Norma Tecnica

Contraloría General de la República
División de Gestión de Apoyo

Unidad de Tecnologías de Información
Normas Técnicas en
Tecnologías de Información y
Comunicaciones
Informe final Versión 1.0.0
Julio 2009
Normas Técnicas en Tecnologías de Información y Comunicaciones / 3

Introducción
Las Normas técnicas para la gestión y el control de las tecnologías de información (TI),
en adelante referidas como NT, según la resolución No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios básicos de control que deben ser observados
en la gestión institucional de esas tecnologías, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la fiscalización.
De manera congruente con este objetivo, estos criterios básicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Público, N-2-2009-
CO-2009, como lo consigna la norma No. 5.9:
“5.9 Tecnologías de Información. El jerarca y los titulares subordinados, según sus
competencias, deben propiciar el aprovechamiento de tecnologías de información
que apoyen la gestión institucional mediante el manejo apropiado de la información
y la implementación de solu ciones ágiles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologías de información, emitida por
la CGR.”
Conscientes de que las tecnologías de información constituyen un factor crítico y
estratégico para la modernización de los procesos de trabajo y para el desarrollo de
soluciones tecnológicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuación se emite un informe con los principales aspectos desarrollados en la
Contraloría General, como Administración Activa, en atención de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contraloría y las instituciones y órganos sujetos
a su fiscalización, ha contado con dos años a partir del 31 de julio de 2007, para
cumplir con la serie de criterios básicos de gestión y control de las NT.
4 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Al cabo de ese período, se logra culminar un primer esfuerzo de cumplimiento
razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto
obste para ir profundizando y actualizando los resultados obtenidos, así como para
atender nuevos requerimientos derivados de la normativa y del entorno.
Metodología
Para atender la normativa se inició con el trabajo de preparación delineado en el
artículo 6 de la Resolución No. R-CO-26-2007, a saber:
• La constitución de un equipo de trabajo.
• La designación de un responsable del proceso de implementación,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan definido.
• El estudio detallado de las normas técnicas referidas, para identificar las que
apliquen a la entidad u órgano de conformidad con su realidad tecnológica
y con base en ello establecer prioridades de implementación.
• Una planificación debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos técnicos.).
Para su implementación, la señora Contralora, mediante oficio No. CO-0272 del 15 de
agosto de 2007, designó como equipo de trabajo a la comisión ad hoc ya existente,
que había coordinado la elaboración de los planes estratégico y táctico de tecnologías
de información y comunicación de la Contraloría, y que apoya en su implementación
y seguimiento. A este equipo se le asignó el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecución del mismo.
El equipo de trabajo está coordinado por la señora Subcontralora.
La responsabilidad de la implementación técnica de las normas se delegó en la jefatura
de la Unidad de Tecnologías de Información (UTI), quien a su vez constituyó y
coordinó
distintos grupos de trabajo para la consecución del objetivo. Esto último sin perjuicio
de la responsabilidad del jerarca, titulares subordinados y los demás funcionarios de
la institución, en cuanto al cumplimiento de sus roles en materia de control interno en
general y sobre el componente funcional de Sistemas de Información en particular.
Se elaboró un diagnóstico institucional sobre el estado de TI con respecto a las
NT, incluyendo en éste una propuesta de productos, acciones y un cronograma de
ejecución de las mismas. El documento fue presentado por el grupo ad hoc al Comité
Gerencial de Tecnologías de Información y Comunicación (CGTIC), siendo avalado por
este comité y tomado como base para la implementación de las NT. Ver minuta Nro.
3 del 12 de marzo de 2008, acuerdo 1, apartado 3.
Asimismo, se planificó la implementación de las NT con base al cronograma resultante
del referido diagnóstico institucional. Ver documento NTP0 Diagnóstico Inicial y NTP1
Cronograma de Implementación.
El contenido del informe consigna en negrilla el texto de las normas y seguidamente,
se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los
cuales se hace referencia al resumir el trabajo realizado están hipervinculados a su
versión digital.
Capítulo I
Normas de Aplicación General
Capítulo I
Normas de Aplicación General
1.1 Marco estratégico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas
de la organización, mediante un proceso continuo de promulgación y divulgación
de un marco
estratégico constituido por políticas organizacionales que el personal comprenda y
con
las que esté comprometido.
1.1.1 Basándonos en el Plan Estratégico Institucional se elaboró el Plan Estratégico en

Tecnologías de Información (PETI) vigente desde el 2010 hasta el 2012, con base en
este último se elaboró un Plan Táctico (PT) y un portafolio de proyectos.
1.1.2 Se realizó la divulgación de los planes señalados en el punto anterior a todos los
funcionarios de la institución, se publicaron en el sitio WEB y se buscó compromiso de
los patrocinadores, que en este caso son el Director Ejecutivo y la Junta Directiva.
1.1.3 Se analizó la cartera de proyectos y se definieron las prioridades, de esta manera
fueron incorporados en el PT.
1.2 Gestión de la calidad

La organización debe generar los productos y servicios de TI de conformidad con
los
requerimientos de sus usuarios con base en un enfoque de eficiencia y
mejoramiento
continuo.
1.2.1 Se elaborará un manual para la gestión y aseguramiento de la
calidad para el desarrollo y evolución de las soluciones tecnológicas.
1.2.2 Con el objetivo de tener un mejor control sobre los servicios que brinda el
Departamento de Informática y bajo un enfoque de eficiencia y mejoramiento continuo
se implementará un software para atención de cualquier solicitud a este Departamento,
como por ejemplo soporte técnico, solicitud de equipo, etc. Este software además
permitirá la generación de estadísticas para mejoras.
1.2.3 Se realizará una guía para el desarrollo de sistemas y proyectos informaticos, ya
sean contratados o desarrollados internamente. Esto fortalecerá el aseguramiento de la
calidad pues existirá mayor participación de los patrocinadores.
1.3 Gestión de riesgos

La organización debe responder adecuadamente a las amenazas (ver este concepto
con
respecto a la definición , no son solo amenazas) que puedan afectar la gestión de las
TI, mediante una gestión continua de riesgos que esté integrada al sistema
específico
de valoración del riesgo institucional y considere el marco normativo que le resulte
aplicable.
1.3.1 Los riesgos de TI se encuentran contemplados en la valoración de riesgos
institucional. Por lo cual dentro de la dinámica de la Comisiòn de SEVRI, se valoran
semestralmente1.
1.4 Gestión de la seguridad de la información
1
O antes de ser necesario.
La organización debe garantizar, de manera razonable, la confidencialidad,
integridad
y disponibilidad de la información, lo que implica protegerla contra uso,
divulgación
o modificación no autorizados, daño o pérdida u otros factores disfuncionales.
Para
ello debe documentar e implementar una política de seguridad de la información y
los procedimientos correspondientes, asignar los recursos necesarios para lograr
los
niveles de seguridad requeridos y considerar lo que establece la presente
normativa en
relación con los siguientes aspectos:
1.4.1 La implementación de un marco de seguridad de la información.
Con respecto a este tema, si bien la institución ya tiene definidas algunas políticas y
lineamientos con respecto a la seguridad, no existe un documento que las consolide y
que permita que sean divulgadas de una forma sistemáticas tanto para los actuales
funcionarios como aquellas que recién ingresen. Por lo tanto es necesario elaborar una
guía donde se compile esta información y cualquier otra que sea necesaria. Una vez se
haya finalizado este documento deberá ser divulgados a todas la institución.
1.4.2 El compromiso del personal con la seguridad de la información.

Se elaborará, implementará y divulgará un manual sobre los lineamientos y directrices
de seguridad, para que toda la institución se comprometa
con el tema. Se utilizaran las herramientas como correos electrónicos, publicaciones en
la web, charlas para crear conciencia sobre el tema.
1.4.3 La seguridad física y ambiental. Con respecto a este tema, se han realizado
algunos cambios a nivel físico como reemplazar las alfombras por cerámica, mantener
las puertas del Departamento de Informática cerradas, remplazo de UPS en el cuarto de
servidores y equipo de escritorio. No obstante lo anterior algunos cambios que son
necesarios se encuentran supeditados a la adquisición de un nuevo edificio para las
oficinas centrales. Se espera que esto se concrete durante el 2011.
1.4.4 La seguridad en las operaciones y comunicaciones. Con respecto a este tema se

reforzó la topología de la red, se adquirió un antivirus, un firewall y dispositivos de
seguridad para las Oficinas Centrales y las Regionales. Además el acceso a los recursos
informáticos siempre es con claves de acceso individualizado. ¿se requiere manual?
1.4.5 El control de acceso. Mediante un sistema de asignación

de roles y privilegios en uso, no sólo se controla el acceso lógico a
la información, sino que también se facilita el seguimiento de las
operaciones realizadas por los usuarios de los sistemas de información
operando. A lo interno los niveles gerenciales y de jefatura son los que
definen los roles y privilegios que sus funcionarios pueden tener para
acceder a determinada aplicación; hacia lo externo es el máximo jerarca
de la entidad quien define estas asignaciones y en ambos casos deben
realizar solicitud formal para que sea aplicada. La asignación de roles
y privilegios es una función que ha venido asumiendo el Centro de
Operaciones de la CGR y en casos muy calificados el Patrocinador del
sistema, de acuerdo con las Directrices sobre Seguridad y Utilización de
Tecnologías de Información y Comunicaciones (DSUTIC).
1.4.6 La seguridad en la implementación y mantenimiento de software

e infraestructura tecnológica. De acuerdo con la Guía para desarrollo
de proyectos de TI, la UTI cuenta con un ambiente controlado e
independiente, destinado a la ejecución de desarrollo de aplicaciones
que aseguren la no interferencia con las operaciones diarias y que
garanticen el cumplimiento de los requerimientos de usuario, un
ambiente para efectos de pruebas de usuario y capacitación, así como
obviamente el ambiente para sistemas operando.
1.4.7 La continuidad de los servicios de TI. Se desarrolló e implementó
el Sistema de información para la continuidad de los servicios de TI
(SCS), disponible en la Intranet, que permite el registro y actualización
de eventos que afecten los servicios, su solución, su criticidad y su
impacto, recursos, escalabilidad, procedimientos de recuperación y
responsables.
1.4.8 El acceso a la información por parte de terceros y la contratación
de servicios prestados por éstos. Para efectos de acceso a la información
por parte de terceros, se requiere de convenios o contratos previamente
establecidos, o de la solicitud del jerarca de una institución, para la
asignación de un rol que le facilite la consulta controlada. De igual
manera, aplica para la contratación de servicios a terceros, en donde
se establecen cláusulas específicas sobre la confidencialidad de la
información. Ver DSUTIC.
1.4.9 El manejo de la documentación. Se realiza por medio del Sistema
Integrado de Gestión y Documentos (SIGYD). Los documentos se
clasifican por tipos documentales y están disponibles de acuerdo con la
tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios
de información se responsabiliza por administrar eficientemente la
documentación física y electrónica. Desde el punto de vista de TI, se
mantiene un estándar de documentación para proyectos de tecnología.
1.4.10 La terminación normal de contratos, su rescisión o resolución. La
UTI mantiene como política la administración de contratos relacionados
con TI, a través de los coordinadores; según especialidad y afinidad,
con el objetivo de un control periódico y directo sobre la ejecución, su
continuidad, rescisión o la resolución del mismo.
1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comité
de Salud Ocupacional que se ocupa permanentemente de este tema y
con el cual se ha coordinado la ergonomía de los puestos de trabajo y
su entorno.
1.5 Gestión de proyectos
La organización debe administrar sus proyectos de TI de manera que logre sus
objetivos,
satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y
presupuesto
óptimos preestablecidos.
1.5.1 Se elaboró la Guía para desarrollo de proyectos en TI que se
desarrollo. Ver documento NTP7 Metodología para el desarrollo de
proyectos de TIC.
1.5.2 Con base en la Guía para desarrollo de proyectos de TI, los
proyectos son liderados y administrados por los patrocinadores,
con la asesoría e incorporación de la UTI, quien busca mediante la
coordinación de proyectos su integración y la orientación para satisfacer
las necesidades en cuanto a calidad, tiempo y presupuesto.
1.5.3 Se mantiene en ejecución la cartera de proyectos aprobada por
el Despacho de las señoras Contraloras y que se encuentra incorporado
en el PTAC, el cual es un documento viviente que se actualiza de
acuerdo con las nuevas necesidades y disposiciones. Ver minutas de
seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratégicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la
asesoría
de una representación razonable de la organización que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada
atención de los requerimientos de todas las unidades de la organización.
1.6.1 El Despacho de las señoras Contraloras se apoya en el CGTIC
para la toma de decisiones relacionadas con aspectos estratégicos de
tecnologías de información, atendiendo sus recomendaciones sobre
prioridad de ejecución de las inversiones en TI, asignación de recursos
y ejecución de proyectos.
1.6.2 El Despacho cuenta con un comité Ad hoc que apoya la gestión
tecnológica y que se encarga de analizar en primera instancia los
requerimientos de las unidades y que están relacionados con TI, para
posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,
PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI
La organización debe identificar y velar por el cumplimiento del marco jurídico
que
tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios económicos y de otra
naturaleza.
1.7.1 Se elaboró un Marco Jurídico – básico- de aplicación en la CGR,
el cual es de actualización permanente en términos de leyes, normativa,
resoluciones y contratos, entre otros, con el propósito de evitar posibles
conflictos legales que lleguen a ocasionar eventuales perjuicios
económicos y de otra naturaleza a la institución. Ver documento NTP15
Marco Jurídico en Tecnologías de Información.
Capítulo II
Planificación y organización
Capítulo II Planificación y organización
2.1 Planificación de las tecnologías de información
La organización debe lograr que las TI apoyen su misión, visión y objetivos
estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus
requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologías
existentes
y emergentes.
2.1.1 El funcionamiento de las TI es centralizado y opera con base al
Plan Estratégico Institucional, a cual se alinean el PETIC y el PTAC.
2.1.2 Los coordinadores patrocinadores de proyecto se reúnen
periódicamente, convocados por la UTI, para compartir avances e
integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio
en el contexto del seguimiento trimestral y la evaluación semestral y
anual del PAO, en coordinación con la UTI para establecer los ajustes
que sean necesarios de aprobación en las instancias superiores. La
comisión ad hoc para el seguimiento del PETIC-PTAC conoce de los
avances en los proyectos a efectos de recomendarle al CGTIC lo que
corresponda. De todo este trabajo se llevan minutas por parte de los
líderes y reportes de avance según corresponda.
2.1.3 La comisión ad hoc tiene entre sus funciones la integración y
actualización de los planes de TI como apoyo a la gestión de TI.
2.2 Modelo de arquitectura de información
La organización debe optimizar la integración, uso y estandarización de sus
sistemas
de información de manera que se identifique, capture y comunique, en forma
completa,
exacta y oportuna, sólo la información que sus procesos requieren.
2.2.1 Se actualizó el modelo de Arquitectura de Información (MAI)
tomando como insumo principal la nueva versión del manual general
de fiscalización (MAGEFI). Esta versión del MAI está alineada al nuevo
MAGEFI y define el modelo a nivel de insumos, actividades y productos
de los procesos de la CGR. Se continuará con su evolución integral
alineado al desarrollo de la documentación de los procedimientos
derivados de estos mismos procesos. El modelo de Arquitectura de
Información sirve de base para actualizar el PTAC y ha sido divulgado para
su utilización en la CGR. Ver documento NPT9 Modelo de Arquitectura
de información y el Manual General de Fiscalización (MAGEFI).
2.3 Infraestructura tecnológica
La organización debe tener una perspectiva clara de su dirección y condiciones en
materia tecnológica, así como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que
debe
existir entre sus requerimientos y la dinámica y evolución de las TI.
2.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratégico en TI definido en el PETIC.
Con base en este direccionamiento, análisis de capacidad de TI, riesgos,
y al monitoreo del entorno, se elabora el presupuesto y se realizan las
compras relacionadas.
2.4 Independencia y recurso humano de la Función de TI
El jerarca debe asegurar la independencia de la Función de TI respecto de las
áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás
dependencias tanto internas y como externas. Además, debe brindar el apoyo
necesario
para que dicha Función de TI cuente con una fuerza de trabajo motivada,
suficiente,
competente y a la que se le haya definido, de manera clara y formal, su
responsabilidad,
autoridad y funciones.
2.4.1 El PETIC garantiza una visión institucional y promueve la
independencia funcional en el desarrollo de soluciones tecnológicas.
Actualmente la UTI depende de la División de Gestión de Apoyo y su
independencia funcional se ve fortalecida por medio de una participación
directa del Despacho en distintas comisiones ad hoc enfocadas a la
función de TI en la Institución, por la existencia de una cartera de
proyectos a desarrollar y la existencia del CGTIC.
2.4.2 La UTI mantiene una estructura orgánica actualizada y acorde
con la gestión estratégica de TI. Cada uno de sus integrantes conoce
muy bien sus obligaciones y responsabilidades. Su organización es
plana y especializada por áreas.
2.4.3 El equipo de trabajo de la UTI es personal muy calificado,
competente, motivado y actualizado de acuerdo con el plan de
capacitación.
2.5 Administración de recursos financieros
La organización debe optimizar el uso de los recursos financieros invertidos en la
gestión de TI procurando el logro de los objetivos de esa inversión, controlando en
forma efectiva dichos recursos y observando el marco jurídico que al efecto le
resulte
aplicable.
2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,
se deriva del PTAC y es aprobado por el Despacho con base en las
recomendaciones que emita el CGTIC y el comité ad hoc de seguimiento
al PETIC-PTAC.
Capítulo III
Implementación de tecnologías
de información
Capítulo III Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación de TI
La organización debe implementar y mantener las TI requeridas en concordancia
con su
marco estratégico, planificación, modelo de arquitectura de información e
infraestructura
tecnológica. Para esa implementación y mantenimiento debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de
solicitudes
de implementación o mantenimiento de TI.
3.1.1 El desarrollo de nuevos proyectos requiere de la elaboración
de una ficha que de manera simple indique sus alcances, objetivos,
recursos, relaciones, tiempos estimados y factores críticos de éxito.
Esta solicitud representada por la ficha compite con otros proyectos de
interés de los patrocinadores. El ajuste de soluciones tecnológicas por
solicitud del patrocinador, requiere de un formulario de requerimientos.
Ver documento NTP7 Metodología para el desarrollo de proyectos de
TIC.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca
como de las áreas usuarias.
3.1.2 Con base a la Metodología para el desarrollo de proyectos de TIC;
debidamente aprobada, se establece que el patrocinador de la solución
tecnológica debe aportar los recursos necesarios para su desarrollo e
implementación.
c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales
deben tener una asignación clara de responsabilidades y aprobar formalmente las
implementaciones realizadas.
3.1.3 Por medio de la implementación de la Metodología para el
desarrollo de proyectos de TIC se obliga al Patrocinador a participar
activamente y con responsabilidades en el desarrollo e implementación
de la solución.
d. Instaurar líderes de proyecto con una asignación clara, detallada y
documentada de
su autoridad y responsabilidad.
3.1.4 Por medio de la implementación de la Metodología para el
desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar
un líder de proyecto con responsabilidades claras en el desarrollo e
implementación de la solución. Ver documentos (designación de
patrocinadores de proyectos a partir del PTAC) en los archivos de la
UTI.
e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,
operativos y jurídicos, y lineamientos previamente establecidos.
3.1.5 La Metodología para el desarrollo de proyectos establece como
fase inicial un diagnóstico de la solución con posibles alternativas a
evaluar para tomar la mejor decisión por parte del Patrocinador o bien
el CGTIC. Ver documentos de diagnóstico sobre proyectos PTAC, en el
expediente de cada uno.
f. Contar con una definición clara, completa y oportuna de los requerimientos,
como
parte de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo
un contexto de costo – beneficio.
3.1.6 Todas las soluciones tecnológicas se desarrollan o se adquieren
partiendo de requerimientos claros según se establece en la Metodología
para el desarrollo de proyectos de TIC, considerando aspectos de
control, seguridad y auditoría.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los
recursos económicos, técnicos y humanos requeridos.
3.1.7 Con base a la cartera de proyectos y las prioridades establecidas
por el CGTIC, se somete a la aprobación del Despacho el presupuesto o
asignación de recursos adicionales de TI, que permitan cumplir con la
ejecución del PTAC.
h. Formular y ejecutar estrategias de implementación que incluyan todas las
medidas
para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan
los requerimientos o no cumplan con los términos de tiempo y costo
preestablecidos.
3.1.8 Todos los proyectos de la CGR incorporan un análisis de riesgos
con el objetivo de administrarlos, para ello la Guía para desarrollo de
proyectos de TI contempla los riesgos más relevantes en materia de
TI con el fin de que sean valorados en cada proyecto. Ver documentos
Informe mensual sobre proyectos PTAC.
i. Promover su independencia de proveedores de hardware, software, instalaciones
y
servicios.
3.1.9 Si bien es cierto es sumamente difícil independizarse de
proveedores de hardware y de software en términos de que siempre
se tendrá que acudir a ellos; aunque sea para aplicar actualización de
versiones, la CGR ha venido fortaleciendo a su personal de TI para que
en un alto porcentaje se desempeñe de la forma más independiente
posible.
3.1.10 Nuestros estudios de capacidad, el análisis del entorno,
el conocimiento y la capacidad del personal de UTI nos permite
seleccionar objetivamente la solución tecnológica más adecuada para
suplir las necesidades de la CGR.
3.2 Implementación de software
La organización debe implementar el software que satisfaga los requerimientos de
sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
3.2.1 Aplica prácticamente la totalidad de la norma indicada.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de
implementación
y considere la definición de requerimientos, los estudios de factibilidad, la
elaboración
de diseños, la programación y pruebas, el desarrollo de la documentación, la
conversión de datos y la puesta en producción, así como también la evaluación post
implantación de la satisfacción de los requerimientos.
3.2.2 Para estos efectos la UTI se apoya en la aplicación de la Guía para
desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de
acceso al personal a cargo de las labores de implementación y mantenimiento de
software.
3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se
encuentran productivos y operando, uno para desarrollo de aplicaciones
y otro para capacitación y pruebas a realizar por los equipos de trabajo
que se encuentran implementando software. La administración de los
permisos está bajo responsabilidad del administrador de base de datos
(DBA) y del administrador de sistemas operativos en ausencia del DBA,
según se establece en la Metodología para desarrollo de proyectos.
d. Controlar la implementación del software en el ambiente de producción y
garantizar
la integridad de datos y programas en los procesos de conversión y migración.
3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de
Datos), con base al procedimiento establecido, debe contarse además
con el “Visto Bueno” del patrocinador en todas sus fases y la asistencia
del Líder Técnico. Ver Metodología para desarrollo de proyectos en TI.
Que es un DBA
e. Definir los criterios para determinar la procedencia de cambios y accesos de
emergencia al software y datos, y los procedimientos de autorización, registro,
supervisión y evaluación técnica, operativa y administrativa de los resultados de
esos cambios y accesos.
3.2.5 Generalmente los proveedores de software envían componentes
para actualizar sus productos con fines de cerrar vulnerabilidades o de
optimizar su producto, o se reciben vía Internet. Estas actualizaciones son
revisadas, probadas cuando es factible, y aplicadas por los especialistas
en la materia. Respecto al software desarrollado localmente, previamente
se debe validar y probar su adecuada funcionalidad; por parte del Líder
Técnico y los usuarios, en un ambiente de pruebas ya establecido.
En relación con los datos, estos deben ser modificados por el usuario
autorizado en el sistema, la UTI no altera datos en sus sistemas.
f. Controlar las distintas versiones de los programas que se generen como parte de
su
mantenimiento.
3.2.6 Esta labor es compartida por el Coordinador de proyectos de
la UTI, por el desarrollador del sistema y por el DBA, apoyándose en
herramientas y bitácoras propias de Oracle a nivel de Aplicattion Server.
3.3 Implementación de Infraestructura tecnológica
La organización debe adquirir, instalar y actualizar la infraestructura necesaria
para
soportar el software de conformidad con los modelos de arquitectura de
información
e infraestructura tecnológica y demás criterios establecidos. Como parte de ello
debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios
a
la infraestructura actual.
3.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratégico en TI definido en el PETIC.
3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para
la actualización de la infraestructura necesaria para soportar el software,
con base a las necesidades que se generan de los diagnósticos para
desarrollo de soluciones tecnológicas, del plan de capacidad, riesgos y
del monitoreo del entorno. Ver plan en ejecución y el proyectado para
el próximo año, 2010.
3.4 Contratación de terceros para la implementación y mantenimiento
de software e infraestructura
La organización debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementación o mantenimiento de software e infraestructura. Para
lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
3.4.1 Aplica todo lo relacionado a metodologías, guías, procedimientos,
organización, controles y ambientes de trabajo, entre otros.
b. Establecer una política relativa a la contratación de productos de software e
infraestructura.
3.4.2 Producto del plan de capacidad, monitoreo del entorno,
obsolescencia tecnológica y necesidades de TI, se somete a consideración
del comité Ad hoc y del CGTIC la contratación de productos; debidamente
justificados, así como el presupuesto necesario para su aprobación y
ejecución, todo con base al plan de compras anual de TI derivado del
PTAC.
c. Contar con la debida justificación para contratar a terceros la implementación y
mantenimiento de software e infraestructura tecnológica.
3.4.3 Para la contratación se requiere la aprobación de la jefatura
superior, quien a su vez debe tomar la decisión dependiendo de la
necesidad, la justificación y el presupuesto disponible.
d. Establecer un procedimiento o guía para la definición de los “términos de
referencia”
que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables,
así como para la evaluación de ofertas.
3.4.4 Se utiliza el estándar de la CGR para la elaboración de carteles,
en coordinación con la Unidad de Gestión de Apoyo. Ver documentos
(ejemplos de compras típicas).
e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto de
pruebas de aceptación de lo contratado; sean instalaciones, hardware o software.
3.4.5 Para toda solución tecnológica se establece un documento de
requerimientos que deben satisfacerse para su aprobación, mediante las
pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento
de pruebas aplicado en la adquisición de la red inalámbrica entre otros.
f. Implementar un proceso de transferencia tecnológica que minimice la
dependencia
de la organización respecto de terceros contratados para la implementación y
mantenimiento de software e infraestructura tecnológica.
3.4.6 En toda implementación por tercerización, la UTI promueve
un equipo de trabajo con funcionarios de la Unidad que absorban el
conocimiento de la empresa contratada en esta materia, con fines de
mantener la solución operando una vez terminado el contrato.
Capítulo IV
Prestación de servicios y
mantenimiento
Capítulo IV Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos de servicio
La organización debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Función de TI según sus capacidades. El jerarca y
la
Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos,
lo
cual deben documentar y considerar como un criterio de evaluación del
desempeño.
Para ello deben:
a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad,
autenticidad, integridad y disponibilidad
b.
c. Contar con una determinación clara y completa de los servicios y sus atributos, y
analizar su costo y beneficio.
d.
e. Definir con claridad las responsabilidades de las partes y su sujeción a las
condiciones establecidas.
f.
g. Establecer los procedimientos para la formalización de los acuerdos y la
incorporación
de cambios en ellos.
h.
i. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.
j.
k. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con
terceros.
4.1.1 Se definieron acuerdos de servicio a firmar con las distintas
Gerencias de División, incorporando servicios que faciliten la evaluación
de la función de TI y la delimitación de responsabilidades hasta su
vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.
4.2 Administración y operación de la plataforma tecnológica
La organización debe mantener la plataforma tecnológica en óptimas condiciones
y
minimizar su riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados
con
la operación de la plataforma.
4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se
encuentran registrados 221 procedimientos asociados con la operación
de la plataforma y los responsables por recurso tecnológico.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la
plataforma, asegurar su correcta operación y mantener un registro de sus
eventuales
fallas.
4.2.2 Se cuenta con herramientas para monitoreo de la capacidad
de TI en sus distintas funcionalidades y a partir de la implementación
del Sistema de Contingencias se están registrando electrónicamente
los eventos, su impacto y su solución. Ver NTP13 Manual Plan de
Capacidad en TI.
c. Identificar eventuales requerimientos presentes y futuros, establecer planes para
su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos
tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de
trabajo y tendencias tecnológicas.
4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecución
de la cartera de proyectos, se inician los procedimientos de contratación
para la adquisición de bienes y servicios informáticos de acuerdo a la
planificación de compras generada desde el PTAC e incluidas en el
PAO.
d. Controlar la composición y cambios de la plataforma y mantener un registro
actualizado de sus componentes (hardware y software), custodiar adecuadamente
las licencias de software y realizar verificaciones físicas periódicas.
4.2.4 Se mantiene bajo control de la UTI el registro de licencias
adquiridas por la CGR, así como el medio físico para su instalación. En
el Sistema de Contingencias se encuentran actualizados los recursos
informáticos disponibles en la infraestructura tecnológica.
4.2.5 Se realiza periódicamente un control de inventarios de software
instalado total o parcial mediante un programa especializado. Ver
reportes electrónicos más recientes con sus resultados.
e. Controlar la ejecución de los trabajos mediante su programación, supervisión y
registro.
4.2.6 El desarrollo de proyectos y actividades tecnológicas se controlan
mediante cronogramas de trabajo supervisados por los coordinadores
de área de la UTI; según su especialidad, y mediante sesiones de
seguimiento. Ver Metodología para desarrollo de proyectos y cronogramas
con corte al 30 de junio de 2009.
f. Mantener separados y controlados los ambientes de desarrollo y producción.
4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente
separados y controlados.
g. Brindar el soporte requerido a los equipos principales y periféricos.
4.2.8 El soporte requerido se brinda mediante contratos de
mantenimiento preventivo y correctivo, garantía de funcionamiento,
mantenimiento interno y por medio de contratación directa de un
proveedor si es necesario. Se utilizan como herramientas de apoyo los
sistemas SOS y SCS.
h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de
respaldo
en ambientes adecuados, controlar el acceso a dichos medios y establecer
procedimientos de control para los procesos de restauración.
4.2.9 Se mantiene un plan de actividades para la generación de
respaldos diarios, semanales y mensuales, y un procedimiento para
custodia interna y externa. Ver procedimientos registrados en el SCS.
i. Controlar los servicios e instalaciones externos.
4.2.10 Mediante la administración de los contratos y el monitoreo de los
servicios contratados, se controla la buena ejecución de los servicios e
instalaciones externas.
4.3 Administración de los datos
La organización debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones válidas y debidamente autorizadas, que son
procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados
en
forma íntegra y segura.
4.3.1 De acuerdo con los requerimientos de usuario se asegura la
validez de las transacciones mediante funciones tecnológicas integradas
a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atención de requerimientos de los usuarios de TI
La organización debe hacerle fácil al usuario el proceso para solicitar la atención
de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales
requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe
constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la
recurrencia.
4.4.1 La UTI tiene implementado un sistema de control de cambios que
facilita al usuario la solicitud de ajustes o de incorporación de nuevas
funcionalidades a los sistemas que están operando en la Institución y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en línea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitación dirigida.
4.5 Manejo de incidentes
La organización debe identificar, analizar y resolver de manera oportuna los
problemas,
errores e incidentes significativos que se susciten con las TI. Además, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el
aprendizaje
necesario.
4.5.1 Todo tipo de situación especial es analizada por funcionarios de
la UTI en aras de lograr la mejor solución y tratándose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar el
riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de
que se materialice de nuevo.
4.6 Administración de servicios prestados por terceros
La organización debe asegurar que los servicios contratados a terceros satisfagan
los
requerimientos en forma eficiente. Con ese fin, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de
TI.
4.6.1 Los roles se establecen desde que se inicia el procedimiento de
contratación y se verifican para efectos de establecer responsabilidades
con la confección del contrato y la reunión inicial de trabajo con el
proveedor de bienes y servicios de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
4.6.2 En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en cláusulas específicas
o anexos del mismo, aplicando buenas prácticas. Ver ejemplos de
contrato.
c. Vigilar que los servicios contratados sean congruentes con las políticas relativas
a
calidad, seguridad y seguimiento establecidas por la organización.
4.6.3 La UTI mantiene coordinadores por área funcional que se
encargan de administrar los contratos de sus respectivos proveedores,
asegurando la calidad del producto contratado y su congruencia con
los estándares manuales y lineamientos o directrices institucionales. Ver
asignación de coordinaciones en expedientes de UTI.
d. Minimizar la dependencia de la organización respecto de los servicios
contratados
a un tercero.
4.6.4 La UTI logra este objetivo por medio de conformar equipos
de trabajo en donde se incluye la contraparte que absorberá los
conocimientos necesarios para la continuidad de la solución tecnológica
contratada.
e. Asignar a un responsable con las competencias necesarias que evalúe
periódicamente
la calidad y cumplimiento oportuno de los servicios contratados.
4.6.5 Se conforman grupos afines a la solución tecnológica para
que verifiquen la calidad del producto contratado y por medio del
administrador del contrato se le da seguimiento al cumplimiento y
calidad del mismo.
Capítulo V
Seguimiento
Capítulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organización debe asegurar el logro de los objetivos propuestos como parte de
la
gestión de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que defina el alcance, la metodología y los mecanismos para
vigilar
la gestión de TI. Asimismo, debe determinar las responsabilidades del personal a
cargo
de dicho proceso.
5.1.1 La organización cuenta con un marco de referencia que es el
Plan Estratégico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Información, el Manual General de Fiscalización
(MAGEFI) como un marco de procesos, la Auditoría Interna como
un elemento de advertencia y asesoría y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la función de TI;
además del CGTIC y la comisión Ad hoc.
5.2 Seguimiento y evaluación del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de
las
excepciones que se presenten y de las medidas correctivas implementadas.
5.2.1 La UTI debe rendir cuentas sobre la gestión con base al PTAC
y al PAO, además de que todos los funcionarios de la institución se
convierten en controladores de la buena operación de la tecnología en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al
cumplimiento del PTAC.
5.3 Participación de la Auditoría Interna
La actividad de la Auditoría Interna respecto de la gestión de las TI debe
orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de
la
organización proporcione una garantía razonable del cumplimiento de los
objetivos en
esa materia.
5.3.1 Esta es una labor que se mantiene muy bien ejecutada por
la Auditoría Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno. Ver informes
recientes 2007-2009 y oficios de atención de recomendaciones.
Productos elaborados
A continuación se indican los productos elaborados durante la puesta en marcha de
las Normas Técnicas.
Productos generados durante el proceso
Producto Fecha
NTP0-Diagnóstico Inicial Dic. 2007
NTP1-Cronograma de implementación Ene.2008
NTP2-Plan de Implementación Ene.2008
NTP3-Evaluación de riesgos en TI Mar.2008
NTP4-Instrumento metodológico MAI Jun.2008
NTP5-Diagnóstico Inicial MAI Jun.2008
NTP6-Informe de gestión 2008-01 Jul.2008
NTP7-Metodología para el desarrollo de Proyectos en TI Jul. 2008
NTP8-Marco General para la gestión de calidad en TI Ene.2009
NTP9-Modelo de Arquitectura de información Mar.2009
NTP10-Marco de Seguridad en TI May.2009
NTP11-Mapeo Eléctrico Jun.2009
NTP12-Plan continuo de capacitación Jun.2009
NTP13-Plan de la Capacidad en TI Jun.2009
NTP14-Acuerdo de Nivel de Servicio Jun.2009
NTP15-Marco Jurídico en TI Jul.2009
NTP16-Informe de gestión 2009-01 Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contraloría General de la República
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirán de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Información en paralelo al avance del
Manual General de Fiscalización (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; así como definir responsables de cada uno de ellos.
Finalmente, garantizar

Norma Tecnica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Norma Tecnica

Uploaded by

Copyright:

Available Formats

Contraloría General de la República

División de Gestión de Apoyo

Normas Técnicas en Tecnologías de Información y Comunicaciones / 3

1.1.1 Basándonos en el Plan Estratégico Institucional se elaboró el Plan Estratégico en

1.2 Gestión de la calidad

1.3 Gestión de riesgos

1.4 Gestión de la seguridad de la información

1.4.2 El compromiso del personal con la seguridad de la información.

1.4.4 La seguridad en las operaciones y comunicaciones. Con respecto a este tema se

1.4.5 El control de acceso. Mediante un sistema de asignación

1.4.6 La seguridad en la implementación y mantenimiento de software

You might also like