Para asegurar la disponibilidad del Marco de Gestión de Tecnología de Información Institucional, la institución debe establecer los procesos al nivel de Tecnologías de información, que permitan brindar servicios efectivos para mantener la operativa institucional, salvaguardar los datos que se capturan, procesan, organizan, distribuyen y resguardan.
I. GOBERNANZA DE TI
La institución debe disponer de un marco orientador que permita la definición de la acción institucional con un enfoque de valor público. Asimismo, debe considerar en la estrategia institucional la incorporación de iniciativas habilitadas por tecnologías de información.
La entidad pública debe tener un órgano rector que permita establecer las prioridades en cuanto al cumplimiento de estrategias propuestas por tecnologías de información; debidamente conformado por las autoridades institucionales administrativas competentes según corresponda a cada institución, participando a los titulares responsables de la Planificación Institucional y de las tecnologías de información y comunicaciones como un asesor en los modelos de habilitación de los objetivos, necesidades y oportunidades institucionales a través del uso de TI, así como elementos para la rendición de cuentas sobre el uso adecuado de las TI para responder a las necesidades, objetivos y oportunidades institucionales.
La conceptualización de este órgano rector debe ser una instancia de alto nivel que busca habilitar la gobernanza en torno a las Tecnologías de la Información y Comunicaciones (TIC), estableciendo un espacio de diálogo y coordinación entre las gerencias de la institución y la unidad responsable de las Tecnologías de Información y Comunicaciones (DTIC), con el fin de asegurar el apoyo de las TIC a la gestión y el cumplimiento de la estrategia institucional. Al estar integrado por las máximas autoridades de gobierno y administración de la Institución, junto con la unidad de Tecnologías de la Información y Comunicaciones, y la Dirección de Planificación Institucional asume como cuerpo colegiado, la toma de decisiones sobre temas estratégicos asociados con las TIC que inciden en la prestación de los servicios a los usuarios.
II. GESTIÓN DE TI
La institución debe implementar y mantener prácticas de gestión de las TI, que defina formalmente los siguientes componentes para la entrega de servicios al nivel de tecnologías de información en alineación con el marco estratégico y el modelo de arquitectura empresarial:
- Estructura organizacional, el nivel de responsabilidad jerárquica de la Unidad de TI debe permitir la independencia de sus acciones y priorizar sus servicios de acuerdo con los requerimientos institucionales. Las Unidades deben ser claras y estar asignadas, oficializadas, publicadas ydistribuidas a funcionarios que cumplan con el perfil requerido, de forma tal que no impacte la toma de decisiones y el logro de los objetivos de los procesos y servicios de TI.
- Procesos de TI, establecidos formalmente para el adecuado aseguramiento de entrega de servicios y soporte a la institución.
- Servicios, formalmente establecidos a través de un catálogo y las relaciones de acuerdos con las unidades funcionales, de forma tal que se pueda administrar adecuadamente la infraestructura tecnológica instalada en la organización para asegurar la continuidad de las operaciones institucionales, el resguardo de la información, el cumplimiento regulatorio y la mejora continua hacia el logro de los objetivos institucionales.
- Investigación sobre tecnologías emergentes que permitan a través de su eventual incorporación, la innovación y mejora continua al nivel institucional para el logro de los objetivos y la entrega de valor público.
- Atención (a través de una mesa de ayuda), ya sea solicitudes de nuevos requerimientos o incidentes al nivel de TI, de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia. Además de permitir mayor facilidad al usuario el proceso para solicitar la atención. Administración de bienes y servicios prestados por terceros, asegurando que satisfagan los requerimientos en forma eficiente y sean congruentes con las prácticas de calidad, seguridad, seguimiento y evaluación establecidas por la institución.
- Planificación de trabajo, a través de planes para la asignación de tareas y responsables y que orienten la evaluación del desempeño al nivel individual y el logro de los objetivos establecidos.
III. PLANIFICACIÓN TECNOLÓGICA INSTITUCIONAL
La Institución debe instaurar un modelo estratégico formal que permita establecer la dirección organizacional, iniciativas a corto, mediano y largo plazo, incorporando las necesidades y oportunidades tecnológicas que permita establecer los requerimientos al nivel tecnológico para la sostenibilidad de las operaciones institucionales, así como cambio y mejora a los recursos tecnológicos instalados y las oportunidades de crecimiento y entrega de valor público.
Adicionalmente, que incorpore indicadores que permitan valorar el nivel de cumplimiento de los objetivos estratégicos, las acciones de revisión y ajuste a la estrategia.
La Unidad de TI debe disponer de un plan de infraestructura e inversiones que permita proyectar los requerimientos de licenciamiento, mantenimiento de infraestructura tecnológica (preventiva, por obsolescencia, mejora), adquisición de nuevos recursos tecnológicos, basados en la línea estratégica institucional establecida.
La entidad debe establecer una Política de Innovación e investigación tecnológica donde se determinen los mecanismos necesarios para asegurar el establecimiento de un proceso continuo por medio de la Unidad de TI.
La Unidad de TI debe disponer de un programa de iniciativas institucionales que pueden ser habilitadas a través de la incorporación de recursos y servicios tecnológicos, respaldados debidamente por la valoración de la factibilidad y entrega de valor respectivos.
La Unidad de TI debe desarrollar la planificación anual operativa que oriente las acciones para asegurar la mantenibilidad y disponibilidad de los recursos tecnológicos, la incorporación de nuevas facilidades (a través de proyectos) y el presupuesto asociado a las actividades y tareas, debidamente alineadas con los objetivos estratégicos establecidos por la institución.
La entidad debe optimizar el uso de los recursos financieros invertidos en la gestión de TI procurando el logro de los objetivos de esa inversión, controlando en forma efectiva dichos recursos y observando el marco jurídico que al efecto le resulte aplicable.
IV. GESTIÓN DE RIESGOS TECNOLÓGICOS
La institución debe establecer un proceso formal de gestión de riesgos que responda a las amenazas que puedan afectar el logro de los objetivos institucionales, basado en una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considerando el Marco de Gestión de TI que le resulte aplicable.
La Unidad de TI debe aplicar el marco de gestión de riesgo tecnológico, con el fin de identificar, valorar, priorizar y gestionar los riesgos al nivel de TI en cualquiera de sus escenarios, que impliquen una eventual afectación a la continuidad operacional, así como la integridad y confidencialidad de la información y el cumplimiento regulatorio de la institución.
V. ARQUITECTURA EMPRESARIAL
La Institución debe disponer de prácticas formales que permitan gestionar la arquitectura empresarial orientada la gestión de los procesos institucionales para promover la implementación de la estrategia organizacional, en el que se establezca la identificación formal de la estructura de datos clasificada según su nivel de criticidad y uso, la asociación de los procesos institucionales, de acuerdo con el uso de recursos tecnológicos (sistemas de información e infraestructura) para acceder, procesar y almacenar los datos e información.
La entidad debe contar con un modelo de arquitectura que permita visualizar adecuadamente la estructura de procesos institucionales y la relación de uso de recursos instalados (sistemas de información, infraestructura tecnológica) para gestionar los datos e información requeridos en la operativa. El órgano rector de Gobernanza en TI tiene la responsabilidad de establecer el modelo de arquitectura empresarial.
La institución debe disponer de un modelo de clasificación de datos e información, según criterios y requisitos legales, de valor, según el nivel de criticidad y susceptibilidad a divulgación o modificación no autorizada. La Unidad de TI se basará en este modelo para establecer las directrices de seguridad y protección de los datos e información institucionales.
VI. CALIDAD DE LOS PROCESOS TECNOLÓGICOS
La institución debe implementar prácticas que permitan controlar los procesos organizacionales, posibilitando la mejora continua de productos y servicios, buscando asegurar la satisfacción de las necesidades institucionales, manteniendo estándares de documentación de los lineamientos requeridos, esquemas para la medición del desempeño y control sobre la vigencia de las prácticas aplicables a los procesos.
Igualmente, debe generar servicios de TI de conformidad con los requerimientos de los usuarios con base en un enfoque de eficiencia y mejoramiento continuo de los procesos que habilitan la gestión de las tecnologías de información.
VII. RECURSOS HUMANOS
La institución debe disponer de un proceso formal que le permita gestionar los recursos humanos de acuerdo con las necesidades institucionales, en apego a directrices y regulaciones según aplique. Las prácticas deben apoyar el reclutamiento, selección, contratación, inducción y capacitación continua según lo requerido. De igual forma, disponer de modelos que permitan la evaluación del desempeño de los funcionarios y la identificación de funcionarios con responsabilidades críticas y el desarrollo de habilidades en otros colegas que permitan sustituciones para asegurar la continuidad del servicio de las actividades principales.
La Unidad de TI debe constituirse con funcionarios que dispongan de un perfil técnico de acuerdo con sus responsabilidades, así como habilidades de gestión y administrativas que permitan realizar actividades requeridas para asegurar la gobernanza de las TI.
VIII. CONTRATACIÓN Y ADQUISICIONES DE BIENES Y SERVICIOS TECNOLÓGICOS
La institución debe disponer de prácticas formales para establecer los requerimientos de contratación y adquisición de bienes, consultorías y servicios a proveedores externos, cuyo giro de negocio sea orientado al ámbito tecnológico, de forma tal que apoye el desarrollo de iniciativas y mejoras de la infraestructura tecnológica, sistemas de información, seguridad de la información, ciberseguridad y otros relacionados de acuerdo con las necesidades y oportunidades visualizadas al nivel institucional. El modelo debe permitir establecer objetivamente al nivel operativo, técnico, legal y tecnológico entre otros, los términos de referencia, los parámetros de valoración del perfil del proveedor y su oferta para realizar la selección adecuada.
La Unidad de TI debe disponer y aplicar en forma consistente prácticas para la supervisión y evaluación a través de pruebas de aceptación y valoración del cumplimiento contractual en cuanto al servicio y desempeño en la implementación, configuración y administración de los recursos tecnológicos contratados a terceros.
IX. GESTIÓN DE PROYECTOS QUE IMPLEMENTAN RECURSOS TECNOLÓGICOS
La institución debe gestionar los proyectos que permitan habilitar sus iniciativas para el logro de los objetivos estratégicos, satisfaciendo los requerimientos y en cumplimiento con términos de calidad, tiempo, presupuesto y uso óptimo de los recursos, de acuerdo con las buenas prácticas y estándares preestablecidos.
La Unidad de TI debe establecer el portafolio de proyectos debidamente priorizados, identificando en cada iniciativa el beneficio a generar por la habilitación de tecnologías de información. Su administración a través de la ejecución de los planes asociados, deben permitir obtener el resultado esperado, minimizando el riesgo asociado a eventos durante la ejecución del proyecto y garantizando la calidad y la entrega de valor para el logro de los objetivos institucionales.
La Unidad de TI debe establecer un modelo estandarizado para la gestión y administración de proyectos de perfil tecnológico, así como su continua actualización, divulgación y capacitación a funcionarios.
X. DESARROLLO, IMPLEMENTACIÓN Y MANTENIMIENTO DE SISTEMA DE INFORMACIÓN
La Unidad de TI debe aplicar prácticas formales que permitan ejecutar un proceso consistente para la definición de requerimientos, diseño, adquisición y/o desarrollo, realización de pruebas, migración de datos e información, aprobación, integración de conocimiento e inteligencia de negocios y puesta en marcha de las soluciones, con el fin de asegurar que la institución cuente con sistemas de información y aplicaciones que permitan gestionar adecuadamente la información requerida.
La Unidad de TI debe asegurar la disponibilidad de estándares para programación, gestión de la calidad del software en desarrollo o mantenimiento, cambios por excepción y/o emergencia, llevando un adecuado control de cambios y versiones.
La Unidad de TI debe establecer un plan efectivo de capacitación, formación y actualización tecnológica para los funcionarios que se destaquen en este ámbito, el mismo debe contemplar la participación o involucramiento de los usuarios finales, dueños de procesos y responsables de los diferentes procesos y servicios institucionales.
La Unidad de TI debe aplicar las prácticas de aseguramiento del cumplimiento contractual y las prácticas de calidad asociadas para los casos en utilice soluciones desarrolladas y/o implementadas por proveedores externos.
XI. SEGURIDAD Y CIBERSEGURIDAD
La institución debe tener y aplicar en forma consistente una estructura formal al nivel institucional, que permita establecer las acciones para administrar la seguridad de la información, ciberseguridad debidamente respaldada con la política de seguridad de la información / ciberseguridad y que oriente la disponibilidad de niveles de protección y salvaguarda razonables en atención a requerimientos técnicos, contractuales, legales y regulatorios asociados.
La Unidad de TI, basado en la Política de seguridad de información / ciberseguridad, debe establecer los mecanismos necesarios para asegurar una protección razonable de los activos tecnológicos, activos de información institucionales, dando énfasis en su clasificación como elemento definitorio para establecer los requerimientos de preservación de la confidencialidad, integridad y disponibilidad de la información.
La Institución debe propiciar un ambiente seguro, considerando la seguridad física y ambiental como un componente básico en el esquema de protección requerido para prevenir el acceso físico no autorizado, daños e interferencia a la información y los activos de información de la institución.
Los procesos institucionales deben considerar los requerimientos de seguridad de la información, de forma tal que proteja y propicie el cumplimiento de los objetivos institucionales, como las responsabilidades que impone el ordenamiento jurídico, normativa vigente y demás compromisos contractuales adquiridos por la institución.
La Unidad de TI debe establecer mecanismos efectivos para prevenir, detectar, impedir, valorar, evaluar y corregir transgresiones a la seguridad que pudieran generarse al nivel de acceso a sistemas, infraestructura e instalaciones en las que se almacena, procesa y transmite información, previendo que el personal y los proveedores tengan accesos mínimos necesarios para la ejecución de sus funciones; se apliquen controles para proteger la confidencialidad, autenticidad, privacidad e integridad de la información.
La Unidad de TI debe establecer un plan efectivo de capacitación, formación y actualización tecnológica para los funcionarios que se destaquen en este ámbito, el mismo debe contemplar la participación o involucramiento de los usuarios finales, dueños de procesos y responsables de los diferentes procesos y servicios institucionales.
XII. ADMINISTRACIÓN INFRAESTRUCTURA TECNOLÓGICA
La institución debe implementar prácticas formales que permitan mantener identificados y actualizados los activos de TI, mediante inventarios de recursos tecnológicos instalados en la organización (hardware, software, aplicaciones, comunicaciones), clasificados según el nivel de criticidad, características, configuración, servicios y medidas de protección asociadas.
La Unidad de TI debe establecer prácticas formales para la gestión de la entrega de servicios a través de los recursos tecnológicos instalados en la institución, administrados interna y externamente, gestionando la configuración y mantenimiento del desempeño y capacidad de los activos de TI, de manera que a través de monitoreos y actualizaciones se mantenga el uso óptimo de los recursos y brinden una garantía razonable sobre la continuidad de las operaciones institucionales, establecidos a través de niveles de operación y sostenibilidad para brindar los servicios requeridos.
La Unidad de TI debe disponer de una estructura formal que permita a las unidades usuarias gestionar solicitudes de nuevos servicios (mejoras, mantenimiento, inclusión), reportar incidencias que impacten en la operativa de los procesos; pudiendo ser atendidas y escaladas en un modelo de priorización de respuesta.
La Unidad de TI debe establecer un plan efectivo de capacitación, formación y actualización tecnológica para los funcionarios que se destaquen en este ámbito, el mismo debe contemplar la participación o involucramiento de los usuarios finales, dueños de procesos y responsables de los diferentes procesos y servicios institucionales.
XIII. CONTINUIDAD Y DISPONIBILIDAD OPERATIVA DE LOS SERVICIOS TECNOLÓGICOS
La institución debe establecer formalmente prácticas que le permitan realizar valoraciones sobre la resiliencia institucional, disponiendo de una estrategia viable y rentable que coadyuve a mantener la continuidad de las operaciones habilitadas por el uso de recursos tecnológicos, la recuperación ante un desastre y la respuesta ante incidentes, disponiendo de un plan de continuidad elaborado a través de la identificación y análisis de procesos y activos críticos, base para establecer las acciones ante materialización de eventos de interrupción, estableciendo roles y responsabilidades adecuadas para responder a situaciones adversas.
La institución debe asegurar que las acciones hayan sido comunicadas y entendidas por las partes interesadas, además de realizar pruebas periódicas para validar la vigencia y aplicabilidad.
La Unidad de TI debe definir acciones formales que permitan brindar una garantía razonable sobre la continuidad de los servicios tecnológicos internos y los administrados por terceros, procesos ante situaciones de contingencia y restablecimiento de los recursos tecnológicos, ante una interrupción; manteniendo adicionalmente acuerdos de servicio con los proveedores de bienes y servicios que le permitan solventar situaciones de interrupción.
XIV. ASEGURAMIENTO
La institución debe disponer de prácticas formales que permitan la valoración de la disponibilidad y adecuada aplicación de un sistema de control interno para el uso eficiente de los recursos tecnológicos de la institución para lograr mantener la continuidad de las operaciones, salvaguarda y protección de la información y los activos asociados a su captura, procesamiento, consulta, almacenamiento y transferencia y la gestión apropiada de los riesgos asociados. Adicionalmente, debe asegurar que las unidades institucionales disponen y aplican prácticas e instrumentos que le permitan evaluar la adecuada gestión de los procesos y servicios a través de métricas de rendimiento y metas para generar valor a la institución y apoyar en el logro de los objetivos y metas institucionales.
La institución debe estar comprometida en la aplicación de buenas prácticas y seguimiento en la gestión de las TI estableciendo criterios efectivos para el cumplimiento de regulaciones internas y externas, así como disposiciones contractuales.
La Unidad de TI debe incorporar prácticas de valoración para el aseguramiento sobre la entrega de servicios y el uso óptimo de los recursos tecnológicos instalados para apoyar a la institución en la continuidad de sus operaciones, salvaguarda y protección de la información y activos asociados y la implementación de iniciativas para el logro de los objetivos institucionales.
La institución debe disponer de informes de resultados sobre las diferentes valoraciones que le permitan identificar desviaciones y áreas de mejora sobre la gestión de TI en la entrega de servicios, la disponibilidad y protección de los recursos tecnológicos. La Unidad de TI debe establecer acciones para el mejoramiento continuo con base en los resultados de las evaluaciones que se deben incorporar a sus planes de trabajo.
La Unidad de TI debe informar formalmente al órgano rector sobre tecnologías de información sobre los resultados de su gestión de acuerdo con los planes establecidos, identificando el nivel de alineación y entrega de valor y beneficios según lo definido para el logro de los objetivos institucionales.