departamento de tecnologías de información mag/nomas y politicas generales de ti... ·...

Ministerio de Agricultura y Ganadería

Departamento de

Tecnologías de

Información

Políticas y Normas Generales de TI


2

Contenido

Presentación................................................................................................................................. 4

Marco Jurídico .............................................................................................................................. 5

Ámbito de aplicación ................................................................................................................. 5

Actualizaciones de este manual ................................................................................................ 5

Marco Filosófico........................................................................................................................... 6

Del establecimiento de políticas ............................................................................................... 6

Objetivos ................................................................................................................................... 6

Objetivo General ................................................................................................................... 6

Objetivos Específicos ............................................................................................................. 6

Supervisión de políticas ............................................................................................................. 7

Violación a las políticas ............................................................................................................. 7

Definición de Políticas ................................................................................................................. 8

Normas de aplicación General .................................................................................................. 8

Marco estratégico de TI ........................................................................................................ 8

Gestión de la Calidad ............................................................................................................. 8

Gestión de Riesgos de TI ....................................................................................................... 9

Gestión de la Seguridad en TI ................................................................................................ 9

Gestión de Proyectos .......................................................................................................... 25

Cumplimiento de obligaciones relacionadas con la gestión de TI .......................................... 26

Planificación y Organización de TI ............................................................................................ 27

Planificación de las Tecnologías de Información .................................................................... 27

Marco Políticas para el planeamiento y administración de actividades ............................. 27

Modelo de Arquitectura de Información ............................................................................ 27

Infraestructura Tecnológica ................................................................................................ 27

Independencia y recurso humano de la Función de TI ....................................................... 28

Implementación de las Tecnologías de Información .............................................................. 29

Consideraciones generales de la implementación de las Tecnologías de Información ......... 29

Políticas sobre el servicio que ofrece el Departamento de Tecnologías de Información 29

Políticas para la adquisición de nuevas tecnologías ........................................................... 29

Implementación de Software .............................................................................................. 30



3

Contratación de terceros para la implementación y mantenimiento de software e

infraestructura .................................................................................................................... 31

Prestación de servicios y mantenimiento ................................................................................ 33

Consideraciones generales de la implementación de las Tecnologías de Información ......... 33

Definición y administración de acuerdos de servicio ........................................................ 33

Administración y operación de la plataforma tecnológica ................................................. 33

Administración de los datos ................................................................................................ 35

Seguimiento a las políticas y normas ....................................................................................... 38

Glosario ....................................................................................................................................... 39


Ministerio de Agricultura y Ganadería 4

Presentación

Las tecnologías de información y comunicación son hoy en día un tema relevante, tanto para la

competitividad de las empresas como para el eficaz desempeño de las instituciones públicas.

Para el Ministerio de Agricultura y Ganadería, es importante disponer y poner al servicio del

Sector Agropecuario novedosas herramientas tecnológicas, que le permita cumplir con mayor

eficiencia, las funciones que le corresponde.

Esta disciplina contiene un rubro muy importante dentro del presupuesto institucional, por lo

que es particularmente necesario, vigilar y controlar el eficiente uso de estos recursos,

ordenando acciones mediante políticas en materia de tecnologías de información, que

sustenten las tareas que requieren el apoyo de las tecnologías informáticas y de comunicación.

En este sentido, además de considerar prioritaria la necesidad de ordenar esta materia, las

instituciones públicas tienen la obligatoriedad de acatar la Resolución emitida por la

Contraloría General de la República Número R-CO-26-2007, publicada en La Gaceta Nº 119 del

21 de junio de 2007, relacionada con la implementación de la normativa técnica sobre

tecnologías de información Nº N-2-2007-CO-DFOE.

Este documento contiene las políticas informáticas institucionales, que son aplicables a todas

las Direcciones Nacionales y Regionales, órganos adscritos y en general a la estructura

organizativa del Ministerio de Agricultura y Ganadería. Se definen las políticas administrativas

relacionadas con Tecnologías de Información: Sistemas de información, bases de datos, redes y

comunicaciones, hardware, software y seguridad informática.

Entre otros La finalidad de este documento es que junto a otro material relacionado, sirva

como un instrumento de consulta permanente y como guía especializada, para las áreas

usuarias e interesadas dentro de la Institución.



Marco Jurídico

La Contraloría General de la República ha emitido leyes y normativas para el control y la

administración en materia de tecnologías de información y comunicación, así como la Ley

General de Control Interno y otras normativas relacionadas sobre este tema.

En el año 2007 el ente contralor emite las “Normas técnicas para la gestión y el control de las

tecnologías de información” las cuales fueron publicadas en el Diario Oficial La Gaceta No 119

del Jueves 21 de junio de ese mismo año y en su Capítulo I, Artículo 1.1 se establece la

necesidad que en cada Institución exista un marco estratégico de Tecnologías de Información,

constituido por políticas organizacionales que el personal comprenda y con las que esté

comprometido.

Por lo tanto, en todas las instituciones del Estado deben existir manuales de políticas internas

relativas a la administración de Tecnologías de Información. Para su cumplimiento, se definen

en este documento las políticas que en esta materia, deben aplicarse para el Ministerio de

Agricultura y Ganadería.

Por otra parte, el Despacho del Ministerio de Agricultura y Ganadería en el acuerdo ministerial

04-2004 del 3 de Noviembre del 2014 aprobó el Plan Estratégico de Tecnologías y delegó en el

Departamento de Tecnologías de Información la coordinación y ejecución del mismo en el

Ministerio y sus órganos adscritos.

Ámbito de aplicación

Las políticas definidas en este documento son de aplicación para todo el Ministerio, incluyendo

las direcciones nacionales, regionales y todas las organizaciones adscritas al MAG, cuyas

actividades se apoyan en instrumentos informáticos.

Actualizaciones de este manual

Este instrumento rige una vez que el jerarca institucional lo apruebe y haya ordenado su

puesta en marcha a través de una directriz ministerial. Deberá ser revisado y actualizado

formalmente por lo menos una vez cada año, siendo responsabilidad de la jefatura de la

instancia administrativa de Tecnologías de Información, en adelante denominado

Departamento de TI, realizar este proceso.

Durante el proceso de implementación cualquier usuario podrá hacer observaciones, con el

objetivo de mejorar y/o modificar cláusulas o políticas, las cuales se harán llegar a la jefatura

del Departamento de TI.



Marco Filosófico

Del establecimiento de políticas

El término política se define como la guía o principios generales, con que se conduce un asunto

o se emplean los medios para alcanzar un fin. De esta manera, las políticas se pueden entender

como las orientaciones o directrices que rigen la actuación de una persona o una entidad en

un asunto o campo determinado.

El Ministerio de Agricultura y Ganadería define periódicamente el conjunto de políticas

generales y normas para la Institución, por lo que las políticas que se definen en este

documento pasan a formar parte de este conjunto, como complemento para orientar las

actividades apoyadas en tecnologías de información.

Objetivos

Objetivo General

Mantener la confiabilidad, disponibilidad e integridad de la información, así como facilitar el

mejor aprovechamiento de los recursos informáticos y las telecomunicaciones, que son

propiedad o se encuentran a disposición del Ministerio de Agricultura y Ganadería, para

alcanzar la misión institucional.

Objetivos Específicos

1. Utilizar los recursos tecnológicos de información y comunicación en forma responsable

y apropiada, de conformidad con las disposiciones dadas en este manual y otras de

carácter institucional, legal o emitido por otros órganos del Estado Costarricense, que

guarden relación con normativas aplicables a la materia.

2. Minimizar las interrupciones de los servicios asociadas a los sistemas informáticos y

comunicaciones, ocasionados por uso inapropiado o por daños causados en forma

accidental o intencional.



Supervisión de políticas

La supervisión del cumplimiento de las “Políticas Generales sobre Tecnologías de Información”,

queda a cargo del Departamento de TI; razón por la cual está facultada para verificar en

cualquier momento el cumplimiento de estas políticas y las normativas vigentes en materias

de tecnologías de información y comunicación.

Violación a las políticas

La infracción o incumplimiento de las políticas sobre tecnologías de información y

comunicación, será notificado a la Unidad Administrativa correspondiente a fin de que ésta

proceda según corresponda. Durante el proceso de implementación se estará revisando el

tema de cumplimiento y sanción con el Departamento de Recursos Humanos.

Este documento se estará revisando y/o actualizando por parte de la instancia administrativa

de tecnologías de información en la Sede Central, con la finalidad de estarlo mejorando. Estas

modificaciones serán comunicadas a través del Despacho del señor Viceministro.



Definición de Políticas

Normas de aplicación General

Marco estratégico de TI

1. El Departamento de Tecnologías Información (TI), será la encargada de la ejecución de

procesos de planeación, coordinación, ejecución y supervisión estratégica de los

proyectos e inversiones en materia de Tecnología de Información y Comunicación a

nivel institucional. Para ello tendrá una dependencia jerárquica adecuada a este

propósito, que en el caso de la Sede Central la tendrá con el Despacho del/la Oficialía

Mayor, quien cuidará de este tema a nivel institucional.

2. Las políticas de tecnologías de información serán aprobadas por el jerarca del

Ministerio y divulgadas adecuadamente a través de los/las directores(as) nacionales,

regionales y sitios web institucionales.

3. El jerarca liderará el proceso continuo de promulgación y divulgación de las presentes

políticas y la inclusión de las mismas como materia obligada en los procesos de

inducción a los nuevos funcionarios de la institución.

4. El Departamento de Tecnologías de Información se encargará de la ejecución y

actualización del Plan Estratégico en Tecnologías de Información y Comunicación

(PETIC), del cual deriva el Plan Anual Estratégico con el cual se orientarán las

actividades del Departamento.

Gestión de la Calidad

Políticas de la calidad de los servicios y proyectos de TI

1. El Departamento de Tecnologías de Información elaborará y divulgará el catálogo de

servicios del Departamento

2. Cada vez que un funcionario requiera un servicio por parte del Departamento de Tecnologías de Información no solo debe crear la solicitud en el Sistema de Soporte Técnico, vía web; sino que además debe indicar si quedó o no conforme con la respuesta técnica recibida tomando en cuenta su solución, tiempo empleado y procedimiento ejecutado. Esta información será utilizada por el Departamento de Tecnologías de Información, para iniciar la toma de decisiones para el mejoramiento continuo de los servicios brindados.

3. El Departamento de Tecnologías de Información elaborará e implementará un proceso

para la gestión y aseguramiento de la calidad de las TI el cual permita que los servicios sean brindados con resultados satisfactorios.



4. Las jefaturas departamentales deben solicitar formalmente el desarrollo de un

proyecto de TI, mediante la metodología establecida y participar activamente en el desarrollo y prueba de las soluciones tecnológicas.

Gestión de Riesgos de TI

Políticas de evaluación de riesgos

1. Departamento de Tecnologías de Información será el encargado de definir el proceso

de gestión de riesgos en materia de TI y de mantener actualizado dicho proceso. Así como alimentar el Sistema de Gestión del Riesgo Institucional con los riesgos identificados al menos dos veces al año.

Gestión de la Seguridad en TI

Marco de la seguridad de la información

Políticas de seguridad de la Información

2. El/la jerarca institucional será el encargado de oficializar y divulgar el marco de

seguridad de la información que incluyan las directrices sobre seguridad y utilización de las tecnologías de información y comunicaciones elaboradas por el Departamento de TI. El Marco de seguridad será un proceso incluido durante las inducciones a los nuevos funcionarios y que la violación comprobada a las normas establecidas se pueda tipificar como falta leve o grave según sea el caso, y se imponga la sanción disciplinaria correspondiente.

3. El Departamento de Tecnologías de Información será el responsable de mantener

actualizado el marco de seguridad de la información y velar porque se cumpla a nivel institucional.

Compromiso del personal con la seguridad de la información

Políticas sobre la responsabilidad de los funcionarios para la seguridad y la

confidencialidad de la información

1. Los funcionarios del MAG usarán el equipo de cómputo en labores exclusivamente de trabajo y serán responsables por el uso adecuado de las herramientas de hardware (tales como el PC, impresoras, escáner, medios de almacenamiento como discos externos, tabletas, portátiles, llaves "maya" USB, otros) y el software (programas) instalado.

2. El usuario del equipo es responsable de acatar las disposiciones del Departamento de

Tecnologías de información, en cuanto a los programas que puede tener su equipo. Es responsable directo si es detectado en su equipo, un software no autorizado, ilegal o "pirateado", por lo cual debe responder ante las autoridades del Ministerio o quien



corresponda. Además debe considerar lo aplicable de la política sobre licencias de software.

3. Todo el personal debe mantener las claves de acceso que le hayan asignado en forma

confidencial.

4. Cada funcionario/a debe asegurarse de cerrar apropiadamente sesiones abiertas en sistemas internos o aplicaciones externas, sobre todo en sitios accedidos vía internet.

5. Es prohibido a todo el personal de cualquier nivel, utilizar el equipo de la oficina para

bajar de internet y/o ejecutar: juegos, música, videos, fotos, "screensavers" y todo archivo que provenga de fuentes no confiables; así como todo tipo de material pornográfico, que atente contra el trabajo o el honor de las personas.

6. Las personas usuarias deben utilizar antivirus para revisar todo medio antes de

ingresarlo al equipo, con el propósito de evitar que éste sea contagiado al igual que la red institucional. Si no tienen instalado el antivirus tienen la responsabilidad de notificarlo al Departamento de Tecnologías de Información mediante el Sistema de Soporte Técnico o cualquier otro medio establecido para ese fin.

7. El funcionario será el responsable de realizar los respaldos de su información y

mantenerlos resguardados en los medios adecuados que les permita una recuperación segura en caso de algún daño al equipo. En caso de las aplicaciones cliente-servidor el responsable de realizar los respaldos será el administrador o encargado de las base de datos del Departamento de Tecnologías de información.

8. Para mensajería instantánea, chats, videoconferencia y similares se utilizará la

herramienta autorizada por el Departamento de Tecnologías de Información. En sede central del MAG y regiones se implementará la herramienta Lync o Skype. Para usar cualquier otra herramienta, la jefatura departamental deberá solicitarlo formalmente ante el Departamento de Tecnologías de información, manifestando los cuidados y supervisión que ejercerá sobre su uso.

9. Está prohibido conectar cualquier dispositivo de red (switch, router) a la red

institucional sin la autorización correspondiente del Departamento de Tecnologías de Información.

10. Los funcionarios darán autorización por escrito con la boleta respectiva, al personal

del Departamento de Tecnologías de Información, cada vez que soliciten o se requiera formatear el equipo a su cargo, asumiendo la responsabilidad de cualquier pérdida de datos si no cuentan con los respaldos de su información.

11. Todo visitante que ingrese a las instalaciones del MAG con equipo de cómputo

personal, deberá regístralo en la recepción para poder ingresar con él, al Departamento que requiera de algún servicio.



Seguridad Física y Ambiental

Políticas para el acceso físico al Departamento de Tecnologías de Información

1. Los funcionarios del MAG y personas ajenas a la institución deberán identificarse con

su respectivo gafete del MAG o de visitante en la recepción del Departamento de Tecnologías de Información, para efectos de solicitar servicios o realizar consultas. Asimismo, podrán ingresar a lo interno del Departamento siempre que haya un funcionario de TI que los atienda personalmente, y que mantengan visible su correspondiente gafete de identificación.

2. Los funcionarios de TI deberán portar siempre su identificación institucional.

3. Ningún equipo del MAG será ingresado en el Departamento de Tecnologías de

Información, sin tener la debida documentación en papel o en electrónico (solicitud de servicio, boleta de traslado de equipo, otro) mediante el cual se pueda determinar la persona responsable del bien y el motivo por el cual ingresa al Departamento.

4. Toda salida de equipo de cómputo de la institución deberá contar con la debida

autorización del Departamento de Bienes y Servicios, y será confirmada la salida con el personal de seguridad responsable de la revisión de paquetes en la institución.

5. Toda empresa que requiera realizar labores de mantenimiento en los equipos de la

sala de servidores de TI, deberá coordinar con anticipación la visita con el personal de TI para verificar su disponibilidad.

Políticas de ubicación y ambiente del Departamento de Tecnologías de Información

1. Las estaciones de trabajo deben estar dotadas con las condiciones ambientales

necesarias para garantizar un entorno físico conveniente para su funcionamiento.

2. El espacio del Departamento de Tecnologías de Información deberá estar climatizado a una temperatura constante de 23° para garantizar el mejor rendimiento de los componentes electrónicos y alargar la vida útil de los mismos.

3. La puerta de acceso a las áreas del Departamento de Tecnologías de Información debe

estar completamente cerrada y deberá permanecer siempre cerrada. Las llaves de acceso estarán en custodia del personal del Departamento de Tecnologías de Información

4. Todo el cableado eléctrico que sea utilizado en los equipos del Departamento de

Tecnologías de Información deberá ser distribuido correctamente para el centro de datos y servidores. Con sus respetivos cargas de distribución, polarizado y carga eléctrica correcta

5. Para efectos de cableado eléctrico y de datos se utilizarán las normas de cableado que

se fundamenten en las mejores prácticas utilizadas en el mercado. Deberá utilizarse para el cableado de red la certificación vigente en el momento que se instalen nuevas conexiones.



Seguridad en las operaciones y comunicaciones

El objetivo es que la Administración implemente medidas de seguridad relacionadas con la operación de los recursos de TI y las comunicaciones, minimizar el riesgo de fallas y proteger la integridad del software y la información.

Políticas sobre responsabilidad de uso de los recursos de TI

1. El personal del MAG usará el equipo de cómputo para labores exclusivamente de

trabajo y será responsable por el uso adecuado de las herramientas de hardware y software.

2. Todo computador del Ministerio en su sede Central debe estar registrado dentro del

dominio MAG y configurado con su respectivo usuario.

3. Ningún funcionario del MAG deberá utilizar los equipos de otros sin su debía autorización de la persona responsable del bien y además no podrá hacer uso de equipos con usuarios de otros funcionarios, debe de utilizar el usuario de Active directory que se le haya asignado.

4. Los funcionarios deben velar porque su equipo de cómputo tenga la debida protección

contra fallas en el suministro eléctrico. Para ello el Departamento de Tecnologías de Información, contará con la información actualizada del parque computacional debidamente con el estado de los mismos, en el caso de que se requiera de UPS o regletas, el Departamento que lo requiera le solicita a la jefatura de TI la compra los dispositivos de seguridad.

5. Los equipos de cómputo (tabletas, portátiles, CPU) deben contar con el antivirus oficial

del MAG. El antivirus debe estar debidamente actualizado por lo que si éste presenta problemas de actualización o el equipo no dispone de antivirus, el usuario deberá notificarlo al Departamento de Tecnologías de Información por medio del sistema de soporte.

12. El Departamento de Tecnologías de Información determinará cuál es el antivirus oficial

y lo instalará en los equipos institucionales, cuando se cuente con la debida licencia. Asesorará a la Administración para que gestione la compra de las licencias requeridas.

Políticas para el manejo de desechos de los medios tecnológicos

1. La institución deberá definir y establecer procedimientos para proteger la información

en cualquier medio fijo o removible (papel, cintas, discos flexibles, discos duros de la PC o externos, otros), y el manejo y desecho de dichos medios.

2. El MAG procurará la entrega de sus desechos tecnológicos a empresas recicladoras que cumplan con las normativas vigentes de Políticas de Gestión Ambiental Institucional.



3. Cada dispositivo de cómputo que desea desechar de la institución o donarlo, deberá contar con el diagnóstico técnico emitido por el Departamento de Tecnologías de Información.

Control del Acceso a la información

La finalidad es proteger la información de accesos no autorizados

Políticas generales de seguridad de acceso a la información

1. El Departamento de Tecnologías de Información establecerá un procedimiento para la

creación de perfiles y roles de usuario para el acceso a los sistemas y proyectos,

tomando en consideración los criterios de las jefaturas departamentales, las

recomendaciones de control interno y las políticas de seguridad establecidas en este

documento.

2. El Departamento de Tecnologías de Información es el responsable de la seguridad de

acceso a los sistemas operativos (SO), sistemas de información (SI), bases de datos

(BD), y redes que operen en los equipos de cómputo institucionales.

3. Las jefaturas deben solicitar formalmente la apertura, modificación o cierre de las

cuentas de usuario (Active Directory o correo electrónico institucional).

4. El acceso a las computadoras, sistemas de información, impresoras en red, correo

electrónico, bases de datos; estará determinado por un usuario y una contraseña que

le será dada al usuario en el Departamento de TI. El funcionario podrá cambiar el

“password” o contraseña si el Departamento de Tecnologías de Información le permite

y capacita para hacerlo.

5. Las contraseñas de los usuarios deben tener alta o mediana seguridad no se deben

permitir contraseñas genéricas.

6. Se desactivarán o bloquearán las cuentas de usuario a aquellos funcionarios que no

laboren para el Ministerio. Los roles o privilegios se modificarán por solicitud de las

jefaturas departamentales o por decisión del Departamento de Tecnologías de

Información si se evidencia un riesgo para la seguridad de la información.

7. El Departamento de Recursos Humanos deberá notificar al Departamento de

Tecnologías de Información, toda vez que una persona suspenda temporalmente su

servicio para el MAG o traslado temporal a otra institución; para realizar las gestiones

pertinentes al usuario asignado al funcionario.



Políticas de seguridad de bases de datos

1. Todo acceso a las bases de datos del Ministerio debe contar con los mecanismos

adecuados y controlados, que garanticen su seguridad, su integridad y la

confidencialidad de la información almacenada.

2. El Departamento de TI velará porque toda base de datos que sea instalada,

cuente con los controles de seguridad que garanticen la confiabilidad de la

información.

3. Las jefaturas departamentales deberán solicitar formalmente el acceso a la

información de las bases de datos para los funcionarios a su cargo, indicando el nivel

de acceso con el que ingresaran a los sistemas.

4. Deberán de mantenerse y aplicarse sistemas de respaldos para todas las bases de

datos del Ministerio, con el fin de garantizar su conservación. Queda bajo la

responsabilidad del Administrador de la Base de Datos del Departamento de

Tecnologías de Información dichos respaldos.

5. El Departamento de Tecnologías de Información establecerá planes de recuperación

de la información de las bases de datos, para garantizar la continuidad del servicio que

se presta por medio de los sistemas de información.

6. Las dependencias, “dueñas” de la información, deberán participar junto con el

Departamento de Tecnologías de Información, para verificar si la información de los

respaldos o la restauración de la base de datos fue exitosa.

7. El Departamento de Tecnologías de Información implementará controles para que

todos los respaldos de información, se encuentren almacenados en medios externos

como cintas de respaldo, discos externos, CD´s o DVD´s.

Políticas de seguridad de acceso a sistemas operativos

1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del

personal técnico del Departamento de Tecnologías de Información.

2. En la activación de usuarios de sistemas operativos, se crearán identificadores de

usuario utilizando el estándar de la letra inicial del nombre seguida del primer apellido.

En caso de que se repitan dichos datos, es decir coincidan con 2 o más funcionarios, se

utilizará letra inicial del nombre, seguida del primer apellido y letra inicial del segundo

apellido.



3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el

número de intentos de ingreso fallidos: luego de tres intentos, deberá bloquearse la

cuenta del usuario y no permitir su ingreso al sistema. El funcionario deberá

comunicarse al Departamento de Tecnologías de Información, para solicitar el

desbloqueo de la cuenta.

Políticas de seguridad de acceso a sistemas de información (SI)

1. La activación y desactivación de usuarios de los sistemas de información estará a

cargo del personal técnico del Departamento de Tecnologías de Información.

2. Las jefaturas departamentales son las que deben definir los roles y privilegios que sus

funcionarios pueden tener para acceder a determinada aplicación, ya sea un sistema

interno (Por ejemplo, Expediente Personal, Sistema Financiero Contable, otros.) o

externo (Certificaciones, SIGAF del Ministerio de Hacienda, otros). La jefatura debe

realizar solicitud formal ante el Departamento de Tecnologías de Información para

que se apliquen estas asignaciones al personal a cargo.

3. Las jefaturas departamentales deberán solicitar al Departamento de Tecnologías de

Información cualquier cambio en los roles y privilegios de acceso a los Sistemas

Internos o Externos (como los del Ministerio de Hacienda), o el cese de privilegios a

dichas aplicaciones, tales son los casos de cambio de funciones de la persona traslado

a otra oficina, o decisión de suspender el privilegio.

4. En toda transacción que se realice en el SI se deberá grabar el nombre del usuario, la

fecha y la hora en que se realizó, para pistas de auditoría.

Políticas de seguridad de acceso a redes

1. El Departamento de Tecnologías de Información será la responsable de documentar y

aplicar procedimientos para nombrar los equipos. Se utilizará un nombre en letra

mayúscula compuesto así: la primera letra del nombre, seguida por el apellido, en caso

de ser necesario, le seguirá la letra inicial del segundo apellido. Se añadirá un guion

seguido de iniciales que representen las unidades organizacionales. Por ejemplo:

MMURILLO-TI. Aplicará otras reglas para nombrar los equipos portátiles,

minicomputadores y tabletas.

2. Los funcionarios, deben reportar al Departamento de Tecnologías de Información,

cuando se le asigna una PC a fin de que el equipo pueda ser identificado

correctamente dentro de la red institucional, en sede central del MAG y en las oficinas



regionales y agencias. Para ello utilizarán la Boleta de Traslado de Equipo, diseñada por

el Departamento de Control de Bienes y Servicios o cualquier otro medio documental

establecido para indicar un traslado de equipo. El mismo medio documental será

usado por la persona funcionaria para notificar al Departamento de Tecnologías de

Información, si un equipo a su nombre fue reasignado a otro empleado. Esto con el fin

de que el Departamento de Tecnologías de Información pueda renombrar los equipos

acorde a la persona responsable del activo y mantener actualizado el registro y estatus

de los equipos institucionales.

3. Para la utilización de las redes de datos, los nombres de usuario para las mismas se

crearán siguiendo el esquema de letra inicial del nombre seguido por el primer

apellido. En caso de repetirse con dos o más funcionarios, se usará además la letra

inicial del segundo apellido. Ejemplo: fruiz

4. El Departamento de Tecnologías de Información, asignará las claves de acceso a los

usuarios, además procederá conforme con los procedimientos para la activación y

desactivación de usuarios de las redes del Ministerio.

5. Para otorgarle acceso a las redes de datos, de acuerdo con las funciones que debe

desempeñar el usuario, la jefatura correspondiente deberá enviar la solicitud formal al

Departamento de Tecnologías de Información. Puede solicitarlo a través del Sistema

de Soporte Técnico vía internet.

6. Cada jefatura debe notificar al Departamento de Tecnologías de Información cuándo

un/a usuario/a tiene que tener acceso exclusivo o dedicado para un Sistema Externo

del Ministerio de Hacienda u otra instancia, a fin de reservar la IP para uso de la

persona. De igual forma, la jefatura debe notificar si se da un cambio en la situación

laboral que amerita que el uso exclusivo de la dirección IP, sea traslado a otro/a

funcionario, se congele o cese el uso exclusivo de la IP reservada.

Seguridad en la implementación y mantenimiento de software e infraestructura

tecnológica

1. El Departamento de Tecnologías de Información tiene establecidos tres ambientes:

área de desarrollo de aplicaciones, pruebas de las mismas y capacitación a los

usuarios, mantenimiento y ambiente de producción en el DTI.

2. El acceso a los programas fuente de los sistemas implementados, es solo para el

personal del Área de Informática.

Políticas para el uso de las redes de datos



1. El Departamento de Tecnologías de Información será la dependencia responsable de

la administración y uso de la red interna de datos.

2. Los funcionarios solicitarán asistencia al Departamento de Tecnologías de Información

para agregar un equipo a la red institucional, mediante los procedimientos ya

establecidos.

3. El Departamento de Tecnologías de Información garantizará el acceso controlado en la

red interna de datos a los funcionarios del Ministerio que así lo requieran.

4. Los usuarios accederán a la red de datos por medio de un código de acceso que les

será asignado en el Departamento de TI

5. El código de acceso a redes que se asigne será único y exclusivo para cada usuario, el

cual será responsable por su uso.

6. Todas las operaciones que se efectúen por medio de las redes internas serán

responsabilidad única del usuario al que se le asignó el código relacionado con las

mismas.

7. El Departamento de Tecnologías de Información monitoreará periódicamente los

accesos a la red interna mediante herramientas de seguridad y administración.

8. Solamente el personal de TI podrá manipular los dispositivos activos de la red:

conmutadores (switches), enrutadores o enrutadores (routers), dispositivos

inalámbricos, cableado, etc. El mal manejo de dichos dispositivos podría tipificarse

como falta leve o grave según sea el caso, y se aplicaría la sanción disciplinaria

correspondiente.

9. No se permitirá la instalación de puntos de acceso de redes inalámbricas con conexión

a la red del Ministerio sin la debida información y autorización del Departamento de

Tecnologías de Información. En caso de detección de un punto de acceso no

autorizado se procederá a su inmediata desconexión de la red Institucional.

10. No se permite el empleo de mecanismos para la manipulación de direcciones de red o

cualquier otro uso que pueda afectar la topología o a la estructura lógica de la red.

11. El Departamento de Tecnologías de Información solamente prestará apoyo a los

equipos institucionales.

12. Los equipos electrónicos de gestión e infraestructura de la red del MAG serán

instalados, configurados y mantenidos exclusivamente por el Departamento de

Tecnologías de Información.



13. Si el personal del MAG no acata las recomendaciones antes expuestas, será

especialmente considerado como infracción a las políticas del MAG.

Políticas para el acceso a servicios de Internet, correo electrónico y mensajería.

1. Los servicios de Internet y correo electrónico serán administrados por el

Departamento de Tecnologías de Información.

2. Para la comunicación oficial del Ministerio debe utilizarse la cuenta de correo

institucional.

3. El acceso a los servicios de Internet y correo electrónico estarán disponibles para todos

los usuarios del Ministerio, si las condiciones de infraestructura tecnológica y

administrativa lo permiten.

4. El uso de los servicios de Internet, correo electrónico y mensajería Lync, deberán ser

exclusivamente para apoyar y mejorar la calidad de las funciones administrativas y

técnicas.

5. El Departamento de Tecnologías de Información asignará las cuentas de correo de

acuerdo a las licencias disponibles. Se asignará con la prioridad establecida por la

Administración Superior.

6. Cuando una jefatura requiera la creación de un grupo o lista de distribución, para

enviar correos a varios destinatarios a la vez, debe realizar solicitud formal ante el

Departamento de Tecnologías de Información, justificando el motivo por el cual lo

requiere.

7. No está permitido facilitar u ofrecer las cuentas de correo a terceras personas. En este

punto también se debe acatar las normas sobre seguridad y confiabilidad de la

información

8. Se prohíbe a los funcionarios formar parte de cadenas de mensajes o SPAM, ya que

esto contribuye a la saturación de las redes de telecomunicación y facilita la

divulgación de su cuenta de correo y la proliferación de virus en la red.

9. Se prohíbe a los funcionarios que tengan acceso al servicio de correo electrónico abrir

mensajes de procedencia desconocida.

10. El funcionario que tenga acceso a servicios de correo electrónico institucional debe

evitar divulgar su cuenta a personas o entes desconocidos.



11. Ningún equipo que esté designado como servidor debe tener asociada una cuenta de

correo electrónica.

12. Los mensajes de correo electrónico deben ser considerados como documentos

formales y deben respetar todos los lineamientos referentes al uso inapropiado del

lenguaje.

13. Los funcionarios deben realizar revisiones periódicas de los mensajes almacenados con

el fin de no mantener información innecesaria.

14. Las jefaturas deberán notificar al Departamento de Tecnologías de Información

cuando se deba cerrar o inhabilitar una cuenta de correo electrónico.

15. El personal usuario debe atender a los avisos de actualización automática del

programa de detección de virus e informar al Departamento de Tecnologías de

Información, cuando la actualización no se realice satisfactoriamente.

16. Los valores de seguridad, de aceptación de cookies y los certificados de los

navegadores o buscadores (browser) no deberán ser cambiados, excepto por

indicaciones del Departamento de Tecnologías de Información.

17. Está prohibida la utilización abusiva del correo electrónico y de las listas o grupos de

distribución incluyendo la realización de prácticas tales como:

a. Si se requiere un envío masivo de correo se recomienda usar las listas de

distribución o usar el campo de "copia oculta" (Bcc ó Cco) para poner la lista

de destinatarios, o bien ponerse en contacto con el Departamento de


b. Actividades comerciales privadas:

i. Propagación de cartas encadenadas o participación en esquemas

piramidales o actividades similares.

ii. El insulto, la amenaza o la difamación a cualquier persona.

iii. Suscribirse a periódicos, revistas, semanarios, buscadores de parejas,

chats ni a ningún otro tipo de actividades o boletines electrónicos que

no sea el estrictamente relacionado con el área profesional de trabajo

del funcionario.

iv. Descargar archivos de música, programas, videos, pornografía y

cualquier otro tipo de información que no guarde estricta relación con

el área profesional del funcionario. El Departamento de Tecnologías de

Información procurará tomar las previsiones del caso para que se

bloquee por medio de software especializado, el acceso no autorizado

a los servicios antes mencionados.



18. Está prohibido la transmisión y/o, descarga de material obsceno o pornográfico, que

contenga amenazas o cualquier tipo de información que atente contra la moral o

buenas costumbres.

19. Los funcionarios del MAG, dispondrán de una hora diaria para el ingreso a páginas de

redes sociales y de entretenimiento como YouTube.

Políticas para uso de impresoras en red

1. El usuario que requiere utilizar las impresoras en red disponibles en el edificio Central,

deberán hacer la solitud respectiva en el Departamento de TI.

2. El Departamento de TI, le asignará una contraseña de acceso a las impresoras al cada

funcionario, por lo que queda bajo responsabilidad del usuario mantener bajo

seguridad dicho acceso.

3. Queda prohibido la impresión de archivos personales, ni de terceras personas.

4. El Departamento de TI, mensualmente hará entrega vía correo a las jefaturas

Departamentales el informe de impresión de sus funcionarios, para que se tomen las

medidas respectivas.



Políticas de responsabilidad y mantenimiento del hardware

1. El hardware que se encuentra en el área de servidores y los armarios de

comunicaciones es responsabilidad directa del personal del área de infraestructura del

Departamento de Tecnologías de Información, y velaran uso apropiado y cuidado.

2. Los otros equipos de cómputo quedan bajo la responsabilidad del usuario al que se

asignen. Estos tendrán la obligación de cuidarlos, mantenerlos limpios y velar por su

buen funcionamiento. En el caso de existir algún problema con el equipo deberán de

reportarlo inmediatamente al Departamento de Tecnologías de Información para que

se proceda a su revisión.

3. Los usuarios tienen el deber de informar sobre el rendimiento de cada equipo, para

que sea valorado y de ser necesario mejorado.

4. Las computadoras, impresoras y otros dispositivos del MAG serán sometidos a un

mantenimiento preventivo por lo menos una vez al año (salvo aquellas que se

encuentren en garantía), con la finalidad de aumentar su vida útil, mejorar el

rendimiento, detectar a tiempo posibles causas de fallas y determinar su necesidad de

mejora o reemplazo.

5. El mantenimiento preventivo del equipo de telecomunicaciones se realizará por lo

menos una vez al año, por el Encargado de Infraestructura, quien deberá establecer un

programa de trabajo y llevar los respectivos controles.

6. Es responsabilidad del Departamento de Tecnologías de Información hacer cumplir las

garantías respectivas de cada uno de los equipos; para tal razón se deberán respetar

los sellos de garantía que vienen adheridos a los equipos, y velar porque el usuario

final no los despegue en caso de que el proveedor utilice ese mecanismo.

7. Es responsabilidad del Departamento de Tecnologías de Información valorar la

necesidad de sustituir algún equipo cuando ya éste no garantice la funcionalidad y

operatividad adecuada.

8. Solamente se les dará el servicio de soporte técnico a los equipos computacionales

que pertenezcan a la institución. Dichos equipos deben poseer el patrimonio

respectivo y en el caso de que no cuente con patrimonio deberá presentar la

documentación respectiva del Departamento de Bienes y Servicios en la que se

compruebe que se encuentra bajo su tutela y que pertenece a la institución.

9. Los funcionarios que opten por la modalidad de Teletrabajo, no podrán solicitar ningún

servicio de soporte técnico al Departamento de TI, una vez se encuentre laborando

desde sus hogares.



Políticas sobre el uso de licencias de software

1. Según Decreto Ejecutivo Nº 30151-J del 01 de febrero de 2002, en su Artículo 1 se

indica: “Se ordena que todo el Gobierno Central se proponga diligentemente prevenir

y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las

disposiciones sobre derechos de autor que establece la Ley Nº 6683 y sus reformas…”

Por consiguiente, los programas que se utilizarán en los equipos del Ministerio tendrán

licencia, de lo contrario es ilegal y debe eliminarse de inmediato.

2. El Departamento de Tecnologías de Información dará la asesoría necesaria a los

funcionarios del MAG en el tema de licencias. Los usuarios deben asegurarse que

disponen de las licencias adecuadas al uso que hagan del respectivo software, ya sea

mediante licencias adquiridas de forma centralizada por el Ministerio (para software

de uso común), por la adquisición individual de las correspondientes licencias, o bien

por el uso de software libre. De no ser así, la responsabilidad recaerá totalmente sobre

el usuario.

3. El Departamento de Tecnologías de Información llevará un registro actualizado de los

equipos y las licencias vigentes en el Ministerio para informar a la Administración a

este respecto.

4. El Departamento de Tecnologías de Información dará de baja todos los equipos que

estén al margen de la ley, en lo que respecta al cumplimiento de la Ley de Derechos de

Autor, lo cual se hará en un plazo razonable, que será comunicado al responsable de la

dirección o Departamento respectivo.

5. La Dirección Administrativa y Financiera gestionará mediante los presupuestos

ordinarios y extraordinarios con cargo a los Centros de Asignación Presupuestaria, la

compra de licencias de “software” con la finalidad de que siempre el Ministerio se

mantenga al día con el uso de licencias. Esta función la hará mediante el concurso y

petición del Departamento de Tecnologías de Información.

6. El Departamento de Tecnologías de Información removerá cualquier programa de las

máquinas cuando no exista licencia, sin responsabilidad para ésta de los problemas

que ocasione directa o indirectamente. Llevará un registro de los programas instalados

ilegalmente, para que, ante la reincidencia de mantener programas instalados en

forma ilegal, se proceda a reportar el asunto al Departamento de Recursos Humanos o

ante las autoridades superiores, para aplicar la sanción que corresponda por

desobediencia según el Reglamento Interno del MAG, lo cual debe tipificarse como

falta grave. Para ello, el Departamento de Tecnologías de Información cuidará de no

violentar el derecho a la privacidad de las personas, solicitando previamente la

autorización al usuario para proceder con la remoción del programa ilegal.



7. Las licencias básicas para todo equipo son: el Sistema Operativo (“Windows”), paquete

de Oficina (“Office”) y el acceso a la red interna (CAL), así como el respectivo antivirus

(McAfee).

8. Los medios de instalación originales serán custodiados por el Departamento de


Políticas de instalación de Software

1. El Departamento de Tecnologías de Información es el responsable de la instalación de

los programas de software en cada una de las computadoras del Ministerio.

2. Queda completamente prohibido que los usuarios realicen instalaciones de cualquier

tipo de software en sus computadoras. De requerir un software específico debe

solicitarse al Departamento de Tecnologías de Información para que se valore la

necesidad de su instalación.

3. Todo software que se instale en las computadoras del MAG deberá contar con su

respectiva licencia y su instalación deberá ser autorizada por la jefatura del


4. Queda prohibida la instalación del software adquirido por el MAG en equipos que no

sean de su propiedad de la institución.

5. El personal del Departamento de Tecnologías de Información deberá mantener un

inventario de software y programas instalados en cada una de las computadoras. Este

inventario deberá revisarse y actualizarse una vez al año.

6. Para la administración y el manejo seguro de la información que se almacena en los

computadores del Ministerio y para evitar su utilización por personas no autorizadas,

se utilizarán los sistemas operativos que ofrezcan mayor seguridad.

Continuidad de los servicios de TI

El DTI deberá desarrollar e implementar un Sistema para la continuidad de los servicios de TI

(SCS), que permita el registro y la actualización de eventos que afecten los servicios, su

solución, su criticidad y su impacto, recursos, escalabilidad, procedimientos de recuperación y

responsables.

El acceso a la información por parte de terceros y a la contratación de servicios

prestados por éstos



1. El acceso a la información por parte de terceros, requiere de convenios o contratos

previamente establecidos, o de la solicitud formal del jerarca o jefatura para la

asignación de roles o privilegios que los faculten para la consulta controlada.

2. En la contratación de servicios a terceros se debe establecer cláusulas específicas

sobre la confidencialidad de la información.

Manejo de la documentación en el Departamento de Tecnologías de Información

1. El Departamento de Tecnologías de Información administra la documentación física y

electrónica, clasificándola por tipos documentales y queda disponible de acuerdo con

la tabla de plazos autorizada por el Archivo Institucional.

2. En lo que respecta a TI, se mantienen estándares de documentación de proyectos de

tecnología.

Políticas para la documentación y mantenimiento de manuales del Departamento de

Tecnologías de Información

1. Será política primordial del Departamento de Tecnologías de Información, documentar

formalmente (en papel o electrónica) todas las actividades que realice en el desarrollo

de los servicios que brinda a la Institución.

2. El Departamento de Tecnologías de Información mantendrá un archivo de gestión de

documentos, debidamente ordenado y clasificado para el registro y custodia de la

documentación administrativa, correspondencia y de actividades técnicas que

desarrolla. Mantendrá, como mínimo, dentro de sus archivos de gestión, las siguientes

documentaciones:

o Correspondencia interna mantenida con todas las dependencias del Ministerio

o Correspondencia con entidades externas

o Documentación de planeamiento estratégico de tecnologías de información

o Documentación de planes anuales operativos

o Documentación sobre solicitudes de servicio recibidas y satisfechas por el

Departamento

o Documentación de inventario de equipos de cómputo, periféricos y de

telecomunicaciones.

o Documentación de perfiles de usuarios de redes

o Documentación de perfiles de usuarios de bases de datos

o Documentación de inventario de software instalado en equipos

o Documentación relativa a adquisición de equipos de cómputo, periféricos

y de telecomunicaciones



o Documentación del mantenimiento correctivo de equipos de cómputo,

periféricos y telecomunicaciones

o Documentación de licencias de software adquiridas

o Documentación de proyectos formalmente desarrollados

o Documentación administrativa de los funcionarios del Departamento

3. El Departamento de Tecnologías de Información mantendrá en su archivo de gestión

un Compendio de Manuales que contendrá como mínimo:

o Manual de Políticas Institucionales de Tecnologías de Información en general

o Manual de Procesos y Procedimientos del Departamento de Tecnologías de

Información

o Planes de Contingencias de Tecnologías de Información

o Manuales de Sistemas de Información

4. El Departamento de Tecnologías de Información utilizará toda la documentación

formal definida en la organización para el desarrollo de trámites administrativos.

La terminación normal de contratos de TI, su rescisión o resolución

El DTI administra los contratos relacionados con TI, a través de los coordinadores; según

especialidad y afinidad, para llevar un control periódico y directo sobre la ejecución,

continuidad, rescisión o la resolución de los mimos.

Gestión de Proyectos

1. Los usuarios y/o patrocinadores de los proyectos de TI, deben liderar y administrar

sus proyectos, con la asesoría e incorporación del Departamento de Tecnologías de

Información para coordinarlos siguiendo la metodología de desarrollo de proyectos

de TI ya establecida.

2. Se mantiene la cartera de proyectos aprobada e incorporada al Plan Anual Estratégico.

3. El Departamento de Tecnologías de Información será responsable por la definición y

ejecución de los presupuestos que el Ministerio asigne en esta materia.

4. La administración central del MAG, sus direcciones nacionales y regionales brindarán

el apoyo logístico, material, presupuestario y los recursos humanos necesarios al

Departamento de Tecnologías de Información, para que pueda cumplir

adecuadamente sus funciones.



Cumplimiento de obligaciones relacionadas con la gestión de TI

El jerarca y los titulares subordinados deben observar el cumplimiento de las obligaciones

relacionadas con normativa, leyes, decretos, resoluciones y contratos de las tecnologías de

información. Por ejemplo, normativa emitida por la Contraloría General de la República (CGR),

a saber las Normas para el Sector Público, las Normas Técnicas de Tecnologías de Información

y Comunicación, las presentes normas, etc.



Planificación y Organización de TI

Planificación de las Tecnologías de Información

Marco Políticas para el planeamiento y administración de actividades

1. El Departamento de Tecnologías de Información contará con un Plan Anual

Estratégico con el cual se orientarán las actividades. Para la administración y el control

de sus proyectos, se utilizará preferiblemente un software de administración o en su

defecto, se utilizará alguna otra herramienta que contenga información de control.

2. Todo proyecto en materia de TI, deberá ser desarrollado bajo la metodología de

Administración y control de los proyectos de TI, utilizada en dicho Departamento.

Modelo de Arquitectura de Información

1. Se debe optimizar la integración, uso y estandarización de los sistemas de información.

2. Las jefaturas interesadas en adquirir un sistema o aplicación, deben presentar solicitud

formal ante el Departamento de Tecnologías de Información, siguiendo la metodología

ya establecida.

3. Las jefaturas departamentales no deben adquirir o implementar sistemas, (ya sea por

donación, práctica estudiantil, contrato a terceros), sin la debida aprobación del


4. Las aplicaciones adquiridas por el MAG deben ser compatible con la plataforma

tecnológica institucional (sistemas operativos, sistema de bases de datos, ambiente

web, etc.)

Infraestructura Tecnológica

1. Las dependencias deben asesorarse con el Departamento de Tecnologías de

Información, para la adquisición de infraestructura tecnológica.

2. Se deberá buscar la adquisición de infraestructura (red, software, hardware, servicios),

con la debida justificación y que esté alineada al plan estratégico de TI.



Independencia y recurso humano de la Función de TI

1. Actualmente, el Departamento de Tecnologías de Información del MAG, está ubicado

organizacionalmente dentro de la Dirección Administrativa Financiera y Oficialía

Mayor.

2. El Departamento en oficinas centrales se divide en 3 áreas: Infraestructura, Soporte y

Desarrollo.

3. El Área de Infraestructura tiene que ver los procesos de administración de redes, bases

de datos, sistemas en producción, portales web, gestión de la seguridad informática,

interoperabilidad de plataformas, plan de continuidad, gestión de los riesgos.

4. En el Área de Soporte, se da atención a usuarios, actividades de capacitación, aula

virtual, mesa de ayuda, gestión de la calidad, control de inventarios, control de

contratos, administración del riesgo, correo electrónico.

5. El Área de Desarrollo debe apoyar el desarrollo y mantenimiento de sistemas,

arquitectura informática, políticas y normas generales, metodologías, estrategias de

seguridad.



Implementación de las Tecnologías de Información

Consideraciones generales de la implementación de las


Políticas sobre el servicio que ofrece el Departamento de Tecnologías de

Información

1. El Departamento de Tecnologías de Información es un área de servicio para las

diferentes dependencias del Ministerio, en el desarrollo y la utilización de las

tecnologías de información, operando como un órgano asesor, promotor y facilitador.

2. El Departamento de Tecnologías de Información mantendrá un registro de los

servicios que ofrece a las dependencias del Ministerio y los informará a través de la

web. Entre los servicios se destacan: acceso a web privado y público, contrato de

terceros, capacitación, red, apoyo en formación virtual, soporte a la gestión de la

DNEA, soporte técnico, entre otros.

3. Los servicios ofrecidos por el Departamento de Tecnologías de Información, se

solicitarán formalmente y siguiendo los procedimientos que se emitan para ese fin; los

cuales se estarán comunicando durante el proceso de implementación.

4. El jerarca o área usuaria, según corresponda, debe indicar el respaldo claro y explícito

para los proyectos de TI. De acuerdo a la metodología establecida, debe aportar los

recursos necesarios para el desarrollo e implementación de los proyectos y asumir

responsabilidades, y aprobar formalmente la implementación realizada.

Políticas para la adquisición de nuevas tecnologías

1. Todos los procesos institucionales de adquisición de recursos informáticos, deben ser

valorados y aprobados previamente por el Departamento de Tecnologías de

Información.

2. Para la adquisición de nuevos recursos de hardware, software y otros dispositivos

tecnológicos, será política del Departamento de Tecnologías de Información

recomendar aquellos que ofrezcan calidad comprobada y sean referentes en el

mercado nacional.

3. Para el trámite de adquisición de nuevos recursos informáticos, el Departamento de

Tecnologías de Información asesorará y apoyará a la Proveeduría Institucional, en la



definición de las características tecnológicas y evaluación de ofertas mediante

recomendaciones técnicas.

4. Para la adquisición de nuevos recursos, el Departamento de Tecnologías de

Información se fundamentará en los reglamentos y normativas de compras definidos

para la Institución.

5. El Departamento de Tecnologías de Información velará porque los recursos

informáticos adquiridos sean enviados y utilizados por el mismo sitio en que surgió la

necesidad de compra.

Implementación de Software

En los proyectos relacionados con desarrollo de aplicaciones, deberá aplicarse una

metodología formal basada en el ciclo de vida de sistemas, para asegurar la adecuada

administración y desarrollo.

Políticas para el desarrollo interno de sistemas de información

1. El Departamento de Tecnologías de Información desarrollará los sistemas de

información que la organización requiera, de acuerdo a los recursos humanos y

tecnológicos que tenga a su disposición para este fin.

2. El desarrollo de aplicaciones o sistemas se hará bajo el concepto de tecnología web y

siguiendo el procedimientos para el desarrollo de sistemas.

3. Las solicitudes de nuevos sistemas de información, solicitadas por las diferentes

dependencias del Ministerio, serán evaluadas y aprobadas por el Departamento de

Tecnologías de Información de acuerdo con las prioridades que éstos determinen.

4. Las pruebas de los nuevos sistemas de información deberán hacerse en servidores y

ambiente de pruebas y con la utilización de bases de datos de prueba antes de ser

puestos en producción.

5. Ningún sistema será puesto en producción si no se cuenta con la debida aprobación

del stakeholder (patrocinador del proyecto) del sistema.



Políticas sobre mantenimiento de sistemas de información

1. Será considerado como mantenimiento de sistemas de información todas las acciones

que impliquen modificaciones, mejoras o adiciones a los sistemas de información, que

soliciten los usuarios de cualquier dependencia del Ministerio, una vez entren estos en

producción.

2. El personal del Departamento de Tecnologías de Información será la encargada de dar

el mantenimiento ordinario a los sistemas de información que se desarrollen en el

Ministerio.

3. El Departamento de Tecnologías de Información definirá el procedimiento y las

formalidades necesarias que orienten la forma en que serán desarrolladas las

actividades de mantenimiento de sistemas de información.

Contratación de terceros para la implementación y mantenimiento de

software e infraestructura

Políticas para soluciones de terceros

1. El Departamento de Tecnologías de Información podrá recurrir al desarrollo sistemas

de información por “outsourcing”, cuando no cuente con el recurso humano y/o

tecnológico necesario, para llevar a cabo los desarrollos de forma interna.

2. Las solicitudes de nuevos sistemas de información a desarrollar en la modalidad de

“outsourcing”, deberán ser formalmente presentadas por las Jefaturas, en forma

escrita e indicando en éstas los requerimientos generales por cubrir y la constancia de

la existencia de los fondos presupuestarios emitida por el Departamento Financiero.

Además, serán evaluados y aprobados por la Comisión Gerencial de Control Interno y

el Departamento de Tecnologías de Información, de acuerdo con las prioridades que la

Administración determine.

3. Para los proyectos de desarrollo de sistemas de información por “outsourcing”, deberá

establecerse un contrato formal entre el Ministerio y la empresa proveedora del

servicio, en donde se definan las condiciones de la contratación, el uso de los

programas fuente y la reutilización del sistema en el MAG.

4. El control y monitoreo del avance de proyectos de sistemas de información por

“outsourcing” estará a cargo del Departamento de Tecnologías de Información.



5. Para el desarrollo de proyectos de sistemas de información por “outsourcing”, deberán

existir uno o más funcionarios que cumplan las funciones de “contraparte” de la

Institución, quienes deberán ser preferiblemente profesionales del Departamento de

Tecnologías de Información y del área usuaria.

6. El Departamento de Tecnologías de Información estará pendiente que las empresas

contratadas para el desarrollo de sistemas de información, brinden la capacitación a

sus funcionarios en administración, uso y mantenimiento del nuevo sistema de

información, para minimizar la dependencia que se genere del MAG hacia la empresa.

7. Los sistemas de información desarrollados por empresas externas, deberán ser

entregados por éstas, de manera formal y debidamente documentados, incluyendo en

dicha documentación al menos: código fuente, el manual técnico del sistema de

información y el manual de los usuarios.

8. Los programas desarrollados o adquiridos externamente serán de uso exclusivo del

MAG, y no se permite el uso para funciones que no correspondan a las operaciones

normales del MAG.

9. Se deberá implementar un proceso de transferencia tecnológica para minimizar la

dependencia del ministerio de las empresas contratadas una vez que termina el

contrato, que faculte para que los funcionarios de TI absorban los conocimientos y

mantengan la solución operando cuando termina el contrato.



Prestación de servicios y mantenimiento

Consideraciones generales de la implementación de las


Definición y administración de acuerdos de servicio

1. El Departamento de Tecnologías de Información creará un registro de los servicios que

ofrece a las dependencias del Ministerio y los informará a través de la web. Entre los

servicios podrían estar; acceso a web privado y público, contrato de terceros,

capacitación, red, apoyo en formación virtual, soporte a la gestión de la DNEA, soporte

técnico, entre otros.

2. Para cada servicio el jerarca institucional y el Departamento de Tecnologías de

Información, documentarán sus atributos, definirán responsabilidades de las partes y

su sujeción a las condiciones establecidas y evaluarán su cumplimiento. Se deberá

tener claro qué es exactitud, oportunidad, confidencialidad, autenticidad, integridad y

disponibilidad.

Administración y operación de la plataforma tecnológica

1. El objetivo es mantener la plataforma tecnológica en óptimas condiciones y minimizar

el riesgo de fallas.

2. La administración debe establecer y documentar los procedimientos y

responsabilidades asociados con la operación de la plataforma y vigilar

constantemente la capacidad desempeño y uso, asegurando su correcta operación y

manejo de fallas

3. El Departamento de Tecnologías de Información debe identificar requerimientos

presentes y futuros y gestionar la adquisición de recursos de TI por contingencias,

cargas de trabajo, obsolescencia de la plataforma y tendencias tecnológicas.

4. El Departamento de Tecnologías de Información se encargará de realizar inventario

de hardware y software, y realizar las verificaciones correspondientes en forma

periódica.

5. El Área de Salud Ocupacional Institucional es la encargada de emitir las

recomendaciones para la adquisición de mobiliario ergonómico para uso de los

equipos de cómputo en armonía con la salud física del personal que los usa.



Políticas sobre inventario de equipos

1. El Departamento de Tecnologías de Información mantendrá un inventario del parque

computacional (hardware) con las características de cada uno de ellos, tanto de la

sede central como de las direcciones regionales y sus agencias.

2. El Departamento de Tecnologías de Información deberá revisar el inventario del

equipo por lo menos dos veces al año, realizando los cambios que sean necesarios.

Hará un informe a la Administración sobre las diferencias y/o deficiencias encontradas.

Políticas sobre la reparación de equipos

1. Todos los usuarios deben acatar el procedimiento que el Departamento de

Tecnologías de Información implemente para controlar los servicios de reparación y la

calidad de los mismos.

2. La obtención de fondos presupuestarios para la adquisición de repuestos y accesorios

será responsabilidad de la jefatura departamental.

3. El Departamento de Tecnologías de Información tendrá un control de las garantías de

los equipos adquiridos para hacer cumplir los compromisos contractuales. Los equipos

no cubiertos se procederán a ser reparados en el sitio mismo o en el taller.

4. En lo posible se formalizarán y se dará seguimiento a contratos de reparación y

mantenimiento de equipos, alquiler de impresoras y equipos, tanto de la Sede Central

del MAG, como de las oficinas regionales. El Departamento de Tecnologías de

Información, es el encargado de coordinar la realización efectiva del mantenimiento y

evaluar el cumplimiento y la calidad de los servicios brindados por las empresas

contratadas.

Políticas sobre inventario de software

1. El Departamento de Tecnologías de Información deberá mantener un inventario de

software y programas instalados en cada una de las computadoras. Este inventario

deberá revisarse y actualizarse dos veces al año. Ver políticas para instalación de

software.

2. El Departamento de Tecnologías de Información , es la dependencia designada por el

jerarca institucional, para que confeccione un informe anual de inventario de los

programas instalados en los equipos, el cual debe hacerlo llegar al Registro Nacional



de Derechos de Autor y Derechos Conexos a efectos de hacer constar que el Ministerio

cumple con la protección de los derechos de autor relativos a los programas de

cómputo, en observancia al Decreto de Legalización de Software en el Gobierno

Central, número 3015-J.

Administración de los datos

Políticas para la creación de Base de Datos

1. El Departamento de Tecnologías de Información será la encargada de diseñar física y

lógicamente las bases de datos, que utilizarán los sistemas de información que se

desarrollen internamente.

2. El Departamento de Tecnologías de Información permitirá la creación de bases de

datos a empresas contratadas para este fin o para el desarrollo de sistemas de

información, siempre que entreguen, en forma completa, toda la documentación

técnica de dichas bases de datos que permita su fácil comprensión.

3. En la creación de nuevas bases de datos se deberá generar la documentación

necesaria y suficiente, que permita comprender su estructura física y lógica, así como

su contenido.

4. En la definición de nomenclatura para las bases de datos, debe respetarse el Manual

de Estándares de bases de datos correspondiente utilizado por el Departamento de


5. El Departamento de Tecnologías de Información hará uso de una herramienta para el

modelaje de datos, creación y generación de base de datos, para lo cual debe

adquirirse la respectiva licencia y la capacitación para su manejo.

Políticas para la migración de Base de Datos

1. Toda migración de base de datos deberá ser realizada por encargado de las bases de

datos del Departamento de Tecnologías de información o personal externo del

ministerio que corresponda bajo la supervisión del Departamento de Tecnologías de

información.

2. Antes de cualquier proceso de migración se deberán realizar los respaldos respectivos,

así como realizar previamente una prueba de la migración en un servidor de pruebas,

para garantizar que el proceso de migración funciona correctamente.



3. En las actividades de migración de información a bases de datos, se deberá seguir el

procedimiento definido por el Departamento de Tecnologías de Información para

evitar atrasos y complicaciones, así como dejar documentado en una bitácora todo lo

realizado para futuras migraciones.

Políticas sobre la instalación de Base de Datos

1. Toda instalación de base de datos deberá ser realizada por el encargado de las bases

de datos del Departamento de Tecnologías de Información, o en su defecto por

personal de empresas contratadas para estos efectos, bajo la supervisión de


2. Antes de cualquier instalación deberá realizarse los respaldos respectivos para evitar

accidentes y garantizar la recuperación de la base de datos.

3. Para la instalación se deberá seguir el procedimiento definido por el Departamento de

Tecnologías de Información para prevenir que se den atrasos o complicaciones, así

como dejar documentado en una bitácora todo lo realizado.

Políticas sobre administración y mantenimiento de bases de datos

1. Todo mantenimiento a las bases de datos deberá ser realizado por encargado de las

bases de datos de TI interno. En el caso de bases de datos que darán mantenimiento

profesionales externos, deberán ser supervisados por el profesional responsable de

esa tarea del Departamento de Tecnologías de Información.

2. Antes de cualquier proceso de mantenimiento a la base de datos, se deberán realizar

los respaldos respectivos para estar prevenidos contra cualquier accidente que se

pudiera presentar.

3. Todo cambio o ajuste hecho en el proceso de mantenimiento, se deberá dejar

documentado en una bitácora para efectos de control y seguimiento.



Políticas de tiempos de almacenamiento de información en bases de datos

1. El Departamento de Tecnologías de Información deberá garantizar la conservación

permanente de toda la información almacenada en las bases de datos de los

servidores, que esté directa o indirectamente relacionada con las actividades del

Ministerio.

2. La información deberá ser conservada durante el período que se defina en la tabla de

plazos de conservación de la oficina del Archivo Central de la Institución.



Seguimiento a las políticas y normas

1. La organización debe definir un marco de referencia y un proceso de seguimiento,

definiendo alcance, metodología y los mecanismos para vigilar la gestión de TI.

2. El jerarca debe establecer y mantener el sistema de control interno asociado a la

gestión de las TIs.

3. La Auditoría Interna debe orientarse a coadyuvar, de conformidad con sus

competencias, al control interno sobre el uso de las TIs, en miras a garantizar que se

cumplen los objetivos relacionados con las mismas.



Glosario

Activos informáticos: Véase “Recursos informáticos”

Acuerdos de confidencialidad: Convenio suscrito entre la entidad y sus funcionarios, o bien,

entre instituciones que comparten datos o sistemas, para garantizar el manejo discreto de la

información. También se utiliza el concepto “cláusulas de confidencialidad”, que son aquellas

que imponen una obligación negativa: de no hacer o de abstenerse; es decir, de no utilizar la

información recibida con fines distintos a los estipulados. (Véanse los artículos 71 del Código

de Trabajo)

Acuerdos de servicio: Los acuerdos de servicios, mejor conocidos como convenios o acuerdos

de nivel de servicio (“SLA’s” por sus siglas en inglés de “Service Level Agreement”) son

contratos escritos, formales, desarrollados conjuntamente por el proveedor del servicio de TI y

los usuarios respectivos, en los que se define, en términos cuantitativos y cualitativos, el

servicio que brindará la dependencia responsable de TI y las responsabilidades de la

contraparte beneficiada por dichos servicios.

Ambiente de desarrollo: Conjunto de componentes de hardware y software donde se

efectúan los procesos de construcción, mantenimiento (v.gr. ajustes, cambios y correcciones) y

pruebas de sistemas de información.

Ambiente de producción: Conjunto de componentes de hardware y software donde se

efectúan los procesos normales de procesamiento de datos, con sistemas e información reales.

Base de datos: Colección de datos almacenados en un computador, los cuales pueden ser

accedidos de diversas formas para apoyar los sistemas de información de la organización.

Calidad: Propiedad o conjunto de propiedades inherentes a algo, que permiten juzgar su valor.

/ Conjunto de características que posee un producto o servicio obtenidos en un sistema

productivo, así como su capacidad de satisfacción de los requerimientos del usuario.

Confidencialidad de la información: Protección de información sensible contra divulgación no

autorizada.

Contingencia: Riesgo que afecta la continuidad de los servicios y operaciones.

Continuidad de los servicios y operaciones: Implica la prevención, mitigación de las

interrupciones operacionales y la recuperación de las operaciones y servicios.

Contraseñas: Véase “password”.

Conversión de datos: Proceso mediante el cual se cambia el formato de los datos.

Desarrollo: Etapa del ciclo de vida del desarrollo de sistemas que implica la construcción de las

aplicaciones.



Disponibilidad de la información: Se vincula con el hecho de que la información se encuentre

disponible (v.gr.utilizable) cuando la necesite un proceso de la organización en el presente y en

el futuro. También se asocia con la protección de los recursos necesarios y las capacidades

asociadas. Implica que se cuente con la información necesaria en el momento en que la

organización la requiere.

Efectividad de la información: Que la información sea cierta, oportuna, relevante y pertinente

para la organización.

Eficiencia: Provisión de información efectiva a la organización mediante el uso óptimo (el más

productivo y económico) de los recursos.

Función de TI: Unidad organizacional o conjunto de componentes organizacionales

responsable de los principales procesos relacionados con la gestión de las tecnologías de

información en apoyo a la gestión de la organización.

Gestión de las TI: Conjunto de acciones fundamentadas en políticas institucionales que, de una

manera global, intentan dirigir la gestión de las TI hacia el logro de los objetivos de la

organización. Para ello se procura, en principio, la alineación entre los objetivos de TI y los de

la organización, el balance óptimo entre las necesidades de TI de la organización y las

oportunidades que sobre ello existen, la maximización de los beneficios y el uso responsable

de los recursos, la administración adecuada de los riesgos y el valor agregado en la

implementación de dichas TI. Tales acciones se relacionan con los procesos (planificación,

organización, implementación, mantenimiento, entrega, soporte y seguimiento), recursos

tecnológicos (personas, sistemas, tecnologías, instalaciones y datos), y con el logro de los

criterios de fidelidad, calidad y seguridad de la información. También se entiende como

“Gobernabilidad de TI”.

Hardware: Todos los componentes electrónicos, eléctricos y mecánicos que integran una

computadora, en oposición a los programas que se escriben para ella y la controlan (software).

Información: Conjunto de datos que han sido capturados y procesados, que se encuentran

organizados y que tienen el potencial de confirmar o cambiar el entendimiento sobre algo.

Infraestructura tecnológica: Conjunto de componentes de hardware e instalaciones en los que

se soportan los sistemas de información de la organización.

Instalaciones: Edificaciones y sus aditamentos utilizados para alojar los recursos informáticos.

Integridad: Precisión y suficiencia de la información, así como su validez de acuerdo con los

valores y expectativas del negocio.

Jerarca: Superior jerárquico, unipersonal o colegiado del órgano o ente quien ejerce la máxima

autoridad.

Marco de seguridad de la información: Conjunto de componentes asociados a la gestión de la

seguridad dentro de los cuales cuentan, entre otros: Principios y términos definidos para un

uso uniforme en la organización; un sistema de gestión que implica la definición de



actividades, productos y responsables del proceso de definición, implementación y

seguimiento de acciones para la seguridad de la información; el conjunto de controles; las

guías de implementación; métricas para seguimiento y la consideración de riesgos.

Menor Privilegio: Principio utilizado para la asignación de perfiles de usuario según el cual a

éste se le deben asignar, por defecto, únicamente los permisos estrictamente necesarios para

la realización de sus labores.

Migración: Proceso de traslado de datos o sistemas entre plataformas o entre sistemas.

Modelo de arquitectura de información: Véase "Modelo de Información".

Modelo de información Representación de los procesos, sistemas y datos, y sus

interrelaciones, mediante los cuales fluye toda la información organizacional.

No negación: Condición o atributo que tiene una transacción informática que permite que las

partes relacionadas con ella no puedan aducir que la misma transacción no se realizó o que no

se realizó en forma completa, correcta u oportuna.

Necesidad de saber: Principio utilizado para la definición de perfiles de usuario según el cual a

éste se le deben asignar los permisos estrictamente necesarios para tener acceso a aquella

información que resulte imprescindible para la realización de su trabajo.

Pistas de auditoría: Información que se registra como parte de la ejecución de una aplicación o

sistema de información y que puede ser utilizada posteriormente para detectar incidencias o

fallos. Esta información puede estar constituida por atributos como: la fecha de creación,

última modificación o eliminación de un registro, los datos del responsable de dichos cambios

o cualquier otro dato relevante que permita dar seguimiento a las transacciones u operaciones

efectuadas. Las pistas de auditoría permiten el rastreo de datos y procesos; pueden aplicarse

progresivamente (de los datos fuente hacia los resultados), o bien regresivamente (de los

resultados hacia los datos fuente).

Plataforma tecnológica: Término que resume los componentes de hardware y software

(software de base, utilitarios y software de aplicación) utilizados en la organización.

Prestación de servicios de TI: Entrega o prestación eficaz de los servicios de TI requeridos por

la organización, que comprenden desde las operaciones tradicionales sobre aspectos de

seguridad y continuidad, hasta la capacitación. Para prestar los servicios, debe establecerse los

procesos de soporte necesarios. Como parte de esta prestación, se incluye el procesamiento

real de los datos por los sistemas de aplicación, a menudo clasificados como controles de

aplicaciones.

Propiedad de la información: Tiene la propiedad de la información la unidad responsable o

que puede disponer sobre dicha información.

Recursos de TI: Aplicaciones, información, infraestructura (tecnología e instalaciones) y

personas que interactúan en un ambiente de TI de una organización.



Recursos informáticos: Véase “recursos de TI”.

Seguimiento de las TI: Evaluación regular de todos los procesos de TI a medida que transcurre

el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. Es

parte de la vigilancia ejercida por la función gerencial sobre los procesos de control de la

organización y la garantía independiente provista por la auditoría interna y externa u obtenida

de fuentes alternativas.

Seguridad: Conjunto de controles para promover la confidencialidad, integridad y

disponibilidad de la información.

Seguridad física: Protección física del hardware, software, instalaciones y personal relacionado

con los sistemas de información.

Servicios prestados por terceros: Servicios recibidos de una empresa externa a la organización.

Por lo general, requiere de una contraparte interna de la organización que garantice que el

producto desarrollado cumple con los estándares establecidos por ésta. También es conocido

como “outsourcing”.

Software: Los programas y documentación que los soporta que permiten y que facilitan el uso

de la computadora. El software controla la operación del hardware.

Software de aplicación: Programa de computadora con el que se automatiza un proceso de la

organización y que principalmente está diseñado para usuarios finales. También conocido

como sistemas de aplicación.

Software de base: También conocido como software de sistemas que es la colección de

programas de computadora usados en el diseño, procesamiento y control de todas las

aplicaciones, los programas y rutinas de procesamiento que controlan el hardware de

computadora. Incluye el sistema operativo y los programas utilitarios.

Stakeholder: es una palabra del inglés que, en el ámbito empresarial, significa ‘interesado’ o

‘parte interesada’, y que se refiere a todas aquellas personas u organizaciones afectadas por

las actividades y las decisiones de una empresa.

Tecnologías de información (TI): Conjunto de tecnologías dedicadas al manejo de la

información organizacional.

Término genérico que incluye los recursos de: información, software, infraestructura y

personas relacionadas.

departamento de tecnologías de información mag/nomas y politicas generales de ti... ·...

Documents