del proyecto:

Todo proyecto debe tener uno o varios patrocinadores. Estos sern funcionarios que no solo apoyan el proyecto sino que se involucran directamente en l. Por lo general
sern funcionarios ubicados en las ms altas posiciones de mando de la organizacin, que no solo pedirn cuenta sobre el avance del mismo, sino que se encargaran de nivelar cualquier obstculo que amenace al proyecto, y que promovern el mismo ante las altas esferas de la CGR.
Elaborado por:
En este campo se debe consignar el nombre del funcionario que est promoviendo en su etapa inicial el proyecto.
Fecha:
Este campo almacenar la fecha en que se elabor el documento.
Anexo 9.
Ficha de Estrategia de Solucin del proyecto.

ESTRATEGIA DE SOLUCION PROYECTO: Nombre del proyecto .
Cdigo de Proyecto: _____________ Siglas: _____________
Estrategia de solucin para el proyecto: _________________________________________________________ _________________________________________________________ _________________________________________________________ Aprobado por: ___________________________________ Fecha: ____________________
Explicacin Detallada.
Nombre del Proyecto:

Es el ttulo o enunciado que identica al proyecto.
Cdigo de Proyecto:
Cdigo asignado tomando como referencia el nmero de gestin y proceso que tendr el proyecto en el Sistema de Gestin y Documentos (SIGYD).
Siglas:
Estrategia de solucin para el proyecto:

Se detalla la estrategia de solucin que la Unidad Ejecutora eligi para el proyecto.
Aprobado por:
Es el nombre del coordinador de la Unidad Ejecutora.
Fecha:
Fecha en que se emite el documento.
Anexo 10.
Formulario para la Planeacin de Recursos.
PLANEACION DE RECURSOS Nombre del proyecto: ___________________________________________________ Cdigo de proyecto: ________

Siglas: _________
Humanos: ____________ ________________________________________________________________________ __________________________________________________________________ Tecnolgicos: _____________________________________________________________________ _____________________________________________________________________ _____________________________________________________________________ Materiales: ________________________________________________________________________ ________________________________________________________________________ __________________________________________________________________ Financieros: ________________________________________________________________________ ________________________________________________________________________ __________________________________________________________________ Elaborado por: ____________________________________ Fecha: ____________
Explicacin detallada.
Recursos Requeridos _________________________________________________________
Nombre del Proyecto:

En este campo se debe consignar el nombre con que ha venido siendo conocido el proyecto.
Cdigo de Proyecto:
En este campo se consignar el cdigo que se le asign al proyecto. Siglas: Se deben consignar las siglas que la USTI le asigne al proyecto.
Recursos Humanos:
En este campo se debe anotar cada una de las personas que se requerirn durante el ciclo de vida del proyecto, con el n de que las mismas sean ubicadas a tiempo, segn sea el caso. Adems deber indicarse para cada persona el grado de dedicacin al proyecto, dentro de un periodo debidamente especicado en esta seccin. Para que un proyecto sea exitoso cada integrante del equipo de trabajo debe comprometer un nmero determinado de horas de su horario normal. De no ser as, ese funcionario no debe estar integrando el equipo de trabajo y debe ser sustituido. No existe una formula ja, sin embargo reglas basadas en la experiencia indican que el lder de un proyecto de mediano a gran tamao, debe dedicarse a tiempo completo al proyecto; los otros integrantes del equipo podran no estar a tiempo completo pero su grado de dedicacin debe quedar claramente establecido para todos los miembros, ya que esto incide directamente en el tiempo requerido para el logro de las metas y objetivos del proyecto. Segn sea el caso se debe anotar el perl requerido para el recurso; por ejemplo: se requiere un programador en JAVA con basta experiencia, durante un lapso de cinco meses, para laborar a medio tiempo. Se requiere los servicios de un experto en instalacin de redes de bra ptica, para trabajar por tres meses a tiempo completo, para laborar en las ocinas centrales de la CGR.
Recursos Tecnolgicos:
En este campo se deben anotar aquellos recursos tecnolgicos con que se debe contar en un momento determinado, para la buena marcha del proyecto. Es necesario indicar cantidades, tiempo y especicaciones tcnicas. Por ejemplo: se requiere contar con un servidor instalado en la red central de la CGR, a partir del mes de octubre, con las siguientes caractersticas tcnicas....... Se debe contar, a partir de julio, con un Sistema Administrador de Bases de Datos, Oracle 11g, con 12 licencias de prueba, instalado en el servidor de pruebas de la CGR.....
Recursos Materiales:
En este campo se deben anotar aquellos recursos materiales, necesarios para la buena marcha del proyecto. Es necesario indicar cantidades, tiempo y caractersticas. Ejemplos. Se necesita una ocina de 60 m2, equipada con cuatro escritorios, ..... Se requiere contar con los servicios de un vehculo a disposicin del grupo de trabajo, las 24 horas del da, a partir del mes de febrero y por 3 meses.
Recursos Financieros:
En este campo se debe hacer referencia a un presupuesto de gastos, lo mismo que a un ujo de efectivo, dependiendo de la complejidad del proyecto, los presupuestos sern ms o menos detallados. En algunos proyectos de la CGR, podran no tener presupuesto o ujos de efectivo, sobre todo aquellos que lo nico que requieren es el aporte del esfuerzo personal de su grupo de trabajo, para obtener un determinado producto como lo es por ejemplo un desarrollo interno de sistemas, un ante-proyecto, la redaccin de una poltica o lineamiento.
Elaborado por:
En este campo se debe consignar el nombre de la persona que elabor el documento.
Fecha:
En este campo se debe consignar la fecha en que se elabor el documento.
Anexo 11.
Formulario para documentar Acciones Correctivas o Preventivas.
DOCUMENTACIN DE ACCIONES CORRECTIVAS O PREVENTIVAS Nombre del Proyecto: ________________________________________________________ Cdigo de Proyecto: _______ Siglas: _______ Actividad desfasada(o que se podra desfasar) segn el Plan. __________________________________________________________________________ Motivos: __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Acciones correctivas (o preventivas). __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Elaborado por: ___________________________________ Fecha: ___________________ Explicacin detallada.
Nombre del proyecto:

En este campo se debe indicar el nombre del proyecto, tal y como el mismo es conocido en toda la documentacin.
Cdigo del proyecto:

Nmero de cdigo asignado desde el inicio del proyecto.
Siglas:
Actividad desfasada segn el plan:

Se dice que una actividad esta desfasada cuando a travs del proceso de revisin se determina que una actividad no esta logrando los alcances esperados, o bien los est logrando en un tiempo mayor al planeado. En este campo se debe indicar el nombre de todas aquellas actividades que el equipo de trabajo detectase como desfasadas. Lo ideal es que el desfase sea detectado lo antes posible, para facilitar la toma de acciones.
Motivos:
En este campo se deben documentar los motivos por los que, a criterio del equipo de trabajo, la actividad tiende a estar o est desfasada.
Posibles acciones correctivas o preventivas para contrarrestar el desfase:

Dependiendo del tipo de desfase, el equipo de trabajo tomara diversas acciones para contrarrestarlo. Por ejemplo si el desfase fuese en el tiempo, el equipo puede asignar ms recursos a la actividad para acelerar su ejecucin. Si el desfase fuese en alcances, el equipo buscar diversas alternativas para lograr los alcances iniciales. Si fuese imposible lograrlos se debe hacer la comunicacin a la Unidad Ejecutora, para buscar el consenso sobre unos nuevos alcances modicados o reducidos. Si las acciones correctivas no lograsen, mantener vigente el plan del proyecto, se deber elaborar un ajuste al plan, comunicndolo a todos los diferentes interesados o afectados por el proyecto.
Elaborado por:
Fecha:
Anexo 12.
Formulario para llevar el Control de Cambios del Proyecto

CONTROL DE CAMBIOS EN EL PROYECTO Nombre del Proyecto: ________________________________________________________ Cdigo de Proyecto: _______ Siglas: _______ Cambio requerido: __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Justificacin: __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Impacto del cambio: __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Requiri de ajustes en el plan de trabajo. ____________________ Elaborado por: ___________________________________ Fecha: ___________________ Explicacin detallada.

Cdigo del proyecto:

Siglas:
Cambio requerido:
Debe detallar en que consisti el cambio dentro del proyecto.
Justicacin:
Asociado al cambio anterior debe indicar la justicacin o el por qu se present el cambio.
Impacto del cambio:

Debe valorar el impacto como bajo, mediano y alto dependiendo de cuanto afecte el plan de trabajo.
Requiri ajustes en el plan de trabajo:

Se indica con un si o con un no si la atencin de dicho cambio requiri que se realizaran ajustes al plan de trabajo.
Elaborado por:
Fecha:
Anexo 13.
Formulario para la Aceptacin de Productos Finales del Proyecto

ACEPTACIN DE PRODUCTOS FINALES DEL PROYECTO Nombre del Proyecto: ________________________________________________________ Cdigo de Proyecto: _______ Siglas: ________ Productos entregados: _____________________________________________________ _____________________________________________________ _____________________________________________________ _____________________________________________________
Observaciones: __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ Acepta a satisfaccin: _______________________________ Firma: ___________________ Fecha: ___________________ Explicacin detallada.

Cdigo del proyecto:

Siglas:
Productos entregados:
Se listan todos los productos nales que deja el proyecto que concluye. Pueden ser; entre otros, sistemas operando, documentacin, o tecnologa operando.
Observaciones:
El coordinador de la Unidad Ejecutora puede dejar constancia de puntos que considera importantes en relacin a alguno de los productos, sobre todo si los requiere ser retomado en futuras versiones del proyecto.
Acepta a satisfaccin:
En este campo se debe consignar el nombre del coordinador de la Unidad Ejecutora, dando por aceptados los productos nales.
Firma:
Firma del coordinador de la Unidad Ejecutora.
Fecha:
Anexo 14.
Diagramas de Casos de Uso

Un Diagrama de Casos de Uso muestra la relacin entre los actores y los casos de uso del sistema. Representa la funcionalidad que ofrece el sistema en lo que se reere a su interaccin externa. En el diagrama de casos de uso se representa tambin el sistema como una caja rectangular con el nombre en su interior. Los casos de uso estn en el interior de la caja del sistema, y los actores fuera, y cada actor est unido a los casos de uso en los que participa mediante una lnea. En la siguiente gura se muestra un ejemplo de Diagrama de Casos de Uso para un cajero automtico.
1. Elementos Los elementos que pueden aparecer en un Diagrama de Casos de Uso son: actores, casos de uso y relaciones entre casos de uso.
1.1 Actores Un actor es algo con comportamiento, como una persona (identicada por un rol), un sistema informatizado u organizacin, y que realiza algn tipo de interaccin con el sistema. Se representa mediante una gura humana. Esta representacin sirve tanto para actores que son personas como para otro tipo de actores. 1.2 Casos de Uso Un caso de uso es una descripcin de la secuencia de interacciones que se producen entre un actor y el sistema, cuando el actor usa el sistema para llevar a cabo una tarea especca. Expresa una unidad coherente de funcionalidad, y se representa en el Diagrama de Casos de Uso mediante una elipse con el nombre del caso de uso en su interior. El nombre del caso de uso debe reejar la tarea especca que el actor desea llevar a cabo usando el sistema. 1.3 Relaciones entre Casos de Uso Un caso de uso, en principio, debera describir una tarea que tiene un sentido completo para el usuario. Sin embargo, hay ocasiones en las que es til describir una interaccin con un alcance menor como caso de uso con nes de mejorar la comunicacin en el equipo de desarrollo y en el manejo de la documentacin de casos de uso. Si queremos utilizar casos de uso ms pequeos, las relaciones entre estos y los casos de uso ordinarios pueden ser de los siguientes tres tipos: Incluye (<>): Un caso de uso base incorpora explcitamente a otro caso de uso en un lugar especicado dentro del caso base. Se suele utilizar para encapsular un comportamiento parcial comn a varios casos de uso. En la siguiente gura se muestra cmo el caso de uso Realizar Reintegro puede incluir el comportamiento del caso de uso Identicacin.
Extiende (<>): Cuando un caso de uso base tiene ciertos puntos (puntos de extensin) en los cuales, dependiendo de ciertos criterios, se va a realizar una interaccin adicional. El caso de uso que extiende describe un comportamiento opcional del sistema (a diferencia de la relacin Incluye que se da siempre que se realiza la interaccin descrita) En la siguiente gura se muestra como el caso de uso Comprar Producto permite explcitamente extensiones en el siguiente punto de extensin: info regalo. La interaccin correspondiente a establecer los detalles sobre un producto que se enva como regalo estn descritos en el caso de uso Detalles Regalo.
Ambos tipos de relacin se representan como una dependencia etiquetada con el estereotipo correspondiente (<<>> o <>), de tal forma que la echa indique el sentido en el que debe leerse la etiqueta. Junto a la etiqueta <> se puede detallar el/los puntos de extensin del caso de uso base en los que se aplica la extensin. Generalizacin ( ): Cuando un caso de uso denido de forma abstracta se particulariza por medio de otro caso de uso ms especco. Se representa por una lnea continua entre los dos casos de uso, con el tringulo que simboliza generalizacin en UML (usado tambin para denotar la herencia
entre clases) pegado al extremo del caso de uso ms general. Al igual que en la herencia entre clases, el caso de uso hijo hereda las asociaciones y caractersticas del caso de uso padre. El caso de uso padre se trata de un caso de uso abstracto, que no est denido completamente. Este tipo de relacin se utiliza mucho menos que las dos anteriores. El caso de uso hijo hereda el comportamiento y signicado del caso de uso padre.
La generalizacin aplica tambin para los actores o agentes. Las funciones de un actor pueden especializarse. Un actor puede heredar las funciones del actor padre y a la vez tener funciones ms especcas que lo especialicen.
Trabajando con Casos de Uso

Un Caso de Uso es un documento narrativo que describe a los actores utilizando un sistema para satisfacer un objetivo. Es una historia o una forma particular de usar un sistema. Los casos de uso son requisitos, en particular requisitos funcionales. UML no dene un formato para describir un caso de uso. Tan slo dene la manera de representar la relacin entre actores y casos de uso en un diagrama: el Diagrama de Casos de Uso. Sin embargo, un caso de uso individual no es un diagrama, es un documento de texto. En la siguiente seccin se dene el formato textual para la descripcin de un caso de uso que se va a utilizar en este documento. Un escenario es un camino concreto a travs del caso de uso, una secuencia especca de acciones e interacciones entre los actores y el sistema. En un primer momento
interesa abordar un caso de uso desde un nivel de abstraccin alto, utilizando el formato de alto nivel. Cuando se quiere describir un caso de uso con ms detalle, se usa el formato expandido.
1. Casos de Uso de Alto Nivel

El siguiente Caso de Uso de Alto Nivel describe el proceso de sacar dinero cuando se est usando un cajero automtico: Caso de Uso: Realizar Reintegro Actores: Cliente Tipo: primario Descripcin: Un Cliente llega al cajero automtico, introduce la tarjeta, se identica y solicita realizar una operacin de reintegro por una cantidad especca. El cajero le da el dinero solicitado tras comprobar que la operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va. En un caso de uso descrito a alto nivel la descripcin es muy general, normalmente se condensa en dos o tres frases. Es til para comprender el mbito y el grado de complejidad del sistema.
2. Casos de Uso Expandidos

Los casos de uso que se consideren los ms importantes y que se considere que son los que ms inuencian al resto, se describen a un nivel ms detallado en el formato expandido. La principal diferencia con un caso de uso de alto nivel est en que incluye un apartado de Curso Tpico de Eventos, pero tambin incluye otros apartados como se ve en el siguiente ejemplo:
Caso de Uso: Realizar Reintegro Actores: Cliente (iniciador) Propsito: Realizar una operacin de reintegro de una cuenta del banco Visin General: Un Cliente llega al cajero automtico, introduce la tarjeta, se identica y solicita realizar una operacin de reintegro por una cantidad especca. El cajero le da el dinero solicitado tras comprobar que la operacin puede realizarse. El Cliente coge el dinero y la tarjeta y se va. Tipo: primario y esencial Referencias: Funciones: R1.3, R1.7 Curso Tpico de Eventos:
Accin del Actor Respuesta del Sistema 1. Este caso de uso empieza cuando 2. Pide la clave de identicacin. un Cliente introduce una tarjeta en el cajero. 3. Introduce la clave. 5. Selecciona la operacin 4. Presenta las opciones de operaciones disponibles. de 6. Pide la cantidad a retirar. 8. Procesa la peticin y da el dinero solicitado. Devuelve la tarjeta y genera un recibo.
Reintegro. 7. Introduce la cantidad requerida.
10. Recoge el recibo. 11. Recoge el dinero y se va. Cursos Alternativos: Lnea 4: La clave es incorrecta. Se indica el error y se cancela la operacin. Lnea 8: La cantidad solicitada supera el saldo. Se indica el error y se cancela la operacin.
9. Recoge la tarjeta.
El signicado de cada apartado de este formato es como sigue: Caso de Uso: Nombre del Caso de Uso Actores: Lista de actores (agentes externos), indicando quin inicia el caso de uso. Los actores son normalmente roles que un ser humano desempea, pero puede ser cualquier tipo de sistema. Propsito: Intencin del caso de uso. Visin General: Repeticin del caso de uso de alto nivel, o un resumen similar. Tipo: primario, secundario u opcional (descritos ms adelante). Esencial o real (descritos ms adelante). Referencias: Casos de uso relacionados y funciones del sistema que aparecen en los requisitos (si se levantaron previamente) Curso Tpico de Eventos: Descripcin de la interaccin entre los actores y el sistema mediante las acciones numeradas de cada uno. Describe la secuencia ms comn de eventos, cuando todo va bien y el proceso se completa satisfactoriamente. En caso de haber alternativas con grado similar de probabilidad se pueden aadir secciones adicionales a la seccin principal, como se ver ms adelante. Cursos Alternativos: Puntos en los que puede surgir una alternativa, junto con la descripcin de la excepcin.
3. Identicacin de Casos de Uso

La identicacin de casos de uso requiere un conocimiento medio acerca de los requisitos del sistema, y se basa en la revisin de los documentos de requerimientos (si los hay), y en el uso de la tcnica de lluvia de ideas entre los miembros del equipo de trabajo y el lder tcnico. Como gua para la identicacin inicial de casos de uso hay dos mtodos:
a. Basado en Actores 1. Identicar los actores relacionados con el sistema y/o la organizacin. 2. Para cada actor, identicar los procesos que inicia o en los que participa. b. Basado en Eventos 1. Identicar los eventos externos a los que el sistema va a tener que responder. 2. Relacionar los eventos con actores y casos de uso.
Ejemplos de casos de uso: Pedir un producto. Matricularse en un curso de la facultad. Comprobar la ortografa de un documento en un procesador de textos. Comprar un libro en una tienda de libros en Internet
4. Identicacin de los Lmites del Sistema

En la descripcin de un caso de uso se hace referencia en todo momento al sistema. Para que los casos de uso tengan un signicado completo es necesario que el sistema est denido con precisin. Al denir los lmites del sistema se establece una diferenciacin entre lo que es interno y lo que es externo al sistema. El entorno exterior se representa mediante los actores. Ejemplos de sistemas son: El hardware y software de un sistema informtico. Un departamento de una organizacin. Una organizacin entera. Si no se est haciendo reingeniera del proceso de negocio lo ms normal es escoger como sistema el primero de los ejemplos: el hardware y el software del sistema que se quiere construir.
5. Tipos de Casos de Uso

a. Segn Importancia Para establecer una primera aproximacin a la priorizacin de casos de uso que identiquemos, los vamos a distinguir entre: Primarios: Representan los procesos principales, los ms comunes, como Realizar Reintegro en el caso del cajero automtico. Secundarios: Representan casos de uso menores, que van a necesitarse espordicamente. Opcionales: Representan procesos que pueden no ser abordados en el presente proyecto. b. Segn el Grado de Compromiso con el Diseo En las descripciones que se han visto se han descrito los casos de uso a un nivel abstracto, independientemente de la tecnologa y de la implementacin. Un caso de uso denido a nivel abstracto se denomina esencial. Los casos de uso denidos a alto nivel son siempre esenciales por naturaleza, debido a su brevedad y abstraccin. Por el contrario, un caso de uso real describe concretamente el proceso en trminos del diseo real, de la solucin especca que se va a llevar a cabo. Se ajusta a un tipo de interfaz especca, y se baja a detalles como pantallas y objetos en las mismas. Para el ejemplo de un Caso de Uso Real en el caso del reintegro en un cajero automtico tenemos la siguiente descripcin del Curso Tpico de Eventos:
Accin del Actor Respuesta del Sistema 1. Este caso de uso empieza cuando un 2. Pide el PIN (Personal Identication Cliente introduce una tarjeta en la ranura Number). para tarjetas. 3. Introduce el PIN a travs del teclado 4. numrico. 5. etc. Presenta las opciones de
operaciones 6. etc.
disponibles.
En principio, los casos de uso reales deberan ser creados en la fase de Diseo de Bajo Nivel y no antes. Sin embargo, en algunos proyectos se plantea la denicin de interfaces en fases tempranas del ciclo de desarrollo, en base a que son parte del contrato. En este caso se pueden denir algunos o todos los casos de uso reales, a pesar de que suponen tomar decisiones de diseo muy pronto en el ciclo de vida. No hay una diferencia estricta entre un Caso de Uso Esencial y uno Real, el grado de compromiso con el diseo es un continuo, y una descripcin especca de un caso de uso estar situada en algn punto de la lnea entre Casos de Uso Esenciales y Reales, normalmente ms cercano a un extremo que al otro, pero es raro encontrar Casos de Uso Esenciales o Reales puros.
6. Consejos Relativos a Casos de Uso

a. Nombre El nombre de un Caso de Uso debera ser un verbo, para enfatizar que se trata de un proceso, por ejemplo: Comprar Artculos o Realizar Pedido. b. Alternativas Cuando se tiene una alternativa que ocurre de manera relativamente ocasional, se indica en el apartado Cursos Alternativos. Pero cuando se tienen distintas opciones,
todas ellas consideradas normales se puede completar el Curso Tpico de Eventos con secciones adicionales. As, si en un determinado nmero de lnea hay una bifurcacin se pueden poner opciones que dirigen el caso de uso a una seccin que se detalla al nal del Curso Tpico de Eventos, en la siguiente forma: - Curso Tpico de Eventos: Seccin: Principal
Accin del Actor Respuesta del Sistema 1. Este caso de uso empieza cuando Actor 2. Pide la operacin a realizar. llega al sistema. 3. Escoge la operacin A. 5. Selecciona el tipo de pago: 4. Presenta las opciones de pago. 6. Genera recibo.
Si se paga al contado ver seccin Pago al Contado. Si se paga con tarjeta ver seccin Pago con Tarjeta.
7. Recoge el recibo y se va.
Cursos Alternativos: Lneas 3 y 5: Selecciona Cancelar. Se cancela la operacin.
Seccin: Pago al Contado Accin del Actor 1. Mete los billetes correspondientes Respuesta del Sistema 2. Coge los billetes y sigue pidiendo dinero hasta que la cantidad est satisfecha 3. Devuelve el cambio.
Cursos Alternativos: Lnea 3: No hay cambio suciente. Se cancela la operacin. Seccin: Pago con Tarjeta
7. Construccin del Modelo de Casos de Uso

Para construir el Modelo de Casos de Uso se siguen los siguientes pasos: f. Despus de listar las funciones del sistema, se denen los lmites del sistema y se identican los actores y los casos de uso. g. Se escriben todos los casos de uso en el formato de alto nivel. Se categorizan como primarios, secundarios u opcionales. h. Se dibuja el Diagrama de Casos de Uso. i. Se detallan relaciones entre casos de uso, en caso de ser necesarias, y se ilustran tales relaciones en el Diagrama de Casos de Uso. j. Los casos de uso ms crticos, importantes y que conllevan un mayor riesgo, se describen en el formato expandido esencial. Se deja la denicin en formato expandido esencial del resto de casos de uso para cuando sean tratados en posteriores ciclos de desarrollo, para no tratar toda la complejidad del problema de una sola vez. k. Se crean casos de uso reales slo cuando: - Descripciones ms detalladas ayudan signicativamente a incrementar la comprensin del problema. - El cliente pide que los procesos se describan de esta forma. l. Ordenar segn prioridad los casos de uso.
Anexo - NTP8
Marco General para Gestin de la Calidad en TIC
1.
ALCANCE DEL SISTEMA DE GESTIN DE CALIDAD

1.1. Generalidades
La Unidad de Sistemas es la encargada de la gestin de tecnologas de informacin y telecomunicaciones en la Contralora General de la Repblica, posee la siguiente estructura:
Or ganizacin
Despacho C ontr alor aG ener al C omitG erencial deT I C s Divisin G estindeA poyo Unidad TecnologasI nfor macin Presupuestoy C ompr as Secretar a
Sopor tea C lientes
Desar rollo Sistemas
Platafor made R edes
Platafor ma Tecnolgica
C entrode C mputo
(1)
DivisindeDesar r olloI nstitucional UnidaddeSistemasyT ecnologadeI nfor macin
Jefatura de Unidad: Es el responsable de la Unidad y coordina toda la gestin del desarrollo de proyectos tecnolgicos. En el rol del proceso de calidad es el encargado de velar por el cumplimiento de las polticas de calidad.
Soporte Administrativo: Consiste en brindar servicios asistenciales relacionados con presupuesto y compras en tecnologas de informacin. Soporte a Clientes: Este grupo brinda soporte tcnico a las computadoras, sus accesorios y programas que tienen los usuarios internos de la CGR. Este soporte implica la atencin de fallas en los equipos, instalacin de programas y recuperacin de datos. Desarrollo de Sistemas: Los funcionarios pertenecientes a este grupo se encargan de la gestin de desarrollo y evolucin de sistemas y aplicaciones. Plataforma Tecnolgica: El grupo de plataforma tecnolgica es el encargado del buen funcionamiento y desempeo de los servidores y bases de datos. Plataforma de redes: Es el grupo encargado de la gestin de las comunicaciones tanto digitales como telefnicas, administrando la infraestructura de rewall, routers y switches para el transporte de datos, voz y video, as como la seguridad relacionada con antivirus, ltro de contenidos y perimetral. Centro de Cmputo: Administra la infraestructura tecnolgica centralizada en la sala del centro, supervisa el buen funcionamiento y asegura la generacin de respaldos de bases de datos y sistemas operativos.
1.1.1. Alcance del sistema de gestin de la calidad El sistema de gestin de la calidad de Contralora General de la Repblica asegura la estandarizacin de los procesos de diseo, construccin y mantenimiento de soluciones tecnolgicas que satisfagan las especicaciones denidas por los clientes. Este sistema es complementado con el aseguramiento de la calidad basado en la Capacidad de los Modelos de Madurez (CMM), el cual tiene por alcance el desarrollo mantenimiento de soluciones tecnolgicas, siendo entre ellos congruentes y formando un solo sistema que se integra y complementa de buena manera. El Sistema de Gestin de la Calidad de las soluciones tecnolgicas de la Contralora General de la Repblica, permite: Asegurar la conformidad con los requerimientos del usuario, legales, vigentes y aplicables. Aumentar la satisfaccin de los usuarios por medio de una efectiva aplicacin del SGC y su mejoramiento continuo, Vericar la capacidad que tienen las soluciones tecnolgicas en los procesos de la organizacin para la satisfaccin de las necesidades de los usuarios. 1.2. Trminos y Deniciones
Para un mejor entendimiento del presente Manual, son aplicables los trminos y deniciones de la norma internacional ISO 9000:2000 Sistemas de Gestin de la Calidad Fundamentos y vocabulario. 1.3. Poltica de la calidad.
La poltica de la calidad de Contralora General de la Repblica es la siguiente:
En la Unidad de Tecnologas (UTI) de la Contralora General de la Repblica nos comprometemos a realizar nuestros mejores esfuerzos para ofrecer productos y servicios de calidad en el diseo, construccin y mantenimiento de soluciones tecnolgicas, satisfaciendo las necesidades de nuestros usuarios, cumpliendo todos los requisitos vigentes, ya sean tcnicos, legales o especicados, incorporando en los productos y servicios, las ms innovadoras herramientas tecnolgicas del mercado. En consecuencia, la UTI tiene como objetivo, la mejora continua, asegurando la calidad de sus productos con la participacin y apoyo de su personal, el cual se destaca por su compromiso y profesionalismo 1.4. Diagrama de procesos
Segn el MAGEFI, el proceso PA-08-05 Gestin de las Tecnologas de Informacin, tiene como objetivo el Aprovechar las tecnologas de informacin y de comunicacin para impulsar el desarrollo de los procesos internos (pg. 53). Para dar cumplimiento a este cometido se han identicado las siguientes actividades en el proceso: Diagnstico de la necesidad de solucin tecnolgica Anlisis de los requerimientos Diseo de la solucin tecnolgica Obtencin de la solucin tecnolgica Implementacin de la solucin tecnolgica Operacin de la solucin tecnolgica Como su objetivo lo menciona, se trata de un proceso cuyo producto de solucin tecnolgica que se orienta hacia lo interno de la institucin, por lo que se trata de un proceso que apoya otros procesos organizacionales.
2.
SISTEMA DE GESTIN DE CALIDAD

2.1. Requisitos Generales
El sistema de gestin de la calidad est conformado por el personal, su manera de relacionarse, los procesos y su interaccin, los procedimientos e instructivos, as como tambin, por los recursos que se utilizan para garantizar la calidad de los productos y servicios, en donde se involucra cada paso, desde la compra de equipos, idear el producto, hasta puesta en marcha y entrega del producto al cliente. Los requisitos del sistema de gestin de la calidad implican que: Se identican y determinan los procesos que intervienen en l Se determina la secuencia e interaccin de stos. Se determinan los criterios y mtodos que se requieren para asegurar la efectiva operacin y control. Se asegura la disponibilidad de la informacin necesaria para soportar su operacin y seguimiento, as como su medicin. Se proporciona seguimiento y anlisis y se implantan, cuando se requiere, las acciones necesarias para alcanzar los resultados planeados y la mejora continua. Dependiendo del proyecto tecnolgico la UTI conformar un equipo especializado en la materia para realizar la validacin del producto versus las especicaciones obtenidas previamente, con el objetivo de asegurar la satisfaccin del cliente.
2.2.
Requisitos de la documentacin.
2.2.1. Generalidades Para que el sistema opere consistentemente, se mantenga y pueda mejorarse, se deben establecer, documentar e implantar, documentos que incluyen: a. Las declaraciones documentadas de una Poltica y objetivos de la calidad, b. El presente Marco de Gestin de la Calidad, c. Los documentos y procedimientos requeridos por la organizacin para asegurar la planicacin, operacin y control efectivo de las actividades propias del proceso de Gestin de tecnologas de informacin y comunicacin. 2.2.2. Manual de calidad Este manual de la calidad incluye el alcance del Sistema de Gestin de Calidad, sus exclusiones y las consideraciones en materia de calidad que se contemplan en las soluciones tecnolgicas. 2.2.3. Control de documentos El control de Documentos est establecido en la Metodologa para el Desarrollo de Proyectos de Tecnologas de Informacin y Comunicaciones, y en trminos generales establece: Aprobar documentos antes de su Emisin y/o Publicacin, Revisar y actualizar los documentos, documentos por medio de un adecuado control de versiones, Asegurar que las revisiones vigentes estn disponibles en sus lugares de uso, Identicar las modicaciones y la condicin de la revisin vigente de los
Asegurar que los documentos se mantienen legibles e identicables, Asegurar que los documentos de origen externo sean identicados y su distribucin controlada, y Evitar el uso de documentos obsoletos, planteando como sern identicados apropiadamente cuando se retienen con algn propsito. 2.2.4. Control de registros La CGR considera los registros como un tipo especial de documento por lo que se establece y mantienen registros para proporcionar evidencia de la conformidad con los requisitos as como del funcionamiento efectivo del producto o servicio. Los registros permanecen legibles, fcilmente identicables y recuperables de conformidad con las polticas establecidas para la retencin y desecho de documentos denidas por Archivos Nacionales.
3.
RESPONSABILIDAD DE LA DIRECCIN
3.1. Enfoque al cliente
Cada lder de proyecto contar con el apoyo del Coordinador de Proyectos, el lder tcnico y el grupo de apoyo de manera que se pueda asegurar las necesidades y expectativas de los usuarios que han sido convertidas en requisitos y son cumplidas con la nalidad de lograr la satisfaccin de stos, considerando siempre las obligaciones reglamentarias y legales. Lo anterior, se mide a travs de la informacin que se proporciona acerca del desempeo de los productos y servicios que se tienen, con respecto a sus requerimientos y expectativas. Esta informacin se recopila por medio de la cha tcnica del proyecto (ver Manual de Estndares, Anexo No.7).
3.2.
Poltica de la Calidad
El lder de proyectos, se encarga de asegurar y vigilar que la Poltica de la Calidad establecida en la seccin 1.3 de ste Manual sea: Apropiada al propsito de la organizacin;
Incluya un compromiso para cumplir los requisitos y para la mejora continua; Provea un marco de referencia para establecer y revisar los objetivos de calidad; Sea comunicada y entendida por todos los miembros de la organizacin; Se ajuste continuamente a los cambios internos y del entorno. 3.3. Planicacin
3.3.1. Objetivos de la calidad El lder de proyectos, asegura que los objetivos de calidad han sido establecidos para todas las funciones y niveles relevantes dentro de la organizacin, y que son medidos y consistentes con la poltica de la calidad. 3.3.2. Planicacin del Sistema de Gestin de la Calidad (SGC) La CGR asegura que: La planicacin del SGC se realiza cumpliendo con los requerimientos citados en el punto 2.1 de este manual, as como con los objetivos de la calidad, y Se mantiene la integridad del SGC cuando se planica e implementa cambios en ste. La planicacin tambin se expresa en las actividades propuestas en cada uno de los procedimientos de la organizacin.
3.4.
Responsabilidad, autoridad y comunicacin
3.4.1. Responsabilidad y autoridad Las responsabilidades de las personas que participan en cada uno de los proceso de la Contralora General de la Repblica, estn regidos por: Manual de Actividades Ocupacionales; Manual Descriptivo de Puestos y por el Estatuto Autnomo de Servicios. Adems existe un organigrama (Ver 1.1) donde se han denido las lneas de autoridad de la institucin. 3.4.2. Representante de la calidad El Coordinador de proyectos ha designado a cada lder de proyecto como Representante de la UTI para la Calidad, y es quien independientemente de otras responsabilidades, tiene la responsabilidad y autoridad que incluye: a. Asegurar que se establecen, implantan y mantienen los procesos necesarios para el sistema de gestin de la calidad en materia de TIC b. Informar a la Gerencia de la UTI y al Patrocinador del proyecto sobre el funcionamiento del sistema, incluyendo las necesidades para la mejora c. Promover la toma de conciencia de los requisitos de los clientes en todos los niveles de la organizacin. La responsabilidad de cada lder de proyecto incluye las relaciones con partes externas sobre asuntos relacionados con el Sistema de Gestin de la Calidad.
3.4.3. Comunicacin interna El Coordinador de proyectos, utilizar los procesos apropiados de comunicacin establecidos en la Metodologa para el Desarrollo de Proyectos de Tecnologas de Informacin.
3.5.
Revisin de la Gerencia
Las revisiones del SGC se realizan anualmente o cuando el Gerente de la UTI lo determine. El gerente de la UTI planea la revisin del sistema para asegurar su continua uniformidad, adecuacin y ecacia. Esta revisin incluye la evaluacin de las oportunidades de mejora y la necesidad de efectuar cambios en el sistema, incluyendo la Poltica de la Calidad y los Objetivos de la Calidad, entre otros.
4.
GESTIN DE RECURSOS
4.1. Provisin de recursos
A travs de las metas establecidas producto de los planes estratgicos, tcticos y operativos, caractersticas y condiciones de equipo, son los insumos que son revisados por la Jefatura de la UTI y determinan los recursos necesarios para implantar, mantener y mejorar continuamente la ecacia de los procesos del sistema de gestin de la calidad y para lograr la satisfaccin del cliente. Dentro de estos recursos se incluyen la capacitacin y entrenamiento del personal involucrado en actividades de TIC, equipos de cmputo o equipos especializados, programas de usuarios, sistemas operativos, paquetes especializados de programas, bases de datos y otros implementos.
4.2.
Recursos Humanos
4.2.1. Asignacin de personal El personal con responsabilidades denidas en el Sistema de Gestin de la Calidad, es competente con base en la educacin, formacin, habilidades, prcticas y experiencia que son necesarias para la ejecucin de sus actividades, las cuales deben estar denidas en el perl del funcionario que desempearn dichos cargos. 4.2.2. Competencia, toma de conciencia y formacin Para mantener al personal actualizado en las competencias sobre calidad, se realizarn las siguientes actividades: Identicar necesidades de competencia del personal que ejecuta actividades que afectan a la calidad; Proporcionar capacitacin y entrenamiento para cubrir esas necesidades; Evala la efectividad del entrenamiento provisto; Institucionalmente asegurarse que los empleados estn conscientes de la pertinencia e importancia de sus actividades y cmo ellas contribuyen al logro de los objetivos de la calidad. Se conservan las evidencias y registros correspondientes de la escolaridad o educacin, formacin, calicacin y experiencia del personal. Lo anterior debido a la importancia de poder detectar las carencias de conocimientos y formacin en todo mbito, y poder cubrir tales necesidades mediante una correcta evaluacin de competencias, y dictar programas de capacitacin adecuados.
El siguiente diagrama proporciona un modelo vlido para un programa de capacitacin.
4.2.3. Infraestructura Identicar y mantener las instalaciones necesarias para lograr la conformidad de los productos y servicios incluyendo el espacio de trabajo, hardware, software bsico y utilitario, y los servicios de soporte. 4.2.4. Ambiente de trabajo Por medio de las unidades de apoyo se administran los factores humanos y fsicos (ambiente de trabajo), necesarios para lograr la conformidad de los productos y servicios, tales como: Temperatura del lugar de trabajo Espacio de trabajo (Evitar interferencias) Ergonoma Iluminacin
5.
CONSIDERACIONES EN EL DESARROLLO
El macro proceso Gestin de Tecnologas de Informacin y Comunicacin PA-08 que incorpora el MAGEFI y que involucra a la UTI, incorpora seis actividades que deben realizarse, a saber: diagnstico, anlisis, diseo, obtencin, implementacin y operacin. Cada una de estas actividades conllevan tareas que consideran la planicacin de la calidad, en la cual se pretende identicar las normas que son relevantes para el proyecto y poder determinar cmo satisfacerlas; el aseguramiento de la calidad, que consiste en aplicar las actividades planicadas y sistemticas relativas a la calidad, para asegurar que el proyecto utilice todos los procesos necesarios para cumplir con los requisitos; el control de la calidad, cuyo n es supervisar los resultados especcos del proyecto para determinar si cumplen con las normas de calidad relevantes y si se identican modos de eliminar las causas de un rendimiento no satisfactorio. La gestin de la calidad del proyecto debe abordar tanto la gestin del proyecto como el producto del mismo. Mientras que la gestin de la calidad del proyecto es aplicable a todos los proyectos, independientemente de la naturaleza de su producto, las medidas y tcnicas de calidad del producto son especcas del tipo de producto producido por el proyecto. Modelo de calidad congruente con el modelo de desarrollo de aplicaciones y estrategia de desarrollo institucional 5.1. Etapa de Diagnstico y Anlisis
A lo largo de esta actividad, es un requisito que se emprenda la bsqueda de buenas prcticas de calidad sobre el servicio o producto, que se encuentren en el mercado,
incluyendo instituciones o empresas que utilicen o brinden soluciones similares para implementar un plan de visitas. 5.1.1. Planicacin Elaborar la cha del proyecto de conformidad con lo establecido en la Metodologa de Desarrollo de Proyectos en TIC. Denir con el patrocinado el personal involucrado para documentar y conciliar las expectativas sobre el proyecto. Desarrollar capacidad en los equipos de proyecto en temas de manejo de proyectos y procesos de documentacin as como para el control de cambios. Analizar los riesgos asociados con la implementacin del producto o servicio. Conservar los estndares denidos en la Unidad de Tecnologas de Informacin (UTI) durante el desarrollo del proyecto. En caso de ser necesaria la denicin de un nuevo estndar, el gerente del proyecto debe de realizar la justicacin del mismo a la jefatura de la UTI, documentando el requerimiento y justicando su elaboracin. Desarrollar un modelo conceptual con la misin por cumplir y sus objetivos en donde se desglosen las funcionalidades del producto con respecto a los objetivos del mismo. Este modelo debe ser revisado y aprobado por el usuario, indicando de ser el caso, los comentarios relevantes de cada funcionalidad. Denir ndices de seguimiento del proyecto de acuerdo con la Metodologa para el Desarrollo de Proyectos en TIC y el Manual de Estndares. Crear un diccionario de trminos con las caractersticas de los mismos y los rangos y niveles de tolerancia. Denir los datos operativos y datos histricos para poder determinar niveles de antigedad de esos datos y su tratamiento o archivo de conformidad con la legislacin vigente.
5.1.2. Aseguramiento El lder del proyecto se encargar de que todos los participantes del grupo de desarrollo comprenda su labor y sus responsabilidades dentro del proyecto. Se debe contar con un patrocinador del proyecto que participe y se comprometa. El lder del proyecto revisar mensualmente los productos obtenidos en el mes y la documentacin relacionada con cada uno de ellos. Cada proyecto debe tener un Libro de Proyecto en el Sistema de Expediente Electrnico, al que se le debe de incorporar toda la documentacin establecida en la Metodologa para el Desarrollo de Proyectos del mismo. Se debe de establecer un grupo de proyecto que lo constituya como mnimo un lder de proyecto y un lder tcnico. Reporte mensual que se presentar al Gerente de Proyectos de acuerdo con lo establecido en la Metodologa y el Manual de Estndares. Elaboracin de listas de cotejo con las actividades de la etapa. Presentacin del producto nal de la etapa en donde se encuentre el Gerente de Proyectos, el Patrocinador y los involucrados directos. 5.1.3. Control Posterior al cierre de la etapa, se realizar un anlisis del libro del proyecto para determinar que se cumplieran los objetivos denidos y que la documentacin se encuentre completa y no sea ambigua. Cronograma de actividades del proyecto con su ruta crtica y responsables de las actividades. Lista de los participantes y su rol en el proyecto. Plan de productos entregables con sus caractersticas y sus fechas. Visto bueno de los entregables por parte del lder y del patrocinador del proyecto.
Visto bueno de los plazos para los entregables por parte del Comit de Apoyo. Mapa de riesgos y administracin de los mismos. Matriz de las formas de comunicacin que se utilizarn en el proyecto. Reportes mensuales de avance. Diagrama organizacional del proyecto con los roles establecidos. Documentacin de anlisis realizado en internet, libros, referencias o visitas realizadas. Vericar la aceptacin de la etapa de Anlisis del proyecto por parte del Patrocinador, del Gerente de Proyectos y del grupo de apoyo. Vericacin de las minutas de reuniones. Determinar los planes de contingencia de acuerdo con los riesgos encontrados. Conciliar y conrmar los supuestos establecidos de acuerdo con la Metodologa para el Desarrollo (detallar qu implica y qu debe contener). 5.2. Etapa de Diseo
Durante esta etapa, se inicia la creacin de un modelo de solucin que cumpla con los requisitos recopilados en las etapas anteriores. Al nal del proceso, se debe tener un modelo que cumpla con las necesidades del cliente. 5.2.1. Planicacin Luego del anlisis de los requerimientos del sistema, el lder tcnico representar sus resultados en un diagrama de entidad-relacin (ER), en el cual se deben de detallar los volmenes esperados de registros y pueda detallar los requerimientos de capacidad de acuerdo con lo establecido en la metodologa para el desarrollo de proyectos en TIC.
Se debe de incluir un diagrama de relaciones desde y hacia otros sistemas o fuentes de datos; la manera en que esta comunicacin ser realizada y la frecuencia en que debe ser realizado estos procesos. Adems de lo anterior, se debe de indicar las consecuencias y acciones en caso de que se presente una falla en esta comunicacin. Basado en el diagrama ER, se desarrollar un diseo lgico de la base de datos, el cual debe ser revisado por el equipo de trabajo para determinar si cumple con los requerimientos funcionales solicitados y aprobado por el administrador de las bases de datos (DBA). Para todos los procesos de la aplicacin como para los procesos en lote, se deben de denir los volmenes de informacin esperados, la frecuencia de uso, los calendarios de ejecucin y las relaciones de estos procesos con otras aplicaciones o sistemas, sean estas internas o externas. Antes de la programacin de la aplicacin, el lder tcnico debe presentar un prototipo de la aplicacin que se desea desarrollar, en la que se denirn los objetivos de cada componente (pgina o forma por ejemplo), que sern documentadas haciendo referencia a la Metodologa para el Desarrollo de Proyectos en TIC y a las funcionalidades que la misma debe realizar. Tambin debe indicarse las entradas, salidas y el perl de los usuarios que harn uso de la aplicacin. Antes de la programacin de los procesos en lote (batch), estos deben ser diagramados e indicar con detalle el proceso que se debe de ejecutar. Adems, debe de indicarse el proceso de recuperacin que debe ser realizado en caso de presentarse una falla en el proceso. Tambin, se deben de indicar las condiciones operacionales para su ejecucin, detallando los datos de entrada, los datos de salida y el orden de ejecucin. Es obligacin del grupo tcnico denir el grado de dicultad de cada proceso, tiempo estimado de construccin y su importancia en el ujo del sistema.
El lder tcnico deber de construir un mapa de la aplicacin en la cual se debe de especicar la duracin estimada, el perl de seguridad de cada pantalla. La aplicacin debe contar con pantallas para el ingreso de parmetros globales de la aplicacin, en las cuales los usuarios puedan modicar los valores comunes que se utilicen a lo largo del sistema. Participantes por unidad administrativa y la carga de trabajo esperada. 5.2.2. Aseguramiento El lder del proyecto debe vericar que exista la actividad de revisin y aceptacin del prototipo en el cronograma de actividades. el patrocinador antes de que se inicie la etapa de construccin. El lder del proyecto debe vericar que exista la actividad de revisin y aceptacin del prototipo en el cronograma de actividades. el patrocinador antes de que se inicie la etapa de construccin. Reuniones con los participantes del proyecto con agenda previa y una vez nalizada, la misma debe tener un resumen de acuerdos y estar debidamente rmada por los participantes. Nivel de seguridad en cada componente de acuerdo con el marco de seguridad establecido. Fuentes de datos consideradas para la cuanticacin de las ocurrencias de los componentes (valores de inicio, crecimiento esperado). 5.2.3. Control Cualquier requerimiento de ajuste o creacin de soluciones tecnolgicas, debe ser aceptado y aprobado segn lo establecido en la metodologa Asimismo, revisar que todas las formas de la aplicacin se encuentren aceptadas por Asimismo, revisar que todas las formas de la aplicacin se encuentren aceptadas por
Asimismo, el lder del proyecto se encargar de revisar todos los documentos y su aceptacin antes de ingresar a la etapa de construccin. Revisin de las actas de las reuniones de acuerdo con lo establecido en la Metodologa para el Desarrollo de Proyectos. Estado de los productos entregables con un informe de avance y observaciones generales. Cotejar que se contemplen los procesos que permitan contabilizar y depurar la informacin almacenada. Estos procesos deben de indicar las cifras de control que permitan vericar cantidades. Cotejar que para los datos sensitivos se tengan denidas las pistas de auditoria y trazabilidad de los datos y procesos. 5.3. Etapa de Obtencin
En esta etapa, se realiza el proceso de obtener el producto o servicio. Se debe de considerar que eso implica para un proceso de construccin, contratacin, compra, etc. En cualquier caso, el proceso debe de garantizar que se cumplan los requerimientos establecidos en las etapas anteriores. 5.3.1. Planicacin Todo programa concluido ser documentado y trasladado al ambiente de pruebas en donde se le aplicarn las pruebas necesarias y se examinar funcionalidades, apariencia y facilidad de uso. Las pruebas sern realizadas tanto por el personal tcnico, como por el personal del rea patrocinadora. Toda prueba debe ser documentada con las observaciones pertinentes de conformidad con los aspectos evaluados. Desarrollo de un modelo conceptual en donde se desglosen las funcionalidades del producto con respecto a los objetivos del mismo. Este mapa debe ser revisado y aprobado por el usuario, indicando de ser el caso, los comentarios relevantes de cada funcionalidad.
5.3.2. Aseguramiento Vericar los requerimientos con cada participante y contar con su respectiva rma de conocimiento y observaciones pertinentes. Cotejar que los formularios de control de cambios se encuentren debidamente completados y acorde con lo estipulado en la Metodologa para el Desarrollo de Proyectos Informticos. 5.3.3. Control Documentacin de cada componente detallando su participacin en el proceso y su contenido. Pruebas documentales de ejecucin de cada componente y resultados obtenidos. 5.4. Implementacin
En esta etapa, se realizaran los procesos necesarios, principalmente la prueba de la solucin seleccionada, para determinar que cumpla con los requerimientos y expectativas, que permitan nalizar el proceso con la etapa de operacin. 5.4.1. Planicacin La unidad patrocinadora del proyecto ser la responsable de analizar, probar y aceptar los productos entregables de acuerdo con los requerimientos establecidos en la Metodologa para el Desarrollo de Proyectos de TIC y de conformidad con las necesidades y funcionalidades esperadas. Cada prueba debe ser documentada segn lo establecido en la metodologa de desarrollo. Para la aceptacin de los programas, las consultas deben ser documentadas con el respectivo plan de ejecucin y determinar posibles seguros o accesos que afectan el tiempo de respuesta. Este plan debe estar aprobado por el
administrador de la base de datos (DBA) de la institucin o un profesional asignado para tal n. El plan de pruebas debe estar acorde con los requerimientos establecidos por el patrocinador y recopilados en la etapa de anlisis. Estrategia para la trazabilidad de los datos y su nivel se seguridad. Procesos y programas para la reconstruccin del producto o servicio. Documentacin adecuada sobre la operacin de los sistemas. Denicin del plan de pruebas con fechas y responsables. informacin debe ser documentada. 5.4.2. Aseguramiento Las pruebas sern documentadas indiferentemente si fue o no exitosa. Para todos los casos, se determinar quin es la persona responsable de la prueba, los participantes, el objetivo de la prueba, el resultado esperado y el resultado obtenido. Tambin se registrar el tiempo consumido para cada prueba y los costos asociados. Se realizarn pruebas de carga de proceso sobre el computador, sobre cada uno de los componentes y en los casos de procesos sensitivos se realizar un anlisis de sentencias para determinar si su plan de ejecucin es el ms adecuado con respecto al rendimiento de la base de datos. Al nalizar la etapa de pruebas, se debe de anexar a cada expediente de programa, los documentos del plan de ejecucin y las observaciones del DBA o profesional responsable. 5.4.3. Control Se revisarn los resultados obtenidos y las rmas de aceptacin del patrocinador del proyecto. Si algn documento no se encuentra aceptado, el sistema o programa no podr ser trasladado a produccin. Toda la
Pruebas parciales e integrales de los componentes con la denicin de los mrgenes de tolerancia permitidos. 5.5. Operacin
En esta etapa, el producto o servicio ingresar en un ambiente de produccin para ser usado por los clientes. La idea fundamental es la de mantener el ciclo planicarhacer-revisar-actuar, que es la base para la mejora de la calidad. 5.5.1. Planicacin Analizar los riesgos asociados con la implementacin del producto o servicio. Formularios generales de comportamiento del sistema en los que se indique si .el comportamiento del sistema es el esperado. Coordinar con el proveedor de servicio o soporte del producto en caso de tratarse de un producto externo, de lo contrario, coordinar con el lder del proyecto y el patrocinador, para que pueda brindar soporte adicional en los primeros das de operacin por si se requiere de una ayuda adicional (en caso de ser necesario). Denicin del personal que brindar soporte en caso de que se presenten inconvenientes. Este personal debe tener una capacitacin previa a la fecha del traslado a produccin as como tambin contar con un plan para el manejo de contingencias, ingresado en el Sistema de Continuidad de Servicio. Completar los formularios para el reporte de problemas denidos tanto en el Sistema de Solicitudes de Servicio (SSS) y en el Sistema de Continuidad de Servicio. Denir los protocolos para el seguimiento de problemas y atencin de procesos sensitivos. Preparar las medidas para la medicin del crecimiento de los datos desde el momento de la primer carga y del crecimiento
Vericar que todas las tablas tengan denidos los procesos para purgar datos o de tablas histricas para su migracin. Preparar un plan de contingencia y los protocolos que deben de seguirse para ser incorporados al Sistema de Continuidad de Servicio. Denicin de los umbrales de tolerancia para detener la implementacin o continuar con la misma. Plan de recuperacin de datos en caso de una reversin. Denicin del grupo encargado de realizar el seguimiento de la implementacin del producto o del servicio. Plan de divulgacin sobre la implementacin del producto o servicio. 5.5.2. Aseguramiento Realizar una reunin semanal durante el primer mes de operacin para analizar comportamiento y analizar los reportes de incidentes. Seleccionar usuarios principales para medir el comportamiento de la aplicacin y algunos de sus componentes. Generar reportes diarios de comportamiento del producto o servicio y los respectivos procesos de anlisis de datos, que debe ser analizado por el patrocinador, el lder del proyecto y la Jefatura de la UTI. 5.5.3. Control Realizar el seguimiento del registro de bitcoras por parte del lder del proyecto. Garantizar la bsqueda de soluciones a los problemas o inconvenientes reportados. Realizar reuniones de seguimiento con personal designado por el patrocinador del sistema. Preparar la documentacin para el cierre del proyecto de conformidad con lo establecido en la Metodologa para el Desarrollo de Proyectos en TIC.
Realizar una comparacin de resultados y seguimiento de los riesgos considerados y materializados en el proyecto, as como de las lecciones aprendidas. Este informe debe ser realizado por el lder del proyecto.
6.
MEDICIN, ANLISIS Y MEJORA

6.1. Generalidades
La Contralora General de la Repblica , ha establecido los lineamientos para planicar e implementar los procesos de seguimiento, medicin, anlisis y mejora necesarios para demostrar la conformidad del producto y asegurarnos de la conformidad del sistema de gestin de la calidad, as como para mejorar continuamente la ecacia del sistema de gestin de la calidad. Estos lineamientos se describen en la Metodologa para el Desarrollo de Proyectos en TIC. 6.2. Seguimiento y Medicin
6.2.1. Satisfaccin del Usuario Una parte fundamental del sistema de gestin de la calidad de la Contralora General de la Repblica, es el de realizar el seguimiento de la informacin sobre la satisfaccin del cliente con respecto al cumplimiento de los requisitos de los productos o servicios adquiridos. Por ello se ha establecido como norma, que cada grupo de desarrollo de proyecto elabore un procedimiento que permita conseguir y analizar la informacin relacionada con respecto a la satisfaccin del cliente y los alcances de inicio del proyecto. Este procedimiento se encuentra denido en el Manual de Estndares en TIC. 6.2.2. Auditoria Interna Es importante que el Jefe de UTI nombre a un funcionario de la unidad para que realice auditorias a los procesos y procedimientos documentados que contemplen las
responsabilidades y requisitos de los lderes de proyecto con respecto a la aplicacin del sistema de Gestin de la Calidad y que sus actividades estn conforme con las disposiciones planeadas. El propsito principal es vericar que el sistema est implantado y que es ecaz. El Jefe de UTI debe de establecer los lineamientos para la realizacin de las auditorias internas, desde la planeacin de los programas, tomando en consideracin el estado y la importancia de los procesos y las reas a auditar, as como los resultados de auditorias anteriores. Tambin debe denir los criterios de auditoria, el alcance de la misma, su frecuencia y metodologa, as como la transmisin del informe de resultados y la conservacin de los registros. El personal de TIC que fungir como auditor interno debe ser seleccionado de tal manera que se asegura que la ejecucin de las auditorias se lleven a cabo de manera imparcial y objetiva, en otras palabras, los auditores no pueden auditar los procesos en que estn involucrados. Los responsables de cada una de las reas que se estn auditando conocen la importancia de tomar acciones rpidas sin prdidas de tiempo, para eliminar las no conformidades detectadas y sus causas. 6.2.3. Seguimiento y medicin de los procesos La Metodologa para el Desarrollo de Proyectos de Informacin y Comunicaciones ha establecido mtodos apropiados para el seguimiento de los resultados de los procesos que forman parte del sistema de gestin de la calidad. A travs de dicho seguimiento se demuestra la capacidad de stos para alcanzar los resultados planicados. Cuando no se alcanza los resultados planicados, se lleva a toman acciones apropiadas, segn sea conveniente, para asegurar la ecacia de los procesos.
Este proceso se enriquece con la entrega de informes mensuales sobre los incidentes reportados, en los cuales se resumen la cantidad y su duracin de atencin. Estos son recopilados por medio del Sistema de Solicitudes de Servicio, que se encuentra en operacin en la UTI. 6.2.4. Seguimiento y medicin del producto o servicio El lder del proyecto y su personal se encargan de medir las caractersticas del producto para vericar que cumple con los requisitos establecidos. Esta actividad se realiza en las etapas apropiadas del proceso de realizacin del producto de acuerdo con las disposiciones planicadas y denidas en la Metodologa para el Desarrollo de Proyectos Informticos. La liberacin del producto y la prestacin del servicios no se lleva a cabo hasta que no se haya completado satisfactoriamente las disposiciones planicadas, a menos que sean aprobados de otra manera por el Gerente de la UTI y, cuando corresponda, por el patrocinador del proyecto. Las mediciones realizadas en cuanto al producto o servicio proveern los datos necesarios para denir metas anuales de mejoramiento as como tambin establecer adecuados planes de recuperacin. 6.3. Control del producto o servicio no conforme
El producto que no sea conforme con los requisitos se identica y controla por parte del lder de proyecto, para prevenir su uso o entrega no intencional. Los controles, las responsabilidades y autoridades relacionadas con el tratamiento del producto no conforme estn denidos en la Metodologa para el Desarrollo de Proyectos de Informacin y Comunicaciones.
Los productos no conformes son tratados mediante las siguientes maneras: a. Tomando acciones para eliminar la no conformidad detectada; b. Autorizando su uso, liberacin o aceptacin bajo concesin por una autoridad pertinente y, cuando sea aplicable, por el usuario; c. Tomando acciones para impedir su uso o aplicacin originalmente previsto. En cualquiera de los casos anteriores, el lder de proyecto crear un acta de revisin de prueba con las no conformidades, observaciones, descripcin de la naturaleza de los defectos y cualquier accin tomada posteriormente, incluyendo las concesiones que se hayan obtenido. En caso de haber corregido un producto no conforme, ste se somete a una nueva vericacin para demostrar su conformidad con los requisitos. Cuando se detecta un producto no conforme despus de la entrega o cuando ha comenzado su uso, el lder de proyecto toma las acciones apropiadas respecto a los efectos, o efectos potenciales, que ste pueda traer. 6.4. Anlisis de datos
Los responsables de cada una de las reas de la organizacin y de los procesos relacionados con TIC, determinarn y recopilarn datos, ya sea por entrevista personal o telefnica, encuestas u otro medio que se dena, que luego de procesarse sirva de insumos para las reuniones con el personal de TIC que permitan analizar los datos apropiados para demostrar la idoneidad y la ecacia del sistema de gestin de la calidad y para evaluar dnde puede realizarse la mejora continua. El anlisis de datos proporciona informacin sobre: La satisfaccin del cliente. La conformidad con los requisitos del producto. El Compromiso con el Sistema de Gestin de Calidad.
El grado en que los procesos alcanzan los resultados planicados. Otros considerados importantes 6.5. Mejora
6.5.1. Mejora Continua Es obligatorio mejorar continuamente la ecacia del sistema de gestin de la calidad mediante el uso de la poltica de la calidad, los objetivos de la calidad, los resultados de las auditoras, el anlisis de datos, las acciones correctivas y preventivas y la revisin por la gerencia, complementando con planes de mejora, y un continuo seguimiento por medio de reuniones peridicas dentro del grupo de TIC, as como ampliarlo a otro personal interno o externo que ayude a ir mejorando los procesos. Se establecer bitcoras de seguimiento y evaluacin de resultados, que sern analizados dos veces al ao por la Gerencia de Proyectos, con miras a establecer metas de mejoramiento a nivel de producto y a nivel de servicio. 6.5.2. Accin Correctiva La Contralora General de la Repblica, a travs de la Jefatura de Tecnologas de Informacin, tomar las acciones pertinentes para determinar la(s) causa(s) que de alguna manera, afecten el cumplimiento de no conformidades con objeto de prevenir que vuelvan a ocurrir. Las acciones correctivas son apropiadas para los efectos de las no conformidades encontradas. Para tales efectos, se seguir lo indicado en la Metodologa para el Desarrollo de Proyectos en Tecnologas de Informacin y Telecomunicaciones as como los procedimientos y formularios denidos en el Manual de Estndares de TIC.
6.5.3. Accin Preventiva Una vez al ao, la Jefatura de Tecnologas de Informacin de la Contralora General de la Repblica a travs del Comit de Apoyo, revisar, el Manual de Calidad y los elementos y sugerencias relacionadas, tanto a nivel interno como por conceptos de evolucin externa de los conceptos de calidad. Tambin, llegar a mantener toda la informacin que por aspecto de mediciones, artculos, recomendaciones o estudios, se hayan recopilado durante el ao. La idea bsica es la de establecer una base de datos en lo que respecta al tema de la calidad, y tambin tener un historial del comportamiento de las aplicaciones en uso por parte de la CGR. De esta manera, se podr tener un patrn de comportamiento y poder medir las distorsiones estacionarias o permanentes de estos componentes para poder as, denir acciones preventivas.
Anexo - NTP9
Modelo de Arquitectura de Informacin
Modelo de Arquitectura de Informacin para la Contralora General de la Repblica. Versin 1.0 Ao 2008.
Introduccin
Este documento presenta una primera versin de modelado de una arquitectura de informacin para la Contralora General de la Repblica; estructurada a partir del anlisis de los macroprocesos y procesos denidos en el Manual General de Fiscalizacin Integral denominado MAGEFI, en su versin resultante de la revisin integral que se le dio en el ao 2008 con el propsito de actualizar y mejorar este instrumento normativo. Esta versin del MAGEFI fue aprobada mediante resolucin R-CO-54-2008 el 27 de octubre del 2008 y publicada en el Diario Ocial La Gaceta No 218 del martes 11 de noviembre del 2008. Esta primera versin del Modelo de Arquitectura de Informacin (MAI) se sustenta en la denicin de insumos y productos denidos para cada proceso en el MAGEFI y hace una primera denicin de los ujos de informacin.
Necesidad
En el contexto de la alta dependencia de las TIC para la gestin estratgica, tctica y operativa de la informacin y las comunicaciones; es un asunto trascendental disponer de un Modelo de Arquitectura de Informacin (MAI), que soportado en el modelado de los procesos de la organizacin, establezca cual es la informacin que en stos uye, el manejo que debe drsele y la integracin entre los procesos a nivel de ujos de informacin. Este MAI deber guiar la insercin, mantenimiento y evolucin de las TIC en los procesos, como principio bsico para justicar la inversin en los elementos tecnolgicos que apoyarn el logro de las metas institucionales. Ese modelado debe ser la base sobre la cual se construya la abilidad y el valor agregado de la incorporacin de las TIC a los procesos de la organizacin.
Normativa tcnica
Las Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin, emitidas mediante la Resolucin del Despacho de la Contralora General de la Repblica, Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro.119 del 21 de junio de ese mismo ao, incluye una norma referida al modelo de arquitectura de informacin, en los siguientes trminos:
Con la denicin de esta primera versin del MAI la Contralora General de la Repblica cumple con el referido numeral que especcamente regula este aspecto en dichas Normas Tcnicas.
Antecedentes
Toda organizacin cuenta con alguna estructura de informacin y comunicaciones. An cuando nunca se haya dado a la tarea de identicarla ni documentarla, la existencia y funcionamiento de la organizacin llevan necesariamente a tal estructura. Al respecto, denir y documentar un modelo de arquitectura de informacin es un nivel ms evolucionado de gestin de la informacin, toda vez que es producto ya de una decisin intencionada para mejorar la administracin de TICs. Para el caso de la Contralora General, el Plan Estratgico del rea de Sistemas y Tecnologa de Informacin del ao 1998, propuso un modelo de arquitectura de informacin que, en buena medida, ha determinado el inventario de sistemas de informacin y de soluciones tecnolgicas disponibles. Este modelado de arquitectura de informacin previo se sustent en la primera emisin del MAGEFI que se promulg en el ao 1999 y que se elabor como parte de un proceso de modernizacin que impuls la Contralora General a mediados de 1996; orientado a denir un nuevo modelo de scalizacin superior de la Hacienda Pblica.
Con la reciente revisin integral del MAGEFI y la promulgacin de su nueva versin, se requiere actualizar el modelo de arquitectura para que responda a los aspectos cambiantes de la institucin. Adems, los adelantos tcnicos en la materia incorporan requisitos que aquel modelo no contempl en su momento. Esta realidad queda evidenciada en las ltimas orientaciones estratgicas y tcticas que la CGR se ha dictado para gestionar las TIC institucionales; planteadas en el Plan Estratgico de Tecnologas de Informacin y Comunicaciones (PETIC); as como en su respectivo Plan Tctico (PTAC).
Relacin entre el Plan Estratgico de TIC y el Modelo de Arquitectura de Informacin

El MAI es una herramienta controlada y usada por el nivel estratgico de la organizacin, que ayuda a visualizar con base en prioridades y lineamientos del Plan Estratgico Institucional, el aporte o apoyo que las TICs brindan al alcance de objetivos. Es por ello que debe existir una adecuada interrelacin entre el MAI y el Plan Estratgico de TIC (PETIC). En ese sentido, se puede indicar que un buen PETIC incorpora un estado actual y futuro del MAI y al mismo tiempo un buen MAI debe considerar los lineamientos o fundamentos bsicos del PETIC.
Alcances y limitaciones
La elaboracin de un modelo de arquitectura de informacin debe partir de la perspectiva de los procesos del negocio, para que as logre los resultados esperados. El insumo fundamental para desarrollar el modelado de la arquitectura de informacin de la CGR, es la denicin de los macro procesos y procesos institucionales de primer nivel, debidamente formalizada en la ms reciente versin del MAGEFI. El nivel de desarrollo del MAI en esta primera versin se alinea al nivel que lo permite el modelado organizacional existente; inicialmente en trminos de insumo, actividades del proceso y productos, que es lo denido en el nuevo MAGEFI.
En su siguiente versin el MAI podr detallar an ms respecto a entidades de informacin y ujos, en la medida que avance el proyecto institucional de documentacin de segundo nivel del MAGEFI, relativo a los procedimientos que conforman cada actividad de los procesos institucionales. Al momento de denir esta primera versin del MAI la Institucin est iniciando con la divulgacin del nuevo MAGEFI, que ser implementado paulatinamente por las distintas unidades organizacionales que conforman la institucin y las que el modelo de scalizacin requiera para su funcionamiento.
Enfoque metodolgico
La tcnica utilizada para denir el modelo de arquitectura de informacin fue Business System Planning, BSP (Planeamiento de los Sistemas del Negocio) con un enfoque simplicado. La tcnica del BSP implementa un enfoque estructurado para ayudar a establecer un plan de sistemas de informacin que pueda satisfacer las necesidades de la organizacin, esto a partir del anlisis de los procesos del negocio y de la informacin que uye en ellos. En el desarrollo de esta primera versin del MAI la tcnica BSP se aplic en una versin simplicada, dado que se dispona nicamente de la descripcin general de los procesos de la organizacin compilados en el MAGEFI. En primera instancia el equipo de trabajo realiz una revisin general del MAGEFI en su nueva versin. Posteriormente, para cada uno de los procesos gener las siguientes tablas: Procesos Unidades funcionales, indicando si la unidad tiene responsabilidad primaria, mayor implicacin o menor implicacin en el proceso.
Clases de datos Unidades funcionales, indicando quien crea y quien usa la informacin a partir de los insumos y productos denidos para cada proceso. Sistemas Unidades funcionales, asociando unidades con sistemas, indicando para cada uno si actualmente existe, si est planeado, en construccin o si es un sistema actual que requiere evolucin. Sistemas Procesos, asociando procesos a sistemas, indicando para cada uno si actualmente existe, si est planeado, en construccin o si es un sistema actual que requiere evolucin. Procesos Bases de datos sujeto asociando entidades de informacin con procesos, indicando cual proceso crea y cual usa la informacin. Luego, a partir del anlisis y procesamiento de la matriz de procesos Bases de datos sujeto; se agrupan procesos y datos en sistemas principales a los cuales se les da un nombre tentativo. De estos sistemas principales se trazan los ujos de datos de un sistema a otro, del que crea la informacin al que la utiliza.
Arquitectura de informacin
En el siguiente grco se presenta la arquitectura de informacin de la Contralora General de la Repblica, condensando la informacin generada durante la aplicacin de la tcnica del BSP.
MatrizBSP
Atencin de los sistemas actuales

Los sistemas que estn actualmente en operacin, as como los que estn en desarrollo debern someterse a revisin a n de buscar una integracin, ya que estos sistemas fueron concebidos para solventar necesidades puntuales de algn alcance de un proceso determinado y deben ahora responder a un enfoque integral de procesos como lo plantea el MAGEFI.
En la denicin de esta primera versin de MAI se tomaron en cuenta los sistemas actuales, los que estn en desarrollo, los que se conoce que requieren de evolucin y los que se tienen como sistemas planeados. Cada uno de ellos se asoci al macrosistema con el que guardaba mayor anidad.
Descripcin de Macrosistemas y Sistemas asociados

A continuacin se presentan los macrosistemas identicados y para cada uno de ellos la lista de sistemas asociados. Macrosistema de Fiscalizacin Integral: Comprende los sistemas que principalmente apoyan los procesos de Fiscalizacin Integral. Sistemas: Requerimientos de clientes externos (Planeado) Pronunciamientos (en construccin) Fiscalizacin Previa (Planeado) Fiscalizacin Posterior (en construccin) Procedimientos Administrativos (planeado) Litigios (Planeado) Asesora sobre hacienda pblica (Planeado) Capacitacin Externa (Planeado) Rectora (planeado) Servicio al Cliente Externo (Planeado) Macrosistemas de Gobierno Corporativo: Comprende los sistemas que principalmente apoyan los procesos de Gobierno Corporativo. Sistemas: Monitoreo del Entorno (Planeado) Planicacin y Evaluacin de la Gestin Institucional (Planeado)
Diseo Organizacional (Planeado) Asesora interna (Planeado) Mejora Continua (Planeado) Macrosistema de Gestin del Conocimiento: Comprende los sistemas que principalmente apoyan los procesos de Gestin del Conocimiento. Sistemas: Integrado de Recursos Humanos (actual) Sistema de Gestin del Conocimiento Institucional (planeado) BD soluciones TIC (en construccin) Memoria Anual (planeado) Macrosistema de Gestin de Recursos: Comprende los sistemas que principalmente apoyan los procesos de Gestin de Recursos. Sistemas: Presupuesto Institucional (actual) Contabilidad (actual) Tesorera (requiere evolucin) Bienes y Servicios (actual) Sistema de pagos (actual) Trmite de viticos (en construccin)
Descripcin de los sistemas

Para cada sistema identicado se presenta una descripcin general y en un siguiente nivel se presenta un detalle con los sistemas actuales, planeados, en construccin o existentes pero que requieren evolucin. Para cada sistema se plantean las entradas, ujos de datos y salidas.
Nombre del Sistema Estado Macrosistema Subsistemas asociados CRM (planeado)
Planeado Fiscalizacin Integral
Requerimientos de clientes externos
Help Desk (requiere evolucin) Sistema de control de requerimientos de clientes externos (Planeado) Sistema de Preguntas Frecuentes (requiere evolucin) Entradas Flujo de datos PP-01-I1 Requerimientos de los clientes Del cliente externo externos PP-01-I2 Mejores prcticas sobre gestin Del entorno pblica PP-01-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno PP-01-I4 Histrico de productos de BD de Conocimiento scalizacin integral PP-01-I5 Informacin sistematizada Sistema de Monitoreo del Entorno Del entorno
sobre los sujetos scalizados PP-01-I6 Marco jurdico y tcnico
Salidas PP-01-P1 Respuestas a los requerimientos de clientes externos. PP-01-P2 Solicitud interna de servicio PP-01-P3 Propuestas de diseo o rediseo de nuevos productos PP-01-P4 Anlisis integral de requerimientos del cliente externo Nombre del Sistema Pronunciamientos En construccin Estado Fiscalizacin Integral Macrosistema Subsistemas asociados Registro de pronunciamientos de la CGR (actual) Entradas PP-02-I1 Solicitud de Criterio PP-02-I2 Solicitud Interna de Servicio Flujo de datos Del cliente externo Sistema de requerimientos de clientes
externos PP-02-I3 Productos de scalizacin BD de Conocimiento integral anteriores PP-02-I4 Asesora interna escrita PP-02-I4 Criterio de asesora externa PP-02-I5 Marco Jurdico PP-02-I6 Marco jurisprudencial doctrinal aplicable Sistema de Asesora Interna Del entorno Del entorno y Del entorno
Salidas PP-02-P1 Criterio emitido Nombre del Sistema Estado Macrosistema Subsistemas asociados Manejo de la participacin Fiscalizacin Previa Planeado Fiscalizacin Integral de la CGR en el proceso de contratacin administrativa
(SIAC para tareas de la CGR) (actual) Manejo de nulidad de contratos (planeado) Calicacin de Idoneidad (actual requiere evolucin) Control de autorizaciones (planeado) Control de legalizacin de libros (planeado) Presupuestos pblicos (actual) Planicacin de Instituciones (construccin) Gestin Municipal (construccin) Gastos de Partidos Polticos (Planeado) Control de visado (planeado) Tarifas, cnones, viticos, kilometraje y zonaje (planeado) Entradas PP-03-I1 Solicitud interna de servicio PP-03-I2 Ocios Flujo de datos Sistema de Requerimientos de clientes
externos de solicitud de Del cliente externo
autorizacin y aprobacin con sus anexos PP-03-I3 Recursos de objecin o Del cliente externo apelacin en materia de contratacin administrativa PP-03-I4 Requerimiento de dictmenes Del cliente externo previos favorables de carcter vinculante PP-03-I5 Histrico de productos de BD de Conocimiento scalizacin integral PP-03-I6 Marco jurdico PP-02-I7 Marco jurisprudencial doctrinal aplicable Del entorno y Del entorno
PP-03-I8 Programacin macroeconmica Del entorno del Poder Ejecutivo PP-03-I9 Informacin sobre el sujeto scalizado Salidas PP-03-P1 Ocio de respuesta a solicitudes de scalizacin previa PP-03-P2 Resoluciones en materia de contratacin administrativa y levantamiento de incompatibilidades PP-03-P3 Certicacin de la Efectividad Fiscal Nombre del Sistema Fiscalizacin Posterior En construccin Estado Fiscalizacin Integral Macrosistema Subsistemas asociados Registro de la Actividad Contractual (actual) Registro de Declaraciones Juradas de Bienes y Control de consistencia (actual) Ejecucin presupuestaria (actual) Seguimiento de Disposiciones (actual) Manejo de las Denuncias (unido a Denuncia Electrnica) (actual) Control de Riesgos para la Fiscalizacin (planeado) Entradas PP-04-I1 Perl del proyecto Flujo de datos de Sistema de Planicacin y Evaluacin de sistematizada Sistema de Monitoreo del Entorno
scalizacin posterior la Gestin Institucional PP-04-I2 Histrico de productos de BD de conocimiento scalizacin integral PP-04-I3 Marco jurdico PP-04-I4 Marco doctrinal Del entorno y Del entorno
jurisprudencial aplicable PP-04-I5 Criterios tcnicos externos Del entorno PP-04-I6 Informes de Auditoras Internas Cliente Externo y Externas PP-04-I7 Informacin sobre el sujeto scalizado Salidas PP-04-P1 Nota Informe PP-04-P2 Informe PP-04-P3 Relacin de hechos PP-04-P4 Denuncia penal sistematizada Sistema de Monitoreo del Entorno
PP-04-P5 Ocios de cierre de disposiciones Nombre del Sistema Procedimientos Administrativos Planeado Estado Fiscalizacin Integral Macrosistema Subsistemas asociados Registro de Sancionados (actual) Entradas Flujo de datos PP-05-I1 Relacin de hechos Sistema de Fiscalizacin Posterior PP-05-I2 Histrico de productos de BD de Conocimiento scalizacin integral PP-05-I3 La defensa y las pruebas de las Cliente externo partes PP-05-I4 Marco jurdico PP-05-I5 Marco doctrinal jurisprudencial aplicable Salidas PP-05-P1 Resolucin nal del procedimiento administrativo PP-05-P2 Registro de sancionados PP-05-P3 Ttulo ejecutivo Nombre del Sistema Estado Macrosistema Subsistemas asociados Planeado Fiscalizacin Integral Del entorno y Del entorno
Litigios
Entradas Flujo de datos PP-06-I1 Histrico de productos de BD de conocimiento scalizacin integral PP-06-I2 Marco jurdico PP-06-I3 Marco doctrinal Del entorno y Del entorno
jurisprudencial aplicable PP-06-I4 La defensa y las pruebas de las Del cliente externo partes PP-06-I5 Demanda/Contra demanda y Del cliente externo sus antecedentes cuando corresponda Salidas PP-06-P1 Escrito inicial del proceso PP-06-P2 Ocios de atencin al proceso judicial PP-06-P3 Atencin de audiencias en sede judicial
Nombre del Sistema Estado Macrosistema Subsistemas asociados
Asesora sobre hacienda pblica
Entradas PP-07-I1 Solicitud interna de servicio PP-07-I2 Solicitudes de asesoras PP-07-I3 Perl de proyecto
Flujo de datos Sistema de Requerimientos de Clientes Externos Del cliente externo Sistema de Planicacin y Evaluacin de
la Gestin Institucional PP-07-I4 Histrico de productos de BD de conocimiento scalizacin integral PP-07-I5 Marco jurdico PP-07-I6 Marco jurisprudencial Del entorno y Del entorno
doctrinal aplicable PP-07-I7 Informes del Ministerio de Del cliente externo Hacienda y de MIDEPLAN PP-07-I8 Anlisis integral requerimientos del cliente externo de Sistema de Requerimientos de Clientes Externos
Salidas PP-07-P1 Documentos de anlisis u opinin sobre Hacienda Pblica PP-07-P2 Asesoras escritas PP-07-P3 Asesoras verbales PP-07-P4 Memoria Anual PP-07-P5 Documentos tcnicos de anlisis macro PP-07-P6 Manuales o guas de buenas prcticas Nombre del Sistema Estado Macrosistema Subsistemas asociados Sitio Web Campus Virtual Entradas PP-08-I1 Perl de proyecto Flujo de datos Sistema de Planicacin y Evaluacin de Planeado Fiscalizacin Integral
Capacitacin Externa
la Gestin Institucional PP-08-I2 Histrico de productos de BD de Conocimiento scalizacin integral PP-08-I3 Marco jurdico PP-08-I4 Marco jurisprudencial doctrinal aplicable Del entorno y Del entorno
PP-08-I5 Marco tcnico PP-08-I6 Solicitud interna de servicio
Del entorno Sistema de Requerimientos de Clientes Externos
Salidas PP-08-P1 Datos de las actividades de capacitacin externa Nombre del Sistema Rectora Planeado Estado Fiscalizacin Integral Macrosistema Subsistemas asociados Ranking de Auditoras Internas (actual) Entradas PP-09-I1 Perl de proyecto PP-09-I2 Marco jurdico PP-09-I3 Marco jurisprudencial Flujo de datos Sistema de Planicacin y Evaluacin de la Gestin Institucional Del entorno y Del entorno
doctrinal aplicable PP-09-I4 Criterios legales y tcnicos Del entorno externos PP-09-I5 Estudios de diagnstico de Del entorno fuentes externas PP-09-I6 Informacin sistematizada Sistema de Monitoreo del Entorno
sobre los sujetos pasivos PP-09-I7 Histrico de productos de BD de Conocimiento scalizacin integral Salidas PP-09-P1 Directrices PP-09-P2 Polticas PP-09-P3 Reglamento PP-09-P4 Manual de normas PP-09-P5 Orden PP-09-P6 Solicitud de colaboracin obligada
Nombre del Sistema Estado Macrosistema Subsistemas asociados
Servicio al Cliente Externo
Entradas PP-10-I1 Solicitud interna de servicio
Flujo de datos Sistema de Requerimientos de Clientes
Externos PP-10-I2 Productos de scalizacin BD de Conocimiento integral PP-10-I3 revocatoria Recursos contra de apelacin/ Del cliente externo de
productos
scalizacin PP-10-I4 Quejas de los clientes externos Del cliente externo sobre productos de scalizacin o el servicio suministrado PP-10-I5 Opinin de los clientes externos Del cliente externo sobre su percepcin de valor acerca de los productos de scalizacin Salidas PP-10-P1 Productos de scalizacin entregados PP-10-P2 Resolucin de los recursos o quejas sobre el producto y servicio PP-10-P3 Productos de divulgacin PP-10-P4 Ocios de respuesta a los solicitantes de servicios PP-10-P5 Reportes de medicin de valor pblico PP-10-P6 Reportes sobre sugerencias de los clientes externos Nombre del Sistema Estado Macrosistema Subsistemas asociados Entradas Modelo Organizacional Planeado Gobierno Corporativo
Monitoreo del Entorno
Flujo de datos Normativa Sistema de Diseo Organizacional
Interna PA-01-I1 Informacin difundida por los Del entorno medios de comunicacin colectiva PA-01-I2 Opiniones rendidas sobre Del entorno proyectos de ley PA-01-I3 Actas legislativas De la Asamblea Legislativa
PA-01-I4
Anlisis
integral
de Sistema de Requerimientos de Clientes
requerimientos del cliente externo Externos PA-01-I5 Jurisprudencia de los tribunales Del entorno nacionales y pronunciamientos de la Procuradura General de la Repblica PA-01-I6 Publicaciones e investigaciones PA-01-I7 Opinin de expertos PA-01-I7 Opinin de expertos internos PA-01-I8 Histrico de productos de Del entorno Del entorno Sistema de Asesora Interna BD de Conocimiento
scalizacin integral PA-01-I9 Informacin sobre la gestin Del cliente externo institucional de los sujetos pasivos PA-01-I10 Reportes sobre sugerencias Sistema de Servicio al Cliente Externo de los clientes externos Salidas PA-01-P1 Informes de anlisis del entorno PA-01-P2 Inventario de riesgos externos PA-01-P3 Informacin sistematizada sobre los sujetos scalizados PA-01-P4 Informe de diagnstico de necesidades de los sujetos scalizados PG-01-P1 Solicitudes de asesora interna Nombre del Sistema
Planeado Estado Gobierno Corporativo Macrosistema Subsistemas asociados Sistema institucional de riesgos (Planeado) Entradas Modelo Organizacional y
Planicacin y Evaluacin de la Gestin Institucional
Interna PA-02-I1 Histrico de Informe de labores Sistema del Conocimiento Institucional de la Contralora General PA-02-I2 Solicitud interna de servicio Sistema de Requerimientos de Clientes
Externos PA-02-I3 Informes de anlisis del entorno Sistema de Monitoreo del Entorno PA-02-I4 Informacin sistematizada Sistema de Monitoreo del Entorno sobre los sujetos scalizados Informe de diagnstico de necesidades Sistema de Monitoreo del Entorno de los sujetos scalizados
PA-02-I5
Directrices
tcnicas
y De la Direccin General de Presupuesto
metodolgicas emitidas por la Direccin Nacional del Ministerio de Hacienda General de Presupuesto Nacional del Ministerio de Hacienda PA-02-I6 Propuesta de Mejora Sistema de Mejora Continua PA-02-I7 Informes de anlisis nanciero Sistema de Contabilidad contables PA-02-I8 Informes de revisin interna y Sistema de Mejora Continua externa PA-02-I9 Informes de anlisis integral de Sistema de Requerimientos de Clientes requerimientos del cliente externo Externos PA-02-I10 Reportes de medicin de Sistema de Servicio al Cliente Externo valor pblico Salidas PA-02-P1 Planes Institucionales PA-02-P2 Informe de evaluacin PA-02-P3 Perl de proyecto PA-02-P4 Lineamientos de planicacin institucional PA-02-P5 Requerimientos presupuestarios para el perodo Nombre del Sistema Diseo Organizacional Planeado Estado Gobierno Corporativo Macrosistema Subsistemas asociados Cuadro de Mando Integral (Planeado) Entradas PA-03-I1 Perl de proyecto Flujo de datos Sistema de Planicacin y Evaluacin de
la Gestin Institucional PA-03-I2 Mejores prcticas sobre gestin Del entorno pblica o privada PA-03-I3 Normativa externa Salidas PA-03-P1 Modelo organizacional PA-03-P2 Normativa interna CGR Del entorno
Nombre del Sistema Estado Macrosistema Subsistemas asociados Entradas Modelo Organizacional
Planeado Gobierno Corporativo
Asesora interna
Flujo de datos Normativa Sistema de Diseo Organizacional Del cliente interno Sistema de Planicacin y Evaluacin de
Interna PA-04-I1 Solicitudes de asesora PA-04-I2 Perl de proyecto
la Gestin Institucional PA-04-I3 Informes de revisin interna o Sistema de Mejora Continua externa PA-04-I4 Criterios legales y tcnicos Del entorno externos PA-04-I5 Histrico de asesoras internas BD de Conocimiento PA-04-I6 Marco jurdico Del entorno PA-04-I7 Marco jurisprudencial y Del entorno doctrinal aplicable PA-04-I8 Mejores prcticas sobre gestin Del entorno pblica Salidas PA-04-P1 Asesora interna escrita PA-04-P2 Asesora interna verbal PA-04-P3 Advertencias de la auditora interna
Nombre del Sistema Estado Macrosistema Subsistemas asociados Entradas Modelo Organizacional PA-05-I1 Perl de proyecto PA-05-I2 Propuestas
Planeado Gobierno Corporativo
Mejora Continua
Flujo de datos Sistema de Diseo Organizacional Sistema de Planicacin y Evaluacin de diseo la Gestin Institucional o Sistema de Requerimientos de Clientes
de
rediseo de nuevos productos Externos PA-05-I4 Reportes sobre sugerencias de Sistema de Servicio al Cliente Externo los clientes externos PA-05-I5 Mejores prcticas sobre gestin Del entorno pblica o privada PA-05-I6 Inventario de riesgos externos Sistema de Monitoreo del Entorno PA-05-I7 Informes de evaluacin Sistema de Planicacin y Evaluacin de institucional anteriores la Gestin Institucional PA-05-I8 Reportes de medicin de valor Sistema de Servicio al Cliente Externo pblico PA-05-I9 Normativa interna PA-05-I10 Marco jurdico Sistema de Diseo Organizacional Del entorno
Salidas PA-05-P1 Propuestas de proyectos de mejora PA-05-P2 Propuestas de acciones de mejora PA-05-P3 Informes de revisin interna y externa
Nombre del Sistema Estado Macrosistema Subsistemas asociados Prontuario (actual) Vacaciones (actual)
Actual Gestin del Conocimiento
Integrado de Recursos Humanos
Acciones de personal y pago de funcionarios (actual) Plan de vacaciones de los funcionarios (planeado) Control de Asistencia (actual) Capacitacin interna (planeado) Evaluacin del desempeo (requiere evolucin) Registro de curriculums (actual) Pizarras electrnicas para organizaciones de empleados (actual) Gua telefnica de funcionarios (actual) Entradas Normativa Interna PA-06-I1 Solicitudes de empleo PA-06-I2 Perl de competencias vigente de las funcionarias y funcionarios de la CGR PA-06-I3 Histrico de evaluaciones del Sistema de Evaluacin del Desempeo desempeo de funcionarios PA-06-I4 Modelo organizacional Sistema de Diseo Organizacional PA-06-I5 Solicitudes puntuales relativas Del cliente interno al personal. PA-06-I6 Informacin del mercado sobre Del entorno benecios salariales y no salariales PA-06-I7 Informes de revisin interna y Sistema de Mejora Continua externa Salidas PA-06-P1 Datos del personal con experiencias de aprendizaje PA-06-P2 Datos del personal contratado PA-06-P3 Retroalimentacin del desempeo del personal PA-06-P4 Mecanismos de promocin de valores y de ideas rectoras PA-06-P5 Incentivos laborales aplicados Perl de competencias vigente de las funcionarias y funcionarios de la CGR Flujo de datos Sistema de Diseo Organizacional Del entorno Sistema Integrado de Recursos Humanos
Nombre del Sistema BD de Conocimiento Institucional Planeado Estado Gestin del Conocimiento Macrosistema Subsistemas asociados BD del negocio, labores de extraccin y anlisis de datos (planeado) Normativa para la Fiscalizacin (actual) Sistema de gestin y documentos - MTD (actual) Archivo Digital (requiere evolucin) Expediente Electrnico (en construccin) Consulta al Sistema de Pronunciamientos de la CGR (actual) Sitio Web (actual) Administracin de la Biblioteca y Servicios de Biblioteca Virtual (actual) Marco jurdico de la Contralora General (requiere evolucin) Bases de datos externas (planeado) Entradas Requerimientos de Informacin PA-07-I1 Datos internos PA-07-I2 Datos externos PA-07-I3 Mejores prcticas sobre gestin de la informacin Salidas PA-07-P1 Informacin requerida disponible Nombre del Sistema BD soluciones TIC En construccin Estado Gestin del Conocimiento Macrosistema Subsistemas asociados Sistema de control de contingencias (en construccin) Sistema de solicitudes de soporte (en construccin) Administracin de roles y claves de acceso (en construccin) Entradas Modelo Organizacional y Flujo de datos Normativa Sistema de Diseo Organizacional Flujo de datos Del cliente interno BD de Conocimiento Del entorno Del entorno
Interna PA-08-I1 Solicitudes de servicios de los Del cliente interno clientes internos PA-08-I2 Perl de proyecto Sistema de Planicacin y Evaluacin de la Gestin Institucional
PA-08-I3 Informacin interna y externa Del entorno PA-08-I3 Informacin interna y externa BD de conocimiento PA-08-I4 Mejores prcticas de la Del entorno gestin de la informacin y tecnologas relacionadas PA-08-I5 Informes de anlisis del entorno Sistema de Monitoreo del Entorno Salidas PA-08-P1 Datos de la solucin de tecnologa de informacin operando Nombre del Sistema Estado Macrosistema Subsistemas asociados Sitio Web
Planeado Gestin del Conocimiento
Memoria Anual
Herramientas de extraccin y anlisis de datos Entradas Modelo Organizacional y Flujo de datos Normativa Sistema de Diseo Organizacional
Interna PA-09-I1 Memoria organizacional Sistema de Memoria Anual PA-09-I2 Informacin interna BD de Conocimiento PA-09-I3 Mejores prcticas de la gestin Del entorno del conocimiento Salidas PA-09-P1 Memoria organizacional
Nombre del Sistema Presupuesto Institucional Actual Estado Gestin de Recursos Macrosistema Subsistemas asociados Mdulo de Solicitudes de Pedido (En Construccin) Entradas Modelo Organizacional y Flujo de datos Normativa Sistema de Diseo Organizacional
Interna PA-10-I1 Presupuesto anual y sus Sistema de Presupuesto Institucional modicaciones, aprobado de aos anteriores y del ao en ejercicio PA-10-I2 Informes presupuestarios de Sistema de Presupuesto Institucional aos anteriores PA-10-I3 Requerimientos Sistema de Planicacin y Evaluacin de
presupuestarios para el perodo la Gestin Institucional PA-10-I4 Informes de evaluacin Sistema de Planicacin y Evaluacin de institucional PA-10-I5 Planes institucionales la Gestin Institucional Sistema de Planicacin y Evaluacin de
la Gestin Institucional PA-10-I6 Solicitudes de los clientes Del cliente interno internos PA-10-I7 Lineamientos de planicacin Sistema de Planicacin y Evaluacin de institucional PA-10-I8 Marco jurdico la Gestin Institucional Del entorno
Salidas PA-10-P1 Datos de Recursos presupuestarios PA-10-P2 Separacin de recursos Nombre del Sistema Estado Macrosistema Subsistemas asociados Entradas Modelo Organizacional Actual Gestin de Recursos
Contabilidad
Interna PA-11-I1 Lineamientos emitidos por el De Contabilidad Nacional rgano Rector
PA-11-I2 Marco jurdico, doctrinario, Del entorno jurisprudencial y tcnico PA-11-I4 Estados nancieros de periodos Sistema de Contabilidad anteriores y del ejercicio PA-11-I5 Presupuesto anual y sus Del entorno modicaciones, aprobado de aos anteriores y del ao en ejercicio Salidas PA-11-P1 Estados nancieros PA-11-P2 Informes de anlisis nanciero contables Nombre del Sistema Tesorera Requiere evolucin Estado Gestin de Recursos Macrosistema Subsistemas asociados Sistema de pago de viticos (En construccin) Entradas Modelo Organizacional y Flujo de datos Normativa Sistema de Diseo Organizacional
Interna PA-12-I1 Solicitudes internas Del cliente interno PA-12-I2 Presupuesto anual y sus De la Asamblea Legislativa modicaciones, aprobado de aos anteriores y del ao en ejercicio PA-12-I3 Estados nancieros Sistema de Contabilidad PA-12-I4 Marco jurdico, doctrinario, Del entorno jurisprudencial y tcnico PA-12-I5 Informes presupuestarios PA-12-I6 Separacin de recursos PA-12-I7 Recibo a satisfaccin del bien PA-12-I8 Factura Comercial Sistema de Presupuesto Institucional Sistema de Presupuesto Institucional Sistema de Bienes y Servicios Del entorno
Salidas PA-12-P1 Datos sobre recursos nancieros ejecutados PA-12-P2 Orden de pago
Nombre del Sistema Bienes y Servicios Actual Estado Gestin de Recursos Macrosistema Subsistemas asociados Registro de proveedores (actual) Compras (actual) Suministros (requiere evolucin) Activos jos (actual) Trmites administrativos (requiere evolucin) Entradas Modelo Organizacional y Flujo de datos Normativa Sistema de Diseo Organizacional
Interna PA-13-I1 Presupuesto anual aprobado De la Asamblea Legislativa del ao en ejercicio PA-13-I2 PA-14-I3 Marco jurdico PA-13-I3 Marco jurisprudencial Del entorno y Del entorno
doctrinario aplicable PA-13-I4, PA-14-I1, PA-15-I1 Solicitudes Del cliente interno de los clientes internos PA-13-I5 Separacin de recursos PA-14-I2 Perl de proyecto Sistema de Presupuesto Institucional Sistema de Planicacin y Evaluacin de
la Gestin Institucional PA-14-I4 Marco jurisprudencial y tcnico Del entorno aplicable PA-14-I5 Bienes recibidos Sistema de compras PA-15-I2 Mejores prcticas sobre gestin Del entorno pblica o privada PA-15-I3 Servicios contratados Sistema de compras
Salidas PA-13-P1 Recibo a satisfaccin del bien PA-13-P2 Bienes recibidos PA-13-P3 Servicios contratados PA-13-P4 Resoluciones por incumplimientos contractuales PA-13-P5 Interposicin de juicio para reclamo de daos y perjuicios PA-14-P1 Datos de los bienes en operacin PA-15-P1 Servicios auxiliares prestados PA-15-P2 Informe de cumplimiento de servicios
ANEXO
Consideraciones relativas al documento MAGEFI analizadas al desarrollar el Modelo de Arquitectura de Informacin.
Relacionadocon Magefi
Anexo - NTP10
Marco de Seguridad en tecnologas de Informacin
A. Introduccin.
Este documento dene el marco de referencia de seguridad adecuado al nivel de las tecnologas de informacin y comunicaciones (TIC), sobre el cual la Contralora General de la Repblica (CGR) debe dirigir, implementar y administrar sus adquisiciones de TIC para garantizar la continuidad, integridad y conabilidad de sus bases de datos automatizadas. El documento se sustenta en el conocimiento y la experiencia derivados del trabajo realizado por funcionarios de la Unidad de Sistemas y Tecnologas de Informacin de la CGR, y toma como referencia las siguientes normativas, como prcticas lderes: La norma de referencia ISO 27001. Las Normas tcnicas para la gestin y el control de las Tecnologas de Informacin (N-2-2007-CO-DFOE). Mediante este Marco de Seguridad se cumple con la normativa de la CGR, especcamente en lo que corresponde al punto 1.4
B. POLTICA DE SEGURIDAD.
B.1. Poltica de seguridad.
Este acpite hace referencia al punto 1.4.1 de la Normativa de la CGR. La poltica de seguridad en tecnologas de informacin de la Contralora General de la Repblica se sustenta en los siguientes elementos: Un marco de seguridad que dene los elementos necesarios que deben considerarse a nivel institucional para el establecimiento de un esquema adecuado de seguridad tecnolgica. Este documento se basa en las
recomendaciones de las Normas tcnicas para la gestin y el control de las Tecnologas de Informacin (N-2-2007-CO-DFOE) y la ISO 27001. Las directrices sobre seguridad y utilizacin de las tecnologas de informacin y comunicaciones de la CGR; aprobadas mediante resolucin R-CO-612007 del 7/12/2007, el cual es la gua de referencia institucional para el uso adecuado de las TICS y que se constituye como un producto de este Marco de Seguridad.
B2. Revisin de la poltica de seguridad.

El documento Directrices sobre seguridad y utilizacin de las tecnologas de informacin y comunicaciones debe ser revisado por un comit de seguridad (ver ms adelante la conformacin de este comit) al menos dos veces al ao, considerando dentro de esto lo siguiente: Una correcta aplicabilidad de las directrices que estn operando: Se reere al hecho de determinar si las directrices que se hayan establecido son aplicables para la Institucin, o si deben ser modicadas o eliminadas. Incorporacin de nuevas directrices de acuerdo a requerimientos en seguridad que puedan surgir producto de cambios en el ambiente o de nuevas tecnologas o servicios incorporados dentro de la Contralora. Requerimientos especcos de la Administracin Superior.
B3. Establecimiento de esquemas de sensibilizacin y capacitacin al personal para el uso adecuado de las TICS a nivel institucional.
Se deben denir y revisar por parte del Ocial de Seguridad en Tecnologas de Informacin (CSO)1, los procesos y planes necesarios de sensibilizacin y capacitacin al personal, para la mejor utilizacin de las TICS. Este debe ser un proceso permanente y debe evaluarse peridicamente con el propsito de garantizar su adecuada aplicacin.
1
Ms adelante se dene formalmente la gura del Ocial de Seguridad en TIC.
C. Organizacin de la seguridad de la informacin.

C1. Estructura funcional de la seguridad de la informacin.
La estructura necesaria para garantizar la vigencia y continuidad de la seguridad en tecnologas de informacin es la siguiente: 1. El Despacho es el encargado de aprobar o improbar las directrices de seguridad que sean consideradas como parte de la gestin de la seguridad y podr apoyarse en las recomendaciones del Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC). 2. Comit de seguridad en TIC. (CSTIC): Grupo interdisciplinario de funcionarios destinado al mantenimiento de las directrices de seguridad a nivel institucional. El CSTIC se rene semestralmente o cuando sea requerido por alguno de sus miembros y dentro de sus funciones estn: a. Analizar la incorporacin de nuevas directrices de seguridad acorde a requerimientos especcos de la administracin superior, o requerimientos producto de los monitoreos que sean realizados por el encargado de la seguridad en TIC (Ocial de Seguridad). b. Analizar la aplicacin de las directrices existentes y proponer medidas para asegurar su cumplimiento. c. Someter al Despacho de las seoras Contraloras las nuevas directrices con el propsito de que sean aprobadas y ocializadas. Como parte del grupo interdisciplinario de funcionarios que conforman el CS, debern considerarse al menos las siguientes reas: Despacho de las Contraloras Generales. Unidad de Recursos Humanos. Divisin de Contratacin Administrativa
Unidad de Servicios Generales. Unidad de Sistemas y Tecnologas de Informacin. Divisin de Fiscalizacin Operativa y Evaluativa. La Auditoria interna, en casos de que se considere pertinente, debe participar en calidad asesora con el propsito de fortalecer el sistema de control interno institucional. 1. El Ocial de Seguridad en TIC (CSO). Es el coordinador del CSTIC y dentro de sus funciones estn: a. Coordinar el CSTIC a nivel Institucional. b. Analizar y recomendar la implementacin de directrices relacionadas con la utilizacin de las TIC, en pro del mejoramiento de los niveles de seguridad de la informacin en la CGR. c. Coordinar con los encargados de los servicios y implementacin de las medidas de seguridad. d. Velar por el debido cumplimiento de las directrices denidas institucionalmente respecto a la seguridad y utilizacin de las tecnologas de informacin y comunicaciones. e. Coordinar con la jefatura de la USTI para la aplicacin de medidas de seguridad necesarias para minimizar posibles vulnerabilidades que puedan poner en riesgo la informacin o recursos tecnolgicos. f. Coordinar con la jefatura de la USTI la aplicacin adecuada y la vericacin de la integridad de los respaldos, por parte de los responsables de las reas funcionales. g. Coordinar junto con la Jefatura de la USTI, la vigencia de la informacin almacenada dentro del sistema de Contingencias. h. Asesorar durante el desarrollo, adquisicin o implementacin de soluciones tecnolgicas con el propsito de garantizar productos que cumplan con las directrices de seguridad institucional. con los usuarios, la
i. Coordinar con las reas correspondientes de la organizacin, los procesos necesarios de sensibilizacin y educacin a nivel de seguridad en las TIC para todos los funcionarios. j. Coordinar las acciones correspondientes cuando se suscite algn incidente de seguridad que ponga en riesgo la informacin de la CGR k. Participar en reuniones de diseo de los nuevos servicios o sistemas, apoyando al grupo de trabajo para la elaboracin de un producto que cumpla con los requerimientos de seguridad institucional. El punto de referencia son las directrices institucionales en seguridad de informacin. l. Determinar la presencia de eventos que puedan poner en riesgo la seguridad o continuidad de las TIC, coordinar con los responsables y tomar las medidas correctivas. El CSO mantendr en coordinacin con la jefatura de la USTI, comunicacin
permanente con los responsables de las principales reas funcionales (Soporte a usuarios, Servidores Principales, Redes y Telefona y Desarrollo de Sistemas) de la USTI, para garantizar la aplicacin de las medidas de seguridad necesarias sobre las TICS. La vigilancia y aplicacin de las directrices relacionadas con la seguridad informtica es responsabilidad de cada encargado de los servicios. As, por ejemplo, las directrices relacionadas con la seguridad de la base de datos le corresponden en su aplicacin, al encargado de esta rea. En el caso de directrices que ataen a las estaciones de trabajo, deben ser denidas por la USTI y aplicadas por los usuarios.
C2. Auditorias respecto a la seguridad.

La CGR debe someter cada dos aos sus funciones de seguridad informtica a procesos independientes de vericacin de su funcionamiento, aplicabilidad, efectividad y eciencia.
Este proceso de vericacin debe contemplar: Anlisis de vulnerabilidades sobre los servidores o recursos que se determinen pertinentes por la USTI. (Recursos crticos). Pruebas de penetracin sobre estos equipos. Evaluacin de la poltica de seguridad institucional. La revisin independiente debe rendir un informe con el detalle de los resultados de las pruebas efectuadas, de la evaluacin de la poltica de seguridad, y las recomendaciones para mejorar los puntos crticos detectados como parte del estudio.
D. Gestin de Activos.
D1. Inventario de activos.
Se debe contar con los mecanismos automatizados para el registro y control de los activos institucionales. Especcamente todo lo relacionado a Tecnologas de Informacin y Comunicaciones debe estar registrado dentro de un sistema de informacin automatizado. Los activos de TIC deben estar clasicados segn su nivel de criticidad, considerando dentro de este inventario tanto los recursos fsicos (computadoras, servidores, equipos de comunicaciones) como los recursos lgicos (sistemas, paquetes, licencias). Los niveles de criticidad sern analizados y definidos por los patrocinadores de las soluciones tecnolgicas.
D2. Responsabilidad de los activos.

Cada activo de TI debe tener asociado un responsable de su custodia. La responsabilidad sobre los activos incluye: La asignacin de un responsable para cada activo que se adquiera.
La reasignacin de un responsable cuando el activo cambia de ubicacin. La reasignacin de un responsable cuando el activo es devuelto o desechado. El sistema de control de activos debe mantener la asignacin de los responsables de los activos intangibles tales como sistemas, programas o informacin.
D3. Uso aceptable de los activos.

La USTI debe mantener directrices generales actualizadas para el uso adecuado de los activos de TIC. Estas directrices deben estar aprobadas por las autoridades superiores de la CGR y comunicados a todos los funcionarios. Debe contarse con los procedimientos correspondientes para poner en aplicacin las directrices establecidas. Estos procedimientos igualmente deben estar aprobados por la USTI y comunicados por las vas que se establezcan a nivel institucional, a todos los funcionarios.
E. Compromiso del personal con la seguridad.

Este captulo corresponde al cumplimiento del punto 1.4.2 de la Normativa de la CGR.
E1. Informacin a los usuarios.

La CGR debe contar con los mecanismos necesarios para informar a todos los funcionarios sobre sus responsabilidades en el uso de las Tecnologas de Informacin y Comunicaciones. Para esto se deben realizar en coordinacin con la Unidad de Recursos Humanos charlas de induccin y sensibilizacin1 respecto a las TIC. Se deben establecer los esquemas necesarios para garantizar la aceptacin, entendimiento y aplicacin adecuada por parte de los funcionarios respecto a las directrices existentes dentro de la institucin para el uso adecuado de las TIC.
Se entiende por sensibilizacin el proceso mediante el cual se pretende inculcar en los funcionarios la conciencia del uso adecuado de las TIC para garantizar los niveles adecuados de seguridad que requiere la institucin.
La USTI debe denir un proceso de informacin a los usuarios respecto al uso de las tecnologas. Este mecanismo debe considerar al menos: Informacin sobre las directrices existentes en el uso de las TIC, debidamente aprobados por las autoridades superiores de la institucin. Informacin respecto a los procedimientos especcos del uso adecuado de las tecnologas. Mensajes informativos de sensibilizacin en el uso adecuado de las TIC. Charlas peridicas relativas a la seguridad y utilizacin de las TIC.
E2. Seguimiento.
El CSO debe denir los mecanismos de revisin respecto a la aplicacin de las directrices institucionales para la utilizacin de las TIC. Las Unidades a las que le corresponda dentro de la Contralora, deben denir claramente el esquema de sanciones que deben aplicar a nivel institucional por el incumplimiento de las directrices. Ese esquema de sanciones debe ser aprobado por las autoridades superiores de la Institucin y publicarse ocialmente por los medios que corresponda.
F. Seguridad Fsica y del Entorno.

F1. Permetros de Seguridad Fsica.

El CSO debe denir los niveles de seguridad necesarios para garantizar las medidas de proteccin a los activos tecnolgicos de la CGR. Estos niveles de seguridad deben estar asociados al nivel de criticidad y seguridad que se le denan a los activos.
Se denen tres niveles de criticidad, los cuales estarn asociados a diferentes controles segn el nivel. Los niveles son: Activos crticos: Son aquellos que su ausencia provoca que se imposibiliten los procesos bsicos de la Contralora, provocando problemas internos y externos. Activo medianamente crticos: Son aquellos activos que son necesarios para el quehacer de la CGR, sin embargo se puede disponer de un tiempo determinado para volverlo a poner en operacin en caso de que falle. Activos no crticos: Son aquellos que su ausencia temporal no presenta ningn riesgo para el quehacer de la CGR. El recurso debe volver a ponerse en funcionamiento. Para cada uno de estos tres tipos de criticidad, se asocian niveles de control y seguridad sobre los activos. Estos niveles son: Nivel 1: Nivel mximo. En este nivel se establecen controles sobre activos (equipos e informacin) que sean considerados como crticos a nivel Institucional. Nivel 2: Nivel intermedio. Este nivel debe contemplar controles sobre activos (equipos e informacin) que sean menos crticos, y que no contemplen todas las medidas de seguridad establecidas para el permetro Nivel 1-. Nivel 3: Nivel bajo. Este nivel debe contemplar el resto de la plataforma de TIC, la cual estar regida segn las directrices institucionales en el uso de las tecnologas, pero no estar protegida por los esquemas de seguridad considerados en los niveles 1 y 2.
F2. Consideraciones de control de acceso fsico.

Para cada uno de los permetros de seguridad fsica denidos en el punto anterior, se deben considerar condiciones bsicas de seguridad. Estas condiciones deben ser:
Nivel 1: Recinto privado con acceso restringido. Cmaras de vigilancia con capacidad de almacenamiento de la informacin de al menos una semana de tiempo y transmisin en vivo de la imagen a un centro de control. Sensores de calor, humedad con conectividad a un centro de control para el envo de alertas. Puertas de seguridad para el acceso al recinto. Control y registro electrnico de los accesos que se realicen al recinto. Administracin por parte de un encargado formalmente denido. Control mediante bitcora del personal que acceda al recinto. Control mediante bitcora de los ingresos y salidas de equipos al recinto. Dispositivos de control de fuego. Aires acondicionados acordes a la capacidad instalada de equipos y con conexin a unidades alternas de energa. (Para garantizar su operacin ante fallo del sistema elctrico). Conexin elctrica con proteccin y fuentes ininterrumpidas de poder. Ubicacin fsica de los equipos considerando la facilidad de manipulacin por parte de personal tcnico, y alejados de fuentes posibles de riesgo: rayos del sol en forma directa, humedad, emisiones contaminantes y calor. Registro, por medio de bitcoras de los accesos a los equipos por parte de personal de mantenimiento externo. Diagramas disponibles respecto a las fuentes de almacenamiento elctrico de los equipos ubicados dentro del recinto.
Nivel 2: Recinto privado con acceso restringido. Puertas de seguridad para el acceso al recinto. Control y registro electrnico de los accesos que se realicen al recinto. Dispositivos de control de fuego. Si es necesario aires acondicionados. Conexin elctrica con proteccin y fuentes ininterrumpidas de poder. Ubicacin fsica de los equipos considerando la facilidad de manipulacin por parte de personal tcnico, y alejados de fuentes posibles de riesgo: rayos del sol en forma directa, humedad, emisiones contaminantes y calor. Nivel 3: Existencia de un responsable del activo debidamente establecido. Lineamientos existentes sobre el uso de los activos. Proteccin mediante unidades ininterrumpidas de poder. Ubicacin adecuada del activo dentro de zonas comunes con acceso controlado. Identicacin de activos mediante identicadores electrnicos.
F3. Controles de acceso a reas restringidas.

Segn el nivel establecido para los permetros de seguridad, la CGR debe considerar la incorporacin de los siguientes elementos dentro de los esquemas de acceso a los permetros: Cmaras de video, con capacidad de grabacin y almacenamiento de los videos de al menos una semana de antigedad. Deben tener conectividad a un centro de monitoreo en donde se pueda estar vigilando la actividad sobre los recintos protegidos. Personal disponible para vigilar el video.
Acceso mediante tarjeta magntica a los recintos protegidos. Deben existir los roles correspondientes dentro del sistema de acceso para el control de autorizacin a los recintos. Registro de bitcoras electrnicas respecto a los accesos realizados por funcionarios en las zonas protegidas. Identicacin de personal autorizado para el acceso a las zonas protegidas. Asignacin de roles y permisos dependiendo de los niveles de autorizacin de acceso del personal. Bitcora de control de accesos a las zonas restringidas. Sistemas de deteccin y control de fuego, humo y humedad. Sistemas de aire acondicionado Ubicacin adecuada de equipos dentro de los permetros de seguridad, para facilitar las actividades de mantenimiento. Procedimientos claramente establecidos respecto al ingreso, uso y mantenimiento de los equipos ubicados dentro de las reas de seguridad. Ubicacin fsica segura de dispositivos de almacenamiento secundario donde se almacenen respaldos de informacin sensible. Control adecuado mediante bitcoras de la manipulacin de esta informacin. Sistemas adecuados de seguridad en las conexiones elctricas. (Tierra en los tomas elctricos). Sistemas de suministro ininterrumpido de poder para los equipos ubicados dentro de los permetros de seguridad. Distribucin de la alimentacin elctrica independiente para los equipos que cuenten con fuentes de poder redundantes. Registro de ingreso y salida de equipos a las reas restringidas. Control sobre equipos en prueba mediante bitcoras. Deben existir diagramas de las conexiones de red de los equipos ubicados dentro de las reas restringidas que muestre claramente adonde se est conectando cada uno de los equipos ubicados en las reas restringidas. (Conexin equipo a switch, switch a switch, conexiones externas a switches,
etc). Esta documentacin deber estar disponible para ser accedida por las personas que se denan dentro de los esquemas de acceso al centro de cmputo: Jefe de la Unidad de Sistemas Encargado del Centro de cmputo Encargado del rea de redes Deben existir diagramas de las instalaciones elctricas, con n de determinar la relacin entre equipo y fuente de alimentacin elctrica correspondiente.
F4. Mantenimiento de los equipos.

Para cada uno de los activos TIC considerados como crticos se tiene que contar con un esquema de mantenimiento asociado, sea este preventivo o correctivo en donde se identique: Tipo de mantenimiento contratado. Equipos de respaldo (stand by) que puedan ser utilizados en caso necesario. Nombres, telfonos y correos electrnicos de contactos tcnicos (internos y externos) para aplicar en caso de ser necesario. Periodicidad del mantenimiento preventivo (si lo tuviera). Condiciones del mantenimiento correctivo (horarios, costos adicionales, horas mensuales). Los responsables de cada uno de estos activos; en coordinacin con la jefatura de la USTI, deben denir las condiciones en que se deben realizar las acciones de mantenimiento preventivo a los mismos, garantizando: Minimizacin del tiempo fuera de servicio del recurso. Programacin de los servicios de mantenimiento en horas no laborables. Esquemas de planicacin de los servicios de mantenimiento por anticipado.
Sistemas para informar a los usuarios respecto a los servicios de mantenimiento programados. Mapeo entre recursos y servicios, con el n de determinar la relacin entre el mantenimiento de un recurso y los servicios que se vean afectados. Vericacin previa de esquemas de respaldo y recuperacin en caso de falla al retornar el servicio a produccin. Disponibilidad del personal tcnico asociado al recurso para apoyar las labores de mantenimiento.
F5. Seguridad de equipos fuera de las instalaciones principales de la CGR.

La USTI debe establecer los procedimientos que aplican para los casos en donde los funcionarios utilicen los equipos a su cargo en sitios externos al edicio principal. Estos procedimientos deben contemplar: La forma en que sern registrados dentro de las bitcoras de la USTI, los equipos que salen de la institucin. Consideraciones tcnicas a aplicar para los equipos que estaran saliendo de las instalaciones de la CGR. Programas necesarios que debe tener el equipo que est saliendo de la institucin. Forma de actualizacin de los programas (Ejemplo: antivirus) para los equipos que se encuentren fuera de la Institucin. Esquema de soporte tcnico para dar apoyo a los funcionarios que estn ubicados fuera de la institucin.
F6. Seguridad en la reutilizacin de equipos.

Con el propsito de garantizar la privacidad de la informacin contenida dentro de los equipos de los funcionarios, la USTI debe denir los procedimientos para los casos de reubicacin de responsables de un equipo. Se debe garantizar:
La eliminacin de informacin sensible contenida en las unidades de almacenamiento asociadas al equipo. La eliminacin de programas que no sean necesarios. La eliminacin de conguraciones particulares que no se vayan a utilizar ms.
F7. Seguridad en equipos que ingresan a la Institucin.

La USTI debe denir la poltica que aplica para equipos externos (no-propiedad de la CGR), que requieran conectarse a la red institucional prevaleciendo el inters de garantizar la seguridad de la informacin almacenada dentro de las bases de datos institucionales. Se debe contar con un esquema fsico o lgico de separacin de redes garantizando que equipos externos conectados a la red institucional pasen por sistemas de control y proteccin distintos a los equipos internos.
G. Gestin de comunicaciones y operaciones

G1. Documentacin de los procedimientos de operacin.

Los responsables de las reas funcionales de la USTI, deben elaborar y darle mantenimiento a los procedimientos de operacin, respaldo y recuperacin de los recursos TIC a su cargo. Todos estos procedimientos debern estar almacenados y accesibles a quien se disponga por parte de la USTI.
Los procedimientos deben estar registrados electrnicamente y contar con un respaldo fsico que pueda ser accedido fcilmente sin necesidad de contar con un acceso a la red de comunicacin institucional.1 Trimestralmente cada responsable de recursos, deber proceder a validar la informacin contenida en los procedimientos bajo su responsabilidad. Se debe llevar dentro de cada procedimiento un registro para control de cambios efectuados al mismo, contemplando la fecha de la modicacin del procedimiento, el responsable de la modicacin y un detalle de la modicacin efectuada.
G2. Separacin de ambientes de trabajo.

El ambiente utilizado para el desarrollo de aplicaciones debe estar separado del ambiente de produccin. Para esto se deber considerar una separacin fsica o virtual, garantizando la independencia de estos ambientes. Los desarrolladores de sistemas no deben tener acceso a los sistemas y datos en produccin, y las pruebas que se efecten sobre sistemas en desarrollo se deben hacer sobre una plataforma independiente a la de produccin, con un ambiente totalmente controlado.
G3. Controles contra cdigo malicioso.

La CGR debe contar con tecnologa adecuada para el control de software o actividades maliciosas detectadas dentro de la red de datos institucional. En este sentido el CSO debe vigilar el entorno respecto a programas y tcnicas dainas que puedan poner en riesgo la seguridad interna de la CGR, y aplicar las medidas necesarias para minimizar las posibilidades de ser vulnerada.
Esto se dene de esta manera considerando un evento en donde los sistemas y recursos tecnolgicos no estn disponibles.
La CGR dispondr continuamente de la tecnologa necesaria para poder vigilar en forma centralizada, la actividad reportada por estos programas de control de software malicioso. Se debe supervisar en forma regular el comportamiento de la plataforma de TIC de la institucin, para identicar y atender posibles incidentes de seguridad. El CSO debe denir los procedimientos para actuar ante la aparicin de cdigo malicioso dentro de la Plataforma de TIC Institucional. Estos procedimientos deben indicar: Forma de reporte de una propagacin de virus u otro software maliciosos. Acciones para controlar la diseminacin de estos virus. Procedimientos para volver a la normalidad un equipo daado. La Unidad Tcnica (USTI) debe contar con mecanismos de sensibilizacin a los usuarios sobre los riesgos sobre la informacin por una mala utilizacin de las TICS. Se deben establecer mecanismos peridicos de informacin a los usuarios respecto a programas maliciosos. Esta periodicidad debe ser de al menos una vez al mes. Los canales utilizados para el proceso de sensibilizacin a los usuarios sern los que se consideren ms apropiados, contemplando al menos: Correo electrnico Charlas. Documentos tcnicos disponibles en forma electrnica. intranet
Respecto al control de cdigo malicioso, se deben establecer los siguientes niveles de seguridad: A. En las estaciones de trabajo: 1. Antivirus instalado y debidamente actualizado. 2. Antispyware instalado y debidamente actualizado. 3. Bloqueo de puertos, mediante rewall y/o antivirus, para el control de programas maliciosos que puedan utilizar vulnerabilidades sobre estos puertos para tomar control del equipo. 4. Sistema de deteccin y prevencin de intrusos a nivel de estaciones de trabajo, garantizando que el trco de informacin desde y hacia la estacin de trabajo no sea daino, permitiendo bloquear cualquier intento de intrusin al equipo por parte de conexiones externas. 5. Contar con tecnologa apropiada para proveer esquemas de cifrado a la informacin que se considere necesaria dentro de las estaciones de trabajo. 6. Proceso automatizado de las actualizaciones de seguridad sobre aplicaciones y sistema operativo. 7. Tecnologa para el manejo automatizado de respaldos de la informacin del directorio de trabajo de las estaciones de trabajo. 8. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y sistemas operativos. 9. Manejo de respaldos automatizados para garantizar la restauracin completa de la informacin a un momento determinado. (ver punto G4) B. En los servidores: 1. Contar con rewall a nivel de servidores que permita lograr un nivel de seguridad adicional al brindado por el rewall corporativo. 2. Procesos regulares de anlisis de vulnerabilidades sobre aplicaciones y sistemas operativos.
3. Procesos regulares para aplicacin de actualizaciones de seguridad. C. En la red: 1. Contar con sistemas de deteccin y prevencin de intrusos a nivel de red que constantemente estn monitoreando el canal y determinando y controlando posibles ataques que puedan estar ocurriendo. 2. Sistema de control sobre equipos que no cumplan con las directrices de seguridad previamente establecidas a nivel institucional. (Control de acceso al medio)
G4. Respaldo de la informacin

Los encargados de las distintas reas funcionales de la USTI, deben denir los procedimientos de respaldo de la informacin almacenada tanto en los servidores principales de la CGR como en los equipos de los usuarios nales, considerando: Para servidores principales: -- Procedimientos de respaldo diario de la informacin almacenada en las bases de datos. -- Procedimiento de respaldo semanal de la informacin. Ubicacin distante de estos respaldos. -- Procedimientos de respaldo de conguraciones. -- Registro en bitcoras de los procesos de respaldo efectuados. Se debe registrar en esta bitcora la informacin necesaria para poder acceder a los registros en caso de que sea necesario. Para equipos de comunicacin u otros con menor cantidad de datos almacenados. -- Procedimientos de respaldo de conguraciones.
-- Procedimientos de respaldo de datos, en los casos en que sea necesario. Para estaciones de trabajo. -- Procedimientos de respaldo de la informacin de los usuarios. Se debe suplir a los usuarios con la tecnologa necesaria para el respaldo de la informacin contenida dentro de sus equipos. Los encargados de las distintas reas funcionales de la USTI deben establecer los procedimientos de vericacin de la funcionalidad de los respaldos. Se deben efectuar pruebas peridicas (al menos 1 vez cada tres meses) para garantizar la integridad de estos respaldos.
G5. Seguridad de las redes de comunicacin.

Todos los equipos que se encuentran conectados a la red de datos institucional, debern ser controlados mediante un sistema de seguridad, Para garantizar esquemas adecuados de seguridad, se deben considerar esquemas fsicos o lgicos de separacin de las redes internas de datos segn el tipo de equipo que est ubicado en cada una de esas redes. Todos los accesos especcos a equipos crticos deben estar controlados por un sistema de seguridad. Se debe contar con tecnologa que permita detectar actividad anmala sobre las redes de comunicacin de datos institucionales. Esta tecnologa debe tener la capacidad de detectar, informar y corregir, si fuera necesario cualquier tipo de ataque sobre equipos internos de la institucin. Se debe contar con una documentacin clara y fcilmente accesible sobre la topologa de la red Institucional. Esta documentacin debe contener con al menos informacin respecto a:
Ubicacin fsica y lgica de equipos principales, equipos de comunicaciones y equipo de seguridad. Ubicacin fsica y lgica de la segmentacin de redes. Mapeo de conexiones fsicas dentro del Centro de Cmputo. Topologa general de las redes considerando: -- Direcciones IP -- Sistema Operativo de los equipos -- Conexiones existentes con otros equipos. -- Redes virtuales denidas (Vlans) -- Redes privadas virtuales existentes. -- Conexiones con sitios externos, velocidades y direccionamiento IP.
G6. Seguridad en las conexiones inalmbricas.

Toda conexin que sea establecida desde dispositivos inalmbricos hacia la red interna de la CGR debe contemplar esquemas de autenticacin, condencialidad e integridad. La USTI debe mantener actualizadas y en funcionamiento las directrices especcas para el uso y administracin de la red inalmbrica institucional. Se deben tener las siguientes consideraciones respecto a la seguridad de las conexiones inalmbricas: a. Todo equipo inalmbrico que se conecte a la red institucional debe estar claramente identicado por la unidad Tcnica de la CGR. (USTI). b. Se deben identicar y manejar en forma separada dos tipos de conexiones inalmbricas: las que requieren acceso a las redes internas institucionales y las que solamente requieren acceso a la Internet. Para cualquiera de estos accesos se deben utilizar esquemas de autenticacin, inclusive cualquier red inalmbrica catalogada como no conable.
c. El acceso a la red institucional por parte de las conexiones inalmbricas debe contar con los esquemas de control que sean establecidos para las redes alambicas. d. Los equipos concentradores de conexiones inalmbricas (access point) se deben instalar considerando que el rea de cobertura de los mismos se circunscriba a los lmites del edicio. e. La solucin inalmbrica que se utilice debe contar con mecanismos de seguridad tales como: -- Sistemas de deteccin de intrusos. -- Manejo de la autenticacin por medio de certicados digitales. (A nivel de equipo y no de usuario). -- Manejo de esquemas de cifrado seguros para la transmisin de la informacin por el medio inalmbrico. f. Deben realizarse anlisis peridicos de la red inalmbrica con el propsito de detectar equipos no autorizados. (Access point y/o clientes).
G7. Seguridad de la informacin disponible en servidores de acceso pblico.

La USTI debe contar con los mecanismos necesarios para que la informacin que sea puesta a disposicin de los usuarios externos de la CGR, cuente con los esquemas de seguridad necesarios contra posibles accesos indebidos. Un usuario que se conecte externamente, no podr acceder directamente a las Bases de Datos institucionales, sino que su acceso lo debe hacer mediante una solicitud a un servidor intermedio de la CGR, el cual se debe encontrar en la zona pblica, y este servidor es el que realiza el acceso hacia las bases de datos, obtiene la informacin y se la entrega al usuario nal.
Para los casos de registro por parte de usuarios de informacin sensible, se debe contar con esquemas que garanticen la seguridad de la informacin transmitida (cifrado de datos), y autenticidad del sitio (certicados digitales).
G8. Vigilancia de la actividad sobre la informacin almacenada en las Bases de Datos Institucionales.
Se debe contar con tecnologa adecuada para la vigilancia de los accesos y manipulacin de la informacin almacenada en las bases de datos institucionales (bitcoras). Para ello es necesario considerar: La informacin que ser sujeta a monitoreo. La permanencia de los datos monitoreados. Los esquemas de revisin de estas bitcoras (periodicidad y mtodo de revisin). Los responsables de la revisin de la informacin almacenada en las bitcoras. Los esquemas de seguridad (roles) para las personas que harn anlisis sobre las bitcoras correspondientes. Los servidores institucionales debern estar debidamente sincronizados con un servidor de tiempo nico, de tal forma que la hora de los equipos sea congruente, esto para efectos de los anlisis que se deban realizar sobre la actividad registrada en los reportes correspondientes de los servidores. Los responsables de las reas funcionales de la USTI deben realizar, para los casos en donde se determine (producto de la vericacin de las bitcoras) las investigaciones necesarias para cualquier incidente sobre los accesos a la informacin.
Puede ser el procedimiento actual, traslado a bodega con indicaciones de deshecho o donacin, y la limpieza de los discos y memorias. G9. Seguridad en el registro y transferencia de informacin.
Se deben establecer mecanismos para garantizar que los datos que sean considerados como crticos se transeran en forma segura a travs de las redes internas de comunicacin de la CGR. Par tal efecto se deben implementar por parte de la USTI, los mecanismos necesarios para garantizar no negacin, autenticidad, integridad y condencialidad de la informacin.
H. Control de Acceso.
H1. Administracin de usuarios.

Deben establecerse los procedimientos para el registro de usuarios nuevos a los sistemas institucionales. Estos procedimientos debern considerar: Los responsables del registro, Los servicios a los cuales los usuarios tendrn acceso y Las razones del acceso. Todo registro de un usuario debe ser producto de una solicitud formal en donde se indiquen los roles y privilegios a los que este usuario tendr acceso.
Deben establecerse los mecanismos para la revisin peridica de los roles y privilegios asignados a los usuarios y los procedimientos de revocacin de estos privilegios cuando ya no se requieran. Se deben garantizar los esquemas de seguridad necesarios para la identidad asignada a un usuario (cdigo usuario y password) para el acceso a los servicios asociados a l (usuario/password). Asociado a la asignacin de contraseas deben existir directrices claramente establecidas a nivel institucional para su correcto uso. Deben considerarse: Polticas de asignacin de password fuertes y difciles de robar. Polticas de seguridad en el mantenimiento de estos password. Sensibilizacin sobre las responsabilidades en el uso adecuado de los password asignados. Procedimientos para la renovacin peridica de los password.
H2. Accesos asociados al usuario.

Se deben establecer en forma clara los privilegios de acceso a los servicios de acuerdo con el perl de seguridad asociado a cada usuario. Cualquier acceso (interno o externo) a un servicio que requiere identicacin de usuario, debe estar controlado con esquemas de autenticacin y autorizacin.
I. Seguridad en los sistemas de informacin.

I1. Anlisis de especicaciones y requisitos de seguridad.

El proceso de desarrollo e insercin de software considerar las directrices de seguridad institucionales. Debe existir una metodologa en el desarrollo de sistemas de informacin que garantice los controles de seguridad necesarios en las aplicaciones o sistemas nuevos, as como la calidad de los mismos. Dentro de esta metodologa se debe considerar: La validez de los datos de entrada a las aplicaciones, evitando el ingreso de registros incorrectos (que pongan en riesgo aspectos de integridad de la informacin). La autenticidad de la informacin que es registrada dentro de las bases de datos. Para esto se deben establecer los mecanismos necesarios para brindar los esquemas de seguridad en la autenticacin de los usuarios a las aplicaciones o servicios. Procedimientos denidos para los procesos de prueba de los sistemas o soluciones que se vayan a poner en produccin. Se deben denir, basado en los niveles de criticidad de la informacin, los esquemas de privacidad requeridos para los datos. En este sentido se debe considerar la implementacin de mecanismos de cifrado (utilizando la tecnologa que se considere oportuna) tanto en los procesos de transmisin de la informacin por la red, como de almacenamiento de datos, todo esto con el objetivo de garantizar la seguridad de la informacin. de
seguridad de TI, de forma tal que sus productos sean conformes con las directrices
I2. Implementacin y actualizacin de soluciones tecnolgicas.

Cualquier cambio realizado sobre la infraestructura tecnolgica deber someterse a un procedimiento de aprobacin previo y a una validacin integral de las implicaciones del cambio ante el entorno. Todo cambio realizado debe quedar registrado basado en un sistema de control de cambios.
I3. Autorizacin de nuevos servicios en TIC.

Cualquier requerimiento en TIC debe ser canalizado por las unidades solicitantes a la USTI utilizando un esquema jerrquico: 1. La unidad solicitar a la USTI el nuevo servicio que requiere. Esta solicitud se debe hacer mediante nota dirigida al Jefe de la USTI. 2. El jefe de la USTI evaluar preliminarmente la solicitud y determinar si es viable de realizar. En caso de que sea viable lo someter a consideracin de la Comisin Ad Hoc coordinada por la Subcontralora, para que ah se decida su elevacin al CGTIC de donde se emitir la recomendacin de aprobacin o no de la solucin tecnolgica que ser comunicada a la Unidad Solicitante. 3. Se excluyen del punto anterior soluciones que no impliquen mayores recursos y que no requieran de un lder de proyecto asignado por el Patrocinador.
I4. Acuerdos sobre condencialidad.

Se deben denir los criterios de privacidad respecto a la informacin institucional. En este sentido es necesario establecer como parte del modelo de arquitectura de informacin la identicacin de los datos, su nivel de criticidad y su nivel de privacidad.
Con base en el modelo se deben establecer por parte de la unidad de Recursos Humanos los acuerdos de condencialidad y de no-divulgacin respecto a la utilizacin de la informacin considerada como crtica. Se deben contemplar los procedimientos para evaluar la vigencia de los acuerdos y posibles cambios que deban considerarse en caso necesario.
J. Gestin de incidentes de la seguridad de la informacin.

J1. Manejo de los incidentes:
Se debe contar con una poltica claramente establecida respecto al manejo que se le deba dar a los incidentes de seguridad presentados sobre la plataforma tecnolgica de la CGR. Los eventos de seguridad deben clasicarse segn su nivel de criticidad y el manejo que se le d deber estar soportado por un sistema de informacin que permita apoyar el tratamiento del evento, permitiendo registrar la informacin relativa al mismo. Se deben tener denidos los procedimientos adecuados para la atencin de los incidentes de seguridad, los cuales deben considerar: La forma en que se debe atender el incidente. El grupo de trabajo responsable de la atencin del incidente. El acceso a informacin de localizacin de las personas responsables del rea tcnica par atender el incidente. (internas y externas) El uso de las bitcoras de informacin primaria para investigar. La documentacin que se debe generar del incidente.
K. Continuidad del negocio.

K1. Manejo de la continuidad del negocio.

El manejo de cualquier incidente relacionado con la continuidad de los servicios brindados por la CGR se debe tratar como una contingencia y debe ser canalizado segn procedimientos claramente establecidos y accesibles por las personas responsables de la operacin de los mismos. Los planes de continuidad del negocio deben estar soportados por un sistema de informacin que permita disponer, en forma eciente, de toda la informacin relacionada con el tema de las contingencias.
ANEXO 1
El rol del CISO: Chief Information SecurityOfcer
Tomado de Internet. En la actualidad las empresas producen un 60% ms de informacin por ao y el nmero de ataques a la misma se incrementa a pasos agigantados, sin embargo en muchos casos se sigue sin implementar polticas acorde a este crecimiento. Sin dudas, la informacin que genera una empresa es uno de los activos ms importantes que esta posee. Tener control de las actividades que comprenden uso y generacin de informacin requiere de polticas bien denidas en virtud de garantizar disponibilidad, integridad y conabilidad de la misma as como contar con una persona que pueda llevar a cabo la planicacin de las actividades necesarias para lograr estos objetivos. De acuerdo a la Encuesta Global 2007 de Seguridad & Privacidad de la consultora Deloitte, el 80 % de los ataques que una organizacin recibe procede de errores humanos. Al ranking de las brechas de seguridad lo lideran los ataques va e-mail con un 52%. Luego ms abajo se encuentra las actividades vricas, un 40%, las actividades de phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware con 26% y la ingeniera social (17%). Es importante destacar que el informe menciona que la efectividad de los ataques internos producidos por los propios empleados es de un 39%. El informe tambin menciona que ms empresas estn optando por tener entre sus las el rol de CISO o Chief Information Security Ofcer. Si sumamos los datos enunciados anteriormente, se puede comprender mucho mejor el porque de esta decisin ya que viendo la seguridad de la informacin como proceso integral que comprende polticas, procesos orientados al riesgo y enfocados al negocio de la empresa, se requiere que la coordinacin, planicacin, organizacin y control de la informacin este en manos de
una persona encargada de velar por el cumplimiento de los objetivos de la organizacin y que este rol tiene que estar en directa comunicacin con el Directorio para poder realizar estas tareas. Este rol que cumple el CISO tiene su actividad principal orientada a garantizar que la informacin de la organizacin sea dedigna y accesible por los miembros de la empresa que tengan que acceder a ella en base a sus objetivos. Para ello, tiene que contar con la posibilidad de implementar las medidas de control que crea conveniente as como coordinar actividades centrado en su misin. Se pueden detallar las siguientes actividades que estarn bajo el control del CISO de acuerdo a un revelamiento llevado a cabo entre las personas que estn ocupando dichos cargos en latinoamrica durante el 1er CISOs Meeting 2005 y que estn ordenadas por orden de criticidad. 1. concientizacin de usuarios internos y externos 2. anlisis de riesgos de negocio y tecnolgicos 3. business continuity plan 4. administracin de seguridad 5. control proactivo 6. monitoreo y reporting 7. anlisis de normativas y regulaciones 8. denicin de normativas internas 9. seguridad fsica de centros de cmputos 10. anlisis de contingencias legales, forensics 11. capacitacin / actualizacin permanente 12. gestin de mejoras en procesos 13. aplicacin de tecnologa para cumplir esquema disciplinario propuesto por rr.hh. 14. administracin del rea 15. anlisis de riesgos en nuevas tecnologas 16. integracin con gestin de ti
17. interaccin con gerentes y usuarios diariamente 18. justicacin del presupuesto 19. soporte a terceros 20. Durante mucho tiempo muchas de estas actividades estaban controladas principalmente por el rea de sistemas (en el mejor de los casos), contando, en ocasiones, con personal que tuviera conocimientos de seguridad informtica. Las amenazas actuales as como la cantidad de informacin que se tiene que gestionar ha aumentado tan drsticamente que requiere de una verdadera centralizacin de las decisiones que garanticen lo mejor posible la proteccin de la informacin. Estas decisiones principalmente polticas dentro de la organizacin no tendran que estar supeditada a la disponibilidad de un rea que tiene mltiples actividades asociadas como es el rea de sistemas. Es importante entender que las actividades del CISO no son tcnicas totalmente y tienen que ser comparadas con las actividades que puede desarrollar un CEO (Chief Executive Ofcer) dentro de la empresa, pero orientada a la informacin de la misma. Sus conocimientos si tienen que estar al alcance de comprender cuales son las polticas y procesos necesarios para cumplir con sus tareas. Como antes se menciono, su contacto con el Directorio es algo muy importante a n de que la comunicacin sea directa y que se pueda contar con el apoyo necesario. Este tipo de organizacin de actores est incluyndose actualmente como una de las buenas prcticas de seguridad. De esta forma, el Directorio tambin podr estar permanentemente informado de los riesgos que se estn incurriendo y as aplicar las medidas adecuadas en caso de ser necesario. El CISO podr contar, dependiendo de lo que entienda necesario, con un equipo a cargo de hacer cumplir las polticas y/o tercerizar la partes tcnicas a empresas teniendo bajo su cargo el cumplimiento de los objetivos que comprendan las implementaciones que se requieran. Este tipo de relacin tiene virtudes muy importantes. Primeramente, la
organizacin contar con una persona que vele por la seguridad de la informacin y segundo, reducir sus costos al tercerizar las actividades de implementacin al tiempo que podr elegir los mejores actores para llevarlas a cabo. Por el lado de la empresa que se haya contratado, esta contara con una persona de contacto que tiene poder de decisin dentro de la organizacin as como la informacin necesaria para poder realizar el trabajo en el menor tiempo posible y con los mejores resultados dado que no perder recursos en tratar de dilucidar cuales son los requerimientos. Como se vio en la lista de tareas enunciadas anteriormente, otra de las reas que estn a cargo del CISO son las referentes a la seguridad fsica (control de alarmas de incendio o robo, guardias de seguridad, cmaras, etc) dado que no solo es a travs de actividades lgicas que se puede comprometer la seguridad. Para ello podr contar con herramientas que le permita en todo momento conocer el estado de las distintas dependencias de la organizacin al tiempo que podr dirigir las actividades y recursos fsicos de seguridad para lograr su objetivo. A n de contar con toda la informacin requerida para cumplir con sus actividades, se puede contar con la implementacin de herramientas como los tableros de control, que permitirn tener una visualizacin general de las actividades y de los incidentes reportados. Para poder mantener esta herramienta, es necesaria una concientizacin del personal a n de que los mismos reporten las incidencias de seguridad. Por supuesto, el personal tiene que poder ver el benecio de este tipo de reportes ya que si no, solo se sentirn controlados lo que originara problemas internos al tiempo que podra propender a tratar de saltar los controles instituidos. Se podr observar que el rol del CISO es de extrema importancia en las decisiones tomadas por el directorio y que su consulta se hace necesaria para poder cumplir con los objetivos de la empresa al tiempo que se protegen sus activos. Siendo que el directorio o la alta gerencia no necesariamente tiene que conocer los aspectos fundamentales de la seguridad fsica y lgica, el contar con un actor como el CISO, permitir concentrar sus esfuerzos en las actividades que permitan el crecimiento sin comprometer a la seguridad de la organizacin por el simple desconocimiento.
Anexo - NTP11
Mapeo Elctrico
Introduccin
En coordinacin con la Unidad de Servicios Generales se llevaron a cabo una serie de actividades relaciones con energa elctrica, segn se identican en el siguiente apartado, con el objetivo de aprovechar el conocimiento y la experiencia de su personal para documentar los sistemas elctricos, sensores y alarmas relacionados con la gestin de tecnologas de informacin; tomando como referencia la siguiente normativa, como prctica lder: Las Normas tcnicas para la gestin y el control de las Tecnologas de Informacin (N-2-2007-CO-DFOE). Mediante este documento se cumple con parte de la normativa de la CGR, especcamente en lo que corresponde al punto 1.4, en los aspectos citados en el siguiente apartado.
Requerimientos
Mapeo de conexiones elctricas
Documentacin clara de cada una de las conexiones elctricas que se encuentran dentro del Centro de Cmputo, etiquetando tableros y los cables e identicndoles con las fuentes de alimentacin elctrica correspondientes; as como de un mapeo de cada conexin y su correspondiente fuente elctrica, con el propsito de conocer con exactitud a qu est conectado cada uno de los equipos de tecnologa ubicados en el rea de servidores del piso 10.
Distribucin de cargas por unidades de poder (UPS)

Identicar y documentar las cargas que est soportando cada una de las UPSs que alimentan los equipos de tecnologas con el objetivo de asegurar una correcta distribucin de las mismas, evitando que las fuentes de poder redundantes de
un equipo estn conectados a una misma UPS, y para evitar que una UPS est sobrecargada con respecto a otra.
Procedimientos para resolver problemas elctricos

Como parte del plan de contingencias en Tecnologas de Informacin y Comunicaciones, debemos tener documentados los procedimientos que se deben seguir para atender de la mejor forma cualquier problema elctrico. Estos tienen que incluir los responsables de su ejecucin, y las personas alternativas ante la ausencia del responsable principal, sus nmeros de telfono o medios de localizacin, para incluirlos en un manual de escalamiento.
Procedimientos de mantenimiento preventivo para el aire acondicionado

Tambin, se tienen que incluir en el plan de contingencias los procedimientos documentados respecto al plan de mantenimiento preventivo y correctivo relacionado con los aires acondicionados del Centro de Cmputo.
Lmparas de emergencia ante problemas elctricos

Se requiere contar con lmparas de emergencia que se activen automticamente dentro del Centro de Cmputo cuando falle la corriente elctrica, para que los encargados de tecnologas puedan desplazarse en forma segura en estas circunstancias. .
Aseguramiento de los cuartos de comunicaciones
Segn el esquema de niveles de seguridad establecidos, los cuartos de comunicaciones ubicados en los distintos pisos tanto del edicio principal como del anexo tienen que estar asegurados e integrados al sistema de UPS. Al igual que en el Centro de Cmputo, no se tiene que permitir el acceso directo del pblico o funcionarios no autorizados a los equipos. Este aseguramiento debe ser fsico,
considerando el control de los mismos por parte de los funcionarios responsables de los equipos.
Control de acceso
El control de acceso al piso 10 y a los cuartos de comunicacin tiene que estar documentado, incluyendo los mecanismos en uso y los contactos en caso de fallas.
Extintores
El o los extintores en uso tienen que estar documentados, as como el protocolo de uso y activacin, el tipo de elemento (gas u otro) utilizado para amortiguar o apagar posibles conatos de incendio.
Alarmas
Documentar los parmetros de activacin de las alarmas por incendio, de sensores, temperatura y otros en uso.
Actividades realizadas
En coordinacin con la Unidad de Gestin Administrativa se realizaron y calendarizarn las actividades comentadas a continuacin.
1. Mapeo de conexiones elctricas

Se realiz una revisin de conexiones elctricas, logrando identicar los circuitos a los cuales estn conectadas las regletas de cada uno de los equipos. Esto se muestra en la gura No.1. Se logr identicar que las cargas de los tableros A y B estn balanceadas, esto debido a que la diferencia de las corrientes en cada fase de cada tablero de distribucin es la normal.
Acciones correctivas
1. Cambio de posicin de dos interruptores que alimentan un equipo 220 voltios 2. Plazo de ejecucin: 15 de junio 2009 3. Reacomodo de la caja de interruptores A y B segn gura 2. 4. Plazo de ejecucin: 15 de junio 2009 5. Etiquetar algunas salidas de toma corrientes con su respectivo interruptor 6. Plazo de ejecucin: 15 de junio 2009
U bicacin de s alidas elctricas C uarto C mputo P is o 10 F echa : 05 -2009

T ablero10-A 3
10-A -1 10-A -2 10-A -3 10-A -4 10-A -5 10-A -6 10-A -7 10-A -8 10-A -9 10- A-10 10- A-11 10-A -12 10-A -13 10-A -14 10-A -15 10-A -16 10-A -17 10-A -18 10-A -19 10-A -20 10-A -21 10-A -22
T ablero10-B 2
10-B -1 10-B -2 10-B -3 10-B -4 10-B -9 10-B -10 10-B -11 10-B -12
10-A-17 10-A-12 10-A-4 10-A -13
10-B -5 10-B -13 10-B -1 10-B -6 10-B -14 10-B -7 10-B -8 10-B -9 10-B -10 10-B -15 10-B -16
10-B-7
10-B -6
10-B-11
10-A-16
10-A-13
10-B -16
10-B-12
10-B-5
10-B-16
10-A -5 10-B -9
10-B-4
10-A-10 10-B-3
10-A-2 10-B-2
10-B-4
Distribucin de salidas de c 1
Figura No.1 Distribucin de salidas de corriente segn interruptor correspondiente
10-B-8
10-B -5 10-A -1 10-B -1
T ablero10-A 3 F aseA=20amp F aseB= 20amp F aseC =23amp

10-A -1 FaseA 3,7amp 10-A -2 FaseB 3.6amp 10-A -3 FaseC 5.0amp 10-A -4 FaseA 0amp 10-A -5 FaseB 0amp 10-A -6 FaseC FaseA 2.2amp 2.4amp 10-A -7 FaseB 6.0amp 10-A -8 FaseC 0amp 10-A -9 FaseA 4.0amp 10-A -10 FaseB LIBR E 10-A -11 FaseC 0.5amp 10-A -12 FaseA 0.3amp 10-A -13 FaseB 1.0amp 10-A -14 FaseC 7.0amp 10-A -15 FaseA 7.0amp 10-A -16 FaseB 0.9amp 10-A -17 FaseC 0amp 10-A -18 FaseA 2.1amp 10-A -19 FaseB 4.7amp 10-A -20 FaseC 2.8amp 10-A -21 FaseA 0amp 10-A -22 FaseBFaseC 5.1amp 5.5amp 10-B -1 FaseA 3.9amp 10-B -2 FaseB 4.3amp 10-B -3 FaseA 0.3amp 10-B -4 FaseB 2.3amp 10-B -5 FaseA 5.4amp 10-B -6 FaseB 4.4amp 10-B -7 FaseA 2.6amp 10-B -8 FaseB 4.2amp 10-B -9 FaseA 0.4amp 10-B -10 FaseBFaseA
T ablero10-B 2 F aseA=29.6amp F aseB=27.3amp

10-B -11 FaseBFaseA 3.5amp 3.8amp 10-B -12 FaseB 3.7amp 10-B -13 FaseA 2.5amp 10-B -14 FaseB 6.0amp 10-B -15 FaseAFaseB 2.4amp 1.6amp 10-B -1 10-B -16 FaseA 0.4amp
10-B -17
10-B -18
3.3amp 3.7amp
Figura No.2 Ubicacin de los interruptores que alimentan las cargas de centro de cmputo
1. Procedimiento para resolver problemas elctricos

Se deni un esquema de deteccin y correccin de fallas elctricas en los sistemas de cmputo para determinar el procedimiento a seguir en caso de ocurrencia de cada una de las fallas principales. En la gura No.3 se muestra el esquema.
Figura No.3 Esquema de ocurrencia de fallas elctricas y su respectivo plan de accin
Procedimiento de mantenimiento preventivo para el aire acondicionado Plan de mantenimiento preventivo

Para los sistemas de aire acondicionado se realizan revisiones semanales y trimestrales, las primeras son realizadas por el personal de la CGR y las semanales son realizadas por una empresa subcontratada. Las revisiones semanales incluyen lo siguiente: VERIFICAR EL CORRECTO FUNCIONAMIENTO DE LAS UNIDADES DE AIRE ACONDICIONADO DE USTI ANOTAR TEMPERATURA DEL CUARTO DE CMPUTO (DIARIA) MEDIR AMPERAJES DE COMPRESORES DE LOS DOS EQUIPOS PRINCIPALES
Mantenimiento correctivo
Hay un procedimiento de mantenimiento correctivo en caso de falla de los equipos: Este proceso da inicio cuando se detecta una falla o el no funcionamiento de un equipo de aire acondicionado en la institucin. Las formas de detectar una falla en el sistema de airea condicionado son: a) La alarma ubicada en el puesto de ascensores de seguridad se activa. B) Cualquier reporte de los funcionarios que laboran en la Unidad de Servicios de Tecnologas e Informacin. Se presentan dos vas por las cuales el/la usuario/a puede noticar la falla o el no funcionamiento del equipo: a) llamando directamente a Mantenimiento b) comunicando a la Unidad de Gestin Administrativa (UGA) el dao que presenta en el equipo. En esta segunda opcin, la UGA comunica a Mantenimiento el reporte recibido.
Si es un aire acondicionado ubicado en el piso 10, se da alta prioridad al requerimiento, por encontrarse la Unidad de Sistemas y Tecnologa de Informacin en este piso y por ende, los servidores de la institucin. Si la alarma se diera en horario de ocinas el personal de seguridad procede a llamar al centro de cmputo a la extensin 8134 para comunicarse con la persona que se encuentre en el sitio. Si no contestara nadie, entonces llamar a USG o Mantenimiento. Si la alarma se diera fuera de horario de ocinas, debe desplazarse al dcimo piso y revisar cual es la temperatura del sensor ubicado en el cielo raso. Esta temperatura debe estar entre 22C y 24C como mximo. Se debe anotar en bitcoras la temperatura a la que se encontr el sensor. Si la temperatura es superior a los 25C, revisar la unidad de aire acondicionado principal est encendido. Esta debe de marcar la temperatura en la pantalla que se ubica propiamente en la unidad. Si esta encendido entonces apagar con el control esperar 15 segundos y volver a encender y esperar que la temperatura se ajuste al valor permitido. Si la unidad esta apagada apagar y encender como el en caso anterior. Si no enciende la unidad se debe de se debe encender con el control la unidad de respaldo, (unidad grande) y esperar que la temperatura se ajuste al valor permitido. Vericar que la unidad este encendida. Esta debe de marcar la temperatura en la pantalla que se ubica propiamente en la unidad. Si esta unidad no enciende entonces reportar a Mantenimiento inmediatamente y abrir ventilas, puertas y colocar abanicos. Si la temperatura no llega a su valor permitido en 15 minutos, se debe de se debe encender con el control la unidad de respaldo, (unidad grande) y esperar que la temperatura se ajuste al valor permitido. Vericar que la unidad este encendida. Esta debe de marcar la temperatura en la pantalla que se ubica propiamente en la unidad.
Si esta unidad no enciende entonces reportar a Mantenimiento inmediatamente y abrir ventilas, puertas y colocar abanicos. Lmparas de emergencia ante problemas elctricos Estas se estarn instalando en la siguiente fecha: Plazo de ejecucin: 22 de junio 2009
Aseguramiento de los cuartos de telecomunicaciones

En estos momentos solamente 4 cuartos de telecomunicaciones que no se encuentran totalmente cerrados, por los que se van a cerrar. Para esto se requiere colocar paneles de madera y una puerta con llave para su aseguramiento. Plazo de ejecucin: 30 de julio 2009
Sistema de extincin y alarmas

En estos momentos se cuenta con un sistema de deteccin de incendio activo. El sistema de supresin se encuentra instalado pero inactivo ya que falta la capacitacin del personal para su activacin. Esta capacitacin se tiene programada para la semana del 01 al 05 de junio del 2009. Los procedimientos en caso de activacin de los sistemas se tendrn para esa misma fecha.
Anexo - NTP12
Plan Continuo de Capacitacin en TI
Estudio para la elaboracin del plan de educacin continua en tecnologas de informacin y comunicacin
Introduccin
El presente trabajo denominado Estudio para La Elaboracin del Plan De Educacin Continua En Tecnologas De Informacin Y Comunicacin es un producto intermedio del Proyecto Educacin Continua en Tecnologas de Informacin Y Comunicacin (TICs) que a su vez forma parte de las iniciativas del Plan Estratgico de Tecnologas de Informacin y Comunicacin (PETIC) Para ubicar el estudio en el contexto que le dio creacin, a continuacin se citan los resultados esperados del Proyecto de Educacin Continua en Tecnologas de Informacin Y Comunicacin (TICs): Personal capacitado y actualizado en el uso de las TICs para la gestin de los procesos institucionales Personal capacitado y actualizado para la gestin de TICs Este Proyecto espera llegar a desarrollar un recurso humano entusiasta y dispuesto a aprovechar las tecnologas de informacin y comunicacin que la CGR le facilita para la ejecucin de su trabajo y por ello su objetivo principal es incrementar la capacidad de todo el personal de la Contralora General de la Repblica en el tema de TICs.. Bajo ese enfoque el presente estudio pretende realizar un diagnstico de necesidades de capacitacin en materia de TICs, que brinde los insumos sucientes para la elaboracin del Plan de capacitacin continua que permita alcanzar los resultados del proyecto.
Mediante la aplicacin de este Plan se espera disminuir sensiblemente la brecha existente en las habilidades y destrezas requeridas para el mejor uso de las TICs, as como mantener la competencia tcnica del personal dicha materia.
METODOLOGIA APLICADA EN EL ESTUDIO

Este estudio se realiz utilizando una serie de consultas por medio de instrumentos como entrevistas, encuestas y algunos talleres de trabajo, asegurando la participacin de la casi la totalidad de los funcionarios encuestados y adems la opinin funcionarios expertos en el uso de las TICs y con un conocimiento amplio del quehacer de esta Contralora General. Luego de la aplicacin de los instrumentos, se procedi a la tabulacin de la informacin recolectada, estandarizando las respuestas y manteniendo una clasicacin temtica que permitiera una adecuada comprensin de los datos y una presentacin de informacin relevante para seleccionar los temas que deben formar parte del Plan de Capacitacin Continua en TICs.
Instrumentos aplicados
A continuacin se describen los principales instrumentos que se desarrollaron, aplicaron y tabularon en el presente estudio:
Consulta sobre los Conocimientos, Destrezas y Habilidades en materia de TICs

Se realiz una consulta a diferentes Unidades de la Contralora General de la Repblica sobre los principales conocimientos, destrezas y habilidades que deben tener los diferentes funcionarios que laboraran en la Institucin en materia de TICs.
A partir de dicha informacin se elaboraron y aplicaron diferentes instrumentos para obtener la informacin necesaria para realizar un diagnstico de la situacin actual de los funcionarios en cuanto a dichos temas.
Encuesta aplicada en la Divisin De Fiscalizacin Operativa Y Evaluativa (DFOE)

Se aplic una encuesta en la DFOE, a todos los funcionarios de nivel de Fiscalizador, Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar de Fiscalizador, donde se obtuvo como resultado las necesidades de capacitacin requeridas en materia de TICs, que son de tipo general. (Ver anexo 1). Se obtuvo informacin sobre necesidades de capacitacin en TIC`s aplicables a cualquier tipo de Fiscalizacin, as como para la Fiscalizacin de la Gestin y Control de las TICs, esto principalmente por medio del Macroproyecto de Tecnologas de Informacin y Comunicacin (Ver anexo 2). En este momento se encuentran asignados 21 funcionarios a dicho Macroproyecto, los cuales deben tener especial atencin en la planicacin de la capacitacin relacionada con TICs (Ver anexo 3) Parte de la encuesta consult sobre las competencias de los funcionarios, donde se incluyeron algunas relacionadas con la utilizacin de TICs en las labores que les corresponde ejecutar. (Ver anexo 4)
Encuesta aplicada en las Divisiones de Desarrollo Institucional (DDI), Estrategia Institucional (DEI), Asesora y Gestin Jurdica (DAGJ) y en Contratacin Administrativa (DCA)
Se aplic una encuesta en las Divisiones DDI, DEI, DAGJ Y DCA, a todos los funcionarios de nivel de Fiscalizador, Fiscalizador Asociado, Fiscalizador Asistente y Auxiliar de Fiscalizador, donde se obtuvo como resultado las necesidades de capacitacin requeridos en materia de TICs, tanto de nivel general como especco (Ver anexo 5).
Parte de la encuesta consult sobre las competencias de los funcionarios, donde se incluyeron algunas relacionadas con la utilizacin de TICs en las labores que les corresponde ejecutar. (Ver anexo 6)
Encuesta aplicada en la Unidad de Tecnologas de Informacin y Comunicacin (USTI)

Por la naturaleza de las funciones que realiza la USTI, se realiz una encuesta especca para los funcionarios de esta Unidad, ya que sus necesidades en materia de capacitacin en TICs requieren conocimientos avanzados, orientados al desarrollo de aplicaciones, gestin de bases de datos, soporte a usuarios, entre otras. La encuesta se aplic a todos los funcionarios de la USTI, de los cuales se obtuvo la informacin necesaria para determinar sus necesidades de capacitacin en materia de TICs (Ver anexo 7). Parte de la encuesta consult sobre las competencias de los funcionarios, donde se incluyeron algunas relacionadas con la utilizacin de TICs en las labores que les corresponde ejecutar. (Ver anexo 8)
Entrevista para determinacin de necesidades de capacitacin en materia de TICs para los niveles de Jefatura de esta Contralora General.
Para obtener informacin sobre las principales necesidades de las Jefaturas en materia de TICs, se realiz una entrevista al Jefe de la USTI, quien desde su posicin de experto en la materia y adems de homologo en sus labores de jefatura, nos dio sus valiosas opiniones sobre lo consultado. Es meritorio sealar que se obtuvo informacin acorde con el nivel de la poblacin meta y totalmente alineada con la Estrategia Institucional (Ver anexo 9).
Entrevista para determinacin de necesidades de capacitacin en materia de TICs para el nivel secretarial de esta Contralora General.
Se procedi a entrevistar a un selecto grupo de secretarias que por su nivel y experiencia, como lo son las secretarias del Despacho, la Secretaria de Divisin de la DFOE, de la Secretara Tcnica y de la USTI, las cuales poseen el expertiz necesario para realizar aportes signicativos en relacin con las necesidades de sus colegas en materia de TICs (Ver anexo 10)
ENTREVISTA-TALLER PARA DETERMINACIN DE NECESIDADES DE CAPACITACIN EN MATERIA DE SISTEMAS DE INFORMACIN DE LA CONTRALORA GENERAL DE LA REPBLICA
Para obtener informacin sobre las principales necesidades de los funcionarios en materia de conocimiento y uso de los sistemas de informacin existentes en la Institucin, se realiz una entrevista y a la vez un taller de trabajo con el coordinador de desarrollo de sistemas de la USTI, quien desde su posicin de experto en la materia, nos dio sus valiosas opiniones sobre lo consultado y conjuntamente con el entrevistador, se realiz un trabajo de denicin de requerimientos de aprendizaje en esa materia (Ver anexo 11). Al respecto, se determinaron los sistemas y las unidades que requieren capacitacin tanto para efectos de registro como para efecto de consulta.
Coordinacin con el Proyecto de Maletn Electrnico

Se realizaron reuniones de coordinacin con los integrantes del proyecto de Maletn Electrnico, para revisar los alcances de ambos proyectos y preveer que dichos esfuerzos no se dupliquen, sino que por el contrario, se complementen. Cabe sealar que un funcionario de la Unidad de Recursos Humanos, encargado de la planicacin de la Capacitacin, est integrando actualmente ambos proyectos.
Anlisis de la Informacin recolectada

Se realiz un anlisis de la informacin recolectada mediante los instrumentos descritos anteriormente, la cual consisti en comparar los conocimientos que requieren los puestos en esta Contralora General de la Repblica, con los conocimientos que los funcionarios perciben tener. De este anlisis se obtuvieron aquellos temas en que mayormente se requiere aplicar actividades de aprendizaje para llevar a los funcionarios al perl requerido. Este listado de temas se sometieron al anlisis del criterio experto del Jefe de la USTI, a partir del cual, se reclasicaron o conjuntaron algunos conocimientos que pertenecan a un mismo tema, se eliminaron otros que ya estaban incluidos en otro tema y se eliminaron algunos temas que ya deben estar superados debido a que se ha impartido suciente capacitacin y adems se consideran como requisitos mnimos que los funcionarios deben poseer. Despus se aplic un criterio experto para aplicar una prioridad de 1 a 3 a todos los temas, siendo 1 la mayor prioridad y 3 la menor, no obstante que todos los temas incluidos en esta lista son los de mayor prioridad en la Institucin y por lo tanto deben ser incluidos en el Plan de Capacitacin Continua en TICs. En cuanto a la consulta sobre la aplicacin de las competencias relacionadas con TI, se consult sobre tres comportamientos, uno correspondiente a la competencia Liderazgo y dos sobre la competencia Innovacin. Sobre la competencia Liderazgo, se consult sobre el comportamiento Toma decisiones acertadas y consistentes apoyado en las TICs, y al respecto un 69% acumula a los funcionarios que opinan que no aplican ese comportamiento o que lo aplican en un nivel bajo y a un nivel medio. (Ver anexo 12)
Sobre la competencia Innovacin, se consult sobre dos comportamientos, Asimila e incorpora fcilmente la aplicacin de nuevas TICs en los trabajos y Actualiza sus conocimientos en temas de inters para la Institucin y en el uso de TICs, a los cual respondieron, en el primer caso un 56% y en el segundo 62% de los funcionarios, que no lo aplican, lo aplican a un nivel bajo y a nivel medio. (Ver anexo 12) Con base en lo anterior, es importante rescatar que existe alto porcentaje de los funcionarios encuestados que no aplican esos comportamientos o que los aplican en forma baja o media. Esto muestra la existencia de una brecha u oportunidad de desarrollo para subir el nivel de aplicacin y llevarlo a nivel alto, como es lo esperado. En relacin con este punto, existen varias razones que propician que los comportamientos en anlisis no se apliquen en un nivel alto, algunas veces se aduce falta de conocimiento, dicultad para llevar a la prctica los conocimientos que poseen, por falta de iniciativa y algunas veces se da que luego de la capacitacin, se le asignan otros trabajos en los que no se presenta la oportunidad de aplicar lo aprendido en el corto plazo lo que provoca algunas veces que los conocimientos se desactualicen o se olviden. Sin embargo, por el momento, con el presente estudio, se espera que se desarrolle un Plan de Capacitacin Continua en TICs que coadyuve al desarrollo de los conocimientos en la materia, as como generar la motivacin suciente para facilitar que los puedan llevar a la prctica en sus labores. Como se mencion anteriormente, en el presente estudio tambin se investig y coordin con el proyecto de Maletn Electrnico, el cual inici como un esfuerzo por dotar de herramientas y conocimientos en materia de TICs a los funcionarios de la DFOE. Por el alcance de los temas del Maletn, es necesario que el proyecto se haga extensivo a todos los funcionarios de la Institucin. Al respecto, se puede decir que los temas que est considerando el Maletn Electrnico, estn totalmente comprendidos en el presente estudio, sin embargo, se han tomado las previsiones y coordinacin necesarias para que ambos esfuerzos se complementen.
TEMAS DEL PLAN DE CAPACITACIN CONTINUA EN TECNOLOGAS DE INFORMACIN

Luego del anlisis de la informacin que fue comentada en prrafos anteriores, como resultado nal se presentan a continuacin los temas que forman parte del plan de capacitacin continua en TICs para la Contralora General de la Repblica, los cuales sern una gua para la planicacin e implementacin de los planes anuales de capacitacin en dicha materia, del 2009 al 2012. Tcnico-Secretarial X
X X
TEMAS PARA EL PLAN DE CAPACITACION Prioridad Jefaturas CONTINUA EN TICs
SOFTWARE APLICATIVO Elaboracin de Presentaciones, manejo y edicin de imgenes, fotografas, video y audio, cambio de formato Manejo de Proyectos Software para la creacin de ujos de procesos Cartografa Estadstica Mapas Mentales Manejo de GPS HERRAMIENTAS Y UTILITARIOS: el conocimiento para el uso de este tipo de herramientas puede lograrse mediante la 3 traductores Reuniones virtuales y chat, mensajera unicada 3 Seguridad de la informacin, compresin y empaquetamiento 2 de archivos CICLO DE CHARLAS SOBRE NORMATIVA, PLANEACIN, MODELOS DE GESTIN Y CONTROL DE TICs Normas tcnicas para gestin y control de TICs 1 Plan Estratgico en Tecnologas de Informacin y 1 Comunicacin (PETIC) utilizacin de guas virtuales Investigacin en la Web, uso de buscadores, diccionarios y X X
X
1 2 2 3 2 3 3
X
X
X X X X
X X
X
X
X
X X
X X
Administrativos
Fiscalizadores
Tcnico-Secretarial
X X X X X
TEMAS PARA EL PLAN DE CAPACITACION Jefaturas Prioridad CONTINUA EN TICs
Plan Tctico (PETAC) 1 Modelo de Arquitectura de Informacin (MAI) 1 Proceso de valoracin del Riesgo (SEVRI y riesgos en TI) 1 COSO (Committee of Sponsoring Organizations of the 1 Treadway Commission) COBIT (Control objectives for Information and related 1 Technology) ITIL (Information Technology Infrastructure Library) 1 CONOCIMIENTOS GENERALES DE TI APLICABLES A CUALQUIER TIPO DE FISCALIZACIN Modelado de Datos 1 Extraccin y anlisis de datos con Excel 1 Extraccin y anlisis de datos con ACL O IDEA 1 Pruebas de auditora sobre procesos de e informacin 1 electrnica y recopilacin de evidencia CONOCIMIENTOS ESPECFICOS DE TICs APLICABLES EN FISCALIZACION DE GESTION Y CONTROL DE LAS TICs: Dirigido especcamente a los funcionarios del Macroproyecto de TICs de la FOE, similar a la Maestra sobre Auditora de TI de la UCR. Conceptos fundamentales de auditora aplicables a la scalizacin de TI Proceso de auditora operativa y su aplicabilidad a la 1
1
X X X X X
X X X X
X
X X X
evaluacin de la gestin y control de las TI 1 Modelos de gestin y control con TI En qu consiste un sistema de gestin de calidad para los procesos de TI (importancia de la emisin de polticas) El proceso de valoracin de riesgos segn la normativa del riesgos en TI. Normas ISO 27001 e ISO 27002 y su aplicacin a la Gestin de TI Administracin de Proyectos (PMI y PMBoK)
1
SEVRI y la vinculacin que tiene con ste la valoracin de 1 1

1
X
X
Administrativos
Fiscalizadores
Tcnico-Secretarial X
Marco jurdico relacionado con las TI (Importancia y
seguimiento) 1 Planicacin estratgica de TI Modelo de Arquitectura de Informacin y de infraestructura tecnolgica Desarrollo e implementacin de sistemas de informacin (conceptos claves: o aplicaciones entiendo los siguientes conceptos: teoras, etapas del CVDS, CMMi, Casos de uso,
1
X X X
X
X X X
capas, objetos, etc. 1 Administracin de la tercerizacin de TI Plataforma Tecnolgica (Operaciones, Telecomunicaciones, Seguridad, Base de Datos, otros) Conceptos sobre administracin de datos CICLO DE CHARLAS SOBRE LOS
1 1
SISTEMAS
INSTITUCIONALES: Corresponde a charlas sobre todos los sistemas Institucionales, como aprovecharlos al mximo, utilizando la informacin CICLO DE CHARLAS SOBRE TI PARA LOS NIVELES DE JEFATURA: Difundir todos los recursos que en materia de TI posee la Institucin y como puede sacar provecho de ellos Modelo de Arquitectura de la Informacin (MAI) y su relacin con los procesos Institucionales denidos en el MAGEFI Infraestructura Tecnolgica (Redes, Telefona, Bases de
1 1
X X X X
Datos, Seguridad, Servidores) 1 Metodologa de Gestin de Proyectos de TI 1 Herramientas de Software disponibles y su utilidad Aprovechamiento de la Informacin para la toma de 1 decisiones Rol del usuario en la Metodologa de Desarrollo de Sistemas 1 MAESTRAS Maestra en Computacin del TEC 2
X
X
Administrativos
Fiscalizadores
Tcnico-Secretarial
Maestra Profesional en Auditora de Tecnologas de la Informacin CERTIFICACIONES Certied Information Systems Auditor (CISA) Certicacin
2 1
para auditores respaldada por la Asociacin ISACA 1 (Information Systems Audit and Control Association). Certicacin en Gobierno de Tecnologas de la Informacin en Empresas, Governance of Enterprise IT Certication (CGEIT), creada por ISACA para apoyar las demandas crecientes relacionadas con el gobierno de TI, promover la buena prctica del mismo y reconocer profesionistas talentosos en el rea CISM (Certied Information Security Management) es una certicacin para administradores de seguridad de la informacin respaldada por la ISACA. Est enfocada en la gerencia y dene los principales estndares de competencias y desarrollo profesionales que un director de seguridad de la informacin debe poseer, competencias necesarias para dirigir, disear, revisar y asesorar un programa de seguridad de la informacin. 1 1
Administrativos
Fiscalizadores
Tcnico-Secretarial
Certicacin ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener Especicaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Certicacin en La Biblioteca de Infraestructura de Tecnologas de Informacin, ITIL (del ingls Information Technology Infrastructure Library), es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI). ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eciencia en las operaciones de TI. Certicacin en Administracin de Proyectos (PMI) Certicacin en Administracin de Bases de Datos ORACLE Certicacin en Desarrollo bajo la herramienta ORACLE Certicacin en Administracin de Servidores de Microsoft Certicacin en redes para transmisin (Voz, datos, vdeo) TEMAS ESPECFICOS PARA LA USTI Casos Uso y Prueba (Metodologas) XML / Webservises JAVA / SQL/QUERY / HTML / XHTML / PHP / JAVA SCRIPT / CSS ORACLE (Herramientas de Desarrollo/Bases de Datos) Datawarehouse Seguridad en TICs Adm. de Redes ATM Telefona Sistemas operativo/soft Usuario Final
2 2 1 1 1 1 1 1 1 1 1 1 1 1
X X X X X X X X X X X X X X
Administrativos
Fiscalizadores
Tcnico-Secretarial
Adm. de Proyectos Gestin de TICs Gestin Calidad en TICs Elementos de diseo de sitios Web
2 2 2 1
X X X X
Administrativos
Fiscalizadores
RECOMENDACIONES
A continuacin se exponen algunas sugerencias o recomendaciones que coadyuven a fortalecer los efectos y alcances de los resultados este Plan de Capacitacin Continua en TICs: El presente Plan de Capacitacin Continua en TICs tiene una vigencia del 2009 al 2012, por lo que requiere de una implementacin paulatina en los diferentes planes anuales de capacitacin, esto permitir que la inversin en tiempo de los participantes y en el costo de los eventos quede prorrateada en los respectivos Planes Operativos y Presupuestos Anuales de la Institucin. Es recomendable la emisin de una poltica que promueva que se incluya en los procedimientos de trabajo de la Institucin, la utilizacin intensiva las TICs y que la supervisin de sus resultados asegure su buen uso, lo cual se pueda evidenciar en la calidad y la oportunidad de los productos. En la medida de lo posible, se recomienda que se realicen exmenes de ubicacin antes de llevar los eventos, de forma que se pueda determinar el nivel de conocimiento previo que tiene el participante, lo que brindar insumos para el instructor y tambin permitir medir el nivel de aprendizaje logrado en el evento. En ese mismo sentido, se recomienda que las actividades tengan mecanismos de evaluacin nal que evidencien el conocimiento adquirido en el curso. De esta forma se podr sustentar la aprobacin respectiva y se podr llevar un registro ms claro del nivel adquirido por el participante. Se deber hacer un uso intensivo de la plataforma tecnolgica existente para apoyar los eventos de aprendizaje, a saber: la red institucional, el laboratorio de micros, el campus virtual, entre otros), de forma que se potencie la efectividad y el alcance de los eventos, as como la oportunidad de acceder a cursos no presenciales.
Se deber llevar un registro eciente de las actividades de aprendizaje recibidas por los funcionarios, relacionadas con los temas del presente plan. Esto permitir llevar el pulso del avance del proyecto y brindar informacin sobre los conocimientos individuales de los participantes, lo cual podr ser utilizado para la toma de decisiones. La evaluacin del desempeo debe incorporar informacin sobre la aplicacin de la tecnologa en los trabajos y la disposicin a utilizarla por parte del funcionario de la Contralora General de la Repblica y evidenciar las brechas que tiene con respecto al perl del puesto. Asimismo, en cada evaluacin se deber proponer un plan de accin para disminuir las brechas sealadas en el punto anterior, el cual ser un insumo para la planicacin de las actividades de aprendizaje. Se debern revisar los perles de puestos, para asegurar que contienen los conocimientos necesarios en materia de TICs, de forma que se complementen con las competencias que sobre sta materia han sido emitidos por la Unidad de Recursos Humanos. Esto impulsar con mayor claridad, la bsqueda del desarrollo de los funcionarios para dotarlos de los conocimientos, habilidades y destrezas que los faculten para el ejercicio ecaz y eciente de las funciones que les corresponde ejecutar en este rgano Contralor. Se debe procurar la inclusin en los Planes Operativos Anuales de las diferentes Unidades de la Institucin, el tiempo correspondiente a las actividades de aprendizaje en materia de TICs, tanto para los funcionarios participantes como para aquellos que funjan como profesores, facilitadores o expertos de contenido, para lo cual se deber coordinar el respectivo apoyo institucional. Esto ayudar a solventar las limitaciones presupuestarias actuales y adems permitir que los eventos sean muy enfocados a las necesidades de la Contralora, dado el conocimiento que los instructores tienen sobre la Institucin
Se deber gestionar la incorporacin de los recursos econmicos necesarios para apoyar las actividades de aprendizaje del presente Plan de Capacitacin, para solventar aquellas que deban ser contratadas externamente.
ANEXOS ANEXO 1
Porcentaje de aplicacin de conocimientos de tipo general en materia de TICs Encuesta aplicada en la DFOE
R E S UME NDE R E S P UE S T AS S oftwareparaproc es amientodepalabras S oftwareparamanejodehojas elec trnic as S oftwareparapres entac iones dediapos itivas S oftwareparalac reac indees quemas omapas c onc eptuales S oftwareparac reac indebas es dedatos S oftwareparalac reac indeflujos deproc es os S oftwareparalac ompres indearc hivos S oftwareyequipoparares paldodeinformac in(quemadode datos ) S oftwareyequipoparaes c aneodeimgenes ytexto S oftwareyequipoparalagrabac inyedic indeaudio S oftwareyequipoparatomaryeditarfotografas S oftwareyequipoparagrabac inyedic indevideo S oftwaredec orreoelec trnic o S oftwareyequipoparalaremis indefax Inves tigac inenInternet S is temains tituc ionalparac ontroldetrabajo(S IG Y D) S is temains tituc ionalMdulodetomadedec is iones (MT D) S is temains tituc ionalparas eguimientodedis pos ic iones S is temains tituc ionalparalaac tividadc ontrac tualdela adminis trac inpblic a(S IAC ) S is temains tituc ionaldepres upues tos pblic os dela adminis trac inpblic a(S IP P ) S is temains tituc ionaldenormativaparalafis c alizac in S is temains tituc ionaldearc hivodigital(S AD) S is temains tituc ionalparalarec epc indeDec larac iones J uradas Ninguno B ajo NingyB ajo Medio Ning-B ajo-Medio 3,5% 5,9% 9,4% 27,3% 36,7% 4,2% 14,0% 18,2% 41,3% 59,4% 4,5% 14,3% 18,9% 37,4% 56,3% 36,7% 48,3% 46,9% 43,0% 23,4% 26,9% 35,0% 29,4% 43,4% 5,9% 21,3% 4,2% 1,4% 2,1% 30,4% 26,2% 30,1% 9,1% 25,9% 50,3% 29,0% 30,4% 29,0% 23,1% 27,6% 27,6% 29,0% 28,3% 24,8% 11,2% 22,0% 11,2% 9,8% 6,6% 31,8% 45,5% 32,5% 24,5% 29,0% 28,7% 65,7% 78,7% 75,9% 66,1% 51,0% 54,5% 64,0% 57,7% 68,2% 17,1% 43,4% 15,4% 11,2% 8,7% 62,2% 71,7% 62,6% 33,6% 54,9% 79,0% 21,7% 15,0% 17,5% 17,1% 24,5% 22,7% 18,9% 22,4% 19,9% 31,8% 27,6% 30,4% 34,6% 35,3% 25,2% 21,0% 20,6% 40,9% 26,6% 10,8% 87,4% 93,7% 93,4% 83,2% 75,5% 77,3% 82,9% 80,1% 88,1% 49,0% 71,0% 45,8% 45,8% 44,1% 87,4% 92,7% 83,2% 74,5% 81,5% 89,9%
ANEXO 2
Resumen de Conocimientos Generales de TICs aplicables a cualquier scalizacin y Especcos para la Fiscalizacin de la Gestin y Control de las TICs. Encuesta aplicada en la Divisin DFOE
C ONOC IMIE NT OS G E NE R AL E S DE T IAP L IC AB L E S AC UAL QUIE R T IP O DE F IS C AL IZAC IN 1. T engo conocimientos sobr e modelado de datos y como par te de ello conozco,entiendoyseaplicar losconceptosde: 2. Puedo manejar las opciones bsicas de her r amientas par a la extr accin y anlisisdedatos; entr eellas: 3. E n cuanto a la ejecucin de pr uebas de auditor a sobr e pr ocesos e infor macin electr nica y la r ecopilacin de este tipo de evidencia, conozco aspectosbsicossobr e: C ONOC IMIE NT OS E S P E C F IC OS DE T IAP L IC AB L E S E N F IS C AL IZAC IONDE G E S T IONY C ONT R OL DE L AS T I 4. C uento con conocimientos bsicos sobr e conceptos fundamentales de auditor aaplicablesalafiscalizacindeT I 5. C onozcomodelosdegestinycontr olconT I : impor tancia y puedo poner ejemplos de polticas que una entidad debeimplementar enmater iadeT I . 7. Puedo descr ibir , en for ma gener al, en qu consiste un sistema de gestin de calidadpar alospr ocesosdeT I . 8. C onozco el pr oceso de valor acin de r iesgos segn la nor mativa del SE V R I y lavinculacinquetieneconstelavalor acinder iesgosenT I . 9. C on r especto a las nor mas I SO 27001 e I SO 27002, conozco a lo que se r efier enlossiguientesconceptos: 10. R espectoalaadministr acindepr oyectosentiendolossiguientesconceptos:
11. E ntiendo la impor tancia de que la or ganizacin cuente con un pr oceso de seguimientodelmar cojur dicoqueafectalagestindelasT I . 12. Sobr e el mar co jur dico r elacionado con las T I conozco, en tr minos gener ales,losealadopor lasiguientenor mativar espectoadichamater ia: 13. Sobr elaplanificacinestr atgicadeT I conozco: 6. C onozco la
No
No
20,7% 79,3% 28,5% 71,5% 18,1% 81,9% 19,2% 80,8% 33,5% 66,5% 60,4% 39,6% 14,8% 85,2% 34,6% 65,4% 25,5% 74,5% 23,4% 76,6% 16,3% 83,7% 42,7% 57,3% 71,0% 29,0% 49,0% 51,0% 21,5% 78,5% 18,2% 81,8% 58,0% 42,0% 39,2% 60,8% 40,2% 59,8% 19,5% 80,5% 77,6% 22,4% 63,5% 36,5% 33,1% 66,9% 37,4% 62,6% 10,1% 89,9%
un M A I y entiendo la impor tancia de que toda or ganizacin cuente consumodelodeinfor macinactualizado. 15. E ntiendo la impor tancia de que las or ganizaciones cuenten con una descr ipcingr ficadesuinfr aestr uctur atecnolgica. 16. C onozco la r azn por la cual tanto el modelo de infor macin como de infr aestr uctur atecnolgicaconstituyeninsumosdelaplanificacindelasT I . 17. E ntiendo el concepto de independencia cuando este se aplica a la funcin de T I conr espectoalr estodelaor ganizacin. 18. C undo se habla del desar r ollo o de la implementacin de sistemas de infor macinoaplicacionesentiendolossiguientesconceptos: 19. E ntiendo la impor tancia de establecer contr oles cuando se contr ata a ter cer os par aimplementar sistemasenlaor ganizacin. 20. C onr espectoaloanter ior ,entiendolaimpor tanciade:
21. C onozcolossiguientesconceptosr elacionadosconplatafor matecnolgica: 22. Sobr e la administr acin de datos entiendo a lo que se r efier en los siguientes conceptos: 23. E ntiendo la aplicacin de her r amientas como el B SC en la evaluacin del desempeo.
14. Se qu es
ANEXO 3
MACROPROYECTO DE FISCALIZACIN DE LA GESTIN DE LAS TICS FUNCIONARIO PARTICIPANTES POR REA DE FISCALIZACIN
M A C R OPR OY E C T ODE F I SC A L I Z A C I NDE L A G E ST I NDE L A ST I C s F UNC I ONA R I OSPA R T I C I PA NT E SPOR R E A DE F I SC A L I Z A C I N
rea/F unc ionario Ins tituc inF is c alizada S is temaAdminis trac inF inanc iera Os carP hillips Murillo Minis teriodeHacienda G uidoC havarraNaranjo S ervic ios S oc iales C ajaC os tarricens edeS eguroS ocial(C .C .S .S .)yP atronato MaxOguilveP rez NacionaldelaInfancia(P .A.N.I.) G us tavoC amachoC haves S oniaV egaS ols S ervic ios Munic ipales MainorLorenzoLpez IF AM(F OMUDE ) Luis F uentes G amboa Luis F do.C aldernS nchez P blic os G enerales MarioP rezF ons eca R egis troNacional T eres itaArayaB renes NataliaR omeroLpez R eynaldoR iveraV argas P oderJ udicial MiguelP rezMontero ObraP blic ayT rans porte Minis teriodeObras P blicas yT rans portes (MOP T )y R onaldR amrezMarn C ons ejodeS eguridadV ial(C OS E V I) S hirleyS eguraC orrales S ervic ios E c onmic os J orgeZamoraS alguero R efinadoraC os tarricens edeP etrleo(R E C OP E ) Luis F ernndezE lizondo IleanaF ernndezC ordero W illiamHarbottleQuirs Ins titutoNacionaldeS eguros (I.N.S .) P atriciaB arrientos B arrientos J ennyMoraLpez
ANEXO 4
Nivel de aplicacin del comportamiento o competencia Encuesta aplicada en la DFOE

C OMP E T E NC IA C OMP OR T AMIE NT O C apac idaddeAbs trac c in P eric iaenelmanejodeinformac in P roponec urs os deac c inenfndelries go F is c alizac indeC alidad,promueveyens ea Autonomayres pons abilidadparaalc anzarmetas T omadec is iones ac ertadas yc ons is tentes apoyadoenlas L IDE R AZG O T IC 's S eguridadparaproponerydefenderideas C omunic ac ines c ritac oherente,c larayprec is a C omunic ac inoraldemanerac lara,as ertiva,oportunay efec tiva C omunic aoportunamenteas untos s ignific ativos as us s uperiores yalequipo C OMUNIC AC IN S abees c uc harys einteres aautntic amenteenes timulara los c ompaeros Interac taas ertivamentec ons uperiores ,equipodetrabajoy c onc lientes E s tablec eymantienerelac iones exitos as alinternoyfuera delaC G R T rabajademaneraefic ienteenequipos multidis c iplinarios y T R AB AJ OE N tieneflexibilidad B rindaapoyoas uperiores yc omomiembrodelequipotiene E QUIP 0 unniveldetrabajoelevado P lanific aydeterminaenformarealis talos rec urs os yel tiemponec es arios ADMINIS T R AC ION R ealizaunaadec uadaas ignac indeltrabajoentrelos DE R E C UR S OS Y miembros delequipo R es petayc umplelos plazos deejec uc ines tablec idos T IE MP O S eorganizaadec uadamenteparaatenderc onc alidady prontitudlas diferentes labores as ignadas Habilidadparatrabajarc onautonomaeimparc ialidad L OG R ODE L ograques uproduc c inyladelequipotengaorden, R E S UL T ADOS c alidad,prec is inyriguros idad As imilaeinc orporafc ilmentelaaplic ac indenuevas T IC 's enlos trabajos INNOV AC IN Ac tualizas us c onoc imientos entemas deinters parala Ins tituc inyenelus odeT IC 's Mantieneunbuendes empeoanens ituac iones demuc ha pres in AUT OC ONT R OL R ec onoc efortalezas ,identific as us errores ylimitac iones y tomaac c iones paramejorar P E NS AMIE NT O S IS T MIC O NA 2,4% 2,4% 6,3% 15,7% 23,1% 12,9% 4,5% 1,7% 1,7% 3,1% 4,5% 3,1% 1,7% 5,9% 4,9% 9,8% 27,6% 3,5% 2,4% 1,7% 11,2% 4,9% 3,1% 1,7% 1,7% B ajo NA-B ajo 13,6% 16,1% 15,4% 17,8% 12,6% 18,9% 17,5% 33,2% 11,9% 35,0% 8,7% 7,7% 7,0% 11,5% 5,9% 4,2% 3,1% 3,8% 5,9% 2,8% 6,6% 5,2% 6,3% 2,4% 3,1% 4,2% 9,1% 13,6% 5,2% 3,5% 21,7% 12,2% 8,7% 13,3% 9,1% 8,7% 6,3% 5,6% 11,9% 7,7% 16,4% 32,9% 9,8% 4,9% 4,9% 15,4% 14,0% 16,8% 7,0% 5,2% Medio NA-B ajo-Medio 71,0% 54,9% 68,5% 50,7% 69,9% 51,0% 72,0% 38,8% 71,3% 36,4% 46,2% 40,9% 52,8% 50,7% 44,8% 37,4% 37,8% 29,7% 34,6% 35,0% 49,0% 35,3% 47,9% 38,5% 30,4% 34,6% 47,2% 49,3% 46,5% 34,3% 67,8% 53,1% 61,5% 64,0% 53,8% 46,2% 44,1% 35,3% 46,5% 42,7% 65,4% 68,2% 57,7% 43,4% 35,3% 50,0% 61,2% 66,1% 53,5% 39,5% S obreT I S obreT I S obreT I
ANEXO 5
Grado de Conocimientos sobre TICs Encuesta Aplicada en DDI, DEI, DAGJ y en DCA
IIP AR T E S obreelmanejodes oftwareins tituc ionalB s ic o L as res pues tas indic anelgradodec onoc imientoeneltemac ons ultado
R E S UME NDE R E S P UE S T AS T extos elec trnic os HojadeC lc ulo P res entac iones Manejodeimgenes Manejodevideo ManejodeAudio C ronogramas S eguridaddelainformac in Ninguno B ajo 1,6% 6,3% 11,1% 22,2% 9,5% 26,2% 16,7% 25,4% 45,2% 27,8% 51,6% 29,4% 43,7% 27,0% 29,4% 35,7% Ac umulado NingyB ajo 7,9% 33,3% 35,7% 42,1% 73,0% 81,0% 70,6% 65,1% Medio 34,9% 44,4% 34,9% 34,1% 20,6% 12,7% 20,6% 20,6% Ac umulado Ning-B ajo-Medio 42,9% 77,8% 70,6% 76,2% 93,7% 93,7% 91,3% 85,7%
IIP AR T E S obreelmanejodes oftwareins tituc ionalE s pec ializado L as res pues tas indic anelgradodec onoc imientoeneltemac ons ultado
R E S UME NDE R E S P UE S T AS C artografa E s tads tic a Mapas Mentales E xtrac c inyAnlis is dedatos ManejodeG P S Ac umulado Ninguno B ajo NingyB ajo 97,6% 72,2% 25,4% 88,1% 61,1% 27,0% 77,0% 43,7% 33,3% 76,2% 46,8% 29,4% 95,2% 79,4% 15,9% Ac umulado Medio Ning-B ajo-Medio 100,0% 2,4% 98,4% 10,3% 92,1% 15,1% 95,2% 19,0% 100,0% 4,8%
ANEXO 5 (Continuacin)
Grado de Conocimientos sobre TICs Encuesta Aplicada en DDI, DEI, DAGJ y en DCA
IIP AR T E S obreherramientas web,c ons ultas elec trnic as ,utilizac inde E quipodec mputo,unidades perifric as yotros equipos deofic ina. L as res pues tas indic anelgradodec onoc imientoeneltemac ons ultado
R E S UME NDE R E S P UE S T AS Apoyoenlabores deOfic ina Inves tigac inenlaW eb,us ode bus c adores ,dic c ionarios y traduc tores R euniones virtuales yc hat, mens ajeraunific ada Digitalizac indedoc umentos Us oderec onoc imientoptic ode c arac teres Ac c es oas is temas deinformac in CGR C ons ultadebas es dedatos ode c onoc imiento C ompres inyempaquetamientode arc hivos S 122 No 4 T otal 126 S 96,8% No 3,2% T otal 100,0%
119 81 68 46 105 104 66
7 45 58 80 21 22 60
126 126 126 126 126 126 126
94,4% 64,3% 54,0% 36,5% 83,3% 82,5% 52,4%
5,6% 35,7% 46,0% 63,5% 16,7% 17,5% 47,6%
100,0% 100,0% 100,0% 100,0% 100,0% 100,0% 100,0%
IIP AR T E S obrenomativa,planeac in,modelos deges tinyc ontrol relac ionados c onlas T IC 's (Nac ionales eInternac ionales ) L as res pues tas indic anelgradodec onoc imientoeneltemac ons ultado
R E S UME NDE R E S P UE S T AS Normas tc nic as parages tiny c ontroldeT IC 's P E T IC P T AC MAI(ModelodeArquitec turade Informac in) P roc es odevalorac indelR ies go (S E V R Iyries gos enT I) C OS O(C ommitteeofS pons oring Organizations oftheT readway C ommis s ion) C OB IT (C ontrolobjec tives for Informationandrelated T ec hnology) IT IL (InformationT ec hnology Infras truc tureL ibrary) S 42 30 26 15 47 No 84 96 100 111 79 T otal 126 126 126 126 126 S 33,3% 23,8% 20,6% 11,9% 37,3% No 66,7% 76,2% 79,4% 88,1% 62,7% T otal 100,0% 100,0% 100,0% 100,0% 100,0%
21
105
126
16,7%
83,3%
100,0%
16 9
110 117
126 126
12,7% 7,1%
87,3% 92,9%
100,0% 100,0%
ANEXO 6
Nivel de aplicacin del comportamiento o competencia Encuesta Aplicada en DDI, DEI, DAGJ y en DCA
C OMP E T E NC IA C OMP OR T AMIE NT O C apac idaddeAbs trac c in P E NS AMIE NT O P eric iaenelmanejodeinformac in S IS T MIC O P roponec urs os deac c inenfndelries go F is c alizac indeC alidad,promueveyens ea Autonomayres pons abilidadparaalc anzarmetas Daorientac inyes tablec eprioridades L IDE R AZG O T omadec is iones ac ertadas yc ons is tentes apoyadoenlas T IC 's S eguridadparaproponerydefenderideas C omunic ac ines c ritac oherente,c larayprec is a C omunic ac inoraldemanerac lara,as ertiva,oportunay efec tiva C omunic aoportunamenteas untos s ignific ativos as us s uperiores yalequipo S olic itaoportunamentelaayudaoelas es oramientodela C OMUNIC AC IN pers onaapropiada S abees c uc harys einteres aautntic amenteenes timulara los c ompaeros Interac taas ertivamentec ons uperiores ,equipodetrabajo yc onc lientes E s tablec eymantienerelac iones exitos as alinternoyfuera delaC G R T rabajademaneraefic ienteenequipos multidis c iplinarios T R AB AJ OE N ytieneflexibilidad B rindaapoyoas uperiores yc omomiembrodelequipo E QUIP 0 tieneunniveldetrabajoelevado P lanific aydeterminaenformarealis talos rec urs os yel tiemponec es arios R ealizaunaadec uadaas ignac indeltrabajoentrelos ADMINIS T R AC ION miembros delequipo DE R E C UR S OS Y T IE MP O R es petayc umplelos plazos deejec uc ines tablec idos S eorganizaadec uadamenteparaatenderc onc alidady prontitudlas diferentes labores as ignadas L OG R ODE R E S UL T ADOS Habilidadparatrabajarc onautonomaeimparc ialidad L ograques uproduc c inyladelequipotengaorden, c alidad,prec is inyriguros idad As imilaeinc orporafc ilmentelaaplic ac indenuevas T IC 's enlos trabajos Ac tualizas us c onoc imientos entemas deinters parala Ins tituc inyenelus odeT IC 's Mantieneunbuendes empeoanens ituac iones de muc hapres in R ec onoc efortalezas ,identific as us errores ylimitac iones y tomaac c iones paramejorar Ac umulado NA B ajo NAyB ajo 14,3% 3,2% 11,1% 14,3% 5,6% 8,7% 19,0% 9,5% 9,5% 23,0% 11,9% 11,1% 6,3% 4,0% 2,4% 73,8% 72,2% 1,6% 19,0% 13,5% 4,8% 7,1% 2,4% 7,1% 1,6% 2,4% 1,6% 4,0% 1,6% 2,4% 5,6% 3,2% 3,2% 68,3% 4,8% 3,2% 2,4% 6,3% 4,8% 2,4% 2,4% 1,6% 7,1% 3,2% 2,4% 2,4% 4,0% 1,6% 2,4% 2,4% 5,6% 1,6% 1,6% 2,4% 3,2% 2,4% 8,7% 11,9% 2,4% 2,4% 32,5% 11,9% 9,5% 8,7% 5,6% 4,0% 6,3% 5,6% 4,0% 7,9% 5,6% 8,7% 69,8% 6,3% 5,6% 5,6% 8,7% 13,5% 14,3% 4,8% 4,0% Ac umulado Medio NA-B ajo-Medio 59,5% 45,2% 57,9% 43,7% 61,1% 42,1% 62,7% 39,7% 29,4% 23,0% 82,5% 8,7% 37,3% 29,4% 38,1% 42,9% 31,0% 20,6% 29,4% 29,4% 26,2% 21,4% 22,2% 38,1% 14,3% 30,2% 24,6% 21,4% 32,5% 34,9% 42,1% 28,6% 32,5% 69,8% 41,3% 47,6% 51,6% 36,5% 24,6% 35,7% 34,9% 30,2% 29,4% 27,8% 46,8% 84,1% 36,5% 30,2% 27,0% 41,3% 48,4% 56,3% 33,3% 36,5% S obreT I S obreT I S obreT I
INNOV AC IN
AUT OC ONT R OL
ANEXO 7
Grado de Conocimientos sobre TICs Encuesta Aplicada en USTI

IIP AR T E INF OR MAC INE S P E C F IC AS OB R E C ONOC IMIE NT OS E NT IC 's L as res pues tas indic anelgradodec onoc imientoeneltemac ons ultado
R E S UME NDE R E S P UE S T AS C as os Us oyP rueba P HP J AV A OR AC L E AdmB as es deDatos S eguridadenT IC 's AdmdeR edes E nR UP AdmT elefona S oftUs uarioF inal AdmdeC orreo AdmdeP royec tos G es tindeT IC 's G es tinC alidadenT IC 's Ninguno 30,0% 65,0% 35,0% 20,0% 25,0% 15,0% 20,0% 65,0% 60,0% 5,0% 40,0% 15,0% 0,0% 5,0% B ajo NingyB ajo Medio Ning-B ajo-Medio 80,0% 65,0% 15,0% 35,0% 75,0% 90,0% 10,0% 15,0% 80,0% 95,0% 45,0% 15,0% 25,0% 45,0% 5,0% 20,0% 35,0% 80,0% 10,0% 45,0% 90,0% 50,0% 40,0% 35,0% 100,0% 60,0% 40,0% 40,0% 100,0% 90,0% 10,0% 25,0% 100,0% 95,0% 5,0% 35,0% 15,0% 65,0% 10,0% 50,0% 60,0% 85,0% 20,0% 25,0% 30,0% 85,0% 15,0% 55,0% 90,0% 50,0% 40,0% 50,0% 50,0% 90,0% 45,0% 40,0%
ANEXO 8
Nivel de aplicacin del comportamiento o competencia Encuesta Aplicada en DDI, DEI, DAGJ y en DCA
C OMP E T E NC IA C OMP OR T AMIE NT O C apac idaddeAbs trac c in P eric iaenelmanejodeinformac in P roponec urs os deac c inenfndelries go F is c alizac indeC alidad,promueveyens ea Autonomayres pons abilidadparaalc anzarmetas Daorientac inyes tablec eprioridades L IDE R AZG O T omadec is iones ac ertadas yc ons is tentes apoyadoenlas T IC 's S eguridadparaproponerydefenderideas C omunic ac ines c ritac oherente,c larayprec is a C omunic ac inoraldemanerac lara,as ertiva,oportunay efec tiva C omunic aoportunamenteas untos s ignific ativos as us s uperiores yalequipo S olic itaoportunamentelaayudaoelas es oramientodela C OMUNIC AC IN pers onaapropiada S abees c uc harys einteres aautntic amenteenes timulara los c ompaeros Interac taas ertivamentec ons uperiores ,equipodetrabajo yc onc lientes E s tablec eymantienerelac iones exitos as alinternoyfuera delaC G R T rabajademaneraefic ienteenequipos multidis c iplinarios T R AB AJ OE N ytieneflexibilidad B rindaapoyoas uperiores yc omomiembrodelequipo E QUIP 0 tieneunniveldetrabajoelevado P lanific aydeterminaenformarealis talos rec urs os yel tiemponec es arios ADMINIS T R AC ION R ealizaunaadec uadaas ignac indeltrabajoentrelos DE R E C UR S OS Y miembros delequipo R es petayc umplelos plazos deejec uc ines tablec idos T IE MP O S eorganizaadec uadamenteparaatenderc onc alidady prontitudlas diferentes labores as ignadas Habilidadparatrabajarc onautonomaeimparc ialidad L OG R ODE L ograques uproduc c inyladelequipotengaorden, R E S UL T ADOS c alidad,prec is inyriguros idad As imilaeinc orporafc ilmentelaaplic ac indenuevas T IC 's enlos trabajos INNOV AC IN Ac tualizas us c onoc imientos entemas deinters parala Ins tituc inyenelus odeT IC 's Mantieneunbuendes empeoanens ituac iones de muc hapres in AUT OC ONT R OL R ec onoc efortalezas ,identific as us errores ylimitac iones y tomaac c iones paramejorar P E NS AMIE NT O S IS T MIC O NA B ajo NAyB ajo 10,0% 5,0% 5,0% 0,0% 0,0% 0,0% 5,0% 5,0% 0,0% 30,0% 15,0% 15,0% 0,0% 0,0% 0,0% 65,0% 60,0% 5,0% 10,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 10,0% 0,0% 0,0% 75,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 0,0% 5,0% 0,0% 5,0% 0,0% 0,0% 5,0% 0,0% 0,0% 0,0% 0,0% 5,0% 5,0% 0,0% 0,0% 0,0% 5,0% 0,0% 10,0% 0,0% 0,0% 10,0% 5,0% 0,0% 5,0% 0,0% 0,0% 5,0% 0,0% 0,0% 10,0% 0,0% 5,0% 80,0% 0,0% 0,0% 0,0% 5,0% 0,0% 10,0% 0,0% 0,0% Medio NA-B ajo-Medio 65,0% 55,0% 60,0% 60,0% 65,0% 60,0% 70,0% 40,0% 50,0% 50,0% 85,0% 20,0% 65,0% 30,0% 50,0% 50,0% 55,0% 25,0% 40,0% 45,0% 40,0% 35,0% 30,0% 75,0% 15,0% 45,0% 35,0% 30,0% 45,0% 30,0% 25,0% 30,0% 30,0% 75,0% 35,0% 50,0% 55,0% 55,0% 25,0% 45,0% 45,0% 40,0% 45,0% 30,0% 80,0% 95,0% 45,0% 35,0% 30,0% 50,0% 30,0% 35,0% 30,0% 30,0% S obreT I S obreT I S obreT I
ANEXO 9
Conocimientos que deben tener las Jefaturas sobre las TICs Segn entrevista realizada a la Jefatura de USTI
ModelodeA rquitecturadelaInformacin(MA I)ysurelacinconlosprocesos InstitucionalesdefinidosenelMA GE FI InfraestructuraT ecnolgica(R edes,T elefona,B asesdeDatos,Seguridad, Servidores) MetodologadeGestindeProyectosdeT I HerramientasdeSoftwaredisponiblesysuutilidad A provechamientodelaInformacinparalatomadedecisiones(quesetieney comolepuedosacarprovecho): L ossistemasexistentes L ossistemasporhacer UsodelainformacindisponibleenlaW eb R oldelusuarioenlaMetodologadeDesarrollodeSistemas UsodelSoftwareInstitucionalB sico(anivelbsicoointermedio) E xcel W ord PowerPoint Project
ANEXO 10
Conocimientos que deben tener las Secretarias en materia de TICs Segn entrevista realizada a las secretarias del Despacho, la secretaria de Divisin de la DFOE, de la Secretara Tcnica y de la USTI
Manejoelectrnicodetextos Apoyoenlabores deoficina Neces idades dedigitalizacin(pas oaformato electrnico)dedocumentos Manejodepres entaciones ejecutivas . C ons ultadebas es dedatos odeconocimiento. Acces oas is temas deinformacin Manejodehojas declculo. Manejodeimgenes Manejodevideos . Manejodeaudio. Manejodearchivos . Manejodelas eguridaddelainformacin. Us ointens ivodelcorreo,eliminarnotas ,compartir agenda P DF OpenOffice
S IS T E MAS
S IAC NOR MAT IV A S IS T E MAINF OR MAC INLE G IS LAT IV O E XP E DIE NT E DIG IT AL C OMP R AS C OMP E NDIOS S IG Y D S is temas declaves C onfiguracineins talacindeimpres oras S is temas parafuncionarios DocumentacinyS ervicios delaW eb
ANEXO 11
DIV IS IONE S
Unidades F unc ionales C =C ONS UL T A R =R E G IS T R O N=NorequierenC apac .
s TD as os y st s do - M tiv to es ue na s a n n e s c r o e s t e i o n ie ic n io is m e nc io tic B A ic a nd in A P e P is cu i de rv a r ( Sa de la l br os la l s os dm V ec n e n p in ) D o jo Se st e d de tua s o es t A i de tua d a i i o y e d s e s iv c ri F u ic ac de es a c e s pu tro c tro a t z a ta n D l d is ic io ite ite os up or a is tra is rm tr rm s u m a li e ti Y rta qu rv tiv m es m m ab fo on fo e e g on eg or c a c e s G R C In C Pr In P r R N fis G G S I To Po Ad S e Ac Tr Tr El A A A A A A C C A C C B C B C C C C C C R R C R R R R R ad id iv ct a id iv ct d o lic b s o lic b s
C C R R R R R R R R R R R R R R R R R R R R R R R R C C C C C C C C C R R C R C C C C C R R C R C C C C C C C C C C R R R R C C R R C C C C C C C C C C R R R R C C R R
F is c alizac in Operativay E valuativa
P rior. S ec retaraT c nic a S ervic ios deAdminis trac in F inanc iera S ervic ios Munic ipales S ervic ios E c onmic os parael Des arrollo S ervic ios deObraP blic a S ervic ios P blic os G enerales Ambientales yAgrop. Denunc ias yDec larac iones J uradas C C C C C C C C C C C C R R R R C C R R R R R R R R R R
S eguimientodeDis pos ic iones
S ervic ios S oc iales
As es oria y As es oriayG es tinJ uridic a G es tinJ uridic a R R C C C R R R R C C R R R C C R C C C C C C C C C C C C C R R R R R R R R R R C C C C C C C R R C C R C R R R R R R R R R R R R R C C C R R R R R R R R R R R R R R R R C R R C R R
R R R R R R R R R R R R R R
C ontratac in Adminis trativa
C ontratac inAdminis trativa
R ec urs os Humanos C entrodeC apac itac in G erenc iade UnidaddeP rens ay E s trategia C omunic ac in Ins tituc ional UnidaddeDes arrollo Organizac ional S ervic ios deInformac in S is temas yT ec nologas de G erenc iadeDes arrollo Informac in
UnidaddeS ervic ios F inanc ieros
UnidaddeS ervic ios de P roveedura
Conocimientos sobre los Sistemas de la CGR Segn entrevista realizada al coordinador de desarrollo de sistemas de la USTI
UnidaddeS ervic ios G enerales G erenc iaAdminis trativa Des pac hoC ontraloray S ubc ontralora G erenc ias AuditoraInterna
ANEXO 12
Resumen de comportamientos relacionados con la aplicacin de TICs Encuestas realizadas a la DFOE, DDI, DEI, DAGJ, DCA, USTI
C OMP E T E NC IA C OMP OR T AMIE NT O L IDE R AZG O T omadec is iones ac ertadas y c ons is tentes apoyadoenlas T IC 's Divis in/Unidad DF OE DDI,DE I,DAG J ,DC A US T I T otales NA B ajo NA-B ajo Medio NA-B ajo-Medio 21,7% 32,5% 10,0% 24,3% 46,2% 37,3% 65,0% 44,4% 67,8% 69,8% 75,0% 68,8% 12,9% 8,7% 19,0% 13,5% 10,0% 0,0% 14,6% 9,7%
C OMP E T E NC IA C OMP OR T AMIE NT O
Divis in/Unidad DF OE As imilaeinc orporafc ilmentela DDI,DE I,DAG J ,DC A INNOV AC IN aplic ac indenuevas T IC 's en US T I los trabajos T otales Divis in/Unidad DF OE Ac tualizas us c onoc imientos en DDI,DE I,DAG J ,DC A INNOV AC IN temas deinters parala US T I Ins tituc inyenelus odeT IC 's T otales
NA 4,9% 4,8% 0,0% 4,6% NA 3,1% 2,4% 0,0% 2,8%
B ajo 9,1% 8,7% 0,0% 8,6%
NA-B ajo 14,0% 13,5% 0,0% 13,2%
Medio NA-B ajo-Medio 47,2% 61,2% 34,9% 48,4% 30,0% 30,0% 42,8% 56,0% Medio NA-B ajo-Medio 49,3% 66,1% 42,1% 56,3% 25,0% 35,0% 46,1% 61,8%
C OMP E T E NC IA C OMP OR T AMIE NT O
B ajo NA-B ajo 13,6% 16,8% 11,9% 14,3% 10,0% 10,0% 13,0% 15,7%
Anexo - NTP13
Plan de la Capacidad en TI
PROCESO: GESTIN DE LA CAPACIDAD

1. Introduccin
El propsito de este documento es proporcionar una gua para la planeacin de la capacidad de la tecnologa de informacin y comunicaciones de la Contralora General de la Repblica (CGR), con el objetivo de aprovechar mejor los recursos institucionales y permitir que se adquiera la tecnologa adecuada y con la capacidad para cubrir ecientemente y con el mejor desempeo las necesidades y requerimientos reales, presentes y futuros. La Unidad de Tecnologas de Informacin (UTI) tiene la responsabilidad de mantener as tecnologas de Informacin y comunicaciones (TIC) actualizadas y optimizadas como herramientas para apoyar y facilitar la gestin de scalizacin y dems tareas sustantivas de la institucin. Como consecuencia de la gestin de la informacin automatizada y el cambio permanente en las TICs, la institucin se ha propuesto mantener su infraestructura tecnolgica operando ecaz y ecientemente para el cumplimiento de sus objetivos. Como producto del aumento constante en la automatizacin de procesos en la CGR, se requiere el estar gestionando nuevos requerimientos con miras a fortalecer las necesidades de procesamiento, almacenamiento, consulta y extraccin de informacin. Bajo esta perspectiva, es necesario administrar y planicar la capacidad requerida de la infraestructura tecnolgica de la CGR. Debido a lo anterior y para cumplir con las exigencias de las normas tcnicas emitidas por la CGR en materia de tecnologas de informacin para las instituciones pblicas, en este documento se establece un modelo para medir la capacidad para evaluar y proyectar la infraestructura tecnolgica actual y requerida por la institucin.
Los componentes que se incluyen dentro de este plan consideran hardware, bases de datos, sistemas operativos y telecomunicaciones. Por ltimo, es importante recordar que la planicacin de la capacidad debe realizarse peridicamente y debe llevarse a cabo por personal capacitado y con experiencia en este campo. Es importante mencionar que este documento facilita el cumplimiento de los puntos 2.3, 3.3 y 4.2 de las Normas Tcnicas emitidas por la CGR. 1.1. Infraestructura tecnolgica
La organizacin debe tener una perspectiva clara de su direccin y condiciones en materia tecnolgica, as como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnolgica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinmica y evolucin de las TI. 1.2. Implementacin de infraestructura tecnolgica
La organizacin debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de informacin e infraestructura tecnolgica y dems criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 y los ajustes necesarios a la infraestructura actual.
Norma
4.1 La organizacin debe mantener la plataforma tecnolgica en
Administracin ptimas condiciones, minimizar su riesgo de fallas y proteger la y operacin de integridad del software y de la informacin. Para ello debe: la plataforma Establecer y documentar los procedimientos y las responsabilidades asociados con la operacin de la plataforma. Vigilar de manera constante la disponibilidad, capacidad, desempeo y uso de la plataforma, asegurar su correcta operacin, mantener un registro de sus eventuales fallas, identicar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccin, garantizar la oportuna adquisicin de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnolgicas. Controlar la composicin y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar vericaciones fsicas peridicas. Controlar la ejecucin de los trabajos mediante su programacin, supervisin y registro. Mantener separados y controlados los ambientes de desarrollo y produccin. Brindar el soporte requerido a los equipos principales y perifricos. Controlar los servicios e instalaciones externos. Denir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracin. tecnolgica
1.3.
Tareas de la Gestin de la Capacidad
Conocer el estado actual de la tecnologa en la CGR. Analizar el entorno relacionado con TIC. Alinear las TIC a los planes de la institucin; el plan estratgico en TIC. Considerar los acuerdos de servicio establecidos. Comparar el rendimiento de la infraestructura contra los parmetros denidos. Realizar modelos y simulaciones de capacidad para diferentes escenarios futuros previsibles. Dimensionar adecuadamente los servicios y aplicaciones alinendolos a los procesos de la CGR y necesidades reales de los usuarios. Gestionar la demanda de servicios tecnolgicos racionalizando su uso. Considerar el recurso humano necesario. La gestin de la capacidad de TIC facilita el dimensionamiento de la infraestructura a utilizar para un mayor aprovechamiento de las inversiones necesarias en tecnologas. Los principales benecios derivados de una correcta Gestin de la Capacidad son: Se optimiza el rendimiento de los recursos humanos y tecnolgicos. Se dispone de la capacidad necesaria en el momento oportuno, evitando as que se pueda resentir la calidad del servicio. Se evitan gastos innecesarios producidos por compras de ltima hora. Se planica el crecimiento de la infraestructura adecundolo a las necesidades reales. Se reducen los gastos de mantenimiento y de administracin asociados a equipos y aplicaciones obsoletos o innecesarios. Se disminuye el riesgo de posibles incompatibilidades y fallos en la infraestructura informtica.
En resumen, se racionaliza la gestin de las compras y el mantenimiento de los servicios en TIC con la consiguiente reduccin de costos e incremento en el rendimiento. Los principales problemas a los que se enfrenta la implementacin de una adecuada poltica de Gestin de la Capacidad son: Informacin insuciente para una planicacin realista de la capacidad. Expectativas injusticadas sobre el ahorro de costos y mejoras del rendimiento. Insuciencia de recursos para el correcto monitoreo del rendimiento. Infraestructuras informticas distribuidas y excesivamente complejas en las que es difcil un correcto acceso a los datos. No existe el compromiso suciente de los niveles superiores por implementar rigurosamente los procesos asociados. La rpida evolucin de las tecnologas puede obligar a una revisin permanente de los planes y escenarios contemplados. Un incorrecto dimensionamiento de la propia Gestin de la Capacidad.
2.
Objetivos
1.1. Objetivo General:
El objetivo primordial de la Gestin de la Capacidad es poner a disposicin de clientes, usuarios y la propia UTI, los recursos tecnolgicos necesarios para desempear de una manera eciente sus tareas a un costo razonable. En otras palabras, asegurar que la Infraestructura Tecnolgica satisfaga las necesidades actuales y futuras de TIC para la operacin eciente de la CGR.
1.1.
Objetivos especcos:
Minimizar cantidad e impacto de futuros incidentes que degraden la calidad del servicio. Racionalizar el uso de la capacidad de la infraestructura TI. Administrar costos razonables en infraestructura de TI. Aumentar la productividad y satisfaccin de los usuarios.
3.
Alcance
Este documento dene las actividades necesarias para asegurar que las mejoras, cambios y los nuevos servicios que afecten la infraestructura tecnolgica, proveern un ambiente que cumple con los estndares de servicio acordados y las necesidades de la CGR. Los componentes a los que se aplicar la gestin de capacidad son los servidores de bases de datos, aplicaciones, y correo institucional, la base de datos de produccin, enrutadores, ancho de banda Internet, Firewall, programas protectores contra virus informticos y cdigo malicioso, detectores de intrusos, switches de RED y la central telefnica. 3.1. Responsables
Las personas encargadas de administrar cada uno de los componentes seleccionados, sern los responsables de gestionar su capacidad.
4.
Actividades por realizar para cada componentes
Con el n de generar la informacin requerida por el plan de la capacidad, en este apartado se deben denir claramente los detalles de cmo y cundo se obtendr esta informacin - por ejemplo, las previsiones de la CGR obtenidas a partir de los planes
PETIC y PETAC, las previsiones del volumen de trabajo de los usuarios (modelo o arquitectura de informacin), o las proyecciones de nivel de servicio obtenido por el uso de herramientas de modelacin-; as como las caractersticas de capacidad por cada uno de los componentes para apoyar la toma de decisiones. 4.1. Identicar las herramientas de medicin
Identicar las herramientas de medicin a utilizar para evaluar el comportamiento de un componente tecnolgico ante determinadas cargas de trabajo, as como para establecer o realizar proyecciones de capacidad ante el cambio de los requerimientos de TI. 4.2. Establecer las variables de medicin
Establecer las variables de medicin as como las mtricas y los parmetros sobre las que se van a comparar y medir. 4.3. Tendencias de mercado y consecuencias
Al estudiar las tendencias y cambios tecnolgicos en el mercado y con base en los acuerdos de servicio, los nuevos requerimientos y el anlisis de la infraestructura tecnolgica actual se puede estimar que cambios o adquisiciones se deben realizar en el futuro. 4.4. Denir procesos y calendario de medicin
La herramienta de medicin que se utilice para cada componente determinar la frecuencia y los procesos que se requieren para realizar el anlisis, las mediciones y la generacin de resultados. Por lo general se analizan datos histricos que permitan establecer, variaciones importantes, problemas de infraestructura, capacidad excedida o sobrestimada y tendencias o proyecciones.
4.5.
Sustitucin
Evaluar si por obsolescencia tecnolgica, costos de mantenimiento, anlisis nanciero o por incompatibilidad con la infraestructura tecnolgica en uso, se hace necesario la sustitucin de alguno de los componentes de TICs. 4.6. Riesgos
Establecer cual sera la probabilidad y el impacto de una falla de un componente tecnolgico en la infraestructura de TI, de tal forma que se pueda mitigar el riesgo asociado. Asimismo, contemplar las oportunidades que pueda brindar el mercado en el lanzamiento de nuevas tecnologas. 4.7. Prioridades
Como es bien entendido por la mayora de administradores de infraestructura tecnolgica, se deben establecer cules componentes son prioritarios de conformidad con el sistema de continuidad de servicio y tambin para cumplir con los acuerdos de servicio y los requerimientos de TI. 4.8. Presupuesto
Finalmente, no se pueden dejar de lado los costos de la infraestructura tecnolgica y cul sera el presupuesto requerido y justicado para satisfacer las necesidades actuales y futuras en materia de TICs, de tal forma que se puedan realizar las previsiones nancieras adecuadas. De los requerimientos de TICs y de los acuerdos de servicio se debe obtener la informacin necesaria para:
Denir cules son los perodos en los que requiere mayor capacidad (picos). Niveles de servicio esperados. Tiempo de respuesta esperada. Complejidad. Capacidad de crecimiento requerida. Requerimientos nuevos. Nuevos proyectos tecnolgicos. Recurso humano necesario. Con base en todo lo anterior, se debe realizar un proceso continuo de Gestin de la Capacidad que involucra las siguientes actividades: 4.9. Seguimiento y control continuo
Seguimiento continuo de la infraestructura tecnolgica en uso para anlisis de rendimiento y de necesidades de ajustes para satisfacer adecuadamente los requerimientos de la CGR. Un correcto seguimiento de la capacidad disponible, permite reconocer puntos dbiles de la infraestructura de TIC o cuellos de botella y evaluar posibilidades de balanceo de cargas o redistribucin de servicios o datos para continuar dando un servicio de calidad. La Gestin de la Capacidad debe evaluar a priori, basndose en la experiencia, los resultados y las tendencias del mercado. En resumen el monitoreo debera permitir: Analizar las tendencias de demanda de capacidad. Evaluar el uso real que se hace de ella.
Emitir informes de rendimiento, Validar las mtricas para la evaluacin de la capacidad real y su impacto en la calidad del servicio.
5.
Anlisis y Evaluacin de datos
Los datos recopilados deben ser analizados para tomar decisiones relacionadas con la ejecucin de acciones correctivas que permitan mantener una infraestructura tecnolgica acorde con las necesidades de la CGR. 5.1. Ajustes
Con base en el monitoreo y en el anlisis de datos se deben determinar los ajustes requeridos para la optimizacin de uso de los recursos de TIC mediante la Gestin del cambio, Generando el proceso necesario para la implementacin del mismo. 5.2. Almacenar la informacin
Se contar con una aplicacin que permitir almacenar la informacin relativa a la capacidad, incluyendo los planes de capacidad y los informes de gestin sobre los recursos de TI. 5.3. Base de Datos de la Capacidad (BDC)
La BDC debe almacenar toda la informacin institucional, nanciera, tcnica y de servicio que reciba y genere la Gestin de la Capacidad, relativas a la capacidad de la infraestructura y sus elementos. Idealmente, la BDC debe estar interrelacionada con la BDCG (Base de datos de la capacidad gerencial) para que esta ltima ofrezca una imagen integral de los sistemas
y aplicaciones con informacin relativa a su capacidad. Esto no es bice para que ambas bases de datos puedan ser fsicamente independientes. 5.4. INSUMOS
Riesgos en materia de TIC. Incidentes registrados. Acuerdos de servicio establecidos La arquitectura de informacin de la CGR. Plan de Contingencia o para continuidad de servicios. Rendimiento esperado por servicio o componente. Avances o actualizacin tecnolgica relacionada. Requerimientos de informacin, de procesamiento y de telecomunicaciones. Informacin relativa a la capacidad de la infraestructura de TIC. Las previsiones o perspectivas de la CGR sobre necesidades. Los cambios necesarios para adaptar la capacidad de TI a las novedades tecnolgicas y las necesidades emergentes de usuarios y clientes. La disponibilidad esperada. Posibilidades presupuestarias.
6.
Anlisis de capacidad
A continuacin se establecen las variables a medir por cada componente seleccionado y los parmetros sobre los cuales se aplicar la medicin; as como el instrumento a utilizar.
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS DE SEGURIDAD Consideraciones bsicas A. Ancho de Banda Internet. Variables a medir: 1. Ancho de banda utilizado de entrada 2. Ancho de banda utilizado de salida 3. Eciencia de la red. (entrada y salida) 4. Delay de transacciones por aplicacin. Instrumento de medicin: Packeteer. B. Enrutadores 1. Conabilidad de la interface. 2. Indice de carga de la interface de transmision TX 3. Indice de carga de la interface de recepcin RX 4. Estadsticas para 5 minutos: 4.1 Tasa de transferencia en bits por segundo. 5. Utilizacin de CPU Instrumento de medicin: Comandos sistema operativo C. Firewall 1. Utilizacin de CPU 2. Memoria utilizada. 3. Tasa de transferencia por subred 4. Ancho de banda utilizado por subred Instrumento de medicin: Programa ASDM instalado en el Firewall. D. Appliance E-3100 Mc.Afee 1. Carga de CPU. 2. Memoria utilizada / memoria disponible Instrumento de medicin: Programa administrador del Appliance. E. Detectores de intrusos. 1. Carga del CPU 2. Memoria disponible 3. Disco utilizado/disponible Comandos Sistema operativo 25% 25% 60% 60% 15% 75% 80% 10% 80% 100% 15% 10% 45% del canal 30% 50% 70% 70% 80% del canal 60% < 50% > 70% > 70%Mas de 180/255 > 80% del canal 70% Valor normal 4Mb 2Mb 90% < 2 seg 5Mb 3Mb 75% 5 seg Punto crtico > 5 Mb > 3 Mb > 75% > 5 seg Alerta
20% 50% 1Mbps 30% del ancho de banda total
40% 70% 6Mbps 50% del ancho de banda total
65% 80% 8Mbps >70 % del ancho de banda total
20% 50%
70% 70%
80% 80%
ESTABLECIMIENTO DE METRICAS PARA EQUIPOS PRINCIPALES Consideraciones bsicas Tiempo de medicin: Continuo Servidor es de base de datos y aplicaciones Variables a medir: Valor normal Punto crtico Alerta
1. Utilizacin de UPC. La utilizacin ptima de la UPC son los siguientes: 60% para usuarios 20% para el sistema 10% para E/S 10% desocupado 2. Utilizacin de Memoria 3.Paginacin
65%
85%
90% o ms de un 50% de utilizacin de la UPC por sistema operativo
< 65% 5%
>85% 10%
>90%
15%
5. Tasa utilizacin disco %iowait 6. %Crecimiento anual de disco Instrumento de medicin: Foglight y comandos del sistema operativo (Solaris
10% 50%
15% 70%
30% 75%
ESTABLECIMIENTO DE METRICAS PARA BASES DE DATOS Consideraciones bsicas Tiempo de medicin: Continuo Base de datos ORACLE Mtricas: 1. % Utilizacin CPU. 2. % Utilizacin de Memoria 3.Promedio de tiempo de escritura del redo log 4. Lock wait 5. I/O wait 6. Network wait 7. Latch wait 65% < 65% 30s 10s 5% 2% 1% 85% >85% 90s 30s 15% 10% 10% Valor normal Punto crtico Alerta 90% o ms de un 50% de utilizacin de la UPC por sistema operativo >90% 100s 60s 25% 15% 15%
Instrumento de medicin: Foglight y comandos del sistema operativo (solaris) ESTABLECIMIENTO DE METRICAS PARA REDES Y TELEFONA
A. Switches. Switch de Servidores Switch de Backbone Switch de Acceso Mtricas: B. % Utilizacin Ancho de banda POR SUBRED
< 70%
70%
>75%
Instrumento de medicin: EPI-Center de Extreme Networks
B. Access Point (red inalmbrica) Mtricas: % Utilizacin Ancho de banda por puerto de access point Instrumento de medicin: Hipath de Siemens y EPI-Center de Extreme Networks
< 70%
70%
>75%
C. Media Gateway con Proveedor de Servicio
Mtricas: % Utilizacin de canales E1s Instrumento de medicin: OTM de Nortel Networks < 70% 70% >75%
Anexo - NTP14
Acuerdo de Nivel de Servicio
Contralora General de la Repblica Proceso Gestin de Tecnologas de Informacin Acuerdo de Nivel de Servicio
Introduccin
En aras de mejorar el servicio en tecnologas de informacin y comunicacin y la satisfaccin del cliente, se establece el presente Acuerdo de Nivel de Servicio (SLA por sus siglas en ingls), de acuerdo con las Normas Tcnicas emitidas por la Contralora General de la Repblica (CGR) en su captulo IV sobre prestacin de servicios y mantenimiento.
Objetivo
Fijar el nivel de calidad del servicio en Tecnologas de Informacin y Comunicacin (TICs); manteniendo alineada la tecnologa con los planes de la CGR, entre la Unidad de Tecnologas de Informacin como el proveedor de servicios de TICs; representada por su jefatura, y la Gerencia de la Divisin XXXX como el cliente; representada por su Gerente.
Servicios tecnolgicos
A continuacin se establecen los servicios que forman parte de este SLA: 1. Correo Electrnico 2. Red Convergente 3. Internet 4. Disponibilidad de la informacin 5. Telefona a nivel de servidores
Requerimientos del Cliente

A continuacin se enumeran los requerimientos del cliente a nivel de servicios de tecnologas de informacin. 1. Alta disponibilidad para acceder a la informacin. 2. Alta disponibilidad en el servicio de correo electrnico. 3. Suciente espacio para almacenamiento de sus datos. 4. Servicio para control de programas maliciosos. 5. Acceso telefnico permanente. 6. Custodia, condencialidad e integridad de sus datos residentes en los servidores principales.
Acuerdos por servicio

A continuacin se especica el nivel de servicio a brindar por el proveedor para cada uno de los servicios contemplados en este documento de acuerdos.
Correo Electrnico Compromisos del Proveedor

1. Disponibilidad del servicio 24x7. 2. 100 MB de almacenamiento de datos para cada cliente de correo. 3. Encriptacin de la clave de acceso de cada cliente de correo. 4. Eliminacin en un 90% de correo spam o basura. 5. Eliminacin en un 95% de virus incluidos en documentos entrantes. 6. Privacidad de correo entrante y saliente para cada cliente. 7. Custodia y respaldo de la base de datos de correo. 8. Recuperacin de la base de datos en un plazo mximo de 3 horas.
Compromisos del cliente

1. Cumplimiento de las directrices de seguridad vigentes. 2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas, a efectos de prevenir la expansin de la misma. 3. Reportar el uso indebido de informacin o activos de la CGR por parte de usuarios internos o personal externo.
Red convergente Compromisos del proveedor

1. Disponibilidad de red 24x7. 2. Conexin a velocidades de 10/100/1000. 3. Redundancia de los componentes primarios de la red convergente. 4. Disponibilidad complementaria y alternativa de conexin inalmbrica.

1. Cumplimiento de las directrices de seguridad vigentes 2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas, a efectos de prevenir la expansin de la misma.
Internet Compromisos del Proveedor

1. Disponibilidad del servicio 24x7. 2. 8 Mb de ancho de banda. 3. Aplicacin de ltro de Contenidos. 4. Recuperacin del servicio en un plazo mximo de 3 horas.

1. Cumplimiento de las directrices de seguridad vigentes. 2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas, a efectos de prevenir la expansin de la misma.
Disponibilidad de la Informacin Compromisos del Proveedor

1. Disponibilidad del servicio 24x7. 2. Brindar los controles que garanticen el acceso seguro y debido a la informacin. 3. Custodia y respaldo de la base de datos. 4. Iniciar la atencin inmediata de recuperacin de la base de datos en horario normal y en un plazo mximo de 2 horas fuera de horario.

1. Cumplimiento de las directrices de seguridad vigentes. 2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas, a efectos de prevenir la expansin de la misma. 3. Reportar oportunamente cualquier cambio en el rol operativo de algn usuario de la BD, que amerite una modicacin en el respectivo control de acceso a la informacin.
Telefona Compromisos del Proveedor

1. Disponibilidad del servicio 24x7. 2. Buzn para grabacin de mensajes de hasta 10 Mb. 3. Facilidad de candado electrnico en el telfono. 4. Privacidad de las llamadas entrantes y salientes para cada cliente.
5. Custodia y respaldo de las llamadas recibidas y efectuadas. 6. Recuperacin de la base de datos en caso de contingencias, en un plazo mximo de 3 horas. 7. Proveer herramientas que faciliten la gestin de la telefona en cumplimiento de la normativa de control interno vigente.

1. Cumplimiento de las directrices de seguridad vigentes. 2. Reportar cualquier falla que se detecte, en un plazo mximo de dos horas, a efectos de prevenir la expansin de la misma. 3. Hacer un uso racional de los servicios telefnicos. 4. Seguimiento para identicar niveles extremos de uso telefnico y para gestionar la correccin de prcticas inapropiadas. 5. Limpiar frecuentemente los buzones de mensajes.
Centro de Llamadas
A efectos de facilitar la administracin de incidentes relacionados con tecnologas de informacin, el proveedor pone a disposicin de sus clientes un sistema automatizado para su registro y control, denominado Solicitud rden de Servicio (SOS) 24x7, la posibilidad de solucin remota y la atencin en sitio en horario normal. Los incidentes deben ser reportados en horario normal a la extensin telefnica indicada por el proveedor o mediante registro en el SOS.
Suspensin de servicios
El proveedor no podr brindar los servicios incluidos en este SLA, cuando ste se suspenda por razones de mantenimiento preventivo a servidores, red o bases de datos; previamente acordado y comunicado a todos los funcionarios, o por mantenimiento correctivo, producto de fallas fuera del control del proveedor, o por interrupcin del
servicio por proveedores externos como en el caso de telefona o acceso a servicios externos va enlaces de comunicacin contratados a terceros, o por fallas de la infraestructura tecnolgica nacional.
Disminucin de la calidad del servicio

La calidad del servicio se puede ver afectada si previa negociacin se decide brindar un tiempo de respuesta mejorado para acceder a una solucin tecnolgica para el registro, consulta o recibo de datos externos. Cuando los servicios no se encuentren dentro de los parmetros establecidos, el Proveedor trabajar en la solucin del problema e informar al Cliente sobre el avance. Si el desempeo no mejora, se realizar una reunin conjunta, para discutir y resolver los problemas que han ocasionado la disminucin del nivel de servicio y se elaborar un informe completo para la administracin sobre los asuntos en referencia.
Evaluacin
Se llevar a cabo una reunin semestral cliente/proveedor para evaluar el servicio prestado durante los seis meses y para considerar eventuales cambios a realizar sobre el SLA con base al anlisis de eventos presentados.
Vigencia
Este Acuerdo de Servicios tiene una vigencia de un ao a partir de la rma de aceptacin de las partes y se prorroga automticamente por perodos iguales, si ninguna de las partes decide su nalizacin con un mes de anticipacin en das naturales. Se rma este Acuerdo de Nivel de Servicios en San Jos, a las 11 horas del da xx del mes de junio del 2009.
Miguel Aguilar Zamora
Gerente de Divisin Gerente de Divisin
Jefe UTI
Anexo - NTP15
Marco Jurdico en Tecnologas de Informacin
1. Introduccin
Como resultado de la recopilacin de leyes, normativa, pronunciamientos, contratos, resoluciones y directrices; entre otras, y en cumplimiento a la norma Nro. 1.7 del documento Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin (N-2-2007-CO-DFOE) aprobadas mediante Resolucin del Despacho de la Contralora General de la Republica, Nro. R-CO- 26-2007 del 7 de junio del 2007, se elabora este Marco Jurdico a ser utilizado para la gestin y gobernabilidad de las tecnologas de informacin y comunicacin (TIC`s) de la Contralora General de la Repblica (CGR). La referida norma 1.7 ya citada, establece el cumplimiento de obligaciones
relacionadas con la gestin de TI; para el cual toda organizacin debe identicar y velar por el cumplimiento del Marco Jurdico que tiene incidencia sobre la gestin de las tecnologas de informacin, con el propsito de evitar posibles conictos legales que pudieran ocasionar eventuales perjuicios econmicos y de otra naturaleza.
2. Antecedentes
La Contralora General de la Repblica, ha venido organizndose y tomando medidas necesarias para implantar mecanismos y sistemas de informacin, que ayuden al control y scalizacin de los recursos del Estado y que sirvan como herramientas aplicables a los entes e instituciones de scalizacin. Es as, como en el ao 2008 se lleva a cabo una revisin integral del Manual General de Fiscalizacin Integral, denominado MAGEFI, con el propsito de actualizar y mejorar este instrumento normativo, con los siguientes objetivos: a. Adecuar los procesos institucionales de conformidad con los cambios normativos en el marco legal relacionados con el quehacer del rgano contralor.
b. Ajustar dichos procesos a la luz de las nuevas ideas rectoras de la Contralora General cuya revisin participativa implic cambios en la misin, visin y valores institucionales. c. Reforzar el enfoque de procesos interrelacionados en la gestin institucional orientada al logro de la misin. Subyace a la dinmica e integracin de procesos del MAGEFI, el concepto de cadena de valor, el cual se reere a un instrumento de gestin estratgica orientada a la generacin de valor pblico. Mediante el presente Marco Jurdico, aplicable a la gestin de las tecnologas de informacin y comunicacin para la Contralora General de la Repblica, se pretende reforzar y fortalecer el uso apropiado de las tecnologas de informacin. Lo anterior, mediante una mayor regulacin a la informacin que produce la institucin , en funcin de su aplicabilidad, proteccin de datos personales, resguardo del ujo de datos, proteccin de licencias de uso de programas; as como la debida aplicacin de las licencias de software adquiridas, polticas asociadas con proveedores de software y deteccin gil en cuanto a regulaciones por delitos informticos fraudes u otras acciones no legales, en los contratos relacionados con TICs , sus requerimientos de garantas contractual y sus principales repercusiones, principalmente.
3. Objetivo
Elaborar el Marco Jurdico que contenga el compendio de leyes, pronunciamientos, contratos y otros aplicables a las Tecnologas de Informacin, utilizadas por la Contralora General de la Repblica, el cual estar incorporado en el sistema de Expediente Electrnico de la CGR. Dicho Marco Jurdico, estar conformado por las leyes, decretos, resoluciones, contratos, procedimientos, directrices, estndares y prcticas relacionadas con la
identicacin,
revisin y toma de acciones correctivas continuas, en relacin con
las obligaciones legales, gubernamentales, tcnicas, contractuales, de seguridad y sobre condencialidad y sensibilidad de los datos en los procesos de transferencia electrnica de datos interna y externa a la Contralora General.
4. Lineamientos generales con relacin a la ejecucin de contratos

4.1 La adquisicin de bienes y servicios se paga contra recibo a satisfaccin de la Unidad de Tecnologas de Informacin, fecha a partir de la cual inicia el perodo de garanta. 4.2 La factura del proveedor debe ser revisada por el administrador del contrato y por la asistente presupuestaria para que con su visto bueno (VB) se autorice el pago por parte de la jefatura como Unidad tcnica responsable. 4.3 En caso de incumplimientos contractuales por parte de la Contratista, y que no obedezcan a fuerza mayor o caso fortuito debidamente documentado, la CGR se reserva el derecho de resolver el contrato y de ejercer las medidas que correspondan para resarcir los eventuales daos y perjuicios que se le pudieren haber ocasionado. 4.4 Las licencias contratadas son para utilizar nicamente en equipos de la CGR. 4.5 Para todos los efectos, el expediente de la contratacin, en especial el cartel, la oferta y el acto de adjudicacin, forman parte integral del contrato. 4.6 Los horarios de servicio se establecen contractualmente de lunes a viernes entre las 8 a.m. y las 5 p.m. 4.7 Los servicios de escalamiento se encuentran registrados en el Sistema automatizado de Contingencias.
5. Documentos relacionados
Con el propsito de poner a disposicin de los funcionarios el Marco Jurdico que rige el accionar institucional en tecnologas de informacin y comunicacin, a continuacin registramos todas aquellas leyes y dems, a las que estamos supeditados y obligados. 5.1 Leyes
Constitucin Poltica de la Repblica de Costa Rica, de 7 de noviembre de 1949. Ley No. 7494, Ley de Contratacin Administrativa, Gaceta 110, Alcance 90 de 8 de junio de 1995. Ley No. 8292 Ley General de Control Interno, de 4 de setiembre del 2002. Ley No. 8474, Ley de certicados, rmas y documentos electrnicos, LA GACETA 197 DEL 13-10-2005. Ley 8422 contra la corrupcin y el enriquecimiento ilcito en la funcin pblica, Decreto No. 00000-J. Ley de Derechos de autor y derechos conexos. 5.2 Lineamientos internos Lineamientos para la atencin de denuncias planteadas ante la CGR. Lineamientos para el uso de la pizarra electrnica. Lineamientos para desarrollo de sitios Web. 5.3Reglamentos Reglamento autnomo de servicio para la regulacin del correo electrnico masivo o no deseado, La Gaceta N 151 Mircoles 4 de agosto del 2004 (RACSA). Reglamento para la administracin de los bienes y derechos de propiedad intelectual de la CGR, La gaceta No. 175 del 7 de setiembre del 2004.
Reglamento para la Utilizacin del Sistema de Compras Gubernamentales CompraRed, La gaceta no. 204 del 24-10-2005, decreto 32717-h. Reglamento a la Ley de Certicados, Firmas Digitales y Documentos Electrnicos La Gaceta 77 Viernes 21 de abril del 2006 DECRETO 33018 Reforma al Reglamento a la Ley de Contratacin Administrativa, La Gaceta 93 Mircoles 16 de mayo del 2007DECRETO 33758-H. Reglamento para la administracin de los bienes y derechos de propiedad intelectual de la CGR, La Gaceta No. 175 Martes 7 de setiembre del 2004. 5.4 Decretos Reforma al Decreto Ejecutivo Nmero 33411-H del 27 de Setiembre del 2006, Reglamento a la Ley de Contratacin Administrativa, La Gaceta N 88 Viernes 08 de mayo de 2009 Decreto N 35218-H DEL 30/04/2009. Decreto No. 25038-H, Reglamento General de Contratacin Administrativa, Gaceta 62 del 28 de marzo de 1992. 5.5 Normas Normas Tcnicas para la gestin y el control de las Tecnologas de Informacin, N-2-2007-CO-DFOE. 5.6 Estatutos Estatuto Autnomo de Servicios, Resolucin No. 4-DHR-96. 5.7 Resoluciones R-CO-44-2007, Contralora General de la Repblica, Actualizar los lmites econmicos que establecen los incisos a) al j) de los artculos 27 y 84 de la Ley de Contratacin Administrativa y sus reformas, La Gaceta No. 23
R-CO-62-2006. Modicar el inciso b) de las disposiciones transitorias de la resolucin D-4-2005-CO-DDI, de las diez horas del 14 de diciembre del dos mil cinco, publicada en La Gaceta nmero 243 del viernes 16 de diciembre del 2005, mediante la cual se emitieron las Directrices para el registro, la validacin y el uso de la informacin sobre la actividad contractual desplegada por los entes y rganos sujetos al control y la scalizacin de la contralora general de la repblica, R-CO-62 Contralora General de la Repblica Directrices generales a los sujetos pasivos de la Contralora General de la Repblica para el adecuado registro o incorporacin y validacin de informacin en el sistema de informacin sobre presupuestos pblicos (SIPP) D-2-2005-CODFOE. La Gaceta no. 131 del 7-07-2005 contralora general de la repblica resoluciones 5.8 Directrices R-CO-61-2007 Directrices sobre Seguridad y Utilizacin de Tecnologas de Informacin y Comunicaciones 5.9 Contratos En la actualidad, la administracin de contratos en TIC esta distribuida por reas especializadas, esto con el n de facilitar la gestin y comunicacin correspondiente entre los proveedores y la Contralora General. A continuacin se muestran los proveedores actuales y el tipo de servicio que brindan, as como datos importantes relacionados con el contrato vigente.
5.9.1 Administracin de redes AEC Electrnica, servicio de reemplazo avanzado de partes o equipo completo; todos nuevos, en un plazo de 48 horas, as como el servicio de atencin de valor agregado 24x7 para los switches de backbone de la CGR y la actualizacin de versiones de software para los equipos marca Extreme Networks, segn contrato No. 2008-000019, 2008-000018 y especicaciones en Anexo 1, por un ao. AEC Electrnica, servicio de reemplazo para un switch Black Diamond modelo 6808 y servicio de soporte en lnea de atencin 48hr AHR, ambos por un ao. Resolucin administrativa 1-2009 de ampliacin. Siemens Enterprise Communications C.A.M. S.A., adquisicin, instalacin y puesta en funcionamiento de una solucin inalmbrica en toda la institucin excepto los pisos 9 y 11, con una garanta de funcionamiento de tres aos y con una capacidad instalada de 108 Mbps por piso. El mximo de capacidad instalada que proveern los Access Point es de300 Mbps en el modo especco de operacin del estndar 802.11n-draft-2.0. Contrato No. 2008-000017 y Anexo 1. 5.9.2 Administracin de microcomputadores e impresoras Central de Servicios, garanta de funcionamiento de tres aos por 11 Microcomputadores, Contrato No. 2006-000004. Central de Servicios, garanta de funcionamiento de tres aos por 22 Microcomputadores, Contrato No. 2006-000022. Central de Servicios, garanta de funcionamiento de tres aos por 21 Microcomputadores, Contrato No. 2007-000017.
Central de Servicios, garanta de funcionamiento de tres aos por 30 Microcomputadores, Contrato No. 2008-000007. Componentes El Orbe, garanta de funcionamiento de tres aos por 13 Microcomputadores, 10 terminales para operar con software CITRIX y 11 monitores LCD, Contrato No. 2008-000006. Componentes El Orbe, garanta de funcionamiento de tres aos por 3 Microcomputadores, 2 ordenadores PALM con dos aos de garanta y 2 Docking Station, Contrato No. 2007-000016. I.S. Productos de Ocina Centroamrica S.A., adquisicin de 3 impresoras lser de red Kyocera Mita modelo FS-2000D, 1 fax Kyocera KM-1116 MFP y una reproductora digital marca Duplo modelo DP-S550, todos con tres aos de garanta. Contrato No. 2008-000008. 5.9.3 Administracin de Servidores Control Electrnico S.A., Arreglo de discos (SAN) y Servidores con garanta de tres aos. Contrato No. 2008-000018. Control Electrnico S.A., Mantenimiento preventivo y correctivo de hardware y software; incluyendo reemplazo de partes, por un ao y cinco meses y medio, en un servidor, en un arreglo de discos (SAN) y en una unidad para generacin de respaldos. Contrato No. 2009-000005. Componentes El Orbe, garanta de funcionamiento por tres aos de 4 Servidores Server Blade y 2 Docking Station. Contrato No. 2007-000019.
ComputerNet
Centroamericana S.A., software para respaldos automticos de 4
servidores con sistema operativo Solaris y 2 con sistema operativo Windows en UNIX (Solaris), Oracle (Solaris) y Windows; incluye un ao de garanta y dos visitas al ao para mantenimiento preventivo. Contrato No. 2007-000023. 5.9.4 Administracin de la Seguridad Consulting Group Chami Centroamericana S.A., 501 Licencias de Antivirus y de antispyware p/Windows y 5 Licencias p/Macintosh, contrato prorrogable por 4 aos segn Pedido No. 20130, solicitud 280517, desde el 14 de diciembre del 2008 hasta el 13 de diciembre del 2012. SPC Internacional S.A., Servicios de Mantenimiento de los Smarnets para un rewall, tres routers y dos detector de intrusos, con una duracin de un ao y cinco meses, hasta el 15 de diciembre del 2010. Contrato No. 2009-000009. SPC Internacional S.A., adquisicin de una solucin de Control y Filtro de Contenido (Websense) y actualizaciones para el acceso a Internet de una poblacin de 500 usuarios y un ancho de banda de 8 Mbps por un plazo mximo de cuatro aos. La no prrroga del contrato debe comunicarse con 90 das de anticipacin. Contrato No. 2008-0023 con vigencia a partir del 7 de diciembre del 2008. 5.9.5 Administracin de la Telefona Continex S.A., adquisicin, instalacin y puesta en funcionamiento de una solucin telefnica con mensajera unicada, contestador automtico, distribucin automtica de llamadas, sistema de correo de voz, sistema bsico para envo y recepcin de fax y respuesta de voz interactiva; incluye tres aos de garanta y dos visitas al ao para mantenimiento preventivo. La Contratista garantiza el abastecimiento de repuestos y reparacin de unidades durante un perodo de cinco aos. Contrato No. 2005-000020.
Continex S.A., adquisicin, Instalacin y conguracin de bienes para la Solucin Telefnica, 63 transformer (IP) y administracin de OTM Billing, 8 licencias, 3 clientes Soft Phone y 13 Headset; incluye tres aos de garanta. Contrato No. 2007-000003. 5.9.6 Administracin de Telecomunicaciones Instituto Costarricense de Electricidad (ICE), marcacin directa a la extensin soportado por un enlace PRI-RDSI, cuyo rango de numeracin es del 501-8000 al 501-8999 con 600 extensiones en operacin y 400 en reserva, asociado a nmero de identicacin 296-J015 y al equipo terminal marca Nortel. La comercializacin de tonos de invitacin a marcar para accesar la red del pas es una prohibicin; entre otras, establecidas en la clusula 8. Es un contrato permanente. Radiogrca Costarricense S.A. (RACSA), servicios de telecomunicaciones: 1 puerto de Internet dedicado a 8 MB, 1 Frame Relay a 256 Kbps para conexin con el Ministerio de Hacienda, 1 Frame Relay a 128 Kbps para conexin con la Asamblea Legislativa, 1 cuenta conmutada y los componentes para lograr la conectividad, por un mximo de cuatro aos. De acuerdo con clusula Quinta, inciso i) la CGR no puede vender ni proveer a terceros bajo ninguna circunstancia, servicios de telecomunicaciones, especcamente transporte de voz, datos y facsmil. Contrato No. 2008-00022 y sus dos Anexos. Informtica Trejos S.A., adquisicin de un administrador de ancho de banda marca Packeteer y su licencia PacketWise y sus actualizaciones para administracin de 10 Mbps, con una garanta de un ao. Contrato 2008-00013.
5.9.7 Acceder a informacin de Base de Datos Sistemas Maestros de Informacin S.A., suscripcin de 20 usuarios para acceder a la base de datos Master Lex Normas y Master Lex Jurisprudencia, su instalacin y sus actualizaciones, con una duracin mxima de tres aos. Incluye frmula para reajuste de precios y un Anexo con las caractersticas de los productos contratados. Contrato 2008-000003. 5.9.8 Administracin de Base de Datos Oracle de Centroamrica S.A., servicio de Soporte Tcnico y actualizacin de productos indicados en la clusula stima, las cuales se brindan conforme a las polticas de servicios de soporte de Oracle Corporation segn Anexo 1, con una duracin de tres aos. Aplican para los productos incluidos en este contrato las leyes y reglamentos de exportacin de los Estados Unidos de Amrica (USA). Contrato No. 2008-000009.
6. Conclusiones
Como es posible apreciar, la cantidad de normativa que aplica a la gestin contractual se convierte en un riesgo alto para la ejecucin, control y seguimiento, en el tanto no se tenga claro y documentado cules son las normas que aplican a dicha gestin. Es por ello que se convierte en un factor clave de xito para nuestra gestin contractual, el repasar constantemente este Marco Jurdico y el mantenerlo actualizado de acuerdo con la normativa o documentos relacionados, as como con base a la generacin de nuevos documentos aplicables a las tecnologas de informacin y comunicacin. Finalmente, se considera que la incorporacin de este Marco Jurdico dentro del sistema de Expediente Electrnico, permitir una mejor observancia del mismo y por ende, minimizar los riesgos asociados al seguimiento normativo en la gestin contractual institucional.
Anexo - NTP16
Informe de gestin 2009-01
Contralora General de la Repblica Normas Tcnicas para la gestin y el control de las Tecnologas de Informacin
Resolucin Nro. R-CO-26-2007, La Gaceta Nro. 119, 21/06/2007 Informe de seguimiento 2009-01 Introduccin
Basados en el cronograma de actividades elaborado para cumplir con la implementacin de las normas tcnicas de acuerdo con la resolucin Nro. R-CO-26-2007 emitida por el Despacho de la Contralora General, en La Gaceta Nro. 199 del 21/06/2007, a continuacin se incluye una descripcin corta de lo realizado al 30 de mayo del 2009, un anexo sobre el cumplimiento de cada una de las normas, y un CD con los productos elaborados a la fecha para su consideracin y recomendaciones.
Actividades ejecutadas
1. Se creo una Comisin Institucional Ad Hoc; como equipo de trabajo, para la elaboracin del plan que permita el cumplimiento de las Normas Tcnicas. El grupo lo coordina la Sra. Sub Contralora General, Lic. Marta Acosta, y lo integran la Licda. Rebeca Caldern y los Lics. Ronald Castro, Jos Alpzar, y Miguel Aguilar, en representacin de las diferentes unidades. 2. Como responsable de la implementacin se design a la Unidad de Sistemas y Tecnologas de Informacin (USTI) representada por Miguel Aguilar, quien coordina reuniones peridicas con los especialistas de las diferentes reas de la USTI, para seguimiento del plan de ejecucin; contando para ello con la asesora de Jos Alpzar. 3. Se mantiene en funcionamiento el Comit Gerencial de Tecnologas de Informacin y Comunicacin (CGTIC), el cual est presidido por la Sub Contralora General.
4. Se elabor un diagnstico de la situacin al 30 de diciembre de 2007, el cual incluye las acciones y productos esperados para el cumplimiento de la normativa y para cerrar la brecha existente, as como el respectivo cronograma. Ambos documentos fueron validados por el CGTIC. 5. Como parte de la promulgacin y divulgacin de un marco estratgico, se impartieron charlas al cuerpo gerencial y a funcionarios sobre el Plan Estratgico en Tecnologas de Informacin y Comunicacin (PETIC), sobre el Plan Tctico (PTAC), y sobre el campo de accin E del Plan Estratgico Institucional. 6. Se aprobaron y actualizaron en el CGTIC las prioridades y los proyectos a desarrollar, de acuerdo con la cartera incluida en el PTAC. Se crearon los equipos de trabajo con sus respectivos lderes, y se les capacit en el uso de herramientas para elaboracin y seguimiento de proyectos; inicialmente, y posteriormente en la elaboracin de casos de uso para levantado de requerimientos y de casos de prueba. 7. Se identicaron y denieron los riesgos generales en TI, se elabor un manual de riesgos para la gestin y valoracin trimestral, y se capacitaron dos funcionarios de USTI en SEVRI. Se est a la espera del estndar institucional a generar por parte de la Divisin de Estrategia Institucional (DEI), para integrar estos riesgos de T.I. con los denidos a nivel de la institucin. Se realiz la primera revisin del documento original con nes de actualizarlo y de seleccin de los riesgos ms relevantes a incorporar en la Gua Metodolgica para desarrollo de proyectos de TI. 8. A efectos de generar productos de calidad, se elabor un documento para la Gestin de Calidad sobre el desarrollo y evolucin de soluciones tecnolgicas, el cual se comenzar a aplicar a partir de su validacin por el CGTIC. 9. Se desarroll y est operando un sistema de informacin para facilitar el registro de solicitudes por servicios relacionados con TI, en aras de mejora continua y control de calidad en TICs.
10. Los proyectos de TI siguen siendo fortalecidos por una participacin cada vez ms comprometida de los patrocinadores, evidente al asumir y mantener la direccin del proyecto y en el aporte de recurso humano calicado. Buscando la estandarizacin en cada equipo, se les brind la induccin necesaria para que apliquen la Gua Metodolgica para desarrollo de proyectos, capacitacin en el uso de la herramienta de software para administracin de proyectos y para la elaboracin de casos de uso en el levantado de requerimientos y desarrollo de pruebas. 11. Respecto a la Gua Metodolgica para el desarrollo de proyectos se realiz en la USTI una revisin de sta, recopilando una serie de mejoras propuestas por el mismo personal que desarrolla aplicaciones. Dichas propuestas sern revisadas para denir su posible incorporacin al nuevo documento de metodologa, que deber estar integrado con la actual metodologa de desarrollo de proyectos al 30 de junio del 2009. 12. Basndonos en la norma ISO-27001, se elabor un Marco de Seguridad en Tecnologas de Informacin a divulgar en la CGR durante el mes de junio del 2009, el cual incluye las Directrices de Seguridad aprobadas y en ejecucin por la CGR. Para efectos de divulgacin; entre otros, se coordin con RH para que como parte de la induccin se incluya lo correspondiente a seguridad en TI. 13. Sobre planicacin de la capacidad en TICs, se trabaja en la elaboracin de un manual; que debe ser evolucionado con base a la experiencia que se genere, el cual estar terminado al 15 de junio del 2009. Este incluir las unidades de medida, mtricas e indicadores bsicos que sustenten las decisiones orientadas hacia la optimizacin y evolucin de la plataforma tecnolgica. 14. Los compromisos de gestin y la elaboracin del PAO se confeccionan alineados a los objetivos estratgicos de la CGR y a la gestin estratgica de TI.
15. Se concluy el desarrollo del modelo de la Arquitectura de Informacin, basndose en la metodologa del Bussines System Planning. El modelo incorpora el nivel base y se continuar con su desarrollo en paralelo a la elaboracin de los procedimientos del MAGEFI. Previamente se gener un diagnstico para dirigir y orientar el desarrollo. 16. Como parte de los proyectos de Maestra, se est desarrollando un Marco Jurdico relacionado con TICs para su aplicacin en la CGR. 17. Est concluida la recopilacin de informacin para obtener el DNC relacionado con TI y su procesamiento estar concluido para el 15 de junio del 2009. 18. En coordinacin con la Unidad de Recursos Humanos se insertaron las competencias tecnolgicas en los distintos puestos de la CGR. 19. En relacin con las directrices de seguridad fsica y ambiental se ha fortalecido el soporte elctrico mediante la instalacin de un transformador exclusivo para el manejo de los aires acondicionados y por la adquisicin e implementacin de una unidad de poder ininterrumpido (UPS) para continuidad de los servicios tecnolgicos. Se instalaron sensores de humo, de temperatura y de incendio, alarmas y alertas por fallas relacionadas con el ambiente, cmaras para el registro de accesos a las reas restringidas y control de acceso, y una unidad de aire acondicionado adicional. En conjunto con la Unidad de Servicios Generales, para nales de abril se espera contar con un mapeo elctrico del Centro de Cmputo que permita distribuir adecuadamente las cargas elctricas en caso de ser necesario. 20. El presupuesto de inversiones del 2010 se elabor con base al PTAC. Al 30 de mayo del 2009 se considera que la implementacin de las normas tcnicas avanza satisfactoriamente y que el ritmo de trabajo permite visualizar el cumplimiento de las mismas en la fecha establecida.
Anexo - NTP17
Estado de las normas tcnicas 20090730
1. Descripcin del Estado de las Normas al 30 de julio del 2009

Producto segn Diagnstico inicial Plan de divulgacin campo de accin E, PETIC, PTAC Manual de gestin de la calidad sobre las reas de accin de TI Elaboracin de riesgos en TIC Cumplido Cumplido Estado actual Cumplido Observaciones La divulgacin de los planes se realiz por medio de charlas al nivel gerencial e institucional y su publicacin en la Intranet.
Norma 1.1 Marco estratgico de TI
1.4 Gestin de la seguridad de la informacin Pendiente Cumplido
Marco de seguridad integral documentado
Cumplido
1.4.1 Implementacin de la seguridad de la informacin Divulgacin y aplicacin del manual de directrices de seguridad Directrices de seguridad fsica y ambiental Directrices de seguridad en la operacin y comunicacin Cumplido Cumplido Cumplido
Plan de divulgacin Niveles de criticidad de los recursos de TI
1.4.2 Compromiso del personal con la seguridad de la informacin 1.4.3 Seguridad fsica y ambiental
El campo de accin E fue eliminado. Se elabor el Marco general para la Gestin de la Calidad en Tecnologas de Informacin y Comunicaciones, el cual debe ser implementado a partir del segundo semestre del 2009. Se elabor el manual que denominado Evaluacin de Riesgos en Tecnologas de informacin y se actualiz al 30 de mayo del 2009. Sus principales riesgos forman parte de la Gua para desarrollo de proyectos en TI y son evaluados para cada proyecto de TI. Se elabor el Marco de seguridad en Tecnologas de Informacin, del cual se debe generar el informe de brechas respecto al estado actual, a efectos de establecer las acciones que estaran cerrando la brecha. Se programar para realizarlo en el segundo semestre del 2009. Se estn registrando en el sistema de contingencias. El sistema se encuentra en produccin desde el primero de julio y en actualizacin constante. . La versin denitiva se libera el 1 de julio. ?? Tenemos hasta junio?? El 30 Se complementar con la divulgacin del marco de seguridad.
1.4.4 Seguridad en la operacin y comunicacin
Se realiz y document un Mapeo Elctrico por la Unidad de Gestin de Apoyo, incluyendo acciones a realizar. Esta UGA debe mantener actualizado el documento. Se tienen sistemas de alarma, de supresin de incendio, detectores de humo y de vdeo vigilancia. Se incorporaron certicados digitales en los servicios sensitivos de acceso al pblico; como declaraciones juradas, acorde con la autenticidad, integridad y condencialidad de las transacciones que requiere la CGR y se documentaron los procedimientos relacionados. Ver sistema de contingencias en la Intranet.
1.4.5 Control de acceso
Directrices de seguridad del control de acceso
Cumplido
1.4.6 Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica Gua metodolgica para el desarrollo de proyectos. Cumplido Cumplido Plan de continuidad Plan de contingencia actualizado para garantizar la continuidad de los servicios de TI Control de acceso a la informacin por parte de proveedores de servicios y de terceros. Administracin de documentos Cumplido
Directrices de seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica.
Cumplido
Mediante un sistema de asignacin de roles y privilegios en uso, no slo se controla el acceso lgico a la informacin, sino que tambin se facilita el seguimiento de las operaciones realizadas por los usuarios de los sistemas de informacin operando. Fsicamente se complementa con los controles de acceso establecidos en coordinacin con la UGA. La UTI cuenta con un ambiente controlado e independiente, destinado a la ejecucin de desarrollo de aplicaciones que aseguren la no interferencia con las operaciones diarias y que garanticen el cumplimiento de los requerimientos de usuario, un ambiente para efectos de pruebas de usuario y capacitacin, as como obviamente el ambiente para sistemas operando. Se implement el sistema de contingencias a partir del 1 de julio
1.4.7 Continuidad de los servicios de TI
1.4.8 El acceso a la informacin por parte de terceros y la contratacin de servicios prestados por stos.
1.4.9 El manejo de la documentacin
1.4.10 La terminacin normal de contratos, su rescisin o resolucin Comit de Salud Ocupacional operando Gua metodolgica para la gestin de proyectos de TI Cumplido Cumplido
Administracin de contratos
Cumplido
1.4.11 La salud y seguridad ocupacional
Para efectos de acceso a la informacin por parte de terceros, se requiere de convenios o contratos previamente establecidos, o de la solicitud del jerarca de una institucin, para la asignacin de un rol que le facilite la consulta controlada, igual en contrato de servicios mediante clusulas de condencialidad. Se realiza por medio del Sistema Integrado de Gestin y Documentos (SIGYD). Los documentos se clasican por tipos documentales y estn disponibles de acuerdo con la tabla de plazos autorizada por el Archivo Nacional. Para TI aplica el estndar establecido en la Metodologa para desarrollo de Proyectos de TI. La UTI mantiene como poltica la administracin de contratos relacionados con TI, a travs de los coordinadores; segn especialidad y anidad, con el objetivo de un control peridico y directo sobre la ejecucin, su continuidad, rescisin o la resolucin del mismo. La CGR cuenta con un Comit de Salud Ocupacional que se ocupa permanentemente de este tema y con el cual se ha coordinado la ergonoma de los puestos de trabajo y su entorno. Metodologa para el desarrollo de Proyectos de Tecnologa Informacin y Comunicaciones. Actualmente en uso para todos los proyectos de TI. Se mantiene en ejecucin la cartera de proyectos aprobada por el Despacho de las seoras Contraloras y que se encuentra incorporado en el PTAC.
1.6 Decisiones sobre asuntos estratgicos de TI Cumplido
Funcionamiento efectivo del Comit Gerencial de Tecnologas de Informacin y Comunicacin Marco jurdico con incidencia en TI disponible, actualizado y aplicado.
Cumplido
2.1 Planicacin de las tecnologas de informacin Compromisos de gestin y PAO alineado al PETIC y PTAC Modelo de arquitectura de informacin nivel 1. Cumplido Cumplido
Seguimiento oportuno a contratos de TI. Seguimiento al PETIC y PTAC Cumplido
Cumplido
Infraestructura tecnolgica alineada a PETIC Plan de capacidad Cumplido
Cumplido
El comit gerencial atiende convocatorias a reuniones, segn sea necesario. Adems, cuenta con un comit Ad hoc para anlisis preliminar de las propuestas de soluciones tecnolgicas. Se elabor un Marco Jurdico bsico- de aplicacin en la CGR, el cual es de actualizacin permanente en trminos de leyes, normativa, resoluciones y contratos, entre otros, con el propsito de evitar posibles conictos legales que lleguen a ocasionar eventuales perjuicios econmicos y de otra naturaleza a la institucin. Se actualizar con un proyecto de maestra del ITEC y se someter a revisin a la DCA. Existe una gestin prctica por rea de la administracin de los contratos en UTI. Seguimiento de proyectos constante a travs de reuniones peridicas con los lderes de proyectos. Proyectos del PTAC fungen como compromisos de gestin de cada rea. Se ha respetado el mecanismo de inclusin de proyectos denido en el PTAC. Los siguientes niveles del modelo de informacin, dependen del desarrollo de la siguiente fase del MAGEFI en lo que respecta a procedimientos, de donde se deben generar los insumos necesarios para los siguientes niveles y para la elaboracin del diccionario de datos. La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI denido en el PETIC. Se elabor el Manual Plan de la Capacidad en TI, que le permitir a la UTI mejorar la actualizacin de su infraestructura tecnolgica a partir del segundo semestre del 2009.
2.4 Independencia y recurso humano de la funcin de TI
Estructura orgnica actualizada acorde con PETIC
Cumplido
Programa de actualizacin, informacin a usuarios
Cumplido
El PETIC garantiza una visin institucional y promueve la independencia funcional en el desarrollo de soluciones tecnolgicas. Actualmente la UTI depende de la Divisin de Gestin de Apoyo y su independencia funcional se ve fortalecida por medio de una participacin directa del Despacho en distintas comisiones ad hoc enfocadas a la funcin de TI en la Institucin, por la existencia de una cartera de proyectos a desarrollar y la existencia del CGTIC Se elabor un estudio para la elaboracin del Plan de Educacin continua en tecnologas de informacin y comunicacin.
2.5 Administracin de recursos nancieros Metodologa para desarrollo de proyectos de TI aplicada institucionalmente Se cuenta con un modelo de Arquitectura de Informacin en su nivel inicial. Las TI se implementan con base a PETIC y PTAC. Software en uso de acuerdo con las necesidades de la institucin Cumplido Cumplido Cumplido Cumplido Cumplido El presupuesto de inversiones de la UTI y sus modicaciones, se deriva del PTAC y es aprobado por el Despacho con base en las recomendaciones que emita el CGTIC y el comit ad hoc de seguimiento al PETIC-PTAC. La cartera de proyectos de TI se desarrolla e implementa con base a esta metodologa y es aplicada por los Patrocinadores y el equipo de trabajo en su totalidad.
Presupuesto de inversiones con base en el PTAC
Cumplido
3.1 Consideraciones generales de la implementacin de TI. La organizacin debe implementar y mantener las TI requeridas en concordancia con su marco estratgico, planicacin, modelo de arquitectura de informacin e infraestructura tecnolgica. 3.2 Implementacin de software
3.3 Implementacin de infraestructura tecnolgica Servicios contratados a terceros con base en estndares institucionales Pendiente Cumplido
Aplicacin de la gua metodolgica para el desarrollo de sistemas Infraestructura tecnolgica alineada al PETIC
3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura 4.1 Denicin y administracin de acuerdos de servicios Identicacin completa y registrada y seguimiento de los servicios de la funcin de TI Diagnstico anual de capacidad, mantenimiento y evolucin de la plataforma tecnolgica
El software que se desarrolla e implementa es con base al PTAC al plan de compras derivado del PETIC, ambos aprobados por el Despacho de las seoras Contraloras. Para todos los proyectos de TI se aplica a nivel institucional la Metodologa para desarrollo de proyectos. La CGR cuenta con una infraestructura tecnolgica adecuada, alineada y actualizada a las necesidades sustantivas y de apoyo, producto de un direccionamiento estratgico en TI denido en el PETIC. Aplica todo lo relacionado a metodologas, guas, procedimientos, organizacin, controles y ambientes de trabajo, entre otros. Se denieron los acuerdos de nivel de servicio a rmar con los Gerentes de Divisin, est pendiente la revisin y rma para su aplicacin y administracin. Se elabor el Manual Plan de la Capacidad en TI para implementar en el segundo semestre del 2009.
4.2 Administracin y operacin de la plataforma tecnolgica.
Polticas y procedimientos revisados y actualizados
Cumplido
En el Sistema de Contingencias, disponible en la Intranet, se encuentran registrados 221 procedimientos asociados con la operacin de la plataforma y los responsables por recurso tecnolgico. De acuerdo con los requerimientos de usuario se asegura la validez de las transacciones mediante funciones tecnolgicas integradas a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atencin de requerimientos de los usuarios de TI
Centro de atencin a usuarios centralizado.
Cumplido
La UTI tiene implementado un sistema de control de cambios que facilita al usuario la solicitud de ajustes o de incorporacin de nuevas funcionalidades a los sistemas que estn operando en la Institucin y disponiendo un sistema para auto servirse o registrar su requerimiento (Ver SOS), o realizando una llamada para registro o servicio remoto en lnea. La UTI atiende estos requerimientos en orden de urgencia, importancia, prioridad y mediante capacitacin dirigida.
Pendiente Cumplido
Se recomienda evolucionar a la implementacin de un centro de atencin de usuarios tipo call center. Se realiz un estudio para desarrollar un Plan de Educacin en TI.
Sistema de conocimiento efectivo que genere aprendizaje y autoservicio Resolver y documentar los incidentes en funcin de la mejora continua
4.6 Administracin de servicios prestados por terceros Evaluacin peridica del PETIC, PTAC Cumplido
Servicios contratados a terceros con base en estndares internacionales
Cumplido
Todo tipo de situacin especial es analizada por funcionarios de la UTI en aras de lograr la mejor solucin y tratndose de incidentes o eventos, estos son registrados en los SCS o de SOS, para minimizar el riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de que se materialice de nuevo. En lo que respecta a servicios de terceros, se establecen los requerimientos como parte del contrato, ya sea en clusulas especcas o anexos del mismo, aplicando buenas prcticas. La organizacin cuenta con un marco de referencia que es el Plan Estratgico Institucional (PEI), el PETIC y PTAC, unidos al Modelo de Arquitectura de Informacin, el Manual General de Fiscalizacin (MAGEFI) como un marco de procesos, la Auditora Interna como un elemento de advertencia y asesora y una Unidad de Gobierno Corporativo que se encarga de darle seguimiento a la funcin de TI; adems del CGTIC y la comisin Ad hoc. Se relaciona con la norma 2.1 La UTI debe rendir cuentas sobre la gestin con base al PTAC y al PAO, adems de que todos los funcionarios de la institucin se convierten en controladores de la buena operacin de la tecnologa en uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento trimestral al cumplimiento del PTAC.
Cumplido Cumplido
Compromisos de gestin y PAO alineados Diseo e implementacin de medidas de control interno en TI, integradas al SCI
5.3 Participacin de la Auditora
Auditora interna auditando, asesorando y recomendando mejoras en materia de TI.
Cumplido
Esta es una labor que se mantiene muy bien ejecutada por la Auditora Interna de la CGR, suministrando recomendaciones de valor agregado para el fortalecimiento del control interno.

Normas Téc en TI y Comunics

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Normas Téc en TI y Comunics

Caricato da

Copyright:

Formati disponibili

Contralora General de la Repblica

Divisin de Gestin de Apoyo Unidad de Tecnologas de Informacin

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Informe nal Versin 1.0.0 Julio 2009

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 3

4 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 5

Normas de Aplicacin General

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 9

Captulo I Normas de Aplicacin General

10 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

1.2 Gestin de la calidad

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 11

1.3 Gestin de riesgos

1.4 Gestin de la seguridad de la informacin

12 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 13

14 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

1.5 Gestin de proyectos

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 15

1.6 Decisiones sobre asuntos estratgicos de TI

16 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 19

Captulo II Planicacin y organizacin

20 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

2.2 Modelo de arquitectura de informacin

2.3 Infraestructura tecnolgica

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 21

2.4 Independencia y recurso humano de la Funcin de TI

22 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

2.5 Administracin de recursos nancieros

Implementacin de tecnologas de informacin

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 25

Captulo III Implementacin de tecnologas de informacin

26 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 27

28 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

3.2 Implementacin de software

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 29

30 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

3.3 Implementacin de Infraestructura tecnolgica

3.4 Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 31

32 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Prestacin de servicios y mantenimiento

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 35

Captulo IV Prestacin de servicios y mantenimiento

36 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

4.2 Administracin y operacin de la plataforma tecnolgica

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 37

38 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

4.3 Administracin de los datos

4.4 Atencin de requerimientos de los usuarios de TI

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 39

4.5 Manejo de incidentes

4.6 Administracin de servicios prestados por terceros

40 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 43

5.2 Seguimiento y evaluacin del control interno en TI

44 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

5.3 Participacin de la Auditora Interna

Productos generados durante el proceso