TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

(1)

Noviembre, 2009

Unidad de Gobierno Digital

Manual Administrativo de

Aplicación General en

Materia de Tecnologías

de la Información y

Comunicaciones

Marzo de 2010

(2)

Pág. 2 de 372 1. ÍNDICE 1 ÍNDICE 2 2 DEFINICIONES Y TÉRMINOS 9 3 INTRODUCCIÓN 21 4 OBJETIVOS 22 4.1 General 22 4.2 Específicos 22 5 ÁMBITO DE APLICACIÓN/ALCANCE 22 6 MARCO JURÍDICO 23

7 PROCESOS EN MATERIA DE TIC 24

7.1 _DIRECCIÓN 26

7.1.1 _{Establecimiento de la estructura de gobierno de TIC} 26

7.1.1.1 Objetivos del proceso 26

7.1.1.2 Descripción del proceso 27

7.1.1.2.1 Mapa general del proceso 27

7.1.1.2.2 Descripción de las actividades del proceso 29

7.1.1.2.3 Descripción de roles 31

7.1.1.2.4 Descripción de productos 31

7.1.1.3 Indicadores 32

7.1.1.4 Reglas del proceso 33

7.1.1.5 Documentación soporte del proceso 33

7.1.2 Planeación estratégica de TIC 34

7.1.3 Determinación de la dirección tecnológica 45

7.2. CONTROL 55

7.2.1. Administración del desempeño de TIC 55

(3)

7.2.2. Cumplimiento regulatorio 64

7.2.3 Administración de riesgos de TIC 73

7.3 ADMINISTRACIÓN DE PROYECTOS 83

7.3.1 Administración de portafolio de proyectos de TIC 83

7.3.2. Administración de proyectos de TIC 96

7.3.2.1 Objetivo general del proceso 96

7.4 ADMINISTRACIÓN DE PROCESOS 110

7.4.1. Operación del sistema de gestión y mejora de procesos de la UTIC 110

(4)

Pág. 4 de 372

7.5. ADMINISTRACIÓN DE RECURSOS 125

7.5.1. Administración financiera de TIC 125

7.5.1.1. Objetivos del proceso 125

7.5.1.2. Descripción del proceso 126

7.5.1.3. Indicadores 133

7.5.1.4. Reglas del proceso 134

7.5.2 Administración de proveedores 136

7.5.2.5 Documentación soporte al proceso 144

7.5.3 Adquisiciones de TIC 145

7.5.3.1 Objetivo del proceso 145

7.6 ADMINISTRACIÓN DE SERVICIOS 153

7.6.1 Administración de portafolio de servicios de TIC 153

7.6.2 Diseño de servicios de TIC 163

7.7 DESARROLLO Y ADQUISICIÓN DE SOLUCIONES 176

7.7.1 Administración técnica de adquisiciones 176

(5)

7.7.2 Desarrollo de soluciones tecnológicas 187

7.7.3 Calidad de soluciones tecnológicas 208

7.7.3.1 Objetivo general del proceso 208

7.8 TRANSICIÓN Y ENTREGA 220

7.8.1 Administración de cambios 220

7.8.2 Liberación y entrega 232

7.8.3 Transición y habilitación de la operación 242

(6)

Pág. 6 de 372

7.8.4 Administración de la configuración 249

7.9. OPERACIÓN DE SERVICIOS 260

7.9.1 Operación de la mesa de servicios 260

7.9.2 Administración de servicios de terceros 275

7.9.3. Administración de niveles de servicio 285

7.9.4 Administración de la seguridad de la información 293

(7)

7.10 ADMINISTRACIÓN DE ACTIVOS 311

7.10.1 Administración de dominios tecnológicos 311

7.10.2 Administración del conocimiento 320

7.10.3 Integración y desarrollo del personal 329

7.10.3.2.5. Descripción de productos 336

7.11 OPERACIONES 339

7.11.1 Administración de la operación 339

7.11.2 Administración de ambiente físico 347

7.11.3. Mantenimiento de infraestructura 356

(8)

Pág. 8 de 372

7.11.3.2.2. Mapa general del proceso 357

7.11.3.2.3. Descripción de las actividades del proceso 359

7.11.3.2.4. Descripción de roles 361

7.11.3.2.5. Descripción de productos 361

8 ÓRGANOS COLEGIADOS 364

9 ANEXOS/FORMATOS 365

10 VIGENCIA 372

(9)

2.

DEFINICIONES Y TÉRMINOS

CONCEPTO DEFINICIÓN / SIGNIFICADO

Activo de TIC: Se refiere a cualquier información, bases de datos, programas de cómputo, bienes informáticos físicos, solución tecnológica, sistema o aplicativo relacionado con el tratamiento de la misma, que tenga valor para la organización;

Acuse de recibo electrónico:

Mensaje electrónico de datos que se emite o genera, a través de medios de comunicación electrónica para acreditar de manera fehaciente la fecha y hora de recepción de documentos electrónicos relacionados con los actos establecidos por esta ley;

Adquisición de TIC: Obtención de las soluciones tecnológicas orientadas a cubrir requerimientos específicos que se efectuará de acuerdo a los preceptos de las leyes aplicables, sus reglamentos y demás disposiciones en la materia.;

Alineación: Enfoque de las acciones comunes ligadas efectiva y eficientemente, dirigidas hacia la obtención de las metas, estrategias, objetivos y prioridades de una organización;

Ambiente de trabajo: Conjunto de herramientas, utilerías, programas, aplicaciones, información, facilidades y organización que un usuario tiene disponible para el desempeño de sus funciones de manera controlada, en relación con los accesos y privilegios que tenga asignados por medio de un nombre de usuario y contraseña;

Amenaza: Causa potencial de un incidente no deseado, el cual puede causar daño a un servicio de TIC, a la información o a la dependencia o entidad;

Análisis de riesgos: Uso sistemático de la información para identificar fuentes, vulnerabilidades y amenazas, así como la evaluación de su magnitud o impacto y estimar los recursos necesarios para eliminarlos o mitigarlos;

Antivirus: Software especializado, diseñado para detectar la mayor cantidad de amenazas informáticas que puedan afectar los activos informáticos y bloquearlas antes de que infecte un equipo, o para eliminarla tras la infección;

Área administrativa: La dirección general, dirección de área; subdirección o jefaturas administrativa u homólogos, de una dependencia o entidad;

Auditoría de seguridad de la información:

Proceso sistemático en el cual se obtienen evidencias que permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una dependencia o entidad;

Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o sistema;

Autenticidad: Proceso mediante el cual se puede constatar si la clave pública de un mensaje electrónico de datos corresponde a la clave privada con la cual se firmó, permitiendo que el mensaje pueda ser interpretado, validando que fue realmente creado por el titular de un certificado digital o que está reconociendo como propio su contenido;

(10)

Pág. 10 de 372 Bases de datos: Conjunto estructurado de datos, gestionado bajo el control de un software

denominado manejador de bases de datos;

Carta de aceptación de un producto:

Documento formal donde se confirma que se ha aceptado un producto, después de haberse comprobado que cumple con los requerimientos definidos al momento de su adquisición o al inicio de un proyecto de desarrollo o mantenimiento;

Certificado Digital: Registro de datos emitido por una autoridad certificadora que garantiza la autenticidad de los datos de identidad del titular del certificado y lo vincula con su clave pública;

Ciclo de vida del proyecto: Conjunto de fases de un proyecto que, generalmente son secuenciales, cuyos nombres y números son determinados por las necesidades de control de la organización u organizaciones involucradas en el proyecto;

Cifrar o cifrado: Acción que permite, mediante técnicas matemáticas, codificar un documento electrónico para proteger su confidencialidad y que garantiza la integridad de un documento o mensaje electrónico;

Clave privada: Conjunto de caracteres que genera el titular del certificado digital de manera exclusiva y secreta para crear su firma digital, asociado a su clave pública;

Clave pública: Conjunto de caracteres contenidos en un certificado digital que permite la identificación del firmante y la verificación de la autenticidad de su firma digital, asociado a su clave privada;

Grupo de Seguridad de la Información:

Grupo de trabajo encargado de establecer las políticas e iniciativas de seguridad de la información y verificar que se cumplan; también puede ser consultado sobre la actuación en materia de TIC de la dependencia o entidad;;

Confidencialidad: La característica o propiedad por cual la información está disponible o es revelada a individuos o procesos autorizados;

Contraseña: Serie de caracteres generada por el usuario, que lo identifica y que junto con la clave de acceso, sirve para acceder a los sistemas electrónicos;

Contrato: Acuerdo vinculante para las partes en virtud del cual el vendedor se obliga a proveer el producto, servicio o resultado especificado y el comprador a pagar por él;

Correo electrónico: Servicio de red que permite a los usuarios enviar y recibir mensajes mediante sistemas de comunicación electrónica;

Cuenta: Identificador único y personal compuesto por un nombre de usuario y una contraseña con el propósito de acceder a recursos o servicios de TIC;

Datos personales: Información relativa a una persona física, identificada o identificable, relativa a su origen étnico o racial, a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, estados de salud física o mental, preferencias sexuales u otras análogas que afecten su intimidad;

Declaración de aplicabilidad

Del inglés: Statement of Applicability, SoA. Documento que enumera los controles aplicados por el SGSI de la dependencia o entidad, tras el resultado de los procesos de Evaluación y tratamiento de riesgos, así como su

(11)

justificación, selección y exclusión de los mismos;

Dependencias: Las que integran la Administración Pública Federal centralizada en términos de los artículos 1o. y 2o. de la Ley Orgánica de la Administración Pública Federal;

Disponibilidad: Característica o propiedad de la información, de permanecer accesible para su uso cuando lo requieran individuos o procesos autorizados;

Documento electrónico gubernamental:

Instrumento que contiene datos y/o información, enviada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tecnología, que usa la firma electrónica avanzada para autenticar la información que se intercambia entre los servidores públicos de las dependencias y entidades paraestatales. Esta información puede consistir en acuerdos, actas, atentas notas, cartas, circulares, dictámenes, informes, invitaciones, memorandos, minutas, notas informativas, oficios, solicitudes y volantes así como los archivos que se adjunten;

Entidades: Los organismos públicos descentralizados, empresas de participación estatal mayoritaria y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal;

Entregable: Producto adquirido, desarrollado o personalizado, que es cuantificable y medible en términos de su integralidad y capacidades;

Evento El término evento se usa como alerta o notificación creada por un servicio de TI, elemento de configuración o herramienta de monitorización. Los eventos requieren normalmente que el personal de operaciones de TI tome acciones, y

a menudo conllevan al registro de incidentes;1

Extensión de Archivo: Cadena de caracteres que se anexa al nombre de un archivo, usualmente precedida por un punto. Su función principal es diferenciar un archivo de otro;

Firewall (Corta fuego): Software o hardware que permite evitar accesos no autorizado a un determinado sistema o computadora, conectados a una red;

Firma digital: Conjunto de datos y caracteres que permite la identificación del firmante en los documentos electrónicos o en los mensajes de datos, como resultado de utilizar su certificado digital y clave privada, la cual es creada bajo su exclusivo control por medios electrónicos, y que produce los mismos efectos jurídicos que la firma autógrafa;

Funcionalidad: Características de un servicio de TIC que permiten que cubra las necesidades o requerimientos de un usuario de TIC;

Gestión de riesgos: Proceso de identificación, valoración, control y minimización, de los riesgos que afecten a la información de la dependencia o entidad;

Gobierno digital: A las políticas, acciones y criterios para el uso y aprovechamiento de las tecnologías de información y comunicaciones, con la finalidad de mejorar la entrega de servicios al ciudadano; la interacción del gobierno con la industria; facilitar el acceso del ciudadano a la información de éste, así como hacer más eficiente la gestión gubernamental para un mejor gobierno y facilitar la

1

(12)

Pág. 12 de 372

interoperabilidad entre las Dependencias y Entidades;

Hardware: Componentes físicos de tecnologías de la información y comunicaciones;

Incidente: Interrupción no planificada de un servicio de TI o reducción en la calidad de un

servicio de TI.2

Infraestructura de TIC: Todo el hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorizar, controlar o soportar los servicios de TIC. El término infraestructura de TIC incluye todas las TIC pero no las personas, procesos y documentación asociados;

Integridad: Mantener la exactitud y corrección de la información y sus métodos de proceso;

Interfaces: Elementos de conexión que permiten el intercambio de datos, entre procesos, sistemas o hardware;

Internet: Conjunto de redes de computadoras y equipos físicamente unidos a través de medios alámbricos o inalámbricos que unen redes o equipos en todo el mundo;

Interoperabilidad: Capacidad de los equipos, sistemas y/o arquitecturas tecnológicas de interactuar y/o intercambiar datos;

Intrusión: Acción que una o más personas realizan para introducirse, sin derecho, en uno o más sistemas de información;

Manual o el Manual: El Manual Administrativo de Aplicación General en materia de Tecnologías de la Información y Comunicaciones;

Mesa de servicios: Punto de contacto único, responsable de recibir las solicitudes de servicios de los usuarios de TIC;

Modelo de gobierno digital: Arreglo de componentes que ubican al ciudadano como el centro de su estrategia y que integrados e interactuando potencian sus capacidades orientándolas al desarrollo del gobierno hacia la mejora, la automatización de procesos, trámites y servicios al ciudadano y sus organizaciones;

Organización o institución Los gobiernos de entidades federativas y municipios; los integrantes del Poder Judicial de la Federación y de las comisiones legislativas del H. Congreso de la Unión; los organismos constitucionales autónomos;

Plan de contingencia: Documento en el que se plantea la estrategia, el personal y el conjunto de actividades requeridos para recuperar por completo o parcialmente un servicio, localidad o proceso crítico, en caso de desastre, derivado de un riesgo previsto o no;

Problema: Evento del cual se plantea una solución alterna, no se tiene conocimiento de su origen y se espera de una solución definitiva;

Proyecto estratégico: El conjunto de actividades relacionadas, orientado al logro de los objetivos y metas institucionales y que en el contexto del las prioridades definidas en el Plan Nacional de Desarrollo, contribuye de una manera particularmente significativa a ampliar la capacidad productiva de un sector económico y social determinado;

2

(13)

Recurso de TIC: Término por el que se designa a la infraestructura, activos, personal especializado, presupuesto o cualquier otro elemento de TIC;

Red de comunicaciones: El sistema integrado por medios de transmisión, tales como canales o circuitos que utilicen bandas de frecuencias del espectro radioeléctrico, enlaces satelitales, cableados, redes de transmisión eléctrica o cualquier otro medio de transmisión;

Repositorio: Espacio en medio magnético donde se almacena y mantiene la información digital, habitualmente bases de datos o archivos informáticos;

Requerimiento de certificación:

La solicitud electrónica de un certificado digital que contiene la clave pública y los datos de identificación del solicitante;

Requerimientos funcionales:

Característica que requiere cumplir un producto o entregable asociado a una función en un proceso o servicio automatizado, o por automatizar;

Riesgo: Amenaza sobre los activos de TIC, que puede ser producto de una vulnerabilidad y causar una pérdida o daño en un activo de información;

Seguridad de la información:

Capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información;

Seguridad: Las acciones tendientes a garantizar la confidencialidad, integridad y disponibilidad de los activos de TIC;

Servicios: Los medios para entregar valor facilitando resultados que los usuarios, ciudadanos y sus organizaciones quieren lograr sin la propiedad de costos y riesgos específicos;

Sistema Automatizado de Control de Gestión:

Conjunto de elementos, procesos, procedimientos, herramientas e

instrumentos informáticos o electrónicos, entre otros, que permiten identificar, realizar, proteger y controlar las comunicaciones, gestiones y trámites del documento electrónico gubernamental, entre los servidores públicos de las dependencias y entidades;

Sistema de datos personales:

Conjunto ordenado de datos personales que estén en posesión de un sujeto obligado;

Sistema o aplicativo: Conjunto de componentes o programas construidos con herramientas de software que habilitan una funcionalidad o automatizan un proceso, de acuerdo a requerimientos previamente definidos;

Sistema operativo: Software encargado de ejercer el control y coordinar el uso del hardware entre diferentes programas de aplicación y los diferentes usuarios;

Software comercial: Software que es comercializado, es decir, que las compañías que lo producen, demandan un precio por el producto, su distribución y servicios asociados;

Software de código abierto:

Software cuya licencia asegura que el código pueda ser modificado y mejorado por cualquier persona o grupo de personas con las habilidades correctas, el conocimiento es de dominio público;

Software libre: El software que un usuario cualquiera tiene la libertad de ejecutarlo, copiarlo, distribuirlo, estudiarlo, modificarlo y/o mejorarlo;

(14)

Pág. 14 de 372

modificarlo o redistribuirlo;

Software: Es el conjunto de componentes o programas asociados a la operación de un equipo de TIC, a fin de que el mismo cumpla su función;

Subcomisión de Firma Electrónica Avanzada:

La subcomisión de firma electrónica avanzada, integrada por personal de la Secretaría de la Función Pública, la Secretaría de Economía y del Servicio de Administración Tributaria, en términos del artículo vigésimo del acuerdo por el cual se crea la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico;

Tarjeta Inteligente: Instrumento que contiene un dispositivo electrónico de almacenamiento de información para autenticación de usuarios;

Titular de un certificado digital:

La persona que crea sus claves privada y pública, genera su requerimiento de certificación y obtiene un certificado digital de firma electrónica avanzada ante una autoridad o agencia certificadora;

Trámite electrónico: La solicitud o entrega de información que las personas físicas o morales realicen por medios electrónicos ante una dependencia o entidad, ya sea para cumplir una obligación, obtener un beneficio o servicio, a fin de que se emita una resolución, así como cualquier documento que dichas personas estén obligadas a conservar, no comprendiéndose aquella documentación o información que sólo tenga que presentarse en caso de un requerimiento de una dependencia o entidad;

Usuarios: Las personas que usan los servicios de TIC en el desempeño de sus funciones;

Validación: Una actividad que asegura que un servicio de TIC, proceso, plan u otro entregable nuevo o modificado satisface las necesidades del negocio;

Verificación: Actividad que permite revisar si un servicio de TIC, proceso, plan u otro entregable nuevo o modificado, es completo y preciso de acuerdo con su especificación de diseño;

Virus informático: Es un programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este, a fin producir daños que pueden afectar a los sistemas;

Vulnerabilidad: Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo;

Webservices: Conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones;

(15)

ACRÓNIMO DEFINICIÓN / SIGNIFICADO

AA: Grupo de procesos de Administración de activos del “Marco rector”. Agrupa los

siguientes procesos: ADT, ACNC e IDP;

AAF: El proceso de Administración de ambiente físico del “Marco rector de procesos” de este manual;

AC: Para designar a la autoridad certificadora: las dependencias y entidades de la

Administración Pública Federal y los prestadores de servicios de certificación que, conforme a las disposiciones jurídicas, tengan reconocida esta calidad y cuenten con la infraestructura tecnológica para la emisión, administración y registro de certificados digitales, así como para proporcionar servicios relacionados con los mismos:

ACMB: El proceso de Administración de cambios del “Marco rector de procesos” de este manual;

ACNC: El proceso de Administración del conocimiento del “Marco rector de procesos” de este manual;

ACNF: El proceso de Administración de la configuración del “Marco rector de procesos” de este manual;

AD: El proceso de Administración del desempeño de TIC del ”Marco rector de

procesos” de este manual;

ADT: El proceso de Administración de dominios tecnológicos del “Marco rector de procesos” de este manual;

ADTI: El proceso de Adquisiciones de TIC del “Marco rector de procesos” de este manual;

AF: El proceso de Administración financiera de TIC del ”Marco rector de procesos”

(16)

Pág. 16 de 372 AGD: Agenda de Gobierno Digital. Documento que establece las estrategias de desarrollo que está siguiendo el gobierno federal mediante el uso de las TIC, así como fomentar la participación ciudadana, a través de las dependencias y entidades de la APF, en colaboración con los poderes legislativo y judicial, los gobiernos estatales y municipales, la industria, la academia y la sociedad en general;

ANS: El proceso de Administración de niveles de servicio del “Marco rector de procesos” de este manual;

AO: El proceso de Administración de la operación del “Marco rector de procesos” de

este manual;

AP: Grupo de procesos de Administración de procesos del “Marco rector”. Agrupa

los siguientes procesos: OSGP;

APF: Administración Pública Federal;

APP: El proceso de Administración del portafolio de proyectos de TIC del “Marco rector de procesos” de este manual;

APS: El proceso de Administración de proyectos de TIC del “Marco rector de procesos” de este manual;

APTI: El proceso de Administración de proyectos de TIC del “Marco rector de procesos” del presente manual;

APV: El proceso de Administración de proveedores del “Marco rector de procesos” de este manual;

AR: Grupo de procesos de Administración de recursos del “Marco rector”. Agrupa

los siguientes procesos: AF, APV y ADTI;

ARTI: El proceso de Administración de riesgos del “Marco rector de procesos” de este manual;

(17)

AS: Grupo de procesos de Administración de servicios del “Marco rector”. Agrupa los siguientes procesos: APS y DSTI;

ASI: El proceso de Administración de la seguridad de la información del “Marco rector de procesos” de este manual;

AST: El proceso de Administración de servicios de terceros del “Marco rector de procesos” de este manual;

ATA: El proceso de Administración técnica de adquisiciones del “Marco rector de procesos” de este manual;

CIDGE: La Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico, creada con el objetivo de promover y consolidar el uso y aprovechamiento de las Tecnologías de la Información y Comunicaciones en la Administración Pública Federal;

CMDB: Configuration Management Database, CMDB por sus siglas en inglés. Base de datos de administración de la configuración. Base de datos para almacenar registros de elementos de la configuración durante su ciclo de vida;

CMM: Capability Maturity Model, CMM por sus siglas en inglés. Modelo de evaluación de los procesos de TIC en una organización;

COBIT: Control Objectives for Information and related Technology, COBIT por sus siglas en inglés; marco de referencia de mejores prácticas en TIC;

CN: Grupo de procesos de control del “Marco rector”. Agrupa los siguientes

procesos: AD, CR y ARTI;

CR: El proceso de Cumplimiento regulatorio del “Marco rector de procesos” de este

manual;

CST: El proceso de Calidad de soluciones tecnológicas del “Marco rector de procesos” de este manual;

(18)

Pág. 18 de 372

CN: Grupo de procesos de control del “Marco rector”. Agrupa los siguientes

procesos: AD, CR y ARTI;

DA: Grupo de procesos de desarrollo y adquisición de soluciones del “Marco rector”.

Agrupa los siguientes procesos: ATA, DST y CST;

DDT: El proceso de Determinación de la dirección tecnológica del “Marco rector de procesos” de este manual;

DR: Grupo de procesos de dirección del “Marco rector”. Agrupa los siguientes

procesos: EEG y PE;

DST: El proceso de Desarrollo de soluciones tecnológicas del “Marco rector de procesos” de este manual;

DSTI: El proceso de Diseño de servicios del “Marco rector de procesos” de este manual;

EEG: El proceso de Establecimiento de la estructura de gobierno de TIC del “Marco rector de procesos” de este manual;

HTTPS: Secure HyperText Transfer Protocol, por sus siglas en inglés. Protocolo seguro de transferencia de hipertexto. La aplicación utilizada para garantizar la seguridad de las comunicaciones entre el usuario y el servidor web al que dicho usuario se conecta;

IDP: El proceso de Integración y desarrollo de personal del “Marco rector de procesos” de este manual;

LE: El proceso de Liberación y entrega del “Marco rector de procesos” de este

manual;

MI: El proceso de Mantenimiento de infraestructura del “Marco rector de procesos”

(19)

OLA: Operating Level Agreement, OLA por sus siglas en inglés. Acuerdo de nivel operativo que se suscribe entre áreas internas de una entidad responsable de TIC en una organización;

OMS: El proceso de Operación de la mesa de servicios del “Marco rector de procesos” de este manual.

OP: Grupo de procesos de operaciones del marco rector. Agrupa los siguientes

procesos: AO, AAF y MI;

OS: Grupo de procesos de operación de servicios del marco rector. Agrupa los

siguientes procesos: OMS, AST, ANS y ASI;

OSGP: El proceso de Operación del sistema de gestión y mejora de procesos del “Marco rector de procesos” de este manual;

PE: El proceso de Planeación estratégica de TIC del “Marco rector de procesos” de

este manual;

PETIC: Plan Estratégico de Tecnologías de la Información y Comunicaciones. El Plan estratégico de tecnologías de la información que anualmente elaboran las dependencias y entidades de la APF a través de sus UTIC.;

PR: Grupo de procesos de proyectos. Agrupa los siguientes procesos: APP y APTI;

SAT: Servicio de Administración Tributaria;

SE: Secretaría de Economía;

(20)

Pág. 20 de 372 SGSI: La parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la información;

SLA: Por sus siglas en inglés, SLA, Service Level Agreement . El acuerdo o acuerdos de niveles de servicio de una solución tecnológica o servicio de TIC;

SoA: Por sus siglas en inglés, SoA, Statement of applicability. Declaraciones o enunciados de aplicabilidad. Elementos de control de seguridad de la información utilizado para el establecimiento del SGSI en el “Marco rector” de este manual.

TE: Grupo de procesos de transición y entrega del marco rector. Agrupa los siguientes procesos: ACMB, LE, THO y ACNF;

THO: Proceso de Transición y habilitación de la operación del “Marco rector de procesos” de este manual;

TIC: Acrónimo empleado convencionalmente para denominar a las Tecnologías de la Información y Comunicaciones;

UC: Contratos de soporte en el que se definen los objetivos a cumplir, al respecto de

los objetivos de nivel de servicio, en un SLA;

UGD: Unidad de Gobierno Digital, en la Subsecretaría de la Función Pública de la Secretaría de la Función Pública;

UR: Unidades Responsables. Se refiere a las unidades administrativas dueñas de

un proceso, a las que la UTIC les proporciona un servicio.

UTIC: Para designar a la unidad administrativa de una dependencia o entidad, responsable de proveer de infraestructura y servicios de tecnologías de la información y comunicaciones;

(21)

3. _{INTRODUCCIÓN}

En el mes de septiembre de 2009, el presidente de los Estados Unidos Mexicanos, Felipe de Jesús Calderón Hinojosa, instruyó al C. Titular de la Secretaría de la Función Pública profundizar las acciones en materia de reforma regulatoria y derogar todos aquellos acuerdos, oficios, decretos o reglamentos cuya necesidad no quedara plenamente justificada, con el propósito de mejorar la eficiencia institucional y la calidad de los servicios que brindan las diversas dependencias y entidades de la Administración Pública Federal.

El trabajo consistió en la simplificación de la normatividad que enmarca la operación de adquisiciones, arrendamientos y servicios; auditoría, control, obra pública, recursos financieros, recursos humanos / servicios personales, recursos materiales y servicios generales, tecnologías de la información y transparencia. Para cada una de las temáticas mencionadas se especificaron también procesos y subprocesos eficientes y eficaces, definiendo responsables de sus actividades y los documentos necesarios para realizarlas.

Las definiciones surgieron de un trabajo en equipo en que participaron las unidades normativas, líderes técnicos de las materias tratadas, áreas de auditoría para desarrollo y mejora de la gestión pública de algunos órganos internos de vigilancia y control, quienes fungieron como líderes de los grupos de trabajo, instituciones federales de distinta índole, que validaron el contenido de los manuales y la Unidad de Políticas de Mejora de la Gestión Pública, quien coordinó los trabajos.

La publicación de nueve instrumentos generales sobre los temas mencionados constituye un importante esfuerzo por eliminar la sobrerregulación de los procesos de apoyo, imprescindibles para el buen funcionamiento de las instituciones públicas. El perfeccionamiento de los manuales será posible incorporando paulatinamente mejores prácticas derivadas de la mejora de la gestión de las dependencias y entidades federales.

Los cambios vertiginosos originados durante los últimos años por el uso de las tecnologías de la información y las comunicaciones han tenido un impacto en diversos aspectos de nuestra sociedad, reflejados en importantes esfuerzos y logros. En el ámbito de la Administración Pública Federal, las tecnologías de la información y comunicaciones han venido a transformar los esquemas tradicionales del quehacer público directamente para eficientar los procesos internos y mejorar la entrega de los servicios proporcionados a la ciudadanía, para brindarle una mejor calidad de vida.

La estrategia de desarrollo del gobierno digital en nuestro país, coordinada por la Secretaría de la Función Pública, a través de la Unidad de Gobierno Digital, impulsa la utilización óptima de las tecnologías de información y de comunicaciones para hacer más eficiente la gestión gubernamental, proporcionar servicios de mayor calidad y oportunidad a la sociedad, transparentar la función pública en todos los ámbitos de gobierno y combatir las prácticas de corrupción al interior de las oficinas gubernamentales.

El presente manual administrativo en materia de TIC forma parte del proyecto de Regulación Base Cero, que tiene como fin eliminar toda aquella regulación o normatividad que limite o impida a la Administración Pública Federal brindar un servicio de forma ágil y oportuna a sus ciudadanos y sus organizaciones.

Con relación a los procesos que integran este manual administrativo, se ha diseñado un “Marco rector de procesos” fundamentado en las mejores prácticas, de manera que se tenga una cobertura total de la gestión de las unidades administrativas de tecnologías de la información y comunicaciones así como de los servicios que estas áreas proporcionan a sus usuarios, tanto al interior del gobierno, como a los ciudadanos y sus organizaciones.

(22)

Pág. 22 de 372

4. _OBJETIVOS

Objetivos

General.-El presente documento forma parte de un conjunto de manuales de aplicación obligatoria para todas las dependencias y entidades de la administración pública federal y tienen por objetivo establecer los procesos, procedimientos, disposiciones normativas, responsables, indicadores y estándares que, respetando el marco legal, eliminen la sobre regulación y las actividades que no agregan valor. De este modo la operación institucional de apoyo puede ser más eficiente, oportuna y transparente.

Específicos.-

1. Simplificar y homologar el marco normativo de los procesos internos relacionados con las tecnologías de la información y comunicaciones.

2. Proporcionar a las dependencias y entidades de la Administración Pública Federal la referencia a seguir que homologa la operación y las regulaciones en materia de tecnologías de la información y comunicaciones.

3. Establecer indicadores homologados que permitan medir los resultados, productos, avance o impacto de los procesos de tecnologías de la información y comunicaciones, con el fin de brindar recomendaciones e información útil para la toma de decisiones, la rendición de cuentas y fomentar el aprendizaje institucional. 4. Contribuir mediante la aplicación generalizada del presente manual a alcanzar una mayor eficiencia en las

actividades y procesos institucionales e interinstitucionales, a partir del quehacer orientado al servicio y satisfacción del ciudadano.

5. _{ÁMBITO DE APLICACIÓN / ALCANCE}

El presente manual es de observancia obligatoria para las dependencias y entidades de la Administración Pública Federal, la Procuraduría General de la República y las unidades de la Presidencia de la República, salvo las excepciones o regímenes especiales que se señalen de manera expresa en este documento.

El presente manual se actualizará de acuerdo a las necesidades de los servicios digitales que la ciudadanía requiera, a las de las dependencias y entidades de la Administración Pública Federal así como a las del avance tecnológico, de mejores prácticas y de metodologías de Tecnologías de Información y Comunicaciones.

La Secretaría de la Función Pública, a través de la Unidad de Gobierno Digital, informará sobre las actualizaciones que se efectúen a este manual mediante publicación en el Diario Oficial de la Federación y en la página electrónica http://www.cidge.gob.mx.

(23)

6. _{MARCO JURÍDICO}

1. La Constitución Política de los Estados Unidos Mexicanos; última reforma. D.O.F. 24-08-2009. 2. Ley Orgánica de la Administración Pública Federal; última reforma D.O.F. 17-06-2009.

3. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público y su Reglamento; última reforma D.O.F. 28-05-2009.

4. Ley Federal de Presupuesto y Responsabilidad Hacendaria y su Reglamento; última reforma D.O.F. 31-12-2008.

5. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y su Reglamento; última reforma D.O.F. 06-06-2006.

6. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos; 7. Ley Federal de Telecomunicaciones y su Reglamento;

8. Ley Federal de las Entidades Paraestatales y su Reglamento;

9. Ley del Servicio Profesional de Carrera y su Reglamento; D.O.F. 09-01-2006. 10. Plan Nacional de Desarrollo 2007-2012.

11. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012; D.O.F. 10-09-2008.

12. Agenda de Gobierno Digital.

13. Reglamento Interior de la Secretaría de la Función Pública; D.O.F. 15-04-2009.

14. Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración Pública Federal; D.O.F. 4-12-2006.

15. Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplina del Gasto de la Administración Pública Federal; D.O.F. 29-12-2006. Última modificación D.O.F. 14-05-2007. 16. Lineamientos Generales para la Clasificación y Desclasificación de la Información de las Dependencias y

Entidades de la Administración Pública Federal; D.O.F. 18-08-2003.

17. Lineamientos Generales para la Organización y Conservación de los Archivos de las Dependencias y Entidades de la Administración Pública Federal; D.O.F. 12-02-2004.

18. Lineamientos de Protección de Datos Personales y las Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos por el Instituto Federal de Acceso a la Información; 19. Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologación, implantación y

uso de la firma electrónica avanzada en la Administración Pública Federal, publicado en el D.O.F., el 24 de agosto de 2006.

(24)

Pág. 24 de 372

7. _{PROCESOS EN MATERIA DE TIC}

El presente Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones tiene un enfoque de procesos, por lo que se diseñaron 31 procesos agrupados en 11 macroprocesos, considerados en 4 niveles de gestión, que, integrados, forman el “Marco rector de procesos” para las unidades de TIC de las dependencias y entidades de la Administración Pública Federal.

El “Marco rector” se muestra en la siguiente figura:

Figura 1: “Marco rector de procesos” de tecnologías de información y comunicaciones; 31 procesos en 11 grupos específicos

El “Marco rector” de los procesos de Tecnologías de Información y Comunicaciones basa su diseño, y el de los procesos que lo conforman, en las mejores prácticas con aceptación internacional en la materia, vigentes a la fecha de elaboración del presente manual.

El “Marco rector” de los procesos de TIC tiene como objetivo fundamental lograr la cobertura total de la gestión, de punta a fin, de las unidades administrativas de Tecnologías de Información y Comunicaciones UTIC, de manera que independientemente de la estructura organizacional con que cuenten o que llegaran a adoptar, las funciones se puedan acoplar a los procesos y se logre la cohesión total para una mejor gestión.

En la figura 2 se muestran las relaciones principales entre los grupos de procesos del marco rector:

Administración de activos

Administración de dominios tecnológicos

Administración del conocimiento

Integración y desarrollo de personal

Operaciones

Administración de la operación

Administración de ambiente físico

Mantenimiento de infraestructura

Administración de proyectos

Administración del portafolio de proyectos de TIC

Administración de proyectos de TIC

Administración de procesos

Operación del sistema de gestión y mejora de procesos de la UTIC

Administración de recursos

Administración financiera de TIC Administración de proveedores Adquisiciones de TIC

Administración de Servicios

Administración del portafolio de servicios de TIC

Diseño de servicios de TIC

Dirección

Establecimiento de la estructura de gobierno de TIC

Planeación estratégica de TIC

Determinar la dirección tecnológica

Control

Administración del desempeño de TIC

Cumplimiento regulatorio

Administración de riesgos de TIC

Desarrollo y adquisición de soluciones

Administración técnica de adquisiciones Desarrollo de soluciones tecnológicas Calidad de soluciones tecnológicas

Transición y entrega Administración de cambios Liberación y entrega Transición y habilitación de la operación Administración de la configuración Operación de servicios

Operación de la mesa de servicios Administración de servicios de

terceros

Administración de niveles de servicio Administración de la seguridad de la

información

Administración de activos

Administración de dominios tecnológicos

Administración del conocimiento

Integración y desarrollo de personal

Operaciones

Administración de la operación

Administración de ambiente físico

Mantenimiento de infraestructura

Administración de proyectos

Administración del portafolio de proyectos de TIC

Administración de proyectos de TIC

Administración de procesos Administración de procesos

Operación del sistema de gestión y mejora de procesos de la UTIC

Administración de recursos

Administración financiera de TIC Administración de proveedores Adquisiciones de TIC

Administración de Servicios

Administración del portafolio de servicios de TIC

Diseño de servicios de TIC

Dirección

Establecimiento de la estructura de gobierno de TIC

Planeación estratégica de TIC

Determinar la dirección tecnológica

Control

Administración del desempeño de TIC

Cumplimiento regulatorio

Administración de riesgos de TIC

Desarrollo y adquisición de soluciones

Administración técnica de adquisiciones Desarrollo de soluciones tecnológicas Calidad de soluciones tecnológicas

Transición y entrega Administración de cambios Liberación y entrega Transición y habilitación de la operación Administración de la configuración Transición y entrega Administración de cambios Liberación y entrega Transición y habilitación de la operación Administración de la configuración Operación de servicios

Operación de la mesa de servicios Administración de servicios de

terceros

Administración de niveles de servicio Administración de la seguridad de la

(25)

Figura 2: Relaciones principales entre los grupos de procesos o macro procesos del “Marco rector”

Cada uno de los 31 procesos, que conforman los 11 grupos de procesos o macroprocesos, establece interrelaciones entre sí de acuerdo a las necesidades propias de cada proceso y de la gestión integral de la UTIC.

En el anexo I del capítulo 9 se presenta una descripción general breve de las mejores prácticas y el ámbito de influencia en los procesos del “Marco rector”.

(26)

Pág. 26 de 372

7.1 _DIRECCIÓN

7.1.1. Establecimiento de la estructura de gobierno de TIC 7.1.1.1. Objetivos del proceso

General.-

Crear un marco de procesos para apoyar la toma de decisiones de la dependencia o entidad, basada en el análisis de las oportunidades de aprovechamiento de las TIC y de sus riesgos, así como a promover el uso adecuado de las TIC para contribuir a los objetivos estratégicos de la dependencia o entidad.

Específicos.-

1. Establecer una estructura para el gobierno de las TIC.

2. Establecer y mantener una estructura organizacional adecuada de la UTIC para desempeñar las funciones inherentes a las tecnologías de la información y comunicaciones, que considere los procesos, y los requerimientos de personal necesarios para ejecutar los procesos correspondientes.

3. Asegurar la transparencia, el control y el compromiso de los mandos medios y de los titulares de las unidades administrativas de la dependencia o entidad en la dirección y control de la inversión y entrega efectiva y eficiente de servicios de TIC.

4. Asegurar que la estructura de gobierno determine las prioridades de inversión en TIC para el mejor aprovechamiento de éstas, alineadas a las necesidades de la dependencia o entidad.

5. Cohesionar procesos y estructura en la toma de decisiones, para maximizar la oportunidad y calidad de la toma de decisiones.

(27)

7.1.1.2 Descripción del proceso 7.1.1.2.1 Mapa general del proceso

Diagrama de flujo de información

APS APP PE AF

EEG-2 Establecer y mantener la estructura organizacional EEG-1 Establecer el gobierno de

TIC

• Cuadro de mando integral • Informes de desempeño del

portafolio de proyectos de TIC • Informes de desempeño del

portafolio de servicios de TIC • Informes directivos de

desempeño de TIC • Reportes de seguimiento y

control del PETIC • Presupuesto de TIC priorizado • Presiones de gasto. • Planes de administración de procesos • Lista de asuntos y acuerdos directivos • Descripciones de roles y responsabilidades • Segregación de responsabilidades OSGP

AD, CR, ARTI, OSGP, AF EEG-3 Operar y mantener el

gobierno de TIC • Manual

administrativo de aplicación general en materia de TIC

Todos los procesos del “Marco rector”

• Documento de integración y operación del grupo de trabajo para la dirección de TIC • Todos los procesos del “Marco rector” • UR Involucradas • Todos los procesos

del “Marco rector”

• Documento de integración y operación del grupo de trabajo estratégico de TIC

(28)

Pág. 28 de 372 Diagrama de flujo de actividades

(29)

7.1.1.2.2 Descripción de actividades del proceso EEG-1 Establecer el gobierno de TIC

Descripción _{Establecer los grupos de trabajo que aseguren la gobernabilidad de las TIC en la dependencia}

o entidad, incluyendo principalmente la eficiencia en el valor de las TIC, la disponibilidad oportuna de los servicios de TIC y la seguridad de la información conjuntamente con la administración de riesgos.

Factores

críticos Establecer grupos de trabajo para la implantación y adopción de los conceptos de

gobernabilidad y gestión de los procesos de TIC basados en ésta.

1. Establecer un Grupo de trabajo para la dirección de TIC integrado por titulares de las unidades de responsabilidad de la dependencia o entidad, encabezados el titular de la UTIC.

2. Establecer, definir y comunicar el alcance, objetivos, miembros, roles y responsabilidades del Grupo de trabajo para la dirección de TIC.

3. El Grupo de trabajo para la dirección de TIC deberá realizar entre otras actividades las siguientes:

• Determinar las oportunidades y los riesgos en el uso de TIC..

• Opinar sobre la dirección estratégica de la institución

• Dar seguimiento a las inversiones principales en materia de TIC, verificar que se

encuentren alineadas a los objetivos estratégicos de la dependencia o entidad, así como al ejercicio del gasto.

4. El Grupo de trabajo para la dirección de TIC deberá reportar directamente al titular de la dependencia o entidad.

5. Constituir un Grupo de trabajo estratégico de TIC, integrado por titulares que reportan directamente al titular de la UTIC.

6. Establecer, definir y comunicar el alcance, objetivos, participantes, roles y responsabilidades del Grupo de trabajo estratégico de TIC

7. El Grupo de trabajo estratégico de TIC deberá establecer y mantener la estructura organizacional de la UTIC de acuerdo a las necesidades de gobernabilidad de las TIC. 8. Asegurar que cada miembro de los grupos de trabajo constituidos reciban el Documento de

integración del grupo al que pertenezcan, para su conocimiento y entendimiento de los roles que deberán desempeñar y responsabilidades que les son conferidas.

Relación de

productos • Documento de integración y operación del grupo de trabajo para la dirección de TIC

• Documento de integración y operación del grupo de trabajo estratégico de TIC

EEG-2 Establecer y mantener la estructura organizacional

Descripción _{Alinear la estructura organizacional de la dependencia o entidad a una estructura}

organizacional de gobernabilidad en la UTIC, orientada a procesos, que responda a las necesidades de la dependencia o entidad.

(30)

Pág. 30 de 372

Factores

críticos 1. Establecer los roles y las responsabilidades de los servidores públicos involucrados en la

ejecución de los procesos de la UTIC, de manera que se delimite la autoridad entre el personal de la UTIC y los usuarios finales.

• Determinar para cada función el conocimiento, experiencia, autoridad, responsabilidad y

rendición de cuentas.

• Asignar a las funciones uno o más roles del Sistema de gestión y mejora de procesos

de la UTIC.

• Asignar los roles al personal de la UTIC.

• Desarrollar descripciones de roles con descripción de metas clave y objetivos medibles.

2. Implementar la segregación de responsabilidades.

Asegurar que por medio de la segregación de funciones y responsabilidades se garantice que ningún procedimiento o actividad quede bajo control único de un mismo servidor público:

• Establecer una división de roles y responsabilidades que reduzca la posibilidad de que

un solo individuo afecte negativamente un proceso crítico.

• Los titulares de las unidades administrativas deberán asegurar que el personal realice

sólo las tareas autorizadas.

• Identificar y documentar funciones y responsabilidades en conflicto.

• Asegurar que la segregación de funciones sea obligatoria.

3. Supervisar.

• Sustentar la supervisión en el Sistema de gestión y mejora de procesos de la UTIC.

• Implementar prácticas adecuadas de supervisión dentro de la UTIC para asegurar que

los roles y las responsabilidades se ejerzan de forma apropiada.

• Evaluar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus

roles y responsabilidades.

4. Revisar la estructura organizacional de la UTIC de forma periódica, a fin de ajustar los requerimientos de los procesos y de los proyectos de servicios y de soluciones tecnológicas de TIC. Considerará las circunstancias cambiantes de TIC y del entorno interno y externo de la dependencia o entidad.

Relación de

productos • Descripciones de roles y responsabilidades

• Segregación de responsabilidades

EEG-3 Operar y mantener el gobierno de TIC

Descripción _{Garantizar que las TIC sostienen y extienden las estrategias y objetivos organizacionales de la}

dependencia o entidad. Integrar e institucionalizar las buenas prácticas para asegurar que las TIC son llevadas adelante por con dirección y gobierno.

Factores

críticos 1. El Grupo de trabajo para la dirección de TIC deberá reunirse como sea necesario para

(31)

rector de procesos” de TIC.

2. El Grupo de trabajo para la dirección de TIC podrá estar constituido a su vez por varios subgrupos de trabajo de acuerdo a las necesidades y estructura de la dependencia o entidad.

3. El Grupo de trabajo para la dirección de TIC, principalmente, deberá:

• Determinar las prioridades de las iniciativas de inversión de TIC alineadas con la

estrategia y prioridades institucionales.

• Dar seguimiento al estado de las iniciativas y programas de proyectos, así como

resolver los conflictos de recursos.

• Evaluar el cumplimiento a los niveles de servicio de los servicios de TIC.

4. Participar en el proceso de Administración del portafolio de proyectos, con la responsabilidad de seleccionar y autorizar iniciativas, dar seguimiento y de evaluar el desempeño de dicho proceso.

5. Aprobar y asegurar la efectividad de los controles de alto nivel que provee el Sistema de gestión y mejora de procesos de la UTIC, los indicadores del cuadro de mando integral de TIC y la administración de riesgos de TIC.

Relación de

productos • Lista de asuntos y acuerdos directivos

TIEMPO TOTAL DEL PROCESO: VARIABLE

7.1.1.2.3 Descripción de roles

Rol Descripción

Grupo de trabajo para la dirección de TIC

Grupo formado por los titulares de las áreas responsables y de la UTIC. Este grupo determina las acciones de gobernabilidad de TIC, toma decisiones al respecto de requerimientos, inversión y gasto en materia de TIC, define y establece controles de gobierno y evalúa los resultados de la UTIC.

Debe asegurar la dirección y el control de los procesos y servicios de TIC.

Grupo de trabajo estratégico de TIC

Grupo formado por titulares que reportan al titular de la UTIC. Este grupo toma decisiones estratégicas y directivas, referentes a su estructura organizacional, vigilando que la misma se encuentre orientada a procesos y a una efectiva gobernabilidad.

Titular de la UTIC El cargo de nivel más alto de atribuciones y responsabilidad de la UTIC en la dependencia o entidad.

7.1.1.2.4 Descripción de productos

Producto _Descripción