Normas téc en ti y comunics

Contraloría General de la República
División de Gestión de Apoyo
Unidad de Tecnologías de Información
Normas Técnicas en
Tecnologías de Información y
Comunicaciones
Informe final Versión 1.0.0
Julio 2009

Normas Técnicas en Tecnologías de Información y Comunicaciones / 3
Introducción
Las Normas técnicas para la gestión y el control de las tecnologías de información (TI),
en adelante referidas como NT, según la resolución No. R-CO-26-2007 mediante la
cual se emitieron, constituyen los criterios básicos de control que deben ser observados
en la gestión institucional de esas tecnologías, de frente a un adecuado uso de los
recursos invertidos en ellas y a facilitar su control y la fiscalización.
De manera congruente con este objetivo, estos criterios básicos de control sobre las
TI se incorporan a las Normas de Control Interno para el Sector Público, N-2-2009-
CO-2009, como lo consigna la norma No. 5.9:
“5.9 Tecnologías de Información. El jerarca y los titulares subordinados, según sus
competencias, deben propiciar el aprovechamiento de tecnologías de información
que apoyen la gestión institucional mediante el manejo apropiado de la información
y la implementación de solu ciones ágiles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologías de información, emitida por
la CGR.”
Conscientes de que las tecnologías de información constituyen un factor crítico y
estratégico para la modernización de los procesos de trabajo y para el desarrollo de
soluciones tecnológicas de calidad, que apoyen las labores sustantivas y de apoyo,
a continuación se emite un informe con los principales aspectos desarrollados en la
Contraloría General, como Administración Activa, en atención de estas NT.
Alcance
Como lo dictan las referidas Normas, la Contraloría y las instituciones y órganos sujetos
a su fiscalización, ha contado con dos años a partir del 31 de julio de 2007, para
cumplir con la serie de criterios básicos de gestión y control de las NT.

4 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Al cabo de ese período, se logra culminar un primer esfuerzo de cumplimiento
razonable e integrado de todos los aspectos contenidos en esas normas, sin que esto
obste para ir profundizando y actualizando los resultados obtenidos, así como para
atender nuevos requerimientos derivados de la normativa y del entorno.
Metodología
Para atender la normativa se inició con el trabajo de preparación delineado en el
artículo 6 de la Resolución No. R-CO-26-2007, a saber:
• La constitución de un equipo de trabajo.
• La designación de un responsable del proceso de implementación,
coordinador del equipo de trabajo, con la autoridad necesaria para ejecutar
el plan definido.
• El estudio detallado de las normas técnicas referidas, para identificar las que
apliquen a la entidad u órgano de conformidad con su realidad tecnológica
y con base en ello establecer prioridades de implementación.
• Una planificación debidamente documentada, que considere actividades,
plazos para cada una, responsables, costos estimados y cualquier otro
requerimiento asociado (infraestructura, personal, recursos técnicos.).
Para su implementación, la señora Contralora, mediante oficio No. CO-0272 del 15 de
agosto de 2007, designó como equipo de trabajo a la comisión ad hoc ya existente,
que había coordinado la elaboración de los planes estratégico y táctico de tecnologías
de información y comunicación de la Contraloría, y que apoya en su implementación
y seguimiento. A este equipo se le asignó el objetivo de elaborar el cronograma de
trabajo para el cumplimiento de las NT y darle seguimiento a la ejecución del mismo.

El equipo de trabajo está coordinado por la señora Subcontralora.
La responsabilidad de la implementación técnica de las normas se delegó en la jefatura
de la Unidad de Tecnologías de Información (UTI), quien a su vez constituyó y coordinó
distintos grupos de trabajo para la consecución del objetivo. Esto último sin perjuicio
de la responsabilidad del jerarca, titulares subordinados y los demás funcionarios de
la institución, en cuanto al cumplimiento de sus roles en materia de control interno en
general y sobre el componente funcional de Sistemas de Información en particular.
Se elaboró un diagnóstico institucional sobre el estado de TI con respecto a las
NT, incluyendo en éste una propuesta de productos, acciones y un cronograma de
ejecución de las mismas. El documento fue presentado por el grupo ad hoc al Comité
Gerencial de Tecnologías de Información y Comunicación (CGTIC), siendo avalado por
este comité y tomado como base para la implementación de las NT. Ver minuta Nro.
3 del 12 de marzo de 2008, acuerdo 1, apartado 3.
Asimismo, se planificó la implementación de las NT con base al cronograma resultante
del referido diagnóstico institucional. Ver documento NTP0 Diagnóstico Inicial y NTP1
Cronograma de Implementación.
El contenido del informe consigna en negrilla el texto de las normas y seguidamente,
se resume el trabajo realizado para cumplir cada una de estas. Los documentos a los
cuales se hace referencia al resumir el trabajo realizado están hipervinculados a su
versión digital.

Capítulo I
Normas de Aplicación General
Capítulo I

Capítulo I
1.1 Marco estratégico de TI
El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la
organización, mediante un proceso continuo de promulgación y divulgación de un marco
estratégico constituido por políticas organizacionales que el personal comprenda y con
las que esté comprometido.
1.1.1 Con la representación de las áreas sustantivas y de apoyo de
la CGR, se elaboró para su puesta en marcha y ejecución el Plan
Estratégico en Tecnologías de Información y Comunicación (PETIC),
del cual derivó un Plan Táctico (PTAC). Por su parte, en el Plan Anual
Operativo las Unidades han incorporado los proyectos correspondientes
para dar cumplimiento al dimensionamiento estratégico y táctico de
TI, todo debidamente alineado al Plan Estratégico Institucional. Ver
documentos PETIC y PETAC.
1.1.2 Se realizó la divulgación de los planes indicados en el punto 1.1.1
mediante charlas generales y específicas; así como por su publicación en
la Intranet institucional, logrando el compromiso de los patrocinadores y
funcionarios en el desarrollo de soluciones tecnológicas.
1.1.3 El CGTIC analizó la cartera de proyectos y estableció las
prioridades de ejecución de los mismos, recomendando al Despacho
de las señoras Contraloras su incorporación en el PTAC.

1.2 Gestión de la calidad
La organización debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
1.2.1 Se elaboró un manual para la gestión y aseguramiento de la
calidad durante el desarrollo y evolución de las soluciones tecnológicas,
el cual será aplicado a partir del segundo semestre del 2009. Ver
documento NTP8 Marco General para la Gestión de la Calidad en TIC.
1.2.2 Con el objetivo de iniciar la generación de datos para la toma de
decisiones relacionadas con el mejoramiento continuo, se desarrolló e
implementó un sistema de información dirigido al registro de solicitudes
de servicio y de su solución, los tiempos empleados y el procedimiento
ejecutado. Este sistema, denominado Solicitud Orden de Servicio (SOS),
disponible en la Intranet, permite la medición y el control de calidad,
especialmente en el servicio de soporte técnico que se brinda en la UTI.
1.2.3 Se ajustaron e integraron la guía metodológica para el desarrollo
de sistemas de información automatizados y la guía para el desarrollo de
proyectos de TI, fortaleciendo el aseguramiento de la calidad mediante
una mayor participación de los patrocinadores de proyectos en el
desarrollo y pruebas de las soluciones tecnológicas. Ver documento
NPT7 Metodología para el desarrollo de proyectos de TIC.

1.3 Gestión de riesgos
La organización debe responder adecuadamente a las amenazas (ver este concepto con
respecto a la definición , no son solo amenazas) que puedan afectar la gestión de las
TI, mediante una gestión continua de riesgos que esté integrada al sistema específico
de valoración del riesgo institucional y considere el marco normativo que le resulte
aplicable.
1.3.1 Se definieron y valoraron los riesgos de TI integrados a la
valoración de riesgos institucional, generando un manual de riesgos y
una selección de los principales riesgos a considerar. Ver documento
NTP3 Evaluación de riesgos en TIC. Estos riesgos se incorporaron en la
Guía para desarrollo de soluciones tecnológicas.
1.3.2 Trimestralmente se valoran y actualizan los riesgos de TI.
1.4 Gestión de la seguridad de la información
La organización debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la información, lo que implica protegerla contra uso, divulgación
o modificación no autorizados, daño o pérdida u otros factores disfuncionales. Para
ello debe documentar e implementar una política de seguridad de la información y
los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa en
relación con los siguientes aspectos:
1.4.1 La implementación de un marco de seguridad de la información.
La CGR elaboró un Marco de Seguridad para su aplicación en toda la
Institución, el cual será divulgado en el segundo semestre del 2009. Ver
documento NTP10_Marco de Seguridad en Tecnologías de Información.

1.4.2 El compromiso del personal con la seguridad de la información.
Mediante la elaboración, implementación y divulgación del manual
denominadoLineamientosydirectricesdeseguridad,todalaorganización
se encuentra comprometida con el tema de la seguridad en general.
En adición, se han impartido charlas específicas sobre seguridad
al personal, se ha insertado la seguridad vía mensajes por correo
electrónico y mediante artículos en el sitio Web del Club de tecnologías
y enviados por e-mail. Ver documento Directrices sobre Seguridad y
Utilización de Tecnologías de Información y Comunicaciones (DSUTIC).
1.4.3 La seguridad física y ambiental. Se cuenta con un sistema de
seguridad perimetral que involucra control de acceso electrónico en
áreas de seguridad, cámaras para vídeo vigilancia, sensores de humo,
alarma contra incendio, extintores, sistema de supresión de fuego
especializado para equipo de computo registro en cámara y físico
de ingresos al Centro de Procesamiento de Datos y una ubicación
estratégica del mismo.
1.4.4 La seguridad en las operaciones y comunicaciones. La seguridad
en las operaciones se da en términos de la ejecución de procedimientos
elaborados con el fin de asistir al funcionario que realice estas actividades
y la supervisión de las mismas, así como de las comunicaciones. Se
incorporaron certificados digitales en los servicios sensitivos de acceso
al público; como declaraciones juradas, acorde con la autenticidad,
integridad y confidencialidad de las transacciones que requiere la
CGR. Ver documento NTP10_Marco de Seguridad en Tecnologías de
Información.
1.4.5 El control de acceso. Mediante un sistema de asignación
de roles y privilegios en uso, no sólo se controla el acceso lógico a
la información, sino que también se facilita el seguimiento de las

operaciones realizadas por los usuarios de los sistemas de información
operando. A lo interno los niveles gerenciales y de jefatura son los que
definen los roles y privilegios que sus funcionarios pueden tener para
acceder a determinada aplicación; hacia lo externo es el máximo jerarca
de la entidad quien define estas asignaciones y en ambos casos deben
realizar solicitud formal para que sea aplicada. La asignación de roles
y privilegios es una función que ha venido asumiendo el Centro de
Operaciones de la CGR y en casos muy calificados el Patrocinador del
sistema, de acuerdo con las Directrices sobre Seguridad y Utilización de
Tecnologías de Información y Comunicaciones (DSUTIC).
1.4.6 La seguridad en la implementación y mantenimiento de software
e infraestructura tecnológica. De acuerdo con la Guía para desarrollo
de proyectos de TI, la UTI cuenta con un ambiente controlado e
independiente, destinado a la ejecución de desarrollo de aplicaciones
que aseguren la no interferencia con las operaciones diarias y que
garanticen el cumplimiento de los requerimientos de usuario, un
ambiente para efectos de pruebas de usuario y capacitación, así como
obviamente el ambiente para sistemas operando.
1.4.7 La continuidad de los servicios de TI. Se desarrolló e implementó
el Sistema de información para la continuidad de los servicios de TI
(SCS), disponible en la Intranet, que permite el registro y actualización
de eventos que afecten los servicios, su solución, su criticidad y su
impacto, recursos, escalabilidad, procedimientos de recuperación y
responsables.
1.4.8 El acceso a la información por parte de terceros y la contratación
de servicios prestados por éstos. Para efectos de acceso a la información
por parte de terceros, se requiere de convenios o contratos previamente
establecidos, o de la solicitud del jerarca de una institución, para la

asignación de un rol que le facilite la consulta controlada. De igual
manera, aplica para la contratación de servicios a terceros, en donde
se establecen cláusulas específicas sobre la confidencialidad de la
información. Ver DSUTIC.
1.4.9 El manejo de la documentación. Se realiza por medio del Sistema
Integrado de Gestión y Documentos (SIGYD). Los documentos se
clasifican por tipos documentales y están disponibles de acuerdo con la
tabla de plazos autorizada por el Archivo Nacional. La Unidad de Servicios
de información se responsabiliza por administrar eficientemente la
documentación física y electrónica. Desde el punto de vista de TI, se
mantiene un estándar de documentación para proyectos de tecnología.
1.4.10 La terminación normal de contratos, su rescisión o resolución. La
UTI mantiene como política la administración de contratos relacionados
con TI, a través de los coordinadores; según especialidad y afinidad,
con el objetivo de un control periódico y directo sobre la ejecución, su
continuidad, rescisión o la resolución del mismo.
1.4.11 La salud y seguridad del personal. La CGR cuenta con un Comité
de Salud Ocupacional que se ocupa permanentemente de este tema y
con el cual se ha coordinado la ergonomía de los puestos de trabajo y
su entorno.
1.5 Gestión de proyectos
La organización debe administrar sus proyectos de TI de manera que logre sus objetivos,
satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto
óptimos preestablecidos.

1.5.1 Se elaboró la Guía para desarrollo de proyectos en TI que se
desarrollo. Ver documento NTP7 Metodología para el desarrollo de
proyectos de TIC.
1.5.2 Con base en la Guía para desarrollo de proyectos de TI, los
proyectos son liderados y administrados por los patrocinadores,
con la asesoría e incorporación de la UTI, quien busca mediante la
coordinación de proyectos su integración y la orientación para satisfacer
las necesidades en cuanto a calidad, tiempo y presupuesto.
1.5.3 Se mantiene en ejecución la cartera de proyectos aprobada por
el Despacho de las señoras Contraloras y que se encuentra incorporado
en el PTAC, el cual es un documento viviente que se actualiza de
acuerdo con las nuevas necesidades y disposiciones. Ver minutas de
seguimiento en los expedientes respectivos.
1.6 Decisiones sobre asuntos estratégicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría
de una representación razonable de la organización que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada
atención de los requerimientos de todas las unidades de la organización.
1.6.1 El Despacho de las señoras Contraloras se apoya en el CGTIC
para la toma de decisiones relacionadas con aspectos estratégicos de
tecnologías de información, atendiendo sus recomendaciones sobre
prioridad de ejecución de las inversiones en TI, asignación de recursos
y ejecución de proyectos.
1.6.2 El Despacho cuenta con un comité Ad hoc que apoya la gestión
tecnológica y que se encarga de analizar en primera instancia los

requerimientos de las unidades y que están relacionados con TI, para
posteriormente someterlos al CGTIC. Ver minutas de seguimiento PETIC,
PTAC.
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI
La organización debe identificar y velar por el cumplimiento del marco jurídico que
tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.
1.7.1 Se elaboró un Marco Jurídico – básico- de aplicación en la CGR,
el cual es de actualización permanente en términos de leyes, normativa,
resoluciones y contratos, entre otros, con el propósito de evitar posibles
conflictos legales que lleguen a ocasionar eventuales perjuicios
económicos y de otra naturaleza a la institución. Ver documento NTP15
Marco Jurídico en Tecnologías de Información.

Capítulo II
Planificación y organización
Capítulo II
Planificación y organización

Capítulo II Planificación y organización
2.1 Planificación de las tecnologías de información
La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
medianteprocesosdeplanificaciónquelogrenelbalanceóptimoentresusrequerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes
y emergentes.
2.1.1 El funcionamiento de las TI es centralizado y opera con base al
Plan Estratégico Institucional, a cual se alinean el PETIC y el PTAC.
2.1.2 Los coordinadores patrocinadores de proyecto se reúnen
periódicamente, convocados por la UTI, para compartir avances e
integrar esfuerzos. La Unidad de Gobierno Corporativo hace lo propio
en el contexto del seguimiento trimestral y la evaluación semestral y
anual del PAO, en coordinación con la UTI para establecer los ajustes
que sean necesarios de aprobación en las instancias superiores. La
comisión ad hoc para el seguimiento del PETIC-PTAC conoce de los
avances en los proyectos a efectos de recomendarle al CGTIC lo que
corresponda. De todo este trabajo se llevan minutas por parte de los
líderes y reportes de avance según corresponda.
2.1.3 La comisión ad hoc tiene entre sus funciones la integración y
actualización de los planes de TI como apoyo a la gestión de TI.

2.2 Modelo de arquitectura de información
La organización debe optimizar la integración, uso y estandarización de sus sistemas
de información de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, sólo la información que sus procesos requieren.
2.2.1 Se actualizó el modelo de Arquitectura de Información (MAI)
tomando como insumo principal la nueva versión del manual general
de fiscalización (MAGEFI). Esta versión del MAI está alineada al nuevo
MAGEFI y define el modelo a nivel de insumos, actividades y productos
de los procesos de la CGR. Se continuará con su evolución integral
alineado al desarrollo de la documentación de los procedimientos
derivados de estos mismos procesos. El modelo de Arquitectura de
InformaciónsirvedebaseparaactualizarelPTACyhasidodivulgadopara
su utilización en la CGR. Ver documento NPT9 Modelo de Arquitectura
de información y el Manual General de Fiscalización (MAGEFI).
2.3 Infraestructura tecnológica
La organización debe tener una perspectiva clara de su dirección y condiciones en
materia tecnológica, así como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinámica y evolución de las TI.
2.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratégico en TI definido en el PETIC.
Con base en este direccionamiento, análisis de capacidad de TI, riesgos,
y al monitoreo del entorno, se elabora el presupuesto y se realizan las
compras relacionadas.

2.4 Independencia y recurso humano de la Función de TI
El jerarca debe asegurar la independencia de la Función de TI respecto de las
áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás
dependencias tanto internas y como externas. Además, debe brindar el apoyo necesario
para que dicha Función de TI cuente con una fuerza de trabajo motivada, suficiente,
competente y a la que se le haya definido, de manera clara y formal, su responsabilidad,
autoridad y funciones.
2.4.1 El PETIC garantiza una visión institucional y promueve la
independencia funcional en el desarrollo de soluciones tecnológicas.
Actualmente la UTI depende de la División de Gestión de Apoyo y su
independencia funcional se ve fortalecida por medio de una participación
directa del Despacho en distintas comisiones ad hoc enfocadas a la
función de TI en la Institución, por la existencia de una cartera de
proyectos a desarrollar y la existencia del CGTIC.
2.4.2 La UTI mantiene una estructura orgánica actualizada y acorde
con la gestión estratégica de TI. Cada uno de sus integrantes conoce
muy bien sus obligaciones y responsabilidades. Su organización es
plana y especializada por áreas.
2.4.3 El equipo de trabajo de la UTI es personal muy calificado,
competente, motivado y actualizado de acuerdo con el plan de
capacitación.

2.5 Administración de recursos financieros
La organización debe optimizar el uso de los recursos financieros invertidos en la
gestión de TI procurando el logro de los objetivos de esa inversión, controlando en
forma efectiva dichos recursos y observando el marco jurídico que al efecto le resulte
aplicable.
2.5.1 El presupuesto de inversiones de la UTI y sus modificaciones,
se deriva del PTAC y es aprobado por el Despacho con base en las
recomendaciones que emita el CGTIC y el comité ad hoc de seguimiento
al PETIC-PTAC.

Capítulo III
Implementación de tecnologías
de información
Capítulo III
Implementación de tecnologías
de información

Capítulo III Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación de TI
La organización debe implementar y mantener las TI requeridas en concordancia con su
marco estratégico, planificación, modelo de arquitectura de información e infraestructura
tecnológica. Para esa implementación y mantenimiento debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudes
de implementación o mantenimiento de TI.
3.1.1 El desarrollo de nuevos proyectos requiere de la elaboración
de una ficha que de manera simple indique sus alcances, objetivos,
recursos, relaciones, tiempos estimados y factores críticos de éxito.
Esta solicitud representada por la ficha compite con otros proyectos de
interés de los patrocinadores. El ajuste de soluciones tecnológicas por
solicitud del patrocinador, requiere de un formulario de requerimientos.
Ver documento NTP7 Metodología para el desarrollo de proyectos de
TIC.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca
como de las áreas usuarias.
3.1.2 Con base a la Metodología para el desarrollo de proyectos de TIC;
debidamente aprobada, se establece que el patrocinador de la solución
tecnológica debe aportar los recursos necesarios para su desarrollo e
implementación.
c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales
deben tener una asignación clara de responsabilidades y aprobar formalmente las
implementaciones realizadas.
3.1.3 Por medio de la implementación de la Metodología para el
desarrollo de proyectos de TIC se obliga al Patrocinador a participar

activamente y con responsabilidades en el desarrollo e implementación
de la solución.
d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada de
su autoridad y responsabilidad.
3.1.4 Por medio de la implementación de la Metodología para el
desarrollo de proyectos de TIC, se obliga al patrocinador a nombrar
un líder de proyecto con responsabilidades claras en el desarrollo e
implementación de la solución. Ver documentos (designación de
patrocinadores de proyectos a partir del PTAC) en los archivos de la
UTI.
e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,
operativos y jurídicos, y lineamientos previamente establecidos.
3.1.5 La Metodología para el desarrollo de proyectos establece como
fase inicial un diagnóstico de la solución con posibles alternativas a
evaluar para tomar la mejor decisión por parte del Patrocinador o bien
el CGTIC. Ver documentos de diagnóstico sobre proyectos PTAC, en el
expediente de cada uno.
f. Contar con una definición clara, completa y oportuna de los requerimientos, como
parte de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo
un contexto de costo – beneficio.
3.1.6 Todas las soluciones tecnológicas se desarrollan o se adquieren
partiendo de requerimientos claros según se establece en la Metodología
para el desarrollo de proyectos de TIC, considerando aspectos de
control, seguridad y auditoría.

g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los
recursos económicos, técnicos y humanos requeridos.
3.1.7 Con base a la cartera de proyectos y las prioridades establecidas
por el CGTIC, se somete a la aprobación del Despacho el presupuesto o
asignación de recursos adicionales de TI, que permitan cumplir con la
ejecución del PTAC.
h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas
para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan
los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.
3.1.8 Todos los proyectos de la CGR incorporan un análisis de riesgos
con el objetivo de administrarlos, para ello la Guía para desarrollo de
proyectos de TI contempla los riesgos más relevantes en materia de
TI con el fin de que sean valorados en cada proyecto. Ver documentos
Informe mensual sobre proyectos PTAC.
i. Promover su independencia de proveedores de hardware, software, instalaciones y
servicios.
3.1.9 Si bien es cierto es sumamente difícil independizarse de
proveedores de hardware y de software en términos de que siempre
se tendrá que acudir a ellos; aunque sea para aplicar actualización de
versiones, la CGR ha venido fortaleciendo a su personal de TI para que
en un alto porcentaje se desempeñe de la forma más independiente
posible.
3.1.10 Nuestros estudios de capacidad, el análisis del entorno,
el conocimiento y la capacidad del personal de UTI nos permite
seleccionar objetivamente la solución tecnológica más adecuada para
suplir las necesidades de la CGR.

3.2 Implementación de software
La organización debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
3.2.1 Aplica prácticamente la totalidad de la norma indicada.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación
yconsidereladefiniciónderequerimientos,losestudiosdefactibilidad,laelaboración
de diseños, la programación y pruebas, el desarrollo de la documentación, la
conversión de datos y la puesta en producción, así como también la evaluación post
implantación de la satisfacción de los requerimientos.
3.2.2 Para estos efectos la UTI se apoya en la aplicación de la Guía para
desarrollo de proyectos de TI, la cual incluye todas las fases indicadas.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de
acceso al personal a cargo de las labores de implementación y mantenimiento de
software.
3.2.3 La UTI mantiene tres ambientes: uno para los sistemas que se
encuentran productivos y operando, uno para desarrollo de aplicaciones
y otro para capacitación y pruebas a realizar por los equipos de trabajo
que se encuentran implementando software. La administración de los
permisos está bajo responsabilidad del administrador de base de datos
(DBA) y del administrador de sistemas operativos en ausencia del DBA,
según se establece en la Metodología para desarrollo de proyectos.
d. Controlar la implementación del software en el ambiente de producción y garantizar
la integridad de datos y programas en los procesos de conversión y migración.
3.2.4 Esta labor es realizada por el DBA (Administrador de Bases de
Datos), con base al procedimiento establecido, debe contarse además

con el “Visto Bueno” del patrocinador en todas sus fases y la asistencia
del Líder Técnico. Ver Metodología para desarrollo de proyectos en TI.
Que es un DBA
e. Definir los criterios para determinar la procedencia de cambios y accesos de
emergencia al software y datos, y los procedimientos de autorización, registro,
supervisión y evaluación técnica, operativa y administrativa de los resultados de
esos cambios y accesos.
3.2.5 Generalmente los proveedores de software envían componentes
para actualizar sus productos con fines de cerrar vulnerabilidades o de
optimizar su producto, o se reciben vía Internet. Estas actualizaciones son
revisadas, probadas cuando es factible, y aplicadas por los especialistas
en la materia. Respecto al software desarrollado localmente, previamente
se debe validar y probar su adecuada funcionalidad; por parte del Líder
Técnico y los usuarios, en un ambiente de pruebas ya establecido.
En relación con los datos, estos deben ser modificados por el usuario
autorizado en el sistema, la UTI no altera datos en sus sistemas.
f. Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.
3.2.6 Esta labor es compartida por el Coordinador de proyectos de
la UTI, por el desarrollador del sistema y por el DBA, apoyándose en
herramientas y bitácoras propias de Oracle a nivel de Aplicattion Server.

3.3 Implementación de Infraestructura tecnológica
La organización debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de información
e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.
3.3.1 La CGR cuenta con una infraestructura tecnológica adecuada,
alineada y actualizada a las necesidades sustantivas y de apoyo,
producto de un direccionamiento estratégico en TI definido en el PETIC.
3.3.2 La UTI elabora el presupuesto y deriva el plan de compras para
la actualización de la infraestructura necesaria para soportar el software,
con base a las necesidades que se generan de los diagnósticos para
desarrollo de soluciones tecnológicas, del plan de capacidad, riesgos y
del monitoreo del entorno. Ver plan en ejecución y el proyectado para
el próximo año, 2010.
3.4 Contratación de terceros para la implementación y mantenimiento
de software e infraestructura
La organización debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementación o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
3.4.1 Aplica todo lo relacionado a metodologías, guías, procedimientos,
organización, controles y ambientes de trabajo, entre otros.

b. Establecer una política relativa a la contratación de productos de software e
infraestructura.
3.4.2 Producto del plan de capacidad, monitoreo del entorno,
obsolescenciatecnológicaynecesidadesdeTI,sesometeaconsideración
del comité Ad hoc y del CGTIC la contratación de productos; debidamente
justificados, así como el presupuesto necesario para su aprobación y
ejecución, todo con base al plan de compras anual de TI derivado del
PTAC.
c. Contar con la debida justificación para contratar a terceros la implementación y
mantenimiento de software e infraestructura tecnológica.
3.4.3 Para la contratación se requiere la aprobación de la jefatura
superior, quien a su vez debe tomar la decisión dependiendo de la
necesidad, la justificación y el presupuesto disponible.
d. Establecer un procedimiento o guía para la definición de los “términos de referencia”
que incluyan las especificaciones y requisitos o condiciones requeridas o aplicables,
así como para la evaluación de ofertas.
3.4.4 Se utiliza el estándar de la CGR para la elaboración de carteles,
en coordinación con la Unidad de Gestión de Apoyo. Ver documentos
(ejemplos de compras típicas).
e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto de
pruebas de aceptación de lo contratado; sean instalaciones, hardware o software.
3.4.5 Para toda solución tecnológica se establece un documento de
requerimientos que deben satisfacerse para su aprobación, mediante las
pruebas tipo lista de chequeo en el ambiente apropiado. Ver documento
de pruebas aplicado en la adquisición de la red inalámbrica entre otros.

f. Implementar un proceso de transferencia tecnológica que minimice la dependencia
de la organización respecto de terceros contratados para la implementación y
mantenimiento de software e infraestructura tecnológica.
3.4.6 En toda implementación por tercerización, la UTI promueve
un equipo de trabajo con funcionarios de la Unidad que absorban el
conocimiento de la empresa contratada en esta materia, con fines de
mantener la solución operando una vez terminado el contrato.

Capítulo IV
Prestación de servicios y
mantenimiento
Capítulo IV
Prestación de servicios y
mantenimiento

Capítulo IV Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos de servicio
La organización debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Función de TI según sus capacidades. El jerarca y la
Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo
cual deben documentar y considerar como un criterio de evaluación del desempeño.
Para ello deben:
a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad,
autenticidad, integridad y disponibilidad
b.
c. Contar con una determinación clara y completa de los servicios y sus atributos, y
analizar su costo y beneficio.
d.
e. Definir con claridad las responsabilidades de las partes y su sujeción a las
condiciones establecidas.
f.
g. Establecerlosprocedimientosparalaformalizacióndelosacuerdosylaincorporación
de cambios en ellos.
h.
i. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.
j.
k. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con
terceros.
4.1.1 Se definieron acuerdos de servicio a firmar con las distintas
Gerencias de División, incorporando servicios que faciliten la evaluación
de la función de TI y la delimitación de responsabilidades hasta su
vencimiento. Ver documento NTP14 Acuerdo de Nivel de Servicio.

4.2 Administración y operación de la plataforma tecnológica
La organización debe mantener la plataforma tecnológica en óptimas condiciones y
minimizar su riesgo de fallas. Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades asociados con
la operación de la plataforma.
4.2.1 En el Sistema de Contingencias, disponible en la Intranet, se
encuentran registrados 221 procedimientos asociados con la operación
de la plataforma y los responsables por recurso tecnológico.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la
plataforma, asegurar su correcta operación y mantener un registro de sus eventuales
fallas.
4.2.2 Se cuenta con herramientas para monitoreo de la capacidad
de TI en sus distintas funcionalidades y a partir de la implementación
del Sistema de Contingencias se están registrando electrónicamente
los eventos, su impacto y su solución. Ver NTP13 Manual Plan de
Capacidad en TI.
c. Identificar eventuales requerimientos presentes y futuros, establecer planes para
su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos
tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de
trabajo y tendencias tecnológicas.
4.2.3 Con base a las orientaciones del PTAC y la prioridad de ejecución
de la cartera de proyectos, se inician los procedimientos de contratación
para la adquisición de bienes y servicios informáticos de acuerdo a la
planificación de compras generada desde el PTAC e incluidas en el
PAO.

d. Controlar la composición y cambios de la plataforma y mantener un registro
actualizado de sus componentes (hardware y software), custodiar adecuadamente
las licencias de software y realizar verificaciones físicas periódicas.
4.2.4 Se mantiene bajo control de la UTI el registro de licencias
adquiridas por la CGR, así como el medio físico para su instalación. En
el Sistema de Contingencias se encuentran actualizados los recursos
informáticos disponibles en la infraestructura tecnológica.
4.2.5 Se realiza periódicamente un control de inventarios de software
instalado total o parcial mediante un programa especializado. Ver
reportes electrónicos más recientes con sus resultados.
e. Controlar la ejecución de los trabajos mediante su programación, supervisión y
registro.
4.2.6 El desarrollo de proyectos y actividades tecnológicas se controlan
mediante cronogramas de trabajo supervisados por los coordinadores
de área de la UTI; según su especialidad, y mediante sesiones de
seguimiento.VerMetodologíaparadesarrollodeproyectosycronogramas
con corte al 30 de junio de 2009.
f. Mantener separados y controlados los ambientes de desarrollo y producción.
4.2.7 La UTI cuenta con los dos ambientes de trabajo claramente
separados y controlados.
g. Brindar el soporte requerido a los equipos principales y periféricos.
4.2.8 El soporte requerido se brinda mediante contratos de
mantenimiento preventivo y correctivo, garantía de funcionamiento,
mantenimiento interno y por medio de contratación directa de un
proveedor si es necesario. Se utilizan como herramientas de apoyo los
sistemas SOS y SCS.

h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo
en ambientes adecuados, controlar el acceso a dichos medios y establecer
procedimientos de control para los procesos de restauración.
4.2.9 Se mantiene un plan de actividades para la generación de
respaldos diarios, semanales y mensuales, y un procedimiento para
custodia interna y externa. Ver procedimientos registrados en el SCS.
i. Controlar los servicios e instalaciones externos.
4.2.10 Mediante la administración de los contratos y el monitoreo de los
servicios contratados, se controla la buena ejecución de los servicios e
instalaciones externas.
4.3 Administración de los datos
La organización debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones válidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma íntegra y segura.
4.3.1 De acuerdo con los requerimientos de usuario se asegura la
validez de las transacciones mediante funciones tecnológicas integradas
a la base de datos; su integridad, almacenamiento y su vigencia.
4.4 Atención de requerimientos de los usuarios de TI
La organización debe hacerle fácil al usuario el proceso para solicitar la atención
de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales
requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.

4.4.1 La UTI tiene implementado un sistema de control de cambios que
facilita al usuario la solicitud de ajustes o de incorporación de nuevas
funcionalidades a los sistemas que están operando en la Institución y
disponiendo un sistema para auto servirse o registrar su requerimiento
(Ver SOS), o realizando una llamada para registro o servicio remoto
en línea. La UTI atiende estos requerimientos en orden de urgencia,
importancia, prioridad y mediante capacitación dirigida.
4.5 Manejo de incidentes
La organización debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Además, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
4.5.1 Todo tipo de situación especial es analizada por funcionarios de
la UTI en aras de lograr la mejor solución y tratándose de incidentes o
eventos, estos son registrados en los SCS o de SOS, para minimizar el
riesgo de recurrencia y para agilizar el tiempo de respuesta en caso de
que se materialice de nuevo.
4.6 Administración de servicios prestados por terceros
La organización debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:
a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI.
4.6.1 Los roles se establecen desde que se inicia el procedimiento de
contratación y se verifican para efectos de establecer responsabilidades
con la confección del contrato y la reunión inicial de trabajo con el
proveedor de bienes y servicios de TI.

b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
4.6.2 En lo que respecta a servicios de terceros, se establecen los
requerimientos como parte del contrato, ya sea en cláusulas específicas
o anexos del mismo, aplicando buenas prácticas. Ver ejemplos de
contrato.
c. Vigilar que los servicios contratados sean congruentes con las políticas relativas a
calidad, seguridad y seguimiento establecidas por la organización.
4.6.3 La UTI mantiene coordinadores por área funcional que se
encargan de administrar los contratos de sus respectivos proveedores,
asegurando la calidad del producto contratado y su congruencia con
los estándares manuales y lineamientos o directrices institucionales. Ver
asignación de coordinaciones en expedientes de UTI.
d. Minimizar la dependencia de la organización respecto de los servicios contratados
a un tercero.
4.6.4 La UTI logra este objetivo por medio de conformar equipos
de trabajo en donde se incluye la contraparte que absorberá los
conocimientos necesarios para la continuidad de la solución tecnológica
contratada.
e. Asignaraunresponsableconlascompetenciasnecesariasqueevalúeperiódicamente
la calidad y cumplimiento oportuno de los servicios contratados.
4.6.5 Se conforman grupos afines a la solución tecnológica para
que verifiquen la calidad del producto contratado y por medio del
administrador del contrato se le da seguimiento al cumplimiento y
calidad del mismo.

Capítulo V
Seguimiento
Capítulo V
Seguimiento

Capítulo V Seguimiento
5.1 Seguimiento de los procesos de TI
La organización debe asegurar el logro de los objetivos propuestos como parte de la
gestión de TI, para lo cual debe establecer un marco de referencia y un proceso de
seguimiento en los que defina el alcance, la metodología y los mecanismos para vigilar
la gestión de TI. Asimismo, debe determinar las responsabilidades del personal a cargo
de dicho proceso.
5.1.1 La organización cuenta con un marco de referencia que es el
Plan Estratégico Institucional (PEI), el PETIC y PTAC, unidos al Modelo
de Arquitectura de Información, el Manual General de Fiscalización
(MAGEFI) como un marco de procesos, la Auditoría Interna como
un elemento de advertencia y asesoría y una Unidad de Gobierno
Corporativo que se encarga de darle seguimiento a la función de TI;
además del CGTIC y la comisión Ad hoc.
5.2 Seguimiento y evaluación del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
5.2.1 La UTI debe rendir cuentas sobre la gestión con base al PTAC
y al PAO, además de que todos los funcionarios de la institución se
convierten en controladores de la buena operación de la tecnología en
uso. Adicional, la Unidad de Gobierno Corporativo le da seguimiento al
cumplimiento del PTAC.

5.3 Participación de la Auditoría Interna
La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la
organización proporcione una garantía razonable del cumplimiento de los objetivos en
esa materia.
5.3.1 Esta es una labor que se mantiene muy bien ejecutada por
la Auditoría Interna de la CGR, suministrando recomendaciones de
valor agregado para el fortalecimiento del control interno. Ver informes
recientes 2007-2009 y oficios de atención de recomendaciones.
Productos elaborados
A continuación se indican los productos elaborados durante la puesta en marcha de
las Normas Técnicas.
Productos generados durante el proceso
Producto Fecha
NTP0-Diagnóstico Inicial Dic. 2007
NTP1-Cronograma de implementación Ene.2008
NTP2-Plan de Implementación Ene.2008
NTP3-Evaluación de riesgos en TI Mar.2008
NTP4-Instrumento metodológico MAI Jun.2008
NTP5-Diagnóstico Inicial MAI Jun.2008
NTP6-Informe de gestión 2008-01 Jul.2008
NTP7-Metodología para el desarrollo de Proyectos en TI Jul. 2008
NTP8-Marco General para la gestión de calidad en TI Ene.2009
NTP9-Modelo de Arquitectura de información Mar.2009
NTP10-Marco de Seguridad en TI May.2009

NTP11-Mapeo Eléctrico Jun.2009
NTP12-Plan continuo de capacitación Jun.2009
NTP13-Plan de la Capacidad en TI Jun.2009
NTP14-Acuerdo de Nivel de Servicio Jun.2009
NTP15-Marco Jurídico en TI Jul.2009
NTP16-Informe de gestión 2009-01 Ago.2009
Conclusiones
Con base a los resultados obtenidos es claro que la Contraloría General de la República
ha logrado un cumplimiento razonable de la normativa, generando un conjunto de
productos que le servirán de base para evolucionar a modelos de madurez superiores
a los actuales.
Para ello, debe establecer la brecha entre lo estipulado en el Marco de Seguridad y
lo que se tiene, evolucionar la Arquitectura de Información en paralelo al avance del
Manual General de Fiscalización (MAGEFI), aplicar algunos de los productos como el
Plan de Capacidad en TI, asegurarse de mantener actualizados todos los productos,
aprobar los Acuerdos de Servicio e implementar; a partir del segundo semestre 2009,
los productos obtenidos; así como definir responsables de cada uno de ellos.
Finalmente, garantizar un adecuado seguimiento de la implementación de estos
productos.

Anexo - NTP0
Diagnostico Inicial
Anexo - NTP0
Diagnostico Inicial

Normas técnicas para la gestión y control
de las tecnologías de información
Diagnóstico Inicial
Introducción
Con base al análisis grupal realizado por los coordinadores de las diferentes áreas
de servicio de la USTI y de la jefatura de Unidad, se establece para cada una de las
normas técnicas el producto esperado y las acciones a realizar para cerrar la brecha
que pudiese existir entre la situación actual y lo requerido por las normas técnicas.
Cuando las acciones son de índole normales; es decir operativas, se indica con la
frase: “Labor Permanente” y no se incluyen en el cronograma.
Los coordinadores de la USTI son: Joaquín Gutiérrez (Seguridad, redes, telefonía),
Maureen Peña (Plataforma de micros), Johnny Umaña (Plataforma de Servidores),
Jorge León (Desarrollo y Evolución de Sistemas). En adición, Maureen asiste a la
jefatura de Unidad en la elaboración de carteles, seguimiento, y compra de bienes y
servicios tecnológicos.
Este documento es la base para la elaboración del cronograma plurianual que estará
siendo ejecutado hasta el 30 de junio del 2009.

Capítulo I Normas de Aplicación General
El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas
de la organización, mediante un proceso continuo de promulgación y divulgación
de un marco estratégico constituido por políticas organizacionales que el personal
comprenda y con las que esté comprometido.
Situación actual
• Se reformuló el campo de acción E.
• Se elaboró un nuevo Plan Estratégico (PETIC).
• Se elaboró un Plan Táctico con los proyectos a desarrollar.
Producto
Plan de divulgación del campo de acción E, PETIC y PTAC.
Acciones
• El Comité Gerencial de Tecnologías de Información y Comunicación (CGTIC)
debe establecer o aprobar las prioridades para el desarrollo de proyectos
recomendados en el PTAC.
• Planificar una charla sobre el PTAC para el mes de febrero a Jefaturas, una
para la USTI, y dos para funcionarios.
1.2 Gestión de riesgos
La organización debe responder adecuadamente a las amenazas que puedan afectar
la gestión de las TI mediante una gestión continua de riesgos que esté integrada al
sistema específico de valoración del riesgo institucional y considere el marco normativo
que le resulte aplicable.

Situación actual
Aplicación del SEVRI a nivel institucional, no se tiene un Unidad u oficina responsable
del seguimiento y rectoría relacionado con la gestión de riesgos.
Producto
Unificación de esfuerzos relacionados con la administración de riesgos que puedan
afectar las TICs, divulgar aún más el SEVRI, y gestionar riesgos por Unidad con base
a un manual o sistema de riesgos definido. Se recomienda la creación de una oficina
rectora que dicte; institucionalmente, las políticas sobre riesgos.
Acciones
• Capacitación a coordinadores de la USTI.
• Integrar áreas relacionadas (Caso de administración de planta eléctrica y
UPS)
• Evaluación y actualización trimestral de riesgos que afecten las TICs.
1.3 Gestión de la calidad
La organización debe generar los productos y servicios de TI de conformidad con los
requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento
continuo.
Situación actual
Se realizan pruebas de calidad sobre los sistemas de información y se validan contra
los requerimientos de usuario, previo a su puesta en marcha. Se mantiene la opción
de que el usuario registre su calificación sobre el servicio brindado para valorar la
gestión de la USTI y el mejoramiento continuo.

Producto
Aplicación institucional de la Guía Metodológica para desarrollo de sistemas y
generación de métricas sobre la calidad de los productos y servicios brindados por la
USTI, con el objetivo de planificar para el mejoramiento continuo de TI.
Acciones
• Encuestas de satisfacción, son permanentes producto del registro que
realiza el usuario. Labor permanente.
• Definir parámetros y métricas para evaluar calidad por cada tipo de servicio.
• Aplicación periódica de métricas. Labor permanente.
• Fortalecer; institucionalmente, el registro de solicitudes de servicio en el
sistema de información. (Charlas, circulares, registro obligado para atender
solicitud). Labor permanente.
1.4 Gestión de proyectos
La organización debe administrar sus proyectos de TI de manera que logre sus
objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y
presupuesto óptimos preestablecidos.
Producto
Aplicación institucional de la Guía Metodológica para desarrollo de sistemas.
Acciones
• Aprobación de la Guía Metodológica actualizada.
• Fortalecer la administración de proyectos con los patrocinadores. Labor
permanente.
• Seguimiento y control sobre los proyectos por parte de la USTI. Labor
permanente.

1.5 Gestión de la Seguridad de la información
La organización debe garantizar, de manera razonable, la confidencialidad, integridad
y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o
modificación no autorizados, daño o pérdida u otros factores disfuncionales.
Para ello debe documentar e implementar una política de seguridad de la información
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece la presente normativa
en relación con los siguientes aspectos:
• La implementación de la seguridad de la información.
• El compromiso del personal con la seguridad de la información.
• La seguridad física y ambiental.
• La seguridad en la operación y comunicación.
• El control de acceso.
• La seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica.
• La continuidad de los servicios de TI.
Además debe establecer las medidas de seguridad relacionadas con:
• El acceso a la información por parte de terceros y la contratación de servicios
prestados por éstos.
• El manejo de la documentación.
• La terminación normal de contratos, su rescisión o resolución.
• La salud y seguridad del personal.
Las medidas o mecanismos de protección que se establezcan deben mantener una
proporción razonable entre su costo y los riesgos asociados.

Situación actual
La información se mantiene restringida para el acceso de aquellos debidamente
autorizados, se tiene muy buena seguridad física y ambiental, control sobre el acceso
del personal y de terceros, así como sobre la implementación de software, y en el
manejo de la comunicación.
Producto
Manual de seguridad y utilización de las TIC, recién aprobado por el Consejo Consultivo.
Acciones
• Divulgación del Manual de Seguridad. (Correos, dos charlas en febrero,
cápsulas tecnológicas)
1.5.1 Implementación de la seguridad de la información
La organización debe implementar un marco de seguridad de la información, para lo
cual debe:
a. Establecer un marco metodológico que incluya la clasificación de los
recursos de TI, según su criticidad, la identificación y evaluación de riesgos,
la elaboración e implementación de un plan para el establecimiento de
medidas de seguridad, la evaluación periódica del impacto de esas medidas
y la ejecución de procesos de concienciación y capacitación del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y,
definir y ejecutar periódicamente acciones para su actualización.
c. Documentar y mantener actualizadas las responsabilidades tanto del
personal de la organización como de terceros relacionados.

Situación actual
Se tienen los recursos clasificados por criticidad, así como una evaluación de riesgos, y
un plan de implementación de la seguridad. Se realizan los análisis de comportamiento
de la seguridad constantemente y se debe fortalecer la capacitación del personal.
Producto
Nivel de criticidad de cada recurso de TI., plan de implementación de las medidas
de seguridad en tecnologías de información, y plan de capacitación institucional
actualizados.
Acciones
• Actualizar los niveles de criticidad por recurso de TI.
• Actualizar plan de implementación de las medidas de seguridad.
• Actualizar plan de capacitación interna en seguridad.
• IncorporarseguridadenTIcomopartedelaInducciónanuevosfuncionarios.
1.5.2 Compromiso del personal con la seguridad de la información
El personal de la organización debe conocer y estar comprometido con las regulaciones
sobre seguridad y confidencialidad con el fin de reducir los riesgos de error humano,
robo, fraude o uso inadecuado de los recursos de TI.
Para ello, el jerarca, por sí o mediante el funcionario que designe al efecto, debe:
a. Informar y capacitar a los empleados sobre sus responsabilidades en
materia de seguridad, confidencialidad y riesgos asociados con el uso de
las TI.
b. Implementar mecanismos para vigilar el debido cumplimiento de dichas
responsabilidades.

c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas
de seguridad específicas relacionadas con el manejo de la documentación
y rescisión de contratos.
Situación actual
Se tiene un manual de directrices sobre tecnologías de información en uso, y se está
planificando la divulgación de su reciente actualización aprobada por el Despacho.
Producto
Monitoreo de la seguridad, charlas periódicas, y cápsulas tecnológicas a todo el
personal.
Acciones
• Plan de divulgación.
• Impartir charlas.
1.5.3 Seguridad física y ambiental
La organización debe proteger los recursos de TI estableciendo un ambiente físico
seguro y controlado, con medidas de protección suficientemente fundamentadas en
políticas vigentes y análisis de riesgos.
Como parte de esa protección debe considerar:
a. Los controles de acceso a las instalaciones: seguridad perimetral,
mecanismos de control de acceso a recintos o áreas de trabajo, protección
de oficinas, separación adecuada de áreas.
b. La ubicación física segura de los recursos de TI.
c. El ingreso y salida de equipos de la organización.
d. El debido control de los servicios de mantenimiento.

e. Los controles para el desecho y reutilización de recursos de TI.
f. La continuidad, seguridad y control del suministro de energía eléctrica y del
cableado de datos
g. El acceso de terceros.
h. Los riesgos asociados con el ambiente.
Situación actual
Se tienen mecanismos de control para el acceso a las instalaciones, los equipos se
encuentran ubicados en un ambiente bastante seguro, se cuenta con planta eléctrica
y unidades de poder para suministro de energía eléctrica constante, y la definición de
riesgos asociados con el ambiente.
Producto
Procedimientos y controles documentados, mecanismos para la aplicación de los
puntos anteriores, y un plan de compras si se requiere.
Acciones
• Documentar los procedimientos y controles.
• Definir plan de acción.
1.5.4 Seguridad en la operación y comunicación
La organización debe implementar las medidas de seguridad relacionadas con la
operación de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y
proteger la integridad del software y de la información.
Para ello debe:

a. Implementar los mecanismos de control que permitan asegurar la “no
negación”, la autenticidad, la integridad y la confidencialidad de las
transacciones y la transferencia o intercambio de información.
b. Establecer procedimientos para proteger la información almacenada en
cualquier tipo de medio fijo o removible (papel, cintas, discos, otros medios),
incluso los relativos al manejo y desecho de esos medios.
c. Establecer medidas preventivas, detectivas y correctivas con respecto a
software “malicioso” o virus.
Situación actual
Se mantienen medidas de seguridad muy efectivas, las cuales podrían ser fortalecidas
con la puesta en marcha de la firma digital en coordinación con el Banco Central. Se
tienen procedimientos para la protección de la información almacenada en los medios
magnéticos bajo control y custodia de la USTI. Se cuenta con medidas altamente
preventivas y correctivas contra software malicioso o virus.
Producto
Elaborar los procedimientos y los mecanismos de control para el punto b, incluyendo
el software necesario. Mantener software de seguridad actualizado.
Acciones
• Continuar con la gestión que se viene realizando al respecto.
• Implementar firma digital una vez que el Banco Central libere el servicio.
1.5.5 Control de acceso
La organización debe proteger la información de accesos no autorizados.

Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados
con el acceso a la información, al software de base y de aplicación, a las
bases de datos y a las terminales y otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo
con términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles
de privilegio, y para la identificación y autenticación para el acceso a la
información, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las políticas de la organización bajo el principio de
“necesidaddesaber”o“menorprivilegio”. Lospropietariosdelainformación
son responsables de definir quiénes tienen acceso a la información y con
qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de
usuario,contraseñasyotrosmedios)quepermitanidentificaryresponsabilizar
a quienes utilizan los recursos de TI. Ello debe acompañarse de un
procedimiento que contemple la requisición, aprobación, establecimiento,
suspensión y desactivación de tales medios de autenticación, así como
para su revisión y actualización periódica y atención de usos irregulares.
g. Establecer controles de acceso a la información impresa, visible en pantallas
o almacenada en medios físicos y proteger adecuadamente dichos medios.
h. Establecer los mecanismos necesarios (pistas de auditoría) que permitan
un adecuado y periódico seguimiento al acceso a las TI.
i. Manejar de manera restringida y controlada la información sobre la
seguridad de las TI.

Situación actual
Se tienen políticas sobre el acceso a la información pero deben ser documentadas y
fortalecidas en función de las normas técnicas, documentar la propiedad y custodia
de los recursos de TI, se tienen procedimientos para asignación de roles con sus
niveles de privilegios y la autenticación de los usuarios, y los controles de acceso a la
información.
Producto
Procedimientos y política de acceso a la información, actualizados.
Acciones
• Centro de Operaciones con el control de roles y asignación de passwords.
• Oficializar responsables de la información (Sistemas).
• Actualizar procedimientos de acceso a la información.
• Activar Log Miner como herramienta para análisis de manipulación de datos
y modificaciones a programas fuente.
1.5.6 Seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica
La organización debe mantener la integridad de los procesos de implementación
y mantenimiento de software e infraestructura tecnológica y evitar el acceso no
autorizado, daño o pérdida de información.
Para ello debe:
a. Establecer obligatoriamente la definición previa de requerimientos de
seguridad que deben ser implementados como parte del software e
infraestructura.

b. Contar con procedimientos claramente definidos para el mantenimiento y
puesta en producción del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los
ambientes de desarrollo o mantenimiento y de producción.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
Situación actual
Se tienen más de 150 procedimientos documentados y un plan de requerimientos
de seguridad para los próximos tres años, así como ambientes separados para los
ambientes de desarrollo y producción, y control sobre los programas fuentes y los
datos.
Producto
Procedimientos y requerimientos actualizados.
Acciones
• Revisar documentación, actualizarla y fortalecerla. Labor permanente.
1.5.7 Continuidad de los servicios de TI
La organización debe mantener una continuidad razonable de sus procesos y su
interrupción no debe afectar significativamente a sus usuarios. Como parte de ese
esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y
largo plazo de la organización, la valoración e impacto de los riesgos y la clasificación
de sus recursos de TI según su criticidad.

Situación actual
Se tiene más de 150 procedimientos actualizados que facilitan la continuidad de los
servicios, se deben documentar los eventos que se presenten para crear base de
conocimientos, y definir los esquemas de continuidad.
Producto
Procedimientos de recuperación e instalación actualizados e integrados, y eventos
documentados.
Acciones
• Mantener procedimientos actualizados y funcionales. Labor permanente.
• Documentar eventos preventivos y correctivos, y cambios a la plataforma.
• Definir esquemas de continuidad para cada servicio de TI.
1.6 Decisiones sobre asuntos estratégicos de TI
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría
de una representación razonable de la organización que coadyuve a mantener
la concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada
atención de los requerimientos de todas las unidades de la organización.
Situación actual
Se tiene un CGTIC que es convocado periódicamente.
Producto
Comité Gerencial de Tecnologías de Información y Comunicación activo.

Acciones
• Convocar periódicamente al CGTIC.
La organización debe identificar y velar por el cumplimiento del marco jurídico que
tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictos
legales que pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.
Situación actual
Se mantienen contratos muy bien establecidos sobre el software en uso y el soporte a
equipos, así como restricciones técnicas para el uso de software no licenciado.
Producto
Marco Jurídico con incidencia en TI disponible y actualizado.
Acciones
Óptima gestión de contratos. Labor permanente.
Uso institucional de sólo las licencias contratadas. Labor permanente.

Capítulo II Planificación y Organización
La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus
requerimientos, su capacidad presupuestaria y las oportunidades que brindan las
tecnologías existentes y emergentes.
Situación actual
Se tienen planes muy bien definidos que facilitan la planificación.
Producto
PETIC, PTAC, Compromisos de gestión y PAO alineados a la estrategia.
Acciones
• Mantener actualizados los planes. Labor permanente.
2.2 Modelo de arquitectura de información
La organización debe optimizar la integración, uso y estandarización de sus sistemas de
información de manera que se identifique, capture y comunique, en forma completa,
exacta y oportuna, sólo la información que sus procesos requieren.
Situación actual
Se tiene un modelo de datos que debe ser evolucionado hacia la arquitectura de
información, y se cuenta con un diccionario de datos al cual se le deben agregar
reglas de sintaxis para cada dato.

Producto
Arquitectura de Información actualizada
Acciones
• Crear grupo interdisciplinario (USI,USTI,DFOE,DAGJ,DCA).
• Definir flujos de información.
• Documentar las reglas de sintaxis de los datos.
• Actualizar diccionario de datos con reglas de sintaxis.
• Actualizar Arquitectura de Información.
La organización debe tener una perspectiva clara de su dirección y condiciones en
materia tecnológica, así como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe
existir entre sus requerimientos y la dinámica y evolución de las TI.
Situación actual
Se tiene una infraestructura tecnológica muy actualizada y optimizada para las
funciones de la CGR.
Producto
Infraestructura tecnológica optimizada y actualizada.
Acciones
• Mantener actualizada la infraestructura. Labor permanente.

2.4 Independencia y recurso humano de la Función de TI
El jerarca debe asegurar la independencia de la Función de TI respecto de las
áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás
dependencias tanto internas y como externas.
Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con
una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido,
de manera clara y formal, su responsabilidad, autoridad y funciones.
Situación actual
Al depender en el último año directamente del Despacho, los logros han sido altamente
satisfactorios, producto de mantener una independencia funcional que ha facilitado la
puesta en marcha de TI en la CGR.
Producto
Independencia funcional de la USTI, y personal capacitado adecuadamente.
Acciones
• Definir independencia funcional de la USTI. Mantener independencia.
• Ejecutar el plan de capacitación. (DNC). Labor permanente.
La organización debe optimizar el uso de los recursos financieros invertidos en la
gestión de TI procurando el logro de los objetivos de esa inversión, controlando en
forma efectiva dichos recursos y observando el marco jurídico que al efecto le resulte
aplicable.

Situación actual
Es norma en la CGR elaborar el presupuesto de inversiones con base a las necesidades
tecnológicas de la institución; someter a la consideración del CGTIC, y con base a sus
recomendaciones someterlo a la aprobación del Despacho.
Producto
Presupuesto de Inversiones con base al PTAC, aprobado por el Despacho.
Acciones
• Someter el plan de inversiones a la aprobación del Despacho por
recomendación del CGTIC.

Capítulo III Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación de TI
La organización debe implementar y mantener las TI requeridas en concordancia
con su marco estratégico, planificación, modelo de arquitectura de información e
infraestructura tecnológica. Para esa implementación y mantenimiento debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de
solicitudes de la implementación o mantenimiento de TI.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto por
parte de las áreas usuarias como del jerarca.
c. Garantizar la participación activa de las unidades o áreas usuarias, las
cuales deben tener una asignación clara de responsabilidades y aprobar
formalmente las implementaciones realizadas.
d. Instaurar líderes de proyecto con una asignación clara, detallada y
documentada de su autoridad y responsabilidad.
e. Analizar alternativas de solución de acuerdo con criterios técnicos,
económicos, operativos y jurídicos, y lineamientos previamente establecidos.
f. Contar con una definición clara, completa y oportuna de los requerimientos,
como parte de los cuales debe incorporar aspectos de control, seguridad y
auditoría bajo un contexto de costo – beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de
los recursos económicos, técnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementación que incluyan todas
las medidas para minimizar el riesgo de que los proyectos no logren sus
objetivos, no satisfagan los requerimientos o no cumplan con los términos
de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software,
instalaciones y servicios.

Situación actual
Para el desarrollo de proyectos se utiliza la Guía Metodológica la cual cubre los puntos
de la norma 3.1. Existe independencia de los proveedores excepto en lo que concierne
a reparación de equipos, lo cual se cubre vía contratos de mantenimiento.
Producto
Guía Metodológica para desarrollo de sistemas aplicada institucionalmente.
Acciones
• Aplicación de la Guía Metodológica para desarrollo de sistemas. Labor
permanente.
• Participación muy activa de los patrocinadores. Labor permanente.
• Capacitación de funcionarios de USTI. Labor permanente.
La organización debe implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1 anterior.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de
implementación y considere la definición de requerimientos, los estudios
de factibilidad, la elaboración de diseños, la programación y pruebas,
el desarrollo de la documentación, la conversión de datos y la puesta
en producción, así como también la evaluación post-implantación de la
satisfacción de requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y
permisos de acceso al personal a cargo de las labores de implementación
y mantenimiento de software.

d. Controlar la implementación del software en el ambiente de producción y
garantizar la integridad de datos y programas en los procesos de conversión
y migración.
e. Definir los criterios para determinar la procedencia de cambios y accesos
de emergencia al software y datos, y los procedimientos de autorización,
registro, supervisión y evaluación técnica, operativa y administrativa de los
resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como
parte de su mantenimiento.
Situación actual
Se cuenta con ambientes de pruebas y producción muy bien definidos, procedimientos
de instalación de software y control de versiones, migración de datos, y la procedencia
e importancia de los cambios. Se debe establecer un procedimiento para control de
cambios.
Producto
Software en uso de acuerdo con las necesidades de la institución.
Acciones
• Revisar y documentar los criterios de aplicación de cambios.
3.3 Implementación de infraestructura tecnológica
La organización debe adquirir, instalar y actualizar la infraestructura necesaria para
soportar el software de conformidad con los modelos de arquitectura de información
e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debe
considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a
la infraestructura actual.

Situación actual
La USTI ha contado con el apoyo del Despacho para la adquisición razonable de las
tecnologías necesarias para mantener una infraestructura tecnológica optimizada y
acorde con las necesidades de la CGR.
Producto
Infraestructura tecnológica óptima y actualizada.
Acciones
• Inversiones para mantener actualizada la infraestructura de soporte a la
arquitectura de información institucional, incluye plan vivo de actualización
y compras. Labor permanente.
3.4 Implementación de software e infraestructura contratada a terceros
La organización debe obtener satisfactoriamente el objeto contratado a terceros en
procesos de implementación o mantenimiento de software e infraestructura. Para lo
anterior, debe:
a. Observar lo que resulte aplicable de las normas 3.1, 3.2 y 3.3 anteriores.
b. Establecer una política relativa a la contratación de productos de software
e infraestructura.
c. Contar con la debida justificación para contratar a terceros.
d. Establecer un procedimiento o guía para la definición de los “términos de
referencia” que incluyan las especificaciones y requisitos o condiciones
requeridas o aplicables, así como para la evaluación de ofertas.
e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto
de pruebas de aceptación de lo contratado; sean instalaciones, hardware
o software.

f. Implementar un proceso de transferencia tecnológica que minimice la
dependencia del tercero que presta el servicio.
Situación actual
Para la contratación de los bienes y servicios de TI se consideran las últimas
especificaciones,loscambiostecnológicos,lasnecesidadesdelaCGRylasexperiencias
que se han tenido; los resultados han sido muy buenos. Para la aceptación del objeto
contratado se realiza un plan de pruebas previamente elaborado por la USTI y que es
del conocimiento de los proveedores, y se considera la transferencia tecnológica para
mitigar la dependencia.
Producto
Objeto contratado debidamente implementado.
Acciones
g. Mantener política para contratación de bienes y servicios en TI.
h. Mantener el plan de pruebas para garantizar el cumplimiento por parte del
proveedor.
i. Continuar con el proceso de transferencia de conocimientos establecido
para la tecnología adquirida. Todas son labores permanentes.
j.

Capítulo IV Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos de servicios
La organización debe tener claridad respecto de los servicios que requiere y sus
atributos, y los prestados por la Función de TI según sus capacidades.
El jerarca y la Función de TI deben acordar los servicios requeridos, los ofrecidos y sus
atributos, lo cual deben documentar y considerar como un criterio de evaluación del
desempeño. Para ello deben:
a. Tener una comprensión común sobre: exactitud, oportunidad,
confidencialidad, autenticidad, integridad y disponibilidad.
b. Contar con una determinación clara y completa de los servicios y sus
atributos, y analizar su costo y beneficio.
c. Definir con claridad las responsabilidades de las partes y su sujeción a las
condiciones establecidas.
d. Establecer los procedimientos para la formalización de los acuerdos y la
incorporación de cambios en ellos.
e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.
f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos
con terceros.
Situación actual
Los servicios ofrecidos han sido previamente autorizados por el Despacho y se tiene
claridad con respecto a disponibilidad, confidencialidad e integridad de la ellos.
Es conveniente documentar los acuerdos y la forma de evaluación que se estaría
realizando para cada servicio.

Producto
Políticas aplicadas en la contratación de terceros.
Acciones
• Actualización de políticas en los contratos que se celebren.
• Documentar acuerdos de servicio y forma de evaluación.
La organización debe mantener la plataforma tecnológica en óptimas condiciones,
minimizar su riesgo de fallas y proteger la integridad del software y de la información.
Para ello debe:
a. Establecer y documentar los procedimientos y las responsabilidades
asociados con la operación de la plataforma.
b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso
delaplataforma,asegurarsucorrectaoperación,mantenerunregistrodesus
eventuales fallas, identificar eventuales requerimientos presentes y futuros,
establecer planes para su satisfacción, garantizar la oportuna adquisición
de recursos de TI requeridos tomando en cuenta la obsolescencia de la
plataforma, contingencias, cargas de trabajo y tendencias tecnológicas.
c. Controlar la composición y cambios de la plataforma y mantener un
registro actualizado de sus componentes (hardware y software), custodiar
adecuadamente las licencias de software y realizar verificaciones físicas
periódicas.
d. Controlar la ejecución de los trabajos mediante su programación, supervisión
y registro.
e. Mantener separados y controlados los ambientes de desarrollo y producción.
f. Brindar el soporte requerido a los equipos principales y periféricos.
g. Controlar los servicios e instalaciones externos.

h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios
de respaldo en ambientes adecuados, controlar el acceso a dichos medios
y establecer procedimientos de control para los procesos de restauración.
Situación actual
Se tienen documentados todos los procedimientos para el mantenimiento de la
plataforma tecnológica, excepto la solución telefónica que se tiene parcial. La
plataforma está siendo monitoreada constantemente y con base a su comportamiento
se afina, optimiza, y se realizan los planes de compra. Se tiene un registro de todos los
componentes, ambiente separados para desarrollo y producción, rutinas y políticas de
respaldo, y control sobre la ejecución de trabajos.
Producto
Diagnóstico anual sobre la capacidad de las tecnologías en uso y el crecimiento
proyectado.
Acciones
• Planificar y ejecutar un análisis anual de capacidad en TI.
• Mantener procedimientos documentados y operativos. (Solución telefónica)
• Efectuar gestión de tecnologías eficientemente. Todas son labores
permanentes.
4.3 Administración de los datos
La organización debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones válidas y debidamente autorizadas, que son procesados
en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en
forma íntegra y segura.

Situación actual
Los datos procesados por TI se generan con base a transacciones autorizadas por cada
una de las unidades relacionadas con los sistemas. Es necesario definir una política
para desechar datos, de común acuerdo con los patrocinadores de los sistemas,
verificando la existencia de los procedimientos adecuados.
Producto
Sistemas de información actualizados mediante procedimientos oficiales.
Acciones
• Definir política para desechar datos, asegurando la existencia de
procedimientos oficiales para la actualización de sistemas de información.
• Mantener la bitácora para registro y control de acceso activa.
• Utilizar la herramienta de software Log Miner para análisis de bitácoras.
4.4 Asistencia y asesoramiento a los usuarios de TI
La organización debe resolver en forma centralizada, oportuna y eficiente las
necesidades que enfrente el usuario al utilizar las TI. Su atención debe constituir un
mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.
Situación actual
Se imparte capacitación para un mejor aprovechamiento de los sistemas en uso, y se
capacita al personal usuario de nuevos sistemas antes de su puesta en marcha.
Producto
Usuarios de sistemas debidamente capacitados en el uso efectivo de sistemas de
información.

Acciones
• Continuar con la capacitación a usuarios en el uso de los sistemas.
• Fortalecer cultura en TICs vía charlas, cápsulas tecnológicas y cursos.
Labor permanente.
La organización debe identificar, analizar y resolver de manera oportuna los problemas,
errores e incidentes significativos que se susciten con las TI. Además, debe darles el
seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje
necesario.
Situación actual
Esta es una labor permanente realizada en la USTI, de la cual se deriva conocimiento
para la mejora continua.
Producto
Mantener el registro y documentación de incidentes actualizado.
Acciones
• Continuar con la resolución de incidentes cada vez que se presenten,
manteniendo un registro documentado de los mismos para minimizar el
riesgo de incidencia y fortalecer los conocimientos. Labor permanente.
La organización debe asegurar que los servicios contratados a terceros satisfagan los
requerimientos en forma eficiente. Con ese fin, debe:

a. Establecer los roles y responsabilidades de terceros que le brinden servicios
de TI.
b. Establecer y documentar los procedimientos asociados con los servicios e
instalaciones contratados a terceros.
c. Vigilar que los servicios contratados sean congruentes con sus políticas
relativas a calidad, seguridad y seguimiento.
d. Asignar a un responsable con las competencias necesarias que evalúe
periódicamente la calidad y cumplimiento oportuno de los servicios
contratados.
Situación actual
Los contratos son administrados; según área de trabajo, por los coordinadores
respectivos.
Producto
Administración de contratos con énfasis en cláusulas sobre responsabilidades, claras
y aplicables.
Acciones
• Mantener la administración efectiva de contratos, vía coordinadores.

Capítulo V Seguimiento
La organización debe asegurar el logro de los objetivos propuestos como parte de
la gestión de TI, para lo cual debe establecer un marco de referencia y un proceso
de seguimiento en los que defina el alcance, la metodología y los mecanismos para
vigilar la gestión de TI. Asimismo, debe determinar las responsabilidades del personal
a cargo de dicho proceso.
Situación actual
Se tiene un marco de referencia clara, siendo necesaria la definición del proceso
de seguimiento para vigilar la gestión de TI. Se propone una rendición de cuentas
periódica.
Producto
PETIC, PTAC, Compromisos de Gestión y PAO totalmente alineados.
Acciones
• Rendición de cuentas periódica ante el CGTICS. Labor permanente.
5.2 Seguimiento y evaluación del control interno en TI
El jerarca debe establecer y mantener el sistema de control interno asociado con la
gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las
excepciones que se presenten y de las medidas correctivas implementadas.
Situación actual
El sistema de control interno se aplica sobre la gestión de TI, y se aplican medidas
correctivas en función de las excepciones que se presenten.

Producto
Gestión de control interno en TICs asociado al sistema institucional.
Acciones
• Mantener la gestión de TI asociada al sistema institucional. Labor
permanente.
5.3 Participación de la Auditoría Interna
La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a
coadyuvar, de conformidad con sus competencias, a que el control interno en TI de
la organización proporcione una garantía razonable del cumplimiento de los objetivos
en esa materia.
Situación actual
Se solicita asesoría a la AI cada vez que se considera de provecho para el desarrollo y
ejecución de proyectos.
Producto
Auditoría interna con amplios conocimientos sobre la gestión de TI
Acciones
• Participación consultora de la Auditoría Interna en desarrollos de TI. Labor
permanente.
Conclusión
De acuerdo con los análisis realizados, es totalmente viable y factible cumplir con
la normativa en el plazo establecido, siendo la actualización del modelo para la

Arquitectura de Información la actividad más larga del proyecto y de finalización en el
2009.
Las fechas recomendadas estarían influyendo en el desarrollo de sistemas y otros
proyectos de TI. Es urgente la definición de prioridades en el desarrollo de sistemas
por parte del CGTIC.

Anexo - NTP2
Cronograma de Implementación
Anexo - NTP2
Cronograma de Implementación

Apéndice #3 Cronograma estimado par al ejecución del plan de implementación
El siguiente cronograma muestra los plazos estimados de las actividades generales que permitirán obtener un nivel de cumplimiento razonable con las
normas técnicas. Este instrumento detalla solamente las normas para las cuales la Comisión consideró aplicar esfuerzos de mejoramiento.
Cronograma de implementación de Normas Técnicas TI
Acciones a realizar por cada norma 2008 2009
I Semestre II Semestre I Semestre
Plan de divulgación PETIC y PTAC, Campo E.
1.2 Gestión de Riesgos
Definición de riesgos tecnológicos e institucionales
Valorar y actualizar los riesgos TIC
1.3 Gestión de la Calidad
Elaborar el manual de gestión de calidad
Desarrollar el sistema de registro, medición y control
1.4 Gestión de Proyectos
Adaptar y aplicar la guía metodológica
1.5 Gestión de la Seguridad
Aplicar las directrices de seguridad
Desarrollar directrices de seguridad complementarias
Divulgar el marco de seguridad de TIC
Coordinar las directrices con la valoración de riesgos
1.6 Decisiones sobre asuntos estratégicos
Dar seguimiento al marco jurídico de TI
Validar el plan táctico con el CGTIC
2.2 Modelo Arquitectura de Información
Desarrollar el modelo de arquitectura
Dar seguimiento al entorno tecnológico
2.4 Independencia y recurso humano TIC
Integrar servicios y funciones de TIC
Aprobar el plan de inversiones (CGTIC)
3.1 Implementación de TI
Aplicar guía metodológica para proyectos
Capacitar en gestión de proyectos
Aplicar guía metodológica para proyectos de desarrollo de sistemas
Revisar y documentar los criterios de aplicación
3.3 Implementación de la infraestructura tecnológica
Dar seguimiento al entorno tecnológico
3.4 Implementación de software e infraestructura contratada a terceros
Agregar procedimientos de outsourcing a la guía de proyectos
Actualizar la política para contratación
4.1 Definición y administración de acuerdos de servicio
Elaborar y actualizar el catálogo de servicios
Desarrollar diagnóstico de capacidad
4.3 Administración de los Datos
Elaborar procedimientos de procesamiento de transacciones
Implementar sistema de contingencias
4.4 Asistencia y asesoramiento a los usuarios de TI
Implementar plan de capacitación de TI
Establecer la función de atención de usuarios centralizada
Implantar los procedimientos para atención usuarios
Mejorar los criterios de significancia
Agregar procedimientos de outsourcing a la guía de proyectos
Actualizar la política para contratación
5.2 Seguimiento y evaluación de control interno
Revisar y mejorar continuamente el CI
5.3 Participación de la auditoria interna
Aprovechar oportunidades de asesoría
Programar auditorias de TI

Anexo - NTP3
Evaluación de Riesgos en
Tecnologías de Información
Anexo - NTP3
Evaluación de Riesgos en
Tecnologías de Información

Introducción
Actualmente, la gestión de Tecnologías de Información y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composición de los presupuestos de tecnología, el desarrollo de
proyectos, la proyección de la formación y perfil del personal de la CGR en los temas
tecnológicos, así como en la elaboración de un plan estratégico, totalmente alineado
con los objetivos de la institución.
En vista de la evolución de las mejores prácticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, así como el marco de gestión, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organización y en los grupos externos de fiscalización.
Para el almacenamiento de bases de datos se tienen dos áreas de almacenamiento
en red; conectadas con fibra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupación total cercana al 70% de su espacio total.
Además, dispone de servidores para la ejecución de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la inserción tecnológica deseada.
Se tiene una red de área local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de información automatizados, correo
electrónico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias móviles de la comunicación tecnológica, resulta

necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnológicas
en la gestión de la fiscalización.
Además, se utiliza software especializado para administrar el ancho de banda y
filtrar el acceso a Internet, software de antivirus, administrador de las direcciones del
protocolo de Internet (IP), la administración del firewall, los certificados privados, un
administrador de proyectos, software para registro de atención de averías, el directorio
activo de todos los funcionarios de la CGR, la administración de la central telefónica, el
software de capacitación en línea, y la vigilancia de la seguridad de las instalaciones.
Lo anterior, representa una base tecnológica que requiere ser complementada con
software especializado para la fiscalización, y software colaborativo; entre otros, que
permitan una fiscalización ampliamente soportada en tecnología de punta.
Finalmente, se cuenta con varios sistemas de información que soportan tanto las
tareas sustantivas como las de apoyo al nivel institucional; considerándose algunos
como muy críticos.
Modelo de análisis de riesgos
Contexto estratégico
La CGR es un órgano de control de la Asamblea Legislativa y tiene bajo su fiscalización
472 instituciones públicas, más Juntas de Educación, Asociaciones, y empresas
privadas que administren fondos públicos, para que con base en los estudios realizados
se le permita a la ciudadanía conocer, acerca de cómo sus gobernantes y funcionarios
públicos están utilizando los recursos que se les asignaron. Presupuestariamente
depende de un presupuesto aprobado por la Asamblea Legislativa.
Para transparentar la gestión pública se basa en su ley orgánica, la ley de control
interno, en el sistema para evaluación de riesgos, en resoluciones de cumplimiento

Normas téc en ti y comunics

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Normas téc en ti y comunics

Similar a Normas téc en ti y comunics (20)

Último

Último (15)

Normas téc en ti y comunics