Contraloría General de la RepúblicaDivisión de Gestión de ApoyoUnidad de Tecnologías de Información

Normas Técnicas enTecnologías de Información yComunicacionesInforme final Versión 1.0.0Julio 2009

Normas Técnicas en Tecnologías de Información y Comunicaciones / 3IntroducciónLas Normas técnicas para la gestión y el control de las tecnologías de información (TI),en adelante referidas como NT, según la resolución No. R-CO-26-2007 mediante lacual se emitieron, constituyen los criterios básicos de control que deben ser observadosen la gestión institucional de esas tecnologías, de frente a un adecuado uso de losrecursos invertidos en ellas y a facilitar su control y la fiscalización.De manera congruente con este objetivo, estos criterios básicos de control sobre lasTI se incorporan a las Normas de Control Interno para el Sector Público, N-2-2009-CO-2009, como lo consigna la norma No. 5.9:“5.9 Tecnologías de Información. El jerarca y los titulares subordinados, según suscompetencias, deben propiciar el aprovechamiento de tecnologías de informaciónque apoyen la gestión institucional mediante el manejo apropiado de la informacióny la implementación de solu ciones ágiles y de amplio alcance. Para ello debenobservar la normativa relacionada con las tecnologías de información, emitida porla CGR.”Conscientes de que las tecnologías de información constituyen un factor crítico yestratégico para la modernización de los procesos de trabajo y para el desarrollo de

soluciones tecnológicas de calidad, que apoyen las labores sustantivas y de apoyo,a continuación se emite un informe con los principales aspectos desarrollados en laContraloría General, como Administración Activa, en atención de estas NT.

AlcanceComo lo dictan las referidas Normas, la Contraloría y las instituciones y órganos sujetosa su fiscalización, ha contado con dos años a partir del 31 de julio de 2007, paracumplir con la serie de criterios básicos de gestión y control de las NT.4 / Normas Técnicas en Tecnologías de Información y ComunicacionesAl cabo de ese período, se logra culminar un primer esfuerzo de cumplimientorazonable e integrado de todos los aspectos contenidos en esas normas, sin que estoobste para ir profundizando y actualizando los resultados obtenidos, así como paraatender nuevos requerimientos derivados de la normativa y del entorno.

MetodologíaPara atender la normativa se inició con el trabajo de preparación delineado en elartículo 6 de la Resolución No. R-CO-26-2007, a saber:• La constitución de un equipo de trabajo.• La designación de un responsable del proceso de implementación,coordinador del equipo de trabajo, con la autoridad necesaria para ejecutarel plan definido.• El estudio detallado de las normas técnicas referidas, para identificar las queapliquen a la entidad u órgano de conformidad con su realidad tecnológicay con base en ello establecer prioridades de implementación.• Una planificación debidamente documentada, que considere actividades,plazos para cada una, responsables, costos estimados y cualquier otrorequerimiento asociado (infraestructura, personal, recursos técnicos.).Para su implementación, la señora Contralora, mediante oficio No. CO-0272 del 15 deagosto de 2007, designó como equipo de trabajo a la comisión ad hoc ya existente,que había coordinado la elaboración de los planes estratégico y táctico de tecnologíasde información y comunicación de la Contraloría, y que apoya en su implementación

y seguimiento. A este equipo se le asignó el objetivo de elaborar el cronograma detrabajo para el cumplimiento de las NT y darle seguimiento a la ejecución del mismo.Normas Técnicas en Tecnologías de Información y Comunicaciones / 5El equipo de trabajo está coordinado por la señora Subcontralora.La responsabilidad de la implementación técnica de las normas se delegó en la jefaturade la Unidad de Tecnologías de Información (UTI), quien a su vez constituyó y coordinódistintos grupos de trabajo para la consecución del objetivo. Esto último sin perjuiciode la responsabilidad del jerarca, titulares subordinados y los demás funcionarios dela institución, en cuanto al cumplimiento de sus roles en materia de control interno engeneral y sobre el componente funcional de Sistemas de Información en particular.Se elaboró un diagnóstico institucional sobre el estado de TI con respecto a lasNT, incluyendo en éste una propuesta de productos, acciones y un cronograma deejecución de las mismas. El documento fue presentado por el grupo ad hoc al ComitéGerencial de Tecnologías de Información y Comunicación (CGTIC), siendo avalado poreste comité y tomado como base para la implementación de las NT. Ver minuta Nro.3 del 12 de marzo de 2008, acuerdo 1, apartado 3.Asimismo, se planificó la implementación de las NT con base al cronograma resultantedel referido diagnóstico institucional. Ver documento NTP0 Diagnóstico Inicial y NTP1Cronograma de Implementación.El contenido del informe consigna en negrilla el texto de las normas y seguidamente,se resume el trabajo realizado para cumplir cada una de estas. Los documentos a loscuales se hace referencia al resumir el trabajo realizado están hipervinculados a suversión digital.

Capítulo I

Normas de Aplicación General

Normas Técnicas en Tecnologías de Información y Comunicaciones / 9Capítulo INormas de Aplicación General1.1 Marco estratégico de TIEl jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marcoestratégico constituido por políticas organizacionales que el personal comprenda y conlas que esté comprometido.

1.1.1 Basándonos en el Plan Estratégico Institucional se elaboró el Plan Estratégico en Tecnologías de Información (PETI) vigente desde el 2010 hasta el 2012, con base en este último se elaboró un Plan Táctico (PT) y un portafolio de proyectos.1.1.2 Se realizó la divulgación de los planes señalados en el punto anterior a todos los funcionarios de la institución, se publicaron en el sitio WEB y se buscó compromiso de los patrocinadores, que en este caso son el Director Ejecutivo y la Junta Directiva.1.1.3 Se analizó la cartera de proyectos y se definieron las prioridades, de esta manera fueron incorporados en el PT.

1.2 Gestión de la calidadLa organización debe generar los productos y servicios de TI de conformidad con losrequerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramientocontinuo.1.2.1 Se elaborará un manual para la gestión y aseguramiento de lacalidad para el desarrollo y evolución de las soluciones tecnológicas.1.2.2 Con el objetivo de tener un mejor control sobre los servicios que brinda el Departamento de Informática y bajo un enfoque de eficiencia y mejoramiento continuo se implementará un software para atención de cualquier solicitud a este Departamento, como por ejemplo soporte técnico, solicitud de equipo, etc. Este software además permitirá la generación de estadísticas para mejoras.1.2.3 Se realizará una guía para el desarrollo de sistemas y proyectos informaticos, ya sean contratados o desarrollados

internamente. Esto fortalecerá el aseguramiento de la calidad pues existirá mayor participación de los patrocinadores.

1.3 Gestión de riesgosLa organización debe responder adecuadamente a las amenazas (ver este concepto conrespecto a la definición , no son solo amenazas) que puedan afectar la gestión de lasTI, mediante una gestión continua de riesgos que esté integrada al sistema específicode valoración del riesgo institucional y considere el marco normativo que le resulteaplicable.1.3.1 Los riesgos de TI se encuentran contemplados en la valoración de riesgos institucional. Por lo cual dentro de la dinámica de la Comisiòn de SEVRI, se valoran semestralmente1.

1.4 Gestión de la seguridad de la informaciónLa organización debe garantizar, de manera razonable, la confidencialidad, integridady disponibilidad de la información, lo que implica protegerla contra uso, divulgacióno modificación no autorizados, daño o pérdida u otros factores disfuncionales. Paraello debe documentar e implementar una política de seguridad de la información ylos procedimientos correspondientes, asignar los recursos necesarios para lograr losniveles de seguridad requeridos y considerar lo que establece la presente normativa enrelación con los siguientes aspectos:1.4.1 La implementación de un marco de seguridad de la información.Con respecto a este tema, si bien la institución ya tiene definidas algunas políticas y lineamientos con respecto a la seguridad, no existe un documento que las consolide y que permita que sean divulgadas de una forma sistemáticas tanto para los actuales funcionarios como aquellas que recién ingresen. Por lo tanto es necesario elaborar una guía donde se compile esta información y cualquier otra que sea necesaria. Una vez se haya finalizado este documento deberá ser divulgados a todas la institución.

1.4.2 El compromiso del personal con la seguridad de la información.Se elaborará, implementará y divulgará un manual sobre los lineamientos y directrices de seguridad, para que toda la institución se comprometa

1 O antes de ser necesario.

con el tema. Se utilizaran las herramientas como correos electrónicos, publicaciones en la web, charlas para crear conciencia sobre el tema.

1.4.3 La seguridad física y ambiental. Con respecto a este tema, se han realizado algunos cambios a nivel físico como reemplazar las alfombras por cerámica, mantener las puertas del Departamento de Informática cerradas, remplazo de UPS en el cuarto de servidores y equipo de escritorio. No obstante lo anterior algunos cambios que son necesarios se encuentran supeditados a la adquisición de un nuevo edificio para las oficinas centrales. Se espera que esto se concrete durante el 2011. 1.4.4 La seguridad en las operaciones y comunicaciones. Con respecto a este tema se reforzó la topología de la red, se adquirió un antivirus, un firewall y dispositivos de seguridad para las Oficinas Centrales y las Regionales. Además el acceso a los recursos informáticos siempre es con claves de acceso individualizado. ¿se requiere manual?

1.4.5 El control de acceso. Mediante un sistema de asignaciónde roles y privilegios en uso, no sólo se controla el acceso lógico ala información, sino que también se facilita el seguimiento de lasoperaciones realizadas por los usuarios de los sistemas de informaciónoperando. A lo interno los niveles gerenciales y de jefatura son los quedefinen los roles y privilegios que sus funcionarios pueden tener paraacceder a determinada aplicación; hacia lo externo es el máximo jerarcade la entidad quien define estas asignaciones y en ambos casos debenrealizar solicitud formal para que sea aplicada. La asignación de rolesy privilegios es una función que ha venido asumiendo el Centro deOperaciones de la CGR y en casos muy calificados el Patrocinador delsistema, de acuerdo con las Directrices sobre Seguridad y Utilización deTecnologías de Información y Comunicaciones (DSUTIC).

1.4.6 La seguridad en la implementación y mantenimiento de softwaree infraestructura tecnológica. De acuerdo con la Guía para desarrollode proyectos de TI, la UTI cuenta con un ambiente controlado eindependiente, destinado a la ejecución de desarrollo de aplicacionesque aseguren la no interferencia con las operaciones diarias y quegaranticen el cumplimiento de los requerimientos de usuario, unambiente para efectos de pruebas de usuario y capacitación, así comoobviamente el ambiente para sistemas operando.

1.4.7 La continuidad de los servicios de TI. Se desarrolló e implementóel Sistema de información para la continuidad de los servicios de TI(SCS), disponible en la Intranet, que permite el registro y actualizaciónde eventos que afecten los servicios, su solución, su criticidad y suimpacto, recursos, escalabilidad, procedimientos de recuperación yresponsables.1.4.8 El acceso a la información por parte de terceros y la contrataciónde servicios prestados por éstos. Para efectos de acceso a la informaciónpor parte de terceros, se requiere de convenios o contratos previamenteestablecidos, o de la solicitud del jerarca de una institución, para la14 / Normas Técnicas en Tecnologías de Información y Comunicacionesasignación de un rol que le facilite la consulta controlada. De igualmanera, aplica para la contratación de servicios a terceros, en dondese establecen cláusulas específicas sobre la confidencialidad de lainformación. Ver DSUTIC.1.4.9 El manejo de la documentación. Se realiza por medio del SistemaIntegrado de Gestión y Documentos (SIGYD). Los documentos seclasifican por tipos documentales y están disponibles de acuerdo con latabla de plazos autorizada por el Archivo Nacional. La Unidad de Serviciosde información se responsabiliza por administrar eficientemente ladocumentación física y electrónica. Desde el punto de vista de TI, semantiene un estándar de documentación para proyectos de tecnología.1.4.10 La terminación normal de contratos, su rescisión o resolución. LaUTI mantiene como política la administración de contratos relacionadoscon TI, a través de los coordinadores; según especialidad y afinidad,con el objetivo de un control periódico y directo sobre la ejecución, sucontinuidad, rescisión o la resolución del mismo.1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comitéde Salud Ocupacional que se ocupa permanentemente de este tema ycon el cual se ha coordinado la ergonomía de los puestos de trabajo ysu entorno.1.5 Gestión de proyectosLa organización debe administrar sus proyectos de TI de manera que logre sus objetivos,satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto

óptimos preestablecidos.Normas Técnicas en Tecnologías de Información y Comunicaciones / 151.5.1 Se elaboró la Guía para desarrollo de proyectos en TI que sedesarrollo. Ver documento NTP7 Metodología para el desarrollo deproyectos de TIC.1.5.2 Con base en la Guía para desarrollo de proyectos de TI, losproyectos son liderados y administrados por los patrocinadores,con la asesoría e incorporación de la UTI, quien busca mediante lacoordinación de proyectos su integración y la orientación para satisfacerlas necesidades en cuanto a calidad, tiempo y presupuesto.1.5.3 Se mantiene en ejecución la cartera de proyectos aprobada porel Despacho de las señoras Contraloras y que se encuentra incorporadoen el PTAC, el cual es un documento viviente que se actualiza deacuerdo con las nuevas necesidades y disposiciones. Ver minutas deseguimiento en los expedientes respectivos.1.6 Decisiones sobre asuntos estratégicos de TIEl jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoríade una representación razonable de la organización que coadyuve a mantenerla concordancia con la estrategia institucional, a establecer las prioridades de losproyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuadaatención de los requerimientos de todas las unidades de la organización.1.6.1 El Despacho de las señoras Contraloras se apoya en el CGTICpara la toma de decisiones relacionadas con aspectos estratégicos detecnologías de información, atendiendo sus recomendaciones sobreprioridad de ejecución de las inversiones en TI, asignación de recursosy ejecución de proyectos.1.6.2 El Despacho cuenta con un comité Ad hoc que apoya la gestióntecnológica y que se encarga de analizar en primera instancia los16 / Normas Técnicas en Tecnologías de Información y Comunicacionesrequerimientos de las unidades y que están relacionados con TI, paraposteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,PTAC.1.7 Cumplimiento de obligaciones relacionadas con la gestión de TILa organización debe identificar y velar por el cumplimiento del marco jurídico que

tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictoslegales que pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.1.7.1 Se elaboró un Marco Jurídico – básico- de aplicación en la CGR,el cual es de actualización permanente en términos de leyes, normativa,resoluciones y contratos, entre otros, con el propósito de evitar posiblesconflictos legales que lleguen a ocasionar eventuales perjuicioseconómicos y de otra naturaleza a la institución. Ver documento NTP15Marco Jurídico en Tecnologías de Información.

Capítulo IIPlanificación y organización

Normas Técnicas en Tecnologías de Información y Comunicaciones / 19Capítulo II Planificación y organización2.1 Planificación de las tecnologías de informaciónLa organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicosmediante procesos de planificación que logren el balance óptimo entre sus requerimientos,su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentesy emergentes.2.1.1 El funcionamiento de las TI es centralizado y opera con base alPlan Estratégico Institucional, a cual se alinean el PETIC y el PTAC.2.1.2 Los coordinadores patrocinadores de proyecto se reúnenperiódicamente, convocados por la UTI, para compartir avances eintegrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propioen el contexto del seguimiento trimestral y la evaluación semestral yanual del PAO, en coordinación con la UTI para establecer los ajustesque sean necesarios de aprobación en las instancias superiores. Lacomisión ad hoc para el seguimiento del PETIC-PTAC conoce de losavances en los proyectos a efectos de recomendarle al CGTIC lo quecorresponda. De todo este trabajo se llevan minutas por parte de loslíderes y reportes de avance según corresponda.2.1.3 La comisión ad hoc tiene entre sus funciones la integración yactualización de los planes de TI como apoyo a la gestión de TI.

20 / Normas Técnicas en Tecnologías de Información y Comunicaciones2.2 Modelo de arquitectura de informaciónLa organización debe optimizar la integración, uso y estandarización de sus sistemasde información de manera que se identifique, capture y comunique, en forma completa,exacta y oportuna, sólo la información que sus procesos requieren.2.2.1 Se actualizó el modelo de Arquitectura de Información (MAI)tomando como insumo principal la nueva versión del manual generalde fiscalización (MAGEFI). Esta versión del MAI está alineada al nuevoMAGEFI y define el modelo a nivel de insumos, actividades y productosde los procesos de la CGR. Se continuará con su evolución integralalineado al desarrollo de la documentación de los procedimientosderivados de estos mismos procesos. El modelo de Arquitectura deInformación sirve de base para actualizar el PTAC y ha sido divulgado parasu utilización en la CGR. Ver documento NPT9 Modelo de Arquitecturade información y el Manual General de Fiscalización (MAGEFI).2.3 Infraestructura tecnológicaLa organización debe tener una perspectiva clara de su dirección y condiciones enmateria tecnológica, así como de la tendencia de las TI para que conforme a ello,optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debeexistir entre sus requerimientos y la dinámica y evolución de las TI.2.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,alineada y actualizada a las necesidades sustantivas y de apoyo,producto de un direccionamiento estratégico en TI definido en el PETIC.Con base en este direccionamiento, análisis de capacidad de TI, riesgos,y al monitoreo del entorno, se elabora el presupuesto y se realizan lascompras relacionadas.Normas Técnicas en Tecnologías de Información y Comunicaciones / 212.4 Independencia y recurso humano de la Función de TIEl jerarca debe asegurar la independencia de la Función de TI respecto de lasáreas usuarias y que ésta mantenga la coordinación y comunicación con las demásdependencias tanto internas y como externas. Además, debe brindar el apoyo necesario

para que dicha Función de TI cuente con una fuerza de trabajo motivada, suficiente,competente y a la que se le haya definido, de manera clara y formal, su responsabilidad,autoridad y funciones.2.4.1 El PETIC garantiza una visión institucional y promueve laindependencia funcional en el desarrollo de soluciones tecnológicas.Actualmente la UTI depende de la División de Gestión de Apoyo y suindependencia funcional se ve fortalecida por medio de una participacióndirecta del Despacho en distintas comisiones ad hoc enfocadas a lafunción de TI en la Institución, por la existencia de una cartera deproyectos a desarrollar y la existencia del CGTIC.2.4.2 La UTI mantiene una estructura orgánica actualizada y acordecon la gestión estratégica de TI. Cada uno de sus integrantes conocemuy bien sus obligaciones y responsabilidades. Su organización esplana y especializada por áreas.2.4.3 El equipo de trabajo de la UTI es personal muy calificado,competente, motivado y actualizado de acuerdo con el plan decapacitación.22 / Normas Técnicas en Tecnologías de Información y Comunicaciones2.5 Administración de recursos financierosLa organización debe optimizar el uso de los recursos financieros invertidos en lagestión de TI procurando el logro de los objetivos de esa inversión, controlando enforma efectiva dichos recursos y observando el marco jurídico que al efecto le resulteaplicable.2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,se deriva del PTAC y es aprobado por el Despacho con base en lasrecomendaciones que emita el CGTIC y el comité ad hoc de seguimientoal PETIC-PTAC.

Capítulo IIIImplementación de tecnologíasde información

Normas Técnicas en Tecnologías de Información y Comunicaciones / 25Capítulo III Implementación de tecnologías de información3.1 Consideraciones generales de la implementación de TILa organización debe implementar y mantener las TI requeridas en concordancia con sumarco estratégico, planificación, modelo de arquitectura de información e infraestructuratecnológica. Para esa implementación y mantenimiento debe:a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudesde implementación o mantenimiento de TI.3.1.1 El desarrollo de nuevos proyectos requiere de la elaboraciónde una ficha que de manera simple indique sus alcances, objetivos,recursos, relaciones, tiempos estimados y factores críticos de éxito.Esta solicitud representada por la ficha compite con otros proyectos deinterés de los patrocinadores. El ajuste de soluciones tecnológicas porsolicitud del patrocinador, requiere de un formulario de requerimientos.Ver documento NTP7 Metodología para el desarrollo de proyectos deTIC.b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarcacomo de las áreas usuarias.3.1.2 Con base a la Metodología para el desarrollo de proyectos de TIC;debidamente aprobada, se establece que el patrocinador de la solucióntecnológica debe aportar los recursos necesarios para su desarrollo eimplementación.c. Garantizar la participación activa de las unidades o áreas usuarias, las cualesdeben tener una asignación clara de responsabilidades y aprobar formalmente lasimplementaciones realizadas.3.1.3 Por medio de la implementación de la Metodología para eldesarrollo de proyectos de TIC se obliga al Patrocinador a participar26 / Normas Técnicas en Tecnologías de Información y Comunicacionesactivamente y con responsabilidades en el desarrollo e implementaciónde la solución.d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada desu autoridad y responsabilidad.

3.1.4 Por medio de la implementación de la Metodología para eldesarrollo de proyectos de TIC, se obliga al patrocinador a nombrarun líder de proyecto con responsabilidades claras en el desarrollo eimplementación de la solución. Ver documentos (designación depatrocinadores de proyectos a partir del PTAC) en los archivos de laUTI.e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,operativos y jurídicos, y lineamientos previamente establecidos.3.1.5 La Metodología para el desarrollo de proyectos establece comofase inicial un diagnóstico de la solución con posibles alternativas aevaluar para tomar la mejor decisión por parte del Patrocinador o bienel CGTIC. Ver documentos de diagnóstico sobre proyectos PTAC, en elexpediente de cada uno.f. Contar con una definición clara, completa y oportuna de los requerimientos, comoparte de los cuales debe incorporar aspectos de control, seguridad y auditoría bajoun contexto de costo – beneficio.3.1.6 Todas las soluciones tecnológicas se desarrollan o se adquierenpartiendo de requerimientos claros según se establece en la Metodologíapara el desarrollo de proyectos de TIC, considerando aspectos decontrol, seguridad y auditoría.Normas Técnicas en Tecnologías de Información y Comunicaciones / 27g. Tomar las previsiones correspondientes para garantizar la disponibilidad de losrecursos económicos, técnicos y humanos requeridos.3.1.7 Con base a la cartera de proyectos y las prioridades establecidaspor el CGTIC, se somete a la aprobación del Despacho el presupuesto oasignación de recursos adicionales de TI, que permitan cumplir con laejecución del PTAC.h. Formular y ejecutar estrategias de implementación que incluyan todas las medidaspara minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfaganlos requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.3.1.8 Todos los proyectos de la CGR incorporan un análisis de riesgoscon el objetivo de administrarlos, para ello la Guía para desarrollo deproyectos de TI contempla los riesgos más relevantes en materia deTI con el fin de que sean valorados en cada proyecto. Ver documentosInforme mensual sobre proyectos PTAC.i. Promover su independencia de proveedores de hardware, software, instalaciones y

servicios.3.1.9 Si bien es cierto es sumamente difícil independizarse deproveedores de hardware y de software en términos de que siemprese tendrá que acudir a ellos; aunque sea para aplicar actualización deversiones, la CGR ha venido fortaleciendo a su personal de TI para queen un alto porcentaje se desempeñe de la forma más independienteposible.3.1.10 Nuestros estudios de capacidad, el análisis del entorno,el conocimiento y la capacidad del personal de UTI nos permiteseleccionar objetivamente la solución tecnológica más adecuada parasuplir las necesidades de la CGR.28 / Normas Técnicas en Tecnologías de Información y Comunicaciones3.2 Implementación de softwareLa organización debe implementar el software que satisfaga los requerimientos de sususuarios y soporte efectivamente sus procesos, para lo cual debe:a. Observar lo que resulte aplicable de la norma 3.1 anterior.3.2.1 Aplica prácticamente la totalidad de la norma indicada.b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementacióny considere la definición de requerimientos, los estudios de factibilidad, la elaboraciónde diseños, la programación y pruebas, el desarrollo de la documentación, laconversión de datos y la puesta en producción, así como también la evaluación postimplantación de la satisfacción de los requerimientos.3.2.2 Para estos efectos la UTI se apoya en la aplicación de la Guía paradesarrollo de proyectos de TI, la cual incluye todas las fases indicadas.c. Establecer los controles y asignar las funciones, responsabilidades y permisos deacceso al personal a cargo de las labores de implementación y mantenimiento desoftware.3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que seencuentran productivos y operando, uno para desarrollo de aplicacionesy otro para capacitación y pruebas a realizar por los equipos de trabajoque se encuentran implementando software. La administración de lospermisos está bajo responsabilidad del administrador de base de datos(DBA) y del administrador de sistemas operativos en ausencia del DBA,

según se establece en la Metodología para desarrollo de proyectos.d. Controlar la implementación del software en el ambiente de producción y garantizarla integridad de datos y programas en los procesos de conversión y migración.3.2.4 Esta labor es realizada por el DBA (Administrador de Bases deDatos), con base al procedimiento establecido, debe contarse ademásNormas Técnicas en Tecnologías de Información y Comunicaciones / 29con el “Visto Bueno” del patrocinador en todas sus fases y la asistenciadel Líder Técnico. Ver Metodología para desarrollo de proyectos en TI.Que es un DBAe. Definir los criterios para determinar la procedencia de cambios y accesos deemergencia al software y datos, y los procedimientos de autorización, registro,supervisión y evaluación técnica, operativa y administrativa de los resultados deesos cambios y accesos.3.2.5 Generalmente los proveedores de software envían componentespara actualizar sus productos con fines de cerrar vulnerabilidades o deoptimizar su producto, o se reciben vía Internet. Estas actualizaciones sonrevisadas, probadas cuando es factible, y aplicadas por los especialistasen la materia. Respecto al software desarrollado localmente, previamentese debe validar y probar su adecuada funcionalidad; por parte del LíderTécnico y los usuarios, en un ambiente de pruebas ya establecido.En relación con los datos, estos deben ser modificados por el usuarioautorizado en el sistema, la UTI no altera datos en sus sistemas.f. Controlar las distintas versiones de los programas que se generen como parte de sumantenimiento.3.2.6 Esta labor es compartida por el Coordinador de proyectos dela UTI, por el desarrollador del sistema y por el DBA, apoyándose enherramientas y bitácoras propias de Oracle a nivel de Aplicattion Server.30 / Normas Técnicas en Tecnologías de Información y Comunicaciones3.3 Implementación de Infraestructura tecnológicaLa organización debe adquirir, instalar y actualizar la infraestructura necesaria parasoportar el software de conformidad con los modelos de arquitectura de información

e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debeconsiderar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios ala infraestructura actual.3.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,alineada y actualizada a las necesidades sustantivas y de apoyo,producto de un direccionamiento estratégico en TI definido en el PETIC.3.3.2 La UTI elabora el presupuesto y deriva el plan de compras parala actualización de la infraestructura necesaria para soportar el software,con base a las necesidades que se generan de los diagnósticos paradesarrollo de soluciones tecnológicas, del plan de capacidad, riesgos ydel monitoreo del entorno. Ver plan en ejecución y el proyectado parael próximo año, 2010.3.4 Contratación de terceros para la implementación y mantenimientode software e infraestructuraLa organización debe obtener satisfactoriamente el objeto contratado a terceros enprocesos de implementación o mantenimiento de software e infraestructura. Para loanterior, debe:a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.3.4.1 Aplica todo lo relacionado a metodologías, guías, procedimientos,organización, controles y ambientes de trabajo, entre otros.Normas Técnicas en Tecnologías de Información y Comunicaciones / 31b. Establecer una política relativa a la contratación de productos de software einfraestructura.3.4.2 Producto del plan de capacidad, monitoreo del entorno,obsolescencia tecnológica y necesidades de TI, se somete a consideracióndel comité Ad hoc y del CGTIC la contratación de productos; debidamentejustificados, así como el presupuesto necesario para su aprobación yejecución, todo con base al plan de compras anual de TI derivado delPTAC.c. Contar con la debida justificación para contratar a terceros la implementación ymantenimiento de software e infraestructura tecnológica.3.4.3 Para la contratación se requiere la aprobación de la jefaturasuperior, quien a su vez debe tomar la decisión dependiendo de lanecesidad, la justificación y el presupuesto disponible.

d. Establecer un procedimiento o guía para la definición de los “términos de referencia”que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables,así como para la evaluación de ofertas.3.4.4 Se utiliza el estándar de la CGR para la elaboración de carteles,en coordinación con la Unidad de Gestión de Apoyo. Ver documentos(ejemplos de compras típicas).e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto depruebas de aceptación de lo contratado; sean instalaciones, hardware o software.3.4.5 Para toda solución tecnológica se establece un documento derequerimientos que deben satisfacerse para su aprobación, mediante laspruebas tipo lista de chequeo en el ambiente apropiado. Ver documentode pruebas aplicado en la adquisición de la red inalámbrica entre otros.32 / Normas Técnicas en Tecnologías de Información y Comunicacionesf. Implementar un proceso de transferencia tecnológica que minimice la dependenciade la organización respecto de terceros contratados para la implementación ymantenimiento de software e infraestructura tecnológica.3.4.6 En toda implementación por tercerización, la UTI promueveun equipo de trabajo con funcionarios de la Unidad que absorban elconocimiento de la empresa contratada en esta materia, con fines demantener la solución operando una vez terminado el contrato.

Capítulo IVPrestación de servicios ymantenimiento

Normas Técnicas en Tecnologías de Información y Comunicaciones / 35Capítulo IV Prestación de servicios y mantenimiento4.1 Definición y administración de acuerdos de servicio

La organización debe tener claridad respecto de los servicios que requiere y susatributos, y los prestados por la Función de TI según sus capacidades. El jerarca y laFunción de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, locual deben documentar y considerar como un criterio de evaluación del desempeño.Para ello deben:a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad,autenticidad, integridad y disponibilidadb.c. Contar con una determinación clara y completa de los servicios y sus atributos, yanalizar su costo y beneficio.d.e. Definir con claridad las responsabilidades de las partes y su sujeción a lascondiciones establecidas.f.g. Establecer los procedimientos para la formalización de los acuerdos y la incorporaciónde cambios en ellos.h.i. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.j.k. Revisar periódicamente los acuerdos de servicio, incluidos los contratos conterceros.4.1.1 Se definieron acuerdos de servicio a firmar con las distintasGerencias de División, incorporando servicios que faciliten la evaluaciónde la función de TI y la delimitación de responsabilidades hasta suvencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.36 / Normas Técnicas en Tecnologías de Información y Comunicaciones4.2 Administración y operación de la plataforma tecnológicaLa organización debe mantener la plataforma tecnológica en óptimas condiciones yminimizar su riesgo de fallas. Para ello debe:a. Establecer y documentar los procedimientos y las responsabilidades asociados conla operación de la plataforma.4.2.1 En el Sistema de Contingencias, disponible en la Intranet, seencuentran registrados 221 procedimientos asociados con la operación

de la plataforma y los responsables por recurso tecnológico.b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de laplataforma, asegurar su correcta operación y mantener un registro de sus eventualesfallas.4.2.2 Se cuenta con herramientas para monitoreo de la capacidadde TI en sus distintas funcionalidades y a partir de la implementacióndel Sistema de Contingencias se están registrando electrónicamentelos eventos, su impacto y su solución. Ver NTP13 Manual Plan deCapacidad en TI.c. Identificar eventuales requerimientos presentes y futuros, establecer planes parasu satisfacción y garantizar la oportuna adquisición de recursos de TI requeridostomando en cuenta la obsolescencia de la plataforma, contingencias, cargas detrabajo y tendencias tecnológicas.4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecuciónde la cartera de proyectos, se inician los procedimientos de contrataciónpara la adquisición de bienes y servicios informáticos de acuerdo a laplanificación de compras generada desde el PTAC e incluidas en elPAO.Normas Técnicas en Tecnologías de Información y Comunicaciones / 37d. Controlar la composición y cambios de la plataforma y mantener un registroactualizado de sus componentes (hardware y software), custodiar adecuadamentelas licencias de software y realizar verificaciones físicas periódicas.4.2.4 Se mantiene bajo control de la UTI el registro de licenciasadquiridas por la CGR, así como el medio físico para su instalación. Enel Sistema de Contingencias se encuentran actualizados los recursosinformáticos disponibles en la infraestructura tecnológica.4.2.5 Se realiza periódicamente un control de inventarios de softwareinstalado total o parcial mediante un programa especializado. Verreportes electrónicos más recientes con sus resultados.e. Controlar la ejecución de los trabajos mediante su programación, supervisión yregistro.4.2.6 El desarrollo de proyectos y actividades tecnológicas se controlanmediante cronogramas de trabajo supervisados por los coordinadoresde área de la UTI; según su especialidad, y mediante sesiones deseguimiento. Ver Metodología para desarrollo de proyectos y cronogramas

con corte al 30 de junio de 2009.f. Mantener separados y controlados los ambientes de desarrollo y producción.4.2.7 La UTI cuenta con los dos ambientes de trabajo claramenteseparados y controlados.g. Brindar el soporte requerido a los equipos principales y periféricos.4.2.8 El soporte requerido se brinda mediante contratos demantenimiento preventivo y correctivo, garantía de funcionamiento,mantenimiento interno y por medio de contratación directa de unproveedor si es necesario. Se utilizan como herramientas de apoyo lossistemas SOS y SCS.38 / Normas Técnicas en Tecnologías de Información y Comunicacionesh. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldoen ambientes adecuados, controlar el acceso a dichos medios y establecerprocedimientos de control para los procesos de restauración.4.2.9 Se mantiene un plan de actividades para la generación derespaldos diarios, semanales y mensuales, y un procedimiento paracustodia interna y externa. Ver procedimientos registrados en el SCS.i. Controlar los servicios e instalaciones externos.4.2.10 Mediante la administración de los contratos y el monitoreo de losservicios contratados, se controla la buena ejecución de los servicios einstalaciones externas.4.3 Administración de los datosLa organización debe asegurarse de que los datos que son procesados mediante TIcorresponden a transacciones válidas y debidamente autorizadas, que son procesadosen forma completa, exacta y oportuna, y transmitidos, almacenados y desechados enforma íntegra y segura.4.3.1 De acuerdo con los requerimientos de usuario se asegura lavalidez de las transacciones mediante funciones tecnológicas integradasa la base de datos; su integridad, almacenamiento y su vigencia.4.4 Atención de requerimientos de los usuarios de TILa organización debe hacerle fácil al usuario el proceso para solicitar la atenciónde los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender talesrequerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un

mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.Normas Técnicas en Tecnologías de Información y Comunicaciones / 394.4.1 La UTI tiene implementado un sistema de control de cambios quefacilita al usuario la solicitud de ajustes o de incorporación de nuevasfuncionalidades a los sistemas que están operando en la Institución ydisponiendo un sistema para auto servirse o registrar su requerimiento(Ver SOS), o realizando una llamada para registro o servicio remotoen línea. La UTI atiende estos requerimientos en orden de urgencia,importancia, prioridad y mediante capacitación dirigida.4.5 Manejo de incidentesLa organización debe identificar, analizar y resolver de manera oportuna los problemas,errores e incidentes significativos que se susciten con las TI. Además, debe darles elseguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizajenecesario.4.5.1 Todo tipo de situación especial es analizada por funcionarios dela UTI en aras de lograr la mejor solución y tratándose de incidentes oeventos, estos son registrados en los SCS o de SOS, para minimizar elriesgo de recurrencia y para agilizar el tiempo de respuesta en caso deque se materialice de nuevo.4.6 Administración de servicios prestados por tercerosLa organización debe asegurar que los servicios contratados a terceros satisfagan losrequerimientos en forma eficiente. Con ese fin, debe:a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.4.6.1 Los roles se establecen desde que se inicia el procedimiento decontratación y se verifican para efectos de establecer responsabilidadescon la confección del contrato y la reunión inicial de trabajo con elproveedor de bienes y servicios de TI.40 / Normas Técnicas en Tecnologías de Información y Comunicacionesb. Establecer y documentar los procedimientos asociados con los servicios einstalaciones contratados a terceros.4.6.2 En lo que respecta a servicios de terceros, se establecen losrequerimientos como parte del contrato, ya sea en cláusulas específicaso anexos del mismo, aplicando buenas prácticas. Ver ejemplos de

contrato.c. Vigilar que los servicios contratados sean congruentes con las políticas relativas acalidad, seguridad y seguimiento establecidas por la organización.4.6.3 La UTI mantiene coordinadores por área funcional que seencargan de administrar los contratos de sus respectivos proveedores,asegurando la calidad del producto contratado y su congruencia conlos estándares manuales y lineamientos o directrices institucionales. Verasignación de coordinaciones en expedientes de UTI.d. Minimizar la dependencia de la organización respecto de los servicios contratadosa un tercero.4.6.4 La UTI logra este objetivo por medio de conformar equiposde trabajo en donde se incluye la contraparte que absorberá losconocimientos necesarios para la continuidad de la solución tecnológicacontratada.e. Asignar a un responsable con las competencias necesarias que evalúe periódicamentela calidad y cumplimiento oportuno de los servicios contratados.4.6.5 Se conforman grupos afines a la solución tecnológica paraque verifiquen la calidad del producto contratado y por medio deladministrador del contrato se le da seguimiento al cumplimiento ycalidad del mismo.

Capítulo VSeguimiento

Normas Técnicas en Tecnologías de Información y Comunicaciones / 43Capítulo V Seguimiento5.1 Seguimiento de los procesos de TILa organización debe asegurar el logro de los objetivos propuestos como parte de lagestión de TI, para lo cual debe establecer un marco de referencia y un proceso deseguimiento en los que defina el alcance, la metodología y los mecanismos para vigilarla gestión de TI. Asimismo, debe determinar las responsabilidades del personal a cargode dicho proceso.

5.1.1 La organización cuenta con un marco de referencia que es elPlan Estratégico Institucional (PEI), el PETIC y PTAC, unidos al Modelode Arquitectura de Información, el Manual General de Fiscalización(MAGEFI) como un marco de procesos, la Auditoría Interna comoun elemento de advertencia y asesoría y una Unidad de GobiernoCorporativo que se encarga de darle seguimiento a la función de TI;además del CGTIC y la comisión Ad hoc.5.2 Seguimiento y evaluación del control interno en TIEl jerarca debe establecer y mantener el sistema de control interno asociado con lagestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de lasexcepciones que se presenten y de las medidas correctivas implementadas.5.2.1 La UTI debe rendir cuentas sobre la gestión con base al PTACy al PAO, además de que todos los funcionarios de la institución seconvierten en controladores de la buena operación de la tecnología enuso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento alcumplimiento del PTAC.44 / Normas Técnicas en Tecnologías de Información y Comunicaciones5.3 Participación de la Auditoría InternaLa actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse acoadyuvar, de conformidad con sus competencias, a que el control interno en TI de laorganización proporcione una garantía razonable del cumplimiento de los objetivos enesa materia.5.3.1 Esta es una labor que se mantiene muy bien ejecutada porla Auditoría Interna de la CGR, suministrando recomendaciones devalor agregado para el fortalecimiento del control interno. Ver informesrecientes 2007-2009 y oficios de atención de recomendaciones.

Productos elaboradosA continuación se indican los productos elaborados durante la puesta en marcha delas Normas Técnicas.Productos generados durante el procesoProducto FechaNTP0-Diagnóstico Inicial Dic. 2007NTP1-Cronograma de implementación Ene.2008NTP2-Plan de Implementación Ene.2008NTP3-Evaluación de riesgos en TI Mar.2008NTP4-Instrumento metodológico MAI Jun.2008

NTP5-Diagnóstico Inicial MAI Jun.2008NTP6-Informe de gestión 2008-01 Jul.2008NTP7-Metodología para el desarrollo de Proyectos en TI Jul. 2008NTP8-Marco General para la gestión de calidad en TI Ene.2009NTP9-Modelo de Arquitectura de información Mar.2009NTP10-Marco de Seguridad en TI May.2009Normas Técnicas en Tecnologías de Información y Comunicaciones / 45NTP11-Mapeo Eléctrico Jun.2009NTP12-Plan continuo de capacitación Jun.2009NTP13-Plan de la Capacidad en TI Jun.2009NTP14-Acuerdo de Nivel de Servicio Jun.2009NTP15-Marco Jurídico en TI Jul.2009NTP16-Informe de gestión 2009-01 Ago.2009

ConclusionesCon base a los resultados obtenidos es claro que la Contraloría General de la Repúblicaha logrado un cumplimiento razonable de la normativa, generando un conjunto deproductos que le servirán de base para evolucionar a modelos de madurez superioresa los actuales.Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad ylo que se tiene, evolucionar la Arquitectura de Información en paralelo al avance delManual General de Fiscalización (MAGEFI), aplicar algunos de los productos como elPlan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,los productos obtenidos; así como definir responsables de cada uno de ellos.Finalmente, garantizar