Maagtic Final

1.
Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones
Unidad de Gobierno Digital

Noviembre, 2009 Marzo de 2010
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

1. NDICE
1 2 3 4 4.1 4.2 5 6 7 7.1 7.1.1 7.1.1.1 7.1.1.2 7.1.1.2.1 7.1.1.2.2 7.1.1.2.3 7.1.1.2.4 7.1.1.3 7.1.1.4 7.1.1.5 7.1.2 7.1.2.1 7.1.2.2 7.1.2.2.1 7.1.2.2.2 7.1.2.2.3 7.1.2.2.4 7.1.2.3 7.1.2.4 7.1.2.5 7.1.3 7.1.3.1 7.1.3.2 7.1.3.2.1 7.1.3.2.2 7.1.3.2.3 7.1.3.2.4 7.1.3.3 7.1.3.4 7.1.3.5 7.2. 7.2.1. 7.2.1.1 7.2.1.3 7.2.1.3.1 7.2.1.3.2 7.2.1.3.3 7.2.1.3.4
NDICE DEFINICIONES Y TRMINOS INTRODUCCIN OBJETIVOS General Especficos MBITO DE APLICACIN/ALCANCE MARCO JURDICO PROCESOS EN MATERIA DE TIC DIRECCIN Establecimiento de la estructura de gobierno de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso Planeacin estratgica de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso Determinacin de la direccin tecnolgica Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso CONTROL Administracin del desempeo de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos
2 9 21 22 22 22 22 23 24 26 26 26 27 27 29 31 31 32 33 33 34 34 35 35 37 41 42 43 43 44 45 45 46 46 48 52 52 53 53 54 55 55 55 56 56 58 62 62
Pg. 2 de 372

7.2.1.3 7.2.1.4 7.2.1.5 7.2.2. 7.2.2.1 7.2.2.2 7.2.2.2.1 7.2.2.2.2 7.2.2.2.3 7.2.2.2.4 7.2.2.3 7.2.2.4 7.2.2.5 7.2.3 7.2.3.1 7.2.3.2 7.2.3.2.1 7.2.3.2.2 7.2.3.2.3 7.2.3.2.4 7.2.3.3 7.2.3.4 7.2.3.5 7.3 7.3.1 7.3.1.1 7.3.1.2 7.3.1.2.1 7.3.1.2.2 7.3.1.2.3 7.3.1.2.4 7.3.1.3 7.3.1.4 7.3.1.5 7.3.2. 7.3.2.1 7.3.2.2 7.3.2.2.1 7.3.2.2.2 7.3.2.2.3 7.3.2.2.4 7.3.2.3 7.3.2.4 7.3.2.5 7.4 7.4.1. 7.4.1.1 7.4.1.2 7.4.1.2.1 7.4.1.2.2 7.4.1.2.2 7.4.1.2.4 7.4.1.3 7.4.1.4 7.4.1.5 Indicadores Reglas del proceso Documentacin soporte del proceso Cumplimiento regulatorio Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso Administracin de riesgos de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso ADMINISTRACIN DE PROYECTOS Administracin de portafolio de proyectos de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso Administracin de proyectos de TIC Objetivo general del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso ADMINISTRACIN DE PROCESOS Operacin del sistema de gestin y mejora de procesos de la UTIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso 63 63 63 64 64 65 65 67 69 70 71 71 72 73 73 74 74 76 79 80 81 82 82 83 83 83 84 84 86 92 92 94 94 95 96 96 97 97 99 104 105 108 109 109 110 110 110 111 111 113 119 119 123 123 124
Pg. 3 de 372

7.5. 7.5.1. 7.5.1.1. 7.5.1.2. 7.5.1.2.1 7.5.1.2.2 7.5.1.2.3 7.5.1.2.4 7.5.1.3. 7.5.1.4. 7.5.1.5 7.5.2 7.5.2.1 7.5.2.2. 7.5.2.2.1 7.5.2.2.2 7.5.2.2.3 7.5.2.2.4 7.5.2.3 7.5.2.4 7.5.2.5 7.5.3 7.5.3.1 7.5.3.2. 7.5.3.2.1 7.5.3.2.2 7.5.3.2.3 7.5.3.2.4 7.5.3.3 7.5.3.4 7.5.3.5 7.6 7.6.1 7.6.1.1 7.6.1.2 7.6.1.2.1 7.6.1.2.2 7.6.1.2.3 7.6.1.2.4 7.6.1.3 7.6.1.4 7.6.1.5 7.6.2 7.6.2.1 7.6.2.2. 7.6.2.2.1 7.6.2.2.2 7.6.2.2.3 7.6.2.2.4 7.6.2.3 7.6.2.4 7.6.2.5 7.7 7.7.1 7.7.1.1 ADMINISTRACIN DE RECURSOS Administracin financiera de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte del proceso Administracin de proveedores Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Adquisiciones de TIC Objetivo del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso ADMINISTRACIN DE SERVICIOS Administracin de portafolio de servicios de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Diseo de servicios de TIC Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso DESARROLLO Y ADQUISICIN DE SOLUCIONES Administracin tcnica de adquisiciones Objetivo general del proceso 125 125 125 126 126 128 132 132 133 134 135 136 136 137 137 139 141 141 143 143 144 145 145 146 146 148 150 150 151 152 152 153 153 153 154 154 156 159 159 161 161 162 163 163 164 164 166 172 172 174 175 175 176 176 176
Pg. 4 de 372

7.7.1.2 7.7.1.2.1 7.7.1.2.2 7.7.1.2.3 7.7.1.2.4 7.7.1.3 7.7.1.4 7.7.1.5 7.7.2 7.7.2.1 7.7.2.2 7.7.2.2.1 7.7.2.2.2 7.7.2.2.3 7.7.2.2.4 7.7.2.3 7.7.2.4 7.7.2.5 7.7.3 7.7.3.1 7.7.3.2 7.7.3.2.1 7.7.3.2.2 7.7.3.2.3 7.7.3.2.4 7.7.3.3 7.7.3.4 7.7.3.5 7.8 7.8.1 7.8.1.1 7.8.1.2 7.8.1.2.1 7.8.1.2.2 7.8.1.2.3 7.8.1.2.4 7.8.1.3 7.8.1.4 7.8.1.5 7.8.2 7.8.2.1 7.8.2.2 7.8.2.2.1 7.8.2.2.2 7.8.2.2.3 7.8.2.2.4 7.8.2.3 7.8.2.4 7.8.2.5 7.8.3 7.8.3.1 7.8.3.2 7.8.3.2.1 7.8.3.2.2 7.8.3.2.3 Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Desarrollo de soluciones tecnolgicas Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Calidad de soluciones tecnolgicas Objetivo general del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso TRANSICIN Y ENTREGA Administracin de cambios Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Liberacin y entrega Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Transicin y habilitacin de la operacin Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles 177 177 179 181 182 184 184 186 187 187 188 188 191 199 200 203 204 207 208 208 209 209 211 216 217 217 218 219 220 220 220 221 221 223 227 228 230 230 231 232 232 233 233 235 238 239 240 240 241 242 242 243 243 245 247
Pg. 5 de 372

7.8.3.2.4 7.8.3.3 7.8.3.4 7.8.3.5 7.8.4 7.8.4.1 7.8.4.2. 7.8.4.2.1 7.8.4.2.2 7.8.4.2.3 7.8.4.2.4 7.8.4.3 7.8.4.4 7.8.4.5 7.9. 7.9.1 7.9.1.1 7.9.1.2 7.9.1.2.1 7.9.1.2.2 7.9.1.2.3 7.9.1.2.4 7.9.1.3 7.9.1.4 7.9.1.5 7.9.2 7.9.2.1 7.9.2.2 7.9.2.2.1 7.9.2.2.2 7.9.2.2.3 7.9.2.2.4 7.9.2.3 7.9.2.4 7.9.2.5 7.9.3. 7.9.3.1. 7.9.3.2. 7.9.3.2.1 7.9.3.2.2 7.9.3.2.3 7.9.3.2.4 7.9.3.3 7.9.3.4 7.9.3.5 7.9.4 7.9.4.1 7.9.4.2 7.9.4.2.1 7.9.4.2.2 7.9.4.2.3 7.9.4.2.4 7.9.4.3 7.9.4.4 7.9.4.5 Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin de la configuracin Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso OPERACIN DE SERVICIOS Operacin de la mesa de servicios Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin de servicios de terceros Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin de niveles de servicio Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin de la seguridad de la informacin Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso 247 247 248 248 249 249 250 250 252 256 257 258 258 259 260 260 260 261 261 265 269 270 272 273 274 275 275 276 276 278 280 281 282 283 284 285 285 286 286 288 289 290 291 292 292 293 293 294 294 296 297 297 301 301 310
Pg. 6 de 372

7.10 7.10.1 7.10.1.1 7.10.1.2 7.10.1.2.1 7.10.1.2.2 7.10.1.2.3 7.10.1.2.4 7.10.1.3 7.10.1.4 7.10.1.5 7.10.2 7.10.2.1 7.10.2.2 7.10.2.2.1 7.10.2.2.2 7.10.2.2.3 7.10.2.2.4 7.10.2.3 7.10.2.4 7.10.2.5 7.10.3 7.10.3.1. 7.10.3.2. 7.10.3.2.1 7.10.3.2.2 7.10.3.2.3 7.10.3.2.5. 7.10.3.3 7.10.3.4 7.10.3.5 7.11 7.11.1 7.11.1.1 7.11.1.2 7.11.1.2.1 7.11.1.2.2 7.11.1.2.3 7.11.1.2.4 7.11.1.3 7.11.1.4 7.11.1.5 7.11.2 7.11.2.1 7.11.2.2 7.11.2.2.1 7.11.2.2.2 7.11.2.2.3 7.11.2.2.4 7.11.2.3 7.11.2.4 7.11.2.5 7.11.3. 7.11.3.1. 7.11.3.2. ADMINISTRACIN DE ACTIVOS Administracin de dominios tecnolgicos Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin del conocimiento Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Integracin y desarrollo del personal Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso OPERACIONES Administracin de la operacin Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Administracin de ambiente fsico Objetivos del proceso Descripcin del proceso Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso Mantenimiento de infraestructura Objetivos del proceso Descripcin del proceso 311 311 311 312 312 314 316 316 317 318 319 320 320 321 321 323 326 326 327 327 328 329 392 330 330 332 336 336 337 338 338 339 339 339 340 340 342 344 344 345 346 346 347 347 348 348 350 353 353 353 354 355 356 356 357
Pg. 7 de 372

7.11.3.2.2. 7.11.3.2.3. 7.11.3.2.4. 7.11.3.2.5. 7.11.3.3 7.11.3.4 7.11.3.5 8 9 10 11 Mapa general del proceso Descripcin de las actividades del proceso Descripcin de roles Descripcin de productos Indicadores Reglas del proceso Documentacin soporte al proceso RGANOS COLEGIADOS ANEXOS/FORMATOS VIGENCIA EMISOR, FECHA Y FIRMA 357 359 361 361 362 363 363 364 365 372 372
Pg. 8 de 372
2. DEFINICIONES Y TRMINOS
CONCEPTO Activo de TIC: DEFINICIN / SIGNIFICADO Se refiere a cualquier informacin, bases de datos, programas de cmputo, bienes informticos fsicos, solucin tecnolgica, sistema o aplicativo relacionado con el tratamiento de la misma, que tenga valor para la organizacin; Mensaje electrnico de datos que se emite o genera, a travs de medios de comunicacin electrnica para acreditar de manera fehaciente la fecha y hora de recepcin de documentos electrnicos relacionados con los actos establecidos por esta ley; Obtencin de las soluciones tecnolgicas orientadas a cubrir requerimientos especficos que se efectuar de acuerdo a los preceptos de las leyes aplicables, sus reglamentos y dems disposiciones en la materia.; Enfoque de las acciones comunes ligadas efectiva y eficientemente, dirigidas hacia la obtencin de las metas, estrategias, objetivos y prioridades de una organizacin; Conjunto de herramientas, utileras, programas, aplicaciones, informacin, facilidades y organizacin que un usuario tiene disponible para el desempeo de sus funciones de manera controlada, en relacin con los accesos y privilegios que tenga asignados por medio de un nombre de usuario y contrasea; Causa potencial de un incidente no deseado, el cual puede causar dao a un servicio de TIC, a la informacin o a la dependencia o entidad; Uso sistemtico de la informacin para identificar fuentes, vulnerabilidades y amenazas, as como la evaluacin de su magnitud o impacto y estimar los recursos necesarios para eliminarlos o mitigarlos; Software especializado, diseado para detectar la mayor cantidad de amenazas informticas que puedan afectar los activos informticos y bloquearlas antes de que infecte un equipo, o para eliminarla tras la infeccin; La direccin general, direccin de rea; subdireccin o jefaturas administrativa u homlogos, de una dependencia o entidad; Proceso sistemtico en el cual se obtienen evidencias que permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una dependencia o entidad; Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema; Proceso mediante el cual se puede constatar si la clave pblica de un mensaje electrnico de datos corresponde a la clave privada con la cual se firm, permitiendo que el mensaje pueda ser interpretado, validando que fue realmente creado por el titular de un certificado digital o que est reconociendo como propio su contenido;
Pg. 9 de 372
Acuse de recibo electrnico:
Adquisicin de TIC:
Alineacin:
Ambiente de trabajo:
Amenaza: Anlisis de riesgos:
Antivirus:
rea administrativa: Auditora de seguridad de la informacin: Autenticacin: Autenticidad:

Bases de datos: Carta de aceptacin de un producto: Conjunto estructurado de datos, gestionado bajo el control de un software denominado manejador de bases de datos; Documento formal donde se confirma que se ha aceptado un producto, despus de haberse comprobado que cumple con los requerimientos definidos al momento de su adquisicin o al inicio de un proyecto de desarrollo o mantenimiento; Registro de datos emitido por una autoridad certificadora que garantiza la autenticidad de los datos de identidad del titular del certificado y lo vincula con su clave pblica; Conjunto de fases de un proyecto que, generalmente son secuenciales, cuyos nombres y nmeros son determinados por las necesidades de control de la organizacin u organizaciones involucradas en el proyecto; Accin que permite, mediante tcnicas matemticas, codificar un documento electrnico para proteger su confidencialidad y que garantiza la integridad de un documento o mensaje electrnico; Conjunto de caracteres que genera el titular del certificado digital de manera exclusiva y secreta para crear su firma digital, asociado a su clave pblica; Conjunto de caracteres contenidos en un certificado digital que permite la identificacin del firmante y la verificacin de la autenticidad de su firma digital, asociado a su clave privada; Grupo de trabajo encargado de establecer las polticas e iniciativas de seguridad de la informacin y verificar que se cumplan; tambin puede ser consultado sobre la actuacin en materia de TIC de la dependencia o entidad;; La caracterstica o propiedad por cual la informacin est disponible o es revelada a individuos o procesos autorizados; Serie de caracteres generada por el usuario, que lo identifica y que junto con la clave de acceso, sirve para acceder a los sistemas electrnicos; Acuerdo vinculante para las partes en virtud del cual el vendedor se obliga a proveer el producto, servicio o resultado especificado y el comprador a pagar por l; Servicio de red que permite a los usuarios enviar y recibir mensajes mediante sistemas de comunicacin electrnica; Identificador nico y personal compuesto por un nombre de usuario y una contrasea con el propsito de acceder a recursos o servicios de TIC; Informacin relativa a una persona fsica, identificada o identificable, relativa a su origen tnico o racial, a las caractersticas fsicas, morales o emocionales, a su vida afectiva y familiar, domicilio, nmero telefnico, patrimonio, ideologa y opiniones polticas, creencias o convicciones religiosas o filosficas, estados de salud fsica o mental, preferencias sexuales u otras anlogas que afecten su intimidad; Del ingls: Statement of Applicability, SoA. Documento que enumera los controles aplicados por el SGSI de la dependencia o entidad, tras el resultado de los procesos de Evaluacin y tratamiento de riesgos, as como su
Pg. 10 de 372
Certificado Digital:
Ciclo de vida del proyecto:
Cifrar o cifrado:
Clave privada: Clave pblica:
Grupo de Seguridad de la Informacin: Confidencialidad: Contrasea: Contrato:
Correo electrnico: Cuenta: Datos personales:
Declaracin de aplicabilidad

justificacin, seleccin y exclusin de los mismos; Dependencias: Disponibilidad: Documento electrnico gubernamental: Las que integran la Administracin Pblica Federal centralizada en trminos de los artculos 1o. y 2o. de la Ley Orgnica de la Administracin Pblica Federal; Caracterstica o propiedad de la informacin, de permanecer accesible para su uso cuando lo requieran individuos o procesos autorizados; Instrumento que contiene datos y/o informacin, enviada, recibida o archivada por medios electrnicos, pticos o de cualquier otra tecnologa, que usa la firma electrnica avanzada para autenticar la informacin que se intercambia entre los servidores pblicos de las dependencias y entidades paraestatales. Esta informacin puede consistir en acuerdos, actas, atentas notas, cartas, circulares, dictmenes, informes, invitaciones, memorandos, minutas, notas informativas, oficios, solicitudes y volantes as como los archivos que se adjunten; Los organismos pblicos descentralizados, empresas de participacin estatal mayoritaria y fideicomisos pblicos que en trminos de la Ley Orgnica de la Administracin Pblica Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administracin Pblica Federal Paraestatal; Producto adquirido, desarrollado o personalizado, que es cuantificable y medible en trminos de su integralidad y capacidades; El trmino evento se usa como alerta o notificacin creada por un servicio de TI, elemento de configuracin o herramienta de monitorizacin. Los eventos requieren normalmente que el personal de operaciones de TI tome acciones, y a menudo conllevan al registro de incidentes;1 Cadena de caracteres que se anexa al nombre de un archivo, usualmente precedida por un punto. Su funcin principal es diferenciar un archivo de otro; Software o hardware que permite evitar accesos no autorizado a un determinado sistema o computadora, conectados a una red; Conjunto de datos y caracteres que permite la identificacin del firmante en los documentos electrnicos o en los mensajes de datos, como resultado de utilizar su certificado digital y clave privada, la cual es creada bajo su exclusivo control por medios electrnicos, y que produce los mismos efectos jurdicos que la firma autgrafa; Caractersticas de un servicio de TIC que permiten que cubra las necesidades o requerimientos de un usuario de TIC; Proceso de identificacin, valoracin, control y minimizacin, de los riesgos que afecten a la informacin de la dependencia o entidad; A las polticas, acciones y criterios para el uso y aprovechamiento de las tecnologas de informacin y comunicaciones, con la finalidad de mejorar la entrega de servicios al ciudadano; la interaccin del gobierno con la industria; facilitar el acceso del ciudadano a la informacin de ste, as como hacer ms eficiente la gestin gubernamental para un mejor gobierno y facilitar la
Entidades:
Entregable: Evento
Extensin de Archivo: Firewall (Corta fuego): Firma digital:
Funcionalidad: Gestin de riesgos: Gobierno digital:
De acuerdo a ITIL
Pg. 11 de 372

interoperabilidad entre las Dependencias y Entidades; Hardware: Incidente: Infraestructura de TIC: Componentes fsicos de tecnologas de la informacin y comunicaciones; Interrupcin no planificada de un servicio de TI o reduccin en la calidad de un servicio de TI.2 Todo el hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorizar, controlar o soportar los servicios de TIC. El trmino infraestructura de TIC incluye todas las TIC pero no las personas, procesos y documentacin asociados; Mantener la exactitud y correccin de la informacin y sus mtodos de proceso; Elementos de conexin que permiten el intercambio de datos, entre procesos, sistemas o hardware; Conjunto de redes de computadoras y equipos fsicamente unidos a travs de medios almbricos o inalmbricos que unen redes o equipos en todo el mundo; Capacidad de los equipos, sistemas y/o arquitecturas tecnolgicas de interactuar y/o intercambiar datos; Accin que una o ms personas realizan para introducirse, sin derecho, en uno o ms sistemas de informacin; El Manual Administrativo de Aplicacin General en materia de Tecnologas de la Informacin y Comunicaciones; Punto de contacto nico, responsable de recibir las solicitudes de servicios de los usuarios de TIC; Arreglo de componentes que ubican al ciudadano como el centro de su estrategia y que integrados e interactuando potencian sus capacidades orientndolas al desarrollo del gobierno hacia la mejora, la automatizacin de procesos, trmites y servicios al ciudadano y sus organizaciones; Los gobiernos de entidades federativas y municipios; los integrantes del Poder Judicial de la Federacin y de las comisiones legislativas del H. Congreso de la Unin; los organismos constitucionales autnomos; Documento en el que se plantea la estrategia, el personal y el conjunto de actividades requeridos para recuperar por completo o parcialmente un servicio, localidad o proceso crtico, en caso de desastre, derivado de un riesgo previsto o no; Evento del cual se plantea una solucin alterna, no se tiene conocimiento de su origen y se espera de una solucin definitiva; El conjunto de actividades relacionadas, orientado al logro de los objetivos y metas institucionales y que en el contexto del las prioridades definidas en el Plan Nacional de Desarrollo, contribuye de una manera particularmente significativa a ampliar la capacidad productiva de un sector econmico y social determinado;
Integridad: Interfaces: Internet: Interoperabilidad: Intrusin: Manual o el Manual: Mesa de servicios: Modelo de gobierno digital:
Organizacin o institucin
Plan de contingencia:
Problema: Proyecto estratgico:
De acuerdo a ITIL
Pg. 12 de 372

Recurso de TIC: Red de comunicaciones: Trmino por el que se designa a la infraestructura, activos, personal especializado, presupuesto o cualquier otro elemento de TIC; El sistema integrado por medios de transmisin, tales como canales o circuitos que utilicen bandas de frecuencias del espectro radioelctrico, enlaces satelitales, cableados, redes de transmisin elctrica o cualquier otro medio de transmisin; Espacio en medio magntico donde se almacena y mantiene la informacin digital, habitualmente bases de datos o archivos informticos; La solicitud electrnica de un certificado digital que contiene la clave pblica y los datos de identificacin del solicitante; Caracterstica que requiere cumplir un producto o entregable asociado a una funcin en un proceso o servicio automatizado, o por automatizar; Amenaza sobre los activos de TIC, que puede ser producto de una vulnerabilidad y causar una prdida o dao en un activo de informacin; Capacidad de preservacin de la confidencialidad, integridad y disponibilidad de la informacin; Las acciones tendientes a garantizar la confidencialidad, integridad y disponibilidad de los activos de TIC; Los medios para entregar valor facilitando resultados que los usuarios, ciudadanos y sus organizaciones quieren lograr sin la propiedad de costos y riesgos especficos; Conjunto de elementos, procesos, procedimientos, herramientas e instrumentos informticos o electrnicos, entre otros, que permiten identificar, realizar, proteger y controlar las comunicaciones, gestiones y trmites del documento electrnico gubernamental, entre los servidores pblicos de las dependencias y entidades; Conjunto ordenado de datos personales que estn en posesin de un sujeto obligado; Conjunto de componentes o programas construidos con herramientas de software que habilitan una funcionalidad o automatizan un proceso, de acuerdo a requerimientos previamente definidos; Software encargado de ejercer el control y coordinar el uso del hardware entre diferentes programas de aplicacin y los diferentes usuarios; Software que es comercializado, es decir, que las compaas que lo producen, demandan un precio por el producto, su distribucin y servicios asociados; Software cuya licencia asegura que el cdigo pueda ser modificado y mejorado por cualquier persona o grupo de personas con las habilidades correctas, el conocimiento es de dominio pblico; El software que un usuario cualquiera tiene la libertad de ejecutarlo, copiarlo, distribuirlo, estudiarlo, modificarlo y/o mejorarlo; El software en el que los usuarios tienen limitadas las posibilidades de usarlo,
Pg. 13 de 372
Repositorio: Requerimiento de certificacin: Requerimientos funcionales: Riesgo: Seguridad de la informacin: Seguridad: Servicios:
Sistema Automatizado de Control de Gestin:
Sistema de datos personales: Sistema o aplicativo:
Sistema operativo: Software comercial: Software de cdigo abierto: Software libre: Software propietario:

modificarlo o redistribuirlo; Software: Subcomisin de Firma Electrnica Avanzada: Es el conjunto de componentes o programas asociados a la operacin de un equipo de TIC, a fin de que el mismo cumpla su funcin; La subcomisin de firma electrnica avanzada, integrada por personal de la Secretara de la Funcin Pblica, la Secretara de Economa y del Servicio de Administracin Tributaria, en trminos del artculo vigsimo del acuerdo por el cual se crea la Comisin Intersecretarial para el Desarrollo del Gobierno Electrnico; Instrumento que contiene un dispositivo electrnico de almacenamiento de informacin para autenticacin de usuarios; La persona que crea sus claves privada y pblica, genera su requerimiento de certificacin y obtiene un certificado digital de firma electrnica avanzada ante una autoridad o agencia certificadora; La solicitud o entrega de informacin que las personas fsicas o morales realicen por medios electrnicos ante una dependencia o entidad, ya sea para cumplir una obligacin, obtener un beneficio o servicio, a fin de que se emita una resolucin, as como cualquier documento que dichas personas estn obligadas a conservar, no comprendindose aquella documentacin o informacin que slo tenga que presentarse en caso de un requerimiento de una dependencia o entidad; Las personas que usan los servicios de TIC en el desempeo de sus funciones; Una actividad que asegura que un servicio de TIC, proceso, plan u otro entregable nuevo o modificado satisface las necesidades del negocio; Actividad que permite revisar si un servicio de TIC, proceso, plan u otro entregable nuevo o modificado, es completo y preciso de acuerdo con su especificacin de diseo; Es un programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este, a fin producir daos que pueden afectar a los sistemas; Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo; Conjunto de protocolos y estndares que sirven para intercambiar datos entre aplicaciones;
Tarjeta Inteligente: Titular de un certificado digital: Trmite electrnico:
Usuarios: Validacin: Verificacin:
Virus informtico:
Vulnerabilidad: Webservices:
Pg. 14 de 372
ACRNIMO AA:
DEFINICIN / SIGNIFICADO Grupo de procesos de Administracin de activos del Marco rector. Agrupa los siguientes procesos: ADT, ACNC e IDP;
AAF:
El proceso de Administracin de ambiente fsico del Marco rector de procesos de este manual;
AC:
Para designar a la autoridad certificadora: las dependencias y entidades de la Administracin Pblica Federal y los prestadores de servicios de certificacin que, conforme a las disposiciones jurdicas, tengan reconocida esta calidad y cuenten con la infraestructura tecnolgica para la emisin, administracin y registro de certificados digitales, as como para proporcionar servicios relacionados con los mismos: El proceso de Administracin de cambios del Marco rector de procesos de este manual;
ACMB:
ACNC:
El proceso de Administracin del conocimiento del Marco rector de procesos de este manual;
ACNF:
El proceso de Administracin de la configuracin del Marco rector de procesos de este manual;
AD:
El proceso de Administracin del desempeo de TIC del Marco rector de procesos de este manual;
ADT:
El proceso de Administracin de dominios tecnolgicos del Marco rector de procesos de este manual;
ADTI:
El proceso de Adquisiciones de TIC del Marco rector de procesos de este manual;
AF:
El proceso de Administracin financiera de TIC del Marco rector de procesos de este manual;
Pg. 15 de 372

AGD: Agenda de Gobierno Digital. Documento que establece las estrategias de desarrollo que est siguiendo el gobierno federal mediante el uso de las TIC, as como fomentar la participacin ciudadana, a travs de las dependencias y entidades de la APF, en colaboracin con los poderes legislativo y judicial, los gobiernos estatales y municipales, la industria, la academia y la sociedad en general; El proceso de Administracin de niveles de servicio del Marco rector de procesos de este manual;
ANS:
AO:
El proceso de Administracin de la operacin del Marco rector de procesos de este manual;
AP:
Grupo de procesos de Administracin de procesos del Marco rector. Agrupa los siguientes procesos: OSGP;
APF:
Administracin Pblica Federal;
APP:
El proceso de Administracin del portafolio de proyectos de TIC del Marco rector de procesos de este manual;
APS:
El proceso de Administracin de proyectos de TIC del Marco rector de procesos de este manual;
APTI:
El proceso de Administracin de proyectos de TIC del Marco rector de procesos del presente manual;
APV:
El proceso de Administracin de proveedores del Marco rector de procesos de este manual;
AR:
Grupo de procesos de Administracin de recursos del Marco rector. Agrupa los siguientes procesos: AF, APV y ADTI;
ARTI:
El proceso de Administracin de riesgos del Marco rector de procesos de este manual;
Pg. 16 de 372

AS: Grupo de procesos de Administracin de servicios del Marco rector. Agrupa los siguientes procesos: APS y DSTI;
ASI:
El proceso de Administracin de la seguridad de la informacin del Marco rector de procesos de este manual;
AST:
El proceso de Administracin de servicios de terceros del Marco rector de procesos de este manual;
ATA:
El proceso de Administracin tcnica de adquisiciones del Marco rector de procesos de este manual;
CIDGE:
La Comisin Intersecretarial para el Desarrollo del Gobierno Electrnico, creada con el objetivo de promover y consolidar el uso y aprovechamiento de las Tecnologas de la Informacin y Comunicaciones en la Administracin Pblica Federal; Configuration Management Database, CMDB por sus siglas en ingls. Base de datos de administracin de la configuracin. Base de datos para almacenar registros de elementos de la configuracin durante su ciclo de vida; Capability Maturity Model, CMM por sus siglas en ingls. Modelo de evaluacin de los procesos de TIC en una organizacin;
CMDB:
CMM:
COBIT:
Control Objectives for Information and related Technology, COBIT por sus siglas en ingls; marco de referencia de mejores prcticas en TIC;
CN:
Grupo de procesos de control del Marco rector. Agrupa los siguientes procesos: AD, CR y ARTI;
CR:
El proceso de Cumplimiento regulatorio del Marco rector de procesos de este manual;
CST:
El proceso de Calidad de soluciones tecnolgicas del Marco rector de procesos de este manual;
Pg. 17 de 372

CN: Grupo de procesos de control del Marco rector. Agrupa los siguientes procesos: AD, CR y ARTI;
DA:
Grupo de procesos de desarrollo y adquisicin de soluciones del Marco rector. Agrupa los siguientes procesos: ATA, DST y CST;
DDT:
El proceso de Determinacin de la direccin tecnolgica del Marco rector de procesos de este manual;
DR:
Grupo de procesos de direccin del Marco rector. Agrupa los siguientes procesos: EEG y PE;
DST:
El proceso de Desarrollo de soluciones tecnolgicas del Marco rector de procesos de este manual;
DSTI:
El proceso de Diseo de servicios del Marco rector de procesos de este manual;
EEG:
El proceso de Establecimiento de la estructura de gobierno de TIC del Marco rector de procesos de este manual;
HTTPS:
Secure HyperText Transfer Protocol, por sus siglas en ingls. Protocolo seguro de transferencia de hipertexto. La aplicacin utilizada para garantizar la seguridad de las comunicaciones entre el usuario y el servidor web al que dicho usuario se conecta; El proceso de Integracin y desarrollo de personal del Marco rector de procesos de este manual;
IDP:
LE:
El proceso de Liberacin y entrega del Marco rector de procesos de este manual;
MI:
El proceso de Mantenimiento de infraestructura del Marco rector de procesos de este manual;
Pg. 18 de 372

OLA: Operating Level Agreement, OLA por sus siglas en ingls. Acuerdo de nivel operativo que se suscribe entre reas internas de una entidad responsable de TIC en una organizacin; El proceso de Operacin de la mesa de servicios del Marco rector de procesos de este manual.
OMS:
OP:
Grupo de procesos de operaciones del marco rector. Agrupa los siguientes procesos: AO, AAF y MI;
OS:
Grupo de procesos de operacin de servicios del marco rector. Agrupa los siguientes procesos: OMS, AST, ANS y ASI;
OSGP:
El proceso de Operacin del sistema de gestin y mejora de procesos del Marco rector de procesos de este manual;
PE:
El proceso de Planeacin estratgica de TIC del Marco rector de procesos de este manual;
PETIC:
Plan Estratgico de Tecnologas de la Informacin y Comunicaciones. El Plan estratgico de tecnologas de la informacin que anualmente elaboran las dependencias y entidades de la APF a travs de sus UTIC.; Grupo de procesos de proyectos. Agrupa los siguientes procesos: APP y APTI;
PR:
SAT:
Servicio de Administracin Tributaria;
SE:
Secretara de Economa;
SFP:
Secretara de la Funcin Pblica;
Pg. 19 de 372

SGSI: La parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la informacin; Por sus siglas en ingls, SLA, Service Level Agreement . El acuerdo o acuerdos de niveles de servicio de una solucin tecnolgica o servicio de TIC;
SLA:
SoA:
Por sus siglas en ingls, SoA, Statement of applicability. Declaraciones o enunciados de aplicabilidad. Elementos de control de seguridad de la informacin utilizado para el establecimiento del SGSI en el Marco rector de este manual. Grupo de procesos de transicin y entrega del marco rector. Agrupa los siguientes procesos: ACMB, LE, THO y ACNF;
TE:
THO:
Proceso de Transicin y habilitacin de la operacin del Marco rector de procesos de este manual;
TIC:
Acrnimo empleado convencionalmente para denominar a las Tecnologas de la Informacin y Comunicaciones;
UC:
Contratos de soporte en el que se definen los objetivos a cumplir, al respecto de los objetivos de nivel de servicio, en un SLA;
UGD:
Unidad de Gobierno Digital, en la Subsecretara de la Funcin Pblica de la Secretara de la Funcin Pblica;
UR:
Unidades Responsables. Se refiere a las unidades administrativas dueas de un proceso, a las que la UTIC les proporciona un servicio.
UTIC:
Para designar a la unidad administrativa de una dependencia o entidad, responsable de proveer de infraestructura y servicios de tecnologas de la informacin y comunicaciones; Por sus siglas en ingls Wide area network, WAN. Red de rea extensa.
WAN:
Pg. 20 de 372
3.
INTRODUCCIN
En el mes de septiembre de 2009, el presidente de los Estados Unidos Mexicanos, Felipe de Jess Caldern Hinojosa, instruy al C. Titular de la Secretara de la Funcin Pblica profundizar las acciones en materia de reforma regulatoria y derogar todos aquellos acuerdos, oficios, decretos o reglamentos cuya necesidad no quedara plenamente justificada, con el propsito de mejorar la eficiencia institucional y la calidad de los servicios que brindan las diversas dependencias y entidades de la Administracin Pblica Federal. El trabajo consisti en la simplificacin de la normatividad que enmarca la operacin de adquisiciones, arrendamientos y servicios; auditora, control, obra pblica, recursos financieros, recursos humanos / servicios personales, recursos materiales y servicios generales, tecnologas de la informacin y transparencia. Para cada una de las temticas mencionadas se especificaron tambin procesos y subprocesos eficientes y eficaces, definiendo responsables de sus actividades y los documentos necesarios para realizarlas. Las definiciones surgieron de un trabajo en equipo en que participaron las unidades normativas, lderes tcnicos de las materias tratadas, reas de auditora para desarrollo y mejora de la gestin pblica de algunos rganos internos de vigilancia y control, quienes fungieron como lderes de los grupos de trabajo, instituciones federales de distinta ndole, que validaron el contenido de los manuales y la Unidad de Polticas de Mejora de la Gestin Pblica, quien coordin los trabajos. La publicacin de nueve instrumentos generales sobre los temas mencionados constituye un importante esfuerzo por eliminar la sobrerregulacin de los procesos de apoyo, imprescindibles para el buen funcionamiento de las instituciones pblicas. El perfeccionamiento de los manuales ser posible incorporando paulatinamente mejores prcticas derivadas de la mejora de la gestin de las dependencias y entidades federales. Los cambios vertiginosos originados durante los ltimos aos por el uso de las tecnologas de la informacin y las comunicaciones han tenido un impacto en diversos aspectos de nuestra sociedad, reflejados en importantes esfuerzos y logros. En el mbito de la Administracin Pblica Federal, las tecnologas de la informacin y comunicaciones han venido a transformar los esquemas tradicionales del quehacer pblico directamente para eficientar los procesos internos y mejorar la entrega de los servicios proporcionados a la ciudadana, para brindarle una mejor calidad de vida. La estrategia de desarrollo del gobierno digital en nuestro pas, coordinada por la Secretara de la Funcin Pblica, a travs de la Unidad de Gobierno Digital, impulsa la utilizacin ptima de las tecnologas de informacin y de comunicaciones para hacer ms eficiente la gestin gubernamental, proporcionar servicios de mayor calidad y oportunidad a la sociedad, transparentar la funcin pblica en todos los mbitos de gobierno y combatir las prcticas de corrupcin al interior de las oficinas gubernamentales. El presente manual administrativo en materia de TIC forma parte del proyecto de Regulacin Base Cero, que tiene como fin eliminar toda aquella regulacin o normatividad que limite o impida a la Administracin Pblica Federal brindar un servicio de forma gil y oportuna a sus ciudadanos y sus organizaciones. Con relacin a los procesos que integran este manual administrativo, se ha diseado un Marco rector de procesos fundamentado en las mejores prcticas, de manera que se tenga una cobertura total de la gestin de las unidades administrativas de tecnologas de la informacin y comunicaciones as como de los servicios que estas reas proporcionan a sus usuarios, tanto al interior del gobierno, como a los ciudadanos y sus organizaciones.
Pg. 21 de 372
4.
OBJETIVOS
Objetivos General.El presente documento forma parte de un conjunto de manuales de aplicacin obligatoria para todas las dependencias y entidades de la administracin pblica federal y tienen por objetivo establecer los procesos, procedimientos, disposiciones normativas, responsables, indicadores y estndares que, respetando el marco legal, eliminen la sobre regulacin y las actividades que no agregan valor. De este modo la operacin institucional de apoyo puede ser ms eficiente, oportuna y transparente.
Especficos.1. Simplificar y homologar el marco normativo de los procesos internos relacionados con las tecnologas de la informacin y comunicaciones. 2. Proporcionar a las dependencias y entidades de la Administracin Pblica Federal la referencia a seguir que homologa la operacin y las regulaciones en materia de tecnologas de la informacin y comunicaciones. 3. Establecer indicadores homologados que permitan medir los resultados, productos, avance o impacto de los procesos de tecnologas de la informacin y comunicaciones, con el fin de brindar recomendaciones e informacin til para la toma de decisiones, la rendicin de cuentas y fomentar el aprendizaje institucional. 4. Contribuir mediante la aplicacin generalizada del presente manual a alcanzar una mayor eficiencia en las actividades y procesos institucionales e interinstitucionales, a partir del quehacer orientado al servicio y satisfaccin del ciudadano.
5.
MBITO DE APLICACIN / ALCANCE
El presente manual es de observancia obligatoria para las dependencias y entidades de la Administracin Pblica Federal, la Procuradura General de la Repblica y las unidades de la Presidencia de la Repblica, salvo las excepciones o regmenes especiales que se sealen de manera expresa en este documento. El presente manual se actualizar de acuerdo a las necesidades de los servicios digitales que la ciudadana requiera, a las de las dependencias y entidades de la Administracin Pblica Federal as como a las del avance tecnolgico, de mejores prcticas y de metodologas de Tecnologas de Informacin y Comunicaciones. La Secretara de la Funcin Pblica, a travs de la Unidad de Gobierno Digital, informar sobre las actualizaciones que se efecten a este manual mediante publicacin en el Diario Oficial de la Federacin y en la pgina electrnica http://www.cidge.gob.mx.
Pg. 22 de 372
6.
MARCO JURDICO
1. La Constitucin Poltica de los Estados Unidos Mexicanos; ltima reforma. D.O.F. 24-08-2009. 2. Ley Orgnica de la Administracin Pblica Federal; ltima reforma D.O.F. 17-06-2009. 3. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y su Reglamento; ltima reforma D.O.F. 28-05-2009. 4. Ley Federal de Presupuesto y Responsabilidad Hacendaria y su Reglamento; ltima reforma D.O.F. 31-122008. 5. Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental y su Reglamento; ltima reforma D.O.F. 06-06-2006. 6. Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos; 7. Ley Federal de Telecomunicaciones y su Reglamento; 8. Ley Federal de las Entidades Paraestatales y su Reglamento; 9. Ley del Servicio Profesional de Carrera y su Reglamento; D.O.F. 09-01-2006. 10. Plan Nacional de Desarrollo 2007-2012. 11. Programa Especial de Mejora de la Gestin en la Administracin Pblica Federal 2008-2012; D.O.F. 10-092008. 12. Agenda de Gobierno Digital. 13. Reglamento Interior de la Secretara de la Funcin Pblica; D.O.F. 15-04-2009. 14. Decreto que establece las medidas de austeridad y disciplina del gasto de la Administracin Pblica Federal; D.O.F. 4-12-2006. 15. Lineamientos Especficos para la Aplicacin y Seguimiento de las Medidas de Austeridad y Disciplina del Gasto de la Administracin Pblica Federal; D.O.F. 29-12-2006. ltima modificacin D.O.F. 14-05-2007. 16. Lineamientos Generales para la Clasificacin y Desclasificacin de la Informacin de las Dependencias y Entidades de la Administracin Pblica Federal; D.O.F. 18-08-2003. 17. Lineamientos Generales para la Organizacin y Conservacin de los Archivos de las Dependencias y Entidades de la Administracin Pblica Federal; D.O.F. 12-02-2004. 18. Lineamientos de Proteccin de Datos Personales y las Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos por el Instituto Federal de Acceso a la Informacin; 19. Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologacin, implantacin y uso de la firma electrnica avanzada en la Administracin Pblica Federal, publicado en el D.O.F., el 24 de agosto de 2006. 20. Reglas Generales para las Tecnologas de Informacin y Comunicaciones.
Pg. 23 de 372
7.
PROCESOS EN MATERIA DE TIC
El presente Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones tiene un enfoque de procesos, por lo que se disearon 31 procesos agrupados en 11 macroprocesos, considerados en 4 niveles de gestin, que, integrados, forman el Marco rector de procesos para las unidades de TIC de las dependencias y entidades de la Administracin Pblica Federal. El Marco rector se muestra en la siguiente figura:
Direccin Establecimiento de la estructura de gobierno de TIC Planeacin estratgica de TIC Determinar la direccin tecnolgica Control Administracin del desempeo de TIC Cumplimiento regulatorio Administracin de riesgos de TIC
Administracin de proyectos Administracin del portafolio de proyectos de TIC Administracin de proyectos de TIC
Administracin de procesos
Operacin del sistema de gestin y mejora de procesos de la UTIC
Administracin de Servicios Administracin del portafolio de servicios de TIC Diseo de servicios de TIC
Administracin de recursos
Administracin financiera de TIC Administracin de proveedores Adquisiciones de TIC
Desarrollo y adquisicin de soluciones

Administracin tcnica de adquisiciones Desarrollo de soluciones tecnolgicas Calidad de soluciones tecnolgicas
Transicin y entrega
Administracin de cambios Liberacin y entrega Transicin y habilitacin de la operacin Administracin de la configuracin
Operacin de servicios
Operacin de la mesa de servicios Administracin de servicios de terceros Administracin de niveles de servicio Administracin de la seguridad de la informacin
Administracin de activos Administracin de dominios tecnolgicos Administracin del conocimiento Integracin y desarrollo de personal
Operaciones Administracin de la operacin Administracin de ambiente fsico Mantenimiento de infraestructura
Figura 1: Marco rector de procesos de tecnologas de informacin y comunicaciones; 31 procesos en 11 grupos especficos
El Marco rector de los procesos de Tecnologas de Informacin y Comunicaciones basa su diseo, y el de los procesos que lo conforman, en las mejores prcticas con aceptacin internacional en la materia, vigentes a la fecha de elaboracin del presente manual. El Marco rector de los procesos de TIC tiene como objetivo fundamental lograr la cobertura total de la gestin, de punta a fin, de las unidades administrativas de Tecnologas de Informacin y Comunicaciones UTIC, de manera que independientemente de la estructura organizacional con que cuenten o que llegaran a adoptar, las funciones se puedan acoplar a los procesos y se logre la cohesin total para una mejor gestin. En la figura 2 se muestran las relaciones principales entre los grupos de procesos del marco rector:
Pg. 24 de 372
Figura 2: Relaciones principales entre los grupos de procesos o macro procesos del Marco rector
Cada uno de los 31 procesos, que conforman los 11 grupos de procesos o macroprocesos, establece interrelaciones entre s de acuerdo a las necesidades propias de cada proceso y de la gestin integral de la UTIC. En el anexo I del captulo 9 se presenta una descripcin general breve de las mejores prcticas y el mbito de influencia en los procesos del Marco rector.
Pg. 25 de 372
7.1
7.1.1. 7.1.1.1. General.-
DIRECCIN
Establecimiento de la estructura de gobierno de TIC Objetivos del proceso
Crear un marco de procesos para apoyar la toma de decisiones de la dependencia o entidad, basada en el anlisis de las oportunidades de aprovechamiento de las TIC y de sus riesgos, as como a promover el uso adecuado de las TIC para contribuir a los objetivos estratgicos de la dependencia o entidad.
Especficos.1. Establecer una estructura para el gobierno de las TIC. 2. Establecer y mantener una estructura organizacional adecuada de la UTIC para desempear las funciones inherentes a las tecnologas de la informacin y comunicaciones, que considere los procesos, y los requerimientos de personal necesarios para ejecutar los procesos correspondientes. 3. Asegurar la transparencia, el control y el compromiso de los mandos medios y de los titulares de las unidades administrativas de la dependencia o entidad en la direccin y control de la inversin y entrega efectiva y eficiente de servicios de TIC. 4. Asegurar que la estructura de gobierno determine las prioridades de inversin en TIC para el mejor aprovechamiento de stas, alineadas a las necesidades de la dependencia o entidad. 5. Cohesionar procesos y estructura en la toma de decisiones, para maximizar la oportunidad y calidad de la toma de decisiones.
Pg. 26 de 372
7.1.1.2 7.1.1.2.1
Descripcin del proceso Mapa general del proceso
Diagrama de flujo de informacin

Manual administrativo de aplicacin general en materia de TIC
EEG-1 Establecer el gobierno de TIC Cuadro de mando integral Informes de desempeo del portafolio de proyectos de TIC Informes de desempeo del portafolio de servicios de TIC Informes directivos de desempeo de TIC Reportes de seguimiento y control del PETIC Presupuesto de TIC priorizado Presiones de gasto.
APS APP PE AF
Documento de integracin y operacin del grupo de trabajo para la direccin de TIC Documento de integracin y operacin del grupo de trabajo estratgico de TIC
Todos los procesos del Marco rector
UR Involucradas Todos los procesos del Marco rector
OSGP Planes de administracin de procesos
EEG-3 Operar y mantener el gobierno de TIC
EEG-2 Establecer y mantener la estructura organizacional
Lista de asuntos y acuerdos directivos
Descripciones de roles y responsabilidades Segregacin de responsabilidades
AD, CR, ARTI, OSGP, AF
Pg. 27 de 372
Diagrama de flujo de actividades
Pg. 28 de 372
7.1.1.2.2
Descripcin de actividades del proceso
EEG-1 Establecer el gobierno de TIC

Descripcin
Factores crticos
Establecer los grupos de trabajo que aseguren la gobernabilidad de las TIC en la dependencia o entidad, incluyendo principalmente la eficiencia en el valor de las TIC, la disponibilidad oportuna de los servicios de TIC y la seguridad de la informacin conjuntamente con la administracin de riesgos. Establecer grupos de trabajo para la implantacin y adopcin de los conceptos de gobernabilidad y gestin de los procesos de TIC basados en sta. 1. Establecer un Grupo de trabajo para la direccin de TIC integrado por titulares de las unidades de responsabilidad de la dependencia o entidad, encabezados el titular de la UTIC. 2. Establecer, definir y comunicar el alcance, objetivos, miembros, roles y responsabilidades del Grupo de trabajo para la direccin de TIC. 3. El Grupo de trabajo para la direccin de TIC deber realizar entre otras actividades las siguientes:

Determinar las oportunidades y los riesgos en el uso de TIC.. Opinar sobre la direccin estratgica de la institucin Dar seguimiento a las inversiones principales en materia de TIC, verificar que se encuentren alineadas a los objetivos estratgicos de la dependencia o entidad, as como al ejercicio del gasto.
4. El Grupo de trabajo para la direccin de TIC deber reportar directamente al titular de la dependencia o entidad. 5. Constituir un Grupo de trabajo estratgico de TIC, integrado por titulares que reportan directamente al titular de la UTIC. 6. Establecer, definir y comunicar el alcance, objetivos, participantes, roles y responsabilidades del Grupo de trabajo estratgico de TIC 7. El Grupo de trabajo estratgico de TIC deber establecer y mantener la estructura organizacional de la UTIC de acuerdo a las necesidades de gobernabilidad de las TIC. 8. Asegurar que cada miembro de los grupos de trabajo constituidos reciban el Documento de integracin del grupo al que pertenezcan, para su conocimiento y entendimiento de los roles que debern desempear y responsabilidades que les son conferidas.
Relacin de productos
Documento de integracin y operacin del grupo de trabajo para la direccin de TIC Documento de integracin y operacin del grupo de trabajo estratgico de TIC
EEG-2 Establecer y mantener la estructura organizacional

Descripcin
Alinear la estructura organizacional de la dependencia o entidad a una estructura organizacional de gobernabilidad en la UTIC, orientada a procesos, que responda a las necesidades de la dependencia o entidad.
Pg. 29 de 372

Factores crticos
1. Establecer los roles y las responsabilidades de los servidores pblicos involucrados en la ejecucin de los procesos de la UTIC, de manera que se delimite la autoridad entre el personal de la UTIC y los usuarios finales. Determinar para cada funcin el conocimiento, experiencia, autoridad, responsabilidad y rendicin de cuentas. Asignar a las funciones uno o ms roles del Sistema de gestin y mejora de procesos de la UTIC. Asignar los roles al personal de la UTIC. Desarrollar descripciones de roles con descripcin de metas clave y objetivos medibles.
2. Implementar la segregacin de responsabilidades. Asegurar que por medio de la segregacin de funciones y responsabilidades se garantice que ningn procedimiento o actividad quede bajo control nico de un mismo servidor pblico: Establecer una divisin de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crtico. Los titulares de las unidades administrativas debern asegurar que el personal realice slo las tareas autorizadas. Identificar y documentar funciones y responsabilidades en conflicto. Asegurar que la segregacin de funciones sea obligatoria.
3. Supervisar. Sustentar la supervisin en el Sistema de gestin y mejora de procesos de la UTIC. Implementar prcticas adecuadas de supervisin dentro de la UTIC para asegurar que los roles y las responsabilidades se ejerzan de forma apropiada. Evaluar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades. 4. Revisar la estructura organizacional de la UTIC de forma peridica, a fin de ajustar los requerimientos de los procesos y de los proyectos de servicios y de soluciones tecnolgicas de TIC. Considerar las circunstancias cambiantes de TIC y del entorno interno y externo de la dependencia o entidad.
Descripciones de roles y responsabilidades Segregacin de responsabilidades
EEG-3 Operar y mantener el gobierno de TIC

Descripcin
Garantizar que las TIC sostienen y extienden las estrategias y objetivos organizacionales de la dependencia o entidad. Integrar e institucionalizar las buenas prcticas para asegurar que las TIC son llevadas adelante por con direccin y gobierno. 1. El Grupo de trabajo para la direccin de TIC deber reunirse como sea necesario para atender los asuntos que le sean enviados por los responsables de los procesos del Marco
Pg. 30 de 372
Factores crticos

rector de procesos de TIC. 2. El Grupo de trabajo para la direccin de TIC podr estar constituido a su vez por varios subgrupos de trabajo de acuerdo a las necesidades y estructura de la dependencia o entidad. 3. El Grupo de trabajo para la direccin de TIC, principalmente, deber: Determinar las prioridades de las iniciativas de inversin de TIC alineadas con la estrategia y prioridades institucionales. Dar seguimiento al estado de las iniciativas y programas de proyectos, as como resolver los conflictos de recursos. Evaluar el cumplimiento a los niveles de servicio de los servicios de TIC.
4. Participar en el proceso de Administracin del portafolio de proyectos, con la responsabilidad de seleccionar y autorizar iniciativas, dar seguimiento y de evaluar el desempeo de dicho proceso. 5. Aprobar y asegurar la efectividad de los controles de alto nivel que provee el Sistema de gestin y mejora de procesos de la UTIC, los indicadores del cuadro de mando integral de TIC y la administracin de riesgos de TIC.
Lista de asuntos y acuerdos directivos TIEMPO TOTAL DEL PROCESO: VARIABLE
7.1.1.2.3
Rol
Descripcin de roles Descripcin Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos, inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los resultados de la UTIC. Debe asegurar la direccin y el control de los procesos y servicios de TIC. Grupo formado por titulares que reportan al titular de la UTIC. Este grupo toma decisiones estratgicas y directivas, referentes a su estructura organizacional, vigilando que la misma se encuentre orientada a procesos y a una efectiva gobernabilidad. El cargo de nivel ms alto de atribuciones y responsabilidad de la UTIC en la dependencia o entidad.
Grupo de trabajo para la direccin de TIC
Grupo de trabajo estratgico de TIC Titular de la UTIC
7.1.1.2.4
Producto
Descripcin de productos Descripcin Documento que define el alcance, objetivos, participantes, roles y responsabilidades del
Pg. 31 de 372
Documento de
Producto integracin y operacin del grupo de trabajo para la direccin de TIC Documento de integracin y operacin del grupo de trabajo estratgico de TIC Descripciones de roles y responsabilidades
Descripcin Grupo de trabajo para la direccin de TIC. Incluye los procedimientos para la operacin del Grupo de trabajo para la direccin de TIC. Documento que define el alcance, objetivos, participantes, roles y responsabilidades del Grupo de trabajo para estratgico de TIC.
Documento que define, en una matriz de asignacin, los roles y responsabilidades para las actividades clave de un proceso. Esta matriz conoce como RACI, acrnimo de sus siglas en ingls: Responsible, Accountable, Consulted and Informed, en sta se definen a los responsables de rendir cuentas, de ejecutar, a los involucrados que son consultados y a aquellos que deben ser informados.
Segregacin de responsabilidades
Documento que contiene criterios para identificar y prevenir irregularidades en la gestin de los procesos originados por roles y responsabilidades indebidamente asignados y/o ejecutados. Este documento es una de las bases para el desarrollo del Documento de roles y responsabilidades.
Lista de asuntos y acuerdos resultantes de las sesiones del Grupo de trabajo para la direccin de TIC.
7.1.1.3
Indicadores
Frecuencia de clculo
Nombre Resultados del Grupo de trabajo para la direccin de TIC al respecto del PETIC
Objetivo Obtener la eficacia del proceso con referencia en el PETIC
Descripcin
Dimensin
Tipo
Frmula
Responsable
Resultados del Grupo de trabajo para la direccin de TIC al respecto del Portafolio de proyectos
Obtener la eficacia del proceso con referencia en el impacto al Portafolio de proyectos de TIC
Medir la Eficacia eficacia del Grupo de trabajo para la direccin de TIC a travs de las mejoras en el PETIC Eficacia Medir a eficacia del Grupo de trabajo para la direccin de TIC a travs de las mejoras en el
Estratgico % eficacia= Grupo para la Semestral (nmero de mejoras direccin de que afectan al TIC PETIC / nmero de asuntos tratados en las reuniones del Grupo) X 100
Estratgico % eficacia= Grupo para la Semestral (nmero de mejoras direccin de que afectan al TIC Portafolio de proyectos / nmero de asuntos tratados en las reuniones del Grupo) X 100
Pg. 32 de 372
Nombre
Objetivo
Descripcin Portafolio de proyectos de TIC
Dimensin
Tipo
Frmula
Responsable
Avance en la implantacin del gobierno de TIC
Determinar la eficacia del Grupo de trabajo estratgico de TIC
Medir el grado de avance en las acciones realizadas para la implantacin del gobierno de TIC
Eficacia
Estratgico % avance= (numero de acciones realizadas para la implantacin del gobierno de TIC/ nmero total de acciones planeadas para implantar el gobierno de TIC) X 100
Grupo de trabajo estratgico de TIC
Semestral
7.1.1.4 1.1
Reglas del proceso La dependencia o entidad, a travs de la UTIC, deber establecer un Grupo de trabajo para la direccin de TIC con el propsito de ejercer el gobierno de las TIC en la dependencia o entidad, en cuanto se refiere a determinar las prioridades de inversin en materia de TIC, dirigir las acciones para el cumplimiento del PETIC, cuidar el ejercicio del gasto en materia de TIC con respecto a los objetivos de la dependencia o entidad, dirigir las acciones para asegurar la gestin adecuada de los procesos en los niveles de desempeo esperados y orientar las acciones de mejora que impacten a la UTIC y se aprovechen en la totalidad de la dependencia o entidad. La dependencia o entidad, a travs de la UTIC, deber establecer el Grupo de trabajo estratgico de TIC con el propsito de ejercer el gobierno de las TIC en cuanto se refiera al establecimiento de las estructuras organizacionales necesarias para la operacin armoniosa de los procesos de la UTIC, por medio de la definicin de roles y responsabilidades y la segregacin de funciones. El Grupo de trabajo estratgico de TIC, debe asegurar que la estructura establecida permita un gil control, aseguramiento de la calidad, administracin de riesgos y seguridad de la informacin. En el Documento de integracin y operacin del Grupo de trabajo para la direccin de TIC, se deber asentar que los miembros titulares debern tener, al menos, el nivel de titulares de unidad u homlogos y, para el caso de los suplentes, stos debern estar necesariamente en el nivel inferior siguiente al miembro titular. En el Documento de integracin y operacin del Grupo de trabajo estratgico de TIC, se deber asentar que los miembros titulares debern estar, necesariamente en el nivel inferior siguiente al del titular de la UTIC y, para el caso de los suplentes, stos debern estar, necesariamente, en el nivel inferior siguiente al miembro titular.
1.2
1.3 1.4
1.5
7.1.1.5
Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, de la notacin utilizada para los diagramas del proceso.
Pg. 33 de 372
7.1.2 7.1.2.1 General.-
Planeacin estratgica de TIC Objetivos del proceso
Asegurar la contribucin de las TIC al logro de los objetivos de la dependencia o entidad mediante la elaboracin de un PETIC participativo, alineado a las directrices y disposiciones de los planes y programas federales.
Especficos.1. Identificar los objetivos y prioridades de la dependencia o entidad con la finalidad de proponer proyectos eficaces e innovadores, considerando especialmente aquellos relacionados con la mejora sustancial de los trmites y los servicios pblicos. 2. Identificar las oportunidades y riesgos para el cumplimiento de los objetivos estratgicos de la dependencia o entidad en materia de TIC, mediante el anlisis del entorno y de la organizacin. 3. Establecer los mecanismos y temticas a considerar para elaborar y operar el PETIC, especialmente estimaciones del presupuesto de la inversin por proyecto, de los beneficios esperados, de las fuentes de financiamiento y de la estrategia de adquisicin. 4. Instrumentar los mecanismos para asegurar que el personal de la UTIC entienda cabalmente el PETIC de la institucin.
5. Establecer un cuadro de mando integral para controlar el cumplimiento del PETIC, que incluya las
perspectivas financieras, de usuarios, de procesos, de crecimiento y de aprendizaje.
Pg. 34 de 372
7.1.2.2 7.1.2.2.1
x
EEG
PE-1 Analizar el entorno de la dependencia o entidad en materia de TIC
Matriz FODA
PE-2 Establecer la misin, visin y estrategias de la UTIC
Documento estratgico de TIC
PE-3 Desarrollar el cuadro de mando integral y mapa estratgico de la UTIC
Mapa estratgico de la UTIC Cuadro de mando integral
AD
PE-4 Identificar las iniciativas y/o proyectos estratgicos de la UTIC Repositorio de iniciativas/proyectos ACNC APP Portafolio de proyectos de TIC Inform e de desempeo del portafolio de proyectos de TIC Iniciativas y/o proyectos estratgicos de la UTIC
PE-5 Establecer y mantener el PETIC
PE-6 Supervisar al PETIC Plan estratgico de la UTIC (PETIC)
Reportes de seguimiento y control del PETIC
APP EEG
Pg. 35 de 372
Pg. 36 de 372
7.1.2.2.2
Descripcin de las actividades del proceso
PE-1 Analizar el entorno de la dependencia o entidad en materia de TIC Descripcin Identificar y analizar los factores que conforman el entorno de la organizacin en materia de TIC y la situacin actual. Esto incluye los elementos regulatorios, normativos y tecnolgicos que influyen en la ejecucin de las actividades y servicios que brinda la UTIC en apoyo a las funciones sustantivas de la dependencia o entidad. 1. Realizar un anlisis de fortalezas, oportunidades, debilidades y amenazas que influyen en el cumplimiento de las funciones de la dependencia o entidad en materia de TIC. 2. Considerar para el anlisis, las disposiciones del Plan Nacional de Desarrollo vigente, los programas sectoriales y especiales que apliquen, la Agenda de Gobierno Digital, as como los programas, que de manera general, emita la Secretara de la Funcin Pblica. 3. Identificar los principales hechos o eventos del ambiente externo que podran representar alguna amenaza u oportunidad para la dependencia o entidad. Algunos factores a considerar pueden ser: legales, regulatorios, polticos, econmicos, sociales, tecnolgicos, entre otros. Identificar a travs del anlisis del ambiente externo las principales oportunidades (situaciones externas positivas que se generan en el entorno y que una vez identificadas pueden ser aprovechadas para generar valor). Identificar a travs del anlisis del ambiente externo las principales amenazas (situaciones negativas, externas a la dependencia o entidad, que puedan afectar el cumplimiento de sus objetivos, planes y proyectos; llegado el caso, puede ser necesario disear una estrategia adecuada para enfrentarlas).
Factores crticos
4. Identificar las principales fortalezas y debilidades de la dependencia o entidad para el cumplimiento de sus objetivos y funciones. Algunos factores a considerar pueden ser: disponibilidad de recursos tecnolgicos, y financieros, personal, activos, procesos, calidad de la infraestructura y/o de servicios, estructura interna y percepcin de los usuarios). Identificar durante el anlisis del ambiente interno las principales fortalezas (elementos internos y positivos que le dan ventaja a la dependencia o entidad, para cumplir con sus funciones de manera efectiva y eficiente). (problemas internos que constituyen barreras para lograr un mejor desempeo de la dependencia o entidad, que una vez identificados y desarrollando una adecuada estrategia pueden eliminarse).
Relacin productos de
Identificar durante el anlisis del ambiente interno las principales debilidades
Matriz de fortalezas, oportunidades, debilidades y amenazas.
PE-2 Establecer la misin, visin y estrategias de la UTIC

Descripcin Factores
Establecer, documentar y comunicar la misin y visin de TIC, que transmita de manera efectiva los propsitos y objetivos de la UTIC. 1. Establecer la misin de la UTIC en la dependencia o entidad.
Pg. 37 de 372

crticos
La misin deber describir de manera clara y concreta el objetivo fundamental que persigue la UTIC, a fin de lograr el compromiso inmediato de los miembros que la conforman.
2. Establecer la visin de la UTIC. La visin de la UTIC deber describir de manera breve, la situacin deseada que busca alcanzar la UTIC a largo plazo, esta visin debe describir el futuro de la UTIC, ser fcil de recordar y estar alineada a los objetivos estratgicos. La visin de la UTIC, deber ser elaborada pensando en el escenario ideal de desempeo de manera efectiva, en el cumplimiento de sus objetivos y en la alineacin de sus planes.
3. Documentar y difundir la misin y visin de la UTIC. La misin y visin de la UTIC debern estar documentadas formalmente y aprobadas por el titular de la dependencia o entidad y por el Grupo de trabajo para la direccin) La misin y visin de la UTIC debern ser difundidas y comunicadas constantemente a todos los miembros de la dependencia o entidad.
4. Obtener el compromiso sobre la misin y visin de la UTIC.

Se deber obtener el compromiso sobre la misin y visin de la UTIC por parte del Grupo de trabajo para la direccin de TIC. Se debern realizar actividades continuas que busquen transmitir y sensibilizar a los servidores pblicos para trabajar alineados a la misin y visin de la UTIC Documento estratgico de TIC
PE-3 Desarrollar el cuadro de mando integral y mapa estratgico de la UTIC

Descripcin
Factores crticos
Establecer objetivos y metas claras a partir de la estrategia operacional de la UTIC, mediante el diseo e implementacin de un cuadro de mando integral de TIC que abarque la perspectiva financiera, de usuario o cliente, de procesos, de desarrollo de personal y de aprendizaje. 1. Analizar la situacin actual y obtener informacin. 2. Analizar y determinar las funciones sustantivas de la dependencia o entidad. 3. Identificar las necesidades 4. Disear un mapa estratgico Analizar la perspectiva financiera: analizar los factores crticos que permitan tener una situacin econmica saludable en la UTIC; esto incluye el uso adecuado de los recursos financieros, el anlisis del costo de operacin de los servicios de TIC y, en su caso, la salud financiera de la UTIC. Analizar la perspectiva de cliente o usuario: analizar los factores crticos que permiten mantener niveles de satisfaccin adecuados de los usuarios de los servicios de TIC proporcionados por la dependencia o entidad. Analizar la perspectiva de procesos: analizar los factores crticos que permitan mantener procesos y procedimientos adecuados para operar de manera efectiva,
Pg. 38 de 372

eficiente y con un adecuado nivel de control, a fin de cumplir con las necesidades de los usuarios de los servicios de TIC. Analizar la perspectiva de desarrollo de personal y de aprendizaje: analizar los factores crticos que permitan desarrollar las capacidades del personal de la dependencia o entidad y el conocimiento necesario para ejecutar los procesos y procedimientos empleados para operar en la dependencia o entidad. Analizar las relaciones y dependencias entre los elementos de las cuatro perspectivas.
5. Identificar las variables e indicadores crticos en cada una de las perspectivas. 6. Establecer la correspondencia eficaz y eficiente entre las variables crticas y las medidas precisas para su control en un mapa estratgico de la UTIC 7. Configurar un cuadro de mando integral.
Mapa estratgico de la UTIC Cuadro de mando integral
PE-4 Identificar las iniciativas y/o proyectos estratgicos de la UTIC

Descripcin
Factores crticos
Identificar las principales iniciativas y/o proyectos que deben ser ejecutados por la dependencia o entidad, para cumplir con los objetivos estratgicos de la dependencia o entidad y el mapa estratgico de TIC. 1. Analizar los objetivos estratgicos de la dependencia o entidad y el mapa estratgico de la UTIC. Antes de definir iniciativas, proyectos o presupuestar recursos para las actividades diarias de la dependencia o entidad, se debern analizar los objetivos estratgicos de la dependencia o entidad y el mapa estratgico de la UTIC.
2. Determinar las iniciativas y/o proyectos estratgicos de TIC necesarios para cumplir con los objetivos estratgicos de la dependencia o entidad. Realizar una lista y priorizar las iniciativas y/o proyectos estratgicos de TIC, a fin de cumplir con las funciones sustantivas y los objetivos estratgicos de la dependencia o entidad. Para cada iniciativa y/o proyecto estratgico de TIC se deber identificar informacin, de acuerdo a lo que se establezca en el proceso de Administracin de portafolio de proyectos de TIC.
3. Estimar el presupuesto de alto nivel requerido por la iniciativa y/o proyectos estratgicos de la UTIC. Para cada iniciativa y/o proyecto estratgico de la UTIC, se deber estimar el presupuesto y los recursos necesarios para su ejecucin. Este presupuesto deber considerar los recursos financieros para la contratacin de los servicios, o en su caso, la adquisicin, puesta en operacin y mantenimiento de la solucin tecnolgica y/o el servicio de TIC. De igual forma se deber estimar el esfuerzo interno y/o recursos humanos necesarios para adquirir, supervisar y administrar la solucin tecnolgica o el servicio de TIC.
Pg. 39 de 372

4. Integrar las iniciativas y/o proyectos estratgicos al Portafolio de proyectos de TIC para su evaluacin, seleccin y autorizacin. Se deber priorizar las iniciativas y/o proyectos estratgicos de la UTIC, con base en su relevancia respecto a los objetivos estratgicos y funciones sustantivas. Se deber realizar un anlisis para asignar el nivel de prioridad de atencin de las iniciativas y/o proyectos estratgicos de la UTIC. Se deber ponderar como de mayor relevancia aquellos proyectos de la UTIC que permitan cumplir los objetivos estratgicos de la dependencia o entidad, aporten mayor valor a los ciudadanos y a sus organizaciones, permitan mejorar los trmites y servicios ciudadanos y cumplan con los aspectos legales y regulatorios. Iniciativas y/o proyectos estratgicos de la UTIC
PE-5 Establecer y mantener el PETIC

Descripcin
Factores crticos
Disear, documentar y mantener el Plan estratgico de la UTIC que permita establecer los objetivos, misin, visin y lneas de accin estratgicas en materia de TIC, que guen las actividades de la dependencia o entidad a corto, mediano y largo plazo. 1. Documentar la informacin relativa a la planeacin estratgica de la UTIC de la dependencia o entidad. El PETIC deber contener informacin relativa a los siguientes aspectos: a. Misin y visin de la UTIC b. Objetivos, descripcin y beneficios de la implementacin del proyecto c. Anlisis del ambiente externo e interno d. Riesgos e impacto del proyecto e. Portafolio de iniciativas y/o proyectos estratgicos de la UTIC autorizados f. Presupuesto estimado g. Priorizacin de iniciativas y/o proyectos estratgicos de la UTIC h. Mecanismos de comunicacin i. j. Descripcin de roles y responsabilidades Mecanismos de seguimiento
Todos estos, y otros adicionales, segn sean integrados a la herramienta de registro y seguimiento del PETIC denominada DAS-IT. 2. Revisar y validar el Plan estratgico de la UTIC El personal clave de la dependencia o entidad, deber participar en la elaboracin y revisin del Plan estratgico de la UTIC. Es recomendable que la elaboracin del Plan estratgico de la UTIC, se realice mediante sesiones de trabajo formales con la participacin del Grupo de trabajo para la direccin de TIC conformado en el proceso de Establecimiento de la estructura de gobierno de TIC. En estas sesiones participa personal clave de las reas involucradas,
Pg. 40 de 372

que incluye de ser posible a representantes de las reas usuarias y/o normativas que influyen en los requerimientos tecnolgicos y/o que sean receptores de los servicios o soluciones tecnolgicas que la dependencia o entidad produce y opera El Plan estratgico de la UTIC deber ser revisado de acuerdo a las decisiones de financiamiento y autorizacin del Portafolio de proyectos de TIC.
3. Aprobar el Plan estratgico de la UTIC El Plan estratgico de la UTIC deber ser aprobado y firmado por los mandos superiores de la dependencia o entidad.
4. Mantener el Plan estratgico de la UTIC El Plan estratgico de la UTIC deber ser revisado y mantenerse actualizado y vigente. El Plan estratgico de la UTIC, podr ser actualizado cuando: la estrategia cambie significativamente, la situacin externa y/o interna afecte el cumplimiento de los objetivos, se requiera afinar la estrategia definida, exista un cambio en la administracin de la dependencia o entidad, a fin de obtener nuevamente el compromiso de los mandos superiores. PETIC.
PE-6 Supervisar al PETIC

Descripcin Factores crticos
Supervisar peridicamente los avances en el cumplimiento del Plan estratgico de la UTIC 1. Dar seguimiento de manera planeada al PETIC y reportar trimestralmente su avance. 2. Informar peridicamente a los mandos superiores sobre el cumplimiento de las lneas de accin del Plan estratgico de la UTIC y la situacin que guardan los indicadores del cuadro de mando integral. 3. Identificar, registrar y administrar las acciones correctivas en caso de desviacin. 4. Registrar y dar seguimiento a los acuerdos con los mandos superiores. 5. Implementar un sistema de medicin para evaluar el desempeo de la incorporacin de las TIC que permita la mejora continua del gobierno.
Reportes de seguimiento y control del PETIC
TIEMPO TOTAL DEL PROCESO: VARIABLE
7.1.2.2.3
Rol
Descripcin de roles
Descripcin
Director general /alta direccin Responsable de la UTIC
Es responsable de asegurar que las actividades de planeacin estratgica se desarrollen en la dependencia o entidad Participar y coordinar las sesiones de planeacin estratgica de la UTIC y ejecutar sus actividades de acuerdo a lo definido en el PETIC
Pg. 41 de 372

Responsable de la planeacin de la UTIC Grupo de trabajo para la direccin de TIC
Realizar investigacin y anlisis tecnolgico y generar estrategias de TIC, as como convocar a los responsables de las reas administrativas clave, para definir conjuntamente el PETIC de la dependencia o entidad. Equipo responsable de definir y establecer la visin y la misin de la UTIC
7.1.2.2.4
Producto
Descripcin de productos
Descripcin
Matriz de fortalezas, oportunidades, debilidades y amenazas (FODA) Documento estratgico de TIC PETIC
Contiene la informacin de fortalezas y debilidades (FODA, por sus siglas), resultado del anlisis del entorno interno as como, las amenazas y oportunidades resultado del anlisis del entorno externo.
Documenta la visin y misin revisadas y aprobadas por el titular de la dependencia o entidad Documenta la informacin relativa a la planeacin estratgica de la UTIC de una dependencia o entidad, que describe al menos los siguientes aspectos: a) Anlisis del ambiente externo e interno b) Misin y visin de la UTIC c) Inventario de iniciativas estratgicas d) Portafolio de proyectos autorizados e) Presupuesto f) Priorizacin de iniciativas y proyectos g) Mecanismos de comunicacin h) Mecanismos de seguimiento, control y evaluacin
Mapa estratgico de la UTIC
Describe de manera grfica la estrategia de la dependencia o entidad desde las siguientes perspectivas: a) Perspectiva financiera b) Perspectiva del usuario c) Perspectiva de procesos d) Perspectiva de desarrollo de personal y aprendizaje
Cuadro de Describe de manera cuantitativa las metas y los indicadores que permiten medir el mando integral cumplimiento de la estrategia de la dependencia o entidad desde las siguientes perspectivas:
a) Perspectiva financiera b) Perspectiva del usuario

Pg. 42 de 372
Producto
Descripcin
c) Perspectiva de procesos d) Perspectiva de desarrollo de personal y aprendizaje

Iniciativas y/o proyectos estratgicos de la UTIC Reportes de seguimiento y control del PETIC
Documento que contiene la relacin de iniciativas y/o proyectos estratgicos. Identificados, en su oportunidad evaluados y autorizados. Son sustento a la estrategia de la dependencia o entidad. Contiene, al menos, la informacin documentada de acuerdo a lo que se establezca en la ejecucin del proceso de Administracin del portafolio de proyectos. Documento que contiene la evidencia de la realizacin de sesiones de presentacin de avances sobre el cumplimiento del PETIC de la UTIC a los mandos medios y superiores; dichos reportes debern contener informacin relativa a: a) Fecha y participantes b) Situacin actual de los indicadores del cuadro de mando integral c) Identificacin de desviaciones en caso de existir
d) Registro y estado de las acciones correctivas
7.1.2.3.
Nombre Oportunidad en la elaboracin y entrega del PETIC
Indicadores:
Objetivo Medir la oportunidad de elaboracin y entrega del PETIC Descripcin Conocer la oportunidad con la que fue elaborado y entregado a la SFP el PETIC Obtener la medicin de la calidad del PETIC en base al numero de ajustes efectuados por situaciones o riesgos no considerados Dimensin Eficiencia Tipo De gestin Frmula Entrega en tiempo Responsable Titular de la UTIC Frecuencia de clculo Anual
Elaboracin del PETIC
Medir la calidad del PETIC
Calidad
De gestin
(nmero de ajustes al PETIC por riesgos no considerados / nmero de ajustes totales) * 100
Titular de la UTIC
Trimestral
7.1.2.4 1.1
Reglas del proceso Garantizar una planeacin estratgica eficiente, sta deber incluyendo las directrices del modelo de gobierno digital y las estrategias planteadas en la Agenda de Gobierno Digital.
Pg. 43 de 372

1.2 1.3 1.4 1.5 La UTIC deber presentar a la UGD el PETIC a travs del sistema que establezca la UGD para tal efecto. La UTIC deber asegurar la correcta direccin sobre las prioridades de los proyectos. El titular de la UTIC deber asegurar la comunicacin y entendimiento del PETIC al personal de las reas de la UTIC de manera formal. La UTIC deber establecer un cuadro de mando integral con indicadores que permitan dar seguimiento al cumplimiento de los objetivos y las estrategias definidas en el documento estratgico de TIC y en el PETIC. Las dependencias y entidades de la APF debern mantener actualizada a la UGD acerca del avance en el PETIC y su proceso de Planeacin estratgica de TIC, de acuerdo a las fechas que establezca la UGD para tal efecto. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante este mismo proceso. Documentacin soporte del proceso
1.6
1.7 1.8 1.9 7.1.2.5
Se hace referencia en el anexo II del captulo 9, de la notacin utilizada para los diagramas del proceso.
Pg. 44 de 372
7.1.3. 7.1.3.1.
Determinacin de la direccin tecnolgica Objetivos del proceso
Generales.Determinar la direccin tecnolgica de la institucin para crear una arquitectura tecnolgica que facilite la seleccin, el desarrollo, la aplicacin y el uso de la infraestructura de TIC, de manera que sta responda a la dinmica de la dependencia o entidad.
Especficos.1. Determinar los requerimientos tecnolgicos derivados de las necesidades de la dependencia o entidad que debern ser incorporados en la creacin de la arquitectura tecnolgica. 2. Definir un modelo para la arquitectura tecnolgica que incluya los diversos dominios tecnolgicos necesarios para estandarizar y evolucionar la infraestructura de TIC, de manera que cuente con la capacidad necesaria para satisfacer las necesidades actuales y futuras de la dependencia o entidad. 3. Asegurar que el Plan de tecnologa tenga un balance entre necesidades, innovacin, beneficios, riesgos y costos y dirija a la dependencia o entidad hacia el desarrollo de nuevas formas de cumplir con sus objetivos sustantivos.
Pg. 45 de 372
7.1.3.2 7.1.3.2.1

PETIC Portafolio de proyectos de TIC Portafolio de servicios de TIC Plan de capacidad de recursos de TIC Paquete de diseo de servicios DDT-1 Establecer el Grupo de trabajo de arquitectura tecnolgica
PE APP APS DSTI
Lista de asuntos y acuerdos del grupo de trabajo de arquitectura tecnolgica
DDT-2 Determinar la visin de la tecnologa Principios de dominios tecnolgicos Directrices rectoras para la arquitectura tecnolgica MI
ADT
ADT ACNC
Plan de aprovisionamiento de infraestructura
Repositorio de requerimientos tecnolgicos administrado DDT-3 Elaborar y actualizar el Plan de tecnologa DDT-4 Dar seguimiento a tendencias futuras y disposiciones normativas
Mecanismo de seguimiento a los desarrollos y tendencias tecnolgicas
Grupos de procesos de DR, CN y AS
Plan de capacidad de recursos de TIC
Plan de tecnologa Plan de continuidad de servicios de TIC
DDT-5 Administrar los requerimientos tecnolgicos
ADT
DST I
Pg. 46 de 372
Pg. 47 de 372
7.1.3.2.2
DDT-1: Establecer el Grupo de trabajo de arquitectura tecnolgica

Proporcionar las directrices sobre la arquitectura tecnolgica, asesora sobre su aplicacin, y que verifique el cumplimiento a estndares.
1. Establecer un Grupo de trabajo de arquitectura tecnolgica para proveer directrices
relativas a las TIC y asesora en su aplicacin.

2. Acordar y documentar formalmente el rol y la autoridad del Grupo de trabajo de arquitectura
tecnolgica y orientar el diseo de la arquitectura tecnolgica, garantizando que facilite la implementacin de la estrategia de la dependencia o entidad y tome en cuenta el cumplimiento regulatorio y los requerimientos tecnolgicos de la dependencia o entidad.
3. Asegurar que el Grupo de trabajo de arquitectura tecnolgica se rena regularmente, que
se establezcan formalmente los acuerdos y se d seguimiento a las acciones derivadas de estas reuniones.
Lista de asuntos y acuerdos del grupo de trabajo de arquitectura tecnolgica.
DDT-2: Determinar la visin de la tecnologa

Descripcin
Analizar las tecnologas existentes y emergentes y planear cul direccin tecnolgica es apropiada para materializar los objetivos y estrategias de la dependencia o entidad, as como para proveer los servicios de informacin acordes a los requerimientos de negocio. Esta prctica permite identificar cuales tecnologas tienen el potencial de crear oportunidades para la dependencia o entidad. 1. Determinar los requerimientos tecnolgicos derivados de las necesidades, objetivos, estrategias, proyectos y servicios de la dependencia o entidad que debern ser soportados por la direccin tecnolgica En la identificacin de los requerimientos tecnolgicos de la dependencia o entidad puede ser til desarrollar escenarios de uso, que contemplen una descripcin completa de la situacin o necesidad de negocio en conjunto con la perspectiva tecnolgica. Esto permite analizar requerimientos especficos en relacin con el impacto en el negocio. 2. Traducir los requerimientos tecnolgicos de la dependencia o entidad en trminos de directrices rectoras para la arquitectura tecnolgica. 3. Definir el alcance, estructura y nivel de detalle de los dominios de la arquitectura tecnolgica. La arquitectura tecnolgica deber estar definida en niveles. El alcance y nivel de detalle de cada uno de los dominios de la arquitectura deber ser consistente con el nivel de detalle necesario para sustentar los requerimientos tecnolgicos determinados. Los niveles que se consideran habitualmente en la arquitectura tecnolgica son: Arquitectura de datos/informacin: Entendida como la descripcin del ciclo de vida integral de la informacin. Debe representar cmo la informacin es capturada, modificada, agregada y distribuida en la dependencia o entidad, por lo que debe permitir identificar y describir las necesidades de informacin por rea y/o departamento y tambin quin genera y requiere qu informacin. En resumen,
Pg. 48 de 372
Factores crticos

describe la estructura de los datos fsicos y lgicos de la dependencia o entidad y los recursos de gestin de estos datos. Arquitectura de aplicaciones: Entendida como el modelo del portafolio de aplicaciones actuales y futuras que la dependencia o entidad requiere para soportar sus capacidades sustantivas, la forma en que estn/estarn organizadas y como estn/estarn relacionadas, de manera que, cundo la dependencia o entidad requiera incorporar nuevas aplicaciones, pueda identificar la forma en que est organizado su portafolio de aplicaciones. Arquitectura de infraestructura tecnolgica: Entendida como la definicin de los marcos tcnicos de referencia, principios, modelos, estndares, entre otros, usados para gobernar los recursos tecnolgicos necesarios para la provisin de los servicios de TIC. Mediante la inclusin de un cuarto dominio, la arquitectura de negocio puede extender el alcance de la arquitectura tecnolgica a una arquitectura de negocios que incluya la dimensin de los objetivos y procesos de la dependencia o entidad. Esta arquitectura extendida es el resultado de la definicin de estrategias, funciones, procesos y requerimientos funcionales. La arquitectura de negocio nos permite evaluar, e inclusive simular, cambios en los procesos sustantivos o, causados por modificaciones de estrategia o metas. Tener una arquitectura de negocios permite asegurar calidad y consistencia en los esfuerzos de diseo y rediseo de los procesos sustantivos. Uno de los beneficios clave de una arquitectura de negocios, desde la perspectiva de TIC, es definir entregables relativos a informacin, contexto y requerimientos tecnolgicos necesarios para sostener los cambios propuestos 4. Realizar regularmente un anlisis de las fortalezas, oportunidades, debilidades y amenazas (FODA) de todos los elementos crticos de la arquitectura tecnolgica. 5. Dar seguimiento a la evolucin del mercado y de las tecnologas emergentes con el propsito de identificar las tecnologas de punta que puedan tener un impacto en la consecucin de los objetivos de la dependencia o entidad. 6. Realizar la seleccin de las reas y tpicos de investigacin de TIC, en funcin de las iniciativas y/o proyectos de TIC identificados y/o de los requerimientos tecnolgicos identificados. 7. Documentar las investigaciones en materia de TIC y derivar de las mismas las directrices rectoras que el Grupo de trabajo de arquitectura tecnolgica determine.
Directrices rectoras para la arquitectura tecnolgica
DDT-3: Elaborar y actualizar el Plan de tecnologa

Descripcin
Elaborar y mantener un Plan de tecnologa acorde con los planes estratgicos y tcticos de la UTIC. El plan se basa en la direccin tecnolgica e incluye directrices para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los cambios en el ambiente competitivo, en componentes tecnolgicos, las economas de escala para inversiones y personal y la mejora en la interoperabilidad de las plataformas y las aplicaciones.
Pg. 49 de 372

Factores crticos
1. Elaborar el Plan de tecnologa basado en un anlisis por cada uno de los dominios de la arquitectura tecnolgica: Describir el estado actual de los componentes del dominio para establecer una lnea base que sustente la planeacin (de dnde partimos). Desarrollar descripciones de la arquitectura meta para el dominio, conforme a la visin tecnolgica de la dependencia o entidad. Seleccionar y documentar las perspectivas arquitectnicas de la arquitectura objetivo, de forma que demuestre que da respuesta a los requerimientos tecnolgicos y a los objetivos de los interesados en un plazo determinado. Acordar la arquitectura objetivo con los interesados. Analizar las brechas entre la arquitectura actual y la arquitectura objetivo. Desarrollar una o ms arquitecturas de transicin como etapas intermedias para llegar a la arquitectura objetivo.
2. Integrar en el Plan de tecnologa los planes de cada uno de los dominios, de forma que conformen un marco integral de arquitectura de la dependencia o entidad, que incorpore las arquitecturas individuales. Esta integracin permite: Entender cmo los componentes de tecnologa se integran en un enfoque sistmico, derivar modelos arquitectnicos enfocados en capacidad a nivel de la dependencia o entidad, definir los estndares que habilitarn la integracin de componentes para maximizar el re-uso y potenciar la interoperabilidad y asegurar que las descripciones de los diferentes dominios pueden combinarse en una sola representacin lgica.
3. Evaluar y seleccionar la alternativa de implementacin para el desarrollo de las arquitecturas meta. Identificar los factores crticos para la transicin y las iniciativas y/o proyectos de tecnologa requeridos para pasar del estado actual al deseado, as como evaluar las dependencias, costos y beneficios de los distintos proyectos.
4. Integrar las iniciativas de proyectos derivados de la planeacin tecnolgica en un programa de iniciativas de tecnologa que considere la prioridad, el orden, las interdependencias y los beneficios de las diferentes iniciativas/proyectos. 5. Incluir en el Plan de tecnologa los costos relacionados con las iniciativas y/o proyectos de tecnologa y otros costos derivados de la estrategia de transformacin, riesgos tecnolgicos, y las mejoras esperadas en la interoperabilidad de plataformas y aplicaciones. 6. Someter a evaluacin, seleccin y autorizacin el Plan de tecnologa y su programa de iniciativas y/o los proyectos asociados al proceso de Administracin de portafolios de proyectos. 7. Revisar el Plan de tecnologa de acuerdo a las iniciativas y/o proyectos autorizados. 8. Dar seguimiento a la implementacin del Plan de tecnologa. 9. Revisar y actualizar peridicamente el Plan de tecnologa. Asegurar que todos los grupos
Pg. 50 de 372

interesados se involucren en el desarrollo y aprobacin de los planes de migracin y de cambio, considerando el impacto en el personal y las operaciones. 10. Establecer un proceso de Control de cambios en la arquitectura tecnolgica, conforme al proceso Administracin de cambios, para asegurar que los requerimientos de cambios se atienden en una forma integral desde la perspectiva arquitectnica. Se determinan las circunstancias bajo las cuales componentes arquitectnicos podrn cambiarse una vez implementados, as como los pasos para efectuar el cambio, y las condiciones para iniciar el ciclo de actualizacin de la arquitectura.
Plan de tecnologa
DDT-4: Dar seguimiento a tendencias futuras y disposiciones normativas

Establecer un mecanismo para dar seguimiento, e incluir en el Plan de tecnologa las tendencias, tecnolgicas, de infraestructura, legales y regulatorias del sector 1. Asegurar que se cuenta con personal capacitado para dar seguimiento a los desarrollos y tendencias tecnolgicas, programas y actividades del sector, asuntos de infraestructura, cambios a requerimientos y disposiciones normativas dentro de la UTIC 2. Consultar expertos externos para validar el entendimiento de las oportunidades y beneficios derivados de las nuevas tecnologas en la UTIC 3. Participar en los foros y grupos de especialistas que se establezcan para determinar las mejoras a los marcos regulatorios en materia de TIC administracin pblica. 4. Proveer informacin relevante en materia de tendencias tecnolgicas a los mandos medios y superiores y a tomadores de decisiones de la dependencia o entidad. 5. Evaluar la posible contribucin de tecnologas emergentes al logro de los objetivos estratgicos y al crecimiento de la dependencia o entidad. 6. Asegurar que se da seguimiento a los cambios en las disposiciones y normas relativas a los componentes tecnolgicos, que se analiza el impacto en el Plan de tecnologa y se hacen los cambios pertinentes para adecuar el cambio. Mecanismo de seguimiento al desarrollo y tendencias tecnolgicas.
DDT-5: Administrar los requerimientos tecnolgicos

Descripcin
Identificar, almacenar y comunicar los requerimientos tecnolgicos derivados de las necesidades de la dependencia o entidad, objetivos, estrategias, proyectos y servicios que debern ser soportados por la direccin tecnolgica. 1. Registrar requerimientos tecnolgicos, incluyendo requerimientos para la arquitectura objetivo. Es la base para la elaboracin del Plan de tecnologa. 2. Priorizar requerimientos tecnolgicos. 3. Determinar la prioridad de los requerimientos tecnolgicos de acuerdo a su tipo y etapa en el ciclo de vida de la arquitectura tecnolgica. 4. Dar seguimiento a los requerimientos tecnolgicos: En caso de ser necesario, reasignar prioridades, agregar nuevos requerimientos, ajustar, modificar o dar de baja
Pg. 51 de 372
Factores crticos

requerimientos. 5. Generar anlisis de impacto de los cambios en los requerimientos para presentarlos al Grupo de trabajo de arquitectura tecnolgica.
Repositorio de requerimientos tecnolgicos administrado
7.1.3.2.3
Rol Grupo de trabajo de arquitectura tecnolgica
Descripcin de roles
Descripcin
Grupo de expertos que tendr la responsabilidad de proporcionar directrices sobre la arquitectura tecnolgica, dar asesora sobre su aplicacin y verificar el cumplimiento a estndares. El Grupo de trabajo de arquitectura tecnolgica integra representantes de los grupos de expertos de los distintos dominios tecnolgicos (ver proceso de Administracin de dominios tecnolgicos).
7.1.3.2.4
Producto Plan de tecnologa
Descripcin
El documento que contiene al menos: la direccin tecnolgica de la dependencia o entidad, la visin de la arquitectura tecnolgica, las directrices de la arquitectura tecnolgica, el programa de iniciativas y/o proyectos de tecnologa, los planes de adquisicin de TIC, las estrategias de migracin y contingencias. Documentacin de los principios tecnolgicos de alto nivel, entendido como los principios y/o directrices que deben guiar la estrategia tecnolgica, los mecanismos de gobierno y la seleccin de la plataforma tecnolgica de la dependencia o entidad. Lista de acuerdos y decisiones tomadas por el Grupo de trabajo de arquitectura tecnolgica.
Directrices rectoras para la arquitectura tecnolgica Lista de asuntos y acuerdos del grupo de trabajo de arquitectura tecnolgica Mecanismo de seguimiento a los desarrollos y tendencias tecnolgicas Repositorio de requerimientos tecnolgicos administrado
Mecanismo para dar seguimiento a los desarrollos y tendencias tecnolgicas, programas y actividades del sector, asuntos de infraestructura y cambios a requerimientos y disposiciones normativas. Almacn de informacin contiene los requerimientos tecnolgicos actualizados de la dependencia o entidad derivados de las necesidades, objetivos, estrategias, proyectos y servicios que debern ser sustentados por la direccin tecnolgica. ste es utilizado por los grupos de procesos de DR, CN y AS.
Pg. 52 de 372
7.1.3.3
Nombre
Indicadores
Objetivo Descripcin Dimensin Tipo Frmula Responsabl e Grupo de Trabajo de Arquitectura Tecnolgica Frecuenc ia de clculo Anual
Cumplimient o del Plan de Tecnologa
Medir el grado de cumplimient o en la implantacin del Plan de Tecnologa
Obtener la eficacia del proceso de acuerdo al avance en la implementac in de las arquitecturas de los dominios
Eficacia
De gestin
Calidad en la definicin del modelo para la arquitectura tecnolgica
Medir la calidad del modelo para la arquitectura tecnolgica
Obtener el numero de retrabados o ajustes efectuados hasta conseguir el modelo de arquitectura tecnolgica
Calidad
De gestin
% eficacia= (nmero de arquitecturas objetivo de dominios con avance de acuerdo a lo planeado / nmero total de Arquitectura s de dominio por implantar) X 100 (numero de ajustes al modelo por necesidades no considerada s / numero de ajustes totales) * 100
Titular de la UTIC
Trimestral
7.1.3.4 1.1 1.2
Reglas del proceso La UTIC deber establecer una arquitectura tecnolgica que asegure una respuesta eficiente a los cambios y requerimientos en materia de TIC de la dependencia o entidad. La UTIC deber integrar un Grupo de trabajo de arquitectura tecnolgica que proporcione las directrices sobre la direccin de la arquitectura tecnolgica, la asesora y verificacin sobre su aplicacin y cumplimiento. La UTIC deber designar a un responsable del proceso Determinar la direccin tecnolgica. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.3 1.4 1.5 1.6
Pg. 53 de 372

7.1.3.5 Documentacin soporte del proceso
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada para los diagramas del proceso.
Pg. 54 de 372
7.2 7.2.1 7.2.1.1 General.-
CONTROL Administracin del desempeo de TIC Objetivos del proceso
Establecer sistemas de seguimiento y evaluacin as como acciones de mejora, a partir de los resultados de la planeacin estratgica, del desempeo de los procesos, de los proyectos, del uso y aprovechamiento de los activos, de los recursos, as como de la entrega de los servicios de tecnologas de informacin y comunicaciones.
Especficos.1. Establecer un sistema que permita evaluar en forma integral o parcial el desempeo de TIC o de alguno de sus componentes. 2. Proporcionar a titulares y responsables informes de desempeo de TIC y de avance en el cumplimiento de objetivos, que les permita tomar decisiones oportunas e informadas. 3. Establecer y dar seguimiento a las acciones de mejora para prever y corregir desviaciones en el desempeo de las TIC.
Pg. 55 de 372
7.2.1.2 7.2.1.2.1

AD-1 Establecer el Sistema para la evaluacin del desempeo de TIC
Objetivos e indicadores del sistema de evaluacin del desempeo de TIC
AD-2 Alinear los insumos y las mtricas
AD-3 Especificar procedimientos de recoleccin y almacenamiento
Mtricas y modelos de clculo del sistema de evaluacin del desempeo de TIC
AD-4 Especificar procedimientos de anlisis
Procedimientos de recoleccin y almacenamiento de datos del sistema de medicin y anlisis Herramientas de recoleccin de datos
AD-5 Establecer el repositorio de mtricas
Procedimientos de anlisis del sistema de evaluacin del desempeo de TIC Herramientas de anlisis de datos
AD-6 Recolectar y revisar los datos de medicin
Repositorio de mtricas
AD-7 Elaborar informes de medicin y anlisis
Procesos del Marco rector Datos de medicin y anlisis
Informes de medicin y anlisis
APP
AD-9 Implementar acciones de mejora Procesos del Marco rector
AD-8 Informar a directivos y responsables de rea
Reportes de revisiones
Acciones de mejora
Informes directivos de desempeo de TIC
Cuadro de mando integral
OSGP
Pg. 56 de 372
Pg. 57 de 372
7.2.1.2.2
AD-1: Establecer el Sistema para la evaluacin del desempeo de TIC

Descripcin
Establecer los elementos necesarios para instrumentar el sistema que permita dar seguimiento al avance en la implementacin de la estrategia, al desempeo de los procesos, al avance de los proyectos, al uso de los recursos y a la entrega de los servicios de TIC.
1. Identificar, categorizar y documentar un conjunto de indicadores de proceso, de producto
Factores crticos
y de resultados.
2. Verificar el diseo de los indicadores establecidos para cada proceso del Marco rector,
de manera que se asegure su consistencia e integralidad. Deben orientarse a informacin tal como:
1. Reduccin de costos, 2. Cumplimiento regulatorio, 3. Satisfaccin de los usuarios, 4. Madurez y la optimizacin del proceso, 5. Niveles de servicio, 6. Cumplimiento de los objetivos estratgicos. 3. Actualizar continuamente la informacin insumo para operar los indicadores. 4. Formalizar y aprobar el establecimiento de los indicadores. 5. Educar y sensibilizar al personal de la UTIC y a los interesados, incluyendo los titulares
de las unidades responsables, los usuarios y los mandos superiores, sobre la importancia de la evaluacin del desempeo de TIC.
Objetivos e indicadores del sistema de evaluacin del desempeo de TIC
AD-2: Alinear los insumos y las mtricas

Alinear la informacin que sirve de insumo y las mtricas, de acuerdo a la operacin de la UTIC, con estricto apego a los indicadores diseados en los procesos del Marco rector. 1. Identificar las mtricas de los indicadores documentados, establecer sus categoras y nombres y unidades de medida, entre otros atributos. 2. Especificar los modelos o frmulas de clculo de las mtricas. 3. Revisar, aprobar y formalizar las mtricas definidas. 4. Verificar la prioridad y vigencia de las mtricas peridicamente.
Mtricas y modelos de clculo del sistema de evaluacin del desempeo de TIC
Pg. 58 de 372

AD-3: Especificar procedimientos de recoleccin y almacenamiento
Especificar cmo son obtenidos y almacenados los datos de las mtricas

1. Identificar orgenes de los datos. 2. Identificar mtricas para las cuales se requieren datos que no se encuentran disponibles
y revisar la definicin de la mtrica en caso necesario.

3. Especificar cmo recolectar y almacenar datos para cada mtrica requerida. 4. Crear mecanismos y una gua para la recoleccin de datos, integrados en los procesos a
medir.
5. Establecer sistemas y mecanismos para la recoleccin automtica de datos cuando sea
apropiado y viable.
6. Priorizar, revisar, aprobar y formalizar tanto las mtricas como los procedimientos de
recoleccin y almacenamiento de datos documentados.

7. Actualizar mtricas e indicadores periodicamente. Relacin productos de
Procedimientos de recoleccin y almacenamiento de datos del sistema de medicin y anlisis Herramientas de recoleccin de datos
AD-4: Especificar procedimientos de anlisis

Especificar la definicin de las mtricas del Sistema de evaluacin del desempeo de TIC, para el anlisis y reporte de los datos.
1. Especificar y priorizar los anlisis de informacin que sern realizados y los reportes que
sern preparados.
2. Seleccionar mtodos y herramientas apropiados de anlisis de datos. 3. Especificar procedimientos administrativos para analizar los datos y comunicar los
resultados.
4. Revisar y actualizar el contenido y el formato de los informes para realizar los anlisis
especificados.
5. Especificar los criterios para evaluar la utilidad de los resultados del anlisis y de las
actividades de medicin y anlisis.

6. Efectuar una verificacin sobre las mtricas, indicadores y criterios para evaluar los
resultados del anlisis al menos una revisin anual. Debern actualizarse las mtricas, indicadores y criterios que resulte necesario.
Procedimientos de anlisis del sistema de evaluacin del desempeo de TIC. Herramientas de anlisis de datos
AD-5: Establecer el repositorio de mtricas

Descripcin
Establecer y mantener el repositorio de mtricas. El repositorio contiene las mtricas definidas en el Sistema de evaluacin del desempeo de TIC, tambin contiene o hace referencia a la
Pg. 59 de 372

informacin necesaria para entender, interpretar y evaluar las mtricas. Este repositorio deber ser diseado como un componente del sistema de conocimiento de acuerdo a los procedimientos del proceso de Administracin del conocimiento.
Factores crticos
1. Determinar las necesidades de almacenamiento, recuperacin y anlisis de mtricas de la dependencia o entidad. 2. Disear e implementar el repositorio de mtricas. 3. Especificar los procedimientos para almacenar, actualizar y recuperar las mtricas. 4. Mantener disponible para su uso por la dependencia, entidad o proyectos el contenido del repositorio de mtricas. 5. Revisar el repositorio de mtricas y los procedimientos peridicamente y modificarlos segn las necesidades de la dependencia o entidad.
Repositorio de mtricas
AD-6: Recolectar y revisar los datos de medicin

Obtener los datos de la especificacin de las mtricas y analizar e interpretar sus datos.
1. Obtener y/o generar los datos de las mtricas 2. Revisar los datos para asegurar su integridad y exactitud. 3. Almacenar la informacin de acuerdo con los procedimientos de almacenamiento de
datos.
4. Afinar criterios para anlisis futuros. Relacin de productos
AD-7: Elaborar informes de medicin y anlisis

Administrar y almacenar los datos y especificaciones de mtricas, los anlisis de resultados, as como elaborar los informes de resultados de las mtricas y de los anlisis de actividades. 1. Poner a disposicin del personal y grupos relevantes los datos almacenados.
2. Elaborar los informes de manera que cumplan con los criterios de efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

3. Desarrollar
anlisis inicial, interpretar los resultados y desarrollar conclusiones
preliminares.
4. Desarrollar mediciones y anlisis adicionales, segn sea necesario y preparar resultados
para su presentacin.
5. Revisar los resultados iniciales con los grupos relevantes. 6. Mantener informados a los grupos relevantes de los resultados de medicin. 7. Asesorar a los grupos relevantes en el entendimiento de resultados. Relacin de productos
Pg. 60 de 372

AD-8: Informar a directivos y responsables de rea
Descripcin
Presentar informes directivos de desempeo de TIC con el fin de proporcionar a los titulares la informacin necesaria para determinar el logro de los objetivos, la eficiencia de los recursos de TIC, la calidad de los servicios de TIC y de las soluciones tecnolgicas desarrolladas. 1. Establecer un proceso para informar, a los niveles involucrados, en forma oportuna y confiable, la contribucin de TIC a los objetivos y prioridades de la dependencia o entidad. 2. Disear los informes directivos de desempeo de TIC para resaltar asuntos y riesgos clave relacionados con la contribucin de TIC y, particularmente, con la capacidad de desarrollo de soluciones tecnolgicas y la entrega de servicios de TIC, as como el grado de cumplimiento de los objetivos de desempeo y cmo se han controlado los riesgos identificados. 3. Consolidar los resultados de las mediciones realizadas y traducirlos en informes de impacto en la operacin de la dependencia o entidad (positivo o negativo) e incorporarlos en reportes peridicos destinados a los mandos medios y superiores.
Factores crticos
Informes directivos de desempeo de TIC
AD-9: Implementar acciones de mejora

Descripcin
Identificar desviaciones, problemas y oportunidades de mejora con base en los informes directivos de desempeo de TIC y datos recolectados, para definir e implementar acciones correctivas y preventivas integradas en un Plan de mejora. 1. Identificar desviaciones, problemas y oportunidades de mejora con base a los informes y datos recolectados. 2. Determinar las acciones correctivas y preventivas. 3. Efectuar la negociacin para el establecimiento de acciones de mejora y asignar responsabilidades. 4. Definir claramente los resultados esperados de la implementacin del Plan de mejora y conducir revisiones peridicas de avance. 5. Identificar desviaciones significativas en la implementacin de acciones de mejora e informar a los responsables involucrados. 6. Una vez concluidas las acciones, evaluar los resultados y determinar lecciones aprendidas.
Factores crticos
Acciones de mejora
Pg. 61 de 372
7.2.1.2.3
Rol
Descripcin de roles Descripcin El responsable de establecer y administrar el Sistema de evaluacin del desempeo de las TIC comunica los resultados de las actividades y monitorea la ejecucin de las actividades de medicin establecidas en el sistema de evaluacin. El Administrador de mtricas da seguimiento a las acciones de mejora hasta su conclusin.
Administrador de mtricas
7.2.1.2.4
Producto Objetivos e indicadores del sistema de evaluacin del desempeo de TIC Acciones de mejora
Descripcin
Documento que define los objetivos del Sistema de evaluacin del desempeo de TIC, as como los indicadores fundamentales que requiere el sistema de evaluacin del desempeo de TIC.
Documento de acciones preventivas y correctivas derivadas del anlisis de los informes de evaluacin del desempeo de TIC. Contiene los datos de las acciones de mejora, su definicin, su plan de implementacin y el resultado de ste. Repositorio de Es un repositorio utilizado para recolectar y poner a disposicin de los interesados los mtricas datos de las mtricas del Plan de evaluacin del desempeo de TIC. Informes de Reportes generados peridicamente, de acuerdo al Sistema de evaluacin del desempeo medicin y anlisis de TIC, para informar a los interesados del resultado de las mediciones efectuadas. Reportes de Reportes con los resultados de las revisiones efectuadas al repositorio de mtricas.
revisiones Informes directivos de desempeo de TIC
Reportes diseados para presentar, a los directores y titulares de las unidades responsables, el grado en el que se han cumplido los objetivos estratgicos, los resultados de los indicadores del cuadro de mando integral de TIC y los controles para la administracin de los riesgos de TIC. Procedimientos de Elementos que definen los pasos y la secuencia para efectuar el anlisis de los datos del anlisis del Sistema de evaluacin del desempeo de TIC y permiten la generacin de los reportes sistema de para los directivos y responsables de los procesos del marco rector.
evaluacin del desempeo de TIC Herramientas de anlisis de datos Herramientas de recoleccin de datos
Herramientas usadas para el anlisis de los datos e informacin del repositorio de mtricas, con el propsito de elaborar informes de medicin y anlisis. Herramientas usadas para la recoleccin de los datos e informacin del repositorio de mtricas.
Pg. 62 de 372
7.2.1.3.
Nombre
Indicadores:
Objetivo Conocer la eficacia con la que est operando el Sistema de evaluacin del desempeo de TIC Descripcin Medir los problemas resueltos, identificados por medio del Sistema de evaluacin del desempeo de TIC Dimensin Eficacia Tipo De gestin Frmula % eficacia=(Problemas resueltos/ problemas identificados por medio del sistema de evaluacin del desempeo de TIC) X 100 Responsable Administrador del proceso Frecuencia de clculo Semestral
Resultados del Sistema de evaluacin del desempeo de TIC
7.2.1.4. 1.1
Reglas del proceso La UTIC deber asegurar que la instrumentacin y operacin del Sistema de evaluacin del desempeo de TIC integre mediciones y reportes que cubran al menos: Riesgos de TIC y cumplimiento normativo. Niveles de satisfaccin de usuarios de los servicios de TIC Indicadores de desempeo de los procesos clave de TIC, incluyendo los procesos de adquisicin y desarrollo de soluciones tecnolgicas y operacin de servicios. La UTIC deber considerar en el diseo del Sistema de evaluacin del desempeo de TIC los requerimientos de datos e informacin para el anlisis de la aplicacin de los procesos del Marco rector del Manual. La UTIC deber asegurar que el Sistema de evaluacin del desempeo de TIC sea consistente con el Sistema de administracin del desempeo de la dependencia o entidad. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en este mismo. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.2
1.3 1.4 1.5 1.6
7.2.1.5
Pg. 63 de 372
7.2.2. 7.2.2.1. General.-
Cumplimiento regulatorio Objetivos del proceso
Asegurar que el diseo y la operacin de los servicios de TIC de la dependencia o entidad cumplan con la normatividad vigente, mediante mecanismos de control y de supervisin. Especficos.-
1. Identificar y aplicar oportunamente los requerimientos regulatorios en materia de TIC tanto en los procesos de la UTIC como en los procedimientos que de cada uno de stos deriven. 2. Evaluar, por medios internos y externos, el cumplimiento del marco regulatorio en los procesos del Marco rector de este manual. 3. Asegurar que las soluciones tecnolgicas y servicios de TIC que adquiera o desarrolle la UTIC para poner en operacin cumplan con la normatividad vigente en materia de TIC y aquellas aplicables de otras materias, 4. Establecer acciones correctivas para resolver los incumplimientos identificados. 5. Proveer informes peridicos sobre el cumplimiento de los requerimientos legales y regulatorios aplicables en materia de TIC a la dependencia o entidad.
Pg. 64 de 372
7.2.2.2 7.2.2.2.1
Entorno Regulatorio
Manual administrativo de aplicacin general en materia de TIC Entornos legales y jurdicos
CR-1 Identificar los requerimientos de las leyes, reglam entos y regulaciones aplicables Repositorio de requerimientos regulatorios
CR-2 Revisar requerimientos regulatorios
CR-3 Evaluar el cumplim iento regulatorio
Reportes de cumplimiento regulatorio
CR-4 Asegurar el cumplimiento regulatorio
AD
CR-5 Comunicar y reportar el cumplimiento regulatorio
Informes de medicin y anlisis del cumplimiento regulatorio
AD
Pg. 65 de 372
Pg. 66 de 372
7.2.2.2.2
CR-1 Identificar los requerimientos de las leyes, reglamentos y regulaciones aplicables

Descripcin
Factores crticos
Identificar, de manera continua, los requerimientos en materia de TIC que se desprenden de las leyes aplicables a nivel federal e internacional, as como de reglamentos, regulaciones y otras disposiciones que deban ser observadas por la dependencia o entidad, a fin de incorporar estndares, mejores prcticas, procedimientos y marco de referencia metodolgico de TIC que sean necesarios en la dependencia o entidad para darles cumplimiento. 1. Asignar responsabilidades para la identificacin de los requerimientos legales y regulatorios aplicables a las funciones, recursos y operaciones de TIC de la dependencia o entidad. 2. Considerar las leyes federales, las leyes locales e internacionales, los reglamentos y la normatividad aplicable. 3. Considerar los aspectos relativos a la seguridad, la privacidad de la informacin, el nivel de acceso, control y procesamiento de los datos, propiedad intelectual y derechos de autor. 4. Implementar un catlogo que permita identificar y evaluar las leyes y requerimientos legales y regulatorios; as como determinar su impacto en los recursos, la operacin y los servicios de TIC de la dependencia o entidad y sus proveedores de servicios. 5. Mantener actualizados los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico, de acuerdo a los requerimientos legales y regulatorios aplicables. 6. Considerar las leyes y aspectos regulatorios en materia de TIC, con respecto a flujos de informacin, seguridad, confidencialidad, integridad, informacin financiera, regulaciones de la industria, firma electrnica y correo electrnico, entre otros. 7. Evaluar el impacto de los requerimientos legales y regulatorios sobre acuerdos contractuales de servicios provistos por terceros. 8. Mantener un inventario de requerimientos legales y regulatorios para evaluar su impacto y las acciones requeridas. 9. Establecer un repositorio de requerimientos regulatorios de acuerdo los puntos anteriores.
Repositorio de requerimientos regulatorios
CR-2 Revisar requerimientos regulatorios

Descripcin
Factores crticos
Revisar los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico de TIC para asegurar que los requisitos legales y regulatorios son observados, canalizados y comunicados de manera efectiva y oportuna. 1. Examinar los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico que se utilizan en la dependencia o entidad con el fin de asegurar que se cumple con los requerimientos legales y regulatorios aplicables, incluyendo leyes federales, internacionales, reglamentos, normatividad y regulaciones aplicables en materia de TIC.
Pg. 67 de 372

2. Examinar de manera continua los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico que se utilizan en la dependencia o entidad a fin de determinar su efectividad, para asegurar el cumplimiento de los requerimientos legales y regulatorios aplicables en materia de TIC. 3. Obtener asesora adicional, cuando sea necesario, sobre el contenido y la implementacin de estndares, mejores prcticas, procedimientos y marco de referencia metodolgico que apoyen al cumplimiento de los requerimientos legales y regulatorios aplicables en materia de TIC. 4. Actualizar con la informacin obtenida el repositorio de requerimientos regulatorios. 5. Comunicar de manera efectiva los nuevos requerimientos legales y regulatorios, o cambios a los mismos, en materia de TIC dentro de la dependencia o entidad
Relacin de Productos
Repositorio de requerimientos regulatorios
CR-3 Evaluar el cumplimiento regulatorio

Descripcin
Factores crticos
Realizar las actividades necesarias de revisin, evaluacin y anlisis a fin de confirmar el cumplimiento de los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico de TIC con los requerimientos legales y regulatorios aplicables en materia de TIC. 1. Revisar y evaluar regularmente las actividades de TIC y los procesos a fin de asegurar el apego a los requerimientos legales y regulatorios en materia de TIC. 2. Efectuar revisiones internas o de terceros a los estndares, mejores prcticas, procedimientos y marco de referencia se utilizan en la dependencia o entidad, para verificar el cumplimiento de los requerimientos legales y regulatorios aplicables en materia de TIC. 3. Asegurar que las brechas identificadas con respecto al cumplimiento de las regulaciones aplicables sean solventadas y se reflejen en actualizaciones a los estndares y procedimientos de manera peridica y continua. 4. Evaluar regularmente los patrones de hallazgos recurrentes. 5. Identificar, registrar y administrar las propuestas de mejora a los estndares, mejores prcticas, procedimientos y marco de referencia metodolgico que se utilizan en la dependencia o entidad en materia de TIC.
CR-4 Asegurar el cumplimiento regulatorio

Descripcin
Factores crticos
Asegurar el cumplimiento regulatorio en materia de TIC y confirmar la implementacin de acciones correctivas y de mejora para resolver cualquier brecha de cumplimiento, de forma oportuna y efectiva. 1. Obtener de manera peridica la confirmacin del cumplimiento regulatorio en materia de TIC por parte de los responsables de procesos de la dependencia o entidad. 2. Comprobar peridicamente la realizacin de revisiones internas y externas para evaluar los niveles de cumplimiento regulatorio.
Pg. 68 de 372

3. Asegurar que en los contratos con terceros proveedores de bienes o servicios se incluya la obligatoriedad de un informe peridico del cumplimiento con las leyes y regulaciones aplicables. 4. Implementar procedimientos, consistentes con los procesos de este Manual, para vigilar e informar sobre incumplimientos de las regulaciones aplicables en materia de TIC por parte de los proveedores y, en general, en la dependencia o entidad; identificar la causa raz del incumplimiento y en su caso, definir y ejecutar las acciones que eliminen las causas de los incumplimientos con independencia de las medidas correctivas que deban aplicarse de acuerdo a la normatividad vigente en la materia.
CR-5 Comunicar y reportar el cumplimiento regulatorio

Integrar los reportes e informes relacionados con el cumplimiento legal y regulatorio. 1. Definir los requisitos de presentacin de informes sobre el cumplimiento de los requerimientos legales y regulatorios aplicables a la dependencia o entidad, incluyendo el requisito de conservar informacin histrica en materia de TIC. 2. Asegurar la coherencia e integridad de los informes de cumplimiento legal y regulatorio conforme a los requisitos de informacin corporativa; deben incluir aspectos tales como la distribucin, frecuencia, alcance, contenido y formato de dichos reportes. 3. Comunicar y difundir los reportes de acuerdo a los niveles de distribucin establecidos en el Sistema de evaluacin del desempeo de TIC.
Informes de medicin y anlisis del cumplimiento regulatorio
7.2.2.2.3
Rol
Descripcin de roles Descripcin Titulares de cargos de mandos medios, responsables de supervisar y dar seguimiento a las actividades de cumplimiento regulatorio en materia de TIC. Participan en la identificacin de los requerimientos legales y regulatorios aplicables en materia de TIC. Establecen mecanismos para darles cumplimiento. Aseguran el apego a los procedimientos, estndares, mejores prcticas y marcos de referencia metodolgicos aplicables para dar cumplimiento a los requerimientos legales y regulatorios.
Mandos medios y superiores Responsables de rea
Pg. 69 de 372

Revisor y evaluador del cumplimiento regulatorio
Responsable de examinar los marcos regulatorios, de realizar el levantamiento de informacin sobre cumplimiento regulatorio y de efectuar las evaluaciones internas de apego a los requerimientos legales y regulatorios en materia de TIC. Servir de enlace en caso de revisiones externas a fin de proveer los datos necesarios, segn sea el caso. Grupo responsable de realizar el inventario de requerimientos regulatorios, dar seguimiento a la implementacin de procedimientos, estndares y metodologas aplicables en materia de TIC. Supervisar y dar seguimiento a las acciones correctivas para solventar las no conformidades de apego a los requerimientos legales y regulatorios en materia de TIC. Atender en tiempo y forma los requerimientos regulatorios en materia de TIC que aplican a los procesos en los cuales participan.
Grupo interno de control regulatorio
Personal de TIC
7.2.2.2.4
Producto Repositorio de requerimientos regulatorios
Descripcin Relacin de requerimientos legales y regulatorios incluyendo leyes, reglamentos, regulaciones especiales, normatividad aplicable en materia de TIC. Este inventario deber contener de manera ordenada y clasificada los requerimientos legales y regulatorios, la descripcin del requerimiento, el tipo de regulacin, la vigencia de dicha regulacin y los responsables asociados al cumplimiento de dicha regulacin. Relacin de estndares, procedimientos, mejores prcticas y marco de referencia metodolgico que se encuentran documentados, estn implementados y generan su respectiva evidencia. Se deber especificar el rea responsable de su actualizacin, supervisin y control. Informe de los resultados de las revisiones internas o externas sobre el cumplimiento y adhesin de los requerimientos legales y regulatorios en materia de TIC. El reporte debe contener el alcance, responsable y fecha de la revisin, los aspectos legales y regulatorios que se revisaron y su cumplimiento, as como la relacin de las desviaciones y las acciones de mejora identificadas. El reporte debe contemplar la documentacin de acciones correctivas para resolver cualquier brecha de cumplimiento del proceso de forma oportuna y efectiva. Se deber establecer la fecha compromiso y el responsable de su ejecucin y seguimiento.
Estndares, mejores prcticas, procedimientos y marco de referencia metodolgico Reportes de cumplimiento regulatorio
Informes de Reportes generados de acuerdo al Sistema de evaluacin del desempeo de TIC, para medicin y anlisis informar sobre el cumplimiento de los requerimientos legales y regulatorios. Ver el proceso de cumplimiento Administracin del desempeo de TIC. regulatorio
Pg. 70 de 372

7.2.2.3 Indicadores
Frecuencia de clculo Eficacia
Nombre Cumplimiento del marco regulatorio de TIC
Objetivo Medir el grado de cumplimiento del marco regulatorio en los procesos y servicios de TIC Medir el grado de cumplimiento a la normatividad vigente en los procesos y servicios de TIC
Descripcin
Dimensin
Tipo
Frmula
Responsable
Por medio de Eficacia los mecanismos de control y supervisin conocer los incumplimientos regulatorios
De Nmero de Administrador gestin incumplimientos del proceso detectados mediante los mecanismos de control y supervisin
Cumplimiento del marco regulatorio de TIC
Conocer por medio de las acciones correctivas que se ejecutan, la eficacia del proceso de Cumplimiento regulatorio.
Eficacia
De Nmero de Administrador gestin acciones del proceso correctivas implementadas / nmero de incumplimientos detectados mediante los mecanismos de control y supervisin X 100
Eficacia
7.2.2.4 1.1
Reglas del proceso La dependencia o entidad, a travs de la UTIC, debe establecer procedimientos regidos por el proceso de Cumplimiento regulatorio, para ejecutar las actividades que aseguren el cumplimiento regulatorio en materia de TIC. La UTIC deber designar un responsable del proceso de Cumplimiento regulatorio. El responsable del proceso de Cumplimiento regulatorio deber dar seguimiento a la totalidad de los hallazgos de incumplimiento identificados, de acuerdo a la normatividad aplicable, con independencia de otros incumplimientos en los que se haya incurrido que sern sancionados por la autoridad competente. El responsable del proceso de Cumplimiento regulatorio deber asegurarse de mantener documentados, actualizados y aprobados los procedimientos y la evidencia del cumplimiento de los requerimientos legales y regulatorios en materia de TIC. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.2 1.3
1.4
1.5 1.6 1.7
Pg. 71 de 372

Pg. 72 de 372
7.2.3. 7.2.3.1. General.-
Administracin de riesgos de TIC Objetivos del proceso
Disminuir el impacto de eventos adversos, que potencialmente podran afectar el logro de los objetivos de la dependencia o entidad, mediante la Administracin de los riesgos de TIC. Especficos.-
1. Establecer en la dependencia o entidad, a travs de la UTIC, un Sistema de administracin de riesgos en materia de TIC que permita identificar los riesgos en materia de TIC, para su anlisis, evaluacin, atencin, monitoreo y control.
2. Establecer medios para una toma de decisiones informada y oportuna sobre la mitigacin de los riesgos en
materia de TIC.
Pg. 73 de 372
7.2.3.2 7.2.3.2.1
Dependencia o entidad
ARTI-1 Establecer las directrices del proceso
Informacin del ambiente externo e interno
Directriz rectora del proceso de administracin de riesgos de TIC OSGP
ARTI-2 Evaluar los riesgos de TIC
Repositorio de riesgos de TIC actualizado
Matrices de riesgos de TIC actualizadas
Matrices de riesgo con el tratamiento del riesgo incorporado Sentencias de aplicabilidad Planes de mitigacin de riesgos Planes de contingencia
Procesos del Marco rector
ARTI-3 Responder a los riesgos de TIC
Pg. 74 de 372
Pg. 75 de 372
7.2.3.2.2
ARTI-1 Establecer las directrices del proceso

Establecer las directrices del proceso de Administracin de riesgos de TIC en el contexto de la administracin del riesgo de la dependencia o entidad. 1. Identificar el ambiente interno y externo de la dependencia o entidad. Aspectos del contexto externo incluyen, pero no estn limitados a: Identificar aspectos del contexto externo de la dependencia o entidad (legales, regulatorios, financieros, tecnolgicos, econmicos, naturales, competitivos) a nivel local, regional e internacional. Identificar tendencias e impulsores externos que tienen impacto en los objetivos de la dependencia o entidad, as como las percepciones y valores que los involucrados externos tienen de la dependencia o entidad. Definir los tipos de eventos externos y cambios en los ambientes de tecnologas que pueden poner en peligro el logro de los objetivos de la dependencia o entidad.
Aspectos del contexto interno incluyen pero no limitados a: Identificar los estndares y modelos de referencia adoptados por la dependencia o entidad. Identificar las polticas y objetivos, as como las estrategias definidas para lograrlos. Identificar las soluciones tecnolgicas y flujos existentes de informacin, as como los procesos establecidos de toma de decisiones.
2. Documentar y difundir una directriz rectora del proceso de Administracin de riesgos de TIC que defina antecedentes, sustento, justificacin para implantar la administracin de riesgos de TIC, a travs de la UTIC, en la dependencia o entidad. La directriz rectora deber: Garantizar la alineacin con la administracin del riesgo de la dependencia o entidad. Asegurar que existan los roles y responsabilidades para asegurar su aplicacin y cumplimiento. Integrar los requerimientos regulatorios identificados en el proceso de Cumplimiento regulatorio. Definir los elementos para la administracin de riesgos de TIC, entre otros, los siguientes: Los umbrales de tolerancia al riesgo en materia de TIC de la dependencia o entidad. Los mecanismos o mtodos con los que el proceso y la administracin de riesgos en materia de TIC sern medidos. Los procesos, mtodos y herramientas que sern usados para administrar
Pg. 76 de 372

los riesgos en materia de de TIC Las medidas que sern tomadas para corregir las desviaciones de los lmites de exposicin al riesgo o los ajustes preventivos a los niveles de tolerancia al riesgo. Definir los medios para asegurar su difusin a todo el personal que le aplique.
Definir la forma y periodicidad con la que se deber informar a las partes interesadas, sobre los riesgos en materia de TIC a los que se encuentran expuestos los procesos y servicios de la dependencia o entidad. Difundir las consecuencias y medidas correctivas aplicables derivadas de su incumplimiento.
Directriz rectora del proceso de administracin de riesgos de TIC
ARTI-2 Evaluar los riesgos de TIC

Descripcin
Asegurar que los riesgos en materia de TIC sean evaluados y presentados en trminos del impacto a los procesos y servicios de la dependencia o entidad: financieros, de transparencia y seguridad de la informacin, regulatorios, entre otros.
Factores crticos
1. Recopilar datos relevantes para los riesgos de TIC.

a) Recopilar datos del registro histrico de incidentes que hayan tenido algn impacto a la entidad o dependencia b) Recopilar el registro histrico de riesgos del activo o recurso a evaluar (si existe) c) Identificar los controles actualmente implementados en los activos o recursos a evaluar.
2. Identificar y analizar escenarios de riesgo que permitan definir los impactos potenciales a
la entidad o dependencia sobre elementos como: Servicios. Procesos. Datos (operativos, nmina, contables, entre otros). Software (sistemas, aplicaciones, entre otros). Hardware. Equipos informticos que hospedan datos, aplicaciones y servicios. Equipos de comunicaciones. Dispositivos de almacenamiento (cintas, CDs, DVDs, entre otros). Personas (empleados internos y terceros).
b) Identificar amenazas para aquellos activos identificados, dichas amenazas pueden ser clasificadas al menos en las siguientes categoras: No causadas por el hombre: Malfuncionamiento de TIC (fallas de software y de hardware)
Pg. 77 de 372

Naturales (terremotos, huracanes, entre otros.) De origen industrial (fallas elctricas, aire acondicionado) Maliciosas o o Externas (espionaje industrial, hackers, entre otros.) Internas (personal mal intencionado) Errores humanos
Causados por el hombre:
No maliciosas o
c) Identificar riesgos; algunos tipos de riesgos son: Fraudes, Robos Degradacin o perdida de continuidad en las operaciones Fuga o modificacin de informacin no autorizada Accesos no autorizados Falta o no cumplimiento de regulaciones, entre otros
d) Identificar impactos a la entidad o dependencia; dichos impactos pueden ser, por lo menos, los siguientes:
Financieros Niveles de servicios Imagen o reputacin Regulatorios
Matrices de riesgo de TIC actualizadas Repositorio de riesgos de TIC actualizado
ARTI-3 Responder a los riesgos de TIC

Descripcin
Factores crticos
Asegurar que se responde a los riesgos de TIC con base a su nivel de severidad, con base en las decisiones para su tratamiento y tomado los criterios de priorizacin de implantacin de controles. 1. Identificar el nivel de severidad del riesgo.
2. Identificar opciones para el tratamiento del riesgo el cual involucra tomar las decisiones
para: a) Aceptar el riesgo: no se efecta ninguna accin debido a que el nivel de riesgo est dentro de los niveles aceptables por la entidad o dependencia. b) Evitar el riesgo. se elimina la causa que produce el riesgo. c) Transferir el riesgo: se transfiere y comparte el riesgo con una organizacin aseguradora o un tercero. d) Mitigar el riesgo: se implementan controles para reducir el riesgo a un nivel aceptable por la entidad o dependencia
Pg. 78 de 372

3. Identificar controles predictivos, preventivos y correctivos y mapearlos para cada uno de
los escenarios de riesgos identificados. Estos controles deben ser documentados en la SoA. 4. Definir planes de mitigacin del riesgo que consideren las actividades para implantar los controles identificados en las Sentencias de aplicabilidad. Para cada escenario de riesgo la prioridad de implantacin debe ser definida y acordada. Algunos de los parmetros que pueden ser considerados en la priorizacin de la implantacin de los controles o contramedidas son los siguientes: a) Severidad del riesgo (nivel de riesgo) b) Nivel de impacto de la implantacin del control en la disminucin de las consecuencias del riesgo sobre los procesos y servicios de la entidad o dependencia c) Costo de implantacin
5. Definir un Plan de contingencia para reaccionar a eventos o incidentes en caso de

presentarse un riesgo.
Matrices de riesgo con el tratamiento del riesgo incorporado Sentencias de aplicabilidad Planes de mitigacin de riesgos Planes de contingencia Repositorio de riesgos de TIC actualizado
7.2.3.2.3
Rol
Descripcin de roles
Descripcin
Titular de la UTIC Grupos de control de riesgos de TIC Personal de TIC
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos, inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los resultados de la UTIC. Debe asegurar la direccin y el control de los procesos y servicios de TIC. Este grupo es responsable de la aprobacin de la Directriz rectora del proceso de Administracin de riesgos de TIC y de asegurar su cumplimiento. Responsable del rea administrativa de TIC y responsable de la implementacin del marco de referencia metodolgico de la administracin de riesgos de TIC. Responsables dentro de la dependencia o entidad para manejar dominios especficos de riesgos de TIC. Responsables de realizar la evaluacin del riesgo de TIC cuando sea requerido. Resguardan los recursos requeridos para la adquisicin, procesamiento, almacenamiento y diseminacin de datos/informacin de las TIC que tienen a su cargo.
Pg. 79 de 372

7.2.3.2.4
Producto Directriz rectora del proceso de administracin de riesgos de TIC
Descripcin
Documenta las directrices para implantar la administracin de riesgos de TIC en el contexto del riesgo de la dependencia o entidad; describe, al menos, los siguientes aspectos: Justificacin para la implantacin de la administracin de riesgos de TIC. Propsito de la directriz rectora del proceso de Administracin de riesgos Alcance. Incluye los requerimientos regulatorios identificados en el proceso de Cumplimiento regulatorio. e) Los roles y responsabilidades para asegurar la aplicacin y su cumplimiento. f) Los elementos para la administracin de riesgos en materia de TIC, entre otros: Umbrales de la tolerancia al riesgo de TIC de la dependencia o entidad. Los mecanismos y mtodos por medio de los cuales se medir el proceso y la administracin de riesgos en materia de TIC. Herramientas que sern usados para administrar los riesgos de TIC Las medidas para corregir las desviaciones de los lmites de exposicin al riesgo como de los niveles de tolerancia al riesgo. g) Un apartado donde asegure su difusin a todo el personal de la dependencia o entidad. h) Un apartado donde se asegure su revisin peridica. i) Un apartado donde se asegure que se realicen revisiones del cumplimiento y la definicin de los responsables de dichas revisiones. j) Define acciones y consecuencias de su incumplimiento. a) b) c) d)
Matrices de riesgo de TIC actualizadas
Documentan los escenarios de riesgo de los activos evaluados, describen al menos los siguientes aspectos: a) Fecha de evaluacin b) rea c) Proceso de negocio d) Activo evaluado e) Tipo de amenaza f) Agente de amenaza identificada g) Probabilidad de ocurrencia de la amenaza h) Descripcin del riesgo i) Nivel de riesgo (severidad) j) Nivel de riesgo residual k) Impactos a la entidad o dependencia. l) Descripcin del impacto m) Nivel de impacto (severidad) n) Tratamiento del riesgo Documentan, para cada riesgo, la identificacin y seleccin de los controles que debern implantarse para reducir el riesgo a niveles aceptables por la entidad o dependencia; describe al menos los siguientes aspectos: a) Activo b) Riesgo asociado
Pg. 80 de 372
Sentencias de aplicabilidad
Producto
Descripcin
Planes de mitigacin de riesgos
Planes de contingencia
c) Controles actualmente implementados d) Control o controles seleccionados para mitigacin del riesgo e) Razones para su seleccin Documenta el Plan de implantacin de los controles seleccionados con el fin de mitigar los riesgos identificados; describe al menos los siguientes aspectos: a) Riesgo asociado. b) Control o controles asociados c) Impacto a la dependencia o entidad. d) Plan de actividades para la implantacin del control. e) Fecha de verificacin de la implantacin. f) Responsable de la implantacin. g) Responsable de verificar su cumplimiento. Documenta las acciones y decisiones a llevar a cabo en caso de un evento o incidente no deseado que tenga un impacto potencial para la entidad o dependencia; documenta al menos lo siguiente: a) Estructura del equipo de respuesta al riesgo. b) Responsabilidades del equipo de respuesta al riesgo. c) Procedimiento de respuesta en caso que ocurra una contingencia. d) Procedimiento de activacin e) Evaluacin preliminar del dao f) Asegurar la respuesta Inicial g) Evaluacin de daos h) Procedimiento de movilizacin de las partes involucradas. i) Lista de contactos externos j) Centro de control de crisis Repositorio que integra el inventario de los datos e informacin de los riesgos.
Repositorio de riesgos de TIC actualizado
7.2.3.3
Indicadores
Nombre
Objetivo
Descripcin Dimensin
Tipo
Frmula
Responsable
Cumplimiento Obtener la de la efectividad del administracin proceso de riesgos de TIC
Conocer el Efectividad De % de efectividad= cumplimiento gestin (Directrices de del proceso administracin de por la riesgos de TIC medicin de implantadas / la Directrices de la implantacin administracin de de las riesgos de TIC directrices planeadas) *100 rectoras del proceso
Administrador Semestral del proceso
Pg. 81 de 372
7.2.3.4 1.1 1.2 1.3 1.4 1.5 1.6 1.7
Reglas del proceso Los mandos superiores de la dependencia o entidad debern proveer a la UTIC de los recursos para establecer el proceso de Administracin de riesgos de TIC. La UTIC deber establecer las directrices para la administracin de riesgos de TIC de la dependencia o entidad. La UTIC deber designar un responsable del proceso de Administracin de riesgos. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. El responsable del proceso de Administracin de riesgos deber establecer y documentar el proceso de Administracin de riesgos de TIC explicando con precisin los objetivos de la UTIC y de la dependencia o entidad y el compromiso con relacin a la gestin de los riesgos en materia de TIC. El responsable del proceso de Administracin de riesgos de TIC deber definir los roles, responsabilidades y autoridad del personal, al establecer la administracin de riesgos de TIC. El responsable del proceso de Administracin de riesgos de TIC deber establecer mecanismos para el reporte de la gestin de los riesgos de TIC a las partes interesadas El responsable del proceso de Administracin de riesgos de TIC deber documentar, actualizar y revisar el proceso de Administracin de riesgos de TIC, incluyendo la formalizacin de las decisiones sobre los riesgos. El responsable del proceso de Administracin de riesgos de TIC debe realizar una revisin peridica de riesgos de TIC. El responsable del proceso de Administracin de riesgos de TIC debe implementar mecanismos de identificacin y valoracin de amenazas y riesgos. El responsable del proceso de Administracin de riesgos de TIC deber implementar un repositorio sobre incidentes y contingencias que contenga tambin los informes correspondientes, as como un reporte de anlisis de los riesgos valorados; esta informacin deber estar a disposicin de los responsables de la administracin de riesgos en la dependencia o entidad.
1.8 1.9 1.10
1.11 1.12 1.13
7.2.3.5
Pg. 82 de 372
7.3 7.3.1. 7.3.1.1. General.-
ADMINISTRACIN DE PROYECTOS Administracin de portafolio de proyectos de TIC Objetivos del proceso
Seleccionar las iniciativas de inversin en TIC que entreguen el mximo valor a la dependencia o entidad, mediante el establecimiento de reglas para el proceso y la ejecucin de las actividades de identificacin, evaluacin, seleccin, priorizacin, autorizacin, monitoreo y control del Portafolio de proyectos de TIC.
Las iniciativas de inversin consideran erogaciones tanto por adquisiciones de bienes como por servicios.
Especficos.1. 2. Establecer las directrices para la constitucin del Portafolio de proyectos de TIC y su administracin. Permitir una visin integral de los proyectos de TIC que genere sinergias y evite inversiones que no agreguen valor. 3. Actualizar el Portafolio de proyectos para minimizar las consecuencias de las desviaciones respecto al PETIC y de riesgos emergentes.
Pg. 83 de 372
7.3.1.2 7.3.1.2.1.
Diagrama de flujo de informacn

Documento estratgico de TIC PETIC Plan de tecnologa Solicitudes de mejora de procesos Presupuesto de TIC Solicitud de cambios del portafolio de proyectos
A El Repositorio de iniciativas de inversin se actualizan en todas las actividades del proceso
PE DDT APS OSGP
APP-1 Establecer directrices para el gobierno y evaluacin del portafolio de proyectos de TIC
Criterios de evaluacin de iniciativas de inversin Casos de negocio APP-2 Identificar y documentar iniciativas de inversin
EEG
APP-3 Evaluar y seleccionar iniciativas de inversin Caso de negocio
Repositorio de iniciativas de inversin
Reporte de evaluacin de iniciativas de inversin

PE, ADTI AF
APP-4 Priorizar y autorizar el Portafolio de proyectos de TIC
APTI
Acta de cierre Producto/servicio final Expediente de proyecto de TIC Evaluacin del cierre del proyecto de TIC
Bitcora de cambios al portafolio de proyectos de TIC
Informe de desempeo del portafolio de proyectos de TIC
APP-7 Cerrar iniciativa de inversin
Portafolio de proyectos de TIC
APP-6 Monitorear y controlar el Portafolio de proyectos de TIC
Informe final de iniciativa de inversin APP-5 Gobernar el programa/proyecto de la iniciativa de inversin

AD, PE, DDT, APS, OSGP Acta de constitucin del proyecto Informe de desempeo del programa de proyecto Tablero de control de proyectos Solicitudes de cambios
AD
APTI
Plan de gobierno del programa/proyecto Plan para la realizacin de beneficios Autorizacin para el inicio de proyecto Informe de desempeo del programa de proyectos
APTI
Pg. 84 de 372
Pg. 85 de 372
7.3.1.2.2.
APP-1 Establecer directrices para el gobierno y evaluacin del portafolio de proyectos de TIC
Descripcin
Definir los criterios para la toma de decisiones sobre la asignacin y uso de los recursos de la dependencia o entidad en proyectos de TIC y la realizacin de los beneficios de las inversiones propuestas.
Factores crticos
1.
2. 3.
4.
5.
Definir la forma de organizacin, los roles y las responsabilidades del Grupo de trabajo para la direccin de TIC en el gobierno del Portafolio de proyectos de TIC para la toma de decisiones acerca de: Prioridades de las iniciativas de inversin Inversin, asignacin y reasignacin de los recursos Alineacin de las inversiones en proyectos de TIC a las necesidades y objetivos de la dependencia o entidad. Autorizacin de nuevas iniciativas de inversin, suspensin, cambios o cancelacin de proyectos/programas y reasignacin de recursos entre proyectos. Definir los grupos y categoras/tipos de iniciativas de inversin derivadas de los procesos de planeacin estratgica de TIC, Determinacin de la direccin tecnolgica, Administracin de portafolio de servicios y Operacin del sistema de gestin y mejora de procesos de la UTIC, y de aquellas otras fuentes que detonen iniciativas que podrn ser presentadas al Grupo de trabajo para la direccin de TIC para su autorizacin en el Portafolio de proyectos, as como las caractersticas de las mismas. La categora de una iniciativa determina los criterios, niveles de aprobacin y el procedimiento para la elaboracin del Caso de negocio, evaluacin, seleccin y autorizacin para el inicio del proyecto. Las categoras pueden incluir sub-categoras denominadas tipos. Definir los criterios de evaluacin de iniciativas de inversin de una categora/tipo las propiedades para otorgar un rango, nivel o peso. Alineacin/contribucin a los objetivos y estrategias de la dependencia o entidad. Criterios financieros. Criterios de riesgos. Criterios de aspectos normativos y legales. Criterios de recursos humanos. Criterios tcnicos. Criterios de impacto y capacidad de la dependencia o entidad. Criterio de contrataciones relacionadas. Definir los parmetros de evaluacin de criterios que sern usados por cada categora. La asignacin de los parmetros de evaluacin de los criterios permitirn determinar un orden para la seleccin de iniciativas de inversin. Pueden ser cualitativos y/o cuantitativos y provienen de la variedad de fuentes de informacin de la dependencia o entidad. Criterios de evaluacin de iniciativas de inversin.
Pg. 86 de 372

APP-2 Identificar y documentar iniciativas de inversin
Mantener un registro de las iniciativas de inversin de TIC y de sus proyectos/programas relacionados. Darle seguimiento a las iniciativas de inversin durante su ciclo de vida. 1. Identificar e integrar todas las iniciativas de inversin de TIC de la entidad o dependencia. 2. Se debern incluir entre otras, las iniciativas de inversin estratgica derivadas de la planeacin estratgica de TIC, las iniciativas de inversin provenientes de las necesidades de desarrollo de nuevos servicios de TIC o de ajustes a servicios existentes, las iniciativas de inversin relativas a la continuidad de los servicios y las iniciativas de inversin en infraestructura y soporte de la dependencia o entidad. 3. Clasificar las iniciativas de TIC de acuerdo a los grupos y categoras/tipos definidos en los criterios de evaluacin. 4. Documentar cada iniciativa de TIC teniendo como mnimo informacin de : Identificacin (como nombre, fuente de la iniciativa, patrocinador, cliente, principales interesados), Alcance de alto nivel (como objetivos, alcance, plan de alto nivel, objetivos directivos que soporta, beneficios cuantitativos y cualitativos, recursos, entregables y riesgos), De gobierno (estructura de gobierno recomendada para administrar, controlar y soportar la iniciativa), y De seguimiento (el estado en el que se encuentra, cambios aprobados, administrador de la iniciativa). 5. Elaborar el caso de negocio de manera conjunta con el patrocinador de la iniciativa y la persona designada por el Grupo de trabajo para la direccin de TIC, considerando la justificacin para realizar la inversin relacionada con una iniciativa. Deber contener la informacin suficiente para evaluar, seleccionar y priorizar la iniciativa. Deber documentar claramente los beneficios esperados por la dependencia o entidad y la manera en que se va a medirlos. Los responsables del Caso de negocio son el patrocinador de la iniciativa y la persona designada por el Grupo de trabajo directivo de TIC. 6. Evaluar peridicamente, durante todo el ciclo de vida de la iniciativa, la vigencia del Caso de negocio, confrontndolo con cambios en la estrategia, el entorno, costos, incremento en riesgos o reduccin de los beneficios esperados. 7. De ser requerido, se actualiza el Caso de negocio y si hay cambios significativos, se presenta la informacin del impacto al Grupo de trabajo para la direccin de TIC para que se evale si se contina con la ejecucin de la iniciativa y, en su caso, se aprueben los cambios al Caso de negocio. 8. Mantener actualizado en el repositorio de iniciativas de inversin, la informacin del estatus de la iniciativa a lo largo de todo su ciclo de vida, desde su identificacin hasta su cierre y validacin de beneficios. Se debe incluir, en su caso, el registro de cancelacin. Repositorio de iniciativas de inversin Caso de negocio.
APP-3 Evaluar y seleccionar iniciativas de inversin

Descripcin
Las iniciativas de inversin son evaluadas por grupos y categoras/tipos para proveer comparaciones y determinar un orden de ejecucin que facilite el proceso de seleccin. Los resultados de la evaluacin se usan para seleccionar un subconjunto de iniciativas de
Pg. 87 de 372

inversin que sern propuestas al Grupo de trabajo para la direccin de TIC para su priorizacin y autorizacin.
Factores crticos
1. Evaluar cada iniciativa de inversin de acuerdo a los criterios de seleccin y al esquema de evaluacin y asignacin de valores, correspondiente a su categora/tipo. 2. Elaborar informes y representaciones grficas de los resultados de las evaluaciones para facilitar la toma de decisiones al Grupo de trabajo para la direccin de TIC. 3. Documentar recomendaciones resultantes del proceso de evaluacin. 4. Seleccionar las iniciativas de inversin que sern promocionadas para su priorizacin y autorizacin. 5. Para realizar esta seleccin se efectan diversos anlisis que contemplan los recursos con los que cuenta la organizacin para su ejecucin, entre los que se encuentran: Anlisis de capacidad de recursos humanos. Anlisis de capacidad financiera. Anlisis de capacidad de activos e infraestructura. 6. Identificar los requerimientos tecnolgicos. 7. Identificar las funciones sustantivas que sustenta. 8. Identificar los objetivos directivos que sustenta y el nivel de aportacin de valor a dichos objetivos. 9. Identificar los requerimientos regulatorios o legales que permitan sustentar la iniciativa. Reporte de evaluacin de iniciativas de inversin.
APP-4 Priorizar y autorizar el Portafolio de proyectos de TIC

Descripcin
La asignacin de prioridades permite comparar cada iniciativa del portafolio contra el resto de las seleccionadas, por grupo y categora/tipo. Priorizar permite determinar cules de las iniciativas de inversin pueden ser realizadas dentro de las restricciones financieras, humanas y tecnolgicas de la dependencia o entidad.
Factores crticos
1. Proponer y establecer un orden de acuerdo a la priorizacin de las iniciativas de inversin

seleccionadas. Clasificar las iniciativas de inversin seleccionadas Confirmar la clasificacin de las iniciativas de inversin seleccionadas. Evaluar las iniciativas de inversin seleccionadas Revisar y analizar el resultado de la evaluacin de las iniciativas de inversin seleccionadas Determinar y acordar el orden de prioridad de las iniciativas de inversin seleccionadas. 2. Someter a revisin del Grupo de trabajo para la direccin de TIC la propuesta de Portafolio de proyectos de TIC para determinar cules iniciativas de inversin sern autorizadas para su ejecucin, con base en los resultados de la evaluacin, el orden de prioridad y aspectos complementarios como la alineacin a los objetivos y estrategias de la dependencia o entidad. Se toman decisiones sobre la asignacin de recursos y se autoriza la ejecucin de un conjunto de iniciativas de inversin. Si el nivel de precisin necesario de la informacin de una iniciativa prioritaria es grande, se podra autorizar la realizacin de una fase de planeacin que provea informacin ms precisa para tomar una decisin sobre su realizacin. 3. Actualizar el Portafolio de proyectos de TIC con las iniciativas de inversin autorizadas.
Pg. 88 de 372

El Portafolio de proyectos de TIC se compone de todos los proyectos y/o programas de la dependencia o entidad derivados de iniciativas de inversin autorizadas para su ejecucin. Se deben incluir los siguientes aspectos al priorizar los proyectos del portafolio de TIC: Agregar al portafolio actual de proyectos de TIC los programas de proyectos derivados de las nuevas iniciativas de inversin autorizadas. Revisar los informes de rendimiento del Portafolio de proyectos de TIC y tomar decisiones para suspender, re-priorizar, continuar o cancelar. En base a los recursos disponibles, restricciones y a la valoracin previa, los proyectos se categorizan, priorizan y les se asignan recursos; el resultado conlleva un ajuste de prioridades y, a partir de este punto se convierte en iterativo, hasta su finalizacin o cancelacin. Someter a revisin y autorizacin del Grupo de trabajo para la direccin de TIC el Portafolio de proyectos de TIC ajustado. El Grupo de trabajo para la direccin de TIC deber asignar los proyectos y/o programas que integran al Portafolio de proyectos de TIC a los administradores de proyectos y/o programas de TIC para su ejecucin de acuerdo al proceso de Administracin de proyectos. El Administrador del portafolio de proyectos de TIC deber comunicar a la UTIC el Portafolio de proyectos de TIC y las decisiones tomadas por el Grupo de trabajo para la direccin de TIC. Bitcora de cambios al Portafolio de proyectos de TIC.
4.
5. 6.
7.
APP-5 Gobernar el programa/proyecto de la iniciativa de inversin

Descripcin
El responsable de la administracin del programa considera las iniciativas de inversin y establece un programa de proyectos que sern ejecutados. El Administrador del portafolio de proyectos asigna a los responsables la administracin de los programas para su seguimiento y control, con apego a las prcticas establecidas en el proceso de Administracin de proyectos. Si la realizacin de una iniciativa involucra un programa, el responsable administrar el conjunto de programas y se coordinar con los administradores de los proyectos que lo integran. Sin embargo, si la realizacin de una iniciativa involucra un solo proyecto, el responsable de su administracin es el administrador del proyecto.
Factores crticos
1. Revisar toda la informacin presentada para la autorizacin incluyendo el registro de la iniciativa, su caso de negocio y la asignacin de recursos autorizados, validando su entendimiento con los interesados, incluyendo el patrocinador de la iniciativa y el cliente. 2. Identificar las distintas alternativas para la consecucin de los objetivos establecidos en el caso de negocio de la iniciativa. Se evalan los beneficios, costos, riesgos y tiempo para cada alternativa. Se selecciona la alternativa con mayor potencial de valor, dentro de las restricciones de tiempo y el presupuesto autorizado. Se documenta la justificacin de la seleccin de la alternativa. Se elabora la justificacin del programa de proyectos a partir de la descripcin de Caso
Pg. 89 de 372
3. Determinar el conjunto de proyectos necesarios para la realizacin de la iniciativa.

de negocio de cada uno de los proyectos del programa; debe considerar informacin relacionada con factores tcnicos, de inversin y normativos que puedan aplicar a cada proyecto. 4. Elaborar un cronograma ejecutivo para el programa de proyectos, que muestre la duracin y las fechas de inicio y fin de cada proyecto. Este cronograma incluye los hitos de control, a fin de dar seguimiento puntual al programa, los cuales son puntos de control ejecutivo y se establecen de acuerdo a las restricciones, interdependencias entre proyectos del programa y eventos sobre los que se desea tener visibilidad para la toma de decisiones.
5. Elaborar y emitir las autorizaciones para el inicio de los proyectos del programa y asignar a los administradores de proyectos, siguiendo el proceso de Administracin de proyectos. 6. Elaborar un Plan para administrar el programa de proyectos. Este Plan de administracin del programa de proyectos integra toda la informacin requerida para dirigir y controlar el programa, incluyendo financiamiento, recursos, cronogramas, alcances, riesgos y comunicaciones. El plan est sujeto a revisin y aprobacin de los interesados, que son el patrocinador de la iniciativa, el Administrador de portafolio de proyectos de TIC, el responsable de administrar el programa y los administradores de proyectos involucrados. La elaboracin del Plan para administracin del programa de proyectos se realiza en paralelo de la elaboracin del plan de cada uno de los proyectos que lo constituyen, siguiendo el proceso de Administracin de proyectos. Si el programa contiene un solo proyecto, el Plan de gobierno del programa es el mismo que el Plan de administracin del proyecto. Este plan establece, para cada resultado clave del programa, la responsabilidad del logro del resultado, la fecha estimada de obtencin y el mecanismo de seguimiento. El plan debe incluir un registro detallado de los beneficios esperados por resultado, la explicacin de los riesgos que pueden representar una amenaza para el cumplimento de cada resultado clave y cmo estos riesgos deben ser mitigados.
7. Elaborar un plan para la realizacin de beneficios del programa.
8. Dar seguimiento y controlar el rendimiento del programa para asegurar que la ejecucin se lleve de acuerdo a los planes acordados. El seguimiento se da a lo largo de toda la vida del programa e incluye la recoleccin y medicin de rendimiento la evaluacin de tendencias y los riesgos. Se deben distribuir los informes del seguimiento.
9. Administrar los asuntos del programa. 10. Evaluar la realizacin de beneficios de acuerdo al plan para la realizacin de beneficios del programa. Seguimiento a la obtencin de los resultados clave estipulados en este plan y validacin de su cumplimiento. En caso de desviaciones se establecen acciones correctivas y si es necesario se escalan los asuntos a los involucrados que convoque el Administrador del portafolio de proyectos de TIC.
Plan de gobierno del programa/proyecto Plan para la realizacin de beneficios Autorizacin para el inicio de proyecto
Pg. 90 de 372

Informe de desempeo de programa de proyectos Informes de medicin y anlisis
APP-6 Monitorear y controlar el Portafolio de proyectos de TIC

Descripcin
Cada componente del portafolio se evala de manera individual para determinar su contribucin al conjunto del portafolio; se evala el portafolio en forma global para determinar si se estn cumpliendo los objetivos de la dependencia o entidad. Proporcionar informes para evaluar el estatus del portafolio y sustentar una adecuada toma de decisiones, sobre los componentes del portafolio (proyecto o programa de proyectos) que se deben conservar, en cules invertir, cules reemplazar, rechazar, cancelar o suspender.
Factores crticos
1. Evaluar de manera individual los proyectos, para determinar su contribucin al portafolio en 2. 3. 4. 5. 6.

su conjunto y evaluar en forma global el portafolio para determinar si se estn cumpliendo los objetivos de la dependencia o entidad. Elaborar y revisar los informes de rendimiento de los componentes del Portafolio de proyectos de TIC que se encuentran en ejecucin. Elaborar y revisar el orden de prioridad de los componentes del portafolio, las interdependencias, alcances, riesgos, asuntos, logros, resultados y avances e integrar un informe global de rendimiento del Portafolio de proyectos de TIC. Presentar al Grupo de trabajo para la direccin de TIC los informes de rendimiento para facilitar la toma de decisiones sobre la continuacin de los componentes del Portafolio de proyectos de TIC, la reasignacin de prioridades y el uso de los recursos. Escalar, para la atencin ejecutiva, los asuntos y riesgos que impacten el Portafolio de proyectos de TIC y los objetivos de la dependencia o entidad. Comunicar a los involucrados en el Portafolio de proyectos de TIC los ajustes o cambios decididos por el Grupo de trabajo para la direccin de TIC para mitigar riesgos y/o aprovechar oportunidades Informe de desempeo del portafolio de proyectos de TIC
APP-7 Cerrar iniciativa de inversin

Descripcin
Cerrar administrativamente la iniciativa mediante la integracin del informe final con base en el caso de negocio autorizado y que incluya la evaluacin de los resultados y de beneficios desde la perspectiva de la dependencia o entidad.
Factores crticos
1. Revisar los resultados y la documentacin final de los proyectos asociados a la iniciativa.

Una vez concluidos y cerrados todos los proyectos asociados a una iniciativa se procede a comparar los resultados obtenidos con los esperados, de acuerdo a los criterios de medicin documentados en el caso de negocio de la iniciativa. 2. Evaluar los beneficios de la iniciativa mediante revisiones posteriores a la conclusin y cierre de la iniciativa. Las revisiones debern efectuarse despus de la implementacin de los productos y servicios elaborados como resultado de la iniciativa. 3. Realizar un informe final de la iniciativa. El reporte integra los resultados y hallazgos de la revisin de los proyectos realizados, as como las lecciones aprendidas para mejorar la eficacia y eficiencia de la Administracin de portafolio de proyectos de TIC.
Pg. 91 de 372

Informe final de iniciativa de inversin.
7.3.1.2.3
Rol
Descripcin de roles
Descripcin
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos, inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los resultados de la UTIC. Debe asegurar la direccin y el control de los procesos y servicios de TIC. Tiene la responsabilidad de seleccionar, autorizar iniciativas de inversin y tomar decisiones sobre el impacto y control del Portafolio de proyectos de TIC. Responsable de la administracin de uno o ms portafolios, identifica, prioriza, propone para autorizacin, administra y controla proyectos, programas y otras actividades para el logro de los objetivos de la dependencia o entidad. Convocar, en caso de ser necesario, a los responsables de la administracin de programas y a responsables de administracin de proyectos, a patrocinadores de la iniciativa y a otros interesados, para la toma de decisiones que impacten en el cumplimiento de los beneficios y objetivos del Portafolio de proyectos de TIC. rea usuaria que define y propone la iniciativa de TIC, as como los requerimientos funcionales, operativos y beneficios. Persona responsable de la direccin y control del programa de proyectos; debe asegurar el cumplimiento de los objetivos de la iniciativa y proporcionar un resultado final exitoso en tiempo y forma. Persona responsable de la direccin y control del proyecto o programa de proyectos que se determinan con el propsito de cumplir con los objetivos de la iniciativa y poder proporcionar un resultado final exitoso en tiempo y forma. No veo la diferencia entre el anterior y este Persona responsable de la administracin del proyecto de TIC, debe asegurar el cumplimiento de los objetivos del proyecto y proporcionar un resultado final exitoso en tiempo y forma.
Administrador del portafolio de proyectos de TIC
Patrocinador de la Iniciativa Responsable de la administracin del programa de proyectos Responsable de la administracin del programa Administradores de proyectos
7.3.1.2.4
Producto
Descripcin
Criterios de evaluacin de iniciativas de
Se definen las propiedades cualitativas y/o cuantitativas de los criterios que se establecen para evaluar las iniciativas de inversin de una categora/tipo determinada. Criterios mnimos para la evaluacin de iniciativas de inversin:
Pg. 92 de 372
Producto inversin
Descripcin
Alineacin/contribucin a los objetivos y estrategias de la dependencia o entidad. Criterios financieros. Criterios de riesgos. Criterios de aspectos normativos y legales. Criterios de recursos humanos. Criterios tcnicos. Criterios de impacto y capacidad de la dependencia o entidad. Criterio de contrataciones relacionadas.
Repositorio de iniciativas de inversin
Caso de negocio
Reporte de evaluacin de iniciativas de inversin
Incluye informacin de identificacin (como nombre, fuente de la iniciativa, patrocinador, cliente, principales interesados), de alcance de alto nivel (como objetivos, alcance, plan de alto nivel, objetivos directivos que sustenta, beneficios cuantitativos y cualitativos, recursos, entregables y riesgos), de gobierno (estructura de gobierno recomendada para administrar, controlar y sustentar la iniciativa) y de seguimiento (como el estatus, cambios aprobados, administrador de la iniciativa). Justificacin tcnica y econmica de cmo se puede crear valor en la dependencia o entidad a travs de la iniciativa, para garantizar la consecucin de los resultados esperados. Para ello se apoya en indicadores cualitativos y/o cuantitativos. El contenido bsico del caso de negocio consiste en los principales recursos a invertir y las capacidades tcnicas, operativas y de negocio por desarrollar, dando como resultado la rentabilidad financiera u otros resultados no financieros pero determinantes para decidir el valor de la iniciativa. Reporte que documenta el resultado de la evaluacin de las iniciativas de inversin propuestas, fundamento para la seleccin, priorizacin y autorizacin: Iniciativas de inversin autorizadas Iniciativas de inversin no autorizadas Representacin grfica de la evaluacin de las iniciativas de inversin. Incluye informacin acerca de solicitudes de cambios del Portafolio de proyectos de TIC, resultado de evaluacin del impacto al cambio y autorizacin de los cambios. Incluye para cada uno de los proyectos informacin de las decisiones tomadas sobre suspensin, re-priorizacin, continuacin o cancelacin, en base al resultado del balance del Portafolio de proyectos. Se compone de todos los proyectos y/o programas de la dependencia o entidad derivados de iniciativas de inversin autorizadas para su ejecucin.
Bitcora de cambios al portafolio de proyectos de TIC
Portafolio de proyectos de TIC
Plan de gobierno del Integra toda la informacin sobre finanzas, recursos, cronogramas, alcance, riesgos y programa/ proyecto comunicaciones, que se requiere para dirigir y controlar el programa /proyecto. Autorizacin para el inicio de proyecto Informe de desempeo del programa de proyectos Informe de desempeo del portafolio de
Documento que autoriza formalmente el inicio del proyecto. Informes y reportes que organizan y resumen la informacin sobre el avance de los proyectos del programa y presentan los resultados del anlisis comparativo del avance real y planeado. Informes y reportes que organizan y resumen la informacin recopilada sobre el avance global del Portafolio de proyectos.
Pg. 93 de 372
Producto proyectos de TIC Informe final de iniciativa de inversin Plan para la realizacin de beneficios
Descripcin
Informe final que integra los resultados y hallazgos de la revisin de resultados de los proyectos que la componen, elaborado al cierre de la iniciativa de inversin. Contiene las lecciones aprendidas para mejorar la eficacia y eficiencia de la administracin de portafolios. Plan que establece, para cada resultado clave del proyecto/programa, la responsabilidad para el logro del resultado, su fecha estimada de obtencin y el mecanismo de seguimiento. Este debe incluir un registro detallado de los beneficios globales esperados, la explicacin de los riesgos que pueden amenazar el cumplimento de cada resultado clave y cmo estos riesgos deben ser mitigados. Este informe comprende los resultados del seguimiento y control del programa a lo largo de su ciclo de vida, informes de rendimiento y la evaluacin de tendencias y riesgos.
7.3.1.3
Indicadores
Frecuencia de clculo Semestral
Nombre Resultados del proceso de Administracin del portafolio de proyectos
Objetivo Conocer los resultados del proceso de Administracin del portafolio de proyectos
Descripcin Dimensin Medir la Eficiencia eficiencia del proceso por el numero de casos de negocio desarrollados
Tipo De gestin
Frmula
Responsable
Cumplimiento de beneficios
Conocer la obtencin de resultados de acuerdo al plan de realizaciones de beneficios
Medir la Eficacia eficiencia del proceso por los beneficios alcanzados
De gestin
% eficiencia= UTIC (nmero de casos de negocio desarrollados / nmero de solicitudes de desarrollo de iniciativas de inversin) X 100 UTIC % eficacia= (Nmero de beneficios alcanzados / Nmero de beneficios establecidos en el programa de proyectos) X 100
Semestral
7.3.1.4. 1.1.
Reglas del proceso El Grupo de trabajo para la direccin de TIC, ser responsable de autorizar las iniciativas de inversin que conformarn el Portafolio de proyectos de TIC, as como de tomar decisiones en caso de presentarse riesgos y oportunidades de alto impacto. El Grupo de trabajo para la direccin de TIC deber designar un responsable que administre cada iniciativa autorizada conforme al proceso de Administracin de proyectos de TIC.
Pg. 94 de 372
1.2.

1.3 La autorizacin de iniciativas de inversin deber estar sustentada en una justificacin tcnico econmica o caso de negocio que presenta claramente los costos y beneficios, tangibles e intangibles esperados y deber actualizarse cuando presente cambios. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. El Administrador del portafolio de proyectos de TIC tendr la responsabilidad de la identificacin, evaluacin, seleccin, determinacin de prioridades y de la propuesta para autorizacin de las iniciativas de inversin del Portafolio de proyectos de TIC as como de su actualizacin y de presentarlas al Grupo de trabajo para la direccin de TIC para la toma de decisiones en caso de presentarse riesgos, desviaciones y oportunidades. Se deber dar seguimiento y revisar peridicamente el estatus del Portafolio de proyectos de TIC para tomar las decisiones y acciones preventivas, correctivas y oportunas sobre la continuidad de la inversin en recursos y de ser necesario ajustar, modificar, suspender o cancelar proyectos de TIC. El Grupo de trabajo para la direccin de TIC deber evaluar los resultados de la ejecucin del Portafolio de proyectos de TIC y de la realizacin de los programas asociados a cada iniciativa, con el propsito de determinar el cumplimiento de los objetivos y beneficios esperados. La UTIC deber asegurar que la planeacin y administracin del Portafolio de proyectos de TIC se apega a la normatividad para el uso y control de recursos financieros y humanos requeridos en los proyectos a implantar, as como del Marco rector de procesos de TIC.
1.4 1.5 1.6 1.7
1.8
1.9
1.10
7.3.1.5.
Pg. 95 de 372
7.3.2. 7.3.2.1.
Administracin de proyectos de TIC Objetivos del proceso
General.Obtener los resultados esperados de los proyectos de TIC, mediante una planeacin efectiva y la aplicacin de conocimientos, habilidades, herramientas, tcnicas y recursos en el desarrollo de las actividades de un proyecto, con el fin de satisfacer, cumplir y superar las necesidades y objetivos de las iniciativas de inversin de TIC.
Especficos.-
1. Desarrollar y acordar con los involucrados el Plan del proyecto. 2. Dirigir y controlar las actividades siguiendo el Plan del proyecto, con el propsito de realizar el trabajo acordado respetando el alcance. 3. Asegurar que se cuenta con mediciones para detectar oportunamente desviaciones. 4. Ejecutar acciones preventivas y correctivas para evitar o subsanar desviaciones durante el proyecto. 5. Comunicar oportunamente a los interesados asuntos y riesgos para su anlisis y atencin. 6. Evaluar los cambios en los proyectos asegurando que se evalen sus impactos en el Plan del proyecto antes de su autorizacin.
7. Asegurar la calidad del producto o servicio garantizando el cumplimiento de los criterios de satisfaccin
del usuario.
Pg. 96 de 372
7.3.2.2. 7.3.2.2.1.

Autorizacin para el inicio del proyecto Plan de gobierno del programa/proyecto Plan para la realizacin de beneficios Bitcora de resultados de las pruebas de factibilidad Copia de contrato TIC
APV APTI-1 Iniciar el proyecto APP Acta de constitucin del proyecto Ciclo de vida del proyecto
APTI-2 Definir el ciclo de vida del proyecto
APTI-3 Detallar el alcance
ARTI APTI-4 Elaborar el plan de proyecto/fase Estructura de desglose del trabajo (EDT) Documentacin del alcance del proyecto ATA DST Reporte del progreso y desempeo del proveedor Evaluacin de desempeo del proveedor Reporte de hallazgos Informe de estatus del contrato Lista de verificacin de compromisos contractuales
Directriz rectora del proceso de administracin de riesgos de TIC
APV
Plan del proyecto
APTI-5 Administrar los riesgos Repositorio central del proyecto APP, OSGP Registro de riesgos Acta de cierre Producto/servicio final Expediente de proyecto de TIC Evaluacin del cierre del proyecto de TIC Informes de desempeo del programa de proyecto Lista de asuntos y acuerdos del proyecto Actas de aceptacin de entregables Solicitudes de cambio Tablero de control del proyecto
APTI-8 Cerrar el proyecto/fase
APTI-6 Dirigir y realizar el trabajo
Informacin de trabajo realizado
APTI-7 Supervisar y controlar el trabajo
ADTI
Contrato suscrito
Pg. 97 de 372
Descripcin del flujo de actividades
Pg. 98 de 372
7.3.2.2.2.
APTI-1: Iniciar el proyecto

Tiene como propsito dar inicio formalmente a un proyecto.
1. 2.
Asignar formalmente a un responsable de llevar la administracin del proyecto para que cumpla con los objetivos del proyecto y producto o servicio final en tiempo y forma. Para todo proyecto aprobado en el Portafolio de proyectos de TIC, deber designarse a un administrador de proyecto, que ser responsable del desarrollo y cumplimiento del mismo. Analizar la informacin de antecedentes del proyecto. Facilitar al administrador del proyecto la informacin necesaria para realizar el proyecto, que le permita comprender su importancia para la dependencia o entidad y corroborar el alcance, de acuerdo a los objetivos y requerimientos establecidos en los documentos que sustentaron la aprobacin de la ejecucin del proyecto, incluyendo contratos si existen. Identificar proyectos relacionados para determinar interdependencias, coordinar esfuerzos, identificar riesgos y explorar alternativas que permitan evitar conflictos entre proyectos mientras se cumple con sus objetivos. Identificar a los interesados o actores del proyecto que son afectados, participan o son beneficiados, documentando y conciliando las expectativas sobre el proyecto. Emitir el Acta de constitucin del proyecto con la finalidad de dotar al responsable de la administracin del proyecto de la autoridad de ejercer los recursos organizacionales acordados para realizar las actividades del proyecto. Acta de constitucin del proyecto
3. 4.
5.
6. 7.
APTI-2: Definir el ciclo de vida del proyecto

Definir el ciclo de vida del proyecto.
1. Definir el ciclo de vida del proyecto considerando entre otros factores, el tamao del
proyecto, restricciones como el tiempo y objetivos de calidad, experiencia y familiaridad del equipo de trabajo del proyecto con las tecnologas a emplear y los productos a desarrollar. Utilizar la informacin existente como formatos, lecciones aprendidas, ejemplos de documentos, modelos de estimacin y mecanismos de comunicacin.
2. Revisar el ciclo de vida del proyecto cada vez que sea necesario.
Puede realizarse cualquier tipo de revisin en la dependencia o entidad de acuerdo al proceso de Operacin del sistema de gestin y mejora de procesos de la UTIC del presente Manual. 3. Identificar el ambiente de trabajo necesario para el desarrollo del proyecto (servidores,
Pg. 99 de 372

equipos de desarrollo, equipos de pruebas, herramientas, infraestructura).
Ciclo de vida del proyecto Repositorio central del proyecto
APTI-3: Detallar el alcance

Tiene el propsito de recolectar, analizar y definir las necesidades y caractersticas del proyecto, para establecer los principales elementos que definan la solucin. 1. Acordar el alcance del proyecto, en funcin del producto o solucin tecnolgica a entregar. 2. El alcance del producto deber ser acordado con todos los interesados, particularmente con el cliente, el patrocinador y el equipo de trabajo del proyecto. 3. Acordar con el equipo de trabajo del proyecto y otros interesados el alcance del trabajo. 4. El alcance del trabajo se documenta en una estructura de desglose del trabajo (EDT) que documenta las actividades o los entregables que sern ejecutados por el equipo de trabajo del proyecto, para lograr sus objetivos y crear los productos/entregables requeridos. 5. La EDT organiza y define el alcance total del proyecto. Estructura de desglose del trabajo (EDT) Documentacin del alcance del proyecto
APTI-4: Elaborar el Plan del proyecto/fase

Descripcin
Factores crticos
Consiste en establecer el Plan del proyecto con el cual se guiar la ejecucin, se dar seguimiento y se controlar la realizacin del proyecto a lo largo de su ciclo de vida. El Plan del proyecto establece como se cumplir con los objetivos del proyecto, tomando en cuenta los factores, procesos e interacciones que lo componen o afectan durante su ciclo de vida. 1. Elaborar el cronograma del proyecto, partiendo de la EDT y de acuerdo con las restricciones establecidas en el Acta de constitucin del proyecto. Se deben definir las actividades, elaborar el diagrama de red con las actividades predecesoras y sucesoras, realizar los estimados, calcular las duraciones y las fechas de inicio y fin. El cronograma deber ser elaborado con la participacin de los interesados, particularmente con los responsables de desarrollar actividades. 2. Elaborar el presupuesto del proyecto partiendo de la EDT, del cronograma del proyecto, detallando las estimaciones de los recursos necesarios para realizar las actividades programadas y conforme al presupuesto autorizado en la carta de constitucin del proyecto. Se debe ajustar el alcance del proyecto y el Plan del proyecto (incluyendo el cronograma) en caso necesario. 3. Desarrollar el Plan del proyecto. Documentar un plan que en forma integral documente todos los procesos, mtodos, herramientas, roles y responsabilidades para la administracin y la realizacin del producto o servicio del proyecto. El Plan del proyecto debe integrar a las lneas base para el control del tiempo (cronograma), costo (presupuesto) y alcance del proyecto (documentacin del alcance y la EDT) y el ambiente de trabajo del proyecto (servidores, equipos de desarrollo, equipos de pruebas, herramientas, infraestructura). El Plan del proyecto deber integrar los planes especficos: Plan del alcance Plan del tiempo
Pg. 100 de 372

Plan del costo Plan de calidad Plan de recursos humanos Plan de comunicaciones Plan de riesgos Plan de adquisiciones Plan de configuracin y cambios Para mayor detalle del contenido de cada uno de estos planes ver la descripcin de producto del Plan del proyecto. 4. Aprobar el Plan del proyecto, ratificando los compromisos y acuerdos en los que se sustenta el plan. 5. Comunicar el Plan del proyecto a todos los interesados. 6. Revisar el Plan del proyecto cada vez que sea necesario cuidando de mantener el control de las versiones de las lneas base mediante solicitudes de cambios aprobadas y de comunicar los cambios a todos los interesados.
Plan del proyecto
APTI-5: Administrar los riesgos

Descripcin
Factores crticos
Eliminar o minimizar los riesgos por medio de un proceso sistemtico de planeacin, identificacin, anlisis, respuesta, monitoreo y control de las reas o eventos que tengan el potencial de ocasionar cambios no deseados. 1. Identificar riesgos. La identificacin de riesgos es un proceso iterativo debido a que se pueden descubrir nuevos riesgos a medida que el proyecto avanza a lo largo de su ciclo de vida. El equipo de trabajo del proyecto debe participar en la identificacin de los riesgos para poder desarrollar y mantener un sentido de pertenencia y responsabilidad por los riesgos y las acciones asociadas a la respuesta a los riesgos. Los riesgos identificados se documentan en un registro de riesgos. 2. Clasificar riesgos. Los riesgos se categorizan por tipo de riesgo, se identifican y agrupan por la causa raz y se elaboran propuestas que los minimicen o eliminen. Para clasificarlos se pueden utilizar metodologas como la matriz FODA que analiza fortalezas, oportunidades, debilidades y amenazas. 3. Responder a los riesgos. Se determina la prioridad de atencin de los riesgos identificados y las acciones que sern realizadas para atender el riesgo, incluyendo las acciones de mitigacin y la definicin de un Plan de contingencia. 4. Dar seguimiento y controlar riesgos. Realizar el seguimiento de los riesgos identificados, identificar nuevos riesgos, ejecutar planes de respuesta a los riesgos y evaluar su efectividad a lo largo del ciclo de vida del proyecto. 5. Adecuar el Plan de proyecto, incluyendo la documentacin del alcance, la EDT, el cronograma y el presupuesto, para incorporar las decisiones derivadas de la administracin de riesgos que impacten al plan. Registro de riesgos Repositorio central del proyecto
Pg. 101 de 372
APTI-6: Dirigir y realizar el trabajo

Consiste en la direccin y coordinacin de las acciones para ejecutar el Plan del proyecto y su cronograma respectivo, con el propsito de realizar el trabajo ah descrito. 1. Mantener el ambiente de trabajo del proyecto (servidores, equipos de desarrollo, equipos de pruebas, herramientas, infraestructura). 2. Asegurar que se realiza el trabajo necesario para elaborar los productos entregables y dar cumplimiento a los objetivos del proyecto de acuerdo a lo planeado. 3. Durante la realizacin del trabajo se ejecutan las actividades de calidad de acuerdo a lo establecido en el Plan de Calidad. 4. El responsable de administrar el proyecto deber supervisar la adquisicin de los recursos y el equipo necesario para la realizacin del trabajo. Es fundamental garantizar que el equipo de trabajo del proyecto cuente con las habilidades para realizar su trabajo mediante la provisin del entrenamiento y capacitacin que requiera. 5. Durante la ejecucin se distribuye la informacin requerida de acuerdo al Plan de administracin del proyecto, con el propsito de mantener informados a los interesados y administrar adecuadamente sus expectativas. Informacin de trabajo realizado
APTI-7: Supervisar y controlar el trabajo

Descripcin
Factores crticos
Comprende las actividades para controlar efectivamente el proyecto a travs del seguimiento del plan, reportando avances, manteniendo al da el control de cambios y documentando las lecciones aprendidas a fin de recomendar acciones preventivas como anticipacin de posibles problemas. 1. Dar seguimiento al rendimiento y avance del proyecto evaluando peridicamente los puntos de control que permitan identificar las variaciones respecto del Plan del proyecto, para controlar los cambios y recomendar acciones preventivas como anticipacin de posibles problemas y adoptar las acciones correctivas cuando sean necesarias para controlar la ejecucin del proyecto. 2. Integrar los informes de rendimiento y realizar revisiones del avance e hitos del proyecto. Los informes deben proporcionar la informacin sobre el estado y el avance, con el nivel de detalles requerido por los diversos interesados, segn lo documentado en el Plan de comunicaciones. 3. Entregar y revisar con el Administrador del portafolio de proyectos de TIC el informe del rendimiento del proyecto, as como los riesgos, hallazgos y oportunidades identificadas. 4. Analizar los asuntos del proyecto y darle seguimiento hasta su cierre. 5. Acordar formalmente la aceptacin de entregables; los que se presenten para aprobacin, debern haber sido sujetos a todas las actividades de calidad que se establezcan en el Plan de calidad. 6. Realizar el control de los cambios al proyecto, de modo que todos los cambios aprobados a las lneas base del proyecto (Ej. costos (presupuesto), tiempo (cronograma), y alcance (documentacin del alcance y EDT)) se revisen, aprueben e incorporen de manera apropiada al Plan del proyecto. 7. Informar el seguimiento del proyecto y recibir retroalimentacin de quien corresponda sobre los procesos de Administracin de proveedores, Adquisiciones de TIC, Administracin financiera y Operacin del sistema de gestin y mejora de procesos de la UTIC del presente manual.
Pg. 102 de 372

Informes de desempeo del programa de proyecto Lista de asuntos y acuerdos del proyecto Actas de aceptacin de entregables Solicitudes de cambio Tablero de control del proyecto
APTI-8: Cerrar el proyecto/fase

Descripcin
Factores crticos
Verificar que las actividades definidas en el Plan de proyecto o en una fase, se hayan realizado. El cierre incluye la entrega ordenada de todos los documentos generados durante el desarrollo del proyecto o la fase, as como la verificacin del cumplimiento de los acuerdos contractuales y de la ejecucin de las evaluaciones de desempeo comprometidas. 1. Revisar y validar que el expediente y documentacin de sustento del proyecto de TIC cumpla con los elementos de calidad del proceso de Operacin del sistema de gestin y mejora de procesos de la UTIC del presente manual, como la documentacin de lecciones aprendidas y la mejora continua. 2. Integrar el expediente del proyecto de TIC el cual contendr la documentacin soporte, resultados finales, archivos, cambios, directorios, evaluaciones y lecciones aprendidas entre otros. 3. Formalizar el cierre del proyecto a travs del acta de cierre firmada por el cliente y/o patrocinador y los responsables de la administracin y supervisin del proyecto. 4. Realizar las notificaciones correspondientes de trmino del proyecto a los procesos de Administracin del Portafolio de proyectos de TIC, Adquisiciones de TIC, Administracin de proveedores, Administracin financiera y Operacin del sistema de gestin y mejora de procesos de la UTIC del presente manual, para que se lleven a cabo los procesos de cierre correspondientes. 5. Concluir y realizar el cierre contractual, en donde se verifiquen los entregables del proyecto. Los trminos del contrato y sus condiciones pueden determinar procedimientos especficos para el cierre del contrato. Terminar antes de la fecha programada es un caso especial de cierre de contrato. 6. Concluir y realizar el cierre administrativo conforme a lo establecido en los procesos de Administracin de proveedores y Adquisiciones de TIC del presente manual, asegurando y documentando los resultados del proyecto para formalizar la aceptacin de los entregables integrados por el administrador del proyecto; stos incluirn las observaciones del cliente y/o el patrocinador el administrador del contrato (ver proceso de Administracin de proveedores), los documentos finales, as como el anlisis de efectividad y xito del proyecto. 7. Asegurar la calidad y disponibilidad del expediente y documentacin soporte del proyecto de TIC para su uso posterior, con la finalidad de facilitar referencias, desarrollo de futuros proyectos y auditoras externas o internas. 8. Considerar las actividades necesarias para lograr una transicin efectiva del producto o servicio, incluyendo capacitacin, materiales y dems herramientas necesarias, con el propsito de que el usuario final utilice el producto o servicio generado. 9. Obtener la retroalimentacin de todos los involucrados en el proyecto y discutirla con el equipo, el cliente, el patrocinador, el administrador del contrato (ver proceso de Administracin de proveedores). La evaluacin servir para documentar el desempeo del equipo del proyecto al cierre y para capitalizar las lecciones aprendidas. Puntos a evaluar: Retroalimentacin del proceso de Administracin del portafolio de proyectos de TIC. Retroalimentacin del cliente o usuario (cumplimiento de requerimientos)
Pg. 103 de 372

Veracidad, relevancia y oportunidad de reportes. Efectividad de distribucin de roles y funciones. Prediccin y manejo adecuado de riesgos. Oportunidad de entregas parciales y finales. Ahorro en costos. Integracin del equipo del proyecto. Resultados predecibles. Orden en la administracin del proyecto. Fundamentacin de decisiones. Integralidad y correccin del plan y la informacin del proyecto. Cumplimiento del producto del proyecto con el estndar de calidad establecido. Apego al Plan del proyecto. Relacin con los involucrados en el proyecto (equipo, cliente, proveedores, administrador del proyecto y dems participantes). Acta de cierre Producto/servicio final Expediente de proyecto de TIC Evaluacin del cierre del proyecto de TIC
7.3.2.2.3
Rol
Descripcin de roles
Descripcin
Administrador del proyecto
Patrocinador del proyecto
Cliente
Usuario Equipo de trabajo del proyecto
Es el responsable del desarrollo y cumplimiento de las actividades del proyecto. Nombrado por la UTIC lidera al equipo de trabajo del proyecto para alcanzar los objetivos, asegura la comunicacin efectiva entre la administracin y otras organizaciones y asegura que los problemas del proyecto sean identificados y resueltos a tiempo y adecuadamente, para proporcionar un resultado final exitoso en tiempo y forma. El Administrador del proyecto deber contar con capacidades, conocimientos, habilidades, herramientas y tcnicas de administracin de proyectos. Es el encargado de promover el financiamiento del proyecto y que se provean los recursos necesarios, trabaja estrechamente con el Administrador del portafolio de proyectos de TIC y con el administrador del proyecto, para definir los factores crticos de xito y las mtricas para su evaluacin. Dependencia y/o entidad, persona, entidad externa o interna que define los alcances del proyecto, establece los criterios funcionales de aceptacin y recibe los resultados o productos de TIC del proyecto. Dependencia y/o entidad, persona, entidad externa o interna que usar los resultados del proyecto de TIC y recibir sus beneficios. Incluye los roles definidos en el proceso y es encargado de planear, ejecutar, controlar y cerrar el ciclo de vida del proceso de Administracin de Proyectos de TIC.
Pg. 104 de 372
7.3.2.2.4
Producto
Descripcin
Acta de constitucin del proyecto Ciclo de vida del proyecto Documentacin del alcance del proyecto
Plan del proyecto
Documento con el que se autoriza formalmente el inicio del proyecto y que designa al administrador del proyecto. El Acta de constitucin del proyecto es emitida por el patrocinador del proyecto cuando es autorizado en el proceso de Administracin del portafolio de proyectos de TIC. Define las fases en que se pueden dividir los proyectos, conectando el inicio de un proyecto con su fin y describe tambin el ambiente en el cual operan los proyectos, con el propsito de facilitar su gestin. Incluye la informacin requerida para establecer el alcance del proyecto; la documentacin del alcance incluye entre otros: a) Los objetivos detallados del proyecto. b) La especificacin de los productos y entregables. c) Los supuestos y restricciones. d) La documentacin de los requerimientos del proyecto. e) Criterios de aceptacin para entregables y fases del proyecto. Establece de manera formal la estrategia, responsabilidades y planes a seguir para lograr los objetivos del proyecto, e integra la totalidad de la informacin requerida para administrar el proyecto. Algunos puntos que deben ser considerados en este documento son: a) Supuestos, interdependencias, restricciones y exclusiones. b) Lneas base para el control del tiempo (cronograma), costo (presupuesto) y alcance (incluyendo la EDT), ambiente de trabajo del proyecto (servidores, equipos de desarrollo, equipos de pruebas, herramientas, infraestructura). c) Planes especficos de: Plan del alcance. Define la metodologa para la definicin del alcance, la creacin de la EDT, la aprobacin de entregables y el control de cambios del alcance. Plan del tiempo. Define la metodologa para la creacin y el control de cambios del cronograma. Plan del costo. Define la metodologa para la creacin y el control de cambios del presupuesto. Plan de calidad. Define la metodologa para la planeacin de la calidad, el establecimiento de los objetivos de calidad y las actividades de aseguramiento y control de la calidad. Plan de comunicaciones. En este plan se identifican los requerimientos de informacin de los interesados y se determina cmo se va proporcionar la informacin necesaria durante la realizacin del proyecto. El Plan de comunicacin detalla, entre otros, qu informacin se va a comunicar, a quin, con que propsito, el medio y la frecuencia. Plan de riesgos. Define la metodologa para la identificacin, clasificacin, anlisis, atencin y seguimiento de los riesgos. Plan de recursos humanos. Define la estructura organizacional del proyecto, establece roles y responsabilidades, define la metodologa para la integracin, desarrollo y administracin del equipo de trabajo del proyecto. Incluye el Plan de capacitacin y entrenamiento, as como el sistema de incentivos y
Pg. 105 de 372
Producto
Descripcin
Repositorio central del proyecto
recompensas. Plan de adquisiciones. Define qu se va a adquirir, cmo se van a contratar los servicios/productos, los criterios de seleccin de proveedores, cundo se debe contratar, cul es el presupuesto para cada contrato, el tipo de contrato y el esquema de contratacin. Plan de configuracin y cambios. Define la metodologa y el sistema de control de cambios, incluyendo los tipos de cambios y los niveles para la autorizacin de cambios al proyecto. Es el conjunto de datos e informacin, resultado de la ejecucin de las actividades durante el ciclo de vida del proyecto
La estructura de desglose de trabajo (EDT) es una descomposicin jerrquica, con Estructura de desglose del trabajo orientacin hacia el producto/entregable, del trabajo que ser ejecutado por el equipo del proyecto para lograr sus objetivos y crear los productos entregables requeridos, internos (EDT) y externos.
Lista de asuntos y acuerdos del proyecto Informes de desempeo del programa de proyecto Acta de cierre
Lista que permite el registro de asuntos y acuerdos de manera ordenada, facilitando la administracin y cumplimiento de los mismos. Informes y reportes que organizan y resumen la informacin del avance del proyecto y presentan los resultados del anlisis comparativo del avance contra el plan.
Documento en el que los involucrados relevantes reconocen el cierre del proyecto y validan que el proyecto ha generado el producto y/o servicios establecidos. Es el resultado final del proyecto; puede ser un producto o un servicio. Lista ordenada de riesgos del proyecto, ordenados y asociados a las acciones para mitigarlos y/o al Plan de contingencia. El contenido del registro de riesgos deber contener al menos: Identificacin del riesgo. Fecha de registro. Estado. Descripcin detallada del riesgo. Tipo de riesgo. Descripcin del impacto posible. Probabilidad estimada de ocurrencia. Estimacin de impacto. Prioridad. Disparadores/ sntomas que indican la posibilidad latente del riesgo. Responsable a cargo de enfrentar el riesgo. Plan de mitigacin. Plan de contingencia. Fecha de seguimiento Observaciones
Pg. 106 de 372
Producto/servicio final Registro de riesgos
Producto Informacin del trabajo realizado
Descripcin
Registro de informacin de las actividades realizadas y resultados obtenidos, utilizado para informar el rendimiento y el estatus del proyecto a los interesados. Esta informacin incluye, entre otra: Productos entregables terminados y no terminados. Actividades iniciadas y finalizadas. Actividades con retraso. Cumplimiento de los estndares de calidad. Gastos autorizados y realizados. Estimaciones del esfuerzo remanente para concluir las actividades del cronograma. Porcentaje de actividades realizadas. Lecciones aprendidas documentadas y registradas en la base de conocimientos de lecciones aprendidas. Detalle de la utilizacin de recursos. Bitcoras de trabajo. Actas de aceptacin Documentos que se preparan y firman conjuntamente con el usuario para reconocer que un conjunto de tareas y de entregables se han realizado de acuerdo a lo establecido y de entregables cumplen con los requerimientos acordados. El contenido de estos documentos debe ser al menos el siguiente: Identificacin y nombre del proyecto Fecha del acta Objetivo del documento Comparativo de tareas efectuadas y comprometidas Comparativo de entregables elaborados y entregables comprometidos Firmas de conformidad del producto o servicio Solicitudes para ampliar o reducir el alcance de un proyecto. nicamente se procesan las Solicitudes de solicitudes de cambio formalmente documentadas y slo se implementan las solicitudes cambio de cambio aprobadas. Una solicitud de cambio deber contener al menos: Fecha de solicitud Nmero de solicitud Nombre del proyecto Nombre del solicitante y rol en el proyecto Tipo de cambio Descripcin del cambio Anlisis del impacto del cambio (tiempo, costo, alcance, calidad) Recursos estimados Firmas autorizadas Observaciones y anexos Elemento automatizado en el cual se muestran los puntos de control que permitan Tablero de control identificar las variaciones con respecto al Plan del proyecto, para dar seguimiento al del proyecto rendimiento y avance del proyecto. Contiene toda la documentacin generada por el proyecto, desde su concepcin hasta el Expediente de cierre. proyecto de TIC
Evaluacin del cierre del proyecto
Formato de retroalimentacin que integra las evaluaciones del equipo de trabajo del proyecto, del cliente, del patrocinador, administrador, del supervisor del contrato as como del administrador del proyecto. La evaluacin, entre otros objetivos, para
Pg. 107 de 372
Producto de TIC
Descripcin
documentar el desempeo del equipo del proyecto al cierre y para capitalizar las lecciones aprendidas. Al menos deber evaluar los puntos siguientes: Cumplimiento de requerimientos segn cliente o usuario. Veracidad, relevancia y oportunidad de reportes ejecutivos. Efectividad de distribucin de roles y funciones. Calidad de la prediccin y manejo de riesgos. Oportunidad de entregas parciales y finales. Ahorro en costos previstos Nivel de integracin del equipo del proyecto Resultados esperados/ resultados obtenidos Orden en administracin del proyecto Fundamentacin de decisiones Integralidad y correccin del Plan del proyecto. Cumplimiento de los entregables y productos con la calidad comprometida Cumplimiento del Plan del proyecto Relacin entre los involucrados en el proyecto (participantes e interesados).
7.3.2.3
Indicadores
Frecuencia de clculo Anual
Nombre Proyectos en tiempo
Objetivo Conocer la eficiencia del proceso de Administracin de proyectos
Descripcin Dimensin Obtener la eficiencia del proceso mediante la medicin de proyectos con avance en tiempo de acuerdo a lo programado Eficiencia
Tipo
Frmula
Responsable
De % de UTIC gestin eficiencia=(Nmero de proyectos que cumplieron su cronograma de trabajo / Nmero total de proyectos ejecutados) X 100
Proyectos dentro del presupuesto planeado
Conocer la eficiencia del proceso de Administracin de proyectos
Obtener la Eficiencia eficiencia del proceso mediante la medicin de proyectos con avance de acuerdo al presupuesto programado
De % de UTIC gestin eficiencia=(Nmero de proyectos ajustados al costo previsto / Nmero total de proyectos ejecutados) X 100
Semestral
Pg. 108 de 372

7.3.2.4 1.1 Reglas del proceso Deber designarse un administrador del proyecto para cada proyecto de TIC. El administrador del proyecto ser responsable de las actividades de direccin, planificacin, seguimiento y control del proyecto para asegurar que se realice lo establecido en el Plan del proyecto. Los administradores de proyecto designados debern asegurarse de que todos los proyectos tengan asociado un Plan del proyecto aprobado formalmente. Los cambios al Plan del proyecto debern realizarse mediante un proceso de Control de cambios. Los administradores de proyecto designados debern asegurarse de que cualquier cambio al Plan del proyecto autorizado se realice mediante un proceso de Control cambios. El administrador del proyecto deber dar seguimiento al avance del proyecto a fin de cumplir con lo planeado, utilizando eficientemente los recursos asignados e identificando desviaciones, riesgos y oportunidades para implementar las acciones que correspondan en cada caso. El administrador del proyecto deber asegurar que se elaboren informes durante el ciclo de vida del proyecto que incluyan como mnimo: el avance en el cronograma, las listas de riesgos, asuntos y cambios. . El administrador del proyecto deber informar y recibir retroalimentacin del seguimiento al Plan del proyecto segn el Plan de comunicaciones y de los procesos de Administracin del portafolio de TIC, proceso de Administracin de proveedores, proceso de Adquisiciones de TIC, proceso de Administracin financiera, procesos de Operacin del sistema de gestin y mejora de procesos de la UTIC del presente manual, en lo que a cada uno corresponda. El administrador del proyecto deber contar con el expediente del proyecto de TIC, con cada actividad debidamente documentada y actualizada, desde su inicio hasta su cierre. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.2
1.3 1.4
1.5
1.6
1.7 1.8 1.9 1.10
7.3.2.5
Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
Pg. 109 de 372
7.4 7.4.1 7.4.1.1 General.-
ADMINISTRACIN-PROCESOS Operacin del sistema de gestin y mejora de procesos de la UTIC Objetivos del proceso
Establecer y operar un Sistema de gestin y mejora de los procesos de la UTIC, alineado al Marco rector de procesos de presente manual en el que se definan los procesos, su operacin, monitoreo, evaluacin y se consideren las acciones de mejora necesarias para una operacin eficiente de la UTIC y la entrega de soluciones tecnolgicas y servicios de TIC de calidad. Especficos.-
1. Identificar los procesos de la UTIC. 2. Definir los procesos de la UTIC. 3. Determinar la secuencia e interacciones de estos procesos. 4. Determinar los criterios y los mtodos necesarios para asegurar que tanto la operacin como el control de estos procesos son efectivos. 5. Asegurar la disponibilidad de los recursos y de la informacin necesaria para la operacin y el monitoreo de estos procesos. 6. Establecer indicadores para estos procesos. 7. Monitorear los resultados de los procesos. 8. Analizar los resultados de estos procesos. 9. Determinar las oportunidades de mejora y lecciones aprendidas. 10. Implementar las acciones de mejora.
Pg. 110 de 372
7.4.1.2
Descripcin del proceso
7.4.1.2.1 Mapa general del proceso

Ambiente Externo e Interno, PE, APP, ARTI Modelos, estndares y normatividad Plan estratgico de la UTIC (PETIC) Manual general de TIC Documento estratgico de TIC Marco rector de procesos Portafolio de proyectos de TI Directriz rectora del proceso de administracin de riesgos OSGP-1 Planificar el Sistema de gestin y mejora de procesos de la UTIC
Diagrama de arquitectura de procesos Plan de administracin del proceso
OSGP-2: Ejecutar el Plan de implementacin de procesos y operar el Sistema de gestin y mejora de procesos de la UTIC
Repositorio de activos de procesos Repositorio de mtricas de procesos Repositorio de solicitudes de mejoras
Plan de administracin del proceso Plan de implementacin de mejoras de procesos Lecciones aprendidas
Aplica a todos los procesos de la UTIC
OSGP-3 Monitorear y evaluar la operacin del Sistema de gestin y mejora de procesos de la UTIC
AD, CR
OSGP-4 Acciones de mejora al Sistema de gestin y mejora de procesos de la UTIC
Plan de evaluacin Reporte de evaluacin de procesos Listas de verificacin Solicitudes de mejoras de procesos
Reporte de evaluacin de procesos Resultado de mejoras implementadas Reporte de no conformidades Informes de medicin y anlisis Solicitudes de mejoras de procesos
Pg. 111 de 372
Pg. 112 de 372
7.4.1.2.2
OSGP-1: Planificar el Sistema de gestin y mejora de procesos de la UTIC

Descripcin
Identificar las necesidades, planear y definir los procesos del Sistema de gestin y mejora de procesos de la UTIC con un enfoque sistmico, alineado al Marco rector de procesos de este manual.
Factores crticos
1. Identificar las necesidades y determinar los procesos que formarn parte del Sistema de
gestin y mejora de procesos de la UTIC con base en los siguientes principios: Considerar los procesos necesarios para dar cumplimiento a los objetivos, misin, visin y lneas de accin estratgica en materia de TIC establecidas en el PETIC y en el documento estratgico de TIC de la UTIC. Incluir el conjunto de procesos de UTIC necesarios para asegurar la entrega consistente de soluciones tecnolgicas y servicios de TIC que cumplan con los objetivos de calidad y con la normatividad vigente Los procesos identificados debern ser clasificados, agrupados y alineados al Marco rector de procesos del presente manual Considerar los estndares y modelos de referencia de mejores prcticas nacionales e internacionales que se hayan seleccionado para su adopcin en la dependencia o entidad.
2. Definir el Sistema de gestin y mejora de procesos de la UTIC, con los objetivos siguientes: a. Documentar y especificar en el repositorio de activos de procesos cada proceso con sus caractersticas esenciales, facilitando la compresin y permitiendo el trabajo en equipo. La documentacin deber considerar por lo menos la siguiente informacin, para hacer posible su gestin y mejora continua, ms los datos que considere necesaria la dependencia o entidad: Objetivo y propsito de cada uno de los procesos Propietario del proceso Lmites: Inicio y fin del proceso Entradas y salidas, Proveedores y usuarios (clientes), Mecanismos de medicin: Indicadores del proceso Recursos del procesos: humanos, financieros, infraestructura y ambiente de trabajo Representaciones grficas: diagrama de arquitectura de procesos, diagramas de flujo, etc. Procedimientos Subprocesos
Pg. 113 de 372

Interrelaciones bien definidas: Especificar secuencias e interacciones de los procesos con el propsito de asegurar que existe una apropiada integracin entre ellos, incluyendo conexiones con procesos internos y externos. Procesos bien documentados.
b. El repositorio de activos de procesos contendr la informacin documental del Sistema de gestin y mejora de procesos de la UTIC. Este factor crtico se debe apegar al proceso de Administracin del conocimiento. 3. Modelar en forma grfica, a travs de un diagrama de arquitectura de procesos, el Sistema de gestin y mejora de procesos de la UTIC, mostrando la jerarqua, relacin e interaccin entre los procesos. 4. Definir y comunicar oportunamente metas y objetivos especficos, medibles, viables y orientados a resultados para cada proceso, de manera que permita su ejecucin efectiva, asegurando que se encuentren asociados a las metas establecidas en el PETIC y que se sustenten en mtricas adecuadas. 5. Asignar un responsable para cada proceso y definir claramente sus roles y responsabilidades. Esto incluye la responsabilidad del diseo del proceso, la interaccin con otros procesos, la rendicin de cuentas de los resultados finales, la medicin del desempeo del proceso y la identificacin de las oportunidades de mejora. 6. Completar la especificacin de los procesos, estableciendo para cada uno frecuencia y resultados esperados. Proveer una secuencia lgica pero flexible y escalable de actividades, que lleve a los resultados deseados y que sea lo suficientemente gil para manejar las excepciones y emergencias. 7. Definir las actividades clave y productos resultantes del proceso. Definir, asignar y comunicar roles, funciones y responsabilidades explcitas, para la ejecucin y documentacin efectiva y eficiente de las actividades clave, as como para la rendicin de cuentas sobre los resultados del proceso. 8. Definir los documentos y activos del proceso que se encontrarn bajo control de cambios y de versiones, los documentos de origen externo necesarios para la planeacin y operacin del proceso y los registros necesarios para proveer evidencia de la conformidad a los requerimientos del proceso y de su operacin efectiva 9. Definir los objetivos de calidad de los procesos, las actividades de verificacin, validacin, monitoreo, inspeccin, pruebas especficas y criterios de aceptacin para los productos de cada proceso; 10. Elaborar registros para proveer evidencia sobre el cumplimiento de requerimientos de los procesos y sus productos. 11. Identificar un conjunto de mtricas que permitan apreciar los resultados y el desempeo del proceso e implementar acciones para corregir las desviaciones respecto a las metas, cuando sea necesario. 12. Alinear mtricas, objetivos y mtodos con el enfoque de monitoreo global del desempeo de TIC establecido en el proceso de Evaluacin del desempeo de TIC. 13. Determinar la infraestructura necesaria para la operacin del Sistema de gestin y mejora de los procesos de la UTIC:
Pg. 114 de 372

a) instalaciones, espacio de trabajo y herramientas asociadas, b) equipo del proceso incluyendo software e infraestructura, c) servicios de soporte (como transporte, comunicacin o sistemas de informacin) 14. Integrar en el Plan de administracin del proceso (tambin llamado Plan de calidad del proceso en un Sistema de gestin de procesos, segn ISO 9001) los elementos necesarios para la direccin, realizacin y control del proceso 15. Revisar en forma peridica las necesidades de definicin y control de los procesos de TIC de la dependencia o entidad.
Repositorio de activos de procesos Diagrama de arquitectura de procesos Plan de administracin del proceso
OSGP-2: Ejecutar el Plan de implementacin de procesos y operar el Sistema de gestin y mejora de procesos de la UTIC
Descripcin
Elaborar los planes para la implementacin de mejora de procesos con la finalidad de operar el Sistema de gestin y mejora de procesos de la UTIC. 1. Elaborar las estrategias y planes de accin detallados en un Plan de implementacin de mejora de procesos considerando al menos los siguientes elementos: El diagrama de arquitectura de procesos El Plan de administracin del proceso El repositorio de activos de procesos La solicitud de mejora en caso de haberse recibido Los indicadores de desempeo Los recursos de TIC necesarios y los disponibles Los proyectos de servicios de TIC en desarrollo y compromisos de la UTIC Las reas de la UTIC que son afectadas por la mejora de proceso
Factores crticos
2. Desarrollar el Plan del proyecto de mejora para la implementacin y despliegue siguiendo el proceso de Administracin de proyectos de TIC. Planear pruebas focalizadas y pruebas piloto controladas de las mejoras de proceso seleccionadas. Revisar y negociar los planes y compromisos con los involucrados relevantes y con los equipos involucrados. Establecer los equipos de trabajo que sern involucrados en las actividades del Plan de implementacin de mejora de procesos Asegurar que los proyectos, servicios y actividades no sean afectados en su ciclo de vida incluyendo: Servicios en etapa de diseo o en su ejecucin.
Pg. 115 de 372

Proyectos que inician. Proyectos activos que se podran beneficiar de la implementacin de los procesos actuales. Actividades de operacin crticas en la provisin de los servicios de TIC
3. Comunicar el Plan de implementacin de mejora de procesos a los involucrados. 4. Dirigir, supervisar y controlar el trabajo de los equipos y los involucrados para monitorear el avance y los resultados del proyecto de implementacin de mejora de procesos. 5. Ejecutar el Plan de implementacin de procesos y operar el Sistema de gestin y mejora de procesos de la UTIC asegurando la realizacin de las siguientes actividades: Asesora y soporte en la adaptacin de los procesos de acuerdo a las necesidades propias de los proyectos y servicios. Registrar las adaptaciones a los procesos, incluyendo evidencias. Comunicar las adaptaciones efectuadas. Asesora sobre el uso de los activos de los procesos.
6. Dirigir, supervisar y controlar el trabajo de los equipos y los involucrados para monitorear el avance y los resultados del proyecto de implementacin de mejora de procesos. 7. Recopilar las lecciones aprendidas en la definicin, pilotaje, implementacin y despliegue de las mejoras de los procesos y ponerlas a disposicin de los involucrados e interesados.
Plan de administracin del proceso Plan de implementacin de mejoras de procesos. Repositorio de activos de procesos Repositorio de mtricas de procesos Lecciones aprendidas.
OSGP-3: Monitorear y evaluar la operacin del Sistema de gestin y mejora de procesos de la UTIC
Monitorear y evaluar la operacin del Sistema de gestin y mejora de procesos de la UTIC. 1. Obtener el compromiso de los funcionarios de alto nivel para la evaluacin de los procesos de la UTIC, con el propsito de: Contar con un diagnstico del estado actual de los procesos de la UTIC Contar con un inventario de las capacidades del personal que interviene en la ejecucin de los procesos Identificar procesos que tienen oportunidades de mejora Confirmar el avance y hacer visibles los beneficios de mejora de procesos Generar conciencia del valor y los beneficios potenciales de la inversin en el establecimiento y mejora de procesos Motivar a los involucrados y facilitar la aceptacin del cambio
2. Monitorear y medir los productos/servicios

Pg. 116 de 372

La UTIC deber monitorear y medir las caractersticas de los productos y/o servicios de sus procesos para verificar que los requerimientos se han cumplido. Esto debe realizarse en momentos apropiados durante el proceso, de acuerdo a un plan acordado con todos los involucrados. Se debe conservar evidencia de la conformidad con los criterios de aceptacin. Estos registros debern indicar la persona (o personas) que autoriza la entrega del producto y/o servicio.
3. Monitorear y medir los procesos La UTIC deber aplicar mtodos apropiados para monitorear sus procesos. Estos mtodos debern demostrar la capacidad de los procesos para lograr los resultados planeados. Cuando no se obtienen los resultados esperados se deben implementar acciones para corregir la desviacin y eliminar, de ser posible, la causa raz del problema. Esto debe realizarse en los momentos apropiados durante el proceso, de acuerdo a un plan acordado con todos los involucrados. Se debe conservar evidencia de la conformidad con los criterios de aceptacin. Estos registros debern indicar la persona (o personas) que autorizan la entrega del producto/servicio. Se deber alinear las capacidades del personal con los procesos que operan, en apego a los procesos EEG e IDP.
4. Planear y conducir las evaluaciones en intervalos planeados (mnimo anualmente), para determinar si los procesos establecidos se apegan a la normatividad vigente de acuerdo a los niveles de desempeo establecidos para cada proceso. La UTIC deber asegurar la objetividad de las evaluaciones. La seleccin de los evaluadores deber asegurar la objetividad y la imparcialidad de la evaluacin. Los evaluadores no debern evaluar su propio trabajo. Los evaluadores debern estar debidamente calificados. En caso de que la evaluacin tenga como propsito demostrar el cumplimiento de un estndar ante terceros (tal como CMMI, ISO 9001, ISO 20000, ISO 27001, etc.) la persona fsica y/o moral que realice la evaluacin deber contar con las credenciales actualizadas que le acrediten como evaluador reconocido por las entidades u organizaciones que determinen los dueos de los derechos de autor del estndar en cuestin. Se deber establecer un programa de evaluaciones tomando en consideracin el estado y la importancia de los procesos y las reas a ser evaluadas, as como los resultados de evaluaciones anteriores. Se debern definir los criterios, el alcance, la frecuencia y los mtodos de las evaluaciones. Se deben registrar y comunicar los resultados de las evaluaciones. El funcionario responsable del rea/ proceso evaluado deber asegurar que se realicen las acciones para corregir las inconformidades encontradas durante las evaluaciones y que se implementen acciones correctivas, para evitar que las desviaciones vuelvan a ocurrir. Se entiende por inconformidad los problemas provocados por la inobservancia a los estndares, procesos o procedimientos. El estatus de las inconformidades provee
Pg. 117 de 372

un indicador de la calidad de los procesos de la UTIC. Dar seguimiento a las inconformidades hasta su cierre y validar que las acciones correctivas implementadas son efectivas. Los resultados de la evaluacin, los hallazgos y las oportunidades de mejora identificadas, por proceso y de diversas fuentes como son: lecciones aprendidas en la implementacin de los procesos, propuestas y solicitudes de mejora elaboradas por los involucrados en la administracin, control y ejecucin del proceso, resultados de las evaluaciones efectuadas a los procesos, informes de medicin y anlisis de la evaluacin del desempeo de los procesos, resultados de anlisis comparativos con otros procesos dentro de la institucin, y recomendaciones de otras instancias de la APF. 6. Registrar y comunicar los resultados obtenidos para la definicin de las acciones de mejora a ser implementadas.
5. Documentar el diagnstico: El diagnstico debe comprender:
Plan de evaluacin Reporte de evaluacin de procesos Listas de verificacin Solicitudes de mejoras de procesos
OSGP-4: Acciones de mejora al Sistema de gestin y mejora de procesos de la UTIC

En esta actividad se efecta la administracin de las mejoras de los procesos del Sistema de gestin y mejora de procesos de la UTIC que le apliquen. 1. El Grupo de trabajo de procesos y mejora continua de la UTIC tendr la responsabilidad de administrar las mejoras a los procesos de la UTIC de una forma ordenada y siempre en beneficio de la dependencia o entidad, mediante un proceso de Control de cambios. 2. Las solicitudes de mejora de procesos debern ser registradas y analizadas por el Grupo de trabajo de procesos y mejora continua de la UTIC para determinar el impacto en la UTIC, en la dependencia o entidad, as como los beneficios de su implantacin, los costos y esfuerzos involucrados. 3. Se debe priorizar y seleccionar las propuestas de mejora, considerando los siguientes criterios: Menor costo y horas de trabajo para implementar las mejoras propuestas Mayores beneficios tangibles e intangibles resultantes de las mejoras propuestas
Pg. 118 de 372

Mayor contribucin de las mejoras propuestas al cumplimiento PETIC. Menos barreras potenciales a la implementacin de las propuestas
4. De ser necesario, por tamao, costo o magnitud del esfuerzo, documentar las mejoras propuestas como iniciativas/proyectos de mejora, conforme a lo establecido en el proceso de Administracin del portafolio de proyectos de TIC, para su evaluacin, seleccin y autorizacin por las autoridades correspondientes. 5. Dar seguimiento a las inconformidades hasta su cierre y validar que las acciones correctivas implementadas son efectivas. 6. Si las acciones realizadas no tienen el resultado esperado, corresponde iniciar un nuevo ciclo, regresando a la actividad de OSGP-1, para determinar las necesidades del Sistema de gestin y mejora de procesos de la UTIC.
Reporte de evaluacin de procesos Resultado de mejoras implementadas Reporte de no conformidades Informes de medicin y anlisis Solicitudes de mejoras de procesos Repositorio de solicitudes de mejora
7.4.1.2.3
Rol
Descripcin de roles
Descripcin
Responsable de mejora de procesos Responsable de aseguramiento de calidad Evaluador de calidad Grupo de trabajo de mejora continua de TIC Responsable del proceso
Coordina y administra las tareas de evaluacin, definicin, implementacin y despliegue de las iniciativas/proyectos de mejora de los procesos de la UTIC, as como la administracin de las solicitudes de mejora y lecciones aprendidas. Coordina las actividades de evaluacin que son ejecutadas por el Grupo de aseguramiento de calidad, desarrolla la planeacin de actividades y se asegura de su ejecucin. Reporta a la direccin los resultados de las actividades de evaluacin. Responsable de realizar actividades del Plan de evaluacin. Responsable de planear y desplegar el Plan de mejora de procesos. Apoya en la definicin de los procesos de la UTIC y asesora en su operacin. Responsable de asegurar que el proceso se ejecute de acuerdo al Plan de administracin del proceso y de que ste cumple con sus objetivos.
7.4.1.2.4
Producto
Descripcin
Diagrama de
Diagrama que muestra visualmente la arquitectura del sistema de procesos de la UTIC;

Pg. 119 de 372
Producto arquitectura de procesos
Descripcin
muestra la jerarqua, relacin e interaccin entre los mismos e incluye la documentacin de las caractersticas esenciales de los procesos, entre otros: El objetivo y propsito de cada proceso. La secuencia e interacciones de los procesos para asegurar una apropiada integracin entre los procesos incluyendo: lmites (inicio y el fin del proceso), entradas y salidas, proveedores y usuarios (clientes), subprocesos, conexiones con procesos internos y externos.
Repositorio de activos de procesos
Plan de administracin del proceso
Ejemplos de activos a incluir en el repositorio son: Normatividad de la institucin. Documentacin de los procesos estndares, incluyendo los planes de administracin de procesos. Materiales de capacitacin. Lecciones aprendidas. Plantillas y listas de verificacin. Plan que integra los elementos necesarios para la direccin, realizacin y control del proceso, al menos debe contener: Objetivos y metas del proceso Reglas y estndares del proceso Roles y responsabilidades de los involucrados en el proceso incluyendo los roles y responsabilidades del dueo del proceso Procesos, procedimientos, instrucciones de trabajo requeridas para documenten las actividades del proceso. Documentos y registro sujetos a control de cambios y versiones Definicin de los objetivos de calidad y los requerimientos para el producto resultante Actividades de verificacin, validacin, monitoreo, inspeccin y pruebas especficos para el producto Criterios para la aceptacin de los productos Registros para demostrar que los procesos y productos cumplen con los requerimientos Mtricas e informes de medicin y anlisis Recursos (infraestructura y personal) necesarios para la realizacin del proceso, incluyendo las competencias de los recursos humanos
Plan de
Documento que se genera para planear y establecer las evaluaciones y auditoras en la

Pg. 120 de 372
Producto evaluacin
Descripcin
dependencia o entidad. Algunos puntos que deben de ser considerados en este documento son: Tabla de contenido Objetivo del documento Aprobacin del documento Acrnimos y definiciones Objetivo de la evaluacin Objetivo de mejora Alcance de la evaluacin de los procesos de TIC de la dependencia o entidad Identificacin de proyectos a evaluar Actividades Roles y responsabilidades: Patrocinador Grupo evaluador Participantes Restricciones de la evaluacin Riesgos de la evaluacin Confidencialidad de la evaluacin Acuerdo de confidencialidad Entregables de la evaluacin Actividades Instalaciones Calendario detallado Plan que contiene las especificaciones para desarrollar el despliegue e implementacin de las mejoras de procesos: Objetivo del documento Aprobacin del documento Acrnimos y definiciones Alcance Situacin actual Identificacin de proyectos piloto reas de proceso a pilotear
Pg. 121 de 372
Plan de implementacin de mejoras de procesos
Producto
Descripcin
Estrategia general y cronograma ejecutivo Capacitacin formal: preparacin y ejecucin de talleres Junta de inicio de la fase de implementacin Ejecucin de proyectos de mejora de procesos Soporte y asesora a proyectos de mejora de procesos Mecanismos de comunicacin y administracin bsica del cambio Administracin de cambios y mejora continua del proceso Liberacin de procesos mejorados Difusin del proceso mejorado Formalizacin del proceso mejorado Conducir auditorias de aseguramiento de la calidad a proyectos piloto Revisiones peridicas Roles y responsabilidades
Resultados de mejoras implementadas Listas de verificacin Reporte de evaluacin de procesos
Resultados de la ejecucin del Plan de implementacin de mejoras.
Documento en que se establecen los criterios y puntos crticos a revisar en una auditora, revisin o evaluacin. Proporciona un registro completo y define las conclusiones de la evaluacin o auditora. Debe incluir o hacer referencia al Plan de Evaluacin en lo referente a los objetivos, alcance, equipo, fechas y criterios. Tambin puede incluir el resumen del proceso de Evaluacin o auditora, la confirmacin del cumplimiento de los objetivos, las reas no cubiertas, las opiniones divergentes sin dirimir, las inconformidades encontradas, las recomendaciones para la mejora y los planes de accin de seguimiento. Documento en el que se registran las lecciones aprendidas que aportan valor para incrementar el conocimiento de la UTIC con respecto a sus procesos y activos de procesos. Documento que se utiliza para registrar y administrar las reas de oportunidad de mejora en los procesos de la UTIC y que se identifica como una solicitud para la implementacin de alguna accin de mejora. Repositorio utilizado para recolectar y mantener disponibles las mtricas de procesos de acuerdo al Sistema de evaluacin del desempeo de TIC (ver proceso Administracin del desempeo de TIC). Reportes generados peridicamente con base en el Sistema de evaluacin de desempeo de TIC (ver proceso Administracin del desempeo de TIC), para informar a los interesados sobre el resultado de las mediciones de procesos. Repositorio utilizado para recolectar y dar seguimiento al estado de las solicitudes de mejora
Pg. 122 de 372
Lecciones aprendidas Solicitudes de mejoras de procesos Repositorio de mtricas de procesos Informes de medicin y anlisis Repositorio de
Producto solicitudes de mejora Reporte de no conformidades
Descripcin
de procesos durante todo su ciclo de vida. Reporte que refiere los problemas identificados en las evaluaciones que reflejan inobservancia de los estndares, procesos o procedimientos.
7.4.1.3
Indicadores
Nombre Cumplimiento de procesos apegados al marco rector
Objetivo Conocer la eficiencia del proceso mediante el cumplimiento del Marco rector del procesos del Manual Conocer la eficiencia del proceso mediante las acciones de mejora implementadas
Descripcin Medir el porcentaje de cumplimiento de procesos conforme al Marco rector
Dimensin Eficiencia
Tipo
Frmula
Responsable Grupo de trabajo para la direccin de TIC
Resultados del Sistema de gestin y mejora de procesos
Medir los Eficiencia resultados del sistema en cuanto a implementacin de mejoras
De % de eficiencia= gestin (nmero de procesos que se efectan con apego al Marco rector / nmero de procesos adoptados del Marco rector) X 100 De % de eficiencia= gestin (Total mejoras implementadas / Total de mejoras identificadas) x 100
Semestral
7.4.1.4 1.1 1.2. 1.3 1.4 1.5 1.6 1.7
Reglas del proceso La UTIC deber regir su gestin con estricto apego a los 31 procesos del Marco rector del presente manual. Los procedimientos e instrucciones de trabajo que defina la UTIC debern estar alineados al Marco rector de procesos. Todos los procesos establecidos debern contar con indicadores y mtricas para evaluar su desempeo en forma peridica al igual que los procedimientos que de stos se deriven. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Este proceso deber verificar que los participantes en la ejecucin de los procesos cuenten con las
Pg. 123 de 372

capacidades, habilidades y conocimientos para realizar las actividades y tareas asociadas a su rol, observando, en todo momento, la Ley del Servicio Profesional de Carrera,. El responsable de la UTIC para cada proceso deber revisar y aprobar el Plan de administracin del proceso correspondiente. Se debern realizar evaluaciones y/o auditoras documentadas a fin de verificar que la operacin de los procesos corresponda a los planes de administracin del proceso.
1.8 1.9
7.4.1.5
Pg. 124 de 372
7.5 7.5.1 7.5.1.1 General.-
ADMINISTRACIN DE RECURSOS Administracin financiera de TIC Objetivos del proceso
Administrar y controlar de manera eficiente los recursos financieros asignados a TIC, a fin de maximizar su contribucin a los objetivos de la planeacin estratgica
Especficos.1. Identificar y consolidar los requerimientos financieros de proyectos y servicios de TIC en los portafolios correspondientes. 2. Solicitar a la unidad administrativa encargada, en la dependencia o entidad, los recursos financieros necesarios para la ejecucin del portafolio proyectos y servicios de TIC. 3. Organizar los portafolios de proyectos y servicios de TIC a fin de mejorar su rentabilidad considerando minimizar los costos, maximizar los beneficios por medio de estrategias adecuadas. 4. Facilitar la toma de decisiones de inversin de TIC al Grupo de trabajo para la direccin de TIC y al titular de la UTIC, mediante la priorizacin de proyectos que optimicen costos y maximicen beneficios. 5. Elaborar y mantener actualizado el presupuesto de TIC en el repositorio de iniciativas de TIC, para cada rubro de gasto e inversin, considerando las presiones de gasto. 6. Establecer indicadores y monitorear los resultados del gasto en TIC y su correlacin con los beneficios. 7. Ejecutar acciones correctivas cuando los costos se desvan de los presupuestos asignados y/o acciones preventivas cuando las tendencias presenten oportunidades de mejora. 8. Asegurar la existencia de un presupuesto suficiente para los otros gastos de TIC.
Pg. 125 de 372
7.5.1.2 7.5.1.2.1

Repositorio de iniciativas de inversin de TIC Portafolio de proyectos de TIC Portafolio de servicios de TIC Informe de desempeo del portafolio de proyectos de TIC Informe de desempeo del portafolio de servicios Plan de aprovisionamiento de infraestructura
PE Planeacin estratgica de TIC (PETIC)
APP APTI
Entorno interno
Presupuesto asignado a la UTIC
AF-1 Establecer un marco de trabajo de administracin financiera de TIC
Presupuesto asignado a la UTIC Lista de conceptos de TIC etiquetados
Entorno interno
APTI
Plan de proyecto
AF-2 Establecer prioridades en el presupuesto de TIC
Adecuaciones presupuestales, reasignaciones de gasto, y otras disposiciones contempladas en el Manual administrativo de aplicacin general en materia de recursos financieros
Presiones de gasto Lista de iniciativas de inversin de TIC presupuestadas y priorizadas Solicitud de dictamen de disponibilidad presupuestal
ADTI
AF-4 Administrar el ejercicio del presupuesto de TIC AF-3 Elaborar y mantener el presupuesto de TIC
Presupuesto de TIC. Solicitud de cambios al portafolio de proyectos
Solicitud de dictamen de disponibilidad presupuestal
Finanzas
Reportes de seguimiento y control del presupuesto. Indicadores de gasto por proyecto/rea/funcin
Dictamen de disponibilidad presupuestal ADTI
APP
AD
Pg. 126 de 372
Pg. 127 de 372
7.5.1.2.2
AF-1 Establecer un marco de trabajo de administracin financiera de TIC

Descripcin
Factores crticos
Establecer y mantener un marco de trabajo para la administracin financiera de las TIC. La administracin debe basarse en la informacin de los Portafolios de proyectos y de servicios de TIC y en el Plan de aprovisionamiento de infraestructura. 1. Mantener comunicacin efectiva con las reas que administren las finanzas, los recursos materiales y servicios generales de la dependencia o entidad, para obtener, dar seguimiento y administrar el presupuesto asignado a la UTIC. 2. Solicitar a la unidad administrativa encargada de los recursos financieros de la dependencia o entidad, el presupuesto necesario para la ejecucin de los Portafolios de proyectos y de servicios de TIC y del Plan de aprovisionamiento de infraestructura. 3. Asegurar que se realicen las siguientes funciones para la administracin financiera de los recursos de TIC considerando al Manual administrativo de aplicacin general en materia de recursos financieros. Administrar el presupuesto y los costos de TIC. Administrar los beneficios de las inversiones de TIC. En base a los portafolios de proyectos y servicios de TIC, establecer estimaciones transparentes y comparables de los costos y beneficios de TIC. Mantener actualizados los valores de los activos de TIC y los portafolios de proyectos y de servicios de TIC, as como asegurar que el costo de su mantenimiento est adecuadamente reflejado en los presupuestos y planes de inversin
4. Etiquetar, de acuerdo al catlogo de identificadores del gasto, los conceptos que conforman las iniciativas de los portafolios de proyectos y de servicios de TIC. 5. Informar a los administradores de los portafolios de proyectos y de servicios de TIC de la existencia de recursos para realizar nuevas inversiones de TIC, considerando su ciclo de vida. 6. Mantener registros del presupuesto de TIC, incluyendo gastos comprometidos, fechas de pago por operacin y mantenimiento de los activos, Portafolio de proyectos de TIC y Portafolio de servicios de TIC. 7. Proveer de informacin sobre costos y beneficios a las reas que elaboran los casos de negocios de iniciativas de TIC, para que realicen su trabajo. 8. Comunicar la informacin financiera, los costos, beneficios, riesgos e informacin relevante para la priorizacin del presupuesto y administracin de costos de TIC a los grupos de procesos de Gobierno y de organizacin estratgica para que sean considerados en la planeacin, administracin y toma de decisiones.
Presupuesto asignado a la UTIC Lista de conceptos de TIC etiquetados
Pg. 128 de 372

AF-2 Establecer prioridades en el presupuesto de TIC
Descripcin
Efectuar la toma de decisiones para definir las operaciones, proyectos y mantenimiento que se privilegiarn al asignar recursos a TIC, a fin de optimizar el retorno de inversin del Portafolio de proyectos de servicios y los activos de TIC. 1. Identificar e informar sobre las posibles presiones de gasto 2. Identificar todos los requerimientos de TIC, correspondientes a los Portafolios de proyectos, de servicios y otros gastos como de TIC como mantenimiento a instalaciones, aire acondicionado, energa elctrica, energa sin interrupcin, extincin de incendios, control de acceso, en su caso suministros o insumos requeridos, etctera), que requieran una asignacin presupuestal. 3. Asignar prioridades a los requerimientos e iniciativas de TIC dentro del Portafolio de proyectos y de servicios TIC, basndose en los casos de negocio y en la planeacin estratgica de TIC de la UTIC y de la dependencia o entidad. 4. Establecer escenarios de asignaciones presupuestales, indicando claramente los gastos indispensables para garantizar la continuidad de la operacin, los riesgos operativos y los correspondientes a iniciativas derivadas de la planeacin estratgica, para revisin con los involucrados. 5. Presentar al titular de la UTIC y al Grupo de trabajo para la direccin de TIC la propuesta de inversiones en TIC, para su aprobacin. 6. Identificar y, comunicar los cambios en la asignacin presupuestal. 7. Obtener la confirmacin y aprobacin del Grupo de trabajo para la direccin de TIC sobre las prioridades del presupuesto y sobre los cambios que puedan afectar o impactar el cumplimiento de los objetivos de la planeacin estratgica de TIC y de los Portafolios de proyectos y de servicios de TIC.
Factores crticos
Lista de iniciativas de inversin de TIC presupuestadas y priorizadas Presiones de gasto
AF-3 Elaborar y mantener el presupuesto de TIC

Descripcin
Con base en las prioridades establecidas en el Portafolio de inversin en TIC, elaborar y mantener actualizado el programa de inversin de TIC, considerando el presupuesto global asignado a TIC, e incluyendo los costos de operacin y conservacin de la infraestructura actual. Se debe contemplar el presupuesto general de TIC, as como el desarrollo de presupuestos tanto para el Portafolio de proyectos como para el Portafolio de servicios de TIC. En este proceso se incluye la toma de decisiones con el objetivo de asignar los recursos presupuestales de TIC de acuerdo a las prioridades acordadas institucionalmente para operaciones, proyectos y mantenimiento, a fin de maximizar el retorno de inversin de los portafolios de proyectos y servicios de TIC.
Factores crticos
1. Seguir un mecanismo formal para establecer, cambiar y aprobar el presupuesto de TIC, incluyendo los costos de los portafolios de proyectos y de servicios de TIC.
Pg. 129 de 372

2. El programa de inversin de TIC deber considerar al menos los siguientes componentes: Los mecanismos autorizados de financiamiento Los costos de recursos internos, incluyendo el personal, activos de informacin y fsicos Costos de servicios de terceros Costos de otros gastos e insumos de TIC Apego a la normatividad vigente en materia de Adquisiciones, Arrendamientos y Servicios, de Administracin Financiera, as como a la de los Manuales Administrativos de Aplicacin General de recursos materiales y servicios generales y financieros Identificar los gastos fijos asociados a la operacin y mantenimiento y sus tendencias: los requeridos por nica vez (equipos, infraestructura, sistemas, desarrollo y licenciamiento), servicios bsicos prioritarios (seguridad, monitoreo y control, hospedaje, entre otros), y otros gastos como suministro elctrico, extincin de incendios, control de acceso, mantenimiento de instalaciones; para con ellos estimar el costo operativo bsico anual.
3. Documentar las reducciones presupuestales y las presiones de gasto para justificar posibles contingencias y revisarlas constantemente. 4. Monitorear la efectividad de la administracin del presupuesto considerando asignaciones de costos a proyectos, asignaciones de costos a servicios y el anlisis de la variacin de costos y presupuestos. 5. Instruir a los responsables de los portafolios de proyectos y servicios de TIC para realizar la programacin del presupuesto. 6. Revisar la programacin del presupuesto, tomar las decisiones necesarias acerca de la asignacin, compilacin y comunicacin del presupuesto a los responsables involucrados.
Presupuesto de TIC Solicitud de cambios al portafolio de proyectos
AF-4 Administrar el ejercicio del presupuesto de TIC

Descripcin
Factores crticos
Dar seguimiento, monitorear y controlar los costos reales contra los presupuestados. Los costos se deben monitorear y reportar de acuerdo a la periodicidad requerida por cada dependencia y/o entidad y respetando los tiempos que determine la normatividad vigente en la materia, a fin de tener oportunidad de establecer medidas preventivas, correctivas y de mejora. 1. Dar seguimiento a los costos y presupuesto de TIC, en los portafolios de proyectos, de servicios de TIC y de otros rubros, para su registro, anlisis, control y seguimiento. Se deber establecer los elementos de costo de los proyectos que sern asignados a la unidad responsable de las TIC, y de aquellos que correspondan a las reas usuarias
Pg. 130 de 372

que reciben los servicios de TIC. Establecer los esquemas de reporte de costos incluyendo indicadores, periodicidad, los responsables de reportar la informacin y a quien se deber reportar la informacin. Verificar la disposicin presupuestal, notificarla cuando sea necesario y dar seguimiento a la ejecucin del programa anual de adquisiciones, arrendamientos y servicios de TIC de la UTIC, para actualizar su estatus en el programa de inversin de TIC.
2. Recopilar informacin relevante para identificar desviaciones con respecto al presupuesto, tales como: Control del gasto: diferencias entre lo presupuestado y lo ejercido. Avance en el ejercicio del presupuesto con respecto a las metas de inversin expresadas en trminos de indicadores tales como retorno de inversin, valor presente y/o tasa de retorno (ROI, VPN, IRR). Las tendencias de los costos de servicio. Tendencias del costo de Portafolio de servicios. Distribucin de costos directos e indirectos.
3. Recopilar la informacin relativa a costos y presupuesto mediante los mecanismos y sistemas apropiados. 4. Consolidar los costos para identificar desviaciones de manera oportuna. 5. Instruir y habilitar a los responsables para el registro, captura y consolidacin de la informacin de costos y presentar los reportes a los mandos medios y superiores. 6. Analizar las desviaciones y el desempeo mediante comparativos internos y con la industria, a fin de sugerir acciones correctivas. Control del presupuesto entre lo presupuestado y lo ejercido. Asegurar que los mandos medios y superiores participen y revisen los resultados de la administracin del presupuesto y establezcan acciones de mejora. 7. Cuando as se requiera, el programa de inversin deber ser actualizado conforme a las adecuaciones presupuestales, reasignaciones de gasto y otras disposiciones contempladas en el Manual Administrativo de Aplicacin General en Materia de Recursos Financieros, as como a leyes y reglamentos que apliquen.
Reportes de seguimiento y control del presupuesto Indicadores de gasto por proyecto/rea/funcin Dictamen de disponibilidad presupuestal Solicitud de dictamen de disponibilidad presupuestal
Pg. 131 de 372
7.5.1.2.3
Rol
Descripcin de roles
Descripcin
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos, inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los resultados de la UTIC. Debe asegurar la direccin y el control de los procesos y servicios de TIC. Responsable de tomar las decisiones de alto nivel con respecto a la priorizacin de los recursos y asignacin del presupuesto a iniciativas de inversin de TIC. Son aquellos que participan en el establecimiento del presupuesto para los programas, proyectos y servicios de TIC. Responsables de: Documentar los casos de negocio para justificar los beneficios de la inversin de TIC en programas, proyectos o servicios especficos. Establecer el presupuesto estimado para la operacin y mantenimiento de la infraestructura de TIC. Dar seguimiento a los costos y presupuesto estimado durante la ejecucin de los programas, proyectos y servicios de TIC. Responsable de realizar las actividades administrativas para controlar el presupuesto asignado, dar seguimiento al calendario de gasto de TIC, monitorear el ejercicio y reportar la informacin asociada al presupuesto.
Responsables de rea
Administrador del presupuesto
7.5.1.2.4
Producto
Descripcin
Presupuesto asignado a la UTIC Lista de iniciativas de inversin de TIC presupuestada s y priorizadas Presupuesto de TIC Reportes de seguimiento y control del presupuesto
Documento que seala el presupuesto asignado a la UTIC para realizar sus funciones. Lista que contiene un estimado preliminar, en base a las prioridades de la dependencia o entidad para las cuales habr recursos, una vez que se defina el presupuesto y calendario de gasto e inversin definitivo asignado a la dependencia o entidad.
Lista de
Documento que formaliza las iniciativas de inversin de TIC que sern realizados por la dependencia o entidad y el presupuesto asignado, calendarizado, para ser ejercido para cada una de ellos. Reportes peridicos que informan sobre el uso de los recursos financieros, en comparacin con el presupuesto asignado, indicando el presupuesto ejercido o por devengar. Igualmente sealan las desviaciones con respecto a las estimaciones de costo y a la programacin del presupuesto. Estos reportes debern contener informacin de seguimiento a las acciones correctivas establecidas para controlar y administrar el presupuesto. Documento que en el cual se encuentran etiquetados de acuerdo al catlogo de
Pg. 132 de 372
Producto conceptos de TIC etiquetados Presiones de gasto
Descripcin
identificadores del gasto, los componentes de los portafolios de proyectos y servicios de TIC.
Documento que seala las insuficiencias presupuestales y sus impactos en la operacin, seguridad y apoyo a programas sustantivos. Deber presentarse a los mandos medios y superiores y en su oportunidad al Grupo de trabajo para la direccin de TIC, para efectos de que reconsidere la asignacin presupuestal o, en su caso, modifique los alcances de los proyectos en el Portafolio de proyectos de TIC. Indicadores de Mecanismo de seguimiento del avance del gasto en cada proyecto, rea o funcin.
gasto por proyecto/rea/f uncin Solicitud de cambios del portafolio de proyectos Dictamen de disponibilidad presupuestal Solicitud de dictamen de disponibilidad presupuestal
Solicitud de cambio al presupuesto asignado a un proyecto del Portafolio de proyectos de TIC.
Documento mediante el cual se informa de la disponibilidad presupuestal a ser aplicada a la adquisicin de un determinado bien o servicio, de manera que se pueda llevar a cabo el cumplimiento de un compromiso contractual adquirido o por adquirir. Documento mediante el cual se solicita se efecte la dictaminacin de disponibilidad presupuestal. Al emitirse el dictamen se efecta la programacin de la ubicacin de presupuesto para ejercer el presupuesto a fin de cubrir determinados compromisos contractuales previamente autorizados.
7.5.1.3
Indicadores
Descripci n Conocer la eficiencia del proceso mediante la medicin del presupuesto ejercido en tiempo y forma Conocer la eficiencia del proceso mediante la medicin de las economas logradas Dimensi n Eficiencia Responsabl e Administrador del proceso Frecuenci a de clculo Semestral
Nombre Resultados del proceso de Administraci n financiera de TIC
Objetivo Conocer la eficiencia de la gestin del proceso de Administraci n financiera de TIC
Tipo De gesti n
Frmula % de eficiencia=(Presup uesto ejercido en tiempo y forma / Total del presupuesto asignado) * 100
Resultados del proceso de Administraci n financiera de TIC
Conocer los resultados del proceso de Administraci n financiera de TIC
Eficiencia
De gesti n
% de eficiencia=(Ahorro s obtenidos/ahorros estimados en el caso de negocio) X 100
Administrador del proceso
Semestral
Pg. 133 de 372
7.5.1.4 1.1
Reglas del proceso Se deber realizar la administracin financiera de TIC que tome como base el Portafolio de proyectos establecido mediante las actividades de planeacin estratgica de la dependencia o entidad de TIC. La UTIC deber administrar el presupuesto asignado a las TIC en la dependencia o entidad. Asimismo, integrar la distribucin presupuestal de la dependencia o entidad en lo correspondiente a TIC con base en los recursos que se establezcan en el Presupuesto de Egresos de la Federacin para el ao correspondiente y coordinar la planeacin del presupuesto en materia de TIC de la dependencia o entidad conforme al Portafolio de proyectos de TIC, con la finalidad de definir sus necesidades de inversin en materia de TIC de corto, mediano y largo plazo. Para cada programa de inversin en TIC se deber contar con un caso de negocio a fin de documentar la contribucin de valor al negocio y el costo beneficio La UTIC deber solicitar a las rea usuaria informen de la asignacin de presupuesto que hayan obtenido en los rubros relacionados con Tecnologas de Informacin y Comunicaciones Se debern establecer las prioridades en el uso del presupuesto conforme a lo especificado en el proceso de Administracin del portafolio de proyectos de TIC. Anualmente se deber analizar la manera ms efectiva y eficiente de asignar el presupuesto al portafolio y/o proyectos de TIC. Se deber considerar la ponderacin y prioridades definidas para maximizar la contribucin de valor, consolidando los criterios y aprobaciones integrales de las reas usuarias de negocio (sustantivas y adjetivas), reas tcnico-normativas en materia de TIC y reas financiero-presupuestales. Se deber formalizar y documentar el presupuesto de TIC y difundirlo a todos los participantes relevantes tales como responsables rea, lderes y responsables de reas operativas y/o de servicio. Se debern documentar los riesgos asociados a la asignacin del presupuesto. Cualquier cambio en la asignacin de presupuesto deber ser evaluado y analizado en trminos de su impacto en la contribucin de valor establecida en su caso de negocio. Se deber recopilar y presentar informacin de manera peridica, para medir el desempeo del uso del presupuesto y monitorear los costos incurridos. Peridicamente se debern evaluar los costos para elaborar un anlisis interno y/o de comparacin de mejores prcticas externas, a fin de procurar hacer ms efectivo el uso de los recursos financieros. Se deber monitorear y controlar los costos en comparacin con el presupuesto establecido y en caso de desviacin implementar las acciones correctivas de manera oportuna. El proceso de Administracin de inversiones de TIC ser mejorado continuamente con base en las lecciones aprendidas, provenientes del anlisis del desempeo de las inversiones. Se investigarn y evaluarn las alternativas de financiamiento, mediante el uso de mtodos formales de evaluacin. Se deber informar a los responsables de la asignacin presupuestal global sobre las posibles presiones de gasto (insuficiencias presupuestales para gastos recurrentes o comprometidos y para aquellos proyectos estratgicos que no cuenten con suficiencia presupuestal). Se deber asegurar que los presupuestos relativos a bienes y servicios y otros gastos de TIC sean suficientes para mantener la operacin y los programas de expansin. La UTIC deber solicitar al rea correspondiente la integracin de recursos presupuestales en materia de TIC en el anteproyecto de presupuesto que se presenta a la Secretara de Hacienda y Crdito Pblico.
Pg. 134 de 372
1.2
1.3 1.4 1.5 1.6
1.7
1.8 1.9 1.10 1.11
1.12 1.14 1.15 1.16
1.17

1.18 El ejercicio del presupuesto para tecnologas especializadas, as como para actividades especficas no estandarizadas en la industria de cmputo y comunicaciones, deber sujetarse a la normatividad aplicable Sin perjuicio de lo establecido en este manual, las dependencias y entidades debern observar, en lo conducente, las disposiciones emanadas del manual administrativo de aplicacin general en materia de recursos financieros. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Documentacin soporte del proceso
1.19
1.20 1.21 1.22
7.5.1.5
Pg. 135 de 372
7.5.2. 7.5.2.1
Administracin de proveedores Objetivos del proceso
General.-
Establecer los mecanismos de comunicacin necesarios para asegurar el adecuado cumplimiento de los compromisos contractuales. con los proveedores
Especficos.-
1. Definir canales de comunicacin con los proveedores. 2. Establecer mecanismos de revisin preventiva para evitar retrasos en la ejecucin del programa de adquisiciones 3. Establecer mecanismos de correccin para asegurar la calidad del producto o servicio.
Pg. 136 de 372
7.5.2.2 7.5.2.2.1
UR Adquisiciones Contrato suscrito APV-1 Generar lista de verificacin de acuerdos Contrato de TIC AST
ADTI
APTI ATA AST
Copia de contrato TIC Lista de verificacin de compromisos contractuales
Reporte de revisiones de procesos
ATA
APV-2 Monitorear el avance y desempeo del proveedor
Reporte de no conformidades de auditoria Reporte de revisiones tcnicas a componentes del servicio Reporte de pruebas a la prestacin del servicio suministrado por terceros Planes de mejora de servicio suministrado por terceros
Reporte del avance del trabajo del proveedor Evaluacin de desempeo del proveedor Reporte de hallazgos
APTI AD
APV-3 Revisin de cumplimiento al contrato TIC
Matriz de rastreo y trazabilidad del contrato
Informe de estatus del contrato
ATA
ATA Carta de aceptacin de la solucin tecnolgica
Manifestacin de conformidad para la liberacin del pago al proveedor
APTI
APV-4 Cierre administrativo del contrato
UR adquisiciones
Carta terminacin de servicios del proveedor Acta de cierre de contrato Documento de liberacin de fianzas
UR Adquisiciones
Pg. 137 de 372
Pg. 138 de 372
7.5.2.2.2
APV-1 Generar lista de verificacin de acuerdos

Con base al contrato establecido, se elabora una lista de verificacin para dar seguimiento al desarrollo del contrato. 1. Verificar que el contrato contenga a detalle los trminos y condiciones que normarn la adquisicin, as como el detalle de los requerimientos contractuales especificados por el solicitante. 2. Asegurar que los involucrados en el desarrollo y seguimiento del contrato dispongan de una copia firmada y de un resumen de las obligaciones establecidas y firmadas por los participantes. 3. Identificar los compromisos y responsabilidades contractuales que permitan dar seguimiento y monitorear la ejecucin del contrato. 4. Identificar a los responsables, por parte del proveedor y solicitante, de supervisar y administrar el contrato, 5. Identificar las condiciones en las que se aplicaran penalizaciones a los proveedores. 6. Documentar los entregables, compromisos y responsabilidades contractuales. 7. En los casos en que participen mltiples proveedores en un contrato, es necesario definir qu requerimientos sern cubiertos por cada proveedor. Copia de contrato TIC Lista de verificacin de compromisos contractuales
APV-2 Monitorear el avance y desempeo del proveedor

Verificar que las actividades del proveedor sean desempeadas como est especificado en el contrato. 1. Establecer mecanismos de comunicacin con los proveedores 2. Verificar que se cuenta con las cartas de confidencialidad necesarias 3. Obtener, por medio de los responsables de los proyectos, los reportes de avance y desempeo del proveedor. 4. Obtener informacin del desempeo de los servicios y/o soluciones tecnolgicas provistas por el proveedor. a) Evaluar el desempeo real contra el desempeo esperado. b) Realizar anlisis causal, para identificar las races de las desviaciones. c) Establecer planes de acciones preventivas y/o correctivas 5. Revisar y analizar la informacin del Proveedor que le proporcionen los involucrados en el desarrollo del contrato. 6. Verificar la aplicacin de penalizaciones. 7. Identificar y registrar riesgos y problemas 8. Establecer acciones preventivas y correctivas y, monitorearlas hasta su cierre. 9. Evaluar el desempeo general del proveedor
Pg. 139 de 372

Desarrollar y aplicar encuestas para evaluar al proveedor. Revisar con el proveedor el resultado de la evaluacin. Aprovechar los resultados de las revisiones de desempeo de los proveedores para mejorar su desempeo.
10. Integrar informacin y preparar informe. 11. Recopilar la documentacin sobre la experiencia y habilidades demostradas por el proveedor en el desarrollo del contrato. 12. Revisar peridicamente los resultados con los mandos superiores.
Reporte de hallazgos Reporte del avance del trabajo del proveedor Evaluacin de desempeo del proveedor
APV-3 Revisin de cumplimiento al contrato TIC

Descripcin
Verificar y evaluar que la totalidad de las actividades desarrolladas se realicen con apego a lo estipulado en los contratos establecidos, con la finalidad de identificar riesgos y oportunidades, que permitan evitar incumplimientos de los compromisos contractuales, inclusive por parte de la UTIC y/o del rea solicitante del objeto del contrato. 1. Establecer puntos de control para efectuar revisiones de cumplimiento de los acuerdos contractuales. a) Asegurar que los involucrados clave, intervengan en las revisiones. b) Utilizar la informacin del contrato como base para la revisin. c) Analizar los posibles incumplimientos y determinar si aplican deducciones, penalizaciones, o incluso la rescisin del contrato. 2. Informar los resultados de la revisin a las partes involucradas, para establecer acciones correctivas o preventivas. 3. Informar al nivel de autoridad adecuado los asuntos no resueltos.
Factores crticos
Relacin productos
de
Informe de estatus del contrato Manifestacin de conformidad para la liberacin del pago al proveedor
APV-4 Cierre administrativo del contrato

Comprobar que el proveedor cumpli con la totalidad de sus compromisos, para cerrar el contrato. 1. Verificar que el servicio y/o soluciones tecnolgicas se han entregado conforme lo especificado y de conformidad con el contrato. 2. Validar que todas las inconformidades, defectos y/o desviaciones han sido resueltos. 3. Verificar que no exista alguna deduccin y/o penalizacin por aplicar. 4. Confirmar que todos los accesos y/o cuentas proporcionados al proveedor han sido
Pg. 140 de 372

dados de baja. 5. Validar las afectaciones a las fianzas. 6. Aprobar la carta de terminacin de los servicios y/o soluciones tecnolgicas.
Carta terminacin de servicios del proveedor Acta de cierre de contrato Documento de liberacin de fianzas
7.5.2.2.3
Rol
Descripcin de roles
Descripcin
Administrador del contrato Administrador del proveedor
Realiza la administracin de los compromisos de un contrato que le ha sido asignado. Monitorea el avance as como el rendimiento del proveedor con base en el contrato, identificando riesgos e incidencias para establecer lneas de accin.
7.5.2.2.4
Producto
Descripcin
Carta terminacin de servicios del proveedor
Documento para formalizar el cierre del contrato, basado en lo establecido por los Manuales Generales de Recursos Financieros. Los siguientes puntos deben considerarse en el documento: a) Nombre del responsable de la aprobacin b) Fecha c) Caractersticas de la solucin tecnolgica y/o servicio adquirido
d) Referencias a las especificaciones de las garantas y condiciones de su aplicacin

Evaluacin de desempeo del proveedor Informe de estatus del contrato
Reporte que indica el concentrado de las evaluaciones al desempeo del proveedor, incluye nivel de satisfaccin, de capacidad tcnica y de calidad. Describe el grado de apego al contrato tanto por parte del proveedor como del cliente. Los siguientes puntos deben considerarse: a) Desviaciones crticas y la manera en que se solventan b) Riesgos potenciales, as como las acciones para su mitigacin c) Recomendaciones y, en su caso, dictamen por parte del rea jurdica
d) Incidencias, penalizaciones y deducciones de acuerdo a los trminos establecidos en

el contrato.
Pg. 141 de 372
Producto Lista de verificacin de compromisos contractuales
Descripcin
Identifica los compromisos contractuales. Este documento ayuda al monitoreo de las actividades del proveedor. Los siguientes puntos, entre otros, deben considerarse en el documento: a) Nombre del administrador del contrato b) Nombre del administrador del proyecto c) Nmero de contrato d) Nombre del proveedor e) Fecha de formalizacin y de trmino del contrato f) Compromiso contractual
g) Trminos y condiciones
Reporte de hallazgos
Contiene el registro de las desviaciones y/o defectos encontrados durante las evaluaciones de capacidades efectuadas al proveedor. Los siguientes puntos deben considerarse en el documento: a) Hallazgos b) Clasificacin del hallazgo con base en su gravedad c) Estatus del hallazgo
d) Acciones para la resolucin del hallazgo as como el responsable de su ejecucin

Reporte del avance del trabajo del proveedor
Documento ejecutivo que muestra el resumen del avance en la ejecucin del contrato en un periodo determinado. Los siguientes puntos deben considerarse en el documento: a) Principales logros del perodo b) Desempeo en trmino de niveles de servicio c) Penalizaciones y/o deducciones, aplicadas y/o por aplicar
d) Principales riesgos y problemticas

Copia del contrato TIC Acta de cierre de contrato Documento de liberacin de fianzas
Copia simple del contrato. Acta mediante la cual se establece formalmente la finalizacin de los compromisos contractuales. Documento mediante se indica que se han finalizado los compromisos contractuales a satisfaccin de la UTIC, con el propsito de que el rea facultada proceda a liberar las fianzas correspondientes al contrato concluido, de conformidad con la legislacin aplicable en la materia
Manifestacin Documento por medio del cual se manifiesta que el proveedor ha cumplido con un de conformidad determinado compromiso contractual (puede ser parcial o total) a satisfaccin del rea para la solicitante, autorizando se efecte el pago correspondiente. liberacin del pago al proveedor
Pg. 142 de 372
7.5.2.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsabl e UTIC Frecuenci a de clculo Semestral
Cumplimiento de los compromisos del Proveedor
Conocer la eficacia del proceso
Medir el porcentaje de cumplimiento de los compromisos del Proveedor conforme al contrato
Eficacia
De gestin
Satisfaccin de los servicios y/o soluciones tecnolgicas proporcionad as por el proveedor
Tener una medicin de la calidad del servicio de los proveedores
Medir la calidad de los servicios y/o soluciones tecnolgicas entregados
Calidad
De gestin
% de eficacia= (Nmero de entregables cumplidos en tiempo y con las caractersticas requeridas en el contrato/ Nmero de Entregables totales del contrato)*100 (Nmero de requerimientos cumplidos en los servicios / Total de requerimientos establecidos en los contratos de servicios) X 100
UTIC
Semestral
7.5.2.4 1.1 1.2 1.3 1.4
Reglas del proceso La dependencia o entidad deber establecer e implementar actividades de administracin de contratos, para asegurar que se cumple con todos los aspectos establecidos en los mismos. Ninguna prestacin de servicio o recepcin de producto se podr hacer sin el debido contrato que lo avale. Todos los involucrados debern conocer y tener acceso a los contratos en ejecucin. Se deber establecer un responsable nico, que verifique el cumplimiento contractual. Se monitorear el cumplimiento de las condiciones operativas, legales y de control, para implementar acciones correctivas. El proveedor estar sujeto a revisiones peridicas independientes y se le retroalimentar sobre su desempeo para mejorar la prestacin del servicio; se deber asegurar que en el contrato queden establecidos los trminos para poder efectuar dichas revisiones. Ningn pago a proveedor se deber realizar sin la validacin y aceptacin del servicio y/o solucin tecnolgica y sin la respectiva aprobacin del cumplimiento contractual Se debern identificar y mitigar los riesgos relacionados con la capacidad de los proveedores para mantener un servicio de entrega seguro y eficiente, sobre una base de continuidad. Esto implicar asegurarse de que los contratos estn de acuerdo con los requerimientos legales y regulatorios de los estndares universales de TIC. La administracin de riesgos del proveedor deber considerar, como mnimo, acuerdos de confidencialidad, contratos de garanta, viabilidad de la continuidad del proveedor, conformidad con
Pg. 143 de 372
1.5
1.6 1.7
1.8

los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos. Sin perjuicio a lo establecido en este manual, las dependencias y entidades debern observar, en lo conducente, las disposiciones emanadas de los Manuales Administrativos de aplicacin general en materia de Adquisiciones y Arrendamientos y de Recursos Materiales y Servicios Generales, segn sea el caso. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Documentacin soporte del proceso
1.9
1.20 1.21 1.22
7.5.2.5
Pg. 144 de 372
7.5.3. 7.5.3.1 General.-
Adquisiciones de TIC Objetivos del proceso
Establecer, de acuerdo a los portafolios de servicios y proyectos, el programa de adquisiciones de TIC y ejecutarlo.
Especficos.-
1. Definir el programa de adquisiciones de TIC, considerando las directrices de la dependencia o entidad en lo relativo a este tema, as como los trminos y condiciones que determine el Presupuesto de Egresos de la de la Federacin vigente. 2. Cumplir con los requerimientos del procedimiento administrativo de adquisiciones y los compromisos contractuales que se deriven de la normatividad vigente en materia de Adquisiciones, Arrendamientos y Servicios de la APF.
Pg. 145 de 372
7.5.3.2 7.5.3.2.1
Presupuesto de TIC Dictamen de disponibilidad presupuestal Plan de aprovisionamiento de infraestructura AF, MI
Anexo tcnico Reporte de evaluacin del servicio suministrado por terceros
ATA AST
UR Adquisiciones
ADTI-1 Establecer el programa de adquisiciones y servicios de TIC (con terceros)
Solicitud de dictamen de disponibilidad presupuestal
AF
Requisitos administrativos definidos en el Manual administrativo de aplicacin general en materia de adquisiciones y arrendamientos
Programa calendarizado de adquisiciones y servicios de TIC RFI Solicitudes de informacin sobre soluciones tecnolgicas RFP Solicitud de propuesta de soluciones tcnicas Estudio de mercado Anexo tcnico Trminos y condiciones
ADTI-2 Preparacin de expedientes administrativos y ejecucin del programa de adquisiciones de TIC
Estatus de la gestin de la contratacin Contrato de TIC Propuesta tcnica Prebases para la adquisicin
UR Adquisiciones
Paquete para la adquisicin Solicitud para iniciar procedimiento de adquisicin
ATA AST ADTI- 3 Participacin y seguimiento de procesos de adquisicin de proveedores Reporte de evaluacin del servicio suministrado por terceros Reporte de avances del proceso de adquisiciones Prebases (revisadas) Dictamen tcnico econmico de las propuestas recibidas Documento de aclaraciones tcnicas Contrato aprobado tcnicamente
UR Adquisiciones
Notificacin de estado del proceso de contratacin Contrato suscrito Informacin del proceso de adquisiciones
APTI,ATA, AD
Pg. 146 de 372
Pg. 147 de 372
7.5.3.2.2
ADTI-1 Establecer el programa de adquisiciones y servicios de TIC (con terceros)

Establecer el programa de adquisiciones y servicios de TIC conforme a los portafolios de proyectos y servicios de TIC de la dependencia o entidad. 1. Asegurar la disponibilidad de recursos financieros con oportunidad, mediante la verificacin del presupuesto asignado a la UTIC y las solicitudes de dictamen de disponibilidad presupuestal para cada caso del recurso presupuestal asignado y del programa de adquisiciones de TIC. 2. Confirmar que las necesidades a cubrir, para cada adquisicin, se documenten en un anexo tcnico que incluya los requerimientos funcionales, tcnicos, criterios de calidad, niveles de servicio, trminos, condiciones de entrega y aceptacin de la solucin tecnolgica y los criterios de evaluacin de propuestas. Este anexo deber contar con el visto bueno del usuario as como del responsable del paquete de servicio. 3. Definir una estrategia de adquisicin Seleccionar el tipo del procedimiento de adquisicin que se realizar, conforme lo establece la normatividad en materia de Adquisiciones, Arrendamientos y Servicios del Sector Pblico.
4. Realizar una investigacin de mercado, la cual deber considerar: a. Requerir a proveedores representativos del mercado, las solicitudes de informacin sobre soluciones tecnolgicas (RFI) y solicitudes de propuesta de soluciones tcnicas (RFP). Deben contener un planteamiento detallado preliminar del requerimiento, para confirmar que es claro y factible de ser atendido. b. Anlizarlas propuestas y costos asociados para afinar los requerimientos y estimar el rango presupuestal requerido. 5. Verificar que el usuario haya especificado los criterios de calidad, de aceptacin y los niveles de servicio esperados. 6. Elaborar, en conjunto con el usuario, la calendarizacin, los trminos y condiciones para la adquisicin del servicio y/o producto, conforme al tipo del procedimiento de adquisicin. 7.
Conformar el Programa de adquisiciones y servicios de TIC, el cual deber mantenerse actualizado conforme a la normatividad en la materia. Programa calendarizado de adquisiciones y servicios de TIC Solicitudes de informacin sobre soluciones tecnolgicas (RFI) Solicitud de propuesta de soluciones tcnicas (RFP) Estudio de mercado Anexo tcnico Trminos y condiciones Solicitud de dictamen de disponibilidad presupuestal
Pg. 148 de 372

ADTI- 2 Preparacin de expedientes administrativos y ejecucin del programa de adquisiciones de TIC
Descripcin
Integrar el expediente con la documentacin necesaria, de acuerdo al Programa de Adquisiciones y Servicios de TIC y al tipo del procedimiento de adquisicin, as como a lo especificado en la normatividad en materia de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y tramitarlo. 1. Preparar los expedientes administrativos de TIC conforme al procedimiento de adquisicin y de acuerdo al Programa de Adquisiciones y Servicios de TIC. 2. Tramitar autorizaciones y consultas a otras reas de la dependencia o entidad interesadas en consolidar sus requerimientos de TIC. 3. El expediente administrativo de TIC deber integrar los requisitos solicitados por la normatividad en materia de Adquisiciones, Arrendamientos y Servicios de contrataciones del Sector Pblico, vigilando que stos cumplan con lo establecido por el procedimiento administrativo como: Currculo, experiencia, descripcin de los bienes o servicios, tiempo y lugar de entrega, cartas compromiso sobre la entrega, fianzas, etc. Fecha de entrega de los bienes o inicio y finalizacin de los servicios. Normas oficiales de calidad (normas mexicanas o internacionales) que deben ser incluidas. Las penas convencionales, sanciones o deductivas que se aplicarn por incumplimiento, as como la eficacia de la garanta de cumplimiento.
Factores crticos
4. Tramitar en tiempo y forma el Programa de Adquisiciones y Servicios de TIC con la unidad responsable de las contrataciones en la dependencia o entidad, conforme a la normatividad vigente en la materia y estndares de operacin de la misma. 5. Colaborar con la unidad responsable a lo largo del procedimiento de adquisicin e involucrar al rea jurdica y a los responsables de los procesos de adquisiciones, en el anlisis, preparacin y documentacin de la informacin y, en su caso, de los fundamentos legales y motivos tcnicos.
Paquete para la adquisicin Solicitud para iniciar procedimiento de adquisicin
ADTI- 3 Participacin y seguimiento de procesos de adquisicin de proveedores

Dar seguimiento a la gestin de contratacin, hasta su formalizacin. 1. Dar seguimiento al procedimiento de contratacin hasta su formalizacin 2. Resolver las dudas tcnicas y las relativas al proceso de adjudicacin y realizar las precisiones correspondientes en la documentacin. 3. Revisar que el contrato contenga las responsabilidades y obligaciones de ambas partes. Considerar lo especificado por la normatividad en materia de Adquisiciones, Arrendamientos y Servicios del Sector Pblico. Validar que las especificaciones tcnicas donde se estipulan los deberes del
Pg. 149 de 372

proveedor y sus compromisos, queden plasmadas en el contrato
Revisar el contrato y verificar que sea aprobado por las partes involucradas
4. Formalizar el contrato Notificacin de estado del proceso de contratacin Contrato suscrito Informacin del proceso de adquisiciones
7.5.3.2.3
Rol
Descripcin de roles
Descripcin
UR Adquisiciones Proveedor
Responsables de integrar el programa de adquisiciones, de ejecutar y vigilar el procedimiento de licitacin correspondiente y de asegurarse que se elabore el contrato. Persona o sociedad que proporciona servicios y/o soluciones tecnolgicas de acuerdo a lo estipulado en un contrato apegado a la normatividad aplicable.
7.5.3.2.4
Producto
Descripcin
Programa de adquisiciones y servicios de TIC Paquete para la adquisicin
Documento calendarizado que contiene la informacin acerca de las adquisiciones que, en materia de TIC, sern realizados por la dependencia o entidad. Documentos que contienen los requisitos solicitados por la Ley de Adquisiciones, Arrendamientos y Servicios y por la normatividad vigente en la materia, en los que se definen, entre otros, el objeto y alcance de la contratacin, los requisitos legales y administrativos, los requisitos tcnicos: a) Anexo tcnico b) Requisitos tcnicos c) Trminos y condiciones d) Documentacin de soporte
Solicitudes de informacin sobre soluciones tecnolgicas (RFI) Solicitud de propuesta de soluciones
Documento donde se solicita al proveedor la descripcin de los bienes y servicios de TIC que ofrece, as como su experiencia y capacidad en la entrega.
Documento de solicitud de propuesta a potenciales proveedores representativos del mercado. Debe contener un planteamiento detallado preliminar del requerimiento con el
Pg. 150 de 372
Producto tcnicas (RFP) Estudio de mercado
Descripcin
objeto de confirmar que el requerimiento es claro, susceptible de ser atendido y para conocer los precios, tiempo y esfuerzo que el suministro del bien o servicio demanda. Documento que integra las respuestas de los proveedores a la solicitud de propuesta de soluciones tcnicas, que concluye con el anlisis de viabilidad tcnica y financiera. Este documento es un insumo para cubrir los requisitos y regulaciones presupuestales y tcnicas de la adquisicin programada. Documento que detalla la descripcin de los bienes y servicios a adquirir, los requerimientos tcnicos, las especificaciones funcionales y no funcionales, condiciones, criterios de evaluacin de propuestas y de aceptacin de entregables, niveles de servicio esperados y las condiciones generales de las bases de licitacin. Documento que comunica el estado en el que se encuentra el proceso de contratacin a los grupos interesados. Documento que establece los trminos y condiciones del bien o servicio a adquirir. Documento para iniciar el procedimiento de contratacin.
Anexo tcnico
Notificacin de estado del proceso de contratacin Trminos y condiciones Solicitud para iniciar procedimiento de adquisicin Informacin del proceso de adquisiciones Contrato suscrito Solicitud de dictamen de disponibilidad presupuestal
Documentos tcnicos, requerimientos y especificaciones que proporcionan informacin del proceso de adquisicin. Contrato firmado y aceptado por el proveedor y el solicitante. Documento mediante el cual se informa de la disponibilidad presupuestal a ser aplicada a la adquisicin de un determinado bien o servicio, de manera que se pueda llevar a cabo el cumplimiento de un compromiso contractual adquirido o por adquirir.
7.5.3.3
Nombre
Indicadores:
Objetivo Descripci n Conocer el porcentaje de las gestiones realizadas conforme al proceso de adquisicion es de TIC Dimensi n Eficacia Tipo Frmula Responsa ble Administra dor del proceso Frecuenci a de clculo Anual
Resultados de la gestin de contratacione s de TIC
Obtener la medicin de la eficacia del proceso basado en las gestiones efectuadas
De gesti n
% de eficacia= (Nmero de Gestiones de adquisicin efectuadas en tiempo y forma / Nmero de gestiones de adquisiciones de TIC solicitadas) X 100
Pg. 151 de 372

Nombre Objetivo Descripci n Obtener los resultados del proceso de adquisicion es de TIC Dimensi n Eficiencia Tipo Frmula Responsa ble Administra dor del proceso Frecuenci a de clculo Anual
Resultados del proceso de adquisiciones de TIC
Obtener la eficiencia del proceso mediante la medicin de los tiempos en que se ejecuta el proceso
De gesti n
% de eficiencia= ( de los tiempos reales en los procesos de contratacin / de los tiempos programados para los procesos de contratacin) X 100
7.5.3.4 1.1
Reglas del proceso Sin perjuicio a lo establecido en el presente manual, todas las actividades desarrolladas para la adquisicin de TIC incluyendo servicios asociados debern apegarse al manual administrativo de aplicacin general en materia de adquisiciones y arrendamientos, leyes y reglamentos que apliquen. Se deber contar con la definicin de los requerimientos funcionales y no funcionales de las reas usuarias, as como con los requerimientos tcnicos desarrollados por las reas responsables de la UTIC para conducir los estudios de viabilidad y de mercado y, en funcin de las conclusiones de stos, iniciar formalmente el procedimiento de adquisicin de TIC. Todos los acuerdos con el proveedor debern quedar plasmados en el contrato y anexos respectivos. Si se trata de servicios deber incluirse un acuerdo de nivel de servicio que detalle los parmetros aceptables y las mtricas acordadas, as como los estndares y metodologas para su control y seguimiento. La UTIC, a travs del responsable de las adquisiciones de TIC, deber asegurarse de que los contratos que firme cumplan con los requisitos administrativos, tcnicos y funcionales, de acuerdo a la normatividad aplicable en la materia. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.2
1.3
1.4
1.5 1.6 1.7
7.5.3.5
Pg. 152 de 372
7.6 7.6.1 7.6.1.1 General.-
ADMINISTRACIN DE SERVICIOS Administracin del portafolio de servicios de TIC Objetivos del proceso
Definir las prioridades, compromisos e inversiones en servicios de TIC, necesarias para el logro de los objetivos estratgicos de la dependencia o entidad. Especficos.-
1. Asegurar la gestin del ciclo de vida de los servicios de TIC desde su conceptualizacin, diseo, elaboracin y entrada en operacin hasta que entren en desuso. 2. Establecer mecanismos para la toma de decisiones de carcter estratgico relacionada con los servicios de la UTIC. 3. Establecer un esquema de evaluacin, adecuado, comparable, transparente y repetible, que considere el valor, los beneficios y los riesgos de los casos de negocio, de acuerdo a lo establecido en el proceso de Administracin del portafolio de proyectos. 4. Implementar mecanismos que aseguren la comunicacin y el involucramiento de la UTIC con los mandos superiores de la dependencia o entidad, para la toma de decisiones acerca de las inversiones en servicios de TIC. 5. Proporcionar a los mandos medios y superiores informacin clara y precisa sobre los servicios de TIC.
Pg. 153 de 372
7.6.1.2 7.6.1.2.1
Entorno interno PE
PETIC Requerimientos de servicios de TIC de la dependencia o entidad
APS- 1 Establecer un Portafolio de servicios de TIC
APP
APS- 2 Crear y mantener las categoras del Portafolio de servicios de TIC
Caso de negocio de servicio de TIC
Criterios para la evaluacin de iniciativas
Categoras de servicios de TIC DDT Portafolio de servicios de TIC Informes de medicin y anlisis
APS- 3 Analizar y priorizar el Portafolio de servicios de TIC
PE
PETIC Valoracin de servicios de TIC
AD
ASP-4 Revisar el desempeo del Portafolio de servicios de TIC
APS- 5 Evaluar el Portafolio de servicios de TIC
Solicitud de cambios al portafolio de servicios de TIC Bitcora de cambios al portafolio de proyectos de TIC ACMB Reporte de resultados de evaluacin
APP Bitcora de cambios al portafolio de servicios de TIC Iniciativas de servicios de TIC
APS- 6 Comunicar el desempeo del Portafolio de servicios de TIC
Informe del desempeo del portafolio de servicios de TIC
APP EEG, AD
Pg. 154 de 372
Pg. 155 de 372
7.6.1.2.2
APS- 1 Establecer un Portafolio de servicios de TIC

Crear y mantener un registro detallado de los servicios de TIC existentes, as como de aquellas iniciativas de creacin de nuevos servicios de TIC. 1. Elaborar la propuesta estratgica del Portafolio de servicios de TIC; para ello se deben formular las siguientes preguntas: Cules son los objetivos a largo plazo de la entrega de servicios? Qu servicios son necesarios para alcanzar esas metas? Qu capacidades y recursos son necesarios para que en la dependencia o entidad se implementen estos servicios? Cul ser la ruta crtica para la entrega de servicios?
2. Recolectar informacin de todos los servicios de TIC existentes y de los propuestos, con el propsito de proveer informacin nica y consistente de los servicios de TIC. 3. Elaborar, para cada servicio previsto en el Portafolio de servicios de TIC, su correspondiente caso de negocio. Documentar los requerimientos de informacin para los servicios existentes y los nuevos En la elaboracin del caso de negocio se deben considerar los costos de oportunidad de los servicios previstos Las definiciones de los servicios de TIC debern ser acordadas entre todos los involucrados.
4. Considerar si se deben incluir aquellos servicios que prestan terceros a la dependencia o entidad.
Caso de negocio de servicio de TIC. Portafolio de servicios de TIC.
APS- 2 Crear y mantener las categoras del Portafolio de servicios de TIC

Determinar las categoras del Portafolio de servicios de TIC. 1. Definir las categoras en las que se agruparn los servicios del Portafolio de servicios de TIC, con base en el objetivo de los servicios de TIC. 2. Mantener actualizadas las categoras dentro del Portafolio de servicios de TIC segn las necesidades de la dependencia o entidad. 3. Al momento de establecer las categoras de servicios de TIC se deben considerar los criterios necesarios para las categoras a manejar en el catlogo de servicios de TIC. 4. Determinar para cada categora las propiedades de los datos e informacin que ser documentada y administrada dentro del Portafolio de servicios de TIC.
Pg. 156 de 372

Categoras de servicios de TIC
APS- 3 Analizar y priorizar el Portafolio de servicios de TIC

Realizar un anlisis para determinar las prioridades del Portafolio de servicios de TIC, con el propsito de sustentar las decisiones de inversin en iniciativas de servicios de TIC. 1. Considerar las siguientes categoras para la Valoracin de servicios de TIC incluidos en el portafolio: Mantenimiento del servicio - Las inversiones se centran en el mantenimiento de las operaciones de servicio. Crecimiento del servicio - Las inversiones estn destinadas a un mayor alcance o cobertura de los servicios. Transformacin del servicio - Las inversiones se orientan a la diversificacin de los servicios.
2. Determinar la prioridad de los servicios de TIC asignando un valor nico en trminos de riesgo y desempeo a cada servicio, iniciativa o proyecto de servicios de TIC. 3. Esta actividad se debe realizar con la participacin de mandos medios y expertos en la materia, para responder satisfactoriamente a estos factores crticos.
Valoracin de servicios de TIC
APS- 4 Revisar el desempeo del Portafolio de servicios de TIC

Descripcin
El Grupo de trabajo para la direccin de TIC analiza las propuestas de iniciativas de inversin de servicios de TIC para decidir con base en el valor, beneficios, recursos y riesgos implcitos en cada una. Esta actividad se realiza en forma coordinada con el proceso de Administracin del portafolio de proyectos de TIC. 1. Analizar el desempeo del Portafolio de servicios de TIC y el logro de sus objetivos. Los criterios de anlisis debern basarse en las necesidades y objetivos estratgicos de la dependencia o entidad. 2. El Grupo de trabajo para la direccin de TIC debe autorizar o cancelar las iniciativas/proyectos de servicios de TIC, liberar recursos comprometidos y autorizar el financiamiento de las operaciones de TIC, en coordinacin con el proceso de Administracin del Portafolio de proyectos de TIC. 3. Con las aprobaciones realizadas, se procede al correspondiente cambio en el Portafolio de servicios de TIC y se comunica el mismo al responsable del diseo del servicio de TIC. 4. Registrar en la bitcora de cambios, los resultados de decisiones sobre los servicios de TIC, en el portafolio. Se clasifican en cinco categoras: a) Conservacin Es el caso de los servicios y/o activos alineados con la
Pg. 157 de 372
Factores crticos

estrategia de la dependencia o entidad. b) Reemplazo Cuando los servicios no corresponden a objetivos de la dependencia o entidad. c) Racionalizacin Cuando se constata que se ofrecen servicios mediante mltiples presentaciones de funciones similares. d) Renovacin En caso de que los servicios satisfagan los criterios de aptitud funcional, pero pudieran necesitar el reemplazo de algunos componentes tcnicos. e) Retiro Servicios que no cumplen con los niveles mnimos tcnicos y funcionales.
Solicitud de cambios al portafolio de servicios de TIC Bitcora de cambios al portafolio de servicios de TIC Iniciativas de servicios de TIC
APS- 5 Evaluar el Portafolio de servicios de TIC

Descripcin
Identificar si las prioridades establecidas estn alineadas con la estrategia y objetivos de la dependencia o entidad y validar que exista un equilibrio adecuado entre los servicios disponibles y los que se desarrollan. 1. Los criterios para la evaluacin del portafolio debern estar correctamente definidos y actualizados de acuerdo a las necesidades de la dependencia o entidad. 2. La revisin deber determinar las correcciones necesarias a la combinacin de iniciativas/proyectos de servicios de TIC, servicios de TIC, con el objetivo de optimizar al mximo el portafolio y reflejar el equilibrio deseado. 3. Establecer evaluaciones peridicas sobre el Portafolio de servicios de TIC con fines de calidad.
Factores crticos
Reporte de resultados de evaluacin
APS- 6 Comunicar el desempeo del Portafolio de servicios de TIC

Descripcin
Comunicar los resultados de la revisin al Portafolio de servicios de TIC, para informar sobre los resultados versus los objetivos del portafolio y demostrar el valor que TIC le est proporcionando a la dependencia o entidad. 1. Los informes deben indicar claramente la alineacin con las metas y objetivos de TIC y de la dependencia o entidad. Los informes debern cumplir con los criterios del proceso de Administracin del desempeo de TIC. 2. Publicar el resultado de la revisin al desempeo del Portafolio de servicios de TIC. Esta actividad la realiza el Administrador de portafolio de servicios de TIC o los mandos medios o superiores
Pg. 158 de 372
Factores crticos
Informe del desempeo del portafolio de servicios de TIC
7.6.1.2.3
Rol
Descripcin de roles
Descripcin
Administrador de portafolio de servicios
Debe asegurar que los requerimientos del cliente sean identificados, entendidos y documentados en los Acuerdos del nivel de servicios y en los documentos de los requerimientos del nivel de servicios. Negociar y acordar con el cliente los niveles de servicios y documentarlos formalmente. Proporcionar asistencia en la produccin y mantenimiento del Portafolio de servicios de TIC.
Grupo formado por los titulares de las reas responsables y de la UTIC. Este grupo Grupo de determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de trabajo para la direccin de TIC requerimientos, inversin y gasto en materia de TIC, define y establece controles de gobierno y evala los resultados de la UTIC. Debe asegurar la direccin y el control de los procesos y servicios de TIC. Este grupo tiene las siguientes responsabilidades:
Administrador de grupo de servicios
Integrar el Portafolio de servicios de TIC. Asegurar que la evaluacin y priorizacin del Portafolio de servicios de TIC, sea realizada conforme a los objetivos de la dependencia o entidad. Evaluar el desempeo y los objetivos de los proyectos del Portafolio de servicios de TIC, en colaboracin con los administradores de las lneas de servicio. Dar a conocer el Portafolio de servicios de TIC, as como sus modificaciones.
Responsable de administrar los servicios de TIC, desde su concepto hasta su retiro de la operacin (diseo, transicin y operacin). Los administradores de servicio son responsables de los datos e informacin de su servicio o grupo contenidos en el Portafolio de servicios de TIC. Debe interactuar muy de cerca con los usuarios en la determinacin de los requerimientos de informacin para elaborar los casos de negocio de los servicios de TIC.
7.6.1.2.4
Producto
Descripcin
Portafolio de Repositorio de conocimientos con informacin sobre los servicios de TIC. Incluye los servicios de TIC
Pg. 159 de 372
servicios durante su ciclo de vida, desde su conceptualizacin, diseo, transicin, operacin
Producto
Descripcin
hasta su retiro de la operacin. El Portafolio de servicios de TIC incluye el Catlogo de servicios de TIC. Una alternativa para la implementacin del Portafolio de servicios de TIC es integrar su informacin de manera estructurada en la base de datos de configuraciones (CMDB).
Catlogo de Es el elemento del Portafolio de servicios que se publica para conocimiento de los usuarios, servicios de TIC
apoya la comunicacin con stos y la entrega de servicios de TIC.
El catlogo de servicios debe incluir al menos la informacin siguiente: Propietario del servicio Descripcin resumida del servicio Descripcin detallada del servicio Arquitectura del servicio Horario del servicio Horario de mantenimiento del servicio Calidad del servicio Mtricas y reportes del servicio Disponibilidad Roles y responsabilidades de los involucrados en el servicio
Iniciativas de Documentacin de las iniciativas de proyectos destinados a la creacin, mantenimiento o servicios de TIC
modificacin de servicios de TIC, de acuerdo a las categoras de servicios del Portafolio de servicios de TIC y a los criterios de evaluacin establecidos en el proceso de Administracin del portafolio de proyectos de TIC. La documentacin de la iniciativa incluye los requerimientos de informacin del servicio y la documentacin de su caso de negocio.
Caso de negocio de servicio de TIC
Justificacin tcnica y econmica de cmo se puede crear valor a la dependencia o entidad y a los usuarios de un servicio de TIC. Incluye informacin de costos, beneficios, riesgos y contribucin a los objetivos de la dependencia o entidad. Sustenta las decisiones de construccin de un servicio desde su inicio, de adquisicin de solucin en el mercado, de adecuacin de un servicio existente, de mantenimiento en operacin o retiro de un servicio.
Bitcora de Incluye informacin acerca del estado de las solicitudes de cambio al Portafolio de servicios cambios al de TIC. Registra el resultado de las decisiones de conservar, reemplazar, racionalizar, portafolio de servicios de TIC renovar o retirar servicios de TIC Informe del Informes y reportes que comunican el estado global del desempeo y el cumplimiento de los desempeo del objetivos y metas del Portafolio de servicios de TIC. portafolio de servicios de TIC
Pg. 160 de 372
Producto Reporte de resultados de evaluacin
Descripcin
Reporte de la evaluacin peridica que se realiza al Portafolio de servicios de TIC, con el propsito de determinar si las prioridades asignadas a los servicios de TIC permanecen vigentes y validar que existe un equilibrio adecuado en las inversiones autorizadas.
Solicitud de Solicitud para realizar un cambio al Portafolio de servicios de TIC. cambios al portafolio de servicios de TIC Categoras de Grupos de servicios usados para facilitar la Administracin del portafolio de servicios de TIC. servicios de TIC Valoracin de Documento que contiene la relacin de los servicios de TIC con el valor nico que se asigna servicios de TIC
a los servicios de TIC del portafolio, para determinar su prioridad en funcin de su contribucin al logro de los objetivos de la dependencia o entidad, sus beneficios, costos, nivel de riesgo y su desempeo actual o potencial.
7.6.1.3.
Nombre
Indicadores:
Objetivo Obtener la eficiencia del proceso en base a los casos de negocio desarrollados Descripcin Medir el resultado del proceso de Administracin del portafolio de servicios de TIC Dimensin Eficiencia Tipo De gestin Frmula % eficiencia= (nmero de casos de negocio desarrollados / nmero de solicitudes de desarrollo de iniciativas de servicio) X 100 Responsable UTIC Frecuencia de clculo Anual
Resultados del proceso de Administracin del portafolio de servicios de TIC
7.6.1.4 1.1 1.2 1.3
Reglas del proceso La UTIC deber designar un responsable de la Administracin del portafolio de servicios de TIC. El Grupo de trabajo para la direccin de TIC debe designar un responsable para cada iniciativa de servicio de TIC, que ser denominado Administrador de grupo de servicio/servicio. Cualquier cambio al Portafolio de servicios de TIC deber ser aprobado por el responsable de la Administracin del portafolio de servicios y se deber llevar a cabo de acuerdo al proceso de Administracin de cambios. El Administrador de grupo de servicio/servicio ser responsable de la revisin del Caso de negocio.
1.4
Pg. 161 de 372

1.5 1.6 1.7 Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Documentacin soporte del proceso
7.6.1.5
Pg. 162 de 372
7.6.2 7.6.2.1 General.-
Diseo de servicios de TIC Objetivos del proceso
Disear y desarrollar servicios, as como mantener o mejorar los existentes, conforme a las necesidades, prioridades y posibilidades de la dependencia o entidad, a fin de mantener e incrementar la calidad de los bienes y servicios que la institucin ofrece a la sociedad.
Especficos.-
1.
Disear servicios que respondan a las necesidades y programas de la dependencia o entidad, considerando los requerimientos especificados por el usuario y la normatividad vigente.
2.
Disear servicios que contemplen seguridad de TIC, continuidad, disponibilidad, capacidad de la UTIC y proveedores.
3.
Definir especificaciones de los servicios de TIC que permitan construirlos y desplegarlos en funcin de las necesidades de la dependencia o entidad.
4.
Identificar y administrar riesgos para que puedan ser eliminados, transferidos y/o mitigados, antes de que los servicios de TIC pasen al ambiente de produccin.
5.
Disear la arquitectura del ambiente del servicio de TIC, para satisfacer las necesidades actuales y futuras de la dependencia o entidad.
6.
Elaborar planes de TIC, procedimientos, arquitecturas y documentos para el diseo de soluciones tecnolgicas de calidad que satisfagan las necesidades de la dependencia o entidad.
7.
Comunicar de manera transparente las definiciones y estado de los servicios diseados.
Pg. 163 de 372
7.6.2.2 7.6.2.2.1
APS
Portafolio de servicios de TIC Casos de negocio de servicio de TIC Iniciativas de servicio de TIC Bitcora de cambios del portafolio de servicios de TIC
Procedimiento de administracin de riesgos Sentencia de aplicabilidad
ASI, ARTI
DSTI-1 Disear soluciones de servicio de TIC Diseo de la arquitectura de servicios de TIC Paquete de diseo del servicio de TIC
DDT, Grupo de procesos TE, OS
ADT
Plan de capacidad de los recursos de TIC PETIC

PE
DSTI-3 Disear la arquitectura tecnolgica de los servicios de TIC
DSTI-2 Administrar la capacidad de los recursos de TIC
A DDT, ACNC, y grupo de procesos OS, TE Informe de medicin y anlisis Plan de aprovisionamiento de infraestructura Bitcora de resultados de las pruebas de factibilidad
MI
DSTI-4 Administrar la continuidad de servicios de TIC
AD Plan de continuidad de servicios de TIC
DDT, Grupo de procesos de operacin de servicios y de transicin y entrega
DDT, ADT
Directrices rectoras para la arquitectura tecnolgica Plan de tecnologa Dictmenes tecnolgicos
Pg. 164 de 372
Pg. 165 de 372
7.6.2.2.2
DSTI-1 Disear soluciones de servicio de TIC

Descripcin
Factores crticos
Elaborar planes y especificaciones de diseo de servicios nuevos o mejorados que cumplan con las necesidades y requerimientos de informacin, presupuestos, programas y lmites de tiempo de la dependencia o entidad. Las especificaciones y expectativas del servicio de TIC debern ser identificadas, definidas, acordadas, documentadas, medidas y transformadas en requerimientos de servicio y criterios de aceptacin. 1. Acordar los requerimientos del servicio. Realizar un anlisis de los requerimientos asociados al servicio, asegurando que se documenten y sean acordados formalmente por todas las partes interesadas. Estos requerimientos son la base de todas las actividades de diseo posteriores y debern encontrarse bajo control formal de cambios. Para servicios existentes se incluyen, entre otros, requerimientos de: Funcionalidad o infraestructura. Cambios en los procesos de la dependencia o entidad, prioridades, importancia e impacto. Cambios en los volmenes de transacciones del servicio. Cambios en los niveles de servicio y sus metas asociadas.
Para servicios nuevos se incluyen, entre otros, requerimientos de: Funcionalidad y de infraestructura. Administracin del servicio. Procesos de la dependencia o entidad que sustentan, prioridades, importancia e impacto. Niveles de servicio y sus metas. Niveles de transacciones, nmeros de usuarios de acuerdo a su tipo y crecimiento previsto. Caso de negocio, incluyendo aspectos financieros y de estrategia. Estimaciones sobre la frecuencia de cambios. Niveles de capacidad o de soporte que va a requerir (por ejemplo soporte local).
2. Analizar la madurez, capacidades y estado de la infraestructura y servicios de TIC existentes, con una perspectiva de reutilizacin para utilizar, siempre que sea posible, componentes y servicios existentes. 3. Elaborar las especificaciones de las soluciones de servicios, considerando todos los aspectos inherentes al servicio, incluyendo: Los procesos que sustentan o sustentarn los servicios internos y externos y el impacto y beneficios esperados. Instalaciones, funcionalidad e informacin para monitoreo. Los ciclos de servicios incluyendo demanda planeada.
Pg. 166 de 372

Los requerimientos y metas de niveles de servicio esperadas y comprometidas. Las escalas de tiempo, o lmites de tiempo establecidos interna o externamente. Los requerimientos para realizar las pruebas del servicio, sobre todo las de aceptacin del usuario. Los OLA acordados dentro de TIC. Los contratos con proveedores externos, documentados en los contratos de soporte actuales. El nivel de escalabilidad del servicio para satisfacer las necesidades futuras de la dependencia o entidad.
4. Documentar los criterios de aceptacin del servicio. 5. Evaluar diversas opciones de solucin en cuanto a tiempo, costo, beneficio a la dependencia o entidad y al ciudadano y grado de cumplimiento a los requerimientos del servicio, para seleccionar la alternativa de solucin ms apropiada. 6. Analizar, re-evaluar y, de ser necesario, acordar cambios al presupuesto y recursos autorizados en el proceso de Administracin del portafolio de servicios de TIC para la iniciativa correspondiente al servicio que se est diseando. 7. Validar que la solucin seleccionada se encuentra alineada a las estrategias de TIC, al Plan de tecnologa, (ver proceso Determinar la direccin tecnolgica), a los principios y las directrices de la arquitectura tecnolgica (ver proceso Administrar dominios tecnolgicos). 8. Asegurar que la solucin seleccionada cumple con todos los controles de gobierno y de seguridad que le apliquen, de acuerdo a su categora. 9. Realizar una evaluacin para asegurar que la solucin seleccionada para el servicio pueda ser operada de manera que cumpla con las metas de los niveles de servicio requeridas. Esta evaluacin deber incluir: Un anlisis del impacto, beneficios y contribucin de la solucin, as como de los costos durante el ciclo de vida del servicio, incluyendo los costos del diseo, desarrollo, continuidad de la operacin y soporte del servicio. Evaluacin y mitigacin de los riesgos asociados a un servicio nuevo o modificado, particularmente con respecto a su operacin, seguridad, disponibilidad y continuidad. La capacidad y madurez de la dependencia o entidad con respecto al servicio bajo diseo. La evaluacin de este aspecto es realizada por los responsables de unidades usuarias del servicio, con respecto a la existencia de procesos, estructura, personal, roles, responsabilidades e instalaciones apropiadas para operar el servicio. La capacidad y madurez de la infraestructura de TIC. La evaluacin de este aspecto considera: La evaluacin del impacto del servicio en todas las reas de TIC, incluyendo los recursos necesarios. Los procesos, roles y responsabilidades propios de la UTIC. Las habilidades, conocimiento y competencia del personal. Las herramientas de soporte y gestin necesarias para el servicio.
Pg. 167 de 372

10. Definir las mtricas y mtodos de medicin requeridos para validar el cumplimiento de los acuerdos de niveles de servicio. 11. Determinar contratos con proveedores externos necesarios para operar el servicio. 12. Integrar en el paquete del diseo de servicio toda la informacin resultante del diseo; servir de insumo a los grupos de procesos de transicin y entrega y de operacin de servicios. 13. Los datos e informacin producto del diseo del servicio, incluyendo el paquete del diseo, se deber incorporar y administrar en un repositorio de conocimiento del sistema de conocimiento de la UTIC.
Paquete de diseo del servicio de TIC
DSTI-2 Administrar la capacidad de los recursos de TIC

Descripcin
Factores crticos
Revisar peridicamente el desempeo actual y la capacidad de los recursos de TIC, con el propsito de optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades de los servicios de TIC, para asegurar que cumple con los niveles de servicio acordados. Este proceso incluye la previsin de necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. 1. Desarrollar un Plan de capacidad que permita a la UTIC cumplir con los niveles de servicio acordados, con el crecimiento previsto de la demanda, la mejora de los niveles de servicio y los nuevos servicios incluidos en el Portafolio de servicios de TIC. En la elaboracin del Plan de capacidad se deben considerar: La informacin suficiente para habilitar la toma de decisiones con respecto a: Activos y/o recursos que requieren ser mejorados (por ejemplo: ms memoria, dispositivos de almacenamiento ms veloces, procesadores ms poderosos, mayor ancho de banda). Momento en que requiere la mejora. Costos de la mejora.
Los planes de capacidad se usan para la planificacin del presupuesto y de las inversiones. El equilibrio entre los costos y los recursos requeridos de forma que las adquisiciones y los costos se puedan adecuar para procesar las cargas de trabajo, tal como se necesita para cumplir con los niveles de servicio acordados, El balance entre la oferta y la demanda, necesario para asegurar la suficiencia de recursos para responder a la demanda y La participacin de los responsables y expertos de los dominios tecnolgicos en la elaboracin del Plan de capacidad.
2. Revisar peridicamente la capacidad y desempeo de los recursos de TI, para determinar si existe suficiente capacidad para prestar los servicios respetando los niveles de servicio acordados. Incluye el monitoreo del desempeo actual y capacidad usada, sustentada, de ser necesario, por soluciones automatizadas.
Pg. 168 de 372

Identificar y dar seguimiento a incidentes causados por problemas de falta de capacidad. Evaluar los niveles de capacidad a nivel demanda, servicio y componentes contra los niveles de servicio acordados y tendencias.
3. Llevar a cabo peridicamente un pronstico de desempeo y capacidad de los recursos de TIC, para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradacin del desempeo. Identificar las disponibilidades de capacidad para una posible redistribucin. Identificar las tendencias de las cargas de trabajo y determinar sus proyecciones que se deben considerar en los planes de capacidad. 4. Garantizar la disponibilidad de los recursos de TIC. Asegurar la capacidad y desempeo requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TIC. Deben tomarse medidas cuando el desempeo y la capacidad no estn en el nivel requerido, tales como ajustar la prioridad de las tareas, instaurar mecanismos de tolerancia de fallas y de prcticas de asignacin de recursos. La UTIC debe garantizar que los planes de contingencia consideren de forma apropiada la disponibilidad, capacidad y desempeo de los recursos individuales de TIC. 5. Monitorear continuamente el desempeo y la capacidad de los recursos de TIC. La informacin reunida tiene tres propsitos: Mantener y afinar el desempeo y atender temas como flexibilidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisicin de recursos. Para reportar los niveles de servicio. Acompaar todos los reportes de excepcin con recomendaciones de acciones correctivas.

Plan de capacidad de los recursos de TIC
DSTI-3 Disear la arquitectura tecnolgica de los servicios de TIC.

Descripcin
Factores crticos
Proveer los modelos arquitectnicos para el desarrollo y despliegue de la infraestructura de TIC necesaria para la operacin de un servicio o una lnea de servicios, que satisfaga las necesidades actuales y futuras del servicio y se encuentre alineada a las directrices de la arquitectura tecnolgica de la dependencia o entidad y a su Plan de tecnologa. 1. Adoptar una metodologa que incorpore mejores prcticas probadas, para el desarrollo de modelos de arquitectura de servicios de TIC que permita estandarizacin, soporte y consistencia en el establecimiento y evolucin de la infraestructura de TIC, necesaria para sustentar el diseo y la provisin de un servicio de TIC. 2. Disear, usando la metodologa establecida, los modelos de arquitectura tecnolgica necesarios para sustentar el diseo y la operacin de una solucin, para un servicio nuevo o modificado. 3. Asegurar que las infraestructuras de TIC, ambientes, datos, aplicaciones y servicios externos involucrados en el modelo de arquitectura de un servicio de TIC, se alinean a las directrices de la arquitectura tecnolgica y a los principios de los dominios tecnolgicos y que los requerimientos tecnolgicos derivados se consideren en la elaboracin del Plan de
Pg. 169 de 372

tecnologa, en el proceso Determinacin de la direccin tecnolgica. 4. Asegurar el apego a marcos de referencia arquitectnicos, estrategias, procedimientos y estndares adoptados por la dependencia o entidad
Diseo de la arquitectura de servicios de TIC
DSTI-4 Administrar la continuidad de servicios de TIC

Descripcin
Factores crticos
Asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI, mediante el desarrollo, mantenimiento, entrenamiento y pruebas de los planes de contingencia en materia de TIC y asegurando la disponibilidad de copias de los planes de contingencia y de los datos requeridos fuera de las instalaciones. 1. Desarrollar y establecer un Sistema de continuidad de servicios que incluya directrices, procedimientos, estructuras, roles y responsabilidades necesarios para sustentar la continuidad de los servicios de TIC, en toda la dependencia o entidad. El Sistema de continuidad de servicios de TIC tiene el propsito de ayudar en la determinacin de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperacin de desastres y de contingencias. El Sistema de continuidad de servicios de TIC, debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administracin y sus clientes; as como las reglas y estructuras para documentar, probar y ejecutar la recuperacin de desastres y los planes de contingencia de TI. El Sistema de continuidad de servicios de TIC, debe tambin considerar la identificacin de recursos crticos, el monitoreo y reporte de la disponibilidad de recursos crticos, el procesamiento alternativo y los principios de respaldo y recuperacin. El Sistema de continuidad de servicios de TIC debe considerar los resultados del anlisis de impacto al negocio (BIA, por sus siglas en ingls) y la estrategia de recuperacin que se determine en el proceso de Administracin de riesgos de TIC.
2. Desarrollar el Plan de continuidad de TIC con base en el Sistema de continuidad de servicios de TIC, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave de la dependencia o entidad. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo y capacidad de recuperacin de todos los servicios crticos de TI. Tambin debe cubrir los lineamientos de uso, roles y responsabilidades, procedimientos, procesos de comunicacin y el enfoque de pruebas. 3. Centrar la atencin en los puntos determinados como los ms crticos en el Plan de continuidad de TIC, para construir resistencia y establecer prioridades en situaciones de recuperacin. Evitar la distraccin de recuperar los puntos menos crticos y asegurarse de que la respuesta y la recuperacin estn alineadas con las necesidades prioritarias de la dependencia o entidad, cuidando tambin que los costos se mantengan a un nivel aceptable y que se cumpla con los requerimientos regulatorios y contractuales. Considerar los requerimientos de resistencia, respuesta y recuperacin para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24 horas, ms de 24 horas y para periodos crticos de operacin del negocio. 4. Revisar el Plan de continuidad de TIC mediante un procedimiento de control de cambios,
Pg. 170 de 372

para asegurar que el Plan de continuidad de TIC se mantenga actualizado y que refleje de manera continua los requerimientos de la dependencia o entidad. Es esencial que los cambios en procedimientos y responsabilidades sean comunicados de forma clara y oportuna. 5. Probar el Plan de continuidad de TI de forma peridica, para asegurar que los servicios de TIC pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementacin de un plan de accin. Considerar el alcance de las pruebas de recuperacin en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor. 6. Entrenar en el Plan de continuidad de TIC, para asegurar que todas las partes involucradas reciban peridicamente sesiones de habilitacin respecto a los procedimientos, actividades y sus roles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia. 7. Asegurar que el Plan de continuidad de TIC se distribuye de manera apropiada y segura y que est disponible y autorizado para los involucrados cuando y donde se requiera. Se debe cuidar en hacerlo accesible bajo cualquier escenario de desastre. 8. Planear las acciones a implementar durante el perodo de recuperacin y reanudacin de los servicios de TIC. Esto puede representar la activacin de sitios de respaldo, el inicio de procesamiento alternativo, la comunicacin a clientes e interesados, realizar procedimientos de reanudacin, etc. Asegurarse de que los titulares de las unidades responsables entiendan los tiempos de recuperacin de los servicios crticos de TIC y las inversiones necesarias en materia de TIC para sustentar la recuperacin y reanudacin de los servicios de TIC. 9. Almacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos de TIC crticos, necesarios para la recuperacin de los servicios de TIC y para los planes de continuidad de la dependencia o entidad. El contenido de los respaldos a almacenar debe determinarse entre los responsables de los procesos sustantivos de la dependencia o entidad y el personal de TIC. La administracin del sitio de almacenamiento externo a las instalaciones debe apegarse a la poltica de clasificacin de datos y a las prcticas de almacenamiento de datos de la dependencia o entidad. El titular de la UTIC debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al menos dos veces por ao, respecto al contenido, a la proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y peridicamente probar y renovar los datos archivados. 10. Activar el Plan de continuidad cuando sea necesario y una vez lograda una exitosa reanudacin de los servicios de TIC despus de un desastre, evaluar el desempeo contra el plan, los problemas encontrados y lo adecuado del Plan de continuidad. Actualizar el plan con los hallazgos y lecciones aprendidas.
Plan de continuidad de servicios de TIC
Pg. 171 de 372
7.6.2.2.3
Rol
Descripcin de roles
Descripcin
Responsable del diseo de servicios de TIC Propietario del servicio Arquitecto de TIC Administrador de proyectos Responsable del diseo de un servicio
Es responsable de la calidad del proceso de Diseo de servicios de TIC y supervisa tanto su administracin como el cumplimiento de disposiciones y tecnologas asociadas con este proceso. Es responsable de la entrega de un servicio especfico, sin importar donde residan los componentes subyacentes, procesos o capacidades profesionales que lo sustentan. Responsable de la arquitectura que seguir el servicio desde el punto de vista tecnolgico, con fines de integracin en la solucin. Persona encargada de gestionar todos los aspectos relacionados con un proyecto, incluyendo recursos monetarios, tiempo, tareas, actividades, seguimiento y reporte de avance, entre otros. Responsable de elaborar el paquete de diseo del servicio y de supervisar el programa de proyectos derivados del mismo.
7.6.2.2.4
Producto
Descripcin
Plan de capacidad de los recursos de TIC
El Plan de capacidad se usa para gestionar los recursos de TIC requeridos para proveer los servicios de TIC incluidos en el Portafolio de servicios de TIC. El plan contiene escenarios para distintas predicciones de demanda de los servicios y las opciones valoradas para proveer los niveles y metas de servicios acordados. El Plan de capacidad incluye los factores para cumplir los requerimientos de desempeo y disponibilidad actuales y futuros de los servicios. El contenido tpico del Plan de capacidad incluye: Descripcin del entorno y alcance considerado en el Plan de capacidad incluyendo: Los servicios actuales, tecnologa y recursos. Los niveles actuales de capacidad de la dependencia o entidad. Incidentes y problemas experimentados debido a una falta o exceso de capacidad. El grado de cumplimiento de los niveles de servicio. Los cambios que se han realizado desde la ltima emisin del plan. Resumen ejecutivo, incluyendo una sntesis de los principales asuntos, opciones, recomendaciones y costos. Escenarios de demanda y provisin de los servicios. Alcance de los recursos de TIC que estn considerados en el plan. Mtodos usados para recolectar la informacin que sustenta al plan. Supuestos. Resumen de los servicios considerados en el plan.
Pg. 172 de 372
Producto
Descripcin
Uso actual de los recursos de TIC y predicciones de los niveles de uso futuros. Opciones para mejorar la eficacia y la eficiencia de la entrega de servicios de TIC. Estimados de costos. Recomendaciones en trminos de : o Beneficios para la dependencia o entidad. o Impacto potencial si se lleva a cabo la recomendacin. o Riesgos involucrados. o Recursos requeridos. o Costos de adquisicin y de operacin asociados.
Plan de continuidad de servicios de TIC
Plan que define los pasos necesarios para recuperar uno o ms servicios. El plan adems identificar los disparadores de la invocacin del plan, las personas que han de ser involucradas, las comunicaciones necesarias, entre otros. El Plan de continuidad de los servicios deber ser parte de un sistema de continuidad de la operacin en la dependencia o entidad, y contemplar: Las condiciones y las responsabilidades para activar el plan y/o informar a niveles superiores. Estrategias de recuperacin, incluyendo la secuencia de actividades necesarias. Requerimientos mnimos para mantener un nivel adecuado de operacin y de niveles de servicio con recursos disminuidos. Procedimientos de emergencia. Procedimientos de respaldo. Procedimientos temporales de operacin. Procedimientos para la recuperacin del servicio. Plan de pruebas y mantenimiento. Actividades de entrenamiento, educacin y concientizacin. Responsabilidades de los individuos. Regulaciones. Inventario de recursos crticos, incluyendo informacin actualizada de los contactos necesarios para ejecutar los procedimientos de emergencia, recuperacin y respaldo. Instalaciones alternativas de acuerdo a lo establecido en el plan. Proveedores alternativos para recursos crticos. Plan de comunicaciones.

Documentacin integrada de los resultados del diseo de soluciones de servicios de TIC. El contenido tpico del paquete de diseo del servicio es: Requerimientos: o Requerimientos de informacin desde la perspectiva del usuario.
Pg. 173 de 372
Producto
Descripcin
o Requerimientos del uso del servicio. o Contactos del personal clave y otros involucrados en el diseo, transicin y operacin del servicio. Diseo del servicio: o Requerimientos funcionales del servicio. o Requerimientos de niveles de servicio. o Requerimientos de operacin y de administracin del servicio. o Arquitectura y diseo del servicio, incluyendo: El modelo y definicin del servicio para la transicin y operacin. Todos los componentes del servicio e infraestructura (de preferencia dentro de la base de datos para la administracin de la configuracin. Requerimientos de documentacin necesaria para los usuarios, procesos, servicios, componentes, transicin, soporte y operacin. Procesos, procedimientos, mtricas y mediciones y reportes asociados al servicio. Evaluacin del grado de preparacin de la dependencia o entidad incluyendo: evaluacin financiera, evaluacin tcnica, evaluacin de recursos y evaluacin organizacional, en conjunto con detalles de las habilidades, competencias y conocimientos requeridos por la UTIC, sus proveedores, los servicios de tercero y contratos. Planes del ciclo de vida del servicio. o Planes generales de alto nivel para cada una de las fases del ciclo de vida del servicio, incluyendo un cronograma de alto nivel para la transicin, la operacin y mejoras subsecuentes de los servicios.
Diseo de la arquitectura de servicios de TIC
Criterios de aceptacin del servicio.
Documento que contiene los modelos que describen los componentes de la arquitectura tecnolgica y sus relaciones . Esta arquitectura se considera en el diseo de los servicios de TIC.
7.6.2.3
Nombre Satisfaccin en los paquetes de diseo elaborados
Indicadores:
Objetivo Obtener la satisfaccin de la ejecucin del proceso, mediante la medicin de requerimientos cumplidos en Descripcin Medir la calidad de los servicios y/o soluciones tecnolgicas entregados Dimensin Calidad Tipo De gestin Frmula (Nmero de requerimientos cumplidos en los servicios / Total de requerimientos establecidos en las solicitudes de diseo de Responsable UTIC Frecuencia de clculo Anual
Pg. 174 de 372

Nombre Resultados del proceso de diseo de servicios de TIC
Objetivo los diseos Obtener una medicin de la eficiencia del proceso, para este caso basada en el numero de paquetes de diseo elaborados
Descripcin Medir el resultado del proceso de diseo de servicios de TIC
Dimensin Eficiencia
Tipo De gestin
Frmula servicios) X 100 % de eficiencia=(Nmero de paquetes de diseo de servicios de TIC elaborados y aprobados/ nmero de paquetes de diseo de servicio de TIC solicitados) X 100
Responsable Responsable del diseo de un servicio
7.6.2.4 1.1 1.2
Reglas del proceso La UTIC deber designar un responsable del proceso de diseo de servicios de TIC. El responsable del proceso de diseo de servicios de TIC desarrollar solamente el diseo de los servicios aprobados por el responsable del Portafolio de servicios de TIC, tanto en caso de nuevos servicios como de modificaciones a servicios existentes. El Grupo de trabajo para la direccin de TIC, deber designar a un responsable del diseo del servicio. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.3 1.4 1.5 1.6
7.6.2.5
Pg. 175 de 372
7.7 7.7.1. 7.7.1.1
DESARROLLO Y ADQUISICIN DE SOLUCIONES Administracin tcnica de las adquisiciones Objetivos del proceso
General.-
Definir los criterios para la adquisicin de una solucin tecnolgica, desde la definicin de los requerimientos para la adquisicin hasta la aceptacin de la solucin tecnolgica adquirida.
Especficos.-
1.
Identificar las necesidades, expectativas, restricciones e interfaces y transformarlas en requerimientos contractuales para la adquisicin de una solucin o servicio.
2.
Definir las caractersticas tcnicas de la solucin tecnolgica o servicio a ser adquirido, para asegurar que cubre las necesidades, expectativas y restricciones identificadas.
3.
Evaluar tcnicamente las soluciones o servicios propuestos por los diferentes proveedores, para asegurar la cobertura de los requerimientos contractuales e identificar la mejor respuesta a las necesidades de la dependencia o entidad.
4.
Dar seguimiento y revisar las actividades de los proveedores para asegurar el cumplimiento de los acuerdos establecidos en el contrato.
5. Evaluar las soluciones tecnolgicas o servicios entregados por el proveedor para asegurar el cumplimiento
de los requerimientos y aprobarlos.
Pg. 176 de 372
7.7.1.2 7.7.1.2.1
Este proceso se rige a travs del Plan de proyecto establecido en APTI APTI
Plan de proyecto
DSTI
ATA-1 Desarrollar los requerim ientos para la adquisicin
Inform acin del proceso de adquisiciones Notificacin del estado del proceso de contratacin ADTI
Anexo tcnico Trminos y condiciones Estudio de mercado
ADTI
ATA-2 Participacin y seguimiento en el proceso de adquisicin
Reporte de avance del proceso de adquisicin Pre-bases (revisadas) Dictam en tcnico-econmico de las propuestas recibidas Documento de aclaraciones tcnicas Contrato aprobado tcnicamente
Copia de contrato Lista de verificacin de compromisos contractuales
ATA-3 Monitorear las actividades tcnicas del proveedor
Matriz de rastreo y trazabilidad del contrato
APV Resultado de las revisiones Reporte de revisiones de procesos APV
CST
Reporte de revisin
ATA-4 Aceptar la solucin tecnolgica
Carta de aceptacin de la solucin tecnolgica
Pg. 177 de 372
Pg. 178 de 372
7.7.1.2.2
ATA-1 Desarrollar los requerimientos para la adquisicin

Identificar las necesidades y la informacin relacionada, para definir el alcance y las restricciones que servirn como parmetros para desarrollar los anexos tcnicos 1. Identificar las necesidades de las reas usuarias. 2. Priorizar los requerimientos para la adquisicin. Priorizar requerimientos de la solucin tecnolgica y/o servicios, o en caso de ser requerido, un ajuste de alcance por factores como tiempo, costo y/o calendario. Definir criterios generales y especficos de aceptacin, para definir cuando se considera cubierta la funcionalidad de una solucin tecnolgica y/o servicio adquirido. 3. Establecer y mantener los trminos y condiciones a partir de los requerimientos, para la adquisicin acordados con las reas usuarias. Definir la especificacin de los requerimientos de soluciones tecnolgicas y/o servicios. Definir los mtodos a travs de los cuales se corroborar(n) la(s) entrega(s) de la solucin tecnolgica y/o servicios, as como el cumplimiento de los requerimientos tcnicos y los trminos y condiciones especificados. 4. Analizar y validar los requerimientos para asegurar que son necesarios y suficientes para cubrir las necesidades identificadas. Analizar soluciones de cdigo abierto al igual que soluciones comerciales. Asegurar que los requerimientos definidos cubren todos los escenarios operacionales necesarios para solventar la necesidad, as como que se encuentren definidos y documentados los mtodos de operacin de la solucin y/o servicio. Identificar y analizar los posibles riesgos en los requerimientos definidos, as como las estrategias de mitigacin y/o contingencia de los mismos. 5. Desarrollar anexo tcnico Elaborar e integrar la propuesta de solucin tecnolgica. Elaborare integrar la justificacin tcnica y econmica de la propuesta de solucin tecnolgica. Proporcionar a la unidad responsable de adquisiciones los requerimientos tcnicos de la adquisicin y colaborar con un enfoque tcnico en el desarrollo de la estrategia de adquisicin.
Colaborar en la seleccin de posibles proveedores y proporcionar informacin desde el punto de vista tcnico, identificando su capacidad.
Anexo tcnico Trminos y condiciones Estudio de mercado
Pg. 179 de 372

ATA-2 Participacin y seguimiento en el proceso de adquisicin
Colaborar en el seguimiento del proceso de Adquisicin de la solucin tecnolgica y/o servicio de acuerdo a las especificaciones del requerimiento y contratacin. 1. Validar las pre-bases para la adquisicin. 2. 3. 4. 5. Revisar la consistencia entre los requerimientos de la solucin tecnolgica y/o servicio y el anexo tcnico as como los trminos y condiciones. Apoyar la aclaracin de preguntas tcnicas derivadas de la junta de aclaraciones. Realizar la evaluacin identificando la propuesta tcnica ms apropiada conforme a los requerimientos definidos y las restricciones establecidas. Revisar y aprobar en su caso el proyecto de contrato. Realizar el reporte del proceso de adquisicin. Reportes de avances del proceso de adquisicin. Pre-bases (revisadas) Dictamen tcnico-econmico de las propuestas recibidas Documento de aclaraciones tcnicas. Contrato aprobado tcnicamente.
ATA-3 Monitorear las actividades tcnicas del proveedor

Dar seguimiento constante a la ejecucin de la solucin tecnolgica elegida y verificar el cumplimiento de los acuerdos establecidos. 1. Revisiones de avances con el proveedor: Revisar el cumplimiento de los trminos y condiciones establecidos con el proveedor para el desarrollo de la solucin tecnolgica. Registrar los avances, problemas y riesgos detectados en la construccin de la solucin tecnolgica adquirida. Mantener un registro del estatus, acciones preventivas/correctivas tomadas, responsabilidades y resultados obtenidos. 2. Monitorear los procesos de los proveedores seleccionados Seleccionar procesos a ser monitoreados Planear y ejecutar revisiones peridicas a los procesos seleccionados para asegurar el cumplimiento a los requerimientos establecidos en el acuerdo. Analizar los resultados del monitoreo de los procesos seleccionados, con el objetivo de detectar tempranamente cualquier riesgo que pueda afectar las habilidades del proveedor para satisfacer los requerimientos establecidos en el acuerdo. 3. Ejecutar revisiones de cumplimiento con los requerimientos contractuales Revisar el cumplimiento de los requerimientos a travs de la matriz de rastreo y trazabilidad del contrato, para as poder mapear y controlar los requerimientos contra los productos entregados.
Pg. 180 de 372

Utilizar la informacin contenida en el contrato como criterios de revisin. Registrar el cumplimiento con los trminos y condiciones o en su caso incumplimientos que se han presentado. Informar los resultados de las revisiones, al proveedor y al responsable de las adquisiciones de TIC para que, en caso de aplicar, ejecute las penalizaciones correspondientes.
Matriz de rastreo y trazabilidad del contrato Resultado de las revisiones Reporte de revisiones de procesos
ATA-4 Aceptar la solucin tecnolgica

Asegurarse que la solucin adquirida cumple tcnicamente con los requerimientos y acuerdos establecidos en el contrato. 1. Validar la solucin tecnolgica. Revisar la solucin tecnolgica entregada contra los trminos y condiciones establecidos en el contrato. Formalizar el cumplimiento de la solucin tecnolgica con respecto a lo establecido en el contrato. Comunicar los resultados de las actividades a los involucrados. 2. Elaborar la carta de aceptacin de la solucin tecnolgica. La carta de aceptacin de la solucin tecnolgica deber ser presentada al proveedor y al rea responsable de la facturacin y pago para que procedan con las acciones correspondientes. Se deber de referir a las garantas especificadas en el contrato.
Carta de aceptacin de la solucin tecnolgica
7.7.1.2.3
Rol
Descripcin de roles
Descripcin
Analista de requerimientos para la adquisicin
Realiza el levantamiento de requerimientos por medio de la definicin del alcance de la funcionalidad requerida para el producto o servicio a adquirir, as como los aspectos necesarios externos e internos, asociados al requerimiento o necesidad. Identifica los criterios de verificacin y validacin para los productos/servicios adquiridos. Lder tcnico para Es responsable de la elaboracin y seguimiento del Plan de adquisicin del la adquisicin producto/servicio, asignacin de los recursos y prioridades a las actividades del proyecto. Deber coordinar las actividades asociadas al proyecto.
Pg. 181 de 372

Responsable de Es el responsable de revisar y supervisar las soluciones tecnolgicas y las actividades para aseguramiento de verificar que cumplan los estndares y procedimientos aplicables y proveer de los calidad resultados de esas revisiones al lder tcnico para la adquisicin. Ayudar a asegurar que
Usuario Unidades responsables
los planes, estndares y procedimientos que se han definido sean adecuados para las necesidades del proyecto y a verificar que sean utilizables para la ejecucin de revisiones a lo largo del ciclo de vida del proyecto. Dependencia o entidades, persona, entidad externa o interna que dar uso a los resultados y beneficios generados por el proyecto de TIC. Las personas, unidades administrativas de las dependencias o entidades, que tienen la necesidad a ser cubierta y son los beneficiados con la adquisicin de productos o servicios.
7.7.1.2.4
Producto
Descripcin
Anexo tcnico
Recopila la especificaciones tcnicas de la solucin tecnolgica y/o servicio a adquirir, en el cual se especifican: 1. 2. 3. 4. Requerimientos funcionales Requerimientos no funcionales Requerimientos de arquitectura Restricciones e interfaces con otros elementos
Trminos y condiciones
Es el conjunto de especificaciones de la solucin tecnolgica y/o servicio, que debern ser incorporados a los compromisos contractuales derivados de la adquisicin, segn sea el caso: 1. 2. 3. 4. 5. 6. 7. 8. 9. Tiempos de entrega Capacitacin Configuraciones y personalizaciones Actualizaciones Garanta Soporte a fallas Tiempos de respuesta a fallas Niveles de servicio Penalizaciones aplicables
10. Condiciones de pago
Reporte de revisiones de procesos
Este documento es el resultado de la revisin de los procesos seleccionados del proveedor, en el que debern registrarse: 1. 2. Proceso revisado Fechas de revisin
Pg. 182 de 372
Producto
Descripcin
3. 4. 5. 6. 7.
Resultados de las revisiones
Revisor Criterios para la revisin Hallazgos Estado de los hallazgos Impacto y prioridad
Es un informe que se presenta para reportar los avances en el desarrollo de las actividades del proveedor, en el cual se refleja el cumplimiento o no cumplimiento de los acuerdos establecidos. 1. 2. 3. 4. Compromisos planeados por cumplir en el perodo Compromisos cumplidos en el perodo Asuntos y su estatus Riesgos y su estatus
Matriz de rastreo Documento que permite relacionar los requerimientos con los trminos y condiciones y con y trazabilidad del los niveles de servicios establecidos en el contrato. Contiene informacin necesaria para contrato. relacionar los requerimientos con los productos entregados y los criterios de aceptacin
establecidos para asegurar la calidad del entregable o producto que se recibe.

Carta aceptacin Es el documento que avala que la solucin tecnolgica adquirida fue entregada y satisface de la solucin plenamente los requerimientos definidos. tecnolgica
1. 2. 3. 4.
Nombre y firma del responsable tcnico de la verificacin. Nombre y firma del responsable de la aceptacin. Fecha Caractersticas de la solucin tecnolgica adquirida
5.
Reportes de avances del proceso de adquisicin Estudio de mercado Pre-bases (revisadas) Dictamen tcnicoeconmico de las propuestas recibidas Documento de aclaraciones
Descripcin detallada de los entregables o productos recibidos.
Reporte donde se menciona el estatus o etapa en la que se encuentra uno o varios procesos de adquisiciones.
Documento que contiene la investigacin concluyente que tiene como objetivo principal la descripcin legal, econmica, tecnolgica y de infraestructura Se refiere al documento resultante de la revisin tcnica realizada a las pre-bases del proceso de adquisiciones. Es el documento resultante de la evaluacin tcnica realizada a las propuestas de los proveedores que ofertan un bien o servicio.
Es el documento en el que se expresan las aclaraciones a las dudas tcnicas de los proveedores presentadas en la junta de aclaraciones del proceso de licitacin.
Pg. 183 de 372
Producto tcnicas Contrato aprobado tcnicamente.
Descripcin
Es el documento resultante de la revisin y, en su caso, validacin tcnica al proyecto de contrato a formalizar con el proveedor ganador de la licitacin.
7.7.1.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsabl e UTIC Frecuenci a de clculo Semestral
Cumplimiento de requerimiento s por parte del proveedor
Obtener una medicin de la eficacia del proceso, en este caso en base a los requerimient os contractuale s cumplidos en tiempo y forma
Medir el cumplimiento del proveedor con respecto los compromisos contractuales establecidos, incluyendo el plan de proyecto o plan de trabajo comprometido
Eficacia
De gestin
% de eficacia= (Nmero de requerimientos contractuales cumplidos en tiempo y forma ) / ( Nmero de requerimientos contractuales ) X 100
7.7.1.4 1.1
Reglas del proceso Las actividades para la adquisicin de productos y/o servicios debern ser planeadas y monitoreadas formalmente, con base a las especificaciones de requerimientos expresados en el anexo tcnico y condiciones establecidas. Todas las actividades para la adquisicin de productos o servicios debern realizarse con apego a la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Pblico y su reglamento, as como el marco regulatorio aplicable a la dependencia o entidad. Para la aplicacin del pago y la facturacin de productos y/o servicios se deber de contar con la respectiva carta de aceptacin de producto Las dependencias y entidades en relacin a la adquisicin, desarrollo e intercambio de software, sistemas y aplicativos, considerarn por igual, las soluciones comerciales, propietarias, libres o de cdigo abierto, debiendo tomar en cuenta para su evaluacin las mejores prcticas y el valor que ofrezcan a la dependencia, en ahorros, mitigacin de riesgos, o mejoras del servicio al usuario. Los nuevos desarrollos de software, sistemas o aplicativos, que efecten las UTIC de las por medio de terceros, debern ser inscritos en el Instituto Nacional del Derecho de Autor, mximo 45 das naturales despus de su liberacin, siendo la dependencia o entidad la propietaria de los derechos.
Pg. 184 de 372
1.2
1.3 1.4
1.5

1.6 1.7 Deber preverse la condicin de la disposicin 1.2 anterior, en los contratos que para efectos del software, sistemas o aplicativos se realicen. La adquisicin y el desarrollo de software, sistemas y/o aplicativos deber efectuarse considerando la arquitectura tecnolgica definida por la UTIC; debern quedar asentados en el dictamen tcnico correspondiente a la adquisicin o al desarrollo considerado. La UTIC deber asegurarse de inscribir el proyecto de adquisicin y/o desarrollo de software, sistemas y/o aplicativos en el PETIC, en el Portafolio de proyectos de la UTIC y/o en el apartado que corresponda al Plan estratgico de tecnologas de la informacin y comunicaciones de la dependencia o entidad. Como parte de la metodologa de desarrollo de sistemas y aplicativos que las reas responsables de la UTIC utilicen para la adquisicin, desarrollo o mantenimiento de software, sistemas y/o aplicativos, debern someter todo mdulo o componente, desarrollado o adquirido, a pruebas unitarias de integracin, de funcionalidad, de volumen, de aceptacin del usuario, de seguridad y a toda prueba que asegure la calidad de la solucin tecnolgica. Las UTIC debern asegurarse de que las reas requirentes de la adquisicin o desarrollo de software, sistemas y/o aplicaciones, proporcionen los elementos que apoyen el desarrollo del sistema (documentacin, bases de datos, desarrollos previos, etctera), cumpliendo con los tiempos establecidos en los planes de trabajo. Para todos los casos en los que se integren o adicionen componentes de software, sistemas y/o aplicativos a un sistema, se debern ejecutar pruebas integrales de funcionalidad, que aseguren la preservacin de las funciones ya existentes Las reas responsables de la adquisicin de un software sistema y/o aplicativo o que los haya desarrollado o dado mantenimiento, debern documentar su liberacin para uso del rea responsable de la operacin. Toda adquisicin de soluciones tecnolgicas debe estar sustentada por un caso de negocio y las autorizaciones definidas en el proceso y los procesos que lo reciben como insumo. Toda adquisicin debe estar consolidada a nivel de la UTIC de cada dependencia o entidad, de acuerdo al Portafolio de proyectos. Toda adquisicin de soluciones deber observar los lineamientos de seguridad emitidos por la UTIC de la dependencia o entidad. Equipos independientes a los involucrados en la ejecucin o elaboracin de los productos y soluciones tecnolgicas debern realizar verificaciones y validaciones a los productos y soluciones tecnolgicas adquiridas. Se debern realizar verificaciones y auditorias para asegurar el cumplimiento de los procesos establecidos, de acuerdo a los trminos y condiciones especificados en el contrato. Estas verificaciones y auditorias debern de ser realizadas por equipos independientes a los involucrados en la ejecucin de los procesos. La plataforma de cmputo y de comunicaciones, el software de desarrollo y de ejecucin, as como la configuracin sobre la cual operarn las soluciones tecnolgicas, , adquiridos o desarrollados, deber ser aprobada por el titular de la UTIC, a fin de asegurar el rendimiento y los tiempos de respuesta de las plataformas mencionadas y de las redes de comunicaciones. Todo software, sistemas y/o aplicativos adquiridos, debern ser sometidos a pruebas de volumen, de estrs e integrales de funcionalidad, en los ambientes de pruebas de la UTIC hasta asegurar su correcta funcionalidad y reunir las evidencias necesarias y suficientes para ser aprobadas por escrito por el personal de la UTIC y del rea usuaria. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso.
Pg. 185 de 372
1.8
1.9
1.10
1.11
1.12
1.13 1.14 1.15 1.16
1.17
1.18
1.19
1.20

1.21 1.22 La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
7.7.1.5
Pg. 186 de 372
7.7.2 7.7.2.1 General.-
Desarrollo de soluciones tecnolgicas Objetivos del proceso
Realizar las actividades para la construccin de una solucin tecnolgica, incluyendo la especificacin de los requerimientos, el diseo, el desarrollo, la verificacin, validacin e integracin de los componentes o productos necesarios para su entrega. Especficos.-
1. 2. 3. 4. 5. 6. 7. 8.
Especificar los requerimientos Desarrollar los requerimientos Especificar el diseo de la solucin tecnolgica Administrar los cambios de requerimientos Administrar el ambiente de la configuracin y cambios en los componentes de la solucin tecnolgica Desarrollar y construir los componentes de la solucin tecnolgica. Verificar y validar los componentes de la solucin tecnolgica, en coordinacin con el proceso de Calidad de soluciones tecnolgicas. Integracin de los componentes y entrega de la solucin tecnolgica.
Pg. 187 de 372
7.7.2.2 7.7.2.2.1
APTI
Plan de proyecto
El plan de proyecto gua las actividades de DST y es entrada a todas las actividades
reas Usuarias
Necesidades de las reas usuarias
DST-1 Identificar necesidades y especificar requerimientos.
DST-2 Desarrollar los requerimientos
Documento de visin del producto o servicio Modelo de flujo de negocio Documentos de soporte
DST-3 Establecer la definicin de los requerimientos funcionales
Documento de especificacin de requerimientos
Repositorio central de requerimientos
Diagrama conceptual de la solucin
DST-4 Analizar y validar los requerimientos
Matriz de rastreo y/o trazabilidad
DST-5 Administrar la configuracin y los cambios a los requerimientos.
Registro de validacin de requerimientos
DST-6 Mantener el rastreo de los requerimientos
Plan de la configuracin y cambios
DST-7 Determinar y seleccionar alternativas de solucin
Reporte de evaluacin de alternativas de solucin Modelo de arquitectura de soluciones tcnicas ADT
ACMB ACNF
DST-8 Generar un diseo detallado de la solucin DST-9 Realizar anlisis de hacer, reutilizar o comprar ADT Dictmenes tecnolgicos Documento de diseo Modelo de implementacin A
Pg. 188 de 372
Documento de diseo Reporte de evaluacin de alternativas de solucin.
CST
Reportes de revisin
DST-10 Construir la solucin tecnolgica
Registro de pruebas unitarias Plan de la configuracin y cambios
CST
DST-11 Generar y mantener la documentacin del producto DST-12 Determinar los componentes o productos que sern integrados y su secuencia Manual Tcnico Manual de Usuario Reporte de revisin THO, ACNF Repositorio de producto/componente Plan de integracin Reporte de integracin ACNF
DST-13 Validar y administrar interfaces Paquete de entregables Registro de cambios Registro de revisiones Documento de especificacin de requerimientos Documento de diseo
CST DST-15 Realizar la entrega
Solucin integrada DST-14 Ensamblar componentes de la solucin CST
CST
Reportes de revisin
Pg. 189 de 372
Pg. 190 de 372
Pg. 191 de 372
7.7.2.2.2
DST-1 Identificar necesidades y especificar requerimientos.

Descripcin
Identificar las necesidades, expectativas, restricciones e interfaces para cada una de las fases del ciclo de vida de la elaboracin de la solucin tecnolgica y especificar los requerimientos de manera detallada. 1. Identificar, modelar y recopilar las necesidades de las reas usuarias. Identificacin y modelacin de las necesidades a partir del anlisis de las funciones sustantivas de la dependencia o entidad, de las necesidades de automatizacin del proceso que mejoren la operacin diaria y de los servicios que se brinda a la ciudadana. Las necesidades especficas debern ser especificadas por el rea que hace el requerimiento, quien, para su solicitud, deber considerar el marco normativo (leyes, reglamentos, estndares, reglas de negocio, procedimientos, etc.) que incidir en la solucin. Identificar y documentar las expectativas y restricciones eventuales. El detalle de las necesidades puede ser obtenido mediante tcnicas tales como entrevistas, cuestionarios, prototipos, etc. 2. Especificar los requerimientos. Traducir las necesidades identificadas en requerimientos especficos. Documentar, revisar y validar con las reas usuarias los requerimientos especficos. 3. Generar la visin Documentar la visin de la solucin tecnolgica que solventar las necesidades especificadas as como los requerimientos especficos a alto nivel. Documento de visin del producto o servicio Modelo de flujo de negocio Documentos de soporte
Factores crticos
DST-2 Desarrollar los requerimientos.

Establecer y asociar los componentes o productos asociados a los requerimientos del usuario. 1. Desarrollar los requerimientos. Analizar la informacin de las necesidades de las reas usuarias. Especificar y detallar los requerimientos y caractersticas de la solucin tecnolgica. Identificar los requerimientos necesarios para cada producto o componente de la solucin, realizando el diseo de la arquitectura, asociando las caractersticas de calidad del producto, as como las caractersticas de rendimiento, capacidad y disponibilidad necesarias. Registrar la trazabilidad de los requerimientos en el ciclo de desarrollo. 2. Identificar interfaces externas e internas. 3. Establecer las relaciones entre los requerimientos. Documento de especificacin de requerimientos Repositorio central de requerimientos.
Pg. 192 de 372

DST-3 Establecer la definicin de los requerimientos funcionales.
Establecer y mantener la descripcin de la funcionalidad de la solucin tecnolgica. 1. Analizar y especificar los requerimientos funcionales La definicin de la funcionalidad, en ocasiones referida como Anlisis funcional, es la descripcin de lo que el producto debe hacer. La definicin de la funcionalidad puede incluir acciones, secuencias, entradas, salidas o cualquier otra informacin que comunique la forma en que el producto deber ser usado. 2. Generar grupos de requerimientos basados en criterios establecidos (funcionalidades similares) para facilitar y enfocar su anlisis. 3. Considerar la secuencia de las funciones, desde su inicio y durante el desarrollo de los componentes. Considerar la simulacin del requerimiento como un mecanismo de apoyo. Asociar los requerimientos a grupos de funcionalidades, objetos y/o componentes.
Diagrama conceptual de la solucin Repositorio central de requerimientos.
DST-4 Analizar y validar los requerimientos.

Descripcin
Analizar los requerimientos para asegurar que son los necesarios y suficientes, que estn asociados y que corresponden a las necesidades y restricciones descritas por los involucrados, validarlos para asegurar que el producto resultante se podr ejecutar en los ambientes de operacin de acuerdo a su definicin. 1. Analizar los requerimientos, asegurar que estn completos, que son factibles de realizar y que pueden ser verificados, adems de realizar los escenarios de prueba. 2. Identificar los requerimientos clave, con fuerte incidencia en costos, tiempo, funcionalidad, riesgo o rendimiento. 3. Identificar los indicadores de rendimiento que sern monitoreados durante el desarrollo de la funcionalidad. 4. Analizar los requerimientos de operacin y los escenarios de las necesidades del usuario, las restricciones y las interfaces para, en su caso, identificar nuevos requerimientos. 5. Establecer la simulacin del modelo operacional, facilitando el entendimiento y corroboracin de la necesidad por parte del usuario, mediante el requerimiento funcional propuesto. 6. Analizar los requerimientos y establecer un equilibrio entre las necesidades del usuario y las restricciones (tiempo, costo, recursos tecnolgicos y/o humanos, etc.). 7. Realizar una evaluacin de los requerimientos de los riesgos. 8. Analizar los requerimientos para determinar el riesgo de que el producto no pueda ejecutarse apropiadamente en el ambiente propuesto. 9. Todos los requerimientos debern ser validados y aprobados por los participantes; la
Pg. 193 de 372
Factores crticos

aprobacin deber documentarse y resguardarse.
Repositorio central de requerimientos Registro de validacin de requerimientos
DST-5 Administrar la configuracin y los cambios a los requerimientos.

Descripcin
Factores crticos
Administrar los activos asociados a la solucin y las solicitudes de cambios en los requerimientos a lo largo del ciclo de vida del desarrollo de la solucin tecnolgica, mediante la documentacin del anlisis, evaluacin del impacto en trminos tcnicos, tiempo, costo y esfuerzo, as como los riesgos asociados con dichos cambios. 1. Identificar los componentes y productos que estarn bajo configuracin.
2. Establecer lneas base de los componentes y productos identificados. 3. Establecer un ambiente para la administracin de los requerimientos, sus cambios y
rastreabilidad.
4. Establecer los estatus asociados a los componentes y productos para la administracin de

los cambios.
5. Identificar los cambios en los requerimientos.

Registrar todas las solicitudes de cambios, apegndose al proceso ACMB.
6. Analizar y evaluar el impacto de los cambios, haciendo uso de los registros de rastreo y
trazabilidad bidireccional de los requerimientos y comunicarlos a los involucrados relevantes.
7. Revisar, autorizar y/o rechazar las solicitudes de cambio. 8. Actualizar los planes de trabajo, en caso de ser necesario. 9. Administrar la configuracin de los productos afectados por los cambios. 10. Administrar las solicitudes de cambio hasta su incorporacin o cierre. 11. Verificar que los cambios realizados sean los especificados en la solicitud de cambios y
evaluar el cambio realizado.
Plan de la configuracin y cambios
DST-6 Mantener el rastreo de los requerimientos

Mantener un registro de rastreo entre los requerimientos y los componentes de la solucin, durante su ciclo de vida. 1. Mantener un registro de rastreo entre los requerimientos y los diversos elementos que componen la solucin tecnolgica. La matriz de rastreo y/o trazabilidad debe contener informacin relativa a la relacin entre las necesidades, los requerimientos, los mdulos, los componentes, los objetos, productos, procesos y versiones de los entregables o productos de la solucin.
Pg. 194 de 372

Considerar el rastreo de las relaciones, tanto en forma horizontal como vertical, as como a travs de las interfaces.
2. Realizar y mantener una matriz de rastreo y/o trazabilidad.

La matriz de rastreo y/o trazabilidad deber ser creada desde el inicio de la solucin y deber mantenerse actualizada durante todo el ciclo de vida. La matriz de rastreo y/o trazabilidad deber ser utilizada para el anlisis de impacto cuando se presenten solicitudes de cambio. La matriz de rastreo y/o trazabilidad deber ser peridicamente verificada de acuerdo a la planificacin de la solucin tecnolgica.
Matriz de rastreo y/o trazabilidad.
DST-7 Determinar y seleccionar alternativas de solucin

Descripcin
Factores crticos
Definir criterios de seleccin e identificar y analizar alternativas de solucin, as como, para contar con un medio que cumpla con los requerimientos establecidos y que est equilibrado en trminos de costo, tiempo y rendimiento. 1. Definir criterios de evaluacin para seleccionar un conjunto de alternativas de solucin a considerar. 2. Identificar tecnologa actualmente en uso y/o nuevos productos en el mercado con ventajas competitivas. 3. Identificar productos o componentes existentes, que puedan satisfacer los requerimientos. 4. Generar alternativas de solucin. 5. Realizar una asociacin de cada una de las alternativas para cada requerimiento. 6. Analizar posibles cambios en los requerimientos, basados en las alternativas de solucin. 7. Determinar los criterios para la seleccin de la mejor alternativa de solucin. 8. Documentar la seleccin, la evaluacin y aprobacin de la misma.
Reporte de evaluacin de alternativas de solucin Modelo de arquitectura de soluciones tcnicas
DST-8 Generar un diseo detallado de la solucin

Descripcin
Factores crticos
Generar el diseo detallado de la solucin; incluye la arquitectura, el diseo funcional, el diseo de interfaces, las estructuras de datos, las relaciones entre los componentes y/o objetos y flujos de informacin necesarios. 1. Identificar y adoptar mtodos de diseo apropiados para cada tipo de solucin. 2. Determinar las capas de diseo y el nivel apropiado para la generacin de la documentacin de cada capa. 3. Desarrollar el diseo de la solucin.
Pg. 195 de 372

El diseo de componentes o productos proveen el contenido apropiado no slo para la fase de implementacin o desarrollo, sino tambin para las etapas subsecuentes del ciclo de vida del producto, tales como mantenimientos, migraciones, reinstalaciones, etc. La documentacin del diseo debe ser generada en trminos tcnicos y debe incluir las caractersticas y los parmetros necesarios, incluyendo: tamaos, funciones, interfaces, patrones, etc.
4. Asegurar que el diseo se apegue a los estndares y criterios establecidos 5. Asegurar que el diseo se apegue a los requerimientos definidos y aprobados. 6. Generar un compendio de documentos tcnicos que permitan comprender el diseo y realizar las actividades necesarias para el mantenimiento de la solucin. 7. Identificar las interfaces asociadas con otros componentes o productos, as como con entidades externas. 8. Aplicar criterios establecidos para el diseo de las interfaces. 9. Documentar el diseo con sus capas, paquetes e interfaces, incluyendo las razones de la decisin de la alternativa seleccionada.
Documento de diseo Modelo de implementacin
DST-9 Realizar anlisis de hacer, reutilizar o comprar.

Descripcin
Analizar y evaluar qu elementos o componentes de la solucin requieren ser desarrollados y cules pueden ser reutilizados o comprados. 1. Establecer criterios de decisin para el reutilizacin o adquisicin de componentes de diseo, as como establecer el mtodo de anlisis y valoracin. 2. Verificar la existencia o inexistencia de alguna solucin tecnolgica similar. 3. Validar la viabilidad de reutilizacin de soluciones tecnolgicas similares. 4. Determinar las implicaciones de implementar componentes adquiridos, en caso de mantenimiento. 5. Documentar qu elementos y componentes sern reutilizados y cules sern comprados, y, de ser el caso, documentar por qu no se reutilizarn componentes.
Factores crticos
Documento de diseo Reporte de evaluacin de alternativas de solucin.
DST-10 Construir la solucin tecnolgica

Descripcin Factores
Construir la solucin tecnolgica en base a los requerimientos especificados y a partir de los documentos de diseo. 1. Establecer y usar mtodos efectivos para la implementacin e integracin de los
Pg. 196 de 372

crticos
componentes y/o productos. 2. Aplicar estndares y criterios establecidos para el desarrollo. 3. Construir los componentes de la solucin. 4. Ejecutar pruebas unitarias de los productos o componentes, que sean apropiadas. 5. Realizar las revisiones necesarias de productos y componentes. 6. Establecer un ambiente para la re-utilizacin de componentes propios de la construccin de la solucin, referirse al proceso de Administracin de la configuracin.
Repositorio de producto/componente Registro de pruebas unitarias Plan de la configuracin y cambios
DST-11 Generar y mantener la documentacin del producto

Descripcin
Desarrollar y mantener la documentacin que va a ser utilizada para realizar la instalacin, sustentar la operacin y dar mantenimiento a la solucin tecnolgica. 1. Generar la documentacin de instalacin, operacin y mantenimiento de la solucin tecnolgica. 2. Generar la documentacin necesaria para el uso de la solucin tecnolgica por el rea usuaria. 3. Aplicar estndares en la generacin de la documentacin. 4. Realizar revisiones entre colegas de los documentos de instalacin, operacin y mantenimiento, referirse al proceso CST.
Factores crticos
Reporte de revisin. Repositorio de producto/componente Manual tcnico Manual de usuario
DST-12 Determinar los componentes o productos que sern integrados y su secuencia

Descripcin
Establecer la secuencia y los pasos que requieren seguirse para realizar la integracin de los diversos productos y/o componentes que constituyen la solucin tecnolgica. 1. Identificar los productos o componentes que sern integrados. Pueden existir productos o componentes a ser integrados, la integracin puede ser algn elemento externo, accesorios o herramienta de prueba. Una vez analizadas las alternativas de pruebas de la integracin y la secuencia de ensamblaje para la integracin, se selecciona la mejor secuencia de integracin. La integracin puede implicar componentes en diferentes fases del ciclo de vida de desarrollo del producto. Se deber
Pg. 197 de 372
Factores crticos

evaluar la mejor alternativa para la integracin. 2. Identificar los tipos de verificacin que sern ejecutadas durante la integracin. 3. Identificar las alternativas de integracin y de secuencia. 4. Seleccionar la mejor alternativa para la integracin y secuencia, que deber ser organizada de forma centralizada, con posibilidad de documentarse. 5. Seleccionar la mejor alternativa para la integracin y su secuencia. 6. Realizar revisiones peridicas de la secuencia de integracin y realizar las validaciones necesarias. 7. Registrar las justificaciones de la toma de decisin.
Repositorio de producto/componente Plan de integracin Reporte de integracin.
DST-13 Validar y administrar interfaces

Descripcin
Revisar y mantener la consistencia de las especificaciones de las interfaces durante el ciclo de vida del producto y administrar sus cambios. 1. Identificar y documentar el flujo del proceso de modificacin y notificacin para la actualizacin de las interfaces. 2. Revisar las especificaciones de las interfaces manteniendo su registro en forma centralizada y asegurar su actualizacin en forma peridica. 3. Asegurar la compatibilidad de las interfaces durante la vida del producto. 4. Verificar el cumplimiento de las interfaces identificadas, as como favorecer la comunicacin de los cambios y activos. 5. Administrar los cambios en las especificaciones de interfaces.
Factores crticos
Repositorio de producto/componente Registro de cambios Registro de revisiones Documento de especificacin de requerimientos Documento de diseo
DST-14 Ensamblar componentes de la solucin

Descripcin
Asegurar que el ensamblado de los componentes dentro de la solucin se incorpore de acuerdo a la secuencia de integracin establecida y de acuerdo a los procedimientos estipulados. 1. Dar seguimiento al estatus de cada uno de los componentes tan pronto como estn
Pg. 198 de 372
Factores crticos

disponibles para realizar la integracin. 2. Asegurar que los componentes son liberados al ambiente de integracin, de acuerdo con la secuencia de integracin y los procedimientos disponibles. 3. Confirmar la recepcin de cada componente identificado adecuadamente. 4. Asegurar que cada componente recibido cumpla con la descripcin correcta. 5. Validar que los componentes cumplan con la configuracin establecida. 6. Asegurar la disponibilidad del ambiente de integracin. 7. Asegurar que la secuencia de ensamblado es ejecutada de forma adecuada. 8. Llevar a cabo evaluaciones del ensamblado de los componentes siguiendo la secuencia de integracin del producto, as como los procedimientos disponibles. 9. Mantener un registro de los resultados de la evaluacin.
Repositorio de producto/componente Solucin integrada
DST-15 Realizar la entrega

Descripcin
Generar un paquete con los productos o componentes ensamblados y realizar la entrega de la solucin tecnolgica. 1. Realizar una revisin de los requerimientos, diseo, productos, resultados de las verificaciones y de la documentacin generada en cada fase del desarrollo del producto. Asegurar que los aspectos que puedan afectar el empaquetado y la entrega del producto han sido identificados y resueltos.
Factores crticos
2. Usar procedimientos probados para generar el paquete y la entrega del producto ensamblado. 3. Realizar la entrega del producto y la documentacin relacionada y confirmar la recepcin.
Paquete de entregables
7.7.2.2.3
Rol
Descripcin de roles
Descripcin
Analista de requerimientos
Obtiene los requerimientos por medio de la definicin del alcance de la funcionalidad de la solucin tecnolgica, identificando los roles asociados, as como los aspectos necesarios externos e internos, asociados al requerimiento o necesidad. Detalla los requerimientos funcionales y no funcionales, plasmando el entendimiento en los documentos establecidos.
Pg. 199 de 372

Arquitecto de soluciones tecnolgicas Diseador de soluciones tecnolgicas
El arquitecto es una persona con amplios conocimientos tcnicos, conocedor del negocio de los proyectos y que, probablemente, est asignado a uno o varios proyectos al mismo tiempo. Algunas de sus responsabilidades suelen ser definir los lineamientos de diseo, su arquitectura y dems cuestiones tcnicas de los proyectos. El diseador realiza las tareas asociadas al diseo de los componentes de las soluciones tecnolgicas asociadas a los requerimientos, la estructura y relaciones del repositorio, as como, las interfaces de usuario.
Administrador de Es responsable de la elaboracin, monitoreo y control de la ejecucin del Plan de la la configuracin.
configuracin y cambios, as como de revisar el estado de la configuracin de los productos y componentes y de generar las lneas base que se hayan establecido a lo largo de su ciclo de vida. Es responsable del desarrollo y pruebas de los componentes de la solucin tecnolgica, acorde con los estndares adoptados en el proyecto, para su integracin en subsistemas mayores. Cuando los componentes de pruebas deben ser creados para soportar las pruebas, el desarrollador es tambin responsable del desarrollo y pruebas de los componentes y sus correspondientes subsistemas. Dentro de sus actividades estn el confirmar la preparacin de los componentes para su integracin y ensamblaje, ejecutar pruebas de unificacin, asegurar el cumplimiento de los estndares para la integracin y documentacin, realizar la integracin de todos los componentes que se entregan y notificar para su entrega, al finalizar. Responsable de ejecutar los escenarios de prueba y dar seguimiento a los defectos hasta su cierre, as como llevar la trazabilidad de los casos de prueba. Revisa que los productos y/o entregables generados tengan la calidad esperada, cumplan con los criterios de calidad definidos y cubran los requerimientos del solicitante, antes de ser entregados; a su vez reporta las inconformidades detectadas y les da seguimiento hasta su cierre. Las personas y organizaciones que tienen algn inters o influencia en los resultados del proyecto o procesos. Los proyectos o procesos tienen ms de un interesado y cada uno de ellos tendr necesidades, expectativas y actividades diferentes.
Desarrollador
Integrador de la solucin tecnolgica. Ingeniero de pruebas de soluciones tecnolgicas Revisor
Unidades responsables
7.7.2.2.4
Producto
Descripcin
Documento de especificacin de requerimientos
Documento que describe a detalle los requerimientos funcionales y no funcionales de productos o servicios; algunos de los puntos que deben de ser considerados en este documento son: Situacin actual Solucin propuesta Suposiciones y dependencias Requerimientos funcionales Requerimientos no funcionales
Pg. 200 de 372
Producto
Descripcin

Registro de validacin de requerimientos Documento de visin del producto o servicio
Diagrama de flujo del negocio Reglas del negocio Glosario de trminos
Documento en el que se registran los datos asociados a las validaciones de cada uno de los requerimientos y de la conformidad del involucrado responsable con un conjunto de entregables, realizados de acuerdo a lo establecido. Documento que contiene la definicin de la visin del producto/servicio, se detalla en trminos de sus principales necesidades y caractersticas. Contiene un panorama general de los requerimientos esenciales y restricciones de la solucin tecnolgica; adems proporciona las bases para establecer el alcance del proyecto y detallar los requerimientos tecnolgicos. Los siguientes puntos deben ser considerados en el documento: Definiciones, abreviaturas y referencias Situacin actual Objetivo Oportunidades de negocio Descripcin del problema Identificacin de involucrados y unidades responsables Cobertura y caractersticas del ambiente del usuario Principales necesidades de los involucrados y unidades responsables. Estndares aplicables Requerimientos funcionales, caractersticas del producto Requerimientos no funcionales: Requerimientos del sistema Requerimientos de desempeo y capacidad Requerimientos de ambiente Requerimientos de documentacin
Documento de diseo
Describe las especificaciones de los requerimientos a nivel diseo, sirve como una abstraccin para el diseo detallado y la construccin del cdigo fuente. Se emplea como una entrada esencial para las actividades de implementacin y pruebas. Documento o repositorio que contiene el registro de los cambios detectados durante la ejecucin y desarrollo del proyecto o producto. Este repositorio se administrar de acuerdo al proceso Administracin de cambios. Espacio fsico que permite el almacenamiento de las necesidades establecidas por el rea solicitante. Este repositorio se administrar de acuerdo al proceso Administracin de cambios. Es una vista que se realiza con el fin de asociar los requerimientos y los entregables o productos relacionados (tales como casos de uso, clases, componentes, casos de prueba),
Pg. 201 de 372
Registro de cambios
Repositorio central de requerimientos Matriz de rastreo y/o trazabilidad
Producto
Descripcin
a lo largo del ciclo de vida. Esta matriz es importante para identificar las interdependencias e inconsistencias que pudieran surgir en los requerimientos, as como para evaluar el impacto de un cambio en los requerimientos. Algunos aspectos que cubre este documento son:
Reporte de evaluacin de alternativas de solucin.
Descripcin del requerimiento. Tipo de requerimiento Prioridad Estatus Producto de trabajo de X nivel (repetible) Estado del producto de trabajo Solicitud de cambio asociada
Contiene el resultado del anlisis para identificar la mejor opcin para la adopcin de una solucin durante el proyecto; entre los datos que puede contener el documento estn: Responsable del anlisis Fecha del anlisis. Tipo de anlisis Resultado del anlisis. Listado de criterios de evaluacin. Justificacin
Modelo de arquitectura de soluciones tcnicas Modelo de implementacin
Contiene la informacin especfica del diseo de la solucin tcnica, estableciendo la relacin con los diversos dominios establecidos por la arquitectura de TI. Representa la composicin fsica de la implementacin, en trminos de mdulos y elementos como directorios y archivos, incluyendo cdigo fuente, datos y archivos ejecutables. Es el documento en el que se integra el resultado de las pruebas unitarias, si fueron exitosas o si se encontraron defectos. Es una versin operacional de una solucin tecnolgica; tambin puede ser solo una parte de sta. Contiene los defectos encontrados durante las revisiones, revisiones entre colegas y evaluaciones realizadas a los entregables o productos y productos del proyecto; a su vez se utiliza para dar seguimiento a los defectos hasta su cierre. Contiene la estructura e informacin de la funcionalidad del sistema. Algunos puntos relevantes que debe considerar este documento son: Definiciones, abreviaciones y referencias. Identificacin de los usuarios finales del sistema. Identificacin de la funcionalidad del sistema.
Pg. 202 de 372
Registro de pruebas unitarias Solucin integrada Registro de revisiones
Manual de usuario
Producto
Descripcin
Por cada una de las funcionalidades o mdulos, contemplar: Condiciones iniciales Interfaces Acciones requeridas Condiciones finales
Manual tcnico Plan de integracin Paquete de entregables Plan de la configuracin y cambios Documentos de soporte
Documentacin tcnica de la solucin tecnolgica que ser utilizada para la instalacin, soporte a la operacin y mantenimiento de la solucin tecnolgica. Es el documento que describe las actividades y secuencias para la integracin de los componentes de la solucin tecnolgica. Es el documento del compendio de documentacin para liberacin de los ambientes de pruebas de usuario y contiene informacin de la relacin de programas que se instalarn. Documento donde se plasma el mecanismo de identificacin de versiones, de asignacin de nombres a los componentes. Tambin se definen los repositorios de informacin del proyecto. Documentos que ayudarn a obtener y documentar la informacin de los usuarios, que servirn para la elaboracin del documento de especificacin de requerimientos. Incluye, entre otros, minutas de reunin, cuestionarios, entrevistas, prototipos. Resultado con el estatus de las revisiones realizadas a la solucin tecnolgica (productos o componentes) en base a los requerimientos especificados. Modelo con las funciones sustantivas de la dependencia o entidad y requerimientos de acuerdo al flujo de negocio a seguir. Espacio fsico que permite el almacenamiento de los productos y/o componentes de los productos desarrollados, para su resguardo y uso. Este repositorio se deber encontrar bajo control de configuraciones. Documento que detalla la secuencia y forma de integracin de los componentes, productos, herramientas o accesorios a entregar. Diagrama general donde se muestran grficamente los elementos y principales relaciones de una solucin tecnolgica.
Reporte de revisin Modelo de flujo de negocio Repositorio de productos/ componentes Reporte de integracin Diagrama conceptual de la solucin
7.7.2.3
Nombre Eficacia en el proceso de Desarrollo de
Indicadores:
Objetivo Conocer la eficacia del proceso de Desarrollo de soluciones Descripcin Dimensin Eficacia Tipo De gestin Frmula % de eficacia=(Nm ero de desarrollos concluidos en Responsable Administrador del proceso Frecuencia de clculo Semestral
Pg. 203 de 372

Nombre soluciones tecnolgicas
Objetivo tecnolgicas
Descripcin
Dimensin
Tipo
Frmula tiempo y forma / total de desarrollos) X 100 (Nmero de clientes satisfechos con la calidad del producto o servicio / Nmero total de productos y servicios elaborados) X 100
Responsable
Satisfaccin del cliente
Conocer calidad con la que se est efectuando el proceso
Obtener la medicin del numero de clientes satisfechos
Calidad
De gestin
Semestral
7.7.2.4 1.1
Reglas del proceso El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que las necesidades de negocio que motivan el desarrollo de soluciones tecnolgicas estn claramente identificadas y documentadas El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que las especificaciones de los requerimientos de las soluciones tecnolgicas deben estar alineadas a las necesidades de negocio identificadas El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que el proyecto de adquisicin y/o desarrollo de software, sistemas y/o aplicativos queden inscritos en el PETIC, en el Portafolio de proyectos de la UTIC y/o en el apartado que corresponda al Plan estratgico de TIC de la dependencia o entidad. El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse de la inexistencia de productos con una funcionalidad similar a la requerida por el rea usuaria solicitante a un costo ms bajo que el estimado para el desarrollo en el mercado y que en la APF no existen aplicaciones de software similares que puedan satisfacer las necesidades del rea usuaria. Comprobando la viabilidad de adecuaciones a las similares encontradas. El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurar que se establecen los criterios de aceptacin y procedimientos de verificacin y validacin que permitan garantizar que la solucin tecnolgica no presenta defectos y funciona correctamente, para todo desarrollo en curso. El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que se establezcan procedimientos documentados para realizar la integracin de los productos y/o componentes de la solucin tecnolgica, para todo desarrollo en curso. El administrador del proceso de Desarrollo de soluciones tecnolgicas deber asegurarse que toda solucin tecnolgica desarrollada, integrada y validada siga los procesos del grupo de procesos de Transicin y Entrega. Para la aplicacin de las mejores prcticas, las UTIC debern seguir una metodologa de desarrollo de sistemas que integre en sus procedimientos la aplicacin y seguimiento de las mejores prcticas en el desarrollo de sistemas y aplicativos. Esta metodologa deber estar apegada a CMMI dev, MOPROSOFT, R.U.P, inclusive a una personalizacin de stas, siempre y cuando se asegure la
Pg. 204 de 372
1.2
1.3
1.4
1.5
1.6
1.7
1.8

integralidad del desarrollo y el control en cada una de sus fases, recursos aplicados y entregables. La UTIC definir los estndares tecnolgicos de publicacin en Internet e intranet para la dependencia o entidad y, para mantener la coherencia de diseo, as como el apego a los objetivos institucionales, se apoyar del rea de Comunicacin Social o su equivalente. La UTIC deber asegurar que los usuarios a los que conceda permisos para desarrollos y publicacin en los sitios institucionales de Internet e intranet conozcan que es su responsabilidad el manejo de los datos que publicarn, cuidando de apegarse a la normatividad vigente respecto a la informacin clasificada como confidencial o reservada. Deber quedar una evidencia escrita del conocimiento del usuario acerca de esta responsabilidad. Las UTIC debern evaluar el software, sistemas o aplicativos que utilizarn en sus procesos o proyectos de desarrollo de soluciones tecnolgicas, conforme a los siguientes criterios: 1.12 Que satisfaga los requerimientos; La capacidad y calidad para integrarse a otros sistemas, internos y externos, en operacin; Los costos hncales, de implantacin, mantenimiento y soporte a lo largo de su vida til.
1.9
1.10
1.11
1.13 1.14
1.15
1.16
1.17
1.18
1.19
1.20
Todas las reas que, por sus atribuciones o proyectos especiales, desarrollen, implementen o proporcionen mantenimiento a las soluciones tecnolgicas debern revisar las disposiciones descritas en el presente manual y ser su responsabilidad la ejecucin de los ajustes necesarios para asegurar que las soluciones tecnolgicas estn alineadas a las definiciones de desarrollo que se especifiquen en el presente manual. Las reglas del presente manual aplican para todo sistema que est en fase de gestin de requerimientos, anlisis, diseo, codificacin, pruebas, liberacin o mantenimiento. Para la aplicacin de las mejores prcticas, las UTIC debern seguir una metodologa de desarrollo de sistemas que integre la aplicacin y seguimiento de las mejores prcticas probadas, en el desarrollo de sistemas y aplicativos. Esta metodologa deber estar apegada a MOPROSOFT, R.U.P., CMM dev., inclusive a una personalizacin de stas, siempre y cuando se asegure la integralidad del desarrollo y el control en cada una de sus fases, recursos y entregables. Como parte de su metodologa de desarrollo de soluciones tecnolgicas, las reas responsables de la UTIC que adquieran, desarrollen o proporcionen mantenimiento de software, sistemas y/o aplicativos debern proporcionar evidencias de las pruebas unitarias efectuadas Siempre que se adicionen componentes de software a un sistema o aplicativo en operacin, se debern ejecutar pruebas integrales, para asegurar la preservacin de las funciones ya existentes y la correcta funcionalidad adicionada. Las dependencias o entidades de la Administracin Pblica Federal, a travs de las UTIC, debern contar con un catlogo de software de soluciones tecnolgicas: sistemas, aplicativos, componentes, o cualquier pieza reusable, para promover un mejor aprovechamiento en su uso, por lo que debern contener una ficha de especificaciones funcionales, no funcionales y de arquitectura tecnolgica. Las dependencias y entidades de la APF, efectuarn una revisin peridica, al menos anual, de su catlogo de software y lo colocarn a disposicin de la UGD, para que pueda ser utilizado en alguna otra dependencia o entidad. Las UTIC debern definir e implementar las mediciones de eficiencia en los procedimientos del ciclo de desarrollo, de forma que stas sirvan para la operacin de indicadores de desempeo, que permitan establecer acciones de mejora y el aprovechamiento mximo de los recursos que se aplican en el ciclo de desarrollo de sistemas y aplicativos. Para el caso de los desarrollos de software, sistemas y/o aplicativos va fbrica de software, las UTIC debern comprobar, previo a la contratacin, que el proveedor cuenta con metodologas y mejores prcticas probadas, mediante la presentacin de la documentacin que sustente sus aseveraciones, en los procesos de investigacin de mercado y de adquisicin.
Pg. 205 de 372

1.21 El responsable del proyecto de desarrollo por fbrica de software deber asegurarse que la fbrica siga la metodologa definida y comprometida en el contrato correspondiente y, adicionalmente, la que utiliza la UTIC para los grupos de procesos de transicin y entrega. Las UTIC debern proteger el software, sistemas y/o aplicativos desarrollados a efecto de: Minimizar el riesgo de fugas de informacin que revelen informacin confidencial sobre la operacin de dependencia o entidad, transacciones y/o cualquier dato que atente contra su seguridad y Asegurarse que el cdigo y los componentes del software, sistemas y/o aplicativos desarrollados permanezcan como propiedad intelectual de la institucin.
1.22
1.23
1.24
1.25
1.26
1.27
1.28 1.29 1.30 1.31 1.32 1.33 1.34 1.35
El uso de informacin operacional, con propsito de pruebas en el desarrollo de sistemas no est permitido; si fuera necesario utilizar datos de este tipo, debe ser autorizado por los usuarios propietarios de la informacin operacional. Verificar que se lleve a cabo la elaboracin de procedimientos de atencin de incidencias y de control de cambios a las soluciones tecnolgicas, en coordinacin con el personal facultado por la UTIC y el responsable designado por el rea usuaria correspondiente. La UTIC deber asegurarse de que el personal interno o externo que participe en el desarrollo de aplicaciones durante cualquiera de las etapas de estudio de factibilidad, anlisis, diseo, programacin, pruebas, capacitacin, migracin, puesta en marcha, mantenimiento y cualquier otra actividad relacionada, firme un convenio de confidencialidad, dnde se comprometa a guardar estricto secreto profesional sobre el software y su proceso de desarrollo y, acepte que el cdigo y todos sus componentes son propiedad de la dependencia o entidad, por lo que no copiar ni reutilizar el cdigo parcial o totalmente para ningn otro fin. Deber implementar controles que impidan que el cdigo, los componentes del software, sistemas y/o aplicativos y todos los elementos relacionados con el software se copien en medio alguno, sean enviados por correo electrnico, fax u otro medio, se impriman, o se publiquen en cualquier medio, para fines diferentes a los autorizados para las funciones de cada miembro del equipo de desarrollo, con base en el privilegio mnimo. Las UTIC debern asegurarse de que en todo componente de software se incorporen controles de seguridad mnimos que protejan las transacciones y los datos, de acuerdo con su sensibilidad y criticidad. Ello con la finalidad de asegurar la confidencialidad, integridad y disponibilidad de los datos y transacciones que realiza una aplicacin, as como la funcionalidad que fue aprobada como versin para produccin Las medidas de seguridad que defina la UTIC para el software, sistemas y/o aplicaciones estarn en funcin de la clasificacin de la informacin que generen, almacenen o procesen. Los ambientes de desarrollo, pruebas y produccin, deben estar separados, tanto a nivel fsico como lgico. Las herramientas para el desarrollo de software debern ser accesibles slo para los miembros autorizados de desarrollo de sistemas. Las herramientas de desarrollo de software deben eliminarse de cualquier equipo de cmputo una vez concluida la actividad de desarrollo para la cual fueron instaladas. Para el caso de desarrollo de publicaciones en Internet e intranet, la UTIC, deber es responsable de apoyar tcnicamente a los usuarios que lo soliciten. El desarrollo de aplicaciones en Internet deber apegarse a los estndares que para tal efecto se definen en el proceso de Desarrollo de soluciones tecnolgicas Para el caso de desarrollo de publicaciones en Internet e intranet, la UTIC, deber proporcionar las herramientas y mecanismos as como capacitacin a los usuarios que lo soliciten. La UTIC no tendr responsabilidad sobre los contenidos que publiquen los usuarios en el sitio Internet institucional y/o en las pginas intranet de la dependencia o entidad. Ser exclusivamente
Pg. 206 de 372

responsabilidad del rea autorizada de la publicacin. La UTIC deber retirar o deshabilitar servidores que ofrezcan servicios de Internet, transferencia de datos o almacenamiento que no haya autorizado y que operen en la infraestructura de TIC institucional. La UTIC ser la responsable de la administracin tecnolgica del sitio de Internet institucional, servidores, infraestructura de comunicaciones y transferencia de contenidos al servidor web y todas aquellas en las que participen terceros y se deban asegurar niveles de servicio y de seguridad de la infraestructura y de la informacin. La permanencia y actualizacin de la informacin en el portal de Internet e intranet ser responsabilidad del usuario responsable de la publicacin. La UTIC podr efectuar depuraciones notificando previamente a los usuarios. En el desarrollo de aplicaciones en Internet deber considerarse que el servicio web slo debe ser usado con el propsito de comunicacin o consulta de asuntos relativos a la dependencia o entidad, de inters nacional o aquellos indicados por instancias superiores. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.36
1.37
1.38
1.39
1.40 1.41 1.42
7.7.2.5
Pg. 207 de 372
7.7.3. 7.7.3.1. General.-
Calidad de soluciones tecnolgicas Objetivos del proceso
Asegurar que los procesos de desarrollo de las soluciones tecnolgicas desarrolladas o adquiridas, cumplan con los requerimientos especificados.
Especficos.1. Definir los criterios de verificacin de las soluciones tecnolgicas, para incluirlas en los requerimientos contractuales, as como en los planes y programas del proyecto de implantacin. 2. Validar las soluciones tecnolgicas, incluyendo seleccin de componentes y productos y estableciendo y manteniendo el ambiente de validacin, procedimientos y criterios. 3. Asegurar que la solucin tecnolgica desarrollada o adquirida pueda implementarse en el ambiente operativo destinado. 4. Evaluar los resultados de las validaciones.
Pg. 208 de 372
7.7.3.2 7.7.3.2.1
El Plan de calidad es un plan subsidiario del Plan de proyecto
DST, ACMB
Repositorio de producto/componente Plan de pruebas Docum ento de diseo
CST-1 Seleccionar los productos y el ambiente para la ejecucin de la verificacin.
Plan de calidad Ambiente de verificaciones Reporte de revisin Listas de verificacin
CST-3 Preparar y conducir revisiones entre colegas o iguales
CST-2 Ejecutar verificaciones
A Reporte de revisin Listas de verificacin CST-4 Analizar resultados de la verificacin Reporte de revisin
Repositorio de reportes de revisin Reporte de revisin AD
DST
Repositorio de producto/ componente Documento de diseo
CST-5 Seleccionar productos para validacin
CST-10 Establecer registros Plan de calidad Ambiente de validacin CST-6 Establecer el ambiente para la validacin CST-7 Establecer y ejecutar los procedim ientos y criterios de validacin A
Reportes de revisin
Escenarios de prueba Reporte de revisin
CST-8 Evaluar los procesos, entregables o productos y servicios
Reportes de revisin Lecciones aprendidas Plan de calidad
CST-9 Com unicar y asegurar la resolucin de las no conformidades
Pg. 209 de 372
Pg. 210 de 372
7.7.3.2.2
CST-1 Seleccionar los productos y el ambiente para la ejecucin de la verificacin

Seleccionar los entregables o productos de la solucin tecnolgica adquirida que se van a verificar y los mtodos de verificacin a utilizar. 1. Identificar los entregables o productos (resultado de trabajo aplicado), adquiridos o desarrollados que sern verificados. Los entregables o productos deben ser seleccionados basndose en su contribucin al cumplimiento de objetivos y requerimientos. Se establecen los requisitos para el ambiente que soportar la verificacin. 2. Identificar los mtodos de verificacin disponibles, que sern usados para la revisin de cada producto de trabajo seleccionado. 3. Identificar los requerimientos del ambiente para la verificacin. 4. Identificar los recursos para la verificacin que estn disponibles para reutilizar y modificar. 5. Identificar el equipo y herramientas de verificacin. Durante la identificacin del equipo de revisin se deber garantizar que ste sea independiente del equipo involucrado en el desarrollo de la solucin tecnolgica. 6. Establecer y mantener procedimientos y criterios de verificacin para seleccionar los entregables o productos.
Plan de calidad Ambiente de verificaciones
CST-2 Ejecutar verificaciones

Descripcin
Ejecutar la verificacin de los entregables o productos seleccionados y analizar los resultados. 1. Verificar los productos intermedios seleccionados contra sus requerimientos. Las verificaciones a productos y/o productos intermedios facilitan una deteccin temprana de problemas y pueden resultar en la eliminacin temprana de defectos. 2. Registrar los resultados de las actividades de verificacin. 3. Analizar los resultados. 4. Identificar acciones a implementar, como resultado de verificaciones de los entregables o productos y darles seguimiento hasta el cierre de los hallazgos identificados. 5. Documentar la ejecucin de la verificacin
Factores crticos
Reporte de revisin Listas de verificacin
Pg. 211 de 372

CST-3 Preparar y conducir revisiones entre colegas o iguales
Preparar y conducir las revisiones entre colegas o iguales, de los entregables o productos seleccionados para la identificacin de defectos en una etapa temprana. 1. Determinar el tipo de revisin que se va a efectuar entre colegas o iguales. 2. Establecer y mantener criterios de entrada y salida para la revisin entre colegas o iguales. 3. Establecer y mantener listas de verificacin para asegurar que los entregables o productos son revisados consistentemente. Las listas de verificacin se modifican segn sea necesario para dirigir un tipo especfico de revisin entre colegas o iguales para un entregable o producto. 4. Planear las revisiones entre colegas o iguales. 5. Ejecutar las revisiones para identificar si los entregables o productos satisfacen los criterios para una revisin entre colegas o iguales, antes de su distribucin. 6. Distribuir a los participantes con suficiente antelacin los entregables o productos que van a ser revisados y la informacin relacionada, para hacer posible una adecuada preparacin de la revisin entre colegas o iguales. 7. Asignar roles para la revisin entre colegas o iguales, segn proceda. 8. Identificar y documentar defectos y otros hallazgos en los entregables o productos. 9. Conducir una revisin entre colegas adicional si los criterios definidos indican la necesidad de ejecutarla. 10. Asegurar que los criterios de xito, para la revisin entre colegas o iguales, se satisfacen. 11. Almacenar los datos para futuras referencias y anlisis. 12. Proteger los datos de las revisiones entre colegas o iguales, para asegurar que no sean usados de manera inapropiada.
Reporte de revisin Listas de verificacin
CST-4 Analizar resultados de la verificacin

Analizar los resultados de todas las actividades de verificacin. 1. Comparar resultados de la verificacin contra resultados esperados. 2. Los resultados son comparados para establecer criterios de verificacin, y para determinar la aceptabilidad de los entregables o productos. 3. Identificar, con base en los criterios de verificacin establecidos, los productos que no han cumplido con sus requerimientos o identificar problemas con los mtodos, procedimientos, criterios y verificacin de ambiente. 4. Analizar los datos de verificacin de los defectos. 5. Registrar todos los resultados del anlisis en un reporte de revisin. 6. Utilizar los resultados de verificaciones para comparar mediciones obtenidas y previstas.
Pg. 212 de 372

7. Proporcionar informacin sobre la manera de resolver los defectos (incluyendo mtodos de verificacin, criterios y ambiente de verificacin) y formalizarlas en un documento, estableciendo responsabilidades y tiempos de resolucin.
Reporte de revisin
CST-5 Seleccionar productos para validacin

Seleccionar los productos y componentes de productos para ser validados y los mtodos de validacin que sern usados para cada uno. 1. Identificar los principios fundamentales, caractersticas y fases para la validacin de la solucin tecnolgica durante todo el ciclo de vida de la elaboracin. 2. Determinar las categoras de necesidades de usuarios (operacional, mantenimiento, capacitacin, o soporte) que sern validadas. 3. Los productos o componentes de productos debern ser sustentables en su propio ambiente operacional. Este factor crtico tambin se refiere al mantenimiento, capacitacin y servicios de soporte que pueden ser liberados con el producto. 4. Seleccionar el producto o componentes de la solucin tecnolgica a ser validados. 5. Seleccionar los mtodos para la validacin del producto o componentes de la solucin tecnolgica que se adquiere, realizando las pruebas y valoracin haciendo uso de herramientas de apoyo para:

La realizacin de pruebas de caja blanca y caja negra La realizacin de pruebas funcionales La realizacin de pruebas de rendimiento La realizacin de pruebas de seguridad La realizacin de todas aquellas pruebas requeridas para validar la funcionalidad y operacin en los ambientes productivos finales.
6. Revisar la validacin seleccionada, restricciones y mtodos con los interesados y unidades responsables ms relevantes.
Plan de calidad
CST-6 Establecer el ambiente para la validacin

Establecer y mantener los requerimientos de ambiente para la ejecucin de la validacin. 1. Identificar los requerimientos para el ambiente de validacin. Los requerimientos para el ambiente de validacin son impulsados por el producto o servicio seleccionado, por el tipo de producto de trabajo y por el mtodo de validacin. 2. Identificar los productos suministrados por la unidad responsable. 3. Identificar elementos reutilizables. 4. Identificar los recursos humanos, las plataformas y las herramientas para la realizacin de
Pg. 213 de 372

las diferentes pruebas establecidas. 5. Identificar herramientas para la administracin de las pruebas. 6. Definir un ambiente colaborativo para las herramientas de validacin y establecer los niveles de acceso necesarios para mantener la integridad, monitoreo y control de los resultados de las validaciones. 7. Identificar los recursos de validacin disponibles para reutilizacin e integracin de la solucin. 8. Planear la disponibilidad de los recursos humanos que participarn durante las validaciones.
Ambiente de validacin
CST-7 Establecer y ejecutar los procedimientos y criterios de validacin

Establecer y mantener procedimientos y criterios para validacin. 1. Revisar los requerimientos del producto para asegurar que los defectos del producto o servicio adquirido sean identificados y resueltos. 2. Documentar el ambiente, escenarios operacionales, procedimientos, entradas, salidas y criterios para la validacin de los productos o servicios adquiridos. 3. Favorecer la generacin de una infraestructura de pruebas que garantice el reutilizacin de activos utilizados en las validaciones. 4. Los procedimientos y criterios de validacin debern ser definidos para asegurar que los productos o componentes de la solucin tecnolgica cumplan con su propsito. 5. Al ser ejecutadas las actividades de validacin deber asegurarse que los datos resultantes son recolectados y analizados de acuerdo a los mtodos, procedimientos y criterios establecidos. 6. Evaluar el producto o servicio adquirido a medida que madura en el contexto de validacin del ambiente, para identificar defectos de validacin. 7. Comparar los resultados actuales contra los resultados esperados, bajo un entorno de colaboracin. 8. Identificar con base en los criterios de validacin establecidos, aquellos productos y componentes de productos que no cumplen adecuadamente con su propsito en sus ambientes operativos, o identificar problemas con los mtodos, criterios y/o ambientes. 9. Analizar los datos de validacin de los defectos. 10. Registrar los resultados del anlisis e identificar defectos. 11. Utilizar los resultados de la validacin para comparar mediciones actuales y de rendimiento contra el uso previsto o necesidades operacionales. 12. Identificar las acciones a realizar para el cierre de los hallazgos en los entregables o productos que no pasan la validacin.
Pg. 214 de 372

Escenarios de prueba Reporte de revisin
CST-8: Evaluar los procesos, entregables o productos y servicios

Se evala objetivamente que los procesos desarrollados y sus productos y servicios asociados, se hayan realizado de acuerdo los estndares establecidos. 1. Seleccionar los entregables o productos que sern evaluados. 2. Se debern definir y establecer los criterios de evaluacin para los entregables o productos, servicios y la cohesin de los procesos contra las descripciones de procesos, estndares y procedimientos. Los criterios de evaluacin de procesos, entregables o productos y servicios debern definirse basados en las necesidades de la dependencia o entidad, tales como: qu ser evaluado?, cundo y/o con qu frecuencia los procesos y entregables o productos sern evaluados?, cmo ser conducida la evaluacin?, quin debe involucrarse en la evaluacin?, entre otros. En este tipo de evaluacin se deber contemplar que el personal que realizar estas actividades sea completamente independiente del que elabora los entregables o productos. Se deber establecer una infraestructura de pruebas que garantice el reutilizacin de elementos utilizados en las validaciones y verificaciones.
3. Realizar la evaluacin de los entregables o productos antes de que sean entregados al usuario, en hitos seleccionados durante su desarrollo. 4. Identificar hallazgos (no conformidades) durante las evaluaciones.
Reportes de revisin Lecciones aprendidas Plan de calidad
CST-9: Comunicar y asegurar la resolucin de las no conformidades

Comunicar los asuntos a los involucrados y asegurar la resolucin de las no conformidades. 1. Resolver cada no conformidad con los participantes apropiados del equipo, cuando sea posible. Entendiendo por no conformidades los problemas que reflejan la falta de adherencia a los estndares, procesos o procedimientos, identificados en las evaluaciones. Los estatus de las no conformidades deben proveer un indicador de las tendencias de calidad. 2. Documentar las no conformidades cuando no puedan ser resueltas dentro del proyecto. 3. Informar a los niveles superiores sobre las no conformidades que no puedan ser resueltas dentro del proyecto, para toma de decisiones.
Pg. 215 de 372

4. Analizar las no conformidades para ver si existen tendencias de calidad que puedan ser identificadas y corregidas. 5. Asegurar que los involucrados relevantes se enteren oportunamente de los resultados de las evaluaciones y de las tendencias de calidad. 6. Realizar revisiones peridicas sobre las no conformidades y las tendencias con los administradores designados. 7. Dar seguimiento a las no conformidades hasta su cierre.
Reportes de revisin
TIEMPO TOTAL DEL PROCESO: Variable
7.7.3.2.3
Rol
Descripcin de roles
Responsabilidad
Administrador de calidad
Responsable de planear y coordinar las actividades de aseguramiento de la calidad. Confirma la participacin de los involucrados en las revisiones y auditorias, asegurndose que ocurran de forma oportuna y acorde al estndar requerido. Revisa antes de ser entregados, que los productos y/o entregables generados tengan la calidad esperada, cumplan con los criterios de calidad definidos y cubran los requerimientos del solicitante; a su vez reporta las no conformidades detectadas y les da seguimiento hasta su cierre. Responsable de ejecutar las pruebas y dar seguimiento a los defectos encontrados hasta su cierre, as como de llevar la trazabilidad de los escenarios de prueba. Se encarga de generar el Programa de auditoria de calidad, darle seguimiento al mismo y comunicar los resultados a los interesados. Asigna al auditor de calidad responsable de ejecutar las de calidad y le da apoyo en sus actividades. Es responsable de realizar las actividades relacionadas con la planeacin y ejecucin de la auditoria de calidad. Cuando exista un equipo de auditores de calidad, el auditor de calidad es responsable de dirigirlo y se conoce como lder del equipo de auditores de calidad. Se encarga de conducir auditorias y revisiones en los proyectos a fin de reportar las no conformidades y darles seguimiento hasta su cierre.
Revisor de calidad
Ingeniero de pruebas Auditor de calidad
Grupo de aseguramiento de calidad
Lder de calidad Coordina al Grupo de aseguramiento de calidad asignado a un proyecto. Desarrollador Colegas o iguales
Es la persona que elabora el producto de trabajo o desarrolla un servicio que es revisado y auditado. Grupo de personas con el mismo rol y prcticamente el mismo nivel de experiencia para llevar a cabo la revisin de un entregable o producto.
Pg. 216 de 372
7.7.3.2.4
Nombre
Descripcin
Plan de calidad
Establece la estrategia y recursos a utilizar para la planeacin y ejecucin del aseguramiento de la calidad. Define los elementos a ser revisados, auditados y probados, los entregables a ser elaborados y los criterios de aceptacin del producto o servicio adquirido. Algunos elementos que se detallan en este documento son: Define al producto o servicio Estrategia de calidad Tipos de prueba a ejecutar Recursos disponibles Requerimientos de ambientes Estimaciones
Ambiente de verificaciones Reporte de revisin
Ambiente en que residir el entregable o producto a verificar. Contiene el registro de los defectos y hallazgos encontrados durante las revisiones realizadas, tales como revisiones entre colegas, evaluaciones y auditorias de calidad; tambin se utiliza para dar seguimiento a los defectos hasta su cierre. Contiene todos los escenarios de pruebas, agrupndolos y mostrando la severidad y prioridad de cada uno, los puntos de verificacin por cada escenario, as como el estatus final, una vez ejecutado. Documento en el cual se establecen los criterios y puntos crticos a revisar en una auditoria de calidad, revisin o evaluacin, para determinar el adecuado desempeo y su apego al proceso definido. Repositorio donde se guardarn las lecciones aprendidas resultantes de la ejecucin de los procedimientos. Repositorio donde se guardan los reportes de las revisiones realizadas
Escenarios de prueba
Listas de verificacin
Lecciones aprendidas Repositorio de reportes de revisin.
7.7.3.3
Nombre Cumplimie nto a revisiones de calidad
Indicadores:
Objetivo Medir la eficiencia del proceso por medio del cumplimiento Descripcin Obtener el porcentaje de revisiones efectuadas por cada Dimensin Eficiencia Tipo De gestin Frmula % de eficiencia= (((Nmero de revisiones de calidad efectuadas en el Respons able Administra dor del proceso Frecuencia de clculo Semestral
Pg. 217 de 372

Nombre Objetivo del numero de revisiones de calidad efectuadas Descripcin solucin validada al respecto de las revisiones planeadas Dimensin Tipo Frmula desarrollo de cada solucin tecnolgica)/ (nmero de revisiones de calidad planeadas en cada solucin tecnolgica)) x 100) Respons able Frecuencia de clculo
7.7.3.4 1.1
Reglas del proceso La UTIC deber establecer criterios de aceptacin y procedimientos de verificacin y validacin que permitan verificar que la solucin tecnolgica no presenta defectos y funciona correctamente. El responsable de la elaboracin de la solucin tecnolgica tendr la responsabilidad del aseguramiento de de la calidad de los productos, componentes y documentos asociados a la entrega de la solucin tecnolgica. Se debern realizar revisiones para asegurar la calidad de los productos y procesos, documentando los resultados; estas revisiones debern ser realizadas por equipos de trabajo independientes de aquellos que ejecutan los procesos y generan los productos. Se debern implementar las acciones correctivas necesarias para cada defecto detectado en los procesos de verificacin y validacin, as como darles seguimiento hasta su atencin total y definitiva. Se debern analizar los resultados de los diferentes tipos de revisiones en forma peridica, mantener su registro y comunicarlos institucionalmente. Se deber asegurar la comunicacin oportuna de las lecciones aprendidas del proceso de revisiones a los productos y servicios de trabajo. Se debern incluir las actividades necesarias para asegurar que se cubran los requerimientos especificados en la poltica de seguridad de la dependencia o entidad. El Plan de calidad deber incluir las actividades necesarias para asegurar la verificacin y validacin de los productos y procesos, as como la participacin de los recursos humanos y herramientas necesarias para la ejecucin de las actividades. El Plan de calidad deber estar incluido en el Plan de proyecto, asegurando la integracin con otras entidades o interfaces con reas o sistemas. Todos los resultados obtenidos en las verificaciones y validaciones debern estar almacenadas y ser comunicadas a los involucrados. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
Pg. 218 de 372
1.2
1.3
1.4
1.5 1.6 1.7 1.8
1.9 1.10 1.11 1.12 1.13
7.7.3.5
Pg. 219 de 372
7.8 7.8.1. 7.8.1.1
TRANSICIN Y ENTREGA Administracin de cambios Objetivos del proceso
General.Lograr una integracin eficiente, segura y oportuna de los cambios que modifican el ambiente operativo mediante la definicin y establecimiento de los mtodos, procedimientos y estndares necesarios.
Especficos.1. Asegurar que toda propuesta de cambio recibida incluya una justificacin tcnica y econmica. 2. Validar y calendarizar la propuesta de cambio mediante revisin detallada de su justificacin. 3. Asegurar que la informacin relacionada con los cambios se documente para su medicin y comunicacin. 4. Administrar adecuadamente los riesgos inherentes a los cambios.
Pg. 220 de 372
7.8.1.2 7.8.1.2.1

ACMB-1 Establecer un punto nico de gestin de solicitudes de cambio ACMB-2 Definir el procedimiento de solicitud, evaluacin y atencin al cambio
Criterios de seleccin de la herramienta de software para el proceso de cambios Descripcin del punto nico de gestin de solicitudes de cambio
Procedimientos de gestin por tipo de cambio Tabla de verdad de la prioridad del cambio Catlogo de categoras del cambio Catlogo de estatus de cambio Requisitos para el plan de restauracin Requisitos para el plan de implementacin del cambio
OSGP
ACMB-3 Definir los equipos responsables de evaluar y ejecutar el cambio
Solicitud de cambios
ACMB-4 Registro y clasificacin de la solicitud de cambio
Equipos responsables de evaluar y ejecutar los cambios
ACMB-6 Canalizacin de la solicitud de cambio Procesos del Marco rector Criterios para asignar urgencia, impacto y prioridad Solicitud de cambio (registrada y clasificada)
Solicitud de cambio (cerrada) Visto bueno para el cierre del cambio
Solicitud de cambio (canalizada) rdenes de trabajo
Repositorio de solicitudes de cambios ACMB-5 Evaluacin y coordinacin del cambio Bitcora de operacin
ACMB-8 Revisin y cierre del cambio
Solicitud de cambio (exitoso o fallido) Plan de pruebas Registro de pruebas Aceptacin de resultados del cambio
Solicitud del cambio (evaluada) Agenda del grupo de trabajo asesor de cambios y grupo de trabajo asesor de cambios de emergencia Calendario de cambios Planes actualizados asociados al cambio A
Plan de proyecto de transicin a la operacin
THO Calendario de cambios
THO
Informe de rendimiento del proyecto de transicin a la operacin
ACMB-7 Pruebas previas y posteriores al cambio Reportes de revisin CST CST
AO, AAF, MI
Pg. 221 de 372
Pg. 222 de 372
7.8.1.2.2
ACMB-1 Establecer un punto nico de gestin de solicitudes de cambio

Se debe establecer un punto nico a travs del cual se administre el ciclo de vida de las solicitudes de cambio, que permita su seguimiento y control. 1. Con el fin de minimizar la probabilidad de conflictos entre cambios, que derive en una posible afectacin al ambiente operativo. Establecer el punto central para la administracin de cambios y realizar la difusin del mismo entre los interesados, incluidos aquellos que tendrn el rol de solicitante del cambio. Si se decide que el punto central para gestionar los cambios sea diferente a la mesa de servicios, deber generarse la interfase de trabajo entre ambos, para lograr consistencia y comunicacin en las actividades de ambos procesos. 2. Definir y difundir los canales de comunicacin oficiales para la administracin de cambios (telfono, correo electrnico, pginas y formatos Web) 3. Definir los criterios para seleccionar la herramienta que permita la recepcin y gestin de la solicitud de cambio. 4. Establecer la interfaz del punto central para cambios, con los procesos y funciones con los que se relacione la administracin de cambios. Criterios de seleccin de la herramienta de software para el proceso de Administracin de cambios. Descripcin del punto nico de gestin de solicitudes de cambio
ACMB-2 Definir el procedimiento de solicitud, evaluacin y atencin al cambio

Descripcin
La solicitud de cambio es el instrumento mediante el cual se requiere la modificacin de un elemento del entorno operativo actual, por lo que es necesario que dicho formato contenga la informacin mnima necesaria para que sea posible procesar, el cambio a lo largo de su ciclo de vida. Debe entonces establecerse qu informacin se requiere integrar a la solicitud de cambio para su gestin. 1. Definir los datos mnimos que se requieren del solicitante del cambio, tales como nombre y detalles de contacto. 2. Establecer un control para asegurar que en la solicitud de cambio se identifiquen los riesgos potenciales derivados del cambio, incluyendo tanto riesgos de tipo tcnico, como de negocio. 3. Establecer un identificador nico por cada solicitud de cambios, para evitar la duplicidad de los mismos y facilitar su monitoreo. 4. En caso de tratarse de un cambio derivado de un incidente, problema o iniciativa, incluidas la de mejora, referir el identificador de esos otros registros. 5. Asegurar que la solicitud incluya una ventana de tiempo del cambio, en la que se considere el tiempo que demandar aplicar todas las actividades, cuando sea pertinente. 6. Definir con qu autorizaciones previas debe contar el solicitante del cambio para hacer su solicitud, cuando as aplique. 7. En caso de existir un repositorio o inventario de los elementos del ambiente productivo (activos, elementos de configuracin, procesos, servicios, formatos, roles), solicitar que se enlisten los elementos que sern impactados directa o indirectamente por el cambio. 8. Establecer la documentacin mnima que se requerir para soportar la Solicitud de cambio 9. Definir qu documentacin ser la mnima requerida para solicitar un cambio de
Pg. 223 de 372
Factores crticos

emergencia. 10. Determinar qu documentacin sera opcional para ciertos tipos de cambio. 11. Definir los tipos de cambio posibles, para la clasificacin de las solicitudes de cambio; se debe considerar al menos los tres tipos referidos en el marco de mejores prcticas de ITIL: Cambio de rutina Cambio normal Cambio de emergencia 12. Desarrollar un procedimiento en particular para cada tipo de cambio. 13. Establecer un mecanismo para diferenciar aquellos cambios que resultan de un incidente o problema, de los que tienen como motivo una mejora. 14. Definir durante el diseo del proceso de Administracin de cambios, los estatus que reflejen los diferentes estados por los que puede pasar un cambio. 15. Los estatus del cambio debern estar disponibles para su uso en la herramienta de software del proceso y debern poderse cambiar conforme se requiera. 16. Definir las reglas que aplicarn para el cambio de estatus de un registro de cambio en la herramienta de software. 17. Debern considerarse al menos los cuatro tipos de prioridad referidos en el marco de mejores prcticas de ITIL: Baja Normal Alta Urgente 18. Definir los niveles que se necesitarn para categorizar los cambios. 19. Definir las categoras de cambio que se prev puedan abarcar la mayor parte de los posibles tipos de cambio, considerando su naturaleza. 20. Las categoras de los cambios deben describir el rubro afectado, por ejemplo procesos, hardware, software, aplicaciones. 21. Las subcategoras debern estar relacionadas con la categora del nivel anterior y refieren el detalle de ese nivel.
Procedimientos de gestin por tipo de cambio Tabla de verdad de la prioridad del cambio Catlogo de categoras del cambio Catlogo de estatus de cambio Requisitos para el Plan de restauracin Requisitos para el Plan de implementacin del cambio
ACMB-3 Definir los equipos responsables de evaluar y ejecutar el cambio

Descripcin
Con base en el origen, complejidad y alcance de los cambios que se presentan, se debern definir los equipos responsables de evaluar y ejecutar los cambios que se autoricen. 1. Identificar a todos aquellos equipos de especialistas para la evaluacin y ejecucin de cambios. 2. Si existe una herramienta de software para el proceso de Administracin de cambios, registrar los equipos definidos en sta, para la asignacin de las solicitudes de cambio. Equipos responsables de evaluar y ejecutar los cambios
Factores crticos
Pg. 224 de 372

ACMB-4 Registro y clasificacin de la solicitud de cambio
Efectuar el registro de la solicitud del cambio y determinar, su impacto, la urgencia y prioridad respecto a otros cambios y la ruta que se seguir para su evaluacin. 1. Recibir la solicitud de cambio por los canales de comunicacin establecidos para este fin. 2. Validar que la solicitud de cambio se entreg en el formato que se haya definido para ese fin. Verificar que la solicitud contenga el detalle del cambio. Solicitar la justificacin de la solicitud de cambio en trminos de beneficios para la dependencia o entidad. 3. Las solicitudes de cambios incompletos o no viables debern ser rechazadas. 4. Validar que el solicitante del cambio est autorizado para requerirlo. 5. Preferentemente, se deber contar con una herramienta de software que permita capturar en un registro electrnico, la informacin prevista en la solicitud de cambio. 6. Capturar y clasificar la solicitud de cambio con base en la informacin prevista en el formato y la documentacin de soporte adjunta. 7. Generar las rdenes de trabajo para la evaluacin del cambio por los especialistas, cuando por el tipo de cambio as se requiera. Criterios para asignar urgencia, impacto y prioridad Solicitud de cambio (registrada y clasificada)
ACMB-5 Evaluacin y coordinacin del cambio

Descripcin
Factores crticos
El procedimiento de evaluacin del cambio depende de la clasificacin con que haya sido registrada la solicitud. Dependiendo del tipo de cambio, prioridad y categora, podr variar quin, qu y cmo se evala el cambio. 1. En general, para la evaluacin de un cambio se deben considerar las respuestas a los siguientes cuestionamientos: Quin solicit el cambio? Cul es la justificacin del cambio? Qu beneficios se logran a partir del cambio? Qu riesgos estn asociados al cambio? Qu recursos se requieren para realizar el cambio? Quines son responsables de la ejecucin prueba e implementacin del cambio? Cules es la relacin de este cambio con otros previos? 2. La evaluacin del cambio regularmente se lleva a cabo en dos ocasiones. Una primera evaluacin generalmente la lleva a cabo el equipo de especialistas, mientras que la segunda es realizada por el Grupo de trabajo asesor de cambios y/o Grupo de trabajo asesor de cambios de emergencia y el Administrador de cambios. 3. Definir el riesgo implcito en el cambio mediante una matriz de categorizacin del riesgo. 4. Se debe determinar si la prioridad o categora del cambio necesitan ser actualizados. 5. Con base en el resultado de la evaluacin y de ser autorizado el cambio, definir los planes asociados al cambio, cuando sea necesario. 6. Actualizar y compartir el calendario de cambios con los involucrados en el cambio. 7. Documentar todas las actividades realizadas en el registro del cambio. 8. Si se aprueba el cambio, generar las rdenes de trabajo para su ejecucin. 9. Se coordinan las actividades para que el equipo responsable de ejecutar el cambio lo realice.
Pg. 225 de 372

Solicitud del cambio (evaluada) Agenda del Grupo asesor de cambios y Grupo asesor de cambios de emergencia Calendario de cambios Planes actualizados asociados al cambio
ACMB-6 Canalizacin de la solicitud de cambio

Descripcin
Factores crticos
Efectuar la canalizacin de la solicitud de cambio dependiendo de su tipo, as como de su prioridad y categora, la solicitud se dirige la actividad que aplique, segn el procedimiento que corresponda. 1. Con base en el tipo, prioridad y categora, determinar qu procedimiento aplica para el tratamiento de la solicitud. 2. Canalizar la solicitud a la actividad que corresponda, segn el procedimiento. 3. Documentar todas las actividades realizadas en el registro del cambio. 4. Dar seguimiento al avance del cambio. Solicitud de cambio (canalizada) rdenes de trabajo
ACMB-7 Pruebas previas y posteriores al cambio

Ejecucin de las pruebas para la implantacin del cambio y de las pruebas despus de implantado el cambio. Un cambio necesita ser probado antes y despus de su aplicacin, an cuando se trate de cambios de emergencia. En el primer caso, las pruebas se realizan para validar a travs de un ambiente controlado, que con el cambio se logran los resultados esperados sin que resulten afectaciones a la dependencia o entidad. Las pruebas posteriores a la implantacin del cambio, se efectan para validar si el cambio cumpli o no con su objetivo, si arroj los resultados esperados y si no deriv en un dao colateral en el ambiente operativo de la dependencia o entidad, que puede incluso implicar detener el cambio y regresar los elementos afectados a su estado original. En los ambientes de prueba, se debe emular el ambiente de produccin. 1. Para los cambios de emergencia, hay que adecuar la requisicin de pruebas para que se realicen, de acuerdo al tiempo y necesidad que plantee el escenario que se experimente en la operacin. 2. Los resultados de las pruebas previas al cambio, podran solicitarse como parte de la documentacin que debe sustentar la propuesta del cambio. 3. Las pruebas a realizar una vez que se haya implementado el cambio, debern haber sido documentadas y entregadas junto con la solicitud de cambio. 4. El Plan de pruebas y su ejecucin son imperativos para cualquier tipo de cambio, incluido el de emergencia. 5. Todo cambio deber incluir un Plan de restauracin a travs del cual sea posible regresar el entorno a su estado original. 6. Documentar todas las actividades realizadas, en el registro del cambio. 7. Proveer informacin detallada e inmediata acerca de un cambio ejecutado en un activo o elemento de CMDB, al proceso de Administracin de la configuracin. Solicitud de cambio (exitoso o fallido) Plan de pruebas
Pg. 226 de 372

Registro de pruebas Aceptacin de resultados del cambio
ACMB-8 Revisin y cierre del cambio

Valorar los resultados de los cambios efectuados. Cuando un cambio ha sido ejecutado, se debern valorar y validar los resultados logrados. Para stos se determina si el cambio fue exitoso o fall, si se logr cumplir con el objetivo fijado, si el cambio provoc incidentes o problemas en el ambiente de operacin y si tanto el solicitante como los interesados, incluyendo los representantes de la dependencia o entidad, estn satisfechos con la ejecucin y los resultados logrados. 1. Considerar las respuestas a los siguientes cuestionamientos: Se cumplieron los objetivos previstos? Cul ha sido la percepcin de los usuarios respecto al cambio? Se pusieron en marcha los planes de retorno en alguna fase del proceso? Por qu? 2. Determinar si las actividades realizadas en el cambio se hicieron conforme a lo planeado y si se experiment alguna desviacin importante que haya derivado en un riesgo para el ambiente operativo o para el cambio mismo, o haya resultado en la falla del cambio. 3. Confirmar si el cambio logr su objetivo. 4. Verificar con el representante de la dependencia o entidad y con los usuarios, si surgieron o no incidentes o problemas a partir de la aplicacin del cambio. 5. En general, medir la satisfaccin del solicitante del cambio, del usuario y de todos los involucrados respecto a la ejecucin del cambio y a los resultados logrados. 6. Documentar todas las actividades realizadas, en el registro del cambio. 7. La evaluacin de desempeo del proceso deber realizarse mediante el proceso de Administracin del desempeo de TIC. Solicitud de cambio (cerrada) Visto bueno para el cierre del cambio
7.8.1.2.3
Rol
Descripcin de roles
Descripcin
Administrador de Recibe, registra y clasifica el cambio, convoca al Grupo asesor de cambios y al Grupo cambios
asesor de cambios de emergencia para su evaluacin, lleva las reuniones de evaluacin, coordina las actividades del proceso y decide la autorizacin o rechazo de la propuesta, junto con el comit que aplique. Seguimiento del cambio y actualizacin de su registro, a lo largo de su ciclo de vida. Grupo de trabajo que evala, asesora y aconseja acerca de un cambio propuesto y que, regularmente junto con el Administrador de cambios, decide la aprobacin o no del cambio. Grupo de trabajo conformado por el mnimo de roles necesarios, con experiencia y autoridad suficiente para evaluar y decidir la procedencia de un cambio de emergencia.
Grupo de trabajo asesor de cambios Grupo de trabajo cambios de emergencia
Pg. 227 de 372

Solicitante del cambio
Equipo responsable de ejecutar el cambio
Solicita el cambio mediante el formato definido para este fin, integrando a dicha solicitud toda la informacin y documentacin que aplique y sea requisito para el tipo de cambio en cuestin. Tambin valida el cierre del cambio despus de realizar una verificacin de su ejecucin y resultados logrados. Los cambios pueden ser solicitados a partir de necesidades derivadas de la ejecucin de los procesos del marco rector. Equipo de expertos en el mbito de aplicacin de una o ms categoras de cambios, responsable de evaluar conceptual y tcnicamente la solicitud de cambio recibida. El Equipo de expertos es responsable de la implementacin de los cambios aprobados dentro de la ventana de tiempo, costo y actividades establecidas en los planes de cambios, as como de documentar las actividades realizadas y aplicar el procedimiento de restauracin cuando un cambio falla en su implementacin.
7.8.1.2.4
Producto Descripcin del punto nico de gestin de solicitudes de cambio
Descripcin
Documento que define las actividades para la gestin de una solicitud de cambio, desde su registro hasta su cierre y evaluacin del resultado obtenido, contiene entre otra informacin, la siguiente: Objetivo del cambio Beneficios reas involucradas Impacto: o En los procesos de las soluciones tecnolgicas o En los servicios de TIC o De costos o De ingresos o Plan del cambio Ejecucin del cambio Resultados del cambio

Solicitud de cambio
Formato para documentar el propsito y detalles del cambio propuesto, que es sometido a consideracin y valoracin por la autoridad, para decidir su procedencia o rechazo. Caractersticas: Contiene los detalles de las propuesta del cambio Nombre y detalles del contacto Se le asigna un identificador nico Durante el ciclo de vida del cambio obtiene diferentes estatus (registrada, clasificada, evaluada, canalizada, con resultado exitoso o fallido y cerrada)
Requisitos para el plan de implementacin del cambio
Definicin de los requerimientos mnimos del plan donde se definirn de forma detallada las actividades a ejecutar para la implementacin del cambio, incluyendo tiempos y recursos.
Pg. 228 de 372

Requisitos para el plan de restauracin Plan de pruebas Registro de pruebas
Definicin de los requerimientos mnimos del documento donde se especificarn las acciones para regresar el entorno a su estado original, en caso de que la implementacin del cambio resulte fallida. Plan donde se describen las pruebas a ejecutar para determinar el xito o fracaso del cambio o del Plan de restauracin. Registro de los resultados y defectos localizados durante la ejecucin de las pruebas del cambio.
Procedimiento de Conjunto de acciones especficas a seguir para cada tipo de cambio. gestin por tipo de cambio Catlogo de Documento donde se enlistan y describen los estatus que podrn utilizarse durante el ciclo estatus del cambio de vida del cambio, las reglas que aplican para pasar de uno a otro y quienes estn
involucrados.
Tabla de verdad de Tabla para determinar la prioridad del cambio, medida por medio del impacto al negocio y la prioridad del el nivel de urgencia solicitado. cambio Catlogo de categoras del cambio Criterios de seleccin de la herramienta de software para el proceso de cambios
Documento donde se definen los niveles que debe cubrir un cambio para poder ser categorizado, con base en los elementos que se vern afectados. Especificaciones para poder seleccionar una herramienta mediante la cual sea posible automatizar algunas o todas las actividades del proceso de cambios. Cada criterio describe las caractersticas y funcionalidades que se deben evaluar de acuerdo a las necesidades del negocio.
Agenda del grupo Documento donde se describen los temas y cambios a resolver y acordar durante las de trabajo asesor sesiones del Grupo de trabajo asesor de cambios o del Grupo de trabajo asesor de de cambios y del cambios de emergencia. grupo de trabajo asesor de cambios de emergencia Planes actualizados asociados al cambio
Son los planes originales de instalacin, pruebas y regresin de un cambio, con las adecuaciones que hayan resultado de su evaluacin.
Visto bueno para el Aprobacin del cambio realizada por el solicitante y todos los involucrados. cierre del cambio Calendario de cambios Criterios para asignar urgencia, impacto y prioridad
Calendario donde se registran todo los cambios aprobados para ejecucin, que se comparte con los interesados. Documento donde se describen las pautas para clasificar un cambio: urgencia, impacto y prioridad.
Pg. 229 de 372

rdenes de trabajo Documentos a travs de los cuales se solicita la ejecucin de un cambio. Aceptacin de resultados del cambio Equipos responsables de evaluar y ejecutar los cambios
Documento que formaliza la aceptacin de los resultados del cambio.
Lista de personas con el perfil adecuado para evaluar y ejecutar un cambio solicitado, de acuerdo a su impacto y urgencia.
7.8.1.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsabl e Administrado r del proceso Frecuenci a de clculo Semestral
Eficiencia en las solicitudes de cambios
Conocer la eficiencia en la atencin a las solicitudes de cambio
Obtener la medicin de la eficiencia del proceso por medio del numero de cambios exitosos y su relacin con el total de cambios ejecutados
Eficacia
De gestin
% de eficiencia= (Nmero de cambios exitosos) / (total de cambios ejecutados) X 100
7.8.1.4 1.1 1.2
Reglas del proceso El titular de la UTIC designar al rea responsable del proceso de Administracin de cambios y a un responsable del proceso. Todo cambio que est dentro del alcance del proceso de Administracin de cambios, deber ser gestionado desde su inicio hasta su implementacin, mediante el proceso de Administracin de cambios. Los participantes del proceso de Administracin de cambios cumplirn con las disposiciones establecidas en dicho proceso. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Todo cambio deber ser justificado, registrado, clasificado, monitoreado, evaluado, priorizado, planeado, probado y documentado, as como revisado y evaluado despus de su implementacin. Para la evaluacin y autorizacin del cambio, se deber involucrar siempre por lo menos a un representante de la dependencia o entidad con la visin y autoridad para velar por sus intereses.
Pg. 230 de 372
1.3 1.4 1.5 1.6 1.7 1.8

1.9 Los cambios de emergencia responden exclusivamente a un incidente crtico o inesperado que produce interrupciones en el servicio o si existe algn riesgo de que el usuario no pueda realizar sus actividades. Deber contar con la documentacin asociada a posteriori. Todas las actividades involucradas en el proceso de cambios debern ser asignadas a algn rol, que tendr la responsabilidad y autoridad para realizarlas. Se deber asignar un responsable del proceso de Administracin de cambios. Se deber asegurar que los controles y niveles de acceso establecidos eviten que personal no autorizado realice cambios en el ambiente productivo. Se debern disear, generar y evaluar regularmente mtricas de desempeo, a travs de las cuales se pueda identificar la efectividad y eficiencia del proceso, con fines de verificacin y mejora. Los cambios que fallen durante su ejecucin, debern ser documentados y cerrados y dar inicio a una nueva solicitud de cambio cuando se decida intentar de nuevo el cambio. Todo cambio deber contar con un plan de regreso que permita la recuperacin de la ltima configuracin estable antes del inicio de la ejecucin del cambio. Se deber asegurar que la totalidad de las solicitudes de cambio que se ingresen al proceso renan los requisitos mnimos necesarios para asegurar su control.
1.10 1.11 1.12 1.13 1.14 1.15 1.16
7.8.1.5
Pg. 231 de 372
7.8.2. 7.8.2.1
Liberacin y entrega Objetivos del proceso
General.-
Garantizar que la solucin tecnolgica o servicio que se entregue para su puesta en operacin, cumpla con los requerimientos tcnicos necesarios.
Especficos.-
1. Asegurar que se elaboren planes de liberacin y entrega aprobados por las partes involucradas. 2. Garantizar que el paquete de liberacin de una solucin tecnolgica o servicio sea construido, instalado, probado y desplegado eficientemente en el ambiente de implementacin de manera oportuna y exitosa. 3. Asegurar que los paquetes de liberacin puedan ser rastreados, verificados, desinstalados y respaldados gilmente para responder oportunamente a cambios o eventos inesperados. 4. Asegurar que el paquete de liberacin de la solucin tecnolgica o servicio que se entregue para su puesta en operacin as como sus elementos habilitadores, entreguen los requerimientos de servicio comprometidos. 5. Asegurar que los paquetes de liberacin y los componentes que los constituyen, sean registrados total y correctamente en CMDB, para que los involucrados garanticen el mantenimiento, la continuidad y la disponibilidad del servicio.
Pg. 232 de 372
7.8.2.2 7.8.2.2.1

Solicitud de cambio (canalizada) rdenes de trabajo
ACMB
LE-1 Establecer criterios para la creacin de unidades y paquetes de liberacin
Estructura de la CMDB Definicin de elementos de configuracin
ACNF
Criterios de definicin de unidades de liberacin Criterios de definicin de paquetes de liberacin
LE-2 Identificar individualmente las versiones
LE-3 Elegir la opcin de liberacin ms conveniente
Nomenclatura para identificacin de versiones Gua de identificacin de versiones
Documento de mtodo de liberacin y entrega
LE-4 Desarrollar planes de liberacin y entrega
Plan de liberacin y entrega
CMDB
ACNF
LE-5 Ejecutar el Plan de liberacin y entrega
Paquete de liberacin entregado a ambiente productivo
THO, ACMB
LE-6 Realizar pruebas del servicio
Resultado de las pruebas del servicio Reporte de entrega
THO, ACMB
Pg. 233 de 372
Pg. 234 de 372
7.8.2.2.2
LE-1 Establecer criterios para la creacin de unidades y paquetes de liberacin

Descripcin
Decidir el nivel que se manejar como unidad de liberacin, el cual depende de la conveniencia y necesidad de la dependencia o entidad, as como de los recursos que se puedan destinar a su administracin. 1. Identificar, definir y considerar los tipos de unidades de liberacin. La unidad de liberacin puede variar dependiendo de los tipos o elementos de los activos de servicio o componentes, tales como hardware y software. 2. Decidir el nivel de detalle o granularidad de la unidad, considerando que la complejidad y efectividad de las actualizaciones subsecuentes, estarn directamente relacionadas con el nivel que se decida. 3. Considerar el costo y facilidad de liberar, actualizar y retirar la unidad de liberacin en relacin a su tamao y complejidad de la unidad y los elementos con los que se relaciona. 4. La cantidad de recursos y tiempo necesario para construir, distribuir y probar la unidad de liberacin, depender del tipo, tamao y complejidad de la unidad y los elementos con los que se relaciona. 5. Asegurar que los elementos se puedan construir y probar en paralelo e integrar en un solo paquete de liberacin. 6. Decidir, tomando en cuenta la complejidad de las interfases que existirn entre la unidad propuesta, otras unidades, el paquete de liberacin, los servicios de TIC y la infraestructura. 7. Asegurar que el paquete de liberacin consista de activos y componentes compatibles entre s. 8. Asegurar que el paquete de liberacin puede construirse, instalarse y probarse. 9. Verificar interdependencias entre las unidades que conforman el paquete, as como el paquete en cuestin y otros paquetes de liberacin. 10. El paquete de liberacin debe ser diseado de tal forma que algunas unidades de liberacin puedan ser removidas si causan fallas durante su prueba u operacin. Criterios de definicin de unidades de liberacin Criterios de definicin de paquetes de liberacin
Factores crticos
LE-2 Identificar individualmente las versiones

Descripcin
Identificar individualmente y de manera nica las versiones. La identificacin debe incluir una referencia al elemento de configuracin que representa, as como un nmero de versin, que normalmente se compone de varias partes que indican el nivel e importancia de esa versin en particular. 1. Establecer reglas para la identificacin de las unidades y paquetes de liberacin. 2. El identificador de la versin deber incluir una referencia al elemento de configuracin que representa y el nmero de versin. 3. Considerar el uso de un sistema para administrar las versiones. Nomenclatura para identificacin de versiones Gua de identificacin de versiones
Factores crticos
Pg. 235 de 372

LE-3 Elegir la opcin de liberacin ms conveniente
Descripcin
Elegir el mtodo ms adecuado de liberacin, considerando las ventajas as como los riesgos, y dependiendo del tipo, volumen, nmero de ubicaciones y complejidad de la liberacin que se vaya a realizar. 1. Para el despliegue del paquete de liberacin se deben elaborar mtodos que consideren: Considerar en el diseo y uso de los diversos mtodos de despliegue, la infraestructura y recursos disponibles; cada mtodo de liberacin exigir recursos, procedimientos, riesgos y complejidad diferentes en distintos tiempos de la liberacin. Considerar en el diseo y uso de los diversos de despliegue, las caractersticas crticas de la solucin tecnolgica y su alcance: i. liberacin masiva solo si el riesgo y recursos demandados son bajos, cuando sea rutinario o si la liberacin es emergente. ii. por fases cuando el riesgo sea admisible y se necesite realizar comprobaciones antes de una liberacin masiva o cuando necesite afinarse el procedimiento. iii. liberacin obligatoria cuando se requiera forzar el paso a produccin de la liberacin. iv. liberacin de acceso voluntario cuando se pueda centralizar el almacenamiento de la liberacin y se quiera dar la opcin de elegir el momento del despliegue al usuario. v. liberacin automtica que permita lograr repetitividad y consistencia, previamente verificar la compatibilidad del elemento destino para recibir la liberacin, seleccionar la poblacin destino especfico e incluso automatizar mediante calendario, hacer el despliegue con el mnimo de intervencin humana. 2. Considerar la tolerancia e impacto de errores de la liberacin en la dependencia o entidad, cuando se escoja un mtodo de liberacin manual. 3. El mtodo de liberacin que se elija para cada paquete de liberacin debe justificarse y aprobarse. Debe comunicarse a los representantes de la dependencia o entidad y reas especialistas interesadas. Documento de mtodo de liberacin y entrega
Factores crticos
LE-4 Desarrollar planes de liberacin y entrega

Descripcin
Desarrollar el Plan de liberacin y entrega que funciona como un conjunto de guas para la liberacin en produccin. 1. El o los planes debern describir qu porciones de la funcionalidad del sistema sern desplegadas en qu liberaciones. El plan referido, se compone a su vez de otros planes, tales como plan para construir y probar previo a liberar en produccin, definicin de criterio de pase o falla de la liberacin, planeacin de pilotos, del despliegue, logstica y entrega. Los planes de liberacin debern ser validados contra los planes que tenga la dependencia o entidad, con los que pudiera tener un conflicto o debiera coordinarse. Los planes debern acordarse y compartirse con la dependencia o entidad de tal forma que sta pueda planear sus actividades. La ejecucin de las actividades de los planes que pudieran afectar el ambiente
Pg. 236 de 372
Factores crticos
2. 3. 4.

productivo de la dependencia o entidad, debern ser autorizados mediante el proceso de cambios. Describir el contenido de las liberaciones y la relacin entre las diferentes etapas de liberacin, cuando aplique. Al definir el piloto, determinar su tiempo de duracin, participantes, recursos de soporte, etc. Para el o los pilotos, establecer la diversidad, inclusiones y excepciones de participantes. Plan de liberacin y entrega CMDB actualizada
5. 6. 7.
LE-5 Ejecutar el Plan de liberacin y entrega

Descripcin
Ejecucin de las actividades del Plan de liberacin y entrega que comprenden la construccin del paquete de liberacin, las pruebas y soporte temprano. Para la construccin del paquete de liberacin debe considerarse: 1. Determinar el ambiente que se necesita para construir las liberaciones. 2. Definir los procedimientos, metodologas, herramientas y lista de verificacin que deberan aplicarse para asegurar que el paquete de liberacin sea construido de manera estndar, controlada y replicable. 3. Hacer uso de modelos y metodologas especializadas para la gestin de las actividades de construccin. 4. Asegurar que las actividades de construccin, as como el ambiente, cumplen con las reglas y regulaciones, incluyendo las de seguridad de la informacin. 5. Los avances en la construccin y pruebas debern registrarse. 6. Probar los elementos que compondrn la liberacin 7. Empaquetar las liberaciones considerando el modelo y definicin de los paquetes y unidades de liberacin. 8. Planear las actividades de transicin a la operacin: transferencia de responsabilidad de recursos e instalaciones. 9. Establecer las actividades para el pase de la documentacin y la experiencia a la operacin, mediante el proceso de Administracin del conocimiento. 10. Transferir los compromisos con motivo de contratos, licencias, fondos y pagos. 11. Asegurar la disponibilidad de los recursos a emplear, principalmente de capital humano. 12. Identificar la necesidad y solicitar la autorizacin de operar en dos ambientes cuando exista una liberacin por fases. 13. Planear la liberacin de recursos en prstamo. 14. Documentar la construccin y liberacin Para las pruebas del paquete de liberacin deber considerarse: 1. Determinar el ambiente necesario para probar las liberaciones, procurando que sea lo ms similar posible al ambiente productivo en el que se realizar la liberacin. 2. Asegurar que las actividades de prueba, as como el ambiente, cumplen con las reglas y regulaciones, incluyendo las de seguridad de la informacin. 3. Establecer controles y procedimientos para medir el impacto de la liberacin en el ambiente, una vez que se haya desplegado. 4. Integrar actividades mediante las cuales se verifique que tanto el ambiente, como los
Pg. 237 de 372
Factores crticos

servicios y usuarios afectados por la liberacin, estn listos para recibir la liberacin. Lograr un balance entre los recursos a usar en las pruebas y los beneficios que se derivarn. Para el soporte temprano debe considerarse: 1. Establecer un plan de la operacin del paquete con los recursos y la aplicacin de las experiencias generadas durante la construccin y la liberacin. 2. Delimitar el alcance y duracin del soporte temprano 5.
Paquete de liberacin entregado a ambiente productivo
LE-6 Realizar pruebas del servicio

Descripcin
Verificar que el servicio y ambiente sobre el que se realiza la liberacin y la entrega final, recibe de facto los beneficios esperados que originaron el cambio y la liberacin, con un impacto limitado en caso de surgir alguna situacin negativa inesperada. 1. 2. 3. 4. 5. 6. 7. 8. 9. Verificar que la integridad del o los paquetes de liberacin se haya mantenido durante las actividades de liberacin y se registre en el repositorio de configuraciones. Validar que una vez liberado el paquete, el servicio en el que participa cumple con los niveles de servicio. Identificar si hay impacto no previsto en el ambiente, que se manifieste en forma de incidentes o problemas. Verificar que el servicio se puede usar como se esperaba. Probar los servicios y/o componentes dependientes o afectados directa e indirectamente por la liberacin. Lograr patrocinio para el o los pilotos, considerando que pueden demandar tiempo y productividad de los usuarios Reportar el avance y resultados de las pruebas sobre las liberaciones. Verificar y reportar si la liberacin se cumpli dentro del tiempo y costo previstos. Confirmar que el monto de incidentes y problemas que pudieran derivarse de la liberacin sean aceptables por la dependencia o entidad y los usuarios. Resultado de las pruebas del servicio Reporte de entrega
Factores crticos
7.8.2.2.3
Rol
Descripcin de roles
Descripcin
Responsable de la implementacin del paquete de liberacin Responsable de la construccin del paquete de liberacin
Responsable de la planeacin, el diseo, la creacin, la configuracin y las pruebas de todo el software y hardware utilizado para crear el paquete de implementacin para la entrega del o los cambios que se le harn al servicio designado. Establece la configuracin final de la implementacin, construye el paquete final de entrega de la implementacin y prueba la entrega final.
Pg. 238 de 372

Administrador de Responsable de la eficiencia y despliegue seguro de los cambios de solucin tecnolgica liberacin y entrega
o hardware aprobados en el ambiente productivo.
7.8.2.2.4
Producto Criterios de definicin de paquetes de liberacin
Descripcin
Documento en donde se describen las pautas para decidir acerca de la naturaleza, tamao y arquitectura del paquete de liberacin.
Nomenclatura para Documento donde se define y describe la nomenclatura que deber cumplirse para la identificacin de versiones. identificacin de versiones Gua de identificacin de versiones Documento de mtodo de liberacin y entrega Plan de liberacin y entrega Resultado de las pruebas del servicio Reporte de entrega Paquete de liberacin entregado a ambiente productivo CMDB actualizada
Gua en la que se describe el procedimiento para la identificacin de versiones.
Documento donde se define el mtodo mas adecuado para realizar el proceso de liberacin y entrega, considerando ventajas y riesgos.
Gua de las actividades que se debern ejecutar exitosamente en la liberacin del ambiente de produccin; incluye las actividades de pruebas previas y posteriores a la liberacin, criterios de evaluacin, planes financiero y comercial. Reporte donde se describen los resultados de las pruebas realizadas despus de las liberaciones. Reporte donde se documentan las actividades de entrega realizadas despus de la liberacin, incluyendo la transferencia de recursos, responsabilidades y compromisos. Componentes de un servicio de TIC que normalmente incluye suficientes componentes para realizar una funcin til.
Se refiere a los cambios necesarios realizados a la Base de datos de la configuracin CMDB, como producto de la solucin tecnolgica liberada. Documento en el que se definen los criterios para la segregacin de las unidades de liberacin y para las relaciones entre stas y su conformacin en paquetes de liberacin.
Criterios de definicin de unidades de liberacin
Pg. 239 de 372
7.8.2.3
Nombre Eficiencia en el proceso de liberacin y entrega
Indicadores:
Objetivo Conocer los resultados del proceso mediante la medicin de su eficiencia. Descripcin Obtencin de la relacin de paquetes de liberacin entregados en tiempo y forma y las solicitudes programada s de construccin de los paquetes de liberacin Dimensin Eficiencia Tipo De gestin Frmula % de eficiencia=(N mero de paquetes de liberacin registrados en tiempo y forma en la CMDB / Total de paquetes de liberacin solicitados) X 100 Responsabl e Administrado r del proceso Frecuencia de clculo Semestral
7.8.2.4 1.1 1.2 1.3
Reglas del proceso La UTIC deber garantizar que toda liberacin de soluciones tecnolgicas o hardware sea gestionada mediante el proceso de Administracin de cambios, sin excepcin. Toda liberacin e implementacin de soluciones tecnolgicas o hardware, deber ser finalmente registrada en la Base de datos de configuraciones (CMDB) Los procedimientos y reglas que apliquen para el proceso, debern ser definidos, documentados y aprobados por la administracin del ambiente productivo, quien se asegurar que sean comunicados a travs de la dependencia o entidad y a todos los proveedores relevantes del proceso. Los procedimientos y reglas que apliquen para el proceso, debern estar alineados al marco de gobierno que impere en la administracin de servicios y en la dependencia o entidad. Toda no conformidad con alguna poltica del proceso, debe ser investigada, documentada, reportada y corregida. El proceso de Liberacin y entrega deber alinearse a los procesos y sistemas de la dependencia o entidad con el fin de mejorar la eficiencia y efectividad. El proceso de Liberacin y entrega deber ser regido con un enfoque de uso de la informacin, procedimientos y soluciones tecnolgicas ya existentes. Procedimientos automticos repetitivos debern ser desarrollados para incrementar la eficiencia y eficacia de las actividades clave del proceso, tales como distribucin e instalacin. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. La UTIC deber realizar pruebas del software, sistema o aplicativo a liberar, incluyendo pruebas individuales, de estrs, de volumen, integrales, de regresin, antes de liberar una versin a
Pg. 240 de 372
1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12

produccin. La UTIC deber garantizar la liberacin de la versin final de las soluciones tecnolgicas, evitando la exposicin del cdigo de lectura o escritura a los usuarios y de ser el caso, hacia Internet. La UTIC deber asegurar y mantener evidencia de la realizacin de las pruebas efectuadas, previas a la liberacin, a las configuraciones del sistema, incluyendo sistema operativo, controles de seguridad, bases de datos y cualquier componente que interacte con el software a liberar. No est permitido el uso de datos de produccin, para el uso de pruebas en el desarrollo de las soluciones tecnolgicas; si fuera necesario, debe estar autorizado por los responsables de los activos de informacin y ser de conocimiento del Grupo de desarrollo de las soluciones tecnolgicas y del responsable del proceso de Administracin de cambios. En caso de que se usen datos de produccin en el ambiente de pruebas, la UTIC deber mantener evidencia de la utilizacin y salvaguarda de stos. Deben mantenerse como confidenciales y destruirse una vez concluidas las pruebas. La UTIC deber asegurar y mantener evidencia de la eliminacin definitiva de todos los datos de pruebas, cuentas creadas, contraseas, y de cualquier otra informacin de prueba antes de efectuar una liberacin. La UTIC deber asegurar y mantener evidencia la verificacin del cdigo antes de ser liberado a travs de herramientas especializadas, para identificar potenciales vulnerabilidades. La UTIC deber asegurar y mantener evidencia de la aprobacin de liberacin incluyendo la de las reas usuarias, del responsable del equipo de desarrollo y del responsable del centro de datos. La UTIC deber asegurar y mantener evidencia de haber etiquetado la versin definitiva que se libera y actualizado la CMDB de acuerdo al proceso correspondiente, respaldado y resguardado todos los componentes del paquete de liberacin.
1.13 1.14
1.15
1.16
1.17
1.18 1.19 1.20
7.8.2.5.
Pg. 241 de 372
7.8.3. 7.8.3.1
Transicin y habilitacin de la operacin Objetivos del proceso
General.Poner en operacin una solucin tecnolgica liberada para que los usuarios utilicen el producto o servicio mediante la planeacin y ejecucin de un Plan de transicin y puesta en operacin.
Especficos.-
1. Asegurar que se elaboren y comuniquen los planes de transicin y puesta en operacin de la solucin tecnolgica y que en los mismos estn integrados los requerimientos originales de diseo del servicio y operacin. 2. Identificar y realizar los ajustes necesarios en la solucin tecnolgica o el elemento de TIC, previamente a la puesta en operacin. 3. Coordinar la ejecucin del plan para asegurar la integridad del ambiente de operacin en el que residir la solucin tecnolgica. 4. Asegurar la transicin de la solucin tecnolgica de TIC a la operacin en el tiempo y costo previstos y con la calidad esperada. 5. Transferir la informacin y conocimiento necesarios para operar la solucin tecnolgica puesta en operacin.
Pg. 242 de 372
7.8.3.2 7.8.3.2.1

ACMB LE MI rdenes de trabajo Solicitud de cambio Bitcora de resultados de las pruebas de factibilidad Paquete de liberacin entregado a servicio Resultado de Pruebas Reporte de entrega
THO-1 Planear la transicin a la operacin y soporte
DSTI
Paquete del diseo de servicio de TIC
Manual tcnico Manual de usuario Reporte de revisin
Plan de proyecto de transicin a la operacin Criterios de aceptacin del servicio revisados
THO-2 Establecer controles para verificar el valor del servicio DST ACMB
Criterios de aceptacin del servicio Plan de proyecto de transicin a la operacin
THO-3 Ejecutar el Plan para la transicin a la operacin
Plan de uso de recursos (actualizado) Plan de proyecto de transicin a la operacin (actualizado)
THO-4 Monitorear la transicin a la operacin y soporte
Solicitud de cambio (canalizada)
ACMB
Informe de rendimiento del proyecto de transicin a la operacin
ACMB APTI
Pg. 243 de 372
Pg. 244 de 372
7.8.3.2.2
THO-1 Planear la transicin a la operacin y soporte

Descripcin
Elaborar el Plan del proyecto de transicin. Considerar actividades para lograr la habilitacin operativa y mantenimiento de los productos a entregar al rea responsable de operar y sustentar el servicio. Las actividades para transicin hacia la operacin y el soporte, deben incluir las validaciones (con apego a lo indicado en el proceso de Operacin del sistema de gestin y mejora de procesos de la UTIC), la transferencia de responsabilidades a la operacin, la realizacin del entrenamiento, as como la obtencin y disposicin de los recursos, incluyendo las entradas de otras etapas y procesos, fondos y patrocinio, acceso a repositorios de informacin y ambientes de pruebas y lo necesario para realizar la transferencia exitosa del servicio o elemento.
Factores crticos
1. Asegurar que se consideran integralmente los aspectos entregados por el proceso de

Diseo de servicios de TIC, as como lo acordado en la lnea base de los criterios de aceptacin del servicio, para iniciar la transicin.
2. Asegurar que se tiene documentada y formalizada, la autorizacin para iniciar la

transicin del servicio.
3. Elaborar el Plan de proyecto de transicin a la operacin

a. Identificar el alcance, identificar y solicitar los recursos necesarios b. Verificar que cada involucrado, se le provee del entendimiento y la documentacin suficiente, sobre su rol y responsabilidad en cada fase de la transicin, particularmente durante las pruebas de aceptacin de usuario. c. Asegurar que se integra un mecanismo formal de comunicacin sobre el avance y los resultados de las pruebas de aceptacin de usuario. d. Considerar los riesgos de fracaso e interrupcin en las actividades de transicin. e. Considerar las actividades en curso relacionadas con otros proyectos y aquellas en las que deben participar proveedores, por medio de los procesos de Administracin de proyectos de TIC y Administracin de proveedores. 4. Definir procedimientos estndar para la implementacin y estabilizacin de la operacin que asegure que la transicin es correcta y que el servicio entregado se puede usar de acuerdo a las especificaciones requeridas.
Plan de proyecto de transicin a la operacin Criterios de aceptacin del servicio revisados
THO-2 Establecer controles para verificar el valor del servicio

Descripcin
Establecer controles adecuados para identificar que la transicin (cambio) del servicio nuevo o modificado, efectivamente provee el valor que la dependencia o entidad requiere, bajo los trminos establecidos. 1. Se debe involucrar directamente al usuario para las pruebas finales de aceptacin de la entrega y medicin de los resultados en comparacin con los SLA esperados.
Pg. 245 de 372
Factores crticos

2. Asegurar que se tiene la comprensin completa, por parte del grupo de trabajo asignado, de la totalidad de los requerimientos de nivel de servicio y de los Criterios de aceptacin del servicio, as como de los puntos o hitos de control dentro del Plan de transicin del servicio. 3. Identificar con certeza y, partiendo de las especificaciones de diseo, prever la utilizacin de los elementos de configuracin y componentes para realizar pruebas con el grado de calidad requerido para realizar la transicin. 4. Establecer los controles que sern aplicados por los Grupos de auditora interna o externa.
Criterios de aceptacin del servicio Plan de proyecto de transicin a la operacin
THO-3 Ejecutar el Plan de proyecto de transicin a la operacin

Asegurar que la transicin del servicio nuevo o modificado se haga con apego al Plan de proyecto de transicin a la operacin acordado. 1. Elaborar el Plan de uso de recursos y ejecutarlo de acuerdo al Plan de proyecto de transicin. 2. Ejecutar y controlar el avance de cada proyecto de transicin, por medio de sus los hitos o puntos de control. . 3. Planificar los cambios necesarios de una manera que asegure la integridad de los activos a medida que evolucionan en la transicin. 4. Asegurar que todos los asuntos de transicin, operacin, riesgos y desviaciones son reportados a los interesados, para tomar las decisiones adecuadas.
Plan de proyecto de transicin a la operacin (actualizado) Plan de uso de recursos
THO-4 Monitorear la transicin a la operacin y soporte

Monitorear y asegurar que la transicin del servicio nuevo o modificado se haga con apego al Plan de proyecto de transicin a la operacin acordado. 1. Establecer el monitoreo mediante los controles e hitos definidos en la actividad THO-3. 2. Asegurar, en caso de ser necesario, que se actualizan los requerimientos de niveles de servicio., como resultado de las actividades de correccin a las desviaciones detectadas en el monitoreo (en caso de ser necesario). 3. Buscar la estandarizacin de prcticas y la automatizacin de actividades que hayan probado su efectividad y eficiencia. Informe de rendimiento del proyecto de transicin a la operacin.
Pg. 246 de 372
7.8.3.2.3
Rol
Descripcin de roles
Descripcin
Administrador de la Gestin y control del da a da sobre los equipos de trabajo y sus actividades mediante la transicin del planeacin de la transicin, coordinacin de las funciones, presupuestos, contabilidad, servicio
trato con el usuario respecto a la transicin, aseguramiento del cumplimiento del proceso y logro de los resultados esperados.
Administrador del conocimiento del servicio
Responsable del diseo, entrega, mantenimiento de la estrategia, procesos y procedimientos de Administracin del conocimiento. Es el arquitecto para la identificacin y control del conocimiento, su captura, mantenimiento y distribucin.
7.8.3.2.4
Producto
Descripcin
Plan de proyecto de transicin a la operacin
El plan establece las actividades, responsabilidades y recursos necesarios para realizar una transicin efectiva del elemento o servicio desarrollado, de forma que se cuente con los elementos necesarios y suficientes para su puesta en operacin, as como para brindar el soporte necesario, ya sea de manera directa o a travs de un tercero.
Criterios de aceptacin Son los atributos que restringen los diversos aspectos de un servicio; deben ser del servicio revisados satisfechos, para considerar que el servicio cumple con lo requerido en cada fase de su
ciclo de vida. En la transicin es fundamental la claridad de estos criterios, para autorizar la entrada en operacin del servicio. El usuario debe establecerlos con toda precisin, se encuentran documentados en el paquete de diseo de servicios.
Informe de rendimiento Reporte de avance de las actividades de transicin (Ver proceso de Administracin de del proyecto de proyectos) transicin a la operacin Plan de uso de recursos
Plan complementario al Plan de proyecto de transicin a la operacin, en el que se definen los elementos y tiempos de utilizacin de los recursos del ambiente de TIC y del paquete de liberacin en transicin.
7.8.3.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsable Frecuencia de clculo
Eficiencia en el proceso de transicin y puesta en
Medir la eficiencia del proceso en base al
Conocer los resultados del proceso mediante la
Eficiencia
De gestin
% de eficiencia =(Nmero de transiciones
UTIC
Semestral
Pg. 247 de 372

Nombre Objetivo Descripcin Dimensin Tipo Frmula Responsable Frecuencia de clculo
operacin.
numero de transiciones de acuerdo a lo planeado
relacin entre del numero de planes de trabajo concluidos en tiempo y forma y el numero de planes de trabajo ejecutados en un periodo determinado de tiempo
de soluciones tecnolgicas a la operacin con tiempo, costo y calidad previstas/ Nmero total de transiciones de soluciones tecnolgicas a la operacin efectuadas) X 100
7.8.3.4 1.1 1.2
Reglas del proceso Para toda transicin, el administrador del proceso de Transicin a la operacin, deber nombrar un responsable del Plan de proyecto de transicin a la operacin. El responsable del Plan de proyecto de transicin a la operacin deber asegurarse de que la informacin recopilada durante la ejecucin del plan tenga como fuente directa el rea que la gener y se entregue a la operacin. Toda informacin que sea transferida a la operacin y soporte, deber ser validada previamente para asegurar su calidad y efectividad. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Todos los cambios que se generen a partir del proyecto de transicin a la operacin, debern hacerse mediante el proceso de Administracin de cambios. La adicin, remocin o modificacin de elementos de configuracin relacionados con las actividades de transicin, debern ser reportadas en el proceso de Administracin de la configuracin. Documentacin soporte del proceso
1.3 1.4 1.5 1.6 1.7 1.8
7.8.3.5
Pg. 248 de 372
7.8.4. 7.8.4.1
Administracin de la configuracin Objetivos del proceso
General.-
Mantener y tener disponible la informacin funcional y tcnica relativa a las soluciones tecnolgicas, los entornos de pruebas, de calidad, de pre-operacin y de operacin para hacer eficiente la ejecucin de los procesos cuya operacin requiera acceder a los datos de configuraciones, versiones y caractersticas de los servicios.
Especficos.-
1. Identificar, registrar, controlar, auditar y verificar los datos de las soluciones tecnolgicas, los entornos de pruebas, de calidad, de pre-operacin y de operacin, incluyendo sus atributos, relaciones con otros elementos, versiones, memorias tcnicas de desarrollo y documentacin relacionada. 2. Asegurar que la informacin provista a travs de la base de datos de la configuracin (CMDB) se mantenga actualizada y accesible a los usuarios involucrados, asocindoles permisos acorde a su funcin y a los procesos en que intervienen.
Pg. 249 de 372
7.8.4.2 7.8.4.2.1

Arquitectura de los dominios tecnolgicos Principios de los dominios tecnolgicos ADT Documento de definicin del alcance del proceso
ACNF-1 Establecer el alcance del proceso
ACNF-2 Definir e identificar los activos y elementos de configuracin ACNF-3 Definir las relaciones de los activos y elementos de configuracin Definicin de elementos de configuracin Estructura de la CMDB Repositorio de conocimientos de dominios tecnolgicos ACNC ADT
Estructura de relaciones de elementos
ACNF-4 Definir la lnea base de los activos y elementos de configuracin
ACNF-5 Definir los estados del activo o elemento de la configuracin
DST
Seleccin de elementos con lnea base y mtodo para obtenerla
Catlogo de estados de elementos de configuracin Procedimiento para el uso de estado de un elemento de configuracin Plan de evaluacin Plan de auditoria Procedimiento de auditoria
Paquete de entregables Manual tcnico Manual de usuario Reporte de revisin Plan de configuracin y cambios
ACNF-6 Planear y ejecutar controles de la configuracin
OSGP
Modelo de control de la configuracin ACNF-8 Desarrollar y controlar las libreras y almacenes en la CMDB
CMDB
ACNF-7 Auditar la CMDB
Catlogo de libreras y almacenes Definicin de las libreras y almacenes Grupo de procesos de AS, OS, TE, AA y OP
Plan de auditoria a la CMDB Reporte de resultados de auditoria a la CMDB
Grupo de procesos de OS, TE, AA, OP
Pg. 250 de 372
Pg. 251 de 372
7.8.4.2.2
ACNF-1 Establecer el alcance del proceso

Descripcin
Elaborar las definiciones del alcance necesario del proceso de Administracin de la configuracin, de manera que contenga a la totalidad de los elementos y activos de TIC. Implementar y operar el proceso de Administracin de la configuracin implica disponer de recursos que son, en gran medida, proporcionales a la cantidad y complejidad de los activos y elementos que se administrarn. 1. Determinar qu activos y elementos del ambiente actual y futuro, sern administrados por el proceso de configuracin con base en las necesidades de la dependencia o entidad y considerando los recursos disponibles tales como personal, tiempo, fondos, tecnologa, cultura organizacional, madurez de los procesos que proveern y los que utilizarn la informacin recopilada, entre otros. 2. Establecer un plan de alcance por fases considerando adems de la criticidad de los activos y elementos a gestionar, sus tipos, los servicios actuales y futuros, as como el nmero de localidades, infraestructura y caracterstica de las mismas. 3. Definir los objetivos especficos mediante el proceso de Administracin de configuracin, as como los procedimientos que regirn al proceso y su base de datos de la configuracin (CMDB) 4. Seleccionar los elementos de configuracin a los que se les constituir una lnea base. 5. Decidir si se incluyen dentro del alcance del proceso, ciertos activos y elementos de configuracin que pertenecen a proveedores externos. Considerar la criticidad y participacin de esos activos y elementos en los servicios que se proveen, para tomar esta decisin. 6. Cuidar el riesgo de falta de claridad y deficiente planeacin en el alcance del proceso, que deriva en el mal uso de los recursos y en que los resultados y valor del proceso no sean los que requiere la dependencia o entidad. Documento de definicin de alcance del proceso
Factores crticos
ACNF-2 Definir e identificar los activos y elementos de configuracin

Descripcin
Factores crticos
Definir e identificar los activos y elementos de configuracin, as como sus estructuras, que se administrarn a travs del proceso, estableciendo la estructura de la CMDB, (Configuration Management Data Base). 1. Definir los atributos de los activos y elementos de configuracin. Al menos debern considerarse: identificador nico, nombre, descripcin, componentes, ubicacin, lnea base, estatus, versin, rol responsable e histrico, as como los criterios de relaciones con otros elementos y las clases y categoras que estarn disponibles para clasificar y controlar los elementos. 2. Establecer las propiedades mnimas que conformarn la lnea base de cada elemento y activo que se integrar al proceso de Administracin de la configuracin. 3. La identificacin de los activos y elementos de configuracin se realiza no slo cuando se llena por primera vez el repositorio de la configuracin, sino que se trata de una actividad continua, principalmente despus de la ejecucin de proyectos de cambios, ordenes de trabajo, liberaciones y transiciones a la operacin. 4. Establecer una convencin de nombres (nomenclatura) para los elementos y referir en el
Pg. 252 de 372

nombre la versin, clase, grupo, tipo, asegurndose de que sea corto e ilustrativo. 5. Verificar que las nomenclaturas, datos y su estructura, as como los procedimientos de recopilacin, actualizacin y despliegue de informacin de la configuracin, cumplan con las disposiciones establecidas en las leyes, y regulaciones gubernamentales y todas aquellas aplicables, incluidas aquellas que se refieren a la seguridad de la informacin. 6. De ser necesario corregir las desviaciones identificadas en el punto anterior. 7. Rehusar en la medida de lo posible las definiciones, estructuras y cdigos que pudieran ya existir en la dependencia o entidad. Utilizar cuando sea posible, herramientas tecnolgicas para la identificacin y actualizacin de elementos de configuracin, que aplica mayormente para hardware y software. 8. Decidir el procedimiento y formato de etiquetado de los elementos fsicos. 9. Comprobar que los procedimientos establecidos se apeguen a las regulaciones vigentes. 10. Desarrollar el modelo lgico del repositorio de la configuracin, en el que se describen las relaciones y posicin de un elemento de configuracin en cada estructura definida. 11. Partir de un modelo de la configuracin que vaya de lo general a lo particular, esto es desde el elemento de configuracin padre, hasta los componentes del elemento de configuracin descendiente. Definicin de elementos de configuracin Estructura de la CMDB Repositorio de conocimientos de dominios tecnolgicos
ACNF-3 Definir las relaciones de los activos y elementos de configuracin

Ubicar las relaciones entre los elementos tangibles e intangibles para lograr un mapa conceptual del ambiente y para que esta informacin apoye la toma de decisiones. 1. Definir las relaciones vlidas y las reglas que regirn las tareas relacionadas con la toma de decisiones. 2. Definir y estructurar las relaciones entre los elementos de configuracin y tambin con elementos de otros procesos y sistemas tales como Acuerdos de niveles de servicio, roles, documentacin, registros de incidentes, problemas, cambios y liberaciones, entre otros. 3. Definir las dependencias y jerarquas entre los elementos (relaciones padre-hijo), as como entre los elementos y sus componentes. 4. Determinar qu tipo de relaciones son vlidas desde el punto de vista de bases de datos: uno a uno, uno a todos, todos a uno. Estructura de relaciones de elementos
ACNF-4 Definir la lnea base de los activos y elementos de configuracin

Descripcin
Factores crticos
Identificar aquellos elementos para los que se fijarn y rastrearn lneas base. Definir lneas base permite establecer la configuracin oficial y autorizada de un elemento de configuracin, que servir como punto de referencia para controlar el ambiente operativo, as como para tener una base de copia de configuracin y de comparacin, en caso de necesitarse replicar u auditar ese elemento. 1. Definir lneas base. Considerar que los elementos de configuracin a los que se le fijarn lneas base pueden limitarse inicialmente solo a aquellos ms crticos en los servicios provistos. Posteriormente el alcance podra incrementarse segn se necesite, se madure el proceso y se disponga de recursos. Para identificar una lnea base, mediante un identificador, no usar nombres que denoten una etapa o momento, sino versiones.
Pg. 253 de 372

El punto inicial de lnea base deber ser previamente acordado con los interesados e impactados y deber validarse contra las necesidades de la dependencia o entidad. La lnea base de un elemento puede variar y adaptarse conforme se necesite. Sin embargo cualquier cambio deber ser previamente autorizado y gestionado siguiendo el proceso de Administracin de cambios. 2. Establecer procedimientos que regulen las actualizaciones o cambios a las lneas base. 3. Mantener el histrico de todas las lneas base. Pueden existir diferentes lneas base que correspondan a diferentes etapas del elemento al que pertenecen. Considerar que un elemento de configuracin puede tener ms de una lnea base vigente. Seleccin de elementos con lnea base y mtodo para obtenerla
ACNF-5 Definir los estados del activo o elemento de la configuracin

Definir los estados que podrn usarse para identificar de manera exacta y clara la condicin del elemento al momento de la consulta. 1. Todo elemento de configuracin debe referir de manera correcta y actualizada el estado actual del elemento. 2. El cambio de estado de un activo o elemento deber estar autorizado y llevarse a cabo de acuerdo al proceso de Administracin de cambios. 3. Definir el procedimiento, roles y autorizaciones que se requerirn para que un activo o elemento pase de un estado a otro. 4. Justificar y documentar todo cambio de estado. 5. Asegurar que ningn dato de un activo de TIC o elemento de configuracin retirado, sea eliminado de la CMDB. Establecer estados que indiquen una condicin de fuera de uso y que inhabiliten su uso e impidan que pueda ser relacionado con elementos activos. 6. Establecer identificadores de estados descriptivos y cortos. Ejemplos de algunos de estos estados son: En desarrollo Borrador Aprobado Activo Suspendido Fuera de uso Catlogo de estados de elementos de configuracin Criterios para el uso de estado de un elemento de configuracin
ACNF-6 Planear y ejecutar controles de la configuracin

Descripcin
Controlar la informacin recopilada y provista en el proceso de Administracin de la configuracin es de suma importancia ya que constituye una fuente para la toma de decisiones en otros procesos de la dependencia o entidad. Factores crticos 1. Generar un modelo de control de la configuracin. 2. Desarrollar un plan de control para cada herramienta que participe en el proceso de tal forma que queden alineadas con el Modelo de control de configuracin. 3. Asegurar que solo aquellos elementos de la configuracin autorizados e identificados, sean registrados CMDB. 4. Asegurar que cualquier modificacin de un elemento de configuracin y la consecuente
Pg. 254 de 372

actualizacin de su informacin en la CMDB, sea realizada siguiendo el proceso de Administracin de cambios. Modelo de control de la configuracin
ACNF-7 Auditar la CMDB

Descripcin
Auditar la informacin que la informacin contenida en la CMDB mediante la ejecucin del proceso de Administracin de la configuracin sea correcta. 1. 2. 3. 4. 5. Efectuar las auditorias despus de la implementacin del proceso o despus de la realizacin de un cambio mayor en el ambiente. Establecer un Plan de auditora siempre que se decida efectuarlas. Asegurar que las actividades de auditora se lleven de acuerdo al proceso de Operacin del sistema de gestin de procesos y mejora de la UTIC. Verificar que toda integracin o actualizacin de informacin relacionada con un elemento de configuracin, se llev a cabo segn los procedimientos establecidos en el proceso. Establecer auditorias peridicas para verificar si la informacin de la (CMDB) est correcta respecto al ambiente fsico real de la dependencia o entidad. Algunos de los aspectos que se vern involucrados pueden ser: Verificar que los elementos de configuracin que fsica o lgicamente existen en el ambiente operativo de la dependencia o entidad y en el proceso de configuraciones, se encuentren registrados en el Sistema de gestin de informacin. Confirmar que las lneas base estn siendo respetadas, segn se establecieron. Comprobar que la documentacin de liberaciones y de configuracin sea correcta antes de llevar a cabo una liberacin mediante el proceso correspondiente. Determinar si el estatus de los elementos de la configuracin en la CMDB coinciden con los estados fsicos que tienen en el ambiente productivo. Confirmar que en el ambiente productivo, slo se estn usando elementos de configuracin autorizados y registrados en la CMDB. Cualquier herramienta, equipo de prueba, dispositivos u otro elemento no registrado debe ser eliminado, o registrado a travs del proceso de cambios. Investigar los hallazgos relacionados con elementos no registrados y no autorizados y considerar acciones correctivas para tratar posibles fallas en procedimientos y comportamiento del personal. Registrar y reportar en el documento Reporte de resultados de auditora a la CMBD, los resultados de la auditora, incluyendo la totalidad de las excepciones encontradas. Plan de auditora a la CMBD Reporte de resultados de auditora a la CMBD.
Factores crticos
6. 7.
8.
ACNF-8 Desarrollar y controlar las libreras y almacenes en la CMDB

Descripcin
Controlar los elementos utilizados para la entrega de servicios. Una parte de esos activos se encuentra resguardada en repositorios fsicos y lgicos, referidos como libreras y almacenes, mediante los cuales se ponen disponibles para su uso en el ambiente operativo. Factores crticos 1. Integrar o desarrollar los repositorios lgicos y fsicos de configuraciones tales como la librera segura, librera definitiva de medios, almacn seguro, repuestos definitivos y dems repositorios que se precisen, en el proceso de Administracin de la configuracin.
Pg. 255 de 372

2. Desarrollar procedimientos para la actualizacin en el Sistema de administracin de la configuracin, de la informacin que se derive de los repositorios. 3. Establecer las regulaciones para el acceso a la informacin, diferenciando los privilegios que por rol sean definidos. 4. Implementar controles para la seguridad de los repositorios lgicos y fsicos, que debern estar sujetos a las regulaciones de seguridad vigentes. Catlogo de libreras y almacenes Definicin de las libreras y almacenes
7.8.4.2.3
Rol
Descripcin de roles
Descripcin
Administrador de activos de servicio
Responsable del proceso de Administracin de la configuracin
Analista de la CMDB
Alinea las actividades del proceso a los intereses de la dependencia o entidad Gestiona el Plan de administracin de activos Acuerda convenciones de identificacin Acuerda las interfases con otros procesos Es responsable de la base de datos de activos Gestiona los reportes relacionados a activos Audita las actividades del proceso Evala las soluciones tecnolgicas de gestin de activos Identifica y da seguimiento a mejoras del proceso Alinea las actividades del proceso a los intereses de la dependencia o entidad Evala las soluciones tecnolgicas de gestin de configuracin Acuerda las interrelaciones con otros procesos del Marco rector Establece el alcance del proceso de Administracin de la configuracin Recluta y capacita al personal involucrado en el proceso Evala las herramientas de configuraciones Acuerda acerca de la identificacin y rastreo de los elementos de configuracin Es responsable del Sistema de administracin de la configuracin (CMS) Asegura la disponibilidad de recursos para mejoras Es responsable de la CMDB Gestiona los reportes relacionados con configuraciones Audita las actividades del proceso Evala las soluciones tecnolgicas de gestin de configuraciones Identifica y da seguimiento a mejoras del proceso Desarrolla estndares de activos, configuraciones y libreras Desarrolla procedimientos Capacitacin del personal involucrado Soporte del desarrollo y despliegue de configuraciones Colabora en las evaluaciones de impacto con motivo de cambios Participa en auditoras Da mantenimiento a los estatus de los elementos de configuracin
Pg. 256 de 372

Administrador de la CMDB
Controla la recepcin, identificacin, resguardo y retiro de los elementos de configuracin. Provee informacin acerca de los estatus de los elementos de configuracin. Evala las herramientas de activos y de configuracin recomendaciones sobre stas. Evala el desempeo de las soluciones tecnolgicas de configuraciones. Aplica los estndares definidos para activos y configuraciones. y realiza y
Administrador del sistema de administracin de la configuracin CMS
activos
7.8.4.2.4
Producto
Descripcin
Documento de definicin de alcance para el proceso de administracin de la configuracin Definicin de elementos de configuracin
Documento con los objetivos especficos que se pretende alcanzar por fases, considerando activos, elementos de configuracin y servicios.
Especificacin de la estructura y atributos de los activos y elementos de configuracin para administrar en el proceso. Se detallan las propiedades mnimas de los elementos de configuracin al inicio y durante la ejecucin del proceso de Administracin de la configuracin. Estructura de la CMDB Refiere la estrategia y arquitectura que ser la base para construir, organizar y gestionar la informacin en la CMDB. Estructura de Documento con la estructura de configuracin, dependencias, jerarquas y relaciones relaciones de entre los elementos de procesos, sistemas, servicios, etc. Comprende todos los elementos activos tangibles e intangibles de la Base de Datos de Configuraciones. Seleccin de Documento donde se describen los elementos de configuracin que estarn sujetos a elementos con lnea un esquema de lneas base, as como la estrategia y procedimiento para establecer, base y mtodo para actualizar y controlar las lneas base que se establezcan.
obtenerla Catlogo de estados de elementos de configuracin Criterios para el uso de estado de un elemento de configuracin Modelo de control de la configuracin Plan de auditora a la CMBD Reporte de resultados de auditora a la CMBD Catlogo de libreras y almacenes
Estados definidos que identifican y describen la condicin de un elemento. Estos estados son cortos pero descriptivos. Especificaciones para asignar un estatus y generar el cambio de uno a otro.
Modelo para identificar y regular la manera en que diferentes procedimientos pueden modificar un elemento de configuracin. Programacin y alcance de las revisiones que se realizarn a la CMBD Informe de los resultados de las revisiones ejecutadas a la CMBD. Documento donde se describen los activos que la dependencia o entidad resguarda en repositorios: libreras y almacenes. El objetivo de formar un catlogo es que toda la dependencia o entidad pueda tener acceso a la informacin.
Pg. 257 de 372
Producto Definicin de las libreras y almacenes Repositorio de conocimientos de dominios tecnolgicos
Descripcin
Documentos mediante los cuales se definen las libreras y almacenes que sern implementados en el ambiente de configuraciones. Repositorio con los datos e informacin que sustenta el conocimiento de un dominio, incluye el conjunto de principios, modelos, normas y estndares del dominio.
7.8.4.3
Nombre
Indicadores:
Objetivo Conocer el cumplimiento del proceso Descripcin Medir la eficacia del proceso mediante la medicin del numero de inconsistenci as encontradas en las auditorias que se efecten sobre la CMDB. Dimensin Eficacia Tipo De gestin Frmula % de inconsistenci as encontradas en la CMDB= (nmero de inconsistenci as encontradas en la CMDB/ numero total de elementos de la CMDB) X 100 Responsable UTIC Frecuencia de clculo Semestral
Cumplimiento del proceso de administraci n de la configuracin
7.8.4.4 1.1
Reglas del proceso Los productos que entrega el proceso de Administracin de la configuracin son la fuente nica y oficial de informacin acerca de los elementos y activos del ambiente operativo de la dependencia o entidad. La informacin contenida en la Base de Datos de Configuraciones (CMDB) es confidencial y propiedad de la dependencia o entidad para su uso interno por usuarios autorizados por el titular de la UTIC y el responsable de la CMDB. Las actividades implcitas en el proceso de configuraciones, principalmente aquellas relacionadas con la modificacin de la informacin contenida en la CMDB, estn reservadas nicamente para el personal que participa en el proceso de configuraciones mediante un rol asignado con esos privilegios. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Las actividades respecto a la Administracin de los activos debern observar tambin las leyes gubernamentales que apliquen.
Pg. 258 de 372
1.2
1.3
1.4 1.5 1.6 1.7

1.8 Cualquier proceso o actividad que modifique cualquier elemento o activo del ambiente operativo en el proceso, estar obligado a comunicar dichos cambios a los responsables del proceso de configuraciones. Cualquier consulta de informacin a la CMDB se har mediante los procedimientos definidos para este fin en el proceso de configuraciones. La informacin de los elementos y activos contenida en la CMDB deber ser verificada de manera peridica contra los elementos que componen el ambiente operativo de la dependencia o entidad, con fines de seguridad de la informacin, de continuidad de la operacin y de auditora. La informacin de los elementos y activos del ambiente productivo que pertenezcan a proveedores pero estn en el alcance del proceso de Administracin de la configuracin se debern sujetar a este proceso, a sus reglas de operacin as como a los procedimientos que deriven de este proceso. Todo elemento o activo del ambiente productivo y gestionado mediante el proceso de Administracin de la configuracin, deber estar relacionado con un servicio que se proporcione en la dependencia o entidad. Toda modificacin a la estructura de la CMDB, a cualquiera de los elementos que la definen y controlan, a las polticas, a la definicin de roles, a las actividades y procedimientos, deber gestionarse mediante el proceso de Administracin de cambios. Cuando un elemento o activo del ambiente productivo sea retirado del entorno fsico de la dependencia o entidad, su informacin en la CMDB no deber ser borrada, se pasar a un estatus de inactividad. La informacin contenida en la CMDB deber estar disponible para consulta de los procesos autorizados para hacerlo. Deber existir, bajo los mismos mecanismos de seguridad y control que la CMDB de produccin, una CMDB para los ambientes de desarrollo, pruebas y preproduccin. Documentacin soporte del proceso
1.9 1.10
1.11
1.12
1.13
1.14
1.15 1.16
7.8.4.5.
Pg. 259 de 372
7.9 7.9.1 7.9.1.1
OPERACIN DE SERVICIOS Operacin de la mesa de servicios Objetivos del proceso
General.-
Establecer y operar un punto nico de contacto para que los usuarios de los servicios hagan llegar sus solicitudes de soporte, recibirlas, registrarlas, clasificarlas, categorizarlas, atenderlas y documentarlas.
Especficos.-
1. Gestionar el ciclo de vida de los soportes que se prestan a la dependencia o entidad. 2. Generar y distribuir la informacin de los procesos realizados por la mesa de servicio, para la toma de decisiones. 3. Solucionar el mayor nmero de solicitudes de soporte en los primeros niveles de soporte para reducir su tiempo de resolucin y costo.
4. Medir la satisfaccin del usuario final con respecto al uso de los servicios provistos y difundir los resultados.
Pg. 260 de 372
7.9.1.2. 7.9.1.2.1
OMS-1 Establecer un punto nico para la gestin de las solicitudes de soporte
Plan de comunicacin del punto nico para la gestin de las solicitudes
OMS-2 Definir la solicitud de soporte, sus tipos y estados
Informacin bsica para el registro y atencin de solicitudes de soporte Documento de definicin de los tipos de solicitudes de servicio Catlogo de estados y cierre de la solicitud de soporte para cada tipo
OMS-3 Establecer los procedimientos para atender y solucionar las solicitudes de soporte
Procedimientos de incidentes, problemas y requerimientos de servicio Tabla de verdad de la prioridad de la solicitud de soporte para cada tipo Catlogo de las categoras de solicitud de soporte para cada tipo
Pg. 261 de 372

Mesa de servicio operando Documento con las prcticas de gestin de las solicitudes de soporte OMS-5 Identificar y registrar la solicitud de soporte
OMS-4 Establecer el esquema de operacin de la mesa de servicios
Registro de solicitud (validada)
Procesos de los grupos AS, TE, OS, OP, CN
Repositorio de solicitudes de soporte
OMS-6 Clasificar y dar soporte inicial
Narrativa de la solicitud
Encuesta o cuestionario
OMS-7 Analizar, resolver y entregar la solucin
Solucin probada Base de conocimiento OMS-10 Medir la satisfaccin del usuario
OMS-8 Evaluar y cerrar la solicitud Solicitud de soporte (canalizada) Solucin entregada
Informacin relativa a la atencin de la solicitud de soporte
Reporte de monitoreo
OMS-8 Monitorear y comunicar
Procesos de los grupos AS, TE, OS, OP, CN
Pg. 262 de 372
Pg. 263 de 372
Diagrama de flujo de actividades (continuacin)
Pg. 264 de 372
7.9.1.2.2
OMS-1 Establecer un punto nico para la gestin de las solicitudes de soporte

Establecer un punto nico a travs del cual se administre de manera centralizada el ciclo de vida de las solicitudes de soporte y que permita la evaluacin del servicio de soporte, 1. Establecer el punto nico para la recepcin y gestin de las solicitudes de soporte y realizar su difusin entre los usuarios de los servicios de TIC. 2. Definir y difundir los canales de comunicacin oficiales para la recepcin y gestin de las solicitudes de soporte (telfono, correo electrnico, formatos web, entre otros). 3. Implementar las herramientas tecnolgicas que permitan la recepcin y el ciclo de vida de las solicitudes de soporte. Plan de comunicacin del punto central para la gestin de las solicitudes
OMS-2 Definir la solicitud de soporte, sus tipos y estados

Descripcin
Factores crticos
Definir el instrumento mediante el cual el usuario de activos y servicios de TIC requerir el del apoyo de la mesa de servicios para satisfacer una necesidad en forma de servicio o aprovisionamiento de activos de TIC. 1. La solicitud deber contener la informacin mnima necesaria para que sea posible registrarla y gestionarla, por lo que es necesario definir la informacin que se requiere del usuario solicitante 2. Definir los datos mnimos que se requieren del usuario, tales como nombre y datos generales de contacto. 3. Definir qu autorizaciones previas debe obtener el usuario para hacer la solicitud. 4. Solicitar informacin a las reas operativas sobre la informacin mnima suficiente para poder diagnosticar adecuadamente un incidente, requerimiento, problema o cambio. 5. Identificar elementos coincidentes de la informacin proporcionada por las reas operativas. 6. Identificar informacin crtica y particular, para que un rea operativa en particular, atienda la solicitud. 7. Realizar los ajustes necesarios para estandarizar la recopilacin de informacin. 8. Definir los tipos de solicitudes que estarn disponibles para la clasificacin del caso. Podrn considerarse los siguientes tipos: Incidente Requerimiento de servicios Problema 9. Definir los estatus que reflejen los diferentes estados por los que puede pasar un registro durante su ciclo de vida. 10. Los estatus de la solicitud debern estar disponibles en la herramienta habilitadora del proceso para su uso y debern poderse cambiar conforme se requiera. 11. Definir las reglas que aplicarn para el cambio de estado de una solicitud en la herramienta de software para la gestin de las solicitudes. Informacin bsica para el registro y atencin de solicitudes de soporte Documento de definicin de los tipos de solicitudes de servicio Catlogo de estatus y cierre de la solicitud de soporte para cada tipo
Pg. 265 de 372

OMS-3 Establecer procedimientos para atender y solucionar las solicitudes de soporte
Descripcin
Factores crticos
Los procedimientos especficos para atender y solucionar las solicitudes de soporte deben definirse, para darles el tratamiento adecuado. Debern definirse procedimientos para atender, principalmente, incidentes, requerimientos de servicios y problemas. 1. Definir el procedimiento para la atencin de incidentes. Definir la naturaleza de los incidentes. Definir la clasificacin y categorizacin de los incidentes. Las categoras de las solicitudes deben describir el rubro que ser afectado, por ejemplo procesos, documentacin, hardware, software, aplicaciones, entre otros. Las categoras deben establecerse en una estructura de rbol. Definir el ciclo de vida de los incidentes. Establecer procedimientos para la investigacin y diagnstico de los incidentes. Establecer procedimientos para la solucin de los incidentes y restauracin del servicio. Establecer el impacto del incidente en los procesos de la dependencia o entidad, identificando requerimientos de servicio, configuraciones, cambios, SLA, entre otros. Definir los cdigos de cierre. Generar repositorios de conocimiento y disponer de ellos, para la solucin de incidentes. Establecer procedimientos de escalamiento jerrquico y funcional. 2. Definir el procedimiento para la atencin de requerimientos de servicio. Definir la clasificacin y categorizacin de los requerimientos de servicio. Definir el ciclo de vida de los requerimientos de servicio. Establecer procedimientos para responder a los requerimientos de servicio. Generar las interfaces con el resto de procesos de la dependencia o entidad tales como configuraciones, cambios, SLA, entre otros. Definir los cdigos de cierre. Generar y disponer de documentacin gua para la atencin de las solicitudes. Establecer procedimientos de informacin a superiores jerrquicos y funcionales. Definir una matriz de autorizacin de requerimientos. 3. Definir el procedimiento para la atencin de problemas. Definir los criterios para identificar e informar a superiores sobre los problemas. Definir la clasificacin y categorizacin de los problemas. Definir el ciclo de vida de los problemas. Establecer procedimientos para la investigacin y diagnstico de los problemas, con base en metodologas probadas para la identificacin de causas raz. Establecer procedimientos para la solucin de los problemas y restauracin del servicio. Generar las interfaces con el resto de procesos de la dependencia o entidad tales como incidentes, configuraciones y cambios. Generar y compartir la base de datos de errores conocidos con el proceso de incidentes. 4. Definir procedimientos para determinar el impacto y la urgencia de los incidentes, requerimientos de servicio y problemas, mediante una tabla de verdad. El impacto no deber deducirse considerando nicamente un enfoque cuantitativo. Determinar la urgencia estableciendo la medicin del tiempo que tomar en aparecer un impacto en la dependencia o entidad. 5. Asegurar que todos los usuarios de las soluciones tecnolgicas, servicios y bienes de TIC
Pg. 266 de 372

conozcan las responsabilidades inherentes a su uso, solicitud y resguardo, otorgados mediante la entrega de nombres de usuario y contraseas, as como por el equipamiento propio del cargo.
Procedimientos de atencin de incidentes, de problemas y de requerimientos de servicio Catlogo de las categoras de solicitud de soporte para cada tipo. Tabla de verdad de priorizacin de las solicitudes de soporte.
OMS-4 Establecer el esquema de operacin de la mesa de servicios

Definir la forma en que la mesa de servicios estar estructurada, tanto jerrquicamente como en lo referente a las herramientas y personal. 1. Definir la cantidad de personal necesario para integrar la mesa de servicio, con base en el nmero de usuarios a atender, el volumen anticipado y distribucin de solicitudes y el horario de operacin de la dependencia o entidad.. 2. Definir el perfil del personal que se requerir para integrar la mesa de servicio considerando la complejidad y especializacin del ambiente operativo, los SLA comprometidos y los recursos disponibles, tales como tiempo y costos. 3. Definir la forma en que la mesa de servicios interactuar con los administradores de otros procesos. 4. Definir las prcticas de gestin de las solicitudes en todo el ciclo de vida. 5. Promover la mesa de servicios como nico punto de contacto para la recepcin de solicitudes. 6. Documentar todos los procedimientos de atencin a solicitudes. 7. Contar con todos los catlogos y las clasificaciones adecuadas, aprobadas y conocidas por el personal de la mesa de servicio. 8. Establecer una herramienta habilitadora de las funcionalidades de registro, correlacin, flujo de trabajo, manejo de alertas y seguridad, que permita que en su conjunto, los procesos asociados a la mesa de servicio, se realicen de forma gil y eficiente en un repositorio de datos. 9. Establecer mecanismos de comunicacin giles para la interrelacin entre la mesa de servicios y los usuarios. Mesa de servicio operando Documento con las prcticas de gestin de las solicitudes de soporte Repositorio de solicitudes de soporte
OMS-5 Identificar y registrar solicitud de soporte

Como parte operacional, las solicitudes deben ser identificadas y registradas. 1. Los usuarios son responsables de identificar y registrar las solicitudes, bajo los esquemas previamente definidos 2. La mesa de servicios recibe continuamente dichas solicitudes y las registra. 3. Asegurar el correcto registro de cada solicitud (mediante la identificacin del tipo de solicitud). Esta revisin de cada solicitud puede ser suficiente, requerir informacin adicional o incluso que el usuario vuelva a elaborarla. Repositorio de solicitudes de soporte Registro de solicitud (validada)
OMS-6 Clasificar y dar soporte inicial

Descripcin
Una vez registrada la solicitud, la mesa de servicios debe realizar una clasificacin inicial y
Pg. 267 de 372

basndose en ella y en la informacin de la solicitud, determinar, en primer lugar, el tipo de solicitud, en segundo lugar, establecer una prioridad y finalmente debe tratar de dar el soporte inicial, para con ello concretar y acotar los trminos y requerimientos de la solicitud. 1. Haber establecido catlogos con pocos niveles de profundidad, para facilitar la gestin. 2. Haber establecido categoras adecuadas, homogneas y claras, que realmente reflejen las variantes de las solicitudes tanto por tipo como por detalle y granularidad, buscando el equilibrio entre lo general y lo detallado. 3. Contar con personal suficiente, adecuadamente entrenado y con el perfil requerido para laborar en la mesa de servicios. 4. Contar con una herramienta habilitadora que facilite y agilice las actividades de esta prctica. Repositorio de solicitudes de soporte Narrativa de la solicitud
Factores crticos
OMS-7 Analizar, resolver y entregar la solucin

Cuando la solicitud se ha categorizado y priorizado, debe analizarse y plantearse la mejor forma de dar solucin a la solicitud. 1. Contar con los procedimientos formalmente liberados y en operacin, para asegurar la eficiencia en las actividades de anlisis, planteamiento, pruebas y entrega de la solucin. 2. Dentro del perfil del personal, debe considerarse la capacidad de organizarse y establecer actividades con sus iguales, con miras a agilizar la investigacin y diagnstico. 3. Contar con fuentes de informacin organizadas y con contenido de calidad, que ayuden a identificar y establecer las mejores soluciones con prontitud y certeza. 4. En caso de requerirse una investigacin, sta se debe realizar consultando las fuentes necesarias de informacin, en este caso se debe involucrar a equipos con mayor experiencia en el tema a que refiera la solicitud 5. Asegurar el apego a los tiempos establecidos de respuesta y para informar a superiores funcionales y/o jerrquicos. Solucin probada Base de conocimiento Informacin relativa a la atencin de la solicitud de soporte
OMS-8 Evaluar y cerrar solicitud

Descripcin
Factores crticos
Una vez atendida la solicitud de soporte, el personal que entrega la solucin debe evaluar si todo se ha resuelto y debe sealar su conclusin. Sin embargo, es el usuario es quien finalmente determina, si se puede cerrar la solicitud de soporte. 1. Asegurar que el personal que resuelva una solicitud de soporte realice la evaluacin del resultado de la entrega y que verifique que el servicio opere dentro de los lmites establecidos y acordados. 2. Asegurar que todas las actividades realizadas son registradas con precisin y consistencia, para construir mejores fuentes de informacin y contribuir a la administracin del conocimiento. 3. Establecer claramente los criterios para el cierre de cada tipo de solicitud de soporte. 4. Asegurar que se cuenta con un procedimiento y mecanismo para registrar la evaluacin proporcionada por el usuario. Solucin entregada
Pg. 268 de 372

OMS-9 Monitorear y comunicar
Descripcin
Factores crticos
Asegurar la ejecucin del seguimiento mediante el monitoreo, y comunicacin de los estados de las solicitudes de soporte. Estas prcticas son indispensables para alinear y enfocar los esfuerzos que permitan cumplir con los acuerdos establecidos y mantener una comunicacin constante y necesaria con los usuarios. 1. Desarrollar procedimientos para el monitoreo y comunicacin durante todo el ciclo de vida de la solicitud de soporte. 2. Crear conciencia de la criticidad de la prctica, para enfatizar la oportunidad y constancia con que debe realizarse. 3. Contar con una herramienta de software capaz de resumir y reportar constantemente los cambios en los estados de las solicitudes y las alertas relacionadas con su evolucin que permitan rastrear y dar seguimiento a cada solicitud de soporte. Reporte de monitoreo
OMS-10 Medir la satisfaccin del usuario

Descripcin
Factores crticos
Determinar la satisfaccin del usuario a travs del uso de los indicadores de desempeo de cada proceso, adems de conducir encuestas o cuestionarios de forma peridica para identificar reas de oportunidad y poder luego mejorar la atencin. 1. Haber diseado encuestas o cuestionarios pertinentes, para obtener resultados confiables. 2. Establecer claramente los objetivos, metas y propsitos de las encuestas y cuestionario asociados y difundirlos efectivamente tanto a la unidad TIC como a los usuarios. 3. Determinar y escoger la muestra representativa dentro de los usuarios, para elaborar las encuestas y/o cuestionarios. Encuesta o cuestionario Repositorio de solicitudes de soporte
7.9.1.2.3.
Rol
Descripcin de roles Descripcin Coordinar las operaciones de la mesa de servicios. Administrar el personal de la mesa de servicios. Recopilar informacin de desempeo de la mesa de servicios. Proporcionar informacin para toma de decisiones a la dependencia o entidad.Informar a superiores funcionales o jerrquicos sobre los incidentes / requerimientos. Validar que la mesa de servicio apoye al cumplimiento de los SLA acordados con los clientes
Administrador de mesa de servicios
Pg. 269 de 372

Administrador de incidentes
Administrador de requerimientos
Personal de la mesa de servicios
Equipos responsables de atender y solucionar las solicitudes
a) Trabajar coordinadamente con el Administrador de la mesa de servicios para atender los incidentes en tiempo y forma. b) Monitorear la gestin de incidentes y hacer recomendaciones de mejora. c) Desarrollar y mantener sistemas de administracin de incidentes. d) Monitorear el estado de todos los incidentes abiertos. e) Mantener a los usuarios informados sobre avance de los incidentes. f) Apoyar al Administrador de mesa de servicio para informar a superiores, si es necesario. a) Impulsar la eficiencia y la eficacia en la atencin de requerimientos de servicio. b) Coordinar con el Administrador de la mesa de servicios la atencin de requerimientos de servicio en tiempo y forma. c) Monitorear la efectividad proceso de la gestin de requerimientos y hacer recomendaciones de mejora. d) Desarrollar y mantener sistemas de administracin de requerimiento de servicios. e) Monitorear el estado y el avance hacia la resolucin de todos los requerimientos de servicio. f) Mantener a los usuarios informados sobre el avance de sus solicitudes. g) Apoyar al Administrador de mesa de servicio para informar a superiores de la solicitud. a) Responsable de la gestin de las solicitudes de soporte desde su recepcin, hasta su cierre. b) Responsable de la relacin con los usuarios a nombre de los proveedores de los servicios. c) Dueo del ciclo de vida de los incidentes y requerimientos de servicios. d) Informar a superiores jerrquicos de solicitudes de soporte que presentan un riesgo de incumplimiento de los SLA. e) Generar los reportes de desempeo de los procesos gestionados. f) Atencin a primer nivel de las solicitudes de servicio con fines de solucin. g) Informar a superiores funcionales sobre solicitudes que necesiten ser atendidas y solucionadas por equipos de especialistas. h) Dar seguimiento constante de la solicitud de soporte hasta su cierre y mantener informado del avance al usuario que la report. a) Grupos de trabajo responsables de la atencin, actualizacin, documentacin y solucin de las solicitudes de soporte asignadas, dentro de los niveles de servicio comprometidos. b) Responsable de relacionarse con los proveedores externos involucrados en la provisin de sus propios servicios. c) Informar a superiores funcionales sobre aquellas solicitudes para las que se requiera el apoyo de un proveedor externo. d) Notificar a la mesa de servicios cualquier asunto relacionado a la solicitud de soporte que atiende, incluidas solicitudes de reasignacin.
7.9.1.2.4.
Producto
Descripcin
Informacin bsica para el registro y atencin de
Listado y descripcin de los datos mnimos requeridos para registrar y gestionar cada tipo de solicitud de soporte. Esto incluye los datos del usuario y del tipo de apoyo que solicita.
Pg. 270 de 372
Producto solicitudes de soporte Documento de definicin de los tipos de solicitudes de servicio
Descripcin
Documento en el que se enlistan y describen los tipos de solicitudes de soporte que estarn en el alcance de la gestin de la mesa de servicios. Los tipos definen no slo las solicitudes posibles, sino sus caractersticas y particularidades: Incidentes Requerimientos de servicios Problemas Solicitudes de cambio Tabla donde se definen los cdigos de estatus vlidos para cada tipo de solicitud de soporte en el alcance de los procesos involucrados.
Catlogo de estatus y cierre de la solicitud de soporte para cada tipo Tabla de verdad de la prioridad de la solicitud de soporte para cada tipo Catlogo de las categoras de solicitud de soporte para cada tipo Mesa de servicio operando
Tabla para determinar la prioridad de la solicitud de soporte, a travs del impacto a la dependencia o entidad y el nivel de urgencia solicitado.
Documento donde se definen los niveles que debe cubrir una solicitud de soporte para poder ser categorizada, con base en los elementos afectados.
Documento que define a la mesa de servicio, las herramientas, personal, procesos y procedimientos requeridos para su correcta operacin.
Documento con las Documento que incluye las mejores prcticas que se deben de implementar en la mesa prcticas de gestin de servicio para la gestin de las solicitudes durante todo el ciclo de vida: de las solicitudes de Etiqueta de inicio soporte Procedimientos de atencin Narrativa de solicitud Repositorio de solicitudes de soporte Solucin entregada Base de conocimiento Encuesta o cuestionario Plan de comunicacin que del punto central para la gestin de
Etiqueta de salida Es la informacin que describe el incidente o falla que, proporcionada al personal de mesa de servicio y registrada en la herramienta para su interpretacin por el rea, permitir atender la solicitud. Son el conjunto de datos relacionados con las solicitudes, registrados en la herramienta habilitadora. Este registro va modificndose, conforme avanza la solicitud en su ciclo de vida.
Es el producto, soporte, asesora o entrega de un servicio o componente de servicio, entregado formalmente como respuesta a una solicitud de soporte. Repositorio de conocimiento (informacin y datos en sus distintas manifestaciones incluyendo: modelos, patrones, estndares, plantillas y otros artefactos) Es un documento diseado para conocer la percepcin real del usuario, sobre los servicios de la mesa de servicio. Documento donde se establece el plan para difundir el funcionamiento de la mesa de servicio, las herramientas, personal, procesos y procedimientos requeridos para su correcta operacin.
Pg. 271 de 372
Producto las solicitudes Procedimientos de incidentes, problemas y requerimientos de servicio Registro de solicitud (validada)
Descripcin
Documentos en los que se establecen las actividades para la gestin de las solicitudes de soporte, sus categoras, su ciclo de vida, as como su prioridad e impacto.
Solicitud realizada por los usuarios, con la informacin definida en el procedimiento establecido y que ha sido registrada en la herramienta habilitadora de la mesa de servicio. Se refiere a la solucin proporcionada a la solicitud de soporte, una vez probada su eficacia. Documentos que contiene toda la informacin que se gener en el ciclo de vida de la solicitud de soporte, hasta su cierre. Documento que contiene la informacin referente a las posibles no conformidades generadas en el ciclo de vida de la solicitud del soporte.
Solucin probada
Informacin relativa a la atencin de la solicitud de soporte Reporte de monitoreo
7.9.1.3
Nombre
Indicadores:
Objetivo Conocer la eficiencia con que se atienden las solicitudes en la mesa de servicios Descripcin Medir el numero de solicitudes de soporte resueltas en el tiempo comprometi do Dimensin Eficiencia Tipo De gestin Frmula % de eficiencia=(N mero de solicitudes resueltas en el tiempo comprometido / Numero de solicitudes recibidas) * 100 (Nmero de clientes satisfechos con la calidad del servicio / Nmero total de servicios proporcionados ) X 100 Responsable Administrador del proceso Frecuencia de clculo Semestral
Eficiencia de del proceso de operacin de la mesa de servicios
Satisfaccin del cliente
Conocer la satisfaccin del cliente en el proceso de operacin de la mesa de servicios
Medir el proceso en funcin del la satisfaccin de los clientes que reciben el servicio del proceso
Calidad
De gestin
Semestral
Pg. 272 de 372

7.9.1.4 1.1 Reglas del proceso La UTIC debe implantar y operar la mesa de servicios, sta deber ser el punto nico de contacto entre los usuarios de los servicios y los proveedores de los mismos para la solicitud de servicios de soporte. Toda solicitud de soporte que est dentro del alcance de los procesos de incidentes y requerimientos de servicio, as como cualquier otro tipo de solicitud que se defina dentro del alcance tal como solicitudes de cambio, debern tener como punto de entrada la mesa de servicios. La mesa de servicios es responsable del ciclo de vida de las solicitudes de soporte de los usuarios de los servicios, sean incidentes, requerimientos de servicios u otro tipo de solicitudes en el alcance de esta funcin. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Toda solicitud de soporte, sin excepcin, deber ser registrada y clasificada y deber generarse para ella un identificador nico que se le proporcionar al usuario. La mesa de servicios es responsable de difundir la informacin de los procedimientos por medio de los cuales gestiona las solicitudes de soporte (incidentes, solicitudes, problemas, cambios, configuraciones, entre otros.). Cada dependencia o entidad de la APF deber contar con una mesa de servicios de alcance institucional, para la atencin de reportes de falla y solicitudes de servicios. El rea responsable de la mesa de servicios deber poner a disposicin de los usuarios un medio para que puedan rastrear el proceso de atencin de su solicitud o reporte. El rea responsable de la mesa de servicios deber difundir a todos los usuarios, de manera constante, las disposiciones relacionadas con la operacin y los servicios de la mesa de servicios. El rea responsable de la mesa de servicios deber comunicar a los usuarios de equipos de escritorio, equipos porttiles, servicios de Internet e intranet, soluciones tecnolgicas y cualquier otro servicio de TIC; todas aquellas disposiciones aplicables a los usuarios y obtener evidencia de haberlo hecho. Las disposiciones derivarn de cada procedimiento que implante bajo los procesos del Marco rector. La UTIC deber implementar herramientas de software, va la mesa de ayuda, para analizar todos los mensajes de entrada o salida del correo electrnico, con el objeto de detectar virus informticos o contenidos maliciosos. El rea responsable del correo electrnico podr limitar total o parcialmente el acceso a una cuenta de correo determinada, as como cancelar, suspender, bloquear, respaldar o eliminar cuentas, si tuviese conocimiento efectivo de que la actividad o la informacin almacenada es ilcita o lesiona bienes o derechos de la dependencia o entidad, con independencia de las sanciones a que dieran lugar los hechos. El usuario deber ser notificado de esta limitacin va la mesa de servicios. El rea responsable del correo electrnico deber establecer y difundir va la mesa de servicios, las mejores prcticas para la seleccin de una contrasea por parte del usuario del correo electrnico.
1.2
1.3
1.4 1.5 1.6 1.7 1.8
1.9 1.710 1.11
1.12
1.13
1.14
1.15
Pg. 273 de 372

7.9.1.5 Documentacin soporte del proceso Se hace referencia en el anexo II del captulo 9, a la notacin utilizada en los diagramas del proceso.
Pg. 274 de 372
7.9.2. 7.9.2.1.
Administracin de servicios de terceros Objetivo general del proceso
General.Definir los lineamientos para desarrollar revisiones tcnicas y auditoras al proceso del proveedor, as como pruebas tcnicas del servicio, con el fin de evaluar los niveles de servicio y su cumplimiento conforme a los trminos acordados
Especficos.-
1. Asegurar la calidad del servicio prestado por terceros mediante la evaluacin del cumplimiento de los requerimientos tcnicos, operativos, contractuales, SLA establecidos y procesos acordados. 2. Planear, ejecutar y dar seguimiento a revisiones tcnicas durante el desarrollo de los servicios. 3. Auditar los procesos del proveedor para desarrollar un servicio, asegurando el cumplimiento de los niveles establecidos en los acuerdos contractuales.
Pg. 275 de 372
7.9.2.2 7.9.2.2.1
APV
Copia de contrato Lista de verificacin de compromisos contractuales
AST-1 Planear las actividades de administracin de servicios Plan de administracin de servicios de terceros AST-2 Auditar los procesos para la prestacin del servicio
Reporte de no conformidades de auditoria
AST-3 Ejecutar revisiones tcnicas a componentes del servicio
Reporte de revisiones tcnicas a componentes del servicio
APV
AST- 4 Realizar pruebas tcnicas de la prestacin del servicio
Reporte de pruebas a la prestacin del servicio suministrado por terceros
AST- 5 Registrar y evaluar los resultados
AD
Reporte de evaluacin del servicio suministrado por terceros
AST-6 Comunicar y monitorear los resultados de la evaluacin de servicios
Informe de medicin y anlisis
Planes de mejora para el servicio suministrado por terceros
AD, APV
Pg. 276 de 372
Pg. 277 de 372
7.9.2.2.2.
AST-1 Planear las actividades de administracin de servicios

Planear las actividades y recursos necesarios para ejecutar la administracin de servicios a terceros. 1. Identificar las actividades de evaluacin de servicios de terceros que debern ser ejecutadas para asegurar el cumplimiento del contrato establecido. 2. Contemplar las revisiones tcnicas del servicio, en las que se evalan los componentes del sistema para la prestacin del servicio y asegurar que tienen la capacidad, escalabilidad y modularidad para prestar el servicio. 3. Considerar auditoras a procesos, en las que se evale el desarrollo del servicio conforme a los procesos establecidos. 4. Realizar pruebas tcnicas para asegurar que los resultados de la prestacin del servicio son consistentes con los acuerdos contractuales establecidos y los reportes entregados. 5. Identificar los recursos necesarios para la ejecucin de las actividades de evaluacin de niveles de servicios. 6. Generar un cronograma donde se definan las actividades y recursos materiales y humanos necesarios para realizar las actividades de administracin de servicios de terceros, para el aseguramiento del cumplimiento de SLA. Plan de administracin de servicios de terceros
AST-2 Auditar los procesos para la prestacin del servicio

Evaluar el apego a los procesos, durante el desarrollo del servicio, conforme a lo establecido en los acuerdos contractuales. 1. Establecer los procesos de los servicios del proveedor que sern auditados. 2. Identificar los criterios a utilizar para la ejecucin de la auditora a los procesos y servicios, dichos criterios debern contemplar: Procesos a evaluar. Requerimientos tcnicos y operativos del servicio. Acuerdos contractuales establecidos. 3. Evaluar objetivamente los procesos y productos o comparando los procesos ejecutados en la prestacin del servicio y las descripciones tcnicas y operativas aplicables de los procesos; o desarrollados contra las caractersticas tcnicas definidas. 4. Identificadas registrar los hallazgos o desviaciones de los procesos. 5. Comunicar al proveedor y al responsable de la administracin del contrato las no conformidades o desviaciones identificadas. 6. Establecer los planes de accin correspondientes a la solucin de los hallazgos o desviaciones detectadas. 7. Dar seguimiento a la ejecucin de los planes de accin definidos por el proveedor y asegurar el cierre de los hallazgos o desviaciones resultantes. 8. Establecer registros de los resultados de las auditoras y del resultado de las actividades de monitoreo ejecutadas. Reporte de no conformidades de auditora
Pg. 278 de 372

AST-3 Ejecutar revisiones tcnicas a componentes del servicio
Descripcin
Factores crticos
Seleccionar componentes del servicio para evaluar los aspectos tcnicos y operativos establecidos para el desarrollo del servicio, con el objetivo de asegurar que el servicio cuente con la funcionalidad y las capacidades necesarias para cubrir los requerimientos establecidos en el contrato. 1. Identificar los componentes del servicio a ser revisados. 2. Establecer los criterios para ejecutar las revisiones tcnicas. Se tienen que tomar en cuenta los requerimientos tcnicos y operativos del servicio, los requerimientos contractuales y los niveles de servicio establecidos en el contrato. Estos criterios deben tener como objetivo la revisin de los componentes definidos para la prestacin del servicio. 3. Establecer las condiciones y el ambiente requerido para la ejecucin de las revisiones tcnicas a la prestacin del servicio. 4. Registrar los resultados de las revisiones efectuadas a los componentes del servicio. Reporte de revisiones tcnicas a componentes del servicio.
AST- 4 Realizar pruebas tcnicas de la prestacin del servicio

Asegurar que los servicios seleccionados cumplen con los requerimientos. 1. Definir los servicios a ser probados, conforme a lo establecido en el contrato. 2. Definir los SLA que regirn las pruebas operativas de equipo y sistema a ejecutar y los criterios aplicables conforme a los requerimientos tcnicos y operativos del servicio y requerimientos contractuales definidos. 3. Establecer los procedimientos a ejecutar para evaluar los SLA. 4. Establecer y asegurar los ambientes requeridos para la ejecucin de las pruebas. 5. Establecer los recursos y las caractersticas tcnicas para la ejecucin de las pruebas. 6. Asegurar que se tienen los recursos financieros, materiales y humanos, necesarios para la ejecucin de las pruebas. 7. Ejecutar las pruebas conforme a los criterios definidos para este efecto. 8. Establecer un registro de los resultados de las pruebas. 9. Analizar la informacin resultante de las pruebas y evaluarla en funcin de los acuerdos contractuales de servicio. Reporte de pruebas a la prestacin del servicio suministrado por terceros
AST- 5 Registrar y evaluar los resultados

Descripcin
Factores crticos
Recopilar los resultados de las evaluaciones de niveles de servicio suministrados por terceros y revisar los resultados de las auditoras a procesos y de las revisiones tcnicas a la prestacin de los servicios, comparndolos con los niveles de servicio establecidos contractualmente. 1. Recopilar y consolidar los resultados de las evaluaciones realizadas a los niveles de servicio, a los compromisos y al cumplimiento de los acuerdos establecidos, as como la informacin relacionada, para evaluar el desempeo de los servicios del proveedor, considerando los requerimientos funcionales y de capacidad ofertados. 2. Evaluar los resultados obtenidos respecto a lo establecido en los acuerdos contractuales; esta evaluacin deber de conducirse tomando en cuenta: Requerimientos funcionales y operativos del servicio. Requerimientos contractuales.
Pg. 279 de 372

Niveles de servicio establecidos. 3. Registrar los resultados de la medicin del desempeo y compararlos con lo establecido en los acuerdos contractuales. 4. Proveer la informacin necesaria a la administracin, para la gestin del contrato de servicios. 5. Proveer informacin de los resultados de cumplimiento de acuerdos contractuales del servicio de los proveedores. Reporte de evaluacin del servicio suministrado por terceros.
AST-6 Comunicar y monitorear los resultados de la evaluacin de servicios

Descripcin
Factores crticos
Dar a conocer los resultados de la evaluacin del servicio, para establecer los planes de accin que permitirn alinear las actividades de prestacin de dicho servicio, conforme a los acuerdos contractuales establecidos. 1. Recopilar y consolidar los resultados de las actividades de administracin de servicios suministrados por terceros. 2. Comunicar los resultados de la evaluacin, conforme a los medios establecidos; esta comunicacin deber darse a travs de mtodos formales y hacerse del conocimiento de todos los involucrados relevantes. 3. Registrar los acuerdos a los que se compromete el proveedor, para lograr mejorar los niveles de servicio establecidos y cumplir con lo definido en el contrato de servicio. 4. Establecer las fechas compromiso para el cumplimiento de los acuerdos. 5. Monitorear el cumplimiento de los acuerdos establecidos para el cumplimiento de los niveles de servicio y corregir las desviaciones identificadas. Planes de mejora para el servicio suministrado por terceros
7.9.2.2.3.
Rol Proveedor Auditor
Descripcin de roles
Descripcin
Es el responsable de prestar un servicio de acuerdo a un contrato establecido. Responsable de evaluar las actividades y productos intermedios desarrollados, verificando su apego a los lineamientos establecidos, conforme a lo definido en el contrato de servicios. Responsable de realizar la evaluacin tcnica y operativa de los componentes del sistema desarrollado para la prestacin del servicio. Es su responsabilidad asegurar que el componente evaluado cumpla con todas las caractersticas tcnicas, para poder realizar la prestacin del servicio, conforme a los requerimientos establecidos contractualmente.
Revisor
Pg. 280 de 372

Responsable de la prestacin de servicios
Es el responsable de coordinar las actividades y recursos necesarios para realizar los trabajos de auditora y las revisiones tcnicas de los componentes del sistema para la prestacin del servicio y de esta prestacin con respecto a los lineamientos establecidos de manera contractual. Dentro de sus responsabilidades se encuentra la planeacin de las actividades antes referidas, el establecimiento de los criterios correspondientes, as como la comunicacin y recopilacin de los resultados de la evaluacin de los SLA. Es el responsable de: Ejecutar las pruebas al sistema, equipos y procesos que lo conforman, establecidos para la prestacin del servicio, Realizar la evaluacin de los niveles de servicio correspondientes, de acuerdo a los criterios contractuales establecidos, Comunicar, registrar, consolidar y dar seguimiento a las acciones correctivas que sern registradas para efectuar la toma de decisiones que permita la mejora continua de la prestacin del servicio.
Asegurador de calidad
reas usuarias
La dependencia o entidad, las personas y subprocesos productivos, a los que se deber cubrir las necesidades operativas con l o los servicios suministrados, beneficiados con la prestacin del servicio
7.9.2.2.4.
Producto
Descripcin
Plan de administracin de servicios de terceros.
En este producto intermedio se describen las actividades a realizar para monitorear la revisin y auditora a la prestacin del servicio, as como los recursos necesarios para ejecutar las actividades y su distribucin con base en los siguientes puntos: Se establece el calendario y las responsabilidades para la ejecucin de las revisiones. Se debern registrar los criterios de evaluacin y de revisin para los productos y servicios suministrados por terceros. Se mencionan procesos a ser auditados. Se relacionan productos / servicios a ser revisados tcnicamente. Se describen procedimientos para ejecutar las revisiones tcnicas de la prestacin del servicio. En este documento se registran las desviaciones o no conformidades detectadas, en las actividades realizadas, cotejadas contra lo establecido en los procesos y se considera: Desviaciones detectadas. Proceso/producto o servicio no cumplido. Plan de accin. Fechas de compromisos. Responsable de la aplicacin del plan de accin. Responsable de la ejecucin de la auditora. Seguimiento al cierre de las no conformidades. Estatus de las no conformidades.
Pg. 281 de 372
Reporte de no conformidades de auditora
Producto Reporte de revisiones tcnicas
Descripcin
Reporte de pruebas a la prestacin del servicio suministrado por terceros.
En este producto resultante de la revisin tcnica, emitido por el revisor, se registra lo siguiente: Criterios utilizados para las revisiones tcnicas a los componentes y proceso del servicio. Informacin del componente/ proceso revisado. Desviaciones o no conformidades identificadas. Repercusiones en los acuerdos contractuales establecidos. Acciones de correccin recomendadas por el revisor. Planes de accin propuestos. Acciones inmediatas. En este producto se tiene el registro de los resultados de las pruebas realizadas para evaluar el cumplimiento de los acuerdos contractuales del servicio, debe contener lo siguiente: Objetivo de las pruebas. Ambiente requerido y utilizado para la ejecucin de las pruebas. Recursos involucrados en la ejecucin de las pruebas. Procedimientos de evaluacin. Escenarios probados. SLA comprobados. SLA resultantes. Desviaciones o no conformidades identificadas. Estatus de las pruebas. Documento en el que se recopilan los resultados de las evaluaciones del cumplimiento de los servicios de terceros, contemplando todas las desviaciones detectadas en las diferentes revisiones realizadas al servicio, incluyendo las posibles soluciones a las no conformidades. Documento donde el proveedor define los compromisos que asume con respecto al incumplimiento de los SLA y de las no conformidades detectadas; en l se describen las acciones correctivas para dar cumplimiento a los acuerdos contractuales establecidos. Desviacin o no conformidad. Plan de accin. Responsable. Fecha compromiso.
Reporte de evaluacin del servicio suministrado por terceros Planes de mejora para el servicio suministrados por terceros
7.9.2.3
Nombre
Indicadores:
Objetivo Conocer los resultados del proceso en cuanto a compromisos Descripcin Medir la eficiencia del proceso mediante el numero de Dimensin Eficiencia Tipo De gestin Frmula % de eficiencia=(( Nmero de no conformidade Responsable Administrador del proceso Frecuencia de clculo Semestral
Resultados del proceso de administracin de servicios a terceros
Pg. 282 de 372

Nombre
Objetivo contractuales de los proveedores
Descripcin no conformidad es corregidas en las revisiones efectuadas
Dimensin
Tipo
Frmula s corregidas en revisiones a los compromisos contractuales, entregables y servicios) / (Nmero de no conformidade s detectadas en las revisiones efectuadas)) X 100) % de eficacia=((( Nmero de revisiones tcnicas efectuadas a los servicios de terceros)/ (nmero de revisiones tcnicas planeadas a los servicios de terceros)) x 100)
Responsable
Cumplimiento a revisiones tcnicas
Conocer el cumplimiento de las revisiones tcnicas planeadas a los servicios de terceros
Medir la eficiencia del proceso mediante el nmero de revisiones efectuadas a los servicios de terceros
Eficiencia
De gestin
Semestral
7.9.2.4 1.1
Reglas del proceso La UTIC debe efectuar revisiones tcnicas y auditoras para identificar el cumplimiento de los requerimientos contractuales, tcnicos y operativos del servicio, acuerdos de niveles de servicio, procedimientos y prcticas en el desarrollo del servicio suministrado, comparados a los establecidos para estos efectos en el contrato correspondiente. Los resultados de las revisiones y auditoras, as como las fechas compromiso, deben comunicarse responsable de la adquisicin, para que ejecute las acciones que correspondan de acuerdo a lo establecido en la adquisicin o contratacin del servicio correspondiente. En los contratos con terceros deben quedar asentados los procesos del proveedor que sern auditados y los criterios que se aplicarn. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Las actividades de seguimiento al cierre de las no conformidades detectadas deben ejecutarse
Pg. 283 de 372
1.2
1.3 1.4 1.5 1.6 1.7

formalmente y su resultado debe informarse a los involucrados. Se desarrollarn actividades de verificacin a los servicios, de acuerdo a los SLA establecidos de manera planificada o imprevista, conforme a las necesidades de la dependencia o entidad. Cualquier cambio a los SLA prestados por terceros debe evaluarse y ser acordado por las partes involucradas, con objeto de preparar la resolucin correspondiente y proceder con la solicitud de cambio a las condiciones originales del servicio, la cual deber justificar cualquier afectacin a los criterios de evaluacin establecidos por los auditores y revisores. La solicitud referida debe hacerse del conocimiento del prestador del servicio, administrador y reas usuarias, mediante medios formales u oficiales. En las revisiones y auditoras deben considerarse los aspectos de seguridad, para que el servicio proporcionado por terceros y el intercambio de informacin entre stos y la dependencia o entidad cumplan con los requerimientos de seguridad establecidos.
1.8 1.9
1.10
7.9.2.5
Pg. 284 de 372
7.9.3.
7.9.3.1. General.-
Administracin de niveles de servicio

Objetivos del proceso
Definir, comunicar y cumplir con los niveles de servicio comprometidos. Especficos. 1. 2. Asegurar que se definan los SLA y OLA para los servicios existentes en el catlogo de servicios. Asegurar que los SLA y OLA permitan cumplir con los estndares de servicio de la dependencia o entidad. 3. Asegurar la existencia de compromisos SLA y OLA medibles y acordes a la capacidad tecnolgica instalada. 4. Asegurar que la UTIC, usuarios y proveedores del servicio de TIC conozcan los niveles de servicio que sern entregados. 5. Asegurar que se cumplan los niveles de servicio definidos.
Pg. 285 de 372
G7.9.3.2
7.9.3.2.1
Mapa general del proceso
Usuario
Requerimientos de servicios
ANS-1 Crear y mantener acuerdos de niveles de servicio
Portafolio de servicios de TIC
APS
DSTI
Paquete de diseo del servicio
Acuerdos de niveles de servicios Acuerdos de niveles operativos Contratos de soporte
ANS-2 Monitorear y reportar el grado de cumplimiento de los niveles de servicio OMS
Encuesta o cuestionario Reporte de monitoreo Repositorio de solicitudes de soporte
Reportes de niveles de servicio alcanzados Mtricas para la medicin y anlisis de los servicios de TIC
AD
ANS-3 Realizar revisiones a los servicios
Reporte de revisin de servicios
AD
ANS-4 Formular el Plan de mejora de servicios
Plan de mejora de servicios
OSGP, AD, ACMB
Pg. 286 de 372
Pg. 287 de 372
7.9.3.2.2
ANS-1 Crear y mantener acuerdos de niveles de servicio

Descripcin
Factores crticos
Definir los SLA basados en el catlogo de servicios de las UTIC, de acuerdo con los requerimientos de la operacin y las necesidades de los usuarios de cada uno de los servicios definidos 1. Definir los SLA en concordancia con los objetivos estratgicos de la dependencia o entidad, con la capacidad de entrega del servicio y con los planes de disponibilidad y operacin.
2. En la documentacin de los SLA, incluir una descripcin de los servicios y tiempos

de respuesta. Asegurar que todos los SLA puedan ser monitoreados y medidos.
3. Acordar los SLA con todos los interesados, incluyendo al usuario, antes de que el
contenido pueda ser aprobado.
4. Actualizar los SLA, de acuerdo a las necesidades de la dependencia o entidad bajo

un control de cambios.
5. Establecer los OLA entre la UTIC, los usuarios y los proveedores de servicio
externos, para asegurar apropiadamente el logro de los SLA establecidos.
Acuerdos de niveles de servicios Acuerdos de niveles operativos Contratos de soporte
ANS-2 Monitorear y reportar el grado de cumplimiento de los niveles de servicio

Elaborar reportes de resultados sobre el grado de cumplimiento de los SLA. Esta actividad sigue las directrices del proceso de Administracin del desempeo de TIC. 1. Determinar las necesidades de mtricas basndose en los SLA comprometidos. Incluir retroalimentacin de los clientes y/o usuarios. Especificar los procedimientos de recoleccin y almacenamiento, as como el procedimiento de anlisis. Determinar los reportes e informes que sern usados para comunicar los resultados. Recolectar y revisar los datos de medicin. Elaborar informes de medicin y anlisis.
Reportes de niveles de servicio alcanzados Mtricas para la medicin y anlisis de los servicios de TIC
ANS-3 Realizar revisiones a los servicios

Descripcin
Utilizar los reportes de logro de niveles de servicio, para identificar y revelar reas de oportunidad, existentes o potenciales, entre los niveles de servicios entregados y los requeridos.
Pg. 288 de 372

Factores crticos
Revisar y comparar los SLA y los resultados de entrega de servicio, en sesiones formales de revisin. Definir penalizaciones y establecer responsabilidades como consecuencia del no cumplimiento de los niveles de servicio (de ser apropiado). Recopilar y considerar los hallazgos y tendencias identificados en el anlisis, al momento de definir los dos tipos de acciones: reevaluacin de actuales niveles de servicio y mantenimiento de los niveles de servicio. Reporte de revisin de servicios
ANS-4 Formular el Plan de mejora de servicios

Recomendar mejoras a los SLA, como consecuencia de las insatisfacciones del cliente o el no cumplimiento de acuerdos establecidos. 1. Establecer el Plan de mejora de servicios, considerando lo siguiente:
La evaluacin de los resultados de los niveles de servicio, la retroalimentacin de los usuarios y las unidades de entrega de servicio son parte de las entradas para la formulacin del Plan de mejora de servicios. Las mejoras pueden tener foco en modificar los objetivos de los servicios, considerando ajustes a la entrega, monitoreo y al mismo SLA. retroalimentacin de parte de las reas tcnicas y especialistas, la que debe convertirse en parte del plan con el fin de alinear las acciones con las capacidades de la operacin.
Antes de finalizar el Plan de mejora de servicios, es necesario recopilar ms
2. Monitorear y mantener de forma regular y formal el Plan de mejora de servicios. Relacin de productos
7.9.3.2.3
Rol
Descripcin de roles
Descripcin
Gestor de niveles de servicios
Asegurar que los niveles de servicio sean identificados, acordados y documentados en SLA, as como monitorear y revisar con el cliente el desempeo alcanzado por el servicio entregado. Es el responsable de prestar un servicio de acuerdo a un contrato establecido, el cual deber establecer los lineamientos que regirn la prestacin del servicio de acuerdo a los requerimientos tcnicos y operativos del cliente y los niveles de cumplimiento del contrato de referencia.
Proveedor
Pg. 289 de 372

Auditor Revisor
Responsable de evaluar las actividades y productos intermedios, verificando su apego a los lineamientos establecidos, conforme a lo definido en el contrato de servicios. Responsable de realizar la evaluacin tcnica y operativa de los componentes del sistema desarrollado para la prestacin del servicio. Es su responsabilidad asegurar que el componente evaluado cumple con todas las caractersticas tcnicas para poder realizar la prestacin del servicio, conforme a los requerimientos establecidos contractualmente.
de
Asegurador calidad
Es el responsable de ejecutar las pruebas al sistema, equipos y procesos que lo conforman, establecidos para la prestacin del servicio, as como de realizar la evaluacin de los niveles de servicio correspondientes, de acuerdo a los criterios contractuales establecidos. Debe tambin comunicar, registrar, consolidar y dar seguimiento a las acciones correctivas que sern registradas para efectuar la toma de decisiones que permita la mejora continua de la prestacin del servicio referido. Las personas, organizaciones y subprocesos productivos, cuyas necesidades operativas deben ser cubiertas con el o los servicios suministrados y que son los beneficiados con la prestacin del servicio.
reas usuarias
7.9.3.2.4
Producto
Descripcin
Acuerdo de niveles Es conveniente estructurar los SLA ms complejos en diversos documentos de tal forma de servicio que cada grupo involucrado reciba exclusivamente la informacin correspondiente al nivel en que se integra, ya sea en el lado del usuario como del proveedor. La elaboracin de un SLA
SLA requiere tomar en cuenta aspectos no tecnolgicos, entre los que se encuentran la naturaleza de la dependencia o entidad, aspectos organizativos del proveedor y del usuario, as como aspectos culturales locales. Algunos puntos que deben ser descritos en este documento son: a) Todos los detalles del servicio brindado en un lenguaje comprensible para el usuario. b) El horario en que se proveer el servicio. c) Los costos asociados o valor del servicio. d) El dueo y el usuario del servicio.
Acuerdos de niveles operativos OLA
Documentos de carcter interno de la dependencia o entidad que determinen los procesos y procedimientos necesarios para ofrecer los niveles de servicio acordados con los usuarios. Por su naturaleza, involucran detalles sobre la prestacin del servicio que deben ser cajas negras para el usuario, pero que resultan imprescindibles a la dependencia o entidad para el cumplimiento de los SLA. Algunos puntos que deben ser considerados en este documento son: a) Las responsabilidades y compromisos de los diferentes departamentos de la dependencia o entidad en la prestacin del servicio brindado.
Pg. 290 de 372
Producto
Descripcin
b) Proceso y procedimientos internos para la entrega del servicio.

Contratos de soporte UC
Determinan las responsabilidades de los proveedores externos en el proceso de prestacin de servicios, en los que se deben incluir compromisos claros y perfectamente delimitados. Pueden considerarse como una extensin externa de los OLA en el sentido de que persiguen el mismo fin de organizar los procesos y procedimientos necesarios para la correcta provisin del servicio. Algunos puntos que deben de ser considerados en este documento son: a) Los objetivos que se requiere satisfacer para el cumplimiento de los SLA b) Condiciones y penalizaciones asociadas a la entrega del servicio.
Plan formal de implementacin de mejora de servicios y procesos de las TIC, utilizado para gestionar y dar seguimiento a las iniciativas de mejora de los servicios. Entre otros orgenes, las mejoras se derivan de iniciativas internas identificadas por el proveedor de servicio, por ejemplo, mejora de procesos o mejor utilizacin de recursos, iniciativas que requieren cooperacin del usuario del servicio, o algn SLA que ya no sea adecuado a las necesidades iniciales del usuario. Es el documento base para negociar la renovacin del SLA con el usuario y debe constituir un documento de referencia para la gestin de otros procesos de las TIC como la administracin de cambios. Algunos puntos que deben de ser considerados en este documento son: a) Las medidas correctivas a fallas detectadas en los niveles de servicio. b) Las propuestas de mejora basadas en el avance de la tecnologa. c) Los responsables y tiempos de implementacin de las acciones comprometidos.
Mtricas para la Necesidades de informacin para la evaluacin del desempeo de los servicios de TIC. medicin y anlisis Incluyen la documentacin de las mtricas y anlisis que se requieren para evaluar el de los servicios de logro de las metas de servicio establecidas en los SLA. TIC Reporte de niveles de servicio alcanzado Reporte de revisin de servicios
Informe acerca del desempeo actual y grado de cumplimiento de las metas y niveles de servicio acordados. Reporte resultado de la revisin de los niveles de servicio, incluyendo las oportunidades de mejora detectadas y las no conformidades.
7.9.3.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsable Frecuencia de clculo
Pg. 291 de 372

Nombre Resultados del proceso de administracin de niveles de servicio Objetivo Obtener el porcentaje de servicios que han mantenido su nivel de servicio dentro de valores comprometidos Descripcin Medir el cumplimiento del proceso en relacin al numero de servicios que se han mantenido en el nivel de servicio comprometido Dimensin Eficiencia Tipo De gestin Frmula % de eficiencia =(Nmero de servicios en operacin en el nivel de servicio comprometido) / (Nmero servicios en operacin) X 100 Responsable Administrador del proceso Frecuencia de clculo Semestral
7.9.3.4 1.1
Reglas del proceso La UTIC, a travs del proceso de Administracin de niveles de servicio, deber establecer niveles de servicio que correspondan al portafolio de servicios que provee, por medio de las soluciones tecnolgicas que libera a produccin. El titular de la UTIC deber designar un responsable del proceso de Administracin de niveles de servicio. El responsable del proceso de Administracin de niveles de servicio deber asegurar que los niveles de servicio se encuentran alineados a los objetivos de servicio de TIC de la dependencia o entidad. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. El responsable del proceso de Administracin de niveles de servicio deber definir procedimientos para medir y reportar el desempeo de los niveles de servicio. El responsable del proceso de Administracin de niveles de servicio deber definir un programa para la mejora c de los servicios de TIC. El responsable del proceso de Administracin de niveles de servicio deber asegurar que, al definir los niveles de servicio, se incluyan niveles de servicio en situaciones de contingencia. El responsable del proceso de Administracin de niveles de servicio deber instrumentar metodologas y herramientas que aseguren la mejora en la administracin de los servicios proporcionados.
1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10
7.9.3.5
Pg. 292 de 372
7.9.4 7.9.4.1 General.-
Administracin de la seguridad de la informacin Objetivos del proceso
Garantizar la confidencialidad, integridad y disponibilidad de la informacin mediante el establecimiento de un Sistema de gestin de seguridad de la informacin SGSI de acuerdo a las mejores prcticas internacionales Especficos.1. Asegurar que se establezca un Sistema de gestin de seguridad de la informacin en la dependencia o entidad. 2. Asegurar que la informacin sea accesible o revelada solo a quienes estn facultados. 3. Asegurar que la informacin sea exacta y est completa y protegida.
Pg. 293 de 372
7.9.4.2 7.9.4.2.1

ARTI Todos los procesos del Marco rector Directriz rectora del proceso de administracin de riesgos de TIC Servicios, procesos u activos crticos y sensibles con necesidad de proteccin de seguridad
ASI-1 Planear la seguridad de la informacin de la dependencia o entidad
Informe de resultados de anlisis de riesgos Sentencia de aplicabilidad (SOA) Directriz rectora del SGSI
ARTI
Repositorio de riesgos de TIC
ASI-2 Implantar la seguridad de la informacin de la dependencia o entidad
Plan de mitigacin de riesgos Todos los procesos del Marco rector
ASI-3 Evaluar la seguridad de la informacin de la dependencia o entidad
AD
Informe de auditorias Requerimientos de medicin y anlisis del desempeo de seguridad de la informacin Informes de medicin y anlisis (monitoreo) Resultado de las revisiones gerenciales
ASI-4 Mejorar la seguridad de la informacin de la dependencia o entidad
Planes de accin correctivos y preventivos Informe de seguimiento de las acciones correctivas y preventivas
Pg. 294 de 372
Pg. 295 de 372
7.9.4.2.2
Descripcin de las prcticas clave del proceso
ASI-1 Planear la seguridad de la informacin de la dependencia o entidad

Descripcin
Definir los objetivos y directrices de seguridad de la informacin, basados en un entendimiento de los riesgos y en requerimientos de seguridad de la dependencia o entidad. Factores crticos 1. Declarar el alcance del SGSI, que establezca lmites de proteccin desde la perspectiva de reas, procesos o activos de la dependencia o entidad, incluyendo la justificacin de lo excluido en el alcance. 2. Realizar un diagnstico de los requerimientos de seguridad de la informacin de la dependencia o entidad, a travs de la realizacin de un anlisis de riesgos de seguridad de la informacin. 3. Documentar una SoA donde se enlisten los controles de seguridad necesarios para mitigar los riesgos identificados. 4. Documentar una directriz rectora del SGSI que refleje las necesidades de seguridad percibidas por los mandos medios y superiores.
Informe de resultados del anlisis de riesgos Declaracin de aplicabilidad (SoA) Directriz rectora del SGSI
ASI-2 Implantar la seguridad de la informacin de la dependencia o entidad

Descripcin
Factores crticos
Asegurar que los controles, procesos y procedimientos del SGSI sean implementados de manera que se cumpla con los requerimientos de seguridad regulatorios y contractuales y, para mitigar los riesgos identificados. 1. Documentar un Plan de mitigacin de riegos que contenga estrategias de corto, mediano y largo plazo para enfrentar y mitigar los riesgos de seguridad de la informacin identificados. 2. Implementar los controles de seguridad identificados y documentados en la SoA.
Plan de mitigacin de riesgos
ASI-3 Evaluar la seguridad de la informacin de la dependencia o entidad

Evaluar y medir el desempeo de los procesos, en cumplimiento con la poltica y objetivos definidos en el SGSI. 1. Realizar auditoras internas/externas de seguridad para verificar la eficiencia y eficacia de los controles implementados y validar el cumplimiento de la directriz rectora de seguridad. 2. Revisar si las mtricas establecidas para evaluar los controles utilizados y determinar si fueron eficaz y eficientemente implementados, son adecuadas y proporcionan la informacin requerida. 3. Efectuar monitoreo de la seguridad de la informacin para validar intentos exitosos y no exitosos de violaciones e incidentes de seguridad. 4. Llevar a cabo revisiones gerenciales.
Pg. 296 de 372

Informe de auditoras Requerimientos de medicin y anlisis del desempeo de seguridad de la informacin Informes de medicin y anlisis (monitoreo) Resultado de las revisiones gerenciales
ASI-4 Mejorar la seguridad de la informacin de la dependencia o entidad

Descripcin
Mejorar la seguridad de la informacin a travs de la aplicacin de las acciones preventivas y correctivas, basadas en los resultados de auditoras realizadas por servidores pblicos o por terceros, con el propsito de lograr la mejora continua del SGSI. 1. Establecer los planes de accin correctivos y preventivos con la finalidad de minimizar las brechas de seguridad identificadas. 2. Implantar y dar seguimiento a los planes de accin correctivos y preventivos.
Factores crticos
Planes de accin correctivos y preventivos Informe de seguimiento de las acciones correctivas y preventivas
7.9.4.2.3
Rol
Descripcin de roles
Descripcin
Grupo de seguridad de la informacin Responsable de la seguridad de la informacin Auditores de seguridad Propietarios de la informacin
Responsable de llevar a cabo las revisiones gerenciales con el fin de aprobar las iniciativas que promuevan las acciones de mejora en el proceso de Administracin de la seguridad de la informacin y en el SGSI. Responsable de implementar los controles de seguridad en la UTIC, sus procesos, sus activos y servicios, y conducir a las reas usuarias en la implementacin de los que les correspondan. Responsables de llevar a cabo las auditoras de seguridad de la informacin, para garantizar el cumplimiento de la directriz rectora de seguridad. Responsables de asegurar que la informacin de su rea o mbito de control est adecuadamente protegida.
7.9.4.2.4
Producto
Descripcin de productos Descripcin Documenta las necesidades y requerimientos de seguridad estratgicos de la dependencia o entidad, los requerimientos de seguridad de las entidades regulatorias y los riesgos de seguridad a los que se encuentra expuesta la informacin sensible de la dependencia o entidad; deber describir al menos los siguientes aspectos: Activo
Pg. 297 de 372
Informe de resultados de anlisis de riesgos

Declaracin de aplicabilidad (SoA)
Controles implementados Vulnerabilidades Amenazas Riesgos Impactos Controles a implementar
La Declaracin de aplicabilidad (SoA, por sus siglas en ingls), documenta los objetivos de control y controles que son relevantes y aplicables al SGSI de la dependencia o entidad; debern considerarse los objetivos de control o controles en la norma ISO 27002. El documento deber describir al menos los siguientes aspectos: Objetivos de control y controles seleccionados Razones para la seleccin Objetivos de control y controles implementados Listado de objetivos de control o control que estn en ISO 27002 excluidos y su justificacin.
Directriz rectora del Sistema de gestin de seguridad de la informacin (SGSI)
Denominada tambin Poltica del SGSI, documenta los valores y las necesidades de seguridad percibidas por los mandos medios y superiores de la dependencia o entidad sobre la seguridad de la informacin. Para que la informacin, en tanto activo valioso de la dependencia o entidad, tenga el nivel de seguridad requerido por la dependencia o entidad, deber describir al menos los siguientes aspectos: Las justificaciones de la dependencia o entidad para proteger la informacin Propsito de la directriz rectora Alcance de aplicabilidad Alineacin a los objetivos estratgicos de negocio Requerimientos de negocio, legales y contractuales Roles y responsabilidades para asegurar la aplicacin y cumplimiento de la directriz rectora Consecuencias en caso de incumplimiento de la directriz rectora Marco metodolgico para la gestin de riesgos Apartado con actividades para que la directriz rectora sea conocida por todo el personal de la dependencia o entidad Un apartado donde asegure su revisin peridica Un apartado donde asegure que se realicen revisiones del cumplimiento de la directriz rectora Definicin de acciones y consecuencias aplicables por su no cumplimiento.
Plan de mitigacin de riesgos
Documenta la informacin relativa a la planeacin estratgica de seguridad de la informacin de una dependencia o entidad; deber describir al menos los siguientes
Pg. 298 de 372

aspectos:
Resultado de las revisiones gerenciales
Descripcin de la dependencia o entidad, marco regulatorio y funciones sustantivas Anlisis del ambiente externo e interno con relacin a la seguridad de la informacin Misin y visin de la dependencia o entidad Inventario de iniciativas de seguridad Portafolio de proyectos de seguridad Presupuesto de seguridad Priorizacin de iniciativas y proyectos Mecanismos de comunicacin Mecanismos de seguimiento y control
Documenta diversos aspectos relacionados con la mejora de la seguridad en la dependencia o entidad; deber describir al menos los siguientes aspectos: Mejora de la efectividad de la administracin de la seguridad de la informacin en la dependencia o entidad Actualizacin de la evaluacin de riesgos y Plan de administracin de riesgos Requerimientos de recursos Revisin del desempeo de las mtricas de seguridad Modificacin de procedimientos y controles, conforme se requiera para responder a eventos externos o internos que puedan impactar la seguridad de la informacin, incluyendo cambios en: Requerimientos de negocio Requerimientos de seguridad de la informacin Requerimientos de los procesos sustantivos de la dependencia o entidad con un efecto en los requerimientos de la dependencia o entidad existentes Ambiente regulatorio y legal Obligaciones contractuales Niveles de riesgo de seguridad y/o criterios de aceptacin de acuerdo a los niveles y umbrales de riesgo de la dependencia o entidad
Requerimientos de medicin y anlisis del desempeo de seguridad de la informacin
Describe de manera cuantitativa cmo una dependencia o entidad, a travs del uso de mtricas de seguridad de la informacin, identifica la eficiencia y eficacia de los controles de seguridad implementados; deber describir al menos los siguientes aspectos: Objetivo de la medicin
Pg. 299 de 372

Informes de medicin y anlisis (monitoreo)
Mtricas obtenidas por los mandos medios y superiores involucrados Objetos de la medicin Responsable de obtencin de la mtrica Frecuencia Objetivo de control y control asociado
Documenta informacin relativa a los accesos a las soluciones tecnolgicas y aplicaciones crticas de la dependencia o entidad. Al menos debern generarse los siguientes reportes: Intentos de acceso exitosos y fallidos a las soluciones tecnolgicas aplicaciones crticos de la dependencia o entidad Eventos e incidentes de seguridad asociados a los accesos exitosos y fallidos Actividad de los administradores de sistemas y aplicaciones Resumen de revisin de bitcoras de eventos y
Planes de accin correctivas y preventivas
Documenta soluciones de causa raz a implantar, con el fin de mitigar brechas de seguridad identificadas en la etapa de revisin. El plan debe considerar mnimo los siguientes aspectos: Descripcin del incumplimiento Riesgo que genera Impacto en la dependencia o entidad Solucin de causa raz Fecha de implantacin de la solucin (accin correctiva o preventiva) Responsable de la implantacin Responsable de verificar su cumplimiento
Informe de Documenta la confirmacin de la implementacin de las acciones correctivas y seguimiento de las preventivas. Al menos debe incluirse en el informe: acciones correctivas Hallazgos o reas de oportunidad y preventivas

Informe de auditoras
Plan de acciones correctivas o preventivas Cumplimiento de las acciones Nueva fecha compromiso (solo si no se cumplieron las acciones)
Documenta las inconformidades mayores y menores del cumplimiento de la poltica de seguridad, describe al menos los siguientes aspectos: Objetivo Alcance Exclusiones Hallazgos
Pg. 300 de 372

No conformidades (mayores y menores) Recomendaciones Equipo auditor y auditado Localizacin de los sitios auditados Conclusiones
7.9.4.3
Indicadores:
Frecuenci a de clculo Semestral
Nombre Resultados del proceso de seguridad de la informacin
Objetivo Medir los resultados de la operacin del sistema de gestin de seguridad de la informacin
Descripcin Medir la eficiencia del proceso mediante el conteo del numero de incidentes de seguridad corregidos va el SGSI
Dimensin Eficiencia
Tipo De gestin
Frmula % eficiencia= (Nmero de incidentes de seguridad corregidos mediante el Plan de acciones correctivas y preventivas del proceso y el sistema) / (Nmero de incidentes de seguridad registrados) x 100
Responsable Administrador del SGSI
7.9.4.4 1.1
Reglas del proceso La UTIC deber promover y asegurar que los mandos superiores de la dependencia o entidad apoyen las iniciativas y estrategias de seguridad a travs de: Proveer los recursos suficientes para administrar la seguridad de la informacin Definir y autorizar una directriz rectora de seguridad Establecer roles, funciones y responsabilidades de seguridad Asegurar el establecimiento de objetivos y planes de seguridad de la informacin Comunicar a la dependencia o entidad la importancia del cumplimiento de la poltica Asegurar la realizacin de auditoras de seguridad para el mejoramiento de la proteccin de la informacin La UTIC deber iniciar y controlar la implementacin de la seguridad de la informacin dentro de la dependencia o entidad a travs de la implantacin de un SGSI. El personal de la UTIC responsable de la seguridad de los recursos de TIC deber certificar que el
Pg. 301 de 372
1.2 1.3

personal externo que utilice, administre o desarrolle infraestructura y servicios cumpla con las disposiciones de este manual. La UTIC deber seguir las mejores prcticas para establecer el SGSI, de manera que se generen o adecuen los procedimientos en estricto apego a las mejores prcticas y factores crticos descritos en este proceso, para su administracin y la del SGSI. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Reglas mnimas que debern se observadas en los procedimientos de las dependencias y entidades, relacionados con la seguridad de la informacin (ordenadas por objetivo de control segn el marco ISO 27000) A.5 Poltica de seguridad 1. Todo el personal de la dependencia o entidad est obligado a operar en un ambiente de trabajo que garantice la confidencialidad, integridad y disponibilidad de la informacin, de acuerdo a las disposiciones de la presente norma. 2. Las reglas de operacin de los procedimientos de seguridad de la informacin, debern revisarse y actualizarse cuando cambien las condiciones de las soluciones tecnolgicas o cuando cambie la legislacin aplicable. A.6 Organizacin de la seguridad de la informacin 1. El personal de la UTIC responsable de la seguridad de los recursos de TIC deber certificar que el personal externo, que tenga cualquier tipo de contacto con recursos de TIC institucionales, cumpla con las disposiciones de este manual. 2. Las dependencias o entidades no otorgarn el derecho de intercambio de informacin con entidades externas en caso de que los controles identificados por la UTIC en stas ltimas no cumplan satisfactoriamente con la prevencin de los riesgos de integridad y confidencialidad de la informacin de la dependencia o entidad. 3. Se permitir al personal de los proveedores de servicios el acceso a los puntos de red nicamente con la autorizacin del responsable del proyecto o proceso en el que trabaje ese personal. 4. El personal de la UTIC con atribuciones para ello ser responsable de autorizar los accesos del personal de los proveedores de servicios y del registro correspondiente. A.7 Administracin de activos 1. Los propietarios de la informacin son los responsables de la custodia y buen uso de la informacin que se almacena, procesa y transmite dentro de las dependencias o entidades. 2. Los usuarios de TIC y, en particular los propietarios de la informacin almacenada en medios electrnicos, definirn los requerimientos de seguridad de su informacin y de sus sistemas de informacin.
Pg. 302 de 372
1.4
1.5 1.6
3. La UTIC, en conjunto con los usuarios responsables de la informacin clasificada como confidencial o reservada, determinar los esquemas de seguridad que se aplicarn para mantener su confidencialidad, disponibilidad e integridad. 4. La informacin clasificada segn la LFTAIPG como confidencial o reservada deber residir en territorio nacional. Los servicios de almacenamiento y administracin de la misma debern realizarse de igual manera dentro del territorio nacional. 5. Las UTIC y sus usuarios debern apegarse al esquema de la APF para la clasificacin de la informacin, a fin de definir sus niveles de proteccin. 6. La informacin que se genera, almacena, procesa y transmite por medios electrnicos ser almacenada, resguardada y administrada por la UTIC en funcin de la clasificacin indicada por los usuarios propietarios o responsables de ella, al momento de definir los requerimientos de las soluciones tecnolgicas o servicios de TIC que se construyan para cada usuario. 7. Las UTIC y los usuarios involucrados debern velar por que cada medio de almacenamiento desmontable o removible, con informacin clasificada como confidencial, reservada o pblica, sea etiquetado por el responsable del mismo, de acuerdo a la normatividad vigente. 8. La UTIC, en conjunto con los usuarios de la informacin almacenada en medios electrnicos clasificada como confidencial o reservada, determinarn los esquemas de seguridad necesarios para mantener su confidencialidad, disponibilidad e integridad. A.8 Seguridad de los recursos humanos 1. El usuario debe dar cumplimiento a todas las disposiciones que le sean comunicadas por la UTIC, tanto relacionadas con el uso de las soluciones tecnolgicas, los servicios de tecnologas de la informacin, como de equipos PC. Debe tambin estar al tanto de sus responsabilidades, por lo que debe firmar, bajo protesta de decir verdad, que conoce las disposiciones, el inventario de software y hardware instalado en su equipo. 2. Las UTIC debern fijar los mecanismos de seguridad de la informacin para el personal en aquellos cargos de la estructura organizacional de la UTIC donde se maneje informacin confidencial. A.9 Seguridad fsica y ambiental 1. La UTIC deber implementar mecanismos de control de acceso a las instalaciones del centro de datos, del centro de telecomunicaciones y de todas aquellas instalaciones en las que se encuentre equipo de almacenamiento, procesamiento y/o transmisin de informacin. La UTIC debe contar con mecanismos de control que permitan asegurar que el personal que ingrese a sus instalaciones cuente con la autorizacin correspondiente. 2. El personal de la UTIC que administre la infraestructura de TIC debe llevar un registro del personal y justificar el motivo de acceso a las reas en las que se encuentran estos componentes. El registro de acceso deber incluir datos que permitan la fcil localizacin del personal que ingres a las reas citadas.
Pg. 303 de 372

3. El personal de la UTIC que administre la infraestructura de TIC debe mantener actualizadas las listas de autorizacin de acceso a personal de proveedores de servicios de terceros y llevar el control de accesos presenciales y remotos indicados en el punto anterior. 4. Se permitir al personal de los proveedores de servicios el acceso a los puntos de red -incluyendo el acceso a los nodos de la red de la dependencia o entidad- solo bajo la supervisin del responsable de las instalaciones fsicas de TIC. El personal de los proveedores de servicios deber presentar identificacin oficial y de la empresa que representa al momento de solicitar el acceso. 5. El personal de la UTIC debe instalar la infraestructura de TIC en ambientes fsicos adecuados para su operacin, administracin, monitoreo y control de acceso, para minimizar las riesgos, amenazas y condiciones de operacin fuera de las especificaciones indicadas por los proveedores correspondientes. 6. Los usuarios de equipos de cmputo de escritorio deben asegurarse de utilizar y mantener cerradas las chapas de seguridad de estos equipos. Los usuarios de equipos porttiles debern asegurarse de colocar el cable y candado de seguridad correspondientes. 7. Va la mesa de servicios, el personal de la UTIC responsable de la seguridad de los recursos de TIC, se asegurar de que el equipo de escritorio, porttil, o de cualquier otro tipo, que utilizar la conexin a la red institucional se encuentre libre de virus informtico. 8. La UTIC, siguiendo el proceso de Administracin de la infraestructura fsica de TIC, deber evaluar y certificar la seguridad de las instalaciones elctricas, de comunicaciones, de sistemas contra incendios, de aire acondicionado y de otros recursos, que garanticen las condiciones adecuadas de seguridad para la operacin de la infraestructura fsica de TIC de la dependencia o entidad. 9. Las UTIC debern asegurar que los nodos de comunicaciones a las redes institucionales estn ubicados en lugares cerrados y resguardados A.10 Gestin de las comunicaciones y operaciones 1. Va la mesa de servicios, el personal responsable de la seguridad de los recursos de TIC se asegurar de que el equipo que utilizar la conexin a la red institucional se encuentre libre de virus informticos, as como de lo necesario para mantener su seguridad y la de la red institucional. 2. Los usuarios y el rea de soporte tcnico de la UTIC de forma peridica (semestral, mensual, quincenal) deben realizar copias de seguridad de la informacin crtica que almacenen en su equipo. 3. La UTIC deber solicitar por escrito a los usuarios responsables de los servicios, las necesidades de respaldo de sus datos. Estos debern tomar en cuenta el tipo de informacin y las necesidades de operacin de los propios servicios, en apego a la normatividad aplicable. El rea de la UTIC designada responsable de la ejecucin de los respaldos deber efectuarlos en estricto apego a los requerimientos indicados por los usuarios. 4. El rea de la UTIC designada responsable deber elaborar el calendario de respaldos y comunicarlo a la UTIC, considerando las necesidades de los usuarios responsables de los servicios, as como las necesidades de las soluciones tecnolgicas y centro de datos de la UTIC.
Pg. 304 de 372
5. El rea de la UTIC designada responsable del calendario de respaldos deber conservar evidencia del respaldo efectuado y garantizar la integridad de la informacin. 6. El rea de la UTIC designada responsable deber mantener los controles necesarios para conocer el estado de cada copia de respaldo y su ubicacin. 7. El rea de la UTIC designada responsable deber implantar procedimientos para preparar y almacenar la informacin y probar peridicamente la integridad de los respaldos. 8. El rea de la UTIC designada responsable deber mantener una copia del software, soluciones tecnolgicas, aplicativos, parmetros de configuracin de ambientes, estructuras de datos y datos; anterior a la versin en operacin. 10. El rea de la UTIC designada responsable deber generar las copias necesarias de los respaldos y almacenarlas en inmuebles diferentes, a fin de garantizar la recuperacin de la operacin, en caso de ejecutarse algn plan de contingencia. 11. El rea de la UTIC designada responsable deber registrar en una bitcora de evidencias las recuperaciones realizadas, indicando al menos, el nmero de solicitud de la restauracin, el dueo de la informacin, el nombre del sistema, la seccin solicitada y el nmero de serie del respaldo utilizado. 12. El rea de la UTIC designada responsable deber atender solamente las solicitudes de restauracin efectuadas por escrito; la solicitud deber contener al menos: nombre y firma del propietario de la informacin, nombre del sistema del cual se desea recuperar la informacin, especificaciones de la informacin que se desea recuperar. 13. El rea de la UTIC designada responsable en conjunto con las reas propietarias de la informacin y/o las soluciones tecnolgicas determinar la permanencia y la vigencia de la informacin respaldada , en concordancia con la legislacin aplicable.. 14. El rea de la UTIC designada responsable deber en conjunto con las reas propietarias de la informacin, definir el mecanismo especfico, por sistema o por tipo de informacin, de eliminacin de respaldos. 15. Los usuarios que requieran conectarse a la red institucional utilizando equipo de cmputo de escritorio o porttil, propio o institucional, debern obtener autorizacin de la UTIC va la mesa de servicios, la cual ser responsable de habilitar su conexin. 16. La informacin confidencial o reservada contenida en medios de almacenamiento bajo responsabilidad de la UTIC que vayan a dejar de usarse, debern ser borrados mediante un medio que garantice la eliminacin fsica total de la informacin. Deber aplicarse tambin si van a ser reutilizados o entregados a un tercero para reparacin o en prstamo. Deber obtenerse una evidencia de la eliminacin. Si los medios de almacenamiento de los equipos y accesorios estn bajo el resguardo de los usuarios, estas acciones sern responsabilidad del usuario. En caso de requerirlo, podrn solicitar apoyo a la UTIC va la mesa de servicios y apegarse a la normatividad aplicable. 17. El personal de la UTIC que administre la infraestructura de TIC debe evitar el acceso a los
Pg. 305 de 372

respaldos en los medios fsicos de informacin, de personal no autorizado. 18. Las UTIC deben asegurarse de implementar bitcoras de seguridad en las que queden registrados todos los eventos realizados por cuentas con permisos especiales, al menos: administrator, guest, root y system. 19. La UTIC deber implementar un mecanismo de seguridad para que la bitcora electrnica de auditora slo pueda ser consultada por la cuenta de administracin del responsable de seguridad del elemento de TIC considerado. 20. La UTIC debe definir e instrumentar un mecanismo de seguridad para evitar intrusiones a la infraestructura de TIC, incluyendo ataques externos va Internet, extranet e inclusive intranet. 21. La UTIC debe implementar un mecanismo para mantenerse informada de las actualizaciones de seguridad del software utilizado en la dependencia o entidad, de la aparicin de nuevos virus informticos que puedan atacar las soluciones tecnolgicas y los equipos de los usuarios de la dependencia o entidad. 22. La UTIC, al identificar la existencia de un virus informtico no cubierto por los antivirus institucionales en operacin en servidores y en equipos de los usuarios, notificar a la mesa de servicios de manera que, a travs de sta, se difundan las medidas necesarias a los usuarios y stos se protejan hasta que la UTIC corrija la intrusin del virus y lo elimine. 23. La UTIC deber instrumentar mecanismos de administracin de los equipos de proceso y de comunicaciones, que incluyan revisiones peridicas de las bitcoras de los elementos de la infraestructura de TIC, para identificar si se han presentado intentos de ataques o de explotacin de vulnerabilidades. 24. El rea de la UTIC deber habilitar el registro de los incidentes de seguridad relacionados con los accesos a las soluciones tecnolgicas y a las actividades realizadas por los usuarios. A.11 Control de acceso 1. El personal de la UTIC que administre la infraestructura de TIC debe controlar el acceso presencial y remoto a los componentes de cada uno de los elementos de la infraestructura de TIC de la dependencia o entidad. 2. Las UTIC debern implantar mecanismos de seguridad para acceder a los datos almacenados, que respeten los principios de identidad, responsabilidad y rastreabilidad de los usuarios que los acceden, en funcin del nivel de exposicin y revelacin de los mismos. 3. Las UTIC debern asegurar que las capacidades de los usuarios para acceder a datos estn limitadas de acuerdo al perfil que corresponda a sus funciones, previa definicin de las UR propietarias de los datos y de las soluciones tecnolgicas que hacen uso de ellos. 4. Las UTIC son las encargadas de implementar los mecanismos de seguridad necesarios para la asignacin de los permisos de acceso a los usuarios, determinados por las UR responsables de la informacin. 5. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe instrumentar
Pg. 306 de 372

el registro de usuarios y la administracin de la seguridad de las soluciones tecnolgicas de informacin que son accedidos en forma local y/o remota a travs de la red de comunicaciones. 6. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe instrumentar mecanismos para que se efecte la personalizacin de las cuentas para las actividades de administracin de servidores, bases de datos, servicios o sistemas institucionales, as como para el monitoreo de las actividades realizadas por los usuarios. 7. La UTIC deber instrumentar un mecanismo de seguridad para que, desde su creacin, todo usuario tenga definido el ambiente de trabajo acorde a sus funciones; ste no deber poder ser modificado por el usuario, sino a travs de una solicitud a la mesa de servicios. 8. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas deber asegurar que un solo responsable asigne cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro de la dependencia o entidad. 9. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas indicar a los usuarios las caractersticas de las contraseas. 10. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas deber identificar y autenticar claramente al usuario antes de asignarle una cuenta. 11. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas deber eliminar cualquier cuenta de usuario que haya cambiado de situacin laboral o no labore ms en la dependencia o entidad. 12. Las contraseas no deben ser mostradas en pantalla mientras son tecleadas, ni deben viajar por la red sin ser cifradas. 13. El rea de la UTIC designada responsable de la asignacin de cuentas de usuario y contraseas deber facilitar a los usuarios del correo electrnico, el cambio de contrasea cuando stos lo estimen conveniente, o de acuerdo en lo establecido en el lineamiento de cambio de contrasea por caducidad 14. Los usuarios deben verificar que su equipo de cmputo tenga configurado el protector de pantalla con contrasea, con la finalidad de evitar el acceso no autorizado a su informacin en caso de retiro temporal. 15. Los usuarios estn obligados a considerar que las cuentas y contraseas asignadas son personales e intransferibles. Las consecuencias jurdicas y/o administrativas de los actos ejecutados con las mismas son responsabilidad exclusiva del usuario dueo de la cuenta. 16. Los usuarios deben evitar la repeticin de contraseas al efectuar los cambios peridicos de las mismas. 17. Los usuarios deben cambiar su contrasea en caso de sospechar que alguien ms la conoce. 18. Los usuarios deben evitar exponer o difundir su contrasea independientemente del medio en el cual sea almacenada.
Pg. 307 de 372

19. En caso de utilizar hardware de seguridad, tales como generadores de contraseas o tarjeta inteligente, los usuarios deben traerlos siempre consigo. 20. La UTIC facultar personal tcnico para asegurar que todos los equipos de cmputo de escritorio y porttiles que se puedan conectar a la red institucional de la dependencia o entidad cumplan con los siguientes controles de acceso: nombre de equipo que identifique al responsable del equipo y su ubicacin; integracin a un dominio; tener instalado el software de antivirus institucional; contar con la ltima versin y parche del sistema operativo liberado por el proveedor. 21. La UTIC deber implementar un mecanismo de seguridad en todos los elementos de comunicaciones para que todos los intentos de conexin hacia la infraestructura de TIC que soporta las aplicaciones o servicios institucionales pasen a travs de un firewall. 22. La UTIC deber implementar in situ los mecanismos de seguridad necesarios para el rea de produccin, y en caso de accesos remotos, deber instrumentar el uso de software de cifrado de canal. 23. La UTIC deber implementar un mecanismo de control para proveer el servicio de acceso remoto a la red institucional, a las soluciones tecnolgicas, a los servicios de red y colaboracin, as como a la informacin. El acceso ser otorgado nicamente a los funcionarios y a los proveedores que lo requieran. 24. La UTIC deber definir e implementar las herramientas de deteccin de intrusos y proteccin a vulnerabilidad alineadas a la infraestructura de TIC, sistemas de informacin, necesidades de servicios de red y colaboracin de la dependencia o entidad. 25. El personal de la UTIC que administre la seguridad de la infraestructura de TIC debe limitar el acceso a los servidores, a sus sistemas operativos, a las soluciones tecnolgicas institucionales y a las bases de datos, mediante la identificacin del usuario, a travs de su cuenta nica y contrasea; la UTIC deber llevar un control de perfil y privilegios de acceso por usuario. 26. La UTIC deber implementar en las soluciones tecnolgicas y servicios a los usuarios, mensajes de ingreso en los cuales se les advierta que: el sistema y/o servicio slo podr ser utilizado por personal autorizado, que las actividades realizadas son monitoreadas y rastreables y que cualquier intento de ingreso no autorizado ser sancionado. 27. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas o en su defecto, las soluciones tecnolgicas y aplicaciones, debern bloquear el acceso a toda cuenta de usuario despus de 3 intentos consecutivos fallidos de acceso a las soluciones tecnolgicas o red. 28. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas o en su defecto, las soluciones tecnolgicas y aplicaciones designadas como sensibles o crticas, debern restringir el nmero de sesiones por usuario. 29. El rea de la UTIC responsable de la asignacin de cuentas de usuario y contraseas, o en su defecto las soluciones tecnolgicas y aplicaciones designadas como sensibles o crticas, debern bloquear cualquier cuenta de usuario que no se haya firmado en el sistema o la red despus de 30 das.
Pg. 308 de 372

A.12 Adquisicin, desarrollo y mantenimiento de informacin 1. La UTIC deber asegurar que la informacin institucional que se transmita a travs de las redes internas o externas se encuentre cifrada, con independencia de la clasificacin confidencial o reservada a la que se encuentre sujeta. Para el caso del almacenamiento de los datos de acuerdo a la clasificacin de la informacin, las definiciones del Grupo de seguridad del SGSI y de los requerimientos que los usuarios definan para sus sistemas o servicios, la informacin ser encriptada. 2. La UTIC deber implementar un mecanismo de control para que todo el personal responsable o poseedor de manuales, procedimientos, guas e instructivos de operacin (en medio electrnico o papel) de los equipos de cmputo, telecomunicaciones y sistemas, controle y reporte el acceso y uso de los mismos, bajo su estricta responsabilidad. A.13 Gestin de incidentes en la seguridad de la informacin. 1. Los usuarios que presencien o sospechen actos citados en la disposicin anterior debern notificarlo por escrito a su inmediato superior y al responsable del rea de seguridad de la informacin. 2. El siniestro, extravo o robo de equipo de cmputo y/o perifricos deben ser reportados de forma inmediata por el usuario afectado (aquel que tiene bajo su resguardo el equipo siniestrado) al rea administrativa correspondiente, para que se realicen las gestiones pertinentes A.15 Cumplimiento 1. Los datos clasificados como confidenciales o reservados debern tener fechas programadas de eliminacin y deber destruirse la identificacin del medio y cualquier marca de uso, en estricto apego a la normatividad vigente en la materia y asegurando conservar la evidencia correspondiente del apego a la regla. 2. La informacin confidencial o reservada no necesaria deber ser destruida, los listados debern ser triturados y los desechos empacados antes de deshacerse de ellos, en estricto apego a la normatividad vigente en la materia y asegurando conservar la evidencia correspondiente del apego a la regla. 3. En caso de inobservancia y ,a fin de garantizar la integridad, confiabilidad y disponibilidad de la informacin de las dependencias o entidades, el personal responsable de la seguridad de los recursos de TIC tendr la obligacin de suspender de manera inmediata los servicios de TIC al o los usuarios que hubieren infringido alguna de las disposiciones del presente manual. 4. La UTIC deber asegurarse de que cualquier intento para obtener acceso no autorizado a la infraestructura, a los servicios o a los datos, la revelacin no autorizada de informacin, el procesamiento, almacenamiento o transmisin de datos, los cambios a las caractersticas de los activos de TIC sin autorizacin, o cualquier otra actividad en materia de TIC, que afecte a los intereses de la dependencia o entidad, sean informados a las instancias facultadas, para promover las sanciones aplicables de acuerdo a la reglamentacin y la legislacin vigente aplicable, .
Pg. 309 de 372

Pg. 310 de 372
7.10. 7.10.1. 7.10.1.1. General.-
ADMINISTRACIN DE ACTIVOS Administracin de dominios tecnolgicos Objetivos del proceso
Planear e implementar arquitecturas tecnolgicas robustas y efectivas para cada una de las agrupaciones lgicas denominadas dominios tecnolgicos.
Especficos.-
1. Definir e instrumentar arquitecturas tecnolgicas para cada dominio tecnolgico. 2. Asegurar la existencia de un repositorio de conocimiento de los dominios tecnolgicos, de acuerdo a los lineamientos del proceso de Administracin del conocimiento. 3. Proveer directrices para la administracin de la operacin y el mantenimiento de infraestructura.
Pg. 311 de 372
7.10.1.2 7.10.1.2.1
DDT
Plan de tecnologa Repositorio de requerimientos tecnolgicos administrado
ADT-1 Establecer la estructura para la administracin de los dominios tecnolgicos
Perfil del grupo de expertos del dominio tecnolgico
Todos los procesos del Marco rector ADT-2 Determinar la direccin del dominio tecnolgico y su arquitectura DDT ACNF
Principios de los dominios tecnolgicos Estndares tecnolgicos Arquitectura de los dominios tecnolgicos
ADT-3 Administrar la base de conocimiento del dominio tecnolgico
Diseo de la arquitectura de servicios del TIC Modelo de arquitectura de soluciones tcnicas Plan de tecnologa Plan de capacidad de los recursos de TIC Definicin de elementos de configuracin Estructura de la CMDB
DST DDT DSTI ADT ACNF
Repositorio de conocimiento de los dominios tecnolgicos
ADT-4: Monitorear el cumplimiento de los estndares tecnolgicos establecidos.
Dictmenes tcnicos
ACNC DSTI, DST
Pg. 312 de 372
Diagrama de flujo de actividades.-
Pg. 313 de 372
7.10.1.2.2
ADT-1: Establecer la estructura para la administracin de los dominios tecnolgicos

Descripcin
Determinar las agrupaciones lgicas de tecnologas, denominadas dominios, que conformarn la arquitectura tecnolgica de la dependencia o entidad. 1. Determinar el grupo de expertos del dominio tecnolgico. a. Definir y comunicar su alcance y objetivos, b. Definir y comunicar los participantes, roles y sus responsabilidades. 2. Seleccionar al responsable del dominio tecnolgico, quien deber participar en el Grupo de trabajo de arquitectura tecnolgica y comunicar a los involucrados su asignacin. 3. Determinar los dominios tecnolgicos que conformarn la arquitectura tecnolgica. 4. Definir los elementos tecnolgicos que formarn parte de los dominios tecnolgicos.
Factores crticos
Perfil del grupo de expertos del dominio tecnolgico
ADT-2: Determinar la direccin del dominio tecnolgico y su arquitectura.

Descripcin
Considerar los requerimientos tecnolgicos y las directrices de la dependencia o entidad de la arquitectura tecnolgica especificada en el Plan de tecnologa, de manera que se obtenga un conjunto de principios rectores para el dominio tecnolgico. 1. Traducir, en un conjunto de principios rectores para el dominio tecnolgico, los requerimientos tecnolgicos y las directrices de la dependencia o entidad especificada en el Plan de tecnologa. 2. Determinar la arquitectura para cada dominio que se integrar, consistente en un conjunto de principios, modelos, normas y estndares. 3. Realizar regularmente un anlisis de las fortalezas, oportunidades, debilidades y amenazas (FODA), de todos los activos crticos del dominio tecnolgico. 4. Identificar las tecnologas del dominio que puedan tener un impacto en el desempeo de la dependencia o entidad. 5. Participar en la actualizacin del Plan de tecnologa de la dependencia o entidad. 6. Establecer un proceso para evitar la adquisicin de soluciones tecnolgicas no adecuadas al Plan de tecnologa. 7. Dirigir la emisin de dictmenes tcnicos asociados a los proyectos de TIC y el desarrollo de soluciones tecnolgicas. 8. Dar seguimiento a la evolucin del mercado y a las tecnologas emergentes asociadas al dominio. 9. Participar en los consejos y grupos colegiados que se establezcan en la Administracin
Pg. 314 de 372
Factores crticos

Pblica Federal para el dominio tecnolgico, con el propsito de compartir experiencias y participar en la determinacin de los estndares que se requieran a nivel de una arquitectura y que minimicen la incompatibilidad entre los recursos de infraestructura procurando la interoperabilidad de tecnologas a nivel de gobierno federal.
Principios de los dominios tecnolgicos Arquitectura de los dominios tecnolgicos Estndares tecnolgicos
ADT-3: Administrar la base de conocimiento del dominio tecnolgico

Contar con la informacin necesaria para dirigir, controlar y administrar la base de conocimiento de los dominios tecnolgicos.
1. Definir y mantener actualizados los repositorios de conocimiento de los dominios

tecnolgicos.
2. Los repositorios de conocimiento de los dominios tecnolgicos debern ser

administrados de acuerdo a lo establecido en el proceso de Administracin del conocimiento.
3. Se debe considerar en el diseo de estos repositorios los datos e informacin acerca de

la infraestructura instalada registrada en la CMDB, en el proceso de Administracin de las configuraciones.
4. Para sustentar los servicios de TIC, y dar mantenimiento y operar la infraestructura

tecnolgica, se debe considerar en el diseo de estos repositorios los datos e informacin que identifican las habilidades y conocimiento requeridos asociados al dominio tecnolgico en cuestin, inclusive, la informacin sobre cules recursos humanos cuentan con esas habilidades y conocimiento.
Repositorio de conocimiento de los dominios tecnolgicos
ADT-4: Monitorear el cumplimiento de los estndares tecnolgicos establecidos.

Monitorear el cumplimiento de los estndares en materia de tecnologas de dominios tecnolgicos.
1. Asegurar que los estndares tecnolgicos institucionales son aprobados por el Grupo
de trabajo de arquitectura tecnolgica y se comunican a lo largo de la dependencia o entidad mediante foros tecnolgicos.
2. Revisar y actualizar peridicamente los estndares tecnolgicos institucionales del

dominio, en conjunto con el Plan de infraestructura tecnolgica.
3. Alinear el Plan de entrenamiento y capacitacin, as como los requerimientos de

contratacin, con los estndares tecnolgicos.
4. Establecer, como parte del proceso, la estructura del plan de capacidad, de acuerdo
con lo establecido en el proceso de Determinacin de la direccin tecnolgica.
Dictmenes tcnicos
Pg. 315 de 372
7.10.1.2.3
Rol
Descripcin de roles
Descripcin
Grupo de expertos tcnicos Responsable de dominio tecnolgico
Especialistas que cuentan con el conocimiento y experiencia en las tecnologas del dominio, quienes interactan y comparten sus conocimientos y experiencias y que participan en la definicin y administracin de la arquitectura del dominio tecnolgico. El responsable de establecer los principios tecnolgicos de su dominio y elaborar, en conjunto con los expertos, los modelos, normas y estndares necesarios para administrar los recursos de la UTIC pertenecientes a su dominio.
7.10.1.2.4
Producto
Descripcin
Perfil del grupo de expertos del dominio tecnolgico Arquitectura de dominio tecnolgico
Documento que contiene la estructura del grupo de expertos (alcance, objetivos, participantes y responsabilidades), que cuentan con el conocimiento y experiencia en las tecnologas que debern integrarse. Descripcin lgica de los componentes del dominio. La siguiente es una lista de dominios base, puede ser adecuada en funcin de las necesidades de la dependencia o entidad. Por cada dominio tecnolgico se deben determinar los servicios tecnolgicos que sustentan y/o sustentaran: Comunicaciones. Incluye la infraestructura de comunicacin para el ambiente de cmputo distribuido y consiste en los elementos lgicos como estructura, topologa, ancho de banda, administracin, entre otros; los elementos de hardware como routers, cableado, LAN, entre otros; los servicios de transporte y los protocolos. Seguridad. Define la infraestructura requerida para proteger la transmisin de informacin en la red y en los servidores centrales, as como los estndares institucionales de acceso a la informacin. Colaboracin y correo electrnico. Describe las reglas y comportamientos de las herramientas que soportan la interaccin entre usuarios, as como las reglas de comportamientos de las actividades propias de la institucin. Internet / intranet. Explota la tecnologa web para crear mecanismos de acceso a aplicaciones universales e independientes de la plataforma. La arquitectura abarca seguridad, herramientas de desarrollo, mquinas de bsqueda y lgica de negocio. Cmputo central. Define los componentes de la infraestructura de procesamiento para aplicaciones de negocio centralizadas y ubicadas en bases de datos institucionales. Incluye la plataforma de hardware en servidores, los sistemas operativos que se ejecutan en esas plataformas, el ambiente de base de datos y las interfaces soportadas.
Pg. 316 de 372

Producto Descripcin
Cmputo distribuido. Define la infraestructura de ambientes de cmputo distribuido como UNIX y NT, incluye elementos de hardware y software. Cmputo de usuario final. Conjunto de elementos de hardware y software que permiten al usuario final el aprovechamiento de los servicios de TIC. Aplicativo. La arquitectura de aplicaciones establece cmo deben ser diseadas y estructuradas, cmo deben cooperar y comunicarse, as como dnde deben residir. Datos y Data Warehouse. Determina las estructuras lgicas, bases de datos y estndares para la explotacin de la informacin estratgica.
Principios de los dominios tecnolgicos
Documento que define las directrices que conducen el uso y evolucin de cada dominio tecnolgico en la UTIC de la dependencia o entidad.
Repositorio con los datos e informacin que sustenta el conocimiento de los dominios Repositorio de conocimiento de los tecnolgicos y que incluye el conjunto de principios, modelos, configuraciones, reglas y estndares del dominio. dominios tecnolgicos
Estndares tecnolgicos Dictmenes tcnicos
Lineamientos que establecen disposiciones acerca del tipo y propiedades que debern cumplir los componentes de un dominio tecnolgico. Documento que expresa el resultado del anlisis de la arquitectura involucrada en un proyecto de tecnologas de la informacin y/o desarrollo o compra de una solucin tecnolgica, conforme a los estndares tecnolgicos institucionales.
7.10.1.3
Nombre
Indicadores:
Objetivo Descripcin Dimensin Tipo Frmula Responsabl e Administrad or del proceso Frecuenci a de clculo Semestral
Cumplimient o del proceso de administraci n de los dominios tecnolgicos
Obtener la medicin de la eficiencia del proceso
Medir la eficiencia del proceso mediante la obtencin del porcentaje de avance en la implementaci ny actualizacin de la arquitectura de los dominios tecnolgicos
Eficiencia
De gestin
% eficiencia= (Nmero de arquitecturas tecnolgicas de los dominios tecnolgicos implementadas o actualizadas) / (Nmero de propuestas de actualizacin acuerdo al Plan de tecnologa) x 100
Pg. 317 de 372
7.10.1.4 1.1 1.2
Reglas del proceso La administracin de la arquitectura tecnolgica deber estar sustentada en dominios tecnolgicos. Los responsables de los dominios tecnolgicos debern asegurar que la arquitectura de cada uno de los dominios tecnolgicos sea diseada acorde al Plan de tecnologa elaborado en el proceso Determinacin de la direccin tecnolgica. El responsable de cada uno de los dominios tecnolgicos deber asegurarse de que el dominio bajo su responsabilidad est considerado en los planes de capacidad. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. El responsable de cada uno de los dominios tecnolgicos deber asegurarse de que exista y se mantenga actualizado un inventario de los bienes (hardware y software), pertenecientes al dominio del cual es responsable. Los responsables de los dominios tecnolgicos debern aprobar cualquier modificacin que se solicite en la operacin o uso de los bienes bajo su responsabilidad (hardware y software), con la finalidad de garantizar su correcto desempeo. El responsable de cada uno de los dominios tecnolgicos deber aprobar la instalacin y puesta en operacin de las soluciones tecnolgicas que entrarn en servicio y/o que tuvieron adecuaciones. Los responsables de los dominios tecnolgicos debern asegurar que la operacin y la infraestructura del dominio del cual son responsables se reflejen en los planes de contingencia. Reglas mnimas que debern ser observadas en los procedimientos de las UTIC relacionados con este proceso El responsable del dominio tecnolgico en el que se ubiquen los componentes de comunicaciones deber establecer e implementar el sistema operativo a utilizar en los servidores de red, as como mantenerlos con las ltimas actualizaciones de seguridad y herramientas de administracin y monitoreo, incluyendo aquellas para evitar los accesos no autorizados. El responsable del dominio tecnolgico en el que se ubiquen los componentes de comunicaciones deber asegurar que todos los servidores de produccin pertenezcan a los segmentos de red definidos de acuerdo a la arquitectura tecnolgica y la seguridad establecidas. El responsable del dominio tecnolgico en el que se ubiquen los componentes de comunicaciones deber asegurar que las actividades relacionadas con la operacin de la red interna en donde se encuentren ubicadas las estaciones de administracin y monitoreo, deben ser independientes de la red de datos de las reas usuarias. El responsable del dominio tecnolgico en el que se ubiquen los componentes de comunicaciones deber elaborar la planeacin de la capacidad de la red institucional, de respaldo y sus componentes, para asegurarse de contar con la disponibilidad y desempeo adecuados para satisfacer la demanda de los servicios en operacin y planeados. Todos los equipos de comunicaciones alojados en el centro de cmputo, debern contar con equipos de respaldo de energa elctrica, a fin de proteger su integridad y evitar daos por variaciones de corriente elctrica o interrupciones de energa elctrica. En el caso de equipamiento nuevo, se debern seguir las indicaciones de utilizacin y
Pg. 318 de 372
1.3 1.4 1.5 1.6 1.7
1.8
1.9
1.10

mantenimiento del fabricante. para no afectar las condiciones de garanta durante su vigencia. El responsable del dominio tecnolgico de Internet/Intranet deber asegurar la instrumentacin, operacin y administracin de los elementos de ste para la habilitacin de los servicios de Internet/Intranet as como los servicios asociados de los sitios de Internet institucionales, sitios intranet, servicios de colaboracin y acceso a sistemas de la dependencia o entidad, incluyendo todos aquellos servicios que se publiquen por estas vas. El responsable del dominio tecnolgico de Internet/Intranet deber definir, establecer y administrar la plataforma de operacin de stos servicios, con el soporte y ayuda de las dems reas involucradas de la UTIC. El responsable del dominio tecnolgico de Internet/Intranet deber asegurar la disponibilidad, adecuada operacin y funcionalidad de los servicios descritos en el punto anterior. El responsable del dominio tecnolgico de Internet/Intranet deber establecer los mecanismos de vigilancia de las bitcoras de los servicios que operan en el dominio. El responsable del dominio tecnolgico de Internet/Intranet deber establecer conjuntamente con el responsable del dominio tecnolgico de seguridad, los mecanismos necesarios para mantener la integridad de la informacin. El responsable del dominio tecnolgico de Internet/Intranet deber determinar el estado de contingencia de los servicios, en caso de ser necesario, y ser el nico facultado para dirigir las acciones que se requieran, previa aprobacin de responsable del proceso de Administracin de riesgos de TIC. El responsable del dominio tecnolgico de Internet/Intranet ser el responsable de evaluar la contratacin del servicio de Internet. El responsable del dominio tecnolgico de seguridad deber asegurar que todos los equipos de cmputo de usuario que se conecten a la red de datos tengan instalada una herramienta de antivirus, antispyware y las ltimas actualizaciones del sistema operativo. El responsable del dominio tecnolgico de cmputo central deber asegurar que se instrumente un Plan de contingencia en materia de TIC. El responsable del dominio tecnolgico de cmputo central deber asegurar que el Plan de contingencia sea revisado y actualizado al menos cada 6 meses. El responsable del dominio tecnolgico de cmputo central deber asegurar que los cambios en la operacin y en la infraestructura del dominio se reflejen de inmediato en el Plan de contingencia.
7.10.1.5
Pg. 319 de 372
7.10.2. 7.10.2.1.
Administracin del conocimiento Objetivos del proceso
General.Asegurar que el personal de la UTIC pueda difundir y compartir informacin que genere conocimiento.
Especficos.-
1. Establecer y mantener actualizado un repositorio central de informacin que permita compartir informacin terica de TIC, histrica de eventos, proyectos y lecciones aprendidas de la UTIC. 2. Asegurar la calidad de la informacin contenida en el repositorio central de informacin para que sea fuente de conocimiento.
Pg. 320 de 372
7.10.2.2 7.10.2.2.1
ACNC-1 Disear el Sistema de conocimiento Todos los procesos del Marco rector
Directrices para la administracin del conocimiento
Necesidades de repositorios de informacin y datos de los procesos de la UTIC
ACNC -2 Disear repositorio de conocimiento
ACNC -3 Especificar los procedimientos de administracin del repositorio de conocimientos
Plan de acciones de mejora
Repositorio de conocimiento
Criterios de administracin de repositorios de conocimiento
ACNC -4 Identificar, capturar y mantener el conocimiento ACNC -6 Asegurar la calidad e integridad de la informacin y datos
ACNC -5 Difundir el conocimiento Resultados de revisiones Plan para la comunicacin del conocimiento Todos los procesos del Marco rector Todos los procesos del Marco rector
Pg. 321 de 372
Diagrama de flujo de actividades.-
Pg. 322 de 372
7.10.2.2.2.
Descripcin de actividades del proceso
ACNC-1 Disear el Sistema de conocimiento

Descripcin
Factores crticos
Disear el Sistema de conocimiento para la UTIC. Se disear el Sistema de conocimiento mediante la definicin de la estrategia para la administracin del conocimiento de acuerdo a las necesidades de informacin de todos los involucrados en los procesos de la UTIC. 1. Disear la estrategia de administracin del conocimiento de la UTIC con base en la identificacin de las necesidades de informacin de todos los involucrados, incluyendo las perspectivas de procesos, proyectos, servicios y arquitectura tecnolgica. 2. Definir e integrar los elementos del Sistema de conocimiento basando ste en el enfoque de procesos y de gobernabilidad, dando prioridad a la permanencia del conocimiento terico y del conocimiento emprico. 3. Integrar el Sistema de conocimiento en un conjunto de directrices y comunicarlas a todos los responsables de repositorios de datos y de informacin.
ACNC-2 Disear repositorio de conocimiento

Descripcin
Definir cmo se identificarn los datos e informacin para el conocimiento de acuerdo a su tipo y configuracin, para ser agrupados, clasificados y documentados de acuerdo a sus caractersticas propias, con el objetivo de asegurar que son administrables. 1. Definir y documentar criterios para seleccionar datos e informacin de acuerdo a su tipo. En el diseo de los repositorios de conocimientos se debe considerar entre otros: Qu conocimiento es necesario, basado en las decisiones que va a sustentar. Cules condiciones requieren ser monitoreadas. Qu datos/informacin se encuentran disponibles (que pueden ser almacenados). Este anlisis puede originar requerimientos para ajustar prcticas de trabajo, con el propsito de facilitar la captura de datos que de otra manera no estn disponibles. El costo de captura y mantenimiento de los datos y su valor potencial para la dependencia o entidad, considerando el impacto negativo de una sobrecarga de datos en la transferencia del conocimiento.
Factores crticos
2. Documentar las caractersticas que deben tener los datos e informacin para almacenarlos en el repositorio de conocimiento. 3. Disear la arquitectura lgica del Sistema de conocimiento, incluyendo los subsistemas de conocimiento y la estructura de los repositorios de activos de conocimiento (datos e informacin). 4. Establecer los roles y responsabilidades en la administracin de los repositorios de activos de conocimiento.
Pg. 323 de 372

5. Seleccionar la configuracin por tipo de datos e informacin que compone cada uno de los repositorios de conocimiento. Clasificar los datos e informacin de conocimiento por tipo de dato e informacin, como ayuda para identificar el uso, estado y localizacin. 6. Especificar los atributos de mayor importancia por tipo de activo. 7. Identificar aquellos datos e informacin de conocimiento que deben alojarse en los repositorios de conocimiento.
Repositorio de conocimientos
ACNC-3 Especificar los procedimientos de administracin del repositorio de conocimientos

Descripcin
Determinar los procedimientos para administrar el contenido de cada uno de los repositorios de conocimiento. Incluye la determinacin de los medios de almacenamiento, procedimientos, y herramientas para registrar y acceder a los elementos del repositorio.
Factores crticos
1. Especificar los procedimientos y sus reglas, para almacenar y recuperar elementos del repositorio. 2. Definir los mecanismos de operacin y control: alimentacin, consulta, mantenimiento y respaldo. Identificar los momentos en el ciclo de vida de los procesos, servicios y/o proyectos en los que se deber recolectar los datos. Establecer la autoridad y la responsabilidad sobre todos los elementos del repositorio. 3. Documentar los mecanismos mantenimiento y respaldo. de operacin y control: alimentacin, consulta,
Identificar los momentos en el ciclo de vida de los procesos, servicios y/o proyectos en los que se debern recolectar datos e informacin. Establecer la autoridad y la responsabilidad sobre todos los elementos del repositorio. 4. Determinar las vistas y perspectivas de elementos disponibles para los usuarios del repositorio. 5. Definir los procedimientos requeridos para mantener disponibles los datos y la informacin a sus usuarios. 6. Asegurar su confidencialidad, integridad y disponibilidad, estableciendo niveles de categorizacin y acceso a los elementos del repositorio de acuerdo a las reglas del SGSI aplicables.
ACNC-4 Identificar, capturar y mantener el conocimiento

Descripcin Factores
Identificar, capturar y mantener el conocimiento mediante la incorporacin de los datos e informacin de conocimiento en los repositorios del Sistema de conocimiento. 1. Incorporar los datos e informacin de conocimiento, de acuerdo a los criterios y
Pg. 324 de 372

crticos
mecanismos establecidos en los procesos relacionados con la integracin de datos de los procesos, los proyectos y las soluciones tecnolgicas y los servicios. 2. Generar nuevo conocimiento. Acceder a fuentes de conocimiento externas y adaptarlas para extender el conocimiento de la UTIC datos e informacin y conocimiento de fuentes diversas tales como bases de datos, sitios web, empleados, proveedores y socios.
Repositorio de conocimiento actualizado
ACNC-5 Difundir el conocimiento

Descripcin
La dependencia o entidad deber poner nfasis en la obtencin, distribucin y uso del conocimiento, mediante la aplicacin en solucin de problemas, aprendizaje dinmico, planeacin y toma de decisiones. Para lograr lo anterior se requiere difundir el conocimiento a ciertos puntos de la dependencia o entidad, de acuerdo a un plan para la comunicacin de conocimiento que considere sus necesidades de informacin.
Factores crticos
1. Determinar las necesidades de conocimiento a ser difundido en la dependencia o entidad. 2. Desarrollar un plan para la comunicacin del conocimiento. 3. Difundir el conocimiento de acuerdo al plan para la comunicacin del conocimiento.
Plan para la comunicacin del conocimiento
ACNC-6 Asegurar la calidad e integridad de la informacin y datos

Ejecutar revisiones para mantener la integridad de la configuracin de los datos e informacin de conocimiento (repositorio). 1. Revisar los repositorios de conocimiento de la dependencia o entidad peridicamente, incluyendo la revisin cuando nuevos elementos son agregados, eliminados o actualizados.
2. Realizar revisiones independientes al repositorio de conocimiento, para asegurar la
calidad de los datos e informacin y garantizar el apego a las directrices establecidas y a la estrategia de administracin del conocimiento.
3. Determinar acciones correctivas y de mejora derivadas de los hallazgos. 4. Asegurar que las acciones correctivas y de mejora efectuadas hayan sido efectivas. Relacin de productos
Resultado de revisiones Plan de acciones de mejora

Pg. 325 de 372

7.10.2.2.3
Rol Responsable del proceso de administracin del conocimiento Responsable del repositorio de conocimiento
Descripcin de roles
Descripcin
Persona responsable del seguimiento de la aplicacin del proceso de Administracin del conocimiento, medir la efectividad y eficiencia del proceso y del Sistema de conocimiento en su totalidad.
Persona responsable de administrar el la estructura y el contenido de un repositorio de conocimiento.
7.10.2.2.4
Producto
Descripcin
Documento que contiene las directrices para la administracin integral del conocimiento de la UTIC, contiene, al menos, las definiciones siguientes: Modelo de gobierno Diseo lgico de la estructura del Sistema de conocimiento Establecimiento de roles y responsabilidades Polticas, procesos y procedimientos para la administracin del conocimiento Requerimientos tecnolgicos y de otro tipo de recursos Mediciones de desempeo
Documento que contiene los criterios para la administracin de un repositorio de conocimiento, debe considerar: Los criterios base del esquema de gobierno del repositorio de conocimiento Los criterios y lista de activos de conocimiento a ser incluidos en el repositorio Catlogo base de elementos del repositorio de conocimientos Mecanismos para la identificacin, captura y mantenimiento de los elementos del repositorio Criterios de de seguridad
Repositorio de conocimiento
Almacn de informacin considerada conocimiento. El repositorio de conocimiento, en su diseo lgico debe considerar todos los repositorios de datos, informacin y conocimiento requeridos por la UTIC para cumplir con sus objetivos y funciones, incluyendo entre otros el conocimiento de: los procesos los servicios
Pg. 326 de 372
Producto
Descripcin

Plan para la comunicacin del conocimiento Resultado de revisiones Plan de acciones de mejora
los proyectos la arquitectura tecnolgica configuracin (CMDB) los dominios tecnolgicos. capacitacin
Documento que contiene cronolgicamente las actividades que se debern desarrollar para la difusin de los repositorios de conocimiento. Documento que contiene el resultado de las evaluaciones realizadas a los repositorios de conocimiento. Contiene las acciones correctivas y de mejora, derivadas del anlisis causa raz de los hallazgos resultantes de las revisiones efectuadas al repositorios de conocimiento.
7.10.2.3
Nombre
Indicadores:
Objetivo Obtener la eficiencia del proceso de Administraci n del conocimiento Descripcin Medir la eficiencia del proceso mediante el avance en la implantacin del Plan de comunicacin de activos de conocimiento Dimensi n Eficiencia Tipo De gestin Frmula % eficiencia= (Nmero de acciones implantadas del plan de comunicacin/ nmero total de acciones del plan de comunicacin) X 100 Responsable Responsable del proceso de administracin del conocimiento Frecuencia de clculo Semestral
Cumplimiento del Plan de comunicacin de los activos de conocimiento
7.10.2.4 1.1
Reglas del proceso La UTIC deber establecer un Sistema de conocimiento para almacenar datos e informacin, difundir, transferir y generar conocimiento, que contemple repositorios de todos los datos e informacin relacionados los procesos de la UTIC, activos y servicios de TIC.. La UTIC deber asignar a un responsable del proceso de Administracin del conocimiento. El responsable del proceso de Administracin del conocimiento designar a un responsable del sistema de datos e informacin para el conocimiento El responsable del proceso de Administracin del conocimiento designar a un responsable de la
Pg. 327 de 372
1.2 1.3 1.4

administracin tcnica de los repositorios de conocimiento. 1.5 1.6 1.7 Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
7.10.2.5
Pg. 328 de 372
7.10.3 7.10.3.1
Integracin y desarrollo del personal Objetivo general del proceso
General.Desarrollar las habilidades y el conocimiento del personal de TIC para que puedan realizar sus funciones con eficacia y eficiencia.
Especficos.-
1. Identificar las necesidades estratgicas de desarrollo y capacitacin del personal de la UTIC. 2. Definir e implementar un programa de desarrollo del personal para la UTIC. 3. Proveer la formacin y entrenamiento, de acuerdo al programa de desarrollo del personal de la UTIC. 4. Evaluar la efectividad de las actividades de desarrollo y capacitacin del personal de la UTIC.
5. Establecer un sistema de actualizacin y seguimiento a los programas de desarrollo y capacitacin del
personal en la UTIC.
Pg. 329 de 372
7.10.3.2 7.10.3.2.1

OSGP EEG APTI DSTI ADT Plan de administracin del proceso Descripciones de roles y responsabilidades Plan de proyecto Paquete de diseo del servicio de TIC Repositorio de conocimiento del dominio tecnolgico
DDT
Plan de Tecnologa
IDP-1 Establecer las necesidades estratgicas de capacitacin
IDP -2 Establecer las necesidades de integracin y desarrollo de personal
IDP-3 Def inir las necesidades especf icas de capacitacin que son responsabilidad de la UTIC
Necesidades estratgicas de capacitacin
Necesidades de desarrollo de personal de la UTIC
Necesidades de capacitacin especif icas de TIC
PE
Documento estratgico
IDP-4 Desarrollar el Plan de capacitacin de la UTIC
Iniciativa del plan de capacitacin de la UTIC APP Autorizacin para el inicio de proyecto Material de capacitacin Programa de capacitacin IDP-7 Establecer y mantener actualizado el repositorio de capacitacin de la UTIC
IDP-5 Establecer los mecanismos de capacitacin
AD
IDP-6 Proporcionar la capacitacin y monitorear su cumplimiento
Inf orme de medicin y anlisis
Inf orme de resultados de capacitacin Diploma de participacin y/o certif icado Evaluaciones Repositorio de capacitacin de la UTIC
Registro de incidencias Acciones de mejora de la capacitacin IDP-8 Evaluar la ef ectividad de la capacitacin
AD
ACNC
Pg. 330 de 372
Pg. 331 de 372
7.10.3.2.2
IDP-1 Establecer las necesidades estratgicas de capacitacin

Definir los objetivos a corto, mediano y largo plazo, para crear las capacidades que permitan administrar y operar los procesos de la UTIC. 1. Analizar los objetivos estratgicos de negocio de la dependencia o entidad, las capacidades y habilidades necesarias para la ejecucin de los procesos de la UTIC y los planes de proyectos, servicios y procesos, a fin de identificar necesidades potenciales de capacitacin. 2. Documentar las necesidades estratgicas de capacitacin de la UTIC. 3. Revisar, actualizar y dar seguimiento sistemtico a las necesidades estratgicas de capacitacin requerida por el personal de la UTIC 4. Revisar e incorporar la normatividad aplicable en la materia.
Necesidades estratgicas de capacitacin
IDP-2 Establecer las necesidades de integracin y desarrollo de personal

Descripcin
Factores crticos
Definir los objetivos a corto, mediano y largo plazo que permitan aprovechar y fortalecer el talento del personal, orientados a motivar al empleado hacia su desarrollo dentro de la dependencia o entidad 1. Asegurar que todos los servidores pblicos de nuevo ingreso cuenten con una induccin proporcionada por la UTIC, que incluya capacitacin sobre: a. Las polticas y procesos. b. La importancia de satisfacer los requerimientos del usuario, los estatutarios y los legales y la necesidad de garantizar la satisfaccin del usuario. c. La importancia y la trascendencia de sus actividades y la manera en que contribuyen al logro de los objetivos de la dependencia o entidad. 2. Revisar e incorporar la normatividad aplicable en la materia. 3. Identificar las necesidades de desarrollo de capacidades del personal de la UTIC. Considerar que: El desarrollo de personal incluye actividades para fortalecer sus habilidades y motivarlo a enfrentar cambios y responsabilidades dentro de la dependencia o entidad. Involucra a todo el personal de la UTIC. Buscar que el resultado de la capacitacin sea un trabajador ms competente y hbil.
Necesidades de desarrollo de personal de la UTIC
Pg. 332 de 372

IDP-3 Definir las necesidades especficas de capacitacin que son responsabilidad de la UTIC
Determinar las necesidades de capacitacin especficas para los proyectos, servicios y procesos. 1. Determinar especficamente las competencias del personal que afectan a la calidad y continuidad del producto/servicio (como grupo de soporte). 2. Analizar las necesidades de capacitacin identificadas en los proyectos y por grupos de expertos tcnicos. 3. Negociar y documentar con los responsables de los diversos y grupos de expertos sobre cmo sern satisfechas las necesidades especficas de capacitacin.
Necesidades de capacitacin especficas de TIC.
IDP-4 Desarrollar el Plan de capacitacin de la UTIC

Descripcin
Esta actividad consiste en elaborar el Plan de capacitacin de la UTIC, que defina la capacitacin necesaria para que las personas desempeen sus funciones con eficacia y eficiencia. Este plan debe establecer un cronograma para a la ejecucin a corto, mediano y largo plazo de la capacitacin y debe estar diseado para aceptar ajustes en respuesta a los cambios tecnolgicos y evaluaciones de efectividad. Debe permitir desarrollar el conocimiento, aptitudes, habilidades y conciencia sobre la seguridad y controles internos, al nivel requerido para alcanzar las metas de la UTIC y de la dependencia o entidad.
Factores crticos
1. Documentar el Plan de capacitacin de la UTIC de acuerdo a la normatividad aplicable en la materia. El Plan de capacitacin de la UTIC deber contemplar al menos los siguientes conceptos: Necesidades estratgicas de capacitacin. Necesidades de desarrollo de personal Necesidades de capacitacin especficas. Tpicos de capacitacin. Compromisos de capacitacin. Mtodos para la capacitacin. Requerimientos y estndares para materiales de capacitacin. Tareas de capacitacin, roles y responsabilidades. Recursos requeridos incluyendo herramientas, instalaciones, ambiente, personal. Cronograma.
2. Establecer compromisos con el plan. (Documentar los compromisos con los principales responsables de implementar y soportarlo). 3. Revisar y aprobar el Plan de capacitacin.
Iniciativa del Plan de capacitacin de la UTIC

Pg. 333 de 372

IDP-5 Establecer los mecanismos de capacitacin
Descripcin
Factores crticos
Establecer y mantener los diversos elementos orientados a satisfacer las necesidades de capacitacin. Identificar como se generar la capacitacin, los instructores requeridos, definir el contenido de la capacitacin y los materiales de apoyo. 1. Seleccionar los enfoques apropiados para satisfacer las necesidades de capacitacin especficas de la UTIC. La seleccin de un enfoque requiere considerar los medios para proporcionar las habilidades y conocimientos de la manera ms efectiva, tomando en cuenta las restricciones existentes.) 2. Determinar si se desarrolla el material de capacitacin o se adquiere (hacer un anlisis costo-beneficio) 3. Determinar si se proporciona la capacitacin a travs de capacitadores internos o externos. a) b) Deber revisarse la viabilidad de que la capacitacin pueda ser proporcionada por los diversos grupos de trabajo y expertos de la UTIC. El personal de capacitacin de la dependencia o entidad debe coordinar el despliegue de la capacitacin independientemente de su origen.
4. Desarrollar u obtener instructores calificados. Para asegurar que los instructores tienen el conocimiento y habilidades necesarias, se pueden definir criterios para calificarlos. En el caso de ser capacitacin proporcionada por externos el personal responsable puede investigar cmo el proveedor determina qu instructores pueden proporcionar la capacitacin. 5. Describir e integrar la capacitacin en el programa de capacitacin global de la dependencia o entidad. 6. Revisar y actualizar el material de capacitacin y sus elementos de soporte tanto como sea necesario.
Material de capacitacin Programa de capacitacin
IDP-6 Proporcionar la capacitacin y monitorear su cumplimiento

Desarrollar los eventos de capacitacin de conformidad con el Programa de capacitacin aprobado y vigilar que se efecten de conformidad con lo establecido. 1. Vigilar que los eventos se realicen conforme a lo establecido o contratado. 2. Monitorear el desarrollo de los eventos de capacitacin; considerar que: Se tenga control sobre las personas que asistan al curso Las instalaciones sean adecuadas para el desarrollo del evento Los materiales sean los establecidos y que satisfagan los requerimientos de calidad establecidos.
3. Verificar que se efecten las evaluaciones tanto de conocimiento, como del curso y que se entreguen los reconocimientos establecidos.
Pg. 334 de 372

Informe de resultados de capacitacin. Diploma de participacin y/o certificado Evaluaciones
IDP-6 Establecer y mantener actualizado el repositorio de capacitacin de la UTIC

Establecer y mantener los registros de capacitacin de la UTIC en su conjunto. 1. Debe establecerse un procedimiento documentado para definir los controles necesarios para la identificacin, el almacenamiento, la proteccin, la recuperacin, el tiempo de retencin y la disposicin de los registros. Se deben mantener los registros apropiados de la educacin, formacin, habilidades y experiencia del personal. Los registros deben permanecer legibles, fcilmente identificables y recuperables. 2. Guardar los registros de todos los participantes que completaron exitosamente cada curso de capacitacin u otras actividades de capacitacin aprobadas, as como de aquellos que no tuvieron xito. 3. Guardar registros de personal que no reciba capacitacin. La justificacin para la concesin de una exencin debe estar documentada; la exencin debe ser autorizada por el administrador responsable. 4. Generar registros de capacitacin apropiados para las personas relacionadas con las asignaciones. Los registros de capacitacin pueden ser parte de una matriz de habilidades desarrolladas por el rea de capacitacin de la dependencia o entidad, para proporcionar un resumen de las experiencias y educacin de las personas, as como de la capacitacin propia. Todos estos registros debern estar debidamente capturados, procesados y consolidados en el repositorio de capacitacin de la UTIC o, en su defecto, en el sistema institucional de capacitacin dependencia o entidad.
Registro de incidencias Repositorio de capacitacin de la UTIC, actualizado y disponible.
IDP-7 Evaluar la efectividad de la capacitacin

Descripcin
Evaluar la efectividad del Plan de capacitacin de la UTIC estableciendo un proceso para determinar su eficacia. Es posible obtener mtricas para evaluar los beneficios de la capacitacin contra los proyectos y objetivos de la dependencia. 1. Evaluar proyectos en ejecucin o terminados, para determinar si el conocimiento del personal es adecuado para desarrollar tareas en el proyecto. 2. Proporcionar un mecanismo para evaluar la efectividad de cada curso de capacitacin con respecto a los objetivos de la dependencia o entidad, proyecto u objetivos
Pg. 335 de 372
Factores crticos

individuales. 3. Anlisis de las evaluaciones de los participantes de cmo las actividades de capacitacin cumplen con sus necesidades.
Acciones de mejora de la capacitacin
7.10.3.2.3
Rol
Descripcin de roles
Descripcin
Administrativo de capacitacin Responsable de capacitacin de la UTIC Unidad de coordinaciones Participantes
rea encargada de administrar y supervisar las actividades para realizar la capacitacin de la UTIC, de acuerdo al presupuesto autorizado. Responsable de definir el contenido del Plan de capacitacin de la UTIC, coordina las actividades de planeacin para la capacitacin y actualiza los datos generados de las capacitaciones, para evaluar la efectividad de las mismas. Es responsable de aprobar el Plan de capacitacin de la UTIC y de establecer el presupuesto que ser asignado a las actividades de capacitacin. Persona o grupo de personas a las que se imparte la capacitacin.
7.10.3.2.4
Producto
Descripcin
Plan de capacitacin de la UTIC
Plan que describe las necesidades de capacitacin, alcances y resultados esperados. Deber contener al menos: Resultado del diagnstico de necesidades estratgicas, especficas y de desarrollo de personal en la dependencia o entidad. Necesidades de capacitacin comunes para proyectos y grupos de soporte. Cronograma de actividades de capacitacin y sus interdependencias. Mtodos a usar en la capacitacin. Requerimientos y estndares de calidad, para materiales de capacitacin, medios e instructores. Roles y responsabilidades de los involucrados en el despliegue del plan. Recursos requeridos financieros y no financieros requeridos. Compromisos de capacitacin existentes.
Pg. 336 de 372
Producto Necesidades de capacitacin Material de capacitacin Repositorio de capacitacin de la UTIC
Descripcin
Documento base para realizar el Plan de capacitacin, que contiene el diagnstico de las necesidades de conocimiento del personal de la UTIC. Son los materiales y medios utilizados para llevar a cabo la capacitacin. Sitio centralizado donde se mantienen almacenados los datos e informacin generados a lo largo de las capacitaciones realizadas en la UTIC. Contiene entre otros: el catlogo de instructores habilitados y el programa de capacitacin, registros de la capacitacin, cursos a ser impartidos, programa de capacitacin correspondiente y su registro en el repositorio de capacitacin de la UTIC.
Registro de incidencias
Registro de acontecimientos que sucedieron en el transcurso de la realizacin de un evento de capacitacin.
Diploma de participacin Documento que da cuenta de la participacin en una capacitacin. Debe y/o certificado proporcionarse una vez terminada la capacitacin. Evaluaciones
Se refiere a la evaluacin para medir el aprendizaje que se realiza en tres momentos diferentes: antes de la capacitacin (evaluacin inicial), intermedia y final, y a la que realizan los participantes en el evento de capacitacin.
Informe de resultados de Sntesis de los resultados de la capacitacin impartida. capacitacin.
Contenido:
Comparacin de resultados esperados y resultados alcanzados. Tiempo de ejecucin. Indicadores. Beneficiarios. Informacin de cursos impartidos y no impartidos Listas de asistencia
Acciones de mejora de la capacitacin
Acciones resultantes de la evaluacin a la efectividad de la capacitacin, que se efectuarn para mejorar el desempeo del proceso de Integracin y desarrollo de personal.
7.10.3.3
Nombre Satisfaccin del cliente
Indicadores
Objetivo Medir la calidad del Plan de capacitacin Descripcin Obtener la medicin de la satisfaccin del personal al respecto de la capacitacin Dimensin Calidad Tipo De gestin Frmula (Nmero de capacitados satisfechos con la capacitacin recibida / Nmero total Responsable Administrador del proceso Frecuencia de clculo Anual
Pg. 337 de 372

Nombre Objetivo Descripcin recibida Dimensin Tipo Frmula de capacitados) X 100 Responsable Frecuencia de clculo
7.10.3.4 1.1
Reglas del proceso La UTIC, va el proceso de Integracin y desarrollo de personal, deber desarrollar y presentar para su autorizacin anualmente un Plan de capacitacin de personal de la UTIC al Grupo de trabajo para la direccin de TIC. El Plan de capacitacin de la UTIC se deber elaborar considerando los roles y responsabilidades del personal. El Plan de capacitacin debe incluir el diagnostico y anlisis de las necesidades estratgicas de capacitacin, su justificacin as como los mecanismos de capacitacin y formacin propuestos. Se debern establecer y mantener los registros y controles de las actividades de capacitacin y formacin realizadas en la UTIC. La UTIC, ejecutar este proceso con apego a la Ley del Servicio Profesional de Carrera y su Reglamento, el manual Administrativo de Aplicacin General en materia de Recursos Humanos as como a la normatividad aplicable. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC.
1.2 1.3 1.4 1.5
1.6 1.7 1.8
7.10.3.5
Pg. 338 de 372
7.11 7.11.1 7.11.1.1
OPERACIONES Administracin de la operacin Objetivos del proceso
General.Administrar y operar la infraestructura, para entregar los servicios de TIC conforme a los niveles acordados.
Especficos.-
1. Asegurar la ejecucin segura y oportuna de las tareas y procesos programados. 2. Monitorear y registrar los resultados de las tareas y procesos. 3. Asegurar que los servicios y la infraestructura de las TIC puedan resistir a fallas ocasionadas por errores, ataques deliberados o desastres y recuperarse. 4. Asegurar la estabilidad y continuidad de la operacin de la infraestructura de manera que los servicios de las TIC estn disponibles.
Pg. 339 de 372
7.11.1.2
7.11.1.2.1 Mapa general del proceso Diagrama de flujo de informacin

OMS, ANS, ARTI ACMB, THO, LE, ACNF APS, DSTI MI, AAF
Acuerdos de niveles de servicio Acuerdos de niveles operativos Contratos de soporte Solicitudes de soporte escaladas Repositorio de Solicitudes de Soporte Sentencias de aplicabilidad de seguridad de la informacin Repositorio de riesgos de TIC
Repositorio de solicitudes de cambios rdenes de trabajo Calendario de cambios Plan de proyecto de transicin a la operacin Planes de liberacin y entrega CMDB
Portafolio de servicios Plan de capacidad de los recursos de TIC Plan de continuidad de los servicios de TIC
Bitcora de mantenimiento de infraestructura Plan de mantenimiento de la infraestructura Bitcora de proteccin del recurso de infraestructura Sistema de acceso fsico a las reas reservadas a la UTIC Plan de aprovisionamiento de infraestructura Bitcora de resultados de las pruebas de factibilidad
AO-1, AO-2, AO-3
AO-1 Establecer procedimientos e instrucciones de operacin AO-2 Programar y ejecutar tareas de la operacin
Procedimientos de operacin
Programa de ejecucin de tareas
Bitcora de la operacin Solicitudes de cambios relacionadas con la operacin Solicitudes de soporte relativas a incidentes de operacin (actualizadas)
OSGP
AO-3 Monitorear la infraestructura de TIC
ACMB OMS AD
Pg. 340 de 372
Pg. 341 de 372
7.11.1.2.2
AO-1 Establecer procedimientos e instrucciones de operacin

Establecer los procedimientos para la programacin de las tareas de la operacin y garantizar que el personal de operaciones est familiarizado con todas las tareas de operacin. 1. Desarrollar, implementar y mantener un procedimiento estndar operacional de las TIC que comprenda la definicin de roles y responsabilidades, incluyendo aquellos que son suministrados por un proveedor. Para asegurar la continuidad de las operaciones y el seguimiento de los incidentes a travs de la mesa de servicio, los procedimientos de operacin deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operacin, procedimientos de escalamiento y reportes sobre las responsabilidades actuales) Estos procedimientos contienen las actividades rutinarias que se deben ejecutar en cada dispositivo o sistema. Contienen las actividades que deben realizarse en caso de surgir una excepcin o de requerir un cambio. Elaborar programas de ejecucin de tareas para la operacin de los servicios de TIC. Establecer los tiempos permitidos fuera de servicio por incidentes en los programas de ejecucin de tareas para la operacin. Establecer controles para el registro y seguimiento de incidentes en los programas de ejecucin de tareas para la operacin.
2. Definir procedimientos y responsabilidades para transferir funciones, por cambios y ausencias planeadas o no planeadas. 3. Definir procedimientos para el manejo de excepciones, conforme a la administracin de incidentes y cambios y para tratar aspectos de seguridad. 4. Entrenar al personal de soporte en procedimientos operacionales y tareas relacionadas de las cuales son responsables. 5. Asegurar que la segregacin de funciones est alineada con los riesgos asociados, seguridad y requerimientos de auditora.
Procedimientos de operacin
AO-2 Programar y ejecutar tareas de la operacin

Descripcin
Organizar la programacin de tareas y procesos automatizados, de modo que se maximice el desempeo y la utilizacin de las TIC, para cumplir con los requerimientos de la dependencia o entidad. 1. Usar el proceso de Administracin de cambios para la planificacin de las actividades en ejecucin, que podran tener un impacto en los servicios proporcionados. El responsable de la administracin de la operacin deber autorizar la planificacin
Pg. 342 de 372
Factores crticos

inicial y sus cambios. Debern ser autorizados todos los procesos y tareas que se incluyan en el calendario de ejecucin, as como cualquier cambio de los componentes o de su programacin.
2. Establecer procedimientos e implementarlos para identificar, investigar, supervisar y aprobar las salidas de los procesos, tareas y programas calendarizados. 3. Establecer y coordinar la elaboracin y ejecucin del calendario diario de tareas y asegurar que la planificacin de las tareas y procesos programados considera los requerimientos de los servicios de TIC en operacin, sus prioridades, conflictos entre los procesos y tareas, as como el balanceo de cargas entre otros. Este calendario deber estar basado en los programas de ejecucin de tareas para la operacin 4. Definir e implementar un procedimiento para resolver las fallas producto de la ejecucin de las tareas y procesos programados de la operacin. 5. Implementar herramientas automatizadas inmediatamente fallas crticas del proceso.
y procesos, para notificar
y rectificar
Bitcora de la operacin Solicitudes de cambios relacionadas con la operacin Solicitudes de soporte relativas a incidentes de operacin (actualizadas) Programa de ejecucin de tareas
AO-3 Monitorear la infraestructura de TIC

Descripcin
Factores crticos
Asegurar que en los registros de operacin se almacena suficiente informacin cronolgica para permitir la reconstruccin, revisin y anlisis de las secuencias de tiempo de las operaciones y de las otras actividades que sustentan las operaciones. 1. Definir y establecer herramientas que permitan validar el estado de los dispositivos, para asegurar que operan dentro de los lmites aceptables. 2. Definir e implementar reglas para la administracin de eventos. Un evento es un suceso significativo para la administracin de la infraestructura o la entrega de un servicio. Los eventos son creados por un servicio de TIC, un elemento de configuracin o una herramienta de monitoreo. Los eventos pueden ser programados para comunicar informacin de la operacin, o ser alertas y excepciones y pueden ser la base para automatizar muchas de las tareas rutinarias de operacin. Definir los distintos tipos de eventos para establecer reglas de administracin por tipo. Algunos tipos de eventos pueden ser: Eventos que denotan operaciones normales. Por ejemplo, la notificacin de que una carga de informacin programada fue efectuada. Eventos que denotan excepciones. Por ejemplo, un usuario intenta acceder a una aplicacin a la que no tiene acceso. Eventos que denotan operacin inusual pero que no son excepciones. Por ejemplo, el nivel de utilizacin de la memoria de un servidor alcanza un 5% de su nivel ms alto aceptable. 3. Asegurar que cualquier tarea o proceso que se ejecute como parte de la operacin sea
Pg. 343 de 372

registrado. Los datos registrados se usan para identificar la causa raz de los incidentes detectados, as como para confirmar la ejecucin satisfactoria de las tareas y procesos.
4. Identificar y mantener una lista de datos e informacin de infraestructura que necesitan ser monitoreados y/o supervisados, basados en servicios crticos y en la relacin entre los datos e informacin de configuracin y servicios que dependen de ellos. 5. Definir e implementar reglas para la deteccin de incidentes relacionados con la administracin de eventos. 6. Se debern catalogar en incidentes menores y mayores, para no generar un registro de informacin innecesaria. 7. Resguardar la informacin de los incidentes, para poder realizar un anlisis en la solucin de problemas, prevencin o mejora. 8. Establecer procedimientos para monitorear los registros de incidentes y conducir revisiones peridicas.
9. Asegurar que los registros de incidentes son creados en el momento en que se identifican
desviaciones, durante el monitoreo. Bitcora de la operacin Solicitudes de cambios Solicitudes de soporte relativas a incidentes de operacin (actualizadas) Programa de ejecucin de tareas
7.11.1.2.3
Rol
Descripcin de roles
Descripcin
Administrador de Ejecuta las actividades y procesos programados, monitorea la ejecucin y da seguimiento a la resolucin de los incidentes producto de la ejecucin de los procesos y tareas da a da. la operacin
Es responsable de que las actividades programadas se lleven de acuerdo al horario y forma establecida, as como de comunicar los resultados, de acuerdo a los procedimientos establecidos. 7.11.1.2.4
Producto Bitcora de la operacin
Descripcin
Contiene el registro de las actividades realizadas en forma programada. El formato de las bitcoras de operacin es muy variado, dependiendo de las soluciones tecnolgicas e infraestructura. La Bitcora de operacin deber incluir al menos los siguientes datos: Registros de los sistemas operativos de cada dispositivo.
Pg. 344 de 372
Producto
Descripcin

Procedimientos de la operacin
Registros de actividades de aplicaciones almacenadas en un servidor. Registros de eventos almacenados en la herramienta de monitoreo. Registro de accesos fsicos a instalaciones restringidas. Registro manual de actividades realizadas.
Conjunto de documentos con instrucciones detalladas y actividades calendarizadas para cada uno de los equipos, departamentos o grupos que participen en la administracin de la operacin. Programa de Documento con instrucciones detalladas y actividades calendarizadas para cada una de las ejecucin de tareas en que participen los equipos de operacin, as como de los servicios que prestan a tareas los usuarios. Solicitudes de Documento que se integra al repositorio de informacin, en que se actualiza la informacin soporte relativas de las solicitudes de soporte relativas a los incidentes que ocurren durante la operacin.
a incidentes de operacin Solicitud de cambio
Formato para documentar el propsito y detalles del cambio propuesto, que es sometido a consideracin y valoracin por parte de la autoridad, para decidir su procedencia o rechazo. Caractersticas: Contiene los detalles de las propuesta del cambio Nombre y detalles del contacto Se le asigna un identificador nico Se anexan al formato, documentos de soporte: evidencias de pruebas unitarias, de usuario, integrales, entre otros.
7.11.1.3
Nombre Nmero de incidentes en la ejecucin de la programaci n de tareas para la operacin de los servicios de TIC Interrupcin de los servicios por incidentes en la ejecucin de los
Indicadores
Objetivo Eficacia en el proceso Descripcin Obtener el numero de incidentes en la operacin Dimensin Eficacia Tipo De gesti n Frmula % eficacia= (Nmero de incidentes en la operacin/numer o de tareas programadas) X 100 Responsable Administrador del proceso Frecuenci a de clculo Semestral
Eficacia en el proceso
Conocer la eficiencia del proceso en relacin a los minutos de interrupcin
Eficacia
De gesti n
% eficacia= ( de minutos de interrupcin en los servicios por incidentes en la ejecucin de
Semestral
Pg. 345 de 372

Frecuenci a de clculo
Nombre procesos programados
Objetivo
Descripcin de los servicios
Dimensin
Tipo
Frmula tareas y procesos) / (tiempo mximo acumulado de minutos establecido para interrupcin por incidentes en la ejecucin de tareas y procesos) X 100
Responsable
7.11.1.4 1.1
Reglas del proceso La UTIC, a travs del responsable del proceso de Administracin de la operacin, deber establecer las instructivos de operacin que contengan los datos necesarios para la ejecucin, monitoreo, resolucin de problemas y niveles de escalamiento en caso de incidentes. La UTIC, a travs del responsable del proceso de Administracin de la operacin, deber asegurar el cumplimiento de lo establecido en los planes de continuidad y procedimientos de la operacin. La UTIC, a travs del responsable del proceso de Administracin de la operacin, es responsable de la administracin de operacin de la red de rea local y de la red de rea extendida y dems infraestructura relativa a comunicaciones. El responsable del proceso de Administracin de la operacin deber asegurarse de que se lleve a cabo la calendarizacin de las tareas de configuracin de equipos en la red, asegurando que los datos de los usuarios de los servicios de TIC estn actualizados. El rea responsable del centro de datos y operaciones deber conservar la integridad del equipo de TIC ubicados en ste.
1.2 1.3
1.4
1.5
7.11.1.5
Pg. 346 de 372
7.11.2 7.11.2.1
Administracin de ambiente fsico Objetivos del proceso
General.Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de las TIC contra acceso fsico no autorizado, dao, robo, o mal uso de los recursos, minimizando el riesgo de una interrupcin del servicio.
Especficos.-
1. Administrar y mantener las condiciones de energa elctrica, temperatura y seguridad, necesarias para la operacin del centro de datos. 2. Definir las mediciones para monitorear la estabilidad del ambiente fsico del centro de datos, tomando las medidas preventivas y correctivas pertinentes.
3. Asegurar el mnimo impacto a la dependencia o entidad en caso de variaciones en el ambiente fsico

que afecten los servicios de TIC.
Pg. 347 de 372
7.11.2.2 7.11.2.2.1

Plan de continuidad de servicios de TIC Plan de capacidad de los recursos de TIC
DSTI
AAF-1 Seleccionar o disear el centro de datos
ARTI
Especificaciones del centro de datos
ARTI
Sentencias de aplicabilidad Calendario de cambios
AAF-2 Establecer las medidas de seguridad fsica
ARTI ACMB
Sistema de seguridad fsica al centro de datos
AAF-3 Establecer medidas de control de acceso fsico a las reas reservadas para la UTIC
ARTI Repositorio de riesgos de TIC ARTI

A
Sistema de acceso fsico a las reas reservadas a la UTIC
AO
MI AAF-4 Establecer la proteccin contra riesgos ambientales AAF-5 Administrar las instalaciones fsicas
Medidas de proteccin contra riesgos ambientales
Solicitudes de soporte relativas a incidentes de AAF
ARTI
OMS
Pg. 348 de 372
Pg. 349 de 372
7.11.2.2.2
AAF-1: Seleccionar o disear el centro de datos (site)

Definir y seleccionar los centros de datos fsicos para el equipo de las TIC. 1. Seleccionar o disear un centro de datos que cumpla con los requerimientos, presentes de la dependencia o entidad y permita escalabilidad futura, as como con las regulaciones internacionales, nacionales y las propias reglas de seguridad del presente manual. Asegurar que la seleccin y/o diseo del centro de datos tome en consideracin las leyes y regulaciones aplicables. Para su seleccin o diseo, se debe identificar los riesgos potenciales y las amenazas para los centros de datos y evaluar su impacto en la dependencia o entidad. Seleccionar o disear los centros de datos de forma en que se minimicen los impactos de los riesgos ambientales, de acuerdo a su ubicacin geogrfica. Considerar la instalacin de dispositivos y equipo especializado para monitorear y controlar las alertas asociadas al medio ambiente.
2. 3. 4. 5.
Especificaciones del centro de datos
AAF-2: Establecer las medidas de seguridad fsica.

Descripcin
Definir e implementar medidas de seguridad fsicas, alineadas a los procesos de administracin de la seguridad de la informacin y administracin de riesgos de TIC, de la dependencia o entidad. Definir e implementar las reglas de operacin de acceso a los centros de datos. 1. Establecer un Sistema de seguridad fsica en el centro de datos que considere como mnimo: Limitar el acceso a la informacin sensible de los centros de datos, de acuerdo a la estrategia de seguridad. Los riesgos de acceso fsico del proceso de Administracin de riesgos, asociados a la naturaleza de la dependencia o entidad. El retiro, transporte y almacenamiento del equipo de forma segura. La eliminacin de toda la informacin y de los dispositivos de almacenamiento que dejen de ser utilizados. Asegurar que a todos los dispositivos de almacenamiento fijos removibles y externos se les apliquen las medidas de seguridad correspondientes. Asegurar que todos los incidentes sobre la seguridad fsica sean registrados, supervisados, administrados, reportados y resueltos.
Pg. 350 de 372
Factores crticos

Sistema de seguridad fsica al centro de datos.
AAF-3: Establecer medidas de control de acceso fsico a las reas reservadas de la UTIC
Descripcin
Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a las ubicaciones de la UTIC, de acuerdo con los requerimientos de seguridad indicados por el SGSI, incluyendo las salidas de emergencia. 1. 2. 3. 4. Aplicar los criterios definidos mediante el SGSI para determinar el acceso fsico a las reas de la UTIC. Con apego a los controles que establezca el SGSI, definir e implementar un mecanismo para controlar el acceso a las reas reservadas de la UTIC, que mnimamente cubra: Puntos de acceso normal. Puntos de acceso en caso de emergencia. Puntos de acceso a equipos con datos sensibles. Puntos de acceso restringido. Perfiles de acceso para todo el personal involucrado en la gestin de la UTIC. Difundir y asegurar el entendimiento de las medidas de seguridad. Establecer mecanismos de monitoreo, para verificar el cumplimiento a las medidas de seguridad.
Factores crticos
Sistema de acceso fsico a las reas reservadas de la UTIC.
AAF-4: Establecer la proteccin contra riesgos ambientales

Disear e implementar medidas de proteccin contra riesgos ambientales 1. 2. 3. 4. 5. Identificar posibles riesgos, as como amenazas causadas por desastres naturales o provocadas por el hombre, que pueden ocurrir en el rea de las instalaciones de TIC. Identificar cmo el equipo de TIC, incluyendo el equipo mvil y fuera de sitio, se protege contra riesgos y amenazas ambientales. Monitorear y mantener en forma peridica los dispositivos que detectan amenazas ambientales, para responder a las alarmas y a otras notificaciones Comparar las medidas y los planes de contingencia contra los clausulados y requisitos de las plizas de seguro, cuando aplique. Mantener el centro de datos y los cuartos de servidores en condiciones aptas y seguras.
Medidas de proteccin contra riesgos ambientales
Pg. 351 de 372

AAF-5: Administrar las instalaciones fsicas.
Descripcin
Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa, de acuerdo con las leyes y los reglamentos, los requerimientos tcnicos y de la dependencia o entidad, las especificaciones del proveedor y los lineamientos de seguridad y salud. Cumplir con los requerimientos para la proteccin contra condiciones ambientales, descargas atmosfricas, fluctuaciones de la energa y sobrecargas elctricas de las instalaciones de TIC, en conjunto con otros requerimientos de continuidad de la dependencia o entidad. Probar y mantener los mecanismos de suministro de energa ininterrumpible (UPS) y asegurar que el suministro se puede cambiar directamente a la lnea comercial o generador sin ningn efecto significativo sobre operaciones de la dependencia o entidad. Asegurar que las instalaciones para alojar las soluciones tecnolgicas de TIC tengan suministro de energa alterno. Verificar que los cableados horizontales y verticales, as como acometidas externas de los centros de datos estn instalados de acuerdo a las normas y polticas de seguridad establecidas. Proveer sistemas de cableados con esquemas de redundancia y alta disponibilidad para alojar sistemas que as lo requieran. Asegurar que los centros de datos y las instalaciones estn en conformidad con las leyes relevantes de salud y de seguridad, regulaciones, pautas y especificaciones del vendedor. Capacitar al personal en leyes de salud y de seguridad, regulaciones y pautas relevantes. Asegurar que todos los incidentes sobre la seguridad fsica sean registrados, supervisados, administrados, reportados y resueltos. Estas actividades debern estar alineadas a lo sealado en el proceso de Operacin de la mesa de servicios. 8. Asegurar que los centros de datos y equipo se mantienen operando conforme a los parmetros y especificaciones de servicio requeridos por el proveedor, adems de verificar la vigencia de las garantas y contratos de servicios. Elaborar y cumplir con un programa de mantenimiento y actualizacin, de acuerdo a los requerimientos de los activos y a las necesidades de aprovisionamiento de infraestructura. Analizar las alteraciones fsicas de los centros de datos o las premisas para volver a examinar el riesgo ambiental.
Factores crticos 1.
2.
3. 4.
5.
6. 7.
9.
Solicitudes de soporte relativas a incidentes de AAF actualizadas
Pg. 352 de 372

7.11.2.2.3
Rol Administrador del proceso de administracin de ambiente fsico
Descripcin de roles
Descripcin
Es responsable del ambiente fsico del centro de datos as como de definir, establecer y aplicar las mejoras al proceso de Administracin del ambiente fsico.
7.11.2.2.4
Producto
Descripcin
Especificaciones del centro de datos Sistema de seguridad fsica al centro de datos. Sistema de acceso fsico a las reas reservadas a la UTIC.
Contiene las caractersticas fsicas que debe tener el centro de datos de la dependencia o entidad. Contiene los lineamientos y las medidas de seguridad fsica adoptadas para el centros de datos. Contiene los lineamientos y las medidas adoptadas, para el control de acceso a todas las reas reservadas a la UTIC.
Medidas de proteccin Contiene las medidas de cmo el centro de datos es protegido contra los riesgos identificados en el proceso de Administracin de riesgos de TIC, relacionados con contra riesgos amenazas por factores ambientales. ambientales. Solicitudes de soporte Actualizacin de las solicitudes de soporte relativas a los incidentes que ocurren en las instalaciones del centro de datos. relativas a incidentes de administracin de ambiente fsico actualizadas
7.11.2.3
Nombre
Indicadores:
Objetivo Obtener la medicin de la eficacia del proceso Descripcin Medir la eficacia en la implementacin de las medidas de seguridad de ambiente fsico Dimensin Eficacia Tipo De gestin Frmula % eficacia= (Nmero de medidas de seguridad de ambiente fsico implementadas / Nmero de medidas de seguridad de ambiente fsico definidas en la poltica de Responsable Administrador del proceso Frecuencia de clculo Semestral
Medidas de seguridad de ambiente fsico implementadas
Pg. 353 de 372

Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula seguridad fsica para su implementacin) x 100
Responsable
Interrupcin de los servicios por incidentes en el ambiente fsicos
Eficiencia en el proceso
Medir la eficiencia del proceso obteniendo el porcentaje de minutos de interrupcin por incidentes derivados de elementos del ambiente fsico de operacin
Eficiencia
De gestin
% eficiencia= ( de minutos de interrupcin en los servicios por incidentes de ambiente fsico) / (tiempo mximo establecido para interrupcin por incidentes de ambiente fsico) X 100
Semestral
7.11.2.4 1.1
Reglas del proceso La UTIC es responsable de disear y generar las especificaciones de un centro de datos que permita establecer y mantener la estrategia de TIC, ligada a la estrategia de la dependencia o entidad. La UTIC es responsable de establecer y operar un centro de datos con la capacidad para establecer y mantener la infraestructura tecnolgica y los servicios de TIC. La UTIC deber designar un administrador del proceso de Administracin del ambiente fsico. Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. El administrador del proceso de Administracin del ambiente fsico deber asegurar que se realicen las actividades peridicas de mantenimiento al ambiente fsico de TIC, a fin de mantener operando los servicios de manera adecuada. El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han establecido los mecanismos de control para garantizar la seguridad del centro de datos. El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han establecido los mecanismos que mitiguen los riesgos de falla causados por factores ambientales. El administrador del proceso de Administracin del ambiente fsico deber asegurar que se han establecido los controles suficientes para el acceso al centro de datos y a los activos de TIC que ah se resguarden. Se debern realizar de manera peridica revisiones de los mecanismos de control y de seguridad a fin de evaluar su efectividad para garantizar la seguridad y el correcto funcionamiento del centro de datos.
Pg. 354 de 372
1.2 1.3 1.4 1.5 1.6 1.7
1.8 1.9 1.10
1.11

1.12 1.13 El administrador del proceso de Administracin del ambiente fsico es responsable del cumplimiento de las Declaraciones de aplicabilidad de seguridad de la informacin de la dependencia o entidad. La UTIC asegurar que se mantenga la temperatura ptima de operacin de los equipos de comunicaciones a travs de aire acondicionado y evitar fallas por altas temperaturas.
7.11.2.5
Pg. 355 de 372
7.11.3. 7.11.3.1. General.-
Mantenimiento de infraestructura Objetivos del proceso
Adquirir, instalar y mantener actualizada la infraestructura tecnolgica para garantizar la continuidad de los servicios de TIC.
Especficos.-
1. Establecer un Plan de adquisicin de tecnologa alineado con los planes de tecnologa y de capacidad de los recursos de TIC. 2. Adquirir y mantener una infraestructura de TIC integrada y estandarizada.
Pg. 356 de 372
7.11.3.2 7.11.3.2.1

DDT DSTI ADTI ACNF ADT Plan de tecnologa Plan de capacidad de los recursos de TIC Paquetes de diseo de servicios de TIC Programa de adquisiciones y servicios de TIC CMDB Principios de los dominios tecnolgicos AAF, AO, DSTI, ADTI
ASI ARTI
Sentencias de aplicabilidad Repositorio de riesgos de TIC
MI-1 Plan de adquisicin de infraestructura tecnolgica
Plan de aprovisionamiento de infraestructura CMDB Solicitud de cambio rdenes de trabajo Calendario de cambios
ACNF ACMB
MI-2 Proteccin y disponibilidad del recurso de infraestructura
Solicitudes de cambio MI-3 Mantenimiento de la infraestructura
Bitcora de proteccin del recurso de infraestructura
AO
ACMB
MI-4 Pruebas de factibilidad de infraestructura
Plan de mantenimiento de la infraestructura Bitcora de mantenimiento de infraestructura Solicitudes de soporte relativas a incidentes de mantenimiento
APTI DSTI THO
Plan de proyecto Paquete de diseo del servicio Plan de transicin a la operacin y soporte
Bitcora de resultados de las pruebas de factibilidad
AO
AO, APTI, DSTI, THO
Pg. 357 de 372
Pg. 358 de 372
7.11.3.2.2
MI-1: Plan de adquisicin de infraestructura tecnolgica

Descripcin
Generar un plan para adquirir e implementar la infraestructura tecnolgica de acuerdo con la direccin tecnolgica de la dependencia o entidad, considerando extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa.
Factores crticos
1. Contar con un Plan de adquisiciones de infraestructura y darle seguimiento. Asegurar que el plan cuenta con una evaluacin del estado financiero as como el retorno de la inversin durante el ciclo de vida de la infraestructura. 2. Monitoreo y control de los planes para el aprovisionamiento. 3. Establecer un proceso de soporte y mejora continua de la infraestructura tecnolgica. 4. Evaluar los planes de adquisicin considerando los riesgos, costos, beneficios y el cumplimiento a los estndares de tecnologa. Cualquier desviacin deber ser autorizada por el Grupo de trabajo de arquitectura tecnolgica.
Relacin productos
de
MI-2: Proteccin y disponibilidad del recurso de infraestructura

Descripcin
Implementar medidas de control interno, seguridad y auditora durante la configuracin, implementacin y mantenimiento de componentes de la infraestructura para proteger los recursos. 1. Asegurar que se establezcan los controles de riesgos establecidos en el Sistema de gestin de la seguridad de la informacin (SGSI ver proceso ASI). Asegurar que los controles de riesgos consideren entre otros: Respaldo y proteccin de todos los datos de infraestructura y software antes de la instalacin o de las tareas de mantenimiento. Validacin del ambiente de la aplicacin. Comprobar si el ambiente de desarrollo y pruebas de la aplicacin est separado, pero es suficientemente similar a la produccin de manera que permita comprobar la funcionalidad y establecer su seguridad, la disponibilidad o las condiciones de integridad. Esto asegura que operen adecuadamente y cumplan con los requisitos establecidos en el aprovisionamiento y el mantenimiento de la infraestructura de tecnologa. Aplicacin de procedimientos de aceptacin, usando criterios de aceptacin objetivos, para garantizar que el rendimiento del producto (incluida la seguridad y funcionalidad) es consistente con las especificaciones acordadas y/o requerimientos de nivel de servicio. Evaluacin de todos los aspectos de seguridad asociados con la instalacin del sistema y mantenimiento de procesos.
Pg. 359 de 372
Factores crticos

Monitorear la modificacin de contraseas originales asignadas por proveedores de servicios, acceso temporal para instalacin y la configuracin de parmetros que pueden afectar la seguridad, como establecer la configuracin por defecto de los parmetros. Control de movimientos de programas, software y datos entre los repositorios para asegurar que son ejecutados por un grupo independiente. Revisar el proceso para asegurar que la instalacin del software se desempea de acuerdo con las directrices del proveedor que y cualquier desviacin se discute con el vendedor para evaluar un impacto potencial. Monitorear el registro de acceso y mantenimiento de componentes sensibles de la infraestructura y asegurar que stos se revisan peridicamente, as como las licencias apropiadas de software que son probadas e instaladas. 2. Dar seguimiento a la implantacin de los planes de mitigacin de riesgos establecidos en el proceso de Administracin de riesgos de TIC relativos a componentes de infraestructura. 3. Comunicar claramente las responsabilidades al utilizar componentes de infraestructura sensibles a todos aquellos involucrados en las actividades de configuracin, implementacin y mantenimiento.
4. Registrar las actividades de proteccin y de mitigacin de riesgos ejecutadas.

Relacin productos de
Bitcora de proteccin del recurso de infraestructura Solicitudes de cambio
MI-3: Mantenimiento de la infraestructura

Descripcin
Desarrollar una estrategia y un Plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el proceso de Administracin de cambios de la dependencia o entidad. Establecer un mecanismo para efectuar la revisin de la infraestructura contra las necesidades de los servicios de TIC, administracin de actualizacin de versiones o correccin de defectos y estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y requerimientos de seguridad. 1. Establecer una estrategia y un Plan de mantenimiento de la infraestructura para proporcionar orientacin general en correspondencia con los procedimientos de Administracin de cambios de la dependencia o entidad. 2. Asegurar que se ejecute el mantenimiento de infraestructura. 3. Asegurar que el mantenimiento del software del sistema instalado (actualizacin de versiones o correccin de defectos, y otras actualizaciones) se gestiona mediante el establecimiento de procesos de administracin del cambio y se realiza en conformidad con los procedimientos y directrices correspondientes. 4. Establecer la gestin de la documentacin que sirve como referencia del mantenimiento realizado, con el objetivo de analizar la existencia de vulnerabilidades dentro de la infraestructura. 5. Revisar sobre una base regular la cantidad de mantenimiento que se realiza y la vulnerabilidad de la infraestructura no compatible; considerar los riesgos futuros, incluyendo vulnerabilidades de seguridad. Informar de cualquier problema identificado
Pg. 360 de 372
Factores crticos

para su consideracin en el proceso de planificacin de la gestin de incidencias.
Plan de mantenimiento de la infraestructura Bitcora de mantenimiento de infraestructura Solicitudes de soporte relativas a incidentes de mantenimiento
MI-4: Pruebas de factibilidad de infraestructura

Descripcin
Establecer el ambiente de desarrollo y pruebas para el desarrollo de las pruebas de paquetes de liberacin e infraestructura, en las primeras fases del proceso de adquisicin y desarrollo. Esto incluye la funcionalidad, la configuracin de hardware y software, pruebas de integracin y desempeo, migracin entre ambientes, control de las versiones, datos y herramientas de prueba y seguridad. 1. Disear un enfoque de los planes estratgicos acorde con la tecnologa, que permita la creacin y simulacin de ambientes adecuados para verificar la viabilidad de las adquisiciones previstas o desarrollos. Considere la posibilidad de que sea en sitio y tambin opciones externas, incluidas las visitas de referencia, laboratorios de pruebas de proveedores, creacin de prototipos, los pilotos de modelos, y prueba de concepto de la evolucin, en funcin de la complejidad, los aspectos prcticos y los costos. 2. Crear un entorno de prueba que considere la funcionalidad, configuracin de hardware y de software, integracin y pruebas de rendimiento, la migracin entre los entornos, control de versin, datos de prueba, herramientas, y seguridad. Bitcora de resultados de las pruebas de factibilidad Solicitudes de cambios
Factores crticos
7.11.3.2.3
Rol
Descripcin de roles
Descripcin del Responsable de administrar las actividades de mantenimiento de la infraestructura de la a dependencia o entidad.
Administrador mantenimiento infraestructura
7.11.3.2.4
Producto
Descripcin
Plan de mantenimiento de infraestructura
Este plan contiene todas las tareas necesarias para prevenir los principales fallos que puede tener la instalacin de algn elemento de la infraestructura. El Plan de mantenimiento es un conjunto de tareas de mantenimiento agrupadas; el objetivo de este plan es evitar determinadas fallas.
Pg. 361 de 372

Bitcora de mantenimiento de infraestructura Bitcora de proteccin del recurso de infraestructura Bitcora de resultados de las pruebas de factibilidad Solicitud de cambio Solicitud de soportes relativas a incidentes de mantenimiento Plan de aprovisionamiento de infraestructura
Registros de soporte y documentacin de las actividades del mantenimiento efectuado a la infraestructura. Registros de las actividades de proteccin del recurso de infraestructura efectuadas.
Registros de los resultados del Plan de pruebas para soportar las acciones a desarrollar con los elementos probados. Formato para documentar el propsito y detalles de un cambio propuesto (ver proceso ACMB). Actualizacin de la informacin de las solicitudes de soporte relativas a incidentes que ocurran en el mantenimiento de infraestructura. Documento donde se establece la estrategia a seguir para adquirir e instalar infraestructura tecnolgica de acuerdo a las necesidades de la dependencia o entidad, contiene: especificaciones funcionales, especificaciones tcnicas, extensiones futuras de la infraestructura, costos, riesgos, vida til, retorno de inversin y la fecha probable en que ser requerida.
7.11.3.3
Nombre
Indicadores:
Objetivo Obtener una medicin de la eficiencia del proceso Descripcin Medir los resultados del proceso por medio de las acciones efectuadas en tiempo y forma Dimensin Eficiencia Tipo De gestin Frmula % eficiencia= (Solicitudes de soporte de mantenimie nto realizadas segn lo planeado) / Nmero de solicitudes recibidas) X 100 % eficacia =(nmero de interrupcion es por no contar con los insumos necesarios) / (nmero Responsable Administrador del proceso Frecuencia de clculo Semestral
Resultados del proceso
Interrupcin de los servicios por incidentes en el ambiente fsicos
Obtener una medicin de la eficacia en el proceso
Medir el numero de interrupciones en los servicios por incumplimiento del proceso
Eficacia
De gestin
Semestral
Pg. 362 de 372

Nombre
Objetivo
Descripcin
Dimensin
Tipo
Frmula total de interrupcion es en el servicio) X 100
Responsable
7.11.3.4 1.1 1.2 1.3 1.4 1.5 1.6 1.7
Reglas del proceso Deber generarse un Plan de adquisicin de infraestructura y un Plan de mantenimiento por cada dependencia o entidad con el objetivo de promover el desarrollo tecnolgico. La dependencia o entidad, deber establecer e implementar el proceso de Mantenimiento de la infraestructura con el objetivo de prevenir fallas y/o errores tecnolgicos Las reglas de seguridad de la informacin que establecidas por medio del SGSI, son extensivas a este proceso. La evaluacin de desempeo de este proceso, deber realizarse de acuerdo a lo establecido en el proceso de Administracin del desempeo de TIC. Los roles y responsabilidades de este proceso debern definirse mediante el proceso de Establecimiento de estructura de gobierno de TIC. Las dependencias o entidades debern definir los indicadores para cada procedimiento que se derive de este proceso, una vez definido el catlogo de servicios. La UTIC y las reas facultadas establecern las especificaciones tcnicas de las bases de licitacin para contratar los servicios de mantenimiento preventivo y correctivo que se aplicarn a la infraestructura de tecnologa de informacin. Las UTICS debern elaborar un calendario de mantenimiento preventivo para proporcionar mantenimiento a los equipos de cmputo o comunicaciones y evitar la ocurrencia de una falla parcial o total de cualquier equipo instalado en el centro de datos. El mantenimiento correctivo requerido para solucionar fallas en los equipos de cmputo o de comunicaciones, ya sea de equipos en periodo de garanta o de equipos bajo contrato administrado por la UTIC, invariablemente deber reportarse al rea resolutoria a travs de mesa de servicios de la UTIC La UTIC es responsable de proporcionar el soporte tcnico a todos los usuarios y equipos de la dependencia o entidad, teniendo como respaldo el reporte de mesa de servicios o su equivalente. La UTIC es responsable de contar con la infraestructura y herramientas necesarias para proporcionar soporte tcnico a los usuarios y equipos de cmputo. La UTIC instalar equipos multifuncionales, o impresoras, copiadoras y escneres dentro de la red institucional. Deber configurar el acceso al servicio de los equipos multifuncionales de acuerdo a un perfil de usuario y grupo de trabajo. Deber llevar la contabilizacin de la utilizacin de los 3 servicios: impresin, fotocopiado y escaneo.
1.8
1.9
1.10 1.11 1.12
7.11.3.5
Pg. 363 de 372
RGANOS COLEGIADOS
De acuerdo a las necesidades de los procesos del Marco rector de este Manual, se indica, en los que corresponde, que deben establecerse diversos grupos de trabajo, indicando su rol principal y participacin en las macro-actividades de cada uno de los 31 procesos que conforman el Marco rector en el presente instrumento. Estos grupos de trabajo y los responsables que para cada uno de ellos se requiere debern ser conformados en las dependencias y entidades, a travs de la UTIC, de acuerdo a sus estructuras organizacionales y sus objetivos institucionales mediante el proceso EEG Establecimiento de la estructura de gobierno de TIC.
Pg. 364 de 372
ANEXOS/FORMATOS
ANEXO I. Informacin de referencia a los procesos del presente manual. Referencias alas mejores prcticas internacionales de TIC: COBIT , marca registrada del IT Governance Institute (www.itgi.org) ITIL , marca registrada ante el Office of Government Commerce. (UK) (www.itil.co.uk) CMMI , marca registrada ante el U.S. Patent and Trademark Office por Carnegie Mellon University. (www.sei.cmu.edu/cmmi/) TOGAF, The Open Group Architecture Framework /TOGAF, copyright del The Open Group (www.opengroup.org) RISK-IT , marca registrada del IT Governance Institute (www.itgi.org) VAL-IT , marca registrada del IT Governance Institute (www.itgi.org) Serie ISO/IEC 27000, estndar de la International Organization for Standardization (www.iso.org ISO 9001:2000, estndar de la International Organization for Standardization (www.iso.org), norma internacional de calidad The Standard for Portafolio Management , Copyright del Project Management Institute (PMI) Project Management Body of Knowledge (PMBoK) Guide, marca registrada del Project Management Institute BSC, Cuadro de mando integral, (Balanced Scorecard) ISO/IEC 20000:2005, norma internacional para gestin de servicio de TIC MOPROSOFT, modelo de procesos para la industria mexicana de desarrollo y mantenimiento de Software Descripcin general breve de las mejores prcticas y mbito de influencia en los procesos: En el diseo de las actividades de los procesos del Marco rector de procesos de este manual se tomaron como base un conjunto de mejores prcticas y modelos de referencia que fueron unificados y adecuados a las circunstancias de la APF. A continuacin se describen brevemente las mejores prcticas y se enuncian los procesos o grupos de procesos del Marco rector que se encuentran dentro del mbito de influencia de la mejor prctica.
Modelo Rector CMMI Marca registrada ante el U.S. Patent and Trademark Office por Carnegie Mellon University. (www.sei.cmu.edu/cmm i/)
Descripcin general
El modelo CMMI (Capability Maturity Model Integration) es una gua para la mejora de procesos que provee a la organizacin de una descripcin de los elementos esenciales para el desarrollo de procesos efectivos; es una recoleccin de las mejores prcticas para el desarrollo y mantenimiento de servicios y productos de software. El objetivo de CMMI es establecer una gua que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios de TIC. El CMMI tiene elementos complementarios que cubren las necesidades del rea de TIC como el desarrollo de aplicaciones (CMMI-DEV) y los procesos de adquisicin (CMMI-ACQ) de
Pg. 365 de 372

servicios de TI. El CMMI-DEV es el modelo de procesos para la mejora y evaluacin de la capacidad de los procesos de una organizacin que desarrolla y da mantenimiento a software. Especifica los procesos de desarrollo de soluciones tecnolgicas desde la perspectiva de la organizacin que desarrolla. El CMMI-ACQ es el modelo de procesos que gua a las organizaciones en la gestin de la adquisicin de productos y servicios. El modelo se centra en desarrollar las capacidades de los procesos de una organizacin que adquiere servicios de desarrollo de software y tambin en el proceso de compra, e integra los cuerpos de conocimiento esenciales para que las adquisiciones resulten exitosas, utilizando las mejores prcticas desde la concepcin de la compra, establecimiento de los requisitos necesarios, los acuerdos requeridos con el proveedor, conduccin de la adquisicin, evaluacin del avance y de los productos/servicios resultantes, los procesos para ejecutarlos as como su aceptacin, transicin y liberacin. Este modelo complementa al CMMI-DEV al especificar los procesos desde la perspectiva del comprador. mbito de influencia en el marco rector En el contexto del Marco rector de procesos de TIC, El CMMI-DEV fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos de los procesos de desarrollo de soluciones tecnolgicas y calidad de soluciones tecnolgicas. CMMI-ACQ fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos de los procesos de Administracin de proveedores, Adquisiciones de TIC y Administracin tcnica de adquisiciones.
COBIT RISK-IT VAL-IT Marcas registradas del IT Governance Institute (www.itgi.org)
COBIT (Control Objectives for Information and related Technology). Es el marco aceptado internacionalmente para el control de la informacin, la funcin de TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de TI y mejorar los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez. COBIT est conformado por cuatro dominios, cada uno de los cuales estn organizados en procesos (34 en total) que su vez se sub-dividen en actividades y objetivos de control. Por cada proceso COBIT detalla objetivos, indicadores de desempeo, mediciones de resultado, roles y responsabilidades. COBIT asegura que la funcin de TI sustenta y extiende los objetivos estratgicos de la organizacin. El ITGI reconoce que para implementar COBIT es necesario complementarlo con mejores prcticas que prescriben cmo manejar reas especficas de la funcin de TI. Consciente de esta necesidad los objetivos y prcticas de control de COBIT fueron diseados para armonizar con los estndares y mejores prcticas de
Pg. 366 de 372

referencia para la gestin de TI. Puede consultarse una descripcin detallada en el documento COBIT Mapping Overview of International IT Guidance, 2nd Edition disponible en la pgina Internet del ITGI. El ITGI ha publicado una serie de documentos que complementan COBIT, en particular para el diseo del Marco rector fueron considerados: VAL-IT: Documento que detalla las mejores prcticas para la gestin de las inversiones en TI. RISK-IT: Documento que detalla las mejores prcticas para la gestin de riesgos de TI.
mbito de influencia en el Marco rector COBIT fue usado como referencia primaria para la seleccin de las prcticas clave y los factores crticos por los Grupos de procesos de direccin y control. De forma ms general, COBIT fue usado como referencia secundaria en el diseo de las prcticas clave del resto de los procesos del marco rector. VAL-IT fue usado como referencia secundaria para la seleccin de las prcticas clave y los factores crticos del proceso de Administracin del portafolio de proyectos de TIC. RISK-IT fue usado como referencia secundaria para la seleccin de las prcticas clave y los factores crticos del proceso de Administracin riesgos de TIC.
ISO 9001 Estndar de la International Organization for Standardization. (www.iso.org)
El trmino ISO 9000 se refiere a una serie de normas internacionales referentes a Sistemas de Gestin de la Calidad desarrolladas por la Organizacin Internacional de Normalizacin (ISO) y adoptado por 90 pases en todo el mundo. En particular la ISO 9001 es la norma que establece los requisitos para la certificacin de Sistemas de Gestin de la Calidad. La ISO 9001 es el estndar de referencia mejor establecido para la gestin de procesos con foco en la efectividad y mejora continua basada en un modelo de mejora continua (Plan- Do Check Act). La versin que fue usada como referencia del Marco rector de procesos de TIC es la versin 2008. mbito de influencia en el marco rector La norma ISO 9001 fue usado como referencia secundaria para la seleccin de las prcticas clave y el diseo de los factores crticos de los grupos de procesos de Administracin de procesos, Administracin de recursos y Procesos de control.
ISO 27001 Estndar de la International Organization for Standardization. (www.iso.org)
La serie de normas ISO/IEC 27000 documentan las mejores prcticas para la gestin de la seguridad de la informacin. La norma ISO 27001 establece los requisitos para certificar al Sistema de Gestin de la Seguridad de la Informacin de una organizacin. Este marco de referencia establece las mejores prcticas para determinar los estndares de seguridad de aplicaciones. Establece los controles de seguridad que garantizan los niveles apropiados de confidencialidad, disponibilidad e integridad de la informacin.
Pg. 367 de 372

mbito de influencia en el marco rector La norma ISO 27001 fue usada como referencia primaria para la seleccin de las prcticas clave y factores crticos de procesos de Administracin de riesgos de TI y Administracin de la seguridad de la informacin.
ITIL Marca registrada en el Office of Government Commerce. (UK) (www.itil.co.uk)
ITIL (Information Technology and Infraestructure Library) es el estndar ms ampliamente conocido para la gestin de los servicios TI. Una correcta gestin de servicios permite un alto nivel de disponibilidad de dichos servicios y un alto nivel de satisfaccin de clientes y empleados de una organizacin. ITIL se centra en brindar servicios de alta calidad para lograr la mxima satisfaccin del cliente a un costo manejable. En otras palabras: determina la forma de ejecutar procesos estndar ayudados de la tecnologa para lograr la satisfaccin de las personas, usuarios de los servicios de TI. Ahora, con la versin 3 del modelo, se incorpora la gestin de servicios, desde una perspectiva de ciclo de vida, tomando como premisa los requerimientos y lneas estratgicas, para disear, transitar y operar los servicios conforme a lo que necesita y plantea la organizacin. ITIL ha probado consistentemente su utilidad a escala mundial, iniciando por resolver temas de administracin de infraestructura y operacin, asegurando los procesos de cambios y configuraciones y realizando los mejores modelos para la administracin de acuerdos de nivel de servicio mbito de influencia en el marco rector ITIL fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos de los grupos de procesos de Administracin de servicios de TIC, de Transicin y entrega y de Operacin de servicios. En forma secundaria ITIL influy en el diseo de los procesos de los grupos de Administracin de activos y de Operaciones.
Project Management Body of Knowledge (PMBoK) Guide marca registrada del Project Management Institute
El PMBOK es el modelo ms difundido y aceptado para la administracin de proyectos en general (no solo proyectos de TI). El Project Management Institute (PMI) es una organizacin sin fines de lucro dedicada a desarrollar la disciplina de Administracin de proyectos en todo el mundo, tiene ms de 112.000 miembros en 125 pases. El PMBOK se basa en un conjunto de buenas prcticas divididas en 9 reas de conocimiento, cada una de las cuales se sub-divide en procesos (siendo 42 en total). En su conjunto las prcticas de administracin de proyectos permiten incrementar la probabilidad de que los proyectos terminen dentro de las restricciones de costo, tiempo y con la calidad especificada. mbito de influencia en el marco rector El PMBoK fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos del proceso de Administracin de proyectos de TIC.
The Standard for Portafolio Management
The Standard for Portafolio Management es emitido por el PMI. Contiene las mejores prcticas de administracin de portafolios de inversiones asociadas a la
Pg. 368 de 372

Copyright del Project Management Institute
inversin de programas/proyectos. Estas prcticas se refieren a la administracin centralizada de programas y/o proyectos con el propsito de cumplir con los objetivos de una organizacin y maximizar el valor de la inversin. Las prcticas contenidas en este estndar le permiten a una organizacin identificar, priorizar, seleccionar, gobernar, monitorear y reportar el desempeo de los proyectos/programas que componen un portafolio y su alineacin a los objetivos de la organizacin. mbito de influencia en el marco rector El Standard for Portafolio Management fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos del proceso de Administracin del Portafolio de proyectos de TIC.
TOGAF The Open Group Architecture Framework /TOGAF) es copyright del The Open Group (www.opengroup.org)
TOGAF es un marco metodolgico que refleja el consenso de la industria acerca de las mejores prcticas para el desarrollo de una arquitectura empresarial. TOGAF fue desarrollada por miembros del Open Group. TOGAF provee las mejores prcticas para la creacin y actualizacin de una arquitectura que proporciona a una organizacin el contexto tecnolgico y de negocio que requiere para establecer y evolucionar su estrategia tecnolgica, que permite a su vez evolucionar sobre bases slidas las soluciones tecnolgicas y los servicios de TI en respuesta a las necesidades cambiantes y crecientes de la organizacin. mbito de influencia en el marco rector TOGAF fue usado como referencia primaria para la seleccin de las prcticas clave y factores crticos de los procesos para Determinar la direccin tecnolgica y de Administracin de dominios tecnolgicos.
Pg. 369 de 372
ANEXO II. Notacin utilizada en los diagramas de flujo de informacin y de actividades. 1. Smbolos utilizados en los diagramas de flujo de informacin 1 2 3 4 Actividad Sentido de flujo unidireccional Sentido de flujo bidireccional Bifurcacin. Salida de un producto o informacin de una actividad hacia dos actividades, en general pueden ser ms de dos. Entrada de informacin desde otro proceso
Repositorio de informacin
Comentario
Conector
Frontera (salida de informacin a otro proceso)
10
Frontera interna, paso de informacin de una actividad hacia una o mas actividades del mismo proceso
Pg. 370 de 372
2. Smbolos utilizados en los diagramas de flujo de actividades 1 Inicia proceso
Actividad
Flujo de actividades, indicado por el sentido de la flecha Conector
Inicio de actividades en paralelo
Fin de actividad/proceso
Pg. 371 de 372
10.
VIGENCIA
El presente manual tendr vigencia a partir del da siguiente a su publicacin en el DOF.
11.
EMISOR, FECHA Y FIRMA
Dado en la Residencia Oficial de Los Pinos, el da ___ de _______ del ao 2010.
Pg. 372 de 372

Maagtic Final

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Maagtic Final

Uploaded by

Copyright:

Available Formats

1.

Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones

Unidad de Gobierno Digital

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Acuse de recibo electrnico:

Amenaza: Anlisis de riesgos:

rea administrativa: Auditora de seguridad de la informacin: Autenticacin: Autenticidad:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Ciclo de vida del proyecto:

Clave privada: Clave pblica:

Grupo de Seguridad de la Informacin: Confidencialidad: Contrasea: Contrato:

Correo electrnico: Cuenta: Datos personales:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Extensin de Archivo: Firewall (Corta fuego): Firma digital:

Funcionalidad: Gestin de riesgos: Gobierno digital:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Problema: Proyecto estratgico:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Sistema Automatizado de Control de Gestin:

Sistema de datos personales: Sistema o aplicativo:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Tarjeta Inteligente: Titular de un certificado digital: Trmite electrnico:

Usuarios: Validacin: Verificacin:

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

El proceso de Administracin de la configuracin del Marco rector de procesos de este manual;

El proceso de Adquisiciones de TIC del Marco rector de procesos de este manual;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

El proceso de Administracin de la operacin del Marco rector de procesos de este manual;

Administracin Pblica Federal;

El proceso de Administracin de proveedores del Marco rector de procesos de este manual;

El proceso de Administracin de riesgos del Marco rector de procesos de este manual;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

El proceso de Cumplimiento regulatorio del Marco rector de procesos de este manual;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

El proceso de Diseo de servicios del Marco rector de procesos de este manual;

El proceso de Liberacin y entrega del Marco rector de procesos de este manual;

El proceso de Mantenimiento de infraestructura del Marco rector de procesos de este manual;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Servicio de Administracin Tributaria;

Secretara de la Funcin Pblica;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Acrnimo empleado convencionalmente para denominar a las Tecnologas de la Informacin y Comunicaciones;

Unidad de Gobierno Digital, en la Subsecretara de la Funcin Pblica de la Secretara de la Funcin Pblica;

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

MBITO DE APLICACIN / ALCANCE

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

PROCESOS EN MATERIA DE TIC

Desarrollo y adquisicin de soluciones

Operaciones Administracin de la operacin Administracin de ambiente fsico Mantenimiento de infraestructura

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES

Descripcin del proceso Mapa general del proceso

Diagrama de flujo de informacin

Todos los procesos del Marco rector