MANUAL DE PROCESOS Y PROCEDIMIENTOS DE TECNOLOGIAS DE

LA INFORMACION Y LA COMUNICACIONES

PARTIDO CENTRO DEMOCRATICO

1. INTRODUCCION

Buscando optimizar el manejo de la información, la efectividad en la toma de decisiones y

facilitar la operación y administración de Tecnologías de la Información y las
comunicaciones del Centro Democrático, se presenta a la Dirección el siguiente documento
que contiene las políticas, subprocesos y procedimientos para la “Gestión de Tecnología de
Información”.

El presente documento se encuentra asociado al proceso de Gestión de Tecnologías de la

Información, brindando los elementos de referencia necesarios que facilitan la orientación
y actuación de todos los trabajadores de Centro Democrático en lo que tiene que ver con
dicha actividad.

En este orden de ideas y bajo el entendido de que las políticas, subprocesos y

procedimientos están en continua evolución, la Subcoordinación de Sistemas tiene la
responsabilidad de crear los mecanismos de actualización y divulgación apropiados que
permitan publicar y desarrollar estos lineamientos a través de reglas de negocio,
procedimientos e instructivos.

2. MAPA DE PROCESOS
 3. CARACTERIZACION DEL PROCESO

a) OBJETIVO
Establecer los Lineamientos Asociados al Proceso Gestión de Tecnologías de la Información,
con el propósito de guiar la toma de decisiones en el marco de tecnología de información
(TI en este documento) y la optimización y aprovechamiento de sus recursos.

b) ALCANCE

El presente manual aplica para los Subprocesos de primer y segundo nivel del Proceso
Gestión de Tecnologías de la Información. Inicia con la definición de las políticas del Proceso
y termina con la definición de los lineamientos y procedimientos aplicables a los respectivos
subprocesos.

4. DEFINICIONES
Acuerdo de Nivel de Servicio (ANS): Acuerdo escrito entre TI y el Cliente de TI, en el que se
define: el servicio o servicios a prestar, el alcance, las características y especificaciones del
servicio, los niveles de servicio a ofrecer (disponibilidad, continuidad, soporte, etc.),
información de costos (cargos o transferencia), responsabilidades de las partes, entre otras.

Catálogo de servicios: Es una descripción no técnica de los diferentes servicios de TI que se

le ofrecen a los clientes y usuarios. Este Catálogo contiene la definición de cada uno de los
servicios, sus atributos, características y niveles de servicio básicos que se ofrecen. El
catálogo de servicios se utiliza como guía para orientar y dirigir a los clientes.

Cliente de TI: Es el responsable de un determinado proceso o área de negocio que solicita

servicios o hace requerimientos a TI y dispone del presupuesto para cubrir los costos de
este. Es el Servidor competente - Director, Subdirector o Gerente dueño y responsable de
tomar decisiones de un macro proceso impactado por el servicio / solución de TI y que
cuenta con la capacidad de asignar presupuesto para su ejecución.

Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgación de

información a personas o sistemas no autorizados.

Continuidad de tecnología de información (CTI): Habilidad para satisfacer y exceder las

expectativas del cliente, a través de servicios confiables, con el mínimo número de
interrupciones bajo Acuerdos de Niveles de Servicio (ANS).
Continuidad de negocio (CN): Capacidad de una organización para prevenir, atender y
restaurar las funciones críticas del negocio ante un evento, de tal forma que continúe, sin
importar las circunstancias. Fuente: ICONTEC - GTC176: 2008.

Disponibilidad: La disponibilidad es la característica, cualidad o condición de la información

de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos
o aplicaciones. En el caso de los sistemas informáticos utilizados para almacenar y procesar
la información, los controles de seguridad utilizados para protegerla, y los canales de
comunicación protegidos que se utilizan para acceder a ella deben estar funcionando
correctamente.

Disponibilidad del servicio de TI: Habilidad para mantener funcionando durante el máximo
tiempo posible y sin interrupciones un servicio de TI. El tiempo de duración del servicio debe
definirse de acuerdo con su utilización. Una alta disponibilidad significa que el servicio de TI
está continuamente disponible para el Negocio - Cliente porque hay pocos fallos y el servicio
de recuperación es veloz. En un periodo dado, es el tiempo durante el cual el Servicio estuvo
disponible para ser utilizado por los usuarios. Es la diferencia entre el Tiempo Acordado de
Servicio (TAS) menos el Tiempo total de Interrupción del Servicio (TTI).

Incidente: Cualquier evento que no forma parte de la operación estándar de un servicio y

que causa, o puede causar, una interrupción o una reducción de calidad de este.

Infraestructura informática: Son los componentes de hardware (servidores, computadores

de escritorio, personales, enrutadores, cables de red, entre otros), software (básico,
específico, corporativo o departamental), bases de datos y aplicaciones que en forma
conjunta e integrada procesan datos y producen resultados que generan información y con
base en ella se toman decisiones.

Integridad: Para la Seguridad de TI, la integridad es la propiedad que busca mantener los
datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases
de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso
(por accidente o con mala intención) modifica o borra los datos importantes que son parte
de la información.

Lineamiento: Norma interna con características generales mediante la cual se instrumenta

la política, se establecen los límites dentro de los que han de aplicarse. Es decir, los
lineamientos son instrucciones sobre la forma en que debe instrumentarse una política. Los
lineamientos se definen para los procesos o elementos del sistema de gestión. De esta
manera cada política debe incluir varios lineamientos para efectos de una mejor
comprensión de esta.

Mesa de servicios: Es el punto único de contacto entre la organización informática y los

clientes y usuarios de TI. Aquí se registran y se hace el seguimiento de los incidentes,
problemas, cambios y requerimientos y se hace el monitoreo y el escalamiento con base en
los acuerdos operativos (OLA) y los acuerdos de niveles de servicio (ANS). Además, está
encargada de mantener informados a los clientes y usuarios sobre el estado y avance de sus
requerimientos.

Nivel de servicio de TI: Es un valor que expresa las condiciones o atributos deseables y
esperados por el Cliente en el comportamiento de un servicio. Sirve para monitorear la
entrega del servicio y medir la satisfacción del Cliente. Es un cualificador y es lo que
realmente percibe el cliente y por lo que paga. El nivel de servicio cubre: el indicador
(expresión que permite medir el comportamiento de un proceso o de un servicio) y la meta
(resultado que se debe lograr).

Área de Servicios Corporativos: Es el Área responsable del proceso de Gestión de TI. En el

caso del Centro Democrático, corresponde a la Subcoordinación de Sistemas.

Política, lineamientos y reglas de negocio de tecnología de Información: Son el conjunto

de directrices generales que definen el marco de actuación en lo referente a la
administración y evolución de las TI, así como en las relaciones con los usuarios en el uso
de los recursos informáticos en la realización de sus funciones.

Repositorio (CMDB): Es la Base de Datos de Configuración que mantiene la información de

los componentes de infraestructura (Ítem de Configuración - IC) y sus relaciones.

Seguridad de TI: La Seguridad de TI tiene como fin la protección de la información y de los

sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no
autorizada. La correcta Gestión de la Seguridad de TI busca establecer y mantener
programas, controles, que tengan como finalidad conservar la confidencialidad, integridad
y disponibilidad de la información.

Seguridad informática: Es la protección exclusiva de las plataformas informáticas. Son todas

aquellas acciones encaminadas a preservar la confidencialidad, integridad y disponibilidad
de la información en la infraestructura de TI. Se enfoca primordialmente en herramientas,
tecnología y servicios ofrecidos por la organización informática.
Servicios de TI: Es la forma como se atiende una necesidad del Cliente. Es un paquete o
conjunto de componentes de hardware, software, sistemas de información, procesos,
grupos de soporte y proveedores que se integran para apoyar los procesos de negocio, su
operación y crecimiento. Es el resultado de la interrelación de los procesos, la gente y la
infraestructura tecnológica, que se presta bajo condiciones estándares o especiales para
satisfacer las necesidades del Cliente de TI o del negocio.

Tecnología de información (TI): Se define como el conjunto de procesos informáticos, gente

especializada e infraestructura tecnológica necesaria y con un amplio grado de integración
de sus componentes que maximizan la prestación de los servicios para satisfacer los
requerimientos del negocio. Sigla en español TI “Tecnología de la Información”. Sigla en
inglés IT “Information Technology”.

5. MARCOS DE REFERENCIA

a) Ciclo PHVA
El ciclo PHVA de mejora continua es una herramienta de gestión presentada en los años 50
por el estadístico estadounidense Edward Deming.

Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las iniciales de las
palabras Planificar, Hacer, Verificar y Actuar. Cada uno de estos 4 conceptos corresponde a
una fase o etapa del ciclo:

Planificar: En la etapa de planificación se establecen objetivos y se identifican los procesos

necesarios para lograr unos determinados resultados de acuerdo con las políticas de la
organización. En esta etapa se determinan también los parámetros de medición que se van
a utilizar para controlar y seguir el proceso.

Hacer: Consiste en la implementación de los cambios o acciones necesarias para lograr las
mejoras planteadas. Con el objeto de ganar en eficacia y poder corregir fácilmente posibles
errores en la ejecución, normalmente se desarrolla un plan piloto a modo de prueba o
testeo.

Verificar: Una vez se ha puesto en marcha el plan de mejoras, se establece un periodo de

prueba para medir y valorar la efectividad de los cambios. Se trata de una fase de regulación
y ajuste.

Actuar: Realizadas las mediciones, en el caso de que los resultados no se ajusten a las
expectativas y objetivos predefinidos, se realizan las correcciones y modificaciones
necesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar
continuamente el desarrollo de los procesos.

b) COBIT
Conjunto de mejores prácticas para el manejo de información creado por la Asociación para
la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Administración
de las Tecnologías de la Información (ITGI). Cobit 5 provee un Framework de Gobierno y
Gestión de TI para las empresas.

COBIT es un marco de referencia para la dirección de TI, así como también de herramientas
de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control,
cuestiones técnicas y los riesgos del negocio. COBIT permite el desarrollo de políticas claras
y buenas prácticas para el control de TI en las organizaciones. Enfatiza el cumplimiento
normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su
alineación y simplifica la implementación del marco de referencia de COBIT.

c) ITIL
Information Technology Infraestructure Library (ITIL), es una metodología que se basa en la
calidad de servicio y el desarrollo eficaz y eficiente de los procesos que cubren las
actividades más importantes de las organizaciones en sus Sistemas de Información y
Tecnologías de Información.

6. ACTIVIDADES PRINCIPALES DENTRO DEL CICLO PHVA

a) PLANEAR
i) Definir estrategia TIC: Realizar diagnóstico de las necesidades relacionadas con
las tecnologías de la información.
Identificar problemáticas y oportunidades de mejora relacionadas con la
información que se procesa en la entidad.
Determinar los requerimientos de generación de información Identificar las
necesidades de infraestructura física y tecnológica requerida para el adecuado
control de la información.
ii) Definir lineamientos para la administración de la información: Definir los
lineamientos que permitan guardar la debida confidencialidad, integridad y
disponibilidad de la información.
 Generar políticas, controles de seguridad, tecnologías y procedimientos que
ayuden a proteger y salvaguardar tanto la información como los sistemas que la
almacenan y administran.

b) HACER
i) Ejecutar y controlar los proyectos relacionados con tecnología de la información
y las comunicaciones
ii) Coordinar los servicios de mantenimiento y desarrollo de TIC: Administrar la
infraestructura tecnológica sobre la cual se soportan los sistemas de información
del Centro Democrático. (Servidores, Redes y Bases de Datos).
iii) Prestar soporte técnico: Atender los requerimientos de soporte técnico en
materia tecnológica a los usuarios de la entidad.
iv) Gestionar la seguridad informática: Implementación de políticas de seguridad.
Control de accesos a las plataformas informáticas
Creación, modificación o cancelación de usuarios y privilegios
Copias de respaldo backup
Reportes y gestión de incidentes de seguridad informática
Recuperación en caso de interrupción del servicio

c) VERIFICAR
i) Verificar el cumplimiento de los lineamientos para el control de las TIC: Aplicar
mecanismos de seguimiento al cumplimiento de las políticas definidas para la
administración de la información en la entidad.
ii) Evaluación del proceso: Evaluar resultados del proceso
Realizar seguimiento a la ejecución de proyectos
Generar seguimiento a planes de acción y demás herramientas de seguimiento
y control.

d) ACTUAR
i) Generar mejoras al proceso: Generar mejoras a partir del análisis de los
resultados arrojados por la verificación de cumplimiento de lineamientos para
el control de la información y del ejercicio auditor, entre otros.
 7. POLITICAS ASOCIADAS AL PROCESO DE GESTION DE TECNOLOGIAS
DE LA INFORMACION Y LAS COMUNICACIONES

a) Infraestructura de Hardware (equipos, dispositivos, aparatos).

b) Infraestructura de Software
c) Seguridad del Área de Informática
d) Custodia y tenencia de activos Informáticos
e) Traslado de Activos Informáticos fuera del Centro Democrático
f) Uso adecuado del correo electrónico
g) Robo o perdida de los equipos
h) Soporte técnico a los equipos asignados
i) Plan de Contingencia
j) Asignación de Usuarios
k) Seguridad de la Información
l) Manejo de Impresoras
m) Acceso a Internet

8. SUBPROCESOS Y PROCEDIMIENTOS

ESTRATEGIA DEL SERVICIO

o Gestión de la Demanda (nuevos requerimientos)

DISEÑO DEL SERVICIO

o Gestión de Niveles de Servicio (ANS)
o Gestión de la Disponibilidad
o Gestión de la Seguridad de la información
o Gestión de Proveedores
o Gestión de la Capacidad
o Gestión de la Continuidad del servicio de TI

TRANSICIÓN DEL SERVICIO

o Gestión de Cambios
o Gestión de la Configuración y Activos del Servicio
o Gestión de Entregas y Despliegues
o Validación y pruebas

OPERACIÓN DEL SERVICIO

o Gestión de Eventos
o Gestión de Incidencias
o Gestión de Problemas
o Gestión de Acceso a los Servicios TI