GESTIÓN DE TECNOLOGÍA DE LA … llevar a cabo la P laneación E stratégica de Tecnología, se...

PROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS

COMUNICACIONES

CÓDIGO: GTC-PR-001

VERSIÓN 001

PROCEDIMIENTO ACTUALIZACIÓN DEL PLAN ESTRATÉGICO PETIC PÁGINA: 1 de 10

NOMBRE CARGO FECHA FIRMA

ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Establecer los proyectos tecnológicos claves, que le permitan al Centro Nacional de Memoria Histórica-CNMH fortalecer la apropiación de las tecnologías de la información y las comunicaciones y el cumplimiento con su misión, visión y objetivos estratégicos.

2. ALCANCE

Desde el levantamiento de la información preliminar para la construcción del documento línea base, incluyendo el análisis de la información preliminar, la estructuración de los pilares estratégicos, la modelación integral, continuando con la socialización y validación del modelo, la aprobación del modelo integral, definición de planes y proyectos, socialización del documento PETIC y finaliza con la actualización del Plan Estratégico de Tecnología de la Información y las Comunicaciones - PETIC.

3. LÍDER DEL PROCEDIMIENTO

Asesor Especializado en TIC

4. DEFINICIONES

ARQUITECTURA DE APLICACIÓN: Técnicas, herramientas y procesos que rigen el ciclo de vida de las aplicaciones y sistemas de información. ARQUITECTURA DE DATOS: Construcción del método utilizado para almacenar información en una computadora. ARQUITECTURA DE INFRAESTRUCTURA TECNOLÓGICA: Es el conjunto de hardware y software para llevar a cabo toda la actividad. ARQUITECTURA DE SERVICIOS IT: Enfocado en la gobernabilidad, administración y gestión de los servicios IT, tomando como base las buenas prácticas del ITIL, orientado en la calidad del servicio ofrecido a los usuarios, internos, comunidad y partes interesadas. ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN: Esquema de acción estratégica estableciendo directrices a nivel de seguridad de la información. ITIL: Administración de servicios de tecnología que permite actuar como un medio para estructurar la organización de TI a través de un enfoque basado en procesos. PLAN ESTRATÉGICO: Documento que refleja la estrategia a seguir. Un plan estratégico oscila entre 1 y 5 años PETIC (Planeación Estratégica de Tecnologías de la Información y las Comunicaciones): Es el documento de planeación estratégica en el que se definen los objetivos y proyectos estratégicos de TIC que la entidad efectuará en el año que se reporta. SGSI (Sistemas de Gestión de Seguridad de la Información): Conjunto de políticas, procesos, procedimientos y normas, tendientes a garantizar la integridad,

PROCEDIMIENTO ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE

TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC

CÓDIGO GTC-PR-001 VERSIÓN 001

PÁGINA 2 de 10

4. DEFINICIONES

la disponibilidad y la confiabilidad de los activos de la información de la entidad. SGCN (Sistema de Gestión de Continuidad del Negocio): Conjunto de políticas, procesos, procedimientos y normas, tendientes a garantizar la continuidad de los servicios que presta la entidad. TIC: Tecnología de la Información y las comunicaciones.

5. NORMAS LEGALES

Decreto 2482 de 2012: Se establecen los lineamientos generales para la integración de la planeación y la gestión de las entidades públicas.

Decreto 1151 de 2008: La implementación de la Estrategia de Gobierno en Línea.

Decreto 4803 de 2011: “Por el cual se establece la estructura del Centro Nacional de Memoria Histórica”.

6. CONDICIONES GENERALES

Para llevar a cabo la Planeación Estratégica de Tecnología, se tendrá en cuenta los lineamientos del Plan Estratégico del Centro Nacional de Memoria Histórica.

El documento PETIC previo servirá de insumo para la actualización del mismo.

El proceso de tecnología levantará información estratégica en conjunto con los líderes de los procesos.

Para la actualización del PETIC se tendrá como referencia normas, estándares y/o mejores prácticas en tecnología como ITIL, COBIT, Normas ISO.

El comité de tecnología revisará el documento de Planeación Estratégica de la Información y las comunicaciones y actualizará el planteamiento de arquitectura, seguridad y modelo del sistema integral del CNMH, si se requiere, con una periodicidad mínimo de tres años.




PÁGINA 3 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)

DESCRIPCIÓN TAREAS (S)

(QUIEN)

RESPONSABLE

DOCUMENTOS Y/O REGISTROS

1 Levantar información preliminar

Compila información preliminar (mapa de procesos, plan estratégico corporativo, Normograma, información del estado actual de la infraestructura tecnológico, documento PETIC previo, instructivos, manuales etc.) de manera conjunta con las direcciones, dependencias y equipos de trabajo, realizando el levantamiento de una línea base, igualmente se recibe información tecnológica entregada por las entidades del sector de Inclusión Social y Reconciliación y el Departamento de la Prosperidad Social. Realiza entrevistas a los procesos misionales y de apoyo (labor misional, levantamiento de requerimientos técnicos y expectativas).

Comité de Tecnología No Aplica

2 Analizar y revisar la información

Analiza la información recopilada y la documentación previa recibida y se ajusta con base en las observaciones realizadas, normas, estándares y mejores prácticas vigentes en tecnología. Para cada ajuste del documento se genera una nueva versión. Establece brechas, es decir, estado actual de la tecnología de la entidad vs en lo que debería estar.

Comité de Tecnología

No Aplica Análisis de brechas. GTC-FT-001




PÁGINA 4 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


¿La información es suficiente? SI: Continuar con actividad 3 NO: Continuar con actividad 1

3 Establecer visión del PETIC

Se retoma la visión del PETIC anterior, se revisa y se reajusta, de ser necesario, alineándolo al Plan Estratégico de la entidad y brechas que se analizaron. La visión del PETIC será parte integral del documento final PETIC.

Comité de Tecnología Comité Directivo

No Aplica

4 Establecer pilares estratégicos

Determina los pilares estratégicos de la entidad que regirán el desarrollo del PETIC. ¿Se requiere actualización? SI: Continuar con actividad 2 NO: Continuar con actividad 5


No Aplica

5 Plantear recomendaciones

Con base en los pilares estratégicos, la información recopilada y la visión definida, se plantean recomendaciones para el desarrollo de la infraestructura tecnológica del CNMH


Documento de informe (Recomendaciones para el desarrollo de la infraestructura tecnológica). GTC-FT-003

6 Revisar y actualizar la modelación integral del centro

Revisa y actualiza la arquitectura de aplicaciones que consiste en identificar diferentes módulos para el manejo de toda la información del CNMH (Ver última Versión documento PETIC)


No Aplica




PÁGINA 5 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


Revisa y actualiza la arquitectura de datos que consiste en identificar el tratamiento de la información (Ver última Versión documento PETIC) ¿Se alinea con la normatividad gubernamental y los estándares internacionales? SI: Continuar con actividad 7 NO: Continuar con actividad 2 Determina la arquitectura de infraestructura tecnológica. Se toma como base la información recopilada mediante entrevistas, visitas realizadas, análisis de información sobre tendencias tecnológicas y estado actual de infraestructura (Ver última Versión PETIC) ¿Información recopilada suficiente? SI: Continuar con actividad 7 NO: Continuar con actividad 2 Revisa y actualiza la arquitectura de servicios IT, enfocado en la gobernabilidad, administración y gestión de los servicios IT,




PÁGINA 6 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


tomando como base las buenas prácticas recomendadas, orientado en la calidad del servicio ofrecido a los usuarios, internos, comunidad y partes interesadas que interactúan con el CNMH (Ver última Versión documento PETIC). Revisa y actualiza la arquitectura de la seguridad de la información del CNMH, enfocado en la gobernabilidad, administración y gestión de la seguridad de la información tomando como referencia las normas internacionales vigentes y loas que fije el Gobierno Nacional (Ver última versión PETIC). Plantea el Modelo del Sistema Integral, como herramienta de integración de los procesos y procedimientos en el nivel estratégico, misional de apoyo y de evaluación, las normas internacionales vigentes y los que fije el Gobierno nacional (Ver última versión PETIC).

7

Socializar y validar el modelo integral

Socializa y valida el modelo integral de la entidad en conjunto con la Dirección General y Direcciones de áreas. ¿Las áreas se ven reflejadas en el modelo integral? SI: Continuar con actividad 9 NO: Continuar con actividad 8


Acta de socialización del modelo integral de referencia. SIP-FT-001




PÁGINA 7 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


8 Ajustar modelo integral Ajusta el modelo integral teniendo en cuenta las observaciones de la Dirección General y Direcciones de áreas.


No Aplica

9 Aprobar el modelo integral

Presenta modelo de referencia integral del CNMH al Comité Directivo para aprobación mediante acta. ¿Modelo integral aprobado? SI: Continuar con actividad 10 NO: Continuar con actividad 8

Comité de Tecnología Dirección General y Direcciones de áreas

Acta de reunión aprobada el modelo de referencia. SIP-FT-001

10 Identificar y definir planes de acción y proyectos asociados

Identifica y define planes de acción recomendados para su ejecución ordenada y progresiva Evalúa proyectos exitosos de TIC de entidades del sector de inclusión social y reconciliación Prioriza los proyectos e identifica la importancia de la ejecución para la entidad. Plasma en el PETIC los planes y proyectos de tecnología a desarrollar. Consolida el documento final PETIC.


Plan anual de adquisiciones (tecnología de la información y comunicaciones). ABS-FT-001 Plan Estratégico de Tecnología (PETIC) Política TIC. GTC-PC-001 Mapa de ruta del PETIC




PÁGINA 8 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


11 Socializar documento del PETIC

Realiza la socialización del PETIC mediante citación a Comité Directivo. Da a conocer al personal del CNMH el documento actualizado PETIC mediante reuniones informativas. Realiza presentación del PETIC ante entidades del Sector de Inclusión Social y Reconciliación.


Acta de reunión socializando el PETIC. SIP-FT-001




PÁGINA 9 de 10

8. FLUJOGRAMA

Ver Flujograma




PÁGINA 10 de 10

9. PUNTOS DE CONTROL

No. NOMBRE ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO

9 Aprobar el modelo integral del centro

Se revisa el modelo integral, se somete a votación para aprobación o rechazo del mismo.

Mínimo cada tres años

Comité de Tecnología Dirección General y Direcciones de áreas

Acta de reunión

aprobada el modelo

de referencia.

IP-FT-001

10. DOCUMENTOS DE REFERENCIA

Plan Estratégico Corporativo

Norma ISO/IEC 27001

Norma NTC GP1000:2009

MECI

11. ANEXOS

Mapa de procesos

Normograma

12. CONTROL DE CAMBIOS

ASPECTOS QUE CAMBIARON EN EL DOCUMENTO

DETALLE DE LOS CAMBIOS EFECTUADOS FECHA DEL CAMBIO VERSIÓN

No Aplica Elaboración del documento primera versión DD/MM/AAAA 001


COMUNICACIONES

CÓDIGO: GTC-PR-002

VERSIÓN 001

PROCEDIMIENTO IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE

TECNOLOGÍA PÁGINA: 1 de 12


ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Establecer mecanismos para la ejecución efectiva de soluciones y servicios de tecnología del Centro Nacional de Memoria Histórica -CNMH.

2. ALCANCE

Este procedimiento inicia desde la revisión de los planes de acción y proyectos asociados a tecnología dentro del marco del Plan Estratégico de Tecnología de la Información y las Comunicaciones -PETIC, incluyendo actividades como contratación del desarrollo del proyecto y verificación de actividades y finaliza con el establecimiento de acciones de mejora para el proyecto implementado en caso que aplique.


Profesional Especializado TIC

4. DEFINICIONES

ITIL (Information Technology Infraestructura Library): Conjunto de buenas prácticas para la administración de servicios de tecnología que permite actuar como un medio para estructurar la organización de TI a través de un enfoque basado en procesos. REQUERIMIENTOS TÉCNICOS: Son las características, condiciones, cantidad, y calidad de los bienes, servicios y obras que una entidad requiere adquirir o contratar para el cumplimiento de sus funciones. Son elaborados por el área usuaria de la entidad y posteriormente son consignados en las bases del proceso de selección. SONDEO DE MERCADO: Es la actividad de consultar el mercado para establecer un estimado de costos de soluciones tecnológicas requeridas por las dependencias usuarias de la tecnología de la entidad. SOLUCIÓN TECNOLÓGICA: Es una respuesta a un requerimiento utilizando herramientas y recursos tecnológicos, buscando mayor eficiencia.

5. NORMAS LEGALES

Ley 1341 de 2009: Por el cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las Comunicaciones – TIC se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.


TECNOLOGÍA


PÁGINA 2 de 12

5. NORMAS LEGALES

Decreto 1510 de 2013: Por el cual se reglamenta el Estatuto General de la Administración Pública y se dictan otras disposiciones.


1. Toda implementación de soluciones y servicios de tecnología estará sujeto a las normas de contratación vigentes. 2. Toda implementación de soluciones y servicios de tecnología estarán alineados con el PETIC.


TECNOLOGÍA


PÁGINA 3 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


1

Revisar planes de acción y proyectos asociados a tecnología

Revisa planes de acción y proyectos asociados a tecnología incluidos en el PETIC identificando alcance y recursos necesarios. Define acciones y proyectos prioritarios a ejecutar. Asigna presupuesto a cada proyecto de tecnología.

Comité de Tecnología (Director (a) Administrativa y Financiera, Asesor de la Dirección Administrativa y Financiera y profesionales especializados)

Plan anual de adquisiciones de tecnología de la información y comunicaciones. ABS-FT-001

2 Definir la solución o servicio tecnológico a implementar

Identifica características y requisitos de la solución a implementar mediante entrevistas con el área o áreas usuarias, diligenciando el formato de documento de requerimiento técnico. Este debe tener el visto bueno del jefe o Director de la dependencia.

Profesional Especializado en TIC

Solicitud de requerimientos técnicos. GTC-FT-002

3 Validar información de requerimientos

Valida con el área o áreas usuarias el documento de requerimientos técnicos ¿El documento de requerimientos refleja las necesidades del área? SI: Continuar con actividad 4 NO: Continuar con actividad 1 Presenta documento de requerimientos técnicos al Comité de Tecnología


No Aplica


TECNOLOGÍA


PÁGINA 4 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


4 Aprobar documento de requerimientos técnicos

Aprueba el documento de requerimientos técnicos por parte de las áreas usuarios realizando los ajustes correspondientes. ¿Documento de requerimientos técnicos aprobado? SI: Continuar con actividad 5 NO: Continuar con actividad 2

Dependencias Usuarias

Acta de aprobación de documento de requerimiento técnico. SIP-FT-001

5 Realizar sondeo de mercado

Elabora documento de sondeo de mercado: Este documento contiene la siguiente información: Objeto del proyecto, requisitos técnicos, ficha técnica, alcance, tiempo de ejecución, tabla de propuesta económica.


Sondeo de mercado.

6 Validar y liberar sondeo de mercado

Valida el sondeo de mercado con el área usuaria y con el Comité de Tecnología ¿Documento de sondeo de mercado aprobado? SI: Continuar con actividad 7 NO: Continuar con actividad 5 Libera documento de sondeo de mercado, invita a varias empresas a participar para que envíen sus propuestas técnico - económicas.


No Aplica


TECNOLOGÍA


PÁGINA 5 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


7 Realizar análisis de propuestas

Analiza las propuestas técnico – económicas recibidas y se seleccionan aquellas propuestas que correspondan con los requerimientos solicitados en el sondeo de mercado.


No Aplica

8 Consolidar propuestas económicas

Consolida propuestas recibidas y seleccionadas, definiendo un presupuesto estimado a recomendar para el futuro proceso de contratación.


Informe de sondeo de mercado. ABS-FT-004

9 Realizar estudios previos

Realizar estudios previos teniendo como base el documento de sondeo de mercado. Se incluyen obligaciones del contratista, obligaciones de la entidad, condiciones que debe cumplir el proponente, incluye el certificado de disponibilidad presupuestal. El profesional Especializado de Contratación elaborar el pre-pliego. Ver Proceso de Adquisición de Bienes y Servicios


Estudios previos. ABS-FT-005 Borrador de pre-pliegos. ABS-FT-009

10

Responder a observaciones técnicas y realizar solicitud de modificaciones del pre-pre-pliego

Responde a observaciones realizadas por los potenciales proponentes a través del proceso de adquisiciones de bienes y servicios y se envía al proceso de adquisición de bienes y servicios la solicitud de modificación si aplica.


Comunicación oficial por correo electrónico de respuesta a observaciones a pre-pliegos


TECNOLOGÍA


PÁGINA 6 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


El profesional Especializado de Contratación elaborar el pre-pliego definitivo. Ver Proceso de Adquisición de Bienes y Servicios

Pliegos definitivos. ABS-FT-009

11

Responder a observaciones técnicas y Solicitar modificaciones a los pliegos definitivos

Responde a observaciones realizadas por parte de los potenciales proponentes. Envían las respuestas al proceso de Adquisición de Bienes y Servicios y realiza solicitud de adenda si aplica.


Comunicación oficial por correo electrónico de respuesta a observaciones a pliegos definitivos y solicitar adenda

12

Recibir propuestas Recibe propuestas de las empresas interesadas en participar en el proyecto.


No Aplica

13 Elaborar evaluación técnica

Realiza evaluación de los requerimientos técnicos mínimos de las propuestas recibidas, determinando que propuestas quedan habilitadas y cuáles no. Se entrega la evaluación al proceso de Adquisiciones de Bienes y Servicios. Solicita aclaraciones a las propuestas presentadas en caso que aplique o se requiera.


Documento de informe (Informe de Evaluación Técnica). GTC-FT-003


TECNOLOGÍA


PÁGINA 7 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


14 Recibir y dar respuesta a observaciones de la evaluación técnica

Recibe observaciones a la evaluación técnica por parte de los proponentes


Comunicación oficial por correo electrónico de respuesta a observaciones de la evaluación técnica

15 Realizar ajustes a la evaluación técnica

Realiza ajustes a la evaluación técnica con base en las observaciones recibidas por parte de los proponentes.


Documento de informe (Informe de Evaluación Técnica ajustado). GTC-FT-003

16 Revisar y/o aprobar evaluación técnica

Revisa y/o aprueba la evaluación técnica el comité de contratación. ¿Evaluación técnica aprobada? SI: Continuar con actividad 17 NO: Continuar con actividad 15 El Profesional Especializado de Contratación, pública el documento de evaluación técnica, realiza la adjudicación del proceso y elabora el contrato. Ver Proceso de Adquisición de Bienes y Servicios. El Director(a) Administrativa y Financiera, asigna supervisor del contrato. Ver proceso de Adquisición de Bienes y Servicios.

Comité de contratación (Ordenadora del gasto, parte técnica, parte jurídica y abogados asignados al proceso) Director (a) Administrativo y Financiera

Acta de reunión aprobando la Evaluación Técnica. SIP-FT-001


TECNOLOGÍA


PÁGINA 8 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


17 Implementar la solución y/o el servicio de tecnología

Realiza reuniones con el contratista asignado, acuerda el plan de trabajo a ejecutar. Se establecen: reunión de inicio, reuniones de seguimiento, reuniones técnicas y reunión de cierre, dejando como evidencia la correspondiente acta. Verifica la implementación de la solución tecnológica contratada, realizando pruebas. Verifica la parametrización y configuración del sistema. El responsable de la ejecución (adjudicatario) enviará informes parciales de la implementación al supervisor asignado y este a su vez revisa y elabora el informe de ejecución y resultados.

Supervisor Asignado de Tecnología

Actas de reunión. SIP-FT-001 Listas de asistencia SIP-FT-002 Documento de informe (Informe de ejecución y resultados). GTC-FT-003

18 Realizar control de cambios

Registra las solicitudes de cambio generadas, las analiza, cuantifica, cualifica su impacto y aprueba o desaprueba el cambio. El supervisor asignado dejará constancia de los cambios en el acta de control de cambios.


Acta control de cambios en implementaciones tecnológicas. GTC-FT-004

19 Depurar y ajustar la solución tecnológica

Ajusta los detalles de la implementación con base en los hallazgos de las pruebas realizadas, detallándolos en el informe de ejecución y resultados.

Proveedor de la solución Profesional Especializado TIC

Documento de informe (Informe de ejecución y resultados). GTC-FT-003


TECNOLOGÍA


PÁGINA 9 de 12

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


20 Verificar las condiciones de funcionamiento

Verifica las condiciones de funcionamiento de la solución de tecnología implementada, validando con los usuarios finales de la solución.

Usuario Final

No Aplica

21 Dar VoBo a la solución tecnológica implementada

Revisa y aprueba la solución mediante VoBo a la implementación tecnológica. ¿Implementación correcta? SI: Continuar con actividad 22 NO: Continuar con actividad 19


Acta de reunión aprobando la solución tecnológica implementada. SIP-FT-001

22 Cerrar proyecto de implementación

Revisa y autoriza la facturación para pagos. Recibe documentación técnica: manuales, diagramas, licencias, garantías, instructivos, y toda la información técnica del proyecto. Verifica que se desarrollen las capacitaciones a los interesados. Revisa que las garantías estén activas, revisa la vigencia del licenciamiento, revisa las necesidades posteriores de soporte del sistema implementado. Liquida el o los contratos mediante actas de liquidación y efectúa el cierre del proyecto mediante acta de cierre.

Supervisor asignado de tecnología

Documentación Técnica. EXT Documento de informe (Informe de ejecución y resultados). GTC-FT-003

Actas de liquidación de contratos. ABS-FT-021 Acta de cierre del proyecto. SIP-FT-001


TECNOLOGÍA


PÁGINA 10 de 12

8. FLUJOGRAMA

Ver Flujograma


TECNOLOGÍA


PÁGINA 11 de 12



3 Validar información de requerimientos

Realizar verificaciones y ajustes a los requerimientos de las dependencias.

Cada vez que se presentan nuevos requerimientos tecnológicos


No Aplica

10

Responder a observaciones y realizar solicitud de modificaciones del pre-pliego

Revisar y analizar las observaciones de los potenciales proponentes y proponer los ajustes si aplica.

Cada vez que se genere un nuevo proceso para contratación


Comunicación oficial por correo electrónico de respuesta a observaciones a pre pliegos

11

Responder a observaciones técnicas a pliegos definitivos y solicitar modificaciones a los pliegos

Revisar y analizar las observaciones de los potenciales proponentes y proponer los ajustes si aplica.

Cada vez que se genere un nuevo proceso para contratación


Comunicación oficial por correo electrónico de respuesta a observaciones a pliegos definitivos y solicitar adenda

18 Depurar y ajustar la solución tecnológica

Realiza pruebas técnicas a la solución tecnológica.

Cada vez que se implemente una solución tecnológica


Acta control de cambios en implementaciones tecnológicas. GTC-FT-004


TECNOLOGÍA


PÁGINA 12 de 12


Plan Estratégico de Tecnología de la Información y las Comunicaciones (PETIC)

Norma NTC GP1000:2009 ISO 9001:2008: Sistema de Gestión de Calidad

11. ANEXOS

No Aplica






COMUNICACIONES

CÓDIGO GTC-PR-003

VERSIÓN 001

PROCEDIMIENTO GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA PÁGINA: 1 de 8


ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Alinear los servicios y soluciones de tecnología de la información con el cumplimiento de objetivos misionales del Centro Nacional de Memoria Histórica - CNMH.

2. ALCANCE

Desde la puesta en producción de la solución tecnológica implementada, hasta la terminación del ciclo de vida de la solución.



4. DEFINICIONES

ANS (Acuerdos de niveles de servicio): Acuerdos dentro de los cuales se establece un contrato de servicios y determina la forma de medición. DAR DE BAJA: Dar de baja un activo tecnológico es llevar a cabo las actividades que determinan la disposición final del activo una vez deja de ser útil para la entidad (finalización del ciclo de vida del activo al interior de la entidad). GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN: Es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de la empresas. Servicios de punta usando distintos marcos de trabajo con las “mejores prácticas”, como por ejemplo de Information Technology Library (ITIL) o el eSCM (enabled Service Capability Model). MANTENIMIENTO CORRECTIVO: Consiste en detectar defectos y corregirlos o repararlos MANTENIMIENTO PREVENTIVO: Son actividades destinadas a la conservación de equipos o instalaciones mediante la realización de actividades que garanticen su buen funcionamiento.

5. NORMAS LEGALES

Ley 1341 de 2009: “Por el cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las Comunicaciones – TIC se crea la Agencia Nacional de Espectro y se dictan otras disposiciones”.

Decreto 2482 de 2012: Se establecen los lineamientos generales para la integración de la planeación y la gestión.

PROCEDIMIENTO GESTIÓN DE SOLUCIONES Y SERVICIOS DE

TECNOLOGÍA


PÁGINA 2 de 8


1. Los mantenimientos correctivos y preventivos se realizarán de acuerdo con las recomendaciones del fabricante y/o proveedor de la solución tecnológica implementada.

2. El proceso de tecnología de la información y las comunicaciones elaborará el programa de mantenimientos de acuerdo con la información técnica suministrada por el fabricante y/o proveedor de la solución tecnológica, incluyendo las fechas de seguimiento al funcionamiento de la solución y/o servicio tecnológico.

3. El proceso de Gestión de Tecnologías de la información y las comunicaciones establecerá las condiciones que determinan la finalización del ciclo de vida de la solución.


TECNOLOGÍA


PÁGINA 3 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


1 Poner en marchar la solución y pasar a producción

Integra los usuarios a la solución para pasar a producción. Se crean nuevos usuarios, con diferentes perfiles, atributos y niveles de acceso.


Registro de perfiles de usuario. GTC-FT-005

2

Socializar la solución tecnológica

Socializa la solución tecnológica al interior del CNMH. Profesional Especializado TIC Lista de asistencia. SIP-FT-002

3

Liberar la solución tecnológica

Libera la solución tecnológica para uso del CNMH.

Profesional Especializado TIC No Aplica

4 Realizar seguimiento al funcionamiento de la solución tecnológica

Verifica el buen funcionamiento de todos los equipos tecnológicos. ¿Funcionamiento correcto? SI: Continuar con actividad 6 NO: Continuar con actividad 5


Documento de informe (Informe de seguimiento del funcionamiento de la solución y/o servicio tecnológico). GTC-FT-003

5 Realizar mantenimiento correctivo

Realiza mantenimiento correctivo a la solución tecnológica en el caso que aplique.

Profesional Especializado TIC Documento de informe (Informe mantenimiento correctivo). GTC-FT-003


TECNOLOGÍA


PÁGINA 4 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


6

Realizar mantenimiento preventivo

Coordina con el proveedor las fechas y periodicidad del mantenimiento preventivo. Contacta al proveedor para gestionar la realización del mantenimiento preventivo en las fechas acordadas. Realiza acompañamiento para la adecuada realización del mantenimiento preventivo.


Documento de Informe (Informe mantenimiento correctivo). GTC-FT-003 Documento de Informe (informe de mantenimiento preventivo). GTC-FT-003

7 Realizar pruebas de mantenimiento

Realiza pruebas para verificar el funcionamiento de la solución y/o servicio tecnológico. ¿Pruebas tecnológicas exitosas? SI: Continuar con actividad 8 NO: Continuar con actividad 5


Documento de Informe (Informe de resultado de pruebas). GTC-FT-003 Documento de Informe (Informe de la capacidad utilizada). GTC-FT-003

8

Verificar las condiciones de finalización del ciclo de vida de las soluciones y/o servicios tecnológicos

Revisa las condiciones que determinan la finalización del ciclo de vida de la solución y/o servicio de tecnología. ¿Se requiere dar de baja a la solución tecnológica? SI: Continuar con actividad 9 NO: Continuar con actividad 5

Profesional Especializado TIC No Aplica


TECNOLOGÍA


PÁGINA 5 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


9 Dar de baja a la solución tecnológica

Ejecuta las actividades que determina la disposición final de la solución que ha llegado a la última etapa del ciclo de vida.


Acta de reunión cerrando el ciclo de vida de la solución tecnológica. SIP-FT-001


TECNOLOGÍA


PÁGINA 6 de 8

8. FLUJOGRAMA

Ver Flujograma


TECNOLOGÍA


PÁGINA 7 de 8



4 Realizar seguimiento al funcionamiento de la solución tecnológica

Realiza revisiones y análisis de los reportes de incidencias generados por los usuarios de la solución y/o servicio tecnológico.

De acuerdo a lo establecido en el programa de mantenimiento preventivo


Documento de informe (Informe de seguimiento del funcionamiento de la solución y/o servicio tecnológico). GTC-FT-003

7 Realizar pruebas de mantenimiento

Realiza pruebas para verificar el funcionamiento después de haber realizado un mantenimiento correctivo y/o preventivo.

Cada vez que se realice un mantenimiento correctivo y/o preventivo


Documento de Informe (Informe de resultado de pruebas). GTC-FT-003 Documento de Informe (Informe de la capacidad utilizada). GTC-FT-003


Manuales de la solución tecnológica, instructivos, guías técnicas del fabricante.

11. ANEXOS

Programa de Mantenimiento Preventivo y/o Correctivo.


TECNOLOGÍA


PÁGINA 8 de 8






COMUNICACIONES

CÓDIGO: GTC-PR-004

VERSIÓN 001

PROCEDIMIENTO GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC PÁGINA: 1 de 8


ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Gestionar el soporte a los usuarios cuando ocurra un incidente y/o un evento en las diferentes partes interesadas del CNMH, buscando la restauración tan pronto como sea posible el servicio, encontrar la causa raíz con el fin de alimentar la base de conocimiento de incidencias para generar los respectivos planes de acción.

2. ALCANCE

Este procedimiento inicia con la atención de solicitudes de usuarios y finaliza con la solución y evaluación del servicio.



4. DEFINICIONES

ACUERDOS DE NIVELES DE SERVICIO (ANS): Corresponden a los acuerdos dentro de los cuales se establece un contrato de servicio y termina las formas de medición. BASE DE CONOCIMIENTO: Modelar y almacenar bajo forma digital un conjunto de conocimientos, ideas, conceptos o datos que permitan ser consultadas o utilizadas. CALL CENTER: Su objetivo es gestionar un alto volumen de llamadas y redirigir a los usuarios, excepto en los casos más triviales, a otras instancias de soporte y/o misionales. CONTROL DE CAMBIO: Es un mecanismo utilizado para controlar las modificaciones realizadas a un documentos, sistema etc. CENTRO DE SOPORTE: Su principal objetivo es ofrecer una primera línea de soporte técnico que permita resolver en el menor tiempo las interrupciones del servicio. CENTRO DE SERVICIOS: Conjunto de servicios que ofrece la posibilidad de gestionar y solucionar todas las posibles incidencias de manera integral, junto con la atención de requerimientos relacionados con las TIC’s. DISEÑO DEL SERVICIO: Cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios de activos. ESCALAR: Cambiar la persona o el técnico o el profesional de soporte asignado a una solicitud por otra con mayor conocimiento y experiencia en el tema a tratar después de verificar que la solución del mismo requiere atención especializada.

PROCEDIMIENTO GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES

TIC


PÁGINA 2 de 8

4. DEFINICIONES

ESTADO DE LA SOLICITUD: Estatus que adquiere una solución de soporte registrada en el Sistema de Gestión de Servicios a medida que se ejecutan acciones encaminadas hacia su solución. ESTADO RESUELTO: Cuando una solicitud registrada ha llegado a su solución definitiva y ésta ha cumplido con las expectativas del usuario. ESTADO NO RESUELTO: Cuando una solicitud registrada, ha llegado a un punto donde el área de soporte no puede dar una solución definitiva que cumpla con las expectativas. ESTADO CERRADO: Cuando una solicitud registrada ha llegado a su solución bien sea “Resuelto” o “No Resuelto”, se ha aplicado la encuesta de satisfacción y el usuario ha autorizado su cierre definitivo. EVENTO: Todo suceso detectable que tiene importancia para la estructura de TI en el CNMH, para la prestación de un servicio o para la evaluación del mismo. INCIDENTE: Ocurre por la repetición de un problema con síntomas comunes, o cuando se presenta un problema cuya causa es desconocida y requiere un plan especial de acciones para solucionarlo de raíz. INCIDENTE DE SEGURIDAD: Cualquier evento que atente contra la Confidencialidad, integridad y Disponibilidad de la información y los recursos tecnológicos. INCIDENTE DE SOPORTE: Interrupción no planificada o reducción de calidad de algún servicio TI. IMPACTO AL SERVICIO: Efecto producido por el cambio a realizar en el servicio que se presta. SATISFACCIÓN DEL USUARIO: Es el grado es que se cumplen los requisitos de los usuarios. SOPORTE TÉCNICO: Es un rango de servicios que proporcionan asistencia con el hardware o software de una computadora, o algún otro dispositivo electrónico o mecánico. TRANSICIÓN DEL SERVICIO: Cubre el proceso de transición para la implementación de nuevos servicios o su mejora.

5. NORMAS LEGALES

No Aplica


Los servicios que se presten deben ser orientados a los usuarios internos y externos del Centro Nacional de Memoria Histórica.

El responsable del soporte a usuarios e incidentes TIC, debe actuar alineado con los objetivos misionales de la entidad.

La gestión del servicio de TI, debe enmarcarse en las buenas prácticas del ITIL.


TIC


PÁGINA 3 de 8


Utilizar un lenguaje de fácil comprensión para el usuario interno (funcionarios y/o contratistas del CNMH) y externo (funcionarios de entidades externas que eventualmente tuviesen acceso a los sistemas de información del CNMH).

El servicio a usuarios se prestará en horario hábil de lunes a viernes entre 7am a 6pm jornada continua.

El servicio se prestará haciendo uso de las herramientas que el CNMH disponga para tal fin.

Los tiempos de respuesta no deben superar los tiempos especificados en los Acuerdos de Nivel de Servicio pactados (ANS) para la prestación del servicio.


TIC


PÁGINA 4 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


1 Atender solicitud de usuario

Recibe la solicitud del usuario a través del medio de comunicación dispuesto por la entidad (Línea telefónica, correo electrónico, software de mesa de ayuda, entre otros). Se trata de un punto único de contacto. Diligencia el reporte de solicitud de servicio (datos básicos de fecha y hora, identificación del usuario, ubicación física y orgánica y técnico que atiende, descripción del incidente.

Técnico en Mesa de Ayuda

Registro de solicitud de servicio (Evaluación del servicio y/o escalamiento). GTC-FT-006

2 Analizar el incidente de acuerdo con su nivel

Dependiendo de la complejidad del incidente reportado, lo diagnostica, determina el escalamiento del mismo y el tiempo estimado de solución. Nivel 1: Atención en Línea: Resuelve el incidente Nivel 2: Atención en Sitio Nivel 3: Escalamiento a fabricantes o desarrolladores El encargado del servicio asigna un recurso de soporte para que identifique la causa raíz que activo el incidente.



3 Atención del incidente

Soluciona el incidente tomando como base la información registrada. Documenta el incidente en el formato reporte de incidentes. Cuando sean cambios solicitados por los usuarios, se gestionan mediante peticiones de servicio.


Reporte de incidentes. GTC-FT-007 Peticiones de servicio. GTC-FT-008


TIC


PÁGINA 5 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


Nivel 1: En línea ¿Incidente resuelto? SI: Continuar con actividad 5 NO: Continuar con el Nivel 2 Nivel 2: Atención en sitio ¿Incidente Resuelto? SI: Continuar con actividad 5 NO: Continuar al Nivel 3 Nivel 3: Escalamiento a fabricantes o desarrolladores. ¿Incidente Resuelto? SI: Continuar con actividad 5 NO: Continuar actividad 4

4 Definir y ejecutar plan de acción

Define y ejecuta el plan de acción asignando actividades, tiempos, responsables y recursos.


Plan de mejoramiento. CTI-FT-001

5

Generar y analizar encuesta de satisfacción y cerrar servicio

Realiza encuesta de satisfacción a los usuarios atendidos, y autorizada el cierre del servicio. Alimenta la base de conocimiento de acuerdo con los resultados del análisis de las encuestas.


Encuesta de satisfacción diligenciada. GTC-FT-009


TIC


PÁGINA 6 de 8

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


Documento de Informe (Informe de resultado de análisis de encuesta de satisfacción). GTC-FT-003 Reporte base de conocimiento.

6 Analizar las incidencias reportadas

Analiza las incidencias reportadas, las prioriza y genera acciones preventivas y/o correctivas enmarcadas en un plan de acción, para garantizar la mejora continua del servicio.

Técnico en Mesa de Ayuda Profesional Especializado TIC

Reporte de comportamiento de atención. Documento de Informe (Reporte de acciones correctivas y/o preventivas). GTC-FT-003

7 Evaluar el servicio Evalúa las estadísticas generadas por prestación del servicio, las encuestas de satisfacción reportadas por los usuarios del servicio.




TIC


PÁGINA 7 de 8

8. FLUJOGRAMA

Ver Flujograma


TIC


PÁGINA 8 de 8



3 Atención del incidente Categorizar los incidentes realizando verificaciones sucesivas de acuerdo con la complejidad del incidente reportado.

Cada vez que se reporta un incidente


Reporte de

incidentes.

GTC-FT-007


Librerías ITIL

11. ANEXOS

No Aplica






COMUNICACIONES

CÓDIGO GTC- PR-005

VERSIÓN 001

PROCEDIMIENTO GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PÁGINA: 1 de 11


ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Garantizar la integridad, la disponibilidad y la confiabilidad de la información que administra, procesa y entrega el Centro Nacional de Memoria Histórica - CNMH.

2. ALCANCE

Inicia con la planeación del Sistema de Gestión de Seguridad de la información (SGSI) y finaliza con la ejecución de acciones de mejora.


Oficial de Seguridad de la Información

4. DEFINICIONES

ACTIVOS DE LA INFORMACIÓN: Es aquel elemento que contiene o manipula información. Por ejemplo, ficheros, base de datos, contratos, acuerdos, documentación del sistema, manuales de usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipos de comunicación, servicios informáticos y de comunicaciones, calefacción, iluminación, energía, y aire acondicionado y las personas, que son las que en últimas generan, transmiten y destruyen información. ADVERTENCIAS DE SEGURIDAD: Es una lista de vulnerabilidades de seguridad conocidas y compiladas gracias a la aportación de proveedores de productos externos. ALERTAS DE SEGURIDAD: Se trata de una advertencia producida por la gestión de la seguridad de TI, que generalmente se hace pública cuando se prevé el surgimiento de infracciones de seguridad o cuando ya están ocurriendo. ANALISIS DE RIESGOS: Hace referencia al proceso necesario para responder a tres cuestiones básicas sobre la seguridad: Que queremos proteger, contra quien, como lo queremos proteger. AMENAZAS: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño sobre los elementos de un sistema de seguridad informática. COPIA DE RESPALDO: Copia de la información en un medio magnético que se almacena en un lugar seguro. CONFIDENCIALIDAD: Criterio que responde a la importancia que tendría que el activo se accediera de manejo no autorizado. DISPONIBILIDAD: Criterio que responde a la pregunta de cuál sería la importancia o el trastorno que tendría el que el activo no estuviera disponible.

PROCEDIMIENTO GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CÓDIGO GTC- PR-005 VERSIÓN 001

PÁGINA 2 de 11

4. DEFINICIONES

ESTRATEGIA DE SEGURIDAD DE TI: Contiene una guía de acercamiento para procurar la seguridad de los sistemas y servicios de TI. GESTIÓN DE RIESGO: Es un programa de trabajo y estrategias para disminuir la vulnerabilidad y promover acciones de conservación, desarrollo de mitigación del riesgo utilizando recursos gerenciales. INTEGRIDAD: Criterio que responde que importancia tendría que el activo fuera alterado sin autorización ni control. INVENTARIO DE ACTIVOS: Es la base para la gestión de los mismos, ya que tiene que incluir toda la información necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. INFORMACIÓN CONFIDENCIAL: Información que al ser divulgada pueda causar daño o perjuicio a la persona. INFORME DE SEGURIDAD DE TI: Provee información sobre asuntos de Seguridad de TI a los procesos de Gestión de Servicios y la dirección de TI. POLÍTICA DE SEGURIDAD DE TI: Establece reglas vinculantes para el uso de servicios y de sistemas con miras a mejorar la seguridad de TI. PROTOCOLO DE SEGURIDAD: Define las reglas que gobiernan las comunicaciones diseñadas para que el sistema pueda soportar ataques de carácter perspicaz y malicioso SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información. SGSI (Sistema de Gestión de la Seguridad de la Información): Es un depósito virtual de todos los datos de gestión de la seguridad de TI. RIESGO: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione, a las operaciones. VULNERABILIDAD: Es la capacidad, las condiciones y características del sistema mismo, que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.

5. NORMAS LEGALES

Ley 527 de 1999: “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.

Ley 599 de 2000: “Por el cual se establece la estructura del tipo penal de violación ilícita de comunicaciones, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas con el delito informático”.

Ley 962 de 2005: “Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos”.


PÁGINA 3 de 11

5. NORMAS LEGALES

Ley 1273 de 2009: Se crea un nuevo bien jurídico tutelado denominado de la protección de la información y de los datos.

Decreto 2693 de 2012: Lineamientos generales de la Estrategia Gobierno en Línea.

Resolución 2258 de 2009: Sobre seguridad de las redes de los proveedores de redes y servicios de telecomunicaciones.

Circular 052 de 2007: Fija los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.


La política de seguridad debe ser un documento muy general, una especie de declaración de intensiones, por lo tanto no pasará de dos o tres páginas.

La entidad deberá desarrollar un inventario de activos de la información.

La entidad debe identificar amenazas y vulnerabilidades que afecten los activos de la información.

Se debe identificar impactos que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos.

La entidad analizará y evaluará el daño resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo.

La eficacia del SGSI se debe revisar en función de los resultados de auditorías internas, sugerencias y feedback de todos los usuarios del CNMH.

El Comité de Tecnología revisará regularmente el SGSI, para determinar si el alcance definido sigue siendo el adecuado.

El Comité de Tecnología Identifica mejoras al SGSI, a la política de seguridad y a los objetivos de seguridad de la información.

La entidad implementará el SGSI con el objeto de garantizar la integridad, disponibilidad y confiabilidad de la información de acuerdo al nivel de madurez del CNMH.


PÁGINA 4 de 11

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


1 Planear la gestión de seguridad de la información

Define alcance del SGSI en función del objetivo misional de la entidad, la política de la seguridad (que debe incluir el marco general, objetivos de integridad, disponibilidad y confiabilidad de la información y la metodología de medición, teniendo en cuenta los requisitos legales y contractuales en cuanto a seguridad), así mismo identifica necesidades de salvaguardar la información. Planea herramientas de seguimiento al SGSI. Plantea la metodología de evaluación de riesgos relacionados con la seguridad de la información. Establece el inventario de activos de la información, identifica amenazas y vulnerabilidades e identifica impactos. Analiza brechas o gap, el cual identifica la diferencia entre lo que debería tenerse implementado en la entidad y lo que se tiene realmente disponible. Confecciona una declaración de aplicabilidad SOA (Statement of Applicability). Esta declaración es una lista de todos los controles seleccionados y la razón de su selección, que aseguren la

Comité de Seguridad de la Información

Plan de gestión de la seguridad de la información (Tratamiento de riesgos y Declaración de Aplicabilidad -SOA). GTC-FT-010 Inventario de activos de la información. GTC-FT-011 Análisis de brechas. GTC-FT-001


PÁGINA 5 de 11

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


confidencialidad, la integridad, la seguridad y la disponibilidad de los activos del CNMH. Mínimos controles de seguridad de la información: -Asegurar información de usuarios: Crear unidades en el servidor y direccionar la información relevante de la entidad a las unidades creadas. -Planear backup de seguridad: Establecer un plan de acción, donde se identifique el método, las ubicaciones, periodicidad. -Nivel de acceso: Autorizaciones de acuerdo a los perfiles establecidos. -Niveles de protección: Controles para la protección de la información.

2 Aprobar la implementación del SGSI

Aprueba la implementación del SGSI, teniendo presente todos los requerimientos definidos en la actividad del planear del SGSI. ¿Se aprueba la implementación del SGSI? SI: Continuar con actividad 3 NO: Continuar con actividad 1


Acta de reunión autorizando la implementación del SGSI. SIP-FT-001

3 Realizar la implementación del SGSI

Implementa el Sistema de Gestión de Seguridad de la Información, teniendo presente todos los procedimientos, medidas y requisitos establecidos para la ejecución del SGSI.


No Aplica

4 Realizar ajustes a la implementación

Realiza ajustes para depurar la implementación del SGSI. Oficial de seguridad de la Información

Documento de Informe (informe de


PÁGINA 6 de 11

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


implementación y/o ajustes del SGSI). GTC-FT-003

5 Realizar pruebas

Realiza pruebas que aseguren que todos los mecanismos de seguridad implementados en el SGSI funcionen. ¿Pruebas de seguridad funcionan? SI: Continuar con actividad 6 NO: Continuar con actividad 4


Documento de Informe (informe de pruebas de seguridad de la información). GTC-FT-003

6 Operar el SGSI

Opera las actividades del SGSI y todos los recursos necesarios que se le asignen. Implanta procedimientos y controles de detección y respuesta a incidentes de seguridad.


No Aplica

7

Realizar el seguimiento al cumplimiento del SGSI

Realiza seguimiento del cumplimiento del SGSI, de acuerdo con los objetivos planeados de disponibilidad, integridad y confiabilidad. Ejecuta controles de monitorización y revisión, para detectar errores en resultados de procedimientos, e instructivos etc. Realiza seguimiento de incidentes de seguridad que permite detectar y combatir ataques e intrusiones y minimizar los daños causados por actos contra la seguridad de la información.


Documento de Informe (Informe de Indicadores de gestión). GTC-FT-003


PÁGINA 7 de 11

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


8 Realizar análisis de riesgos de la información

Realiza análisis de riesgo con base en tres aspectos: Enfrentados (eventos a los cuales la información se ve expuesta el

CNMH)

Materializados (Se hacen realidad)

Rechazados (Proteger de riesgos)


Análisis de riesgos de la información. GTC-FT-012

9 Analizar los resultados de la aplicación del SGSI

Analiza los resultados de la aplicación del SGSI y realiza un informe de resultados de las mediciones para presentar al comité de tecnología en donde se muestra el grado de cumplimiento del SGSI.


Documento de Informe (Informe de resultados de la aplicación del SGSI). GTC-FT-003

10 Diseñar plan de mejoramiento del SGSI

Identifica estrategias para mejorar el nivel de confiabilidad, integridad y disponibilidad de la información, de acuerdo con el cumplimiento del SGSI.


Plan de mejoramiento. CIT-PR-002

11 Aprobar el plan de mejoras del SGSI

Revisa y valida las acciones propuestas en el plan de mejoras sobre el SGSI. ¿Plan de mejoras aprobado? SI: Continuar con actividad 12 NO: Continuar con actividad 9


Acta de aprobación del plan de mejoras del SGSI. SIP-FT-001


PÁGINA 8 de 11

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


12 Implementar plan de mejoras del SGSI

Ejecuta las acciones definidas en el plan de acción, para mejorar y cerrar las brechas identificadas, solucionar y prevenir no conformidades.

Oficial de seguridad de la Información

No Aplica


PÁGINA 9 de 11

8. FLUJOGRAMA

Ver Flujograma


PÁGINA 10 de 11



2 Aprobar la implementación del SGSI

Autorización por parte del Comité de Seguridad de la Información la implementación del SGSI y verificar la pertinencia de los ajustes a la implementación.

Cada vez que se genera una actualización del SGSI


Acta de autorización de implementación del SGSI. SIP-FT-001

7

Realizar el seguimiento al cumplimiento del SGSI

Comparar los indicadores medidos vs los planeados.

Según lo determine el Comité de Tecnología de con el nivel de madurez de la entidad


Documento de Informe (Informe de Indicadores de gestión). GTC-FT-003


Plan Estratégico de Tecnológica de la información y las comunicaciones –PETIC del CNMH

CONPES 3701 de 2011: Lineamientos de política para ciberseguridad y ciberdefensa

Modelo de Seguridad de la Información para la Estrategia Gobierno en Línea Manual 3.1

ISO 27035 de 2011: Gestión de Incidentes de seguridad

ISO 27001 de 2005: Seguridad de la información

ISO 27000 de 2005: Estándar para la Seguridad de la Información

11. ANEXOS

No Aplica


PÁGINA 11 de 11






COMUNICACIONES

CÓDIGO: GTC-PR-006

VERSIÓN 001

PROCEDIMIENTO ADMINISTRACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

TIC PÁGINA: 1 de 10


ELABORÓ

REVISÓ

APROBÓ

1. OBJETIVO

Mantener la funcionalidad del Centro Nacional de Memoria Histórica - CNMH a un nivel mínimo aceptable durante una contingencia o interrupción de los servicios tecnológicos, contemplando todas las medidas preventivas y de recuperación para cuando se produzca una contingencia que afecte la misión de la Entidad.

2. ALCANCE

Desde la asignación de funciones y responsabilidades para la administración del Plan de Continuidad del Negocio hasta el seguimiento y revisión del Plan.



4. DEFINICIONES

INTERRUPCIÓN MÁXIMA ACEPTABLE (MAO): Cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también periodo máximo tolerable de interrupción). OBJETIVO DE TIEMPO DE RECUPERACIÓN (OTR): Tiempo predeterminado que indica cuando se debe reanudar una actividad o se deben recuperar recursos. OBJETIVO DE PUNTO DE RECUPERACIÓN (OPR): Pérdida de máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida. OBJETIVO MINIMO PARA LA CONTINUIDAD DEL NEGOCIO (OMCN): Nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones. PLAN DE GESTIÓN DE INCIDENTES: Resuelve cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible. PLANES DE CONTINGENCIA: Es un instrumento de gestión de las tecnologías de la información y las comunicaciones en el dominio del soporte y el desempeño. El plan contiene medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una entidad. PLAN DE CONTINUIDAD DEL NEGOCIO (PCN): Es un proceso continuo y mejorable de protección y recuperación frente a desastres y realiza un estudio minucioso de las acciones que se han de ejecutar en cada momento para poder resolver dichas situaciones. PLAN DE RECUPERACIÓN DE DESASTRES: Hace referencia al plan de recuperación ante desastres de tecnología, el cual define los procedimientos, estrategias, roles y responsabilidades establecidos para recuperar y mantener el servicio de tecnología ante un evento de interrupción.

PROCEDIMIENTO ADMINISTRACIÓN DEL PLAN DE CONTINUIDAD DEL

NEGOCIO TIC

CÓDIGO GTC- PR-006 VERSIÓN 001

PÁGINA 2 de 10

4. DEFINICIONES

PLATAFORMA TECNOLÓGICA CRITICA: Hace referencia a los sistemas de información, servidores, bases de datos, sistemas de almacenamiento y respaldo, equipos y enlaces de comunicación que son críticos para soportar los procesos y servicios de la entidad. SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO - SGCN: Sistema general de gestión que se encarga de planificar, mantener y mejorar la continuidad del negocio.

5. NORMAS LEGALES

No Aplica


1. El CNMH entrenará al equipo del proceso tecnológico para responder ante un evento contingente que afecte la infraestructura de TI. El equipo de trabajo TIC tendrá diferentes responsabilidades en la recuperación de los servicios informáticos afectados.

2. El CNMH proveerá la infraestructura tecnológica y recursos necesarios para la implementación del Plan de Contingencia. 3. Para elaborar un plan de contingencia como mínimo se deberá realizar:

Análisis del riesgo

Medición del impacto 4. Para elaborar un plan de contingencia debe contener como mínimo los siguientes puntos:

Responsabilidades

Roles

Comunicaciones

Lugares

Prioridades de atención

Procedimientos 5. La Gestión de Continuidad del Centro Nacional de Memoria Histórica, estará enfocado a la protección de la plataforma tecnológica que soporta los procesos

misionales. 6. El equipo TIC presentará los beneficios de implementar un Plan de Continuidad del Negocio a la Dirección General del CNMH.


NEGOCIO TIC


PÁGINA 3 de 10


7. El equipo TIC definirá objetivos, alcance y política de Continuidad del Negocio, de acuerdo con la misión del CNMH e involucrando a las diferentes direcciones y teniendo en cuenta los requisitos de los usuarios.

8. El Comité de Tecnología será el encargado de asignar el (los) responsable(s) para realizar la capacitación, socialización y pruebas del Sistema de Gestión de Continuidad del Negocio.

9. El Plan de Continuidad TIC debe ser difundido, revisado, actualizado y probado regularmente,


NEGOCIO TIC


PÁGINA 4 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


1

Asignar funciones y responsabilidades para la administración del PCN

Asigna funciones y responsabilidades para el supervisor del PCN. El coordinador del PCN se encargará de gestionar y supervisar el proceso de elaboración e implementación del plan de continuidad TIC de la Entidad, asegurar el apoyo por parte de la Alta Dirección, estimar requisitos de financiación, actualizar la política del PCN, asegurar participaciones eficaces de los líderes de procesos, coordinar y supervisar el desarrollo de los planes y disposiciones para la continuidad del negocio, establecer grupos de trabajo y equipos, coordina jornadas de capacitación y establece la revisión periódica, prueba y auditorías al mismo, entre otras.

Comité de Tecnología (Director Administrativa y Financiera, Asesor, Profesionales Especializados y Contratista de apoyo TIC)

No Aplica

2 Analizar impactos en el servicio y evaluación de riesgos

Realiza el análisis de impacto en el servicio y la evaluación de riesgos, para identificar actividades críticas, y su periodo máximo tolerable de interrupción, teniendo en cuenta la dependencia con proveedores y partes interesadas, estableciendo tiempos de recuperación y tratamiento de riesgos.


Análisis de riesgos de la información. GTC-FT-012

3 Determinar los recursos necesarios para la continuidad del servicio

Determina los recursos necesarios para que la Entidad pueda retomar las actividades críticas, en caso de activación del PCN (Ver Plan de Continuidad del Negocio). Funcionarios y/o contratistas

Ubicaciones


Asignación de Recursos. GTC-FT-013


NEGOCIO TIC


PÁGINA 5 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


Datos

Hardware

Software

Proveedores

Aliados Estratégicos

Comunicaciones

Internet

Redes

4

Administrar el Plan de Continuidad del negocio (Plan de Gestión de Incidentes y Plan de Contingencia del Servicio)

Administra los diferentes planes de forma tal que responda directamente ante la ocurrencia de un incidente (incendios, terremotos, amenaza de bomba, corte de electricidad, etc.) para disminuir el impacto y sus efectos directos. Describe cómo se recuperarán las actividades críticas, como se harán funcionar conjuntamente todos los recursos que se han preparado. A Continuación se presentará las fases que deben ser abordadas en toda la administración del plan de continuidad TIC de la Entidad. FASE I: Diseño del plan y política de continuidad de Negocio: comprende la identificación de las actividades que deben ser

Comité de tecnología Comité de Tecnología (Director Administrativa y Financiera, Asesor, Profesionales Especializados y Contratista de apoyo TIC)

No Aplica


NEGOCIO TIC


PÁGINA 6 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


realizadas de forma previa para comenzar el proceso de desarrollo e implementación del Plan de Continuidad. FASE II: Conocimiento, organización y análisis del riesgo que impactan en las actividades de la Entidad. FASE III: Medidas preventivas: plantea la posibilidad de aplicar medidas de seguridad preventivas y proactivas, con el fin de evitarlos incidentes graves, sin necesidad de activar el plan de continuidad a no ser que sea estrictamente necesario. FASE IV: Estrategia de recuperación: establece los objetivos y las prioridades de recuperación en función de los riesgos que impactan la Entidad. FASE V: Desarrollo e implantación del Plan: conjunto de prácticas, procedimientos a seguir y tecnologías para la recuperación de las operaciones críticas después de producirse un desastre. FASE VI: Mantenimiento del Plan: El Plan de Continuidad de la Entidad debe ser revisado, actualizado, probado regularmente. Describe acciones de difusión, así como las pruebas y el proceso de mejora continua.


NEGOCIO TIC


PÁGINA 7 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


5 Capacitar y Socializar el Plan de Continuidad del Negocio

Define el nivel de competencias del personal responsable para la ejecución de los planes de continuidad del negocio ante una interrupción inesperada del servicio. Capacita y socializa el Plan de Continuidad TIC a todo el personal de la Entidad.


Lista de asistencia. SIP-FT-002

6

Realizar pruebas del Plan de Continuidad del Negocio (simulacros)

Realiza pruebas en escenarios controlados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba, revisar los resultados de las mismas, para ajustes o mejoras del SGCN. ¿SGCN es funcional? SI: Continuar con actividad 7 NO: Continuar con actividad 2


Documento de Informe (Informe de resultados de las pruebas y recomendaciones). GTC-FT-003 Matriz de lecciones aprendidas y mejoras. GTC-FT-014

7 Realizar seguimiento y revisión al Plan de Continuidad del Negocio

Realiza seguimiento y revisión al plan de Continuidad del Negocio y evalúa el SGCN después de ocurrido un incidente real.


Documento de Informe (informe de seguimiento y evaluación al


NEGOCIO TIC


PÁGINA 8 de 10

7. DESCRIPCIÓN

ID (QUE)

ACTIVIDAD

(COMO)


(QUIEN)

RESPONSABLE


SGCN). GTC-FT-003


NEGOCIO TIC


PÁGINA 9 de 10

8. FLUJOGRAMA

Ver Flujograma


NEGOCIO TIC


PÁGINA 10 de 10



6

Realizar pruebas del Plan de Continuidad del Negocio (simulacros)

Realiza pruebas en escenarios controlados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba, con una revisión detallada de los resultados de las mismas.

Cada vez que se realicen pruebas en escenarios controlados


Informe de resultados de las pruebas y recomendaciones). GTC-FT-003 Matriz de lecciones aprendidas y mejoras. GTC-FT-014


ISO 22301 de 2012: Gestión de Continuidad del Negocio

Plan Estratégico de Tecnología de la Información y las Comunicaciones - PETIC

Asesoría fase 1 SGCN

11. ANEXOS

No Aplica





GESTIÓN DE TECNOLOGÍA DE LA … llevar a cabo la P laneación E stratégica de Tecnología, se...

Documents

Transcript of GESTIÓN DE TECNOLOGÍA DE LA … llevar a cabo la P laneación E stratégica de Tecnología, se...