ANEXO 14 REQUERIMIENTOS DE OPERACIÓN FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE PROGRAMA AGENDA DE CONECTIVIDAD

Transcripción

1 ANEXO 14 REQUERIMIENTOS DE OPERACIÓN FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE PROGRAMA AGENDA DE CONECTIVIDAD CONVENIO INTERADMINISTRATIVO No LICITACIÓN PÚBLICA LP OPERACIÓN INTEGRAL DE LAS SOLUCIONES TECNOLÓGICAS DE GOBIERNO EN LÍNEA, LA PLATAFORMA DE INTEROPERABILIDAD Y LA INFRAESTRUCTURA Y SERVICIOS ASOCIADOS A LA INTRANET GUBERNAMENTAL BOGOTÁ D.C., MARZO DE 2011

2 TABLA DE CONTENIDO 1. ALCANCE DE LA OPERACIÓN 2. MODELO DE OPERACIÓN Y GESTIÓN DE SERVICIOS 2.1. APOYO A LA OPERACIÓN 2.2. ATENCIÓN AL CLIENTE ATENCIÓN A CIUDADANOS ATENCIÓN A ENTIDADES 2.3 CALIDAD DEL SERVICIO 3. PLAN DE EJECUCIÓN 3.1. PREPARACIÓN PARA LA MIGRACIÓN Y OPERACIÓN 3.2. EMPALME Y MIGRACIÓN 3.3. OPERACIÓN 3.4. TRANSICIÓN Y ENTREGA 4.1 REQUISITOS GENERALES 4.2 REQUERIMIENTOS POLÍTICA DE SEGURIDAD 4.3 REQUERIMIENTOS ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 4.4 REQUERIMIENTOS GESTIÓN DE ACTIVOS 4.5 REQUERIMIENTOS SEGURIDAD DE LOS RECURSOS HUMANOS 4.6 REQUERIMIENTOS SEGURIDAD FÍSICA Y DEL ENTORNO 4.7 REQUERIMIENTOS GESTIÓN DE COMUNICACIONES Y OPERACIONES 4.8 REQUERIMIENTOS CONTROL DE ACCESO 4.9 REQUERIMIENTOS ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 4.10 REQUERIMIENTOS GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN 4.11 REQUERIMIENTOS GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 4.12 REQUERIMIENTOS CUMPLIMIENTO 5. REQUERIMIENTOS GENERALES 5.1. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS A LA RED DE ALTA VELOCIDAD DEL ESTADO COLOMBIANO RAVEC 5.2. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS AL CENTRO DE DATOS CD ANEXO 14 LP Página 2 de 70

3 5.3. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS AL CENTRO DE CONTACTO CIUDADANO CCC 5.4. OPERAR, ADMINISTRAR, MANTENER Y SOPORTAR LAS SOLUCIONES DE GOBIERNO EN LÍNEA A CARGO DEL PROGRAMA TANTO PARA LAS SOLUCIONES DE LA PLATAFORMA DE INTEROPERABILIDAD COMO PARA LAS DE PORTALES DE ACCESO, SOLUCIONES TRANSVERSALES Y SOLUCIONES SECTORIALES 6. ESPECIFICACIONES TÉCNICAS 6.1 RED DE ALTA VELOCIDAD DEL ESTADO COLOMBIANO RAVEC 6.2 CENTRO DE DATOS CD CENTRO ALTERNO DE DATOS 6.3 CENTRO DE CONTACTO CIUDADANO CCC 6.4 ADMINISTRACIÓN Y MANTENIMIENTO DE SOLUCIONES ANEXO 14 LP Página 3 de 70

4 1. ALCANCE DE LA OPERACIÓN Las actividades para la Operación integral de las soluciones tecnológicas de Gobierno en línea, la plataforma de interoperabilidad y la infraestructura y servicios asociados a la Intranet Gubernamental, se desarrollarán de acuerdo a las siguientes Metas y esquemas de cofinanciación: Componente Actividad Metas de la actividad Esquema de cofinanciación 2011: Hasta 120 entidades conectadas y un enlace de por lo : El 100% del valor de Proveer, operar, mantener menos 30 Mbps a la red RENATA con disponibilidad 99.7 los enlaces de las entidades y soportar la infraestructura 2012: Hasta 130 entidades conectadas y un enlace de por lo conectadas será cubierto por el tecnológica y los servicios menos 30 Mbps a la red RENATA con disponibilidad 99.7 Fondo de Tecnologías de la básicos asociados a la Red 2013: Hasta 140 entidades conectadas y un enlace de por lo Información y las Comunicaciones. de Alta Velocidad menos 30 Mbps a la red RENATA con disponibilidad 99.7 Los enlaces que superen los 10Mbps deben ser cubiertos por la entidad que requiera el servicio. Proveer, operar, mantener y soportar la infraestructura tecnológica y los servicios básicos asociados al Centro de Datos : Se alojarán las siguientes soluciones a cargo del Programa en el centro de datos y las demás que se requieran en la ejecución del contrato que estén a cargo del programa o del Ministerio: Portales de acceso: - Portal del Estado Colombiano - Gobierno en Línea Territorial fase informativa y transaccional para entidades territoriales. - Sitios web de Entidades Gubernamentales - Portal Único de Contratación - Portal del Programa Gobierno en Línea - Portal del Ministerio de Tecnologías de la Información y las Comunicaciones - Micrositio Vive Gobierno En Línea - Portal Lenguaje de Intercambio de información - Portal de la Intranet Gubernamental : Las entidades diferentes al Ministerio de Tecnologías de la Información y las Comunicaciones que utilicen el servicio deben cancelar el 100% del valor consumido a través de un contrato con el operador. Infraestructur a tecnológica Sistemas transversales: - Sistema Electrónico para la Contratación Pública - SECOP - Sistema de Información de Tecnología Informática - SITI - Sistema Único de Información de Trámites SUIT - Urna de cristal - Sistema de monitoreo y evaluación de la estrategia de Gobierno en Línea - Sistemas Sectoriales: - Sistema de Información Unificado del Sector de las Telecomunicaciones - Sistema de Información Georreferenciado Ministerio de Tecnologías de la Información y las Comunicaciones - Sistemas de gestión Ministerio de Tecnologías de la Información y las Comunicaciones - ISOLUCION - Sistema de Gestión de Calidad del Ministerio de Tecnologías de la Información y las Comunicaciones Plataforma de interoperabilidad: - Notificaciones en Línea - Autenticación electrónica - Tramitador en Línea (Enrutador Transaccional - PDI) - Catálogo de Servicios - Plataforma de servicios de estampado cronológico - Sistema de Información del estándar GEL-XML - Sistema Administrador de Firmas Digitales - DIVIPOLA - Webservice de la División Política de Colombia De igual manera, se alojarán las soluciones de entidades del Estado, que cancelen al operador el 100% del valor del ANEXO 14 LP Página 4 de 70

5 Componente Actividad Metas de la actividad Esquema de cofinanciación servicio consumido. Proveer, operar, mantener y soportar la infraestructura tecnológica y los servicios básicos asociados al Centro de Contacto Ciudadano : Soporte de primer nivel a ciudadanos para servicios de Gobierno en línea. Soporte de segundo nivel a ciudadanos para los siguientes servicios: - Atención de peticiones, quejas y reclamos del Ministerio de Tecnologías de la Información y las Comunicaciones. - Urna de cristal - Transferencia de llamadas para soporte del SECOP. - Ola invernal - También se incluyen los servicios de segundo nivel hacia ciudadanos de las entidades que decidan cancelar el 100% del valor consumido : Las entidades diferentes al Ministerio de Tecnologías de la Información y Comunicaciones que utilicen el servicio deben cancelar el 100% del valor consumido a través de un contrato con el operador. Servicio de re-direccionamiento y consolidación de información hacia otros centros de contacto de las entidades públicas. Servicio de Mesa de Ayuda para soportar las soluciones tecnológicas de gobierno en línea, la plataforma de interoperabilidad y la infraestructura y servicios asociados a la Intranet Gubernamental Plataforma de interoperabili dad Operar, administrar, mantener y soportar las soluciones que hacen parte de la plataforma de interoperabilidad y que están a cargo del Programa : Las soluciones de la plataforma de interoperabilidad que se incluyen en este servicio son las siguientes: - Notificaciones en Línea - Autenticación electrónica - Tramitador en Línea (Enrutador Transaccional - PDI) - Catálogo de Servicios - Plataforma de servicios de estampado cronológico - Sistema Administrador de Firmas Digitales : El 100% de este servicio será cubierto por el Fondo de Tecnologías de la Información y las Comunicaciones.. De igual manera, se podrán operar, administrar, mantener y soportar nuevas soluciones incorporadas a la Plataforma durante la ejecución del contrato. Portales de Acceso; Servicios sectoriales; Servicios transversales Operar, administrar, mantener y soportar las soluciones de Gobierno en línea a cargo del Programa : Portales de acceso: - Portal del Estado Colombiano - Gobierno en Línea Territorial fase informativa y transaccional para entidades territoriales. - Sitios web de Entidades Gubernamentales - Portal del Programa Gobierno en Línea - Micrositio Vive Gobierno En Línea - Portal de la Intranet Gubernamental : El 100% de este servicio será cubierto por el Fondo de Tecnologías de la Información y las Comunicaciones. Sistemas transversales: - Sistema de Información de Tecnología Informática - SITI - Sistema Único de Información de Trámites SUIT - Urna de cristal - Sistema de monitoreo y evaluación de la estrategia de Gobierno en Línea Sistemas Sectoriales: - ISOLUCION - Sistema de Gestión de Calidad del Ministerio de Tecnologías de la Información y las Comunicaciones De igual manera, se podrán operar, administrar, mantener y soportar nuevas soluciones incorporadas durante la ejecución del contrato. 2. MODELO DE OPERACIÓN Y GESTIÓN DE SERVICIOS ANEXO 14 LP Página 5 de 70

6 El contratista deberá ejecutar un Modelo de operación y gestión de servicios que debe contemplar la ejecución de las siguientes fases y procesos basados en ITIL v.3.0, y las Funciones y Actividades que los complementan, como en la siguiente figura: Figura 1. Modelo de operación y gestión de servicios A continuación se describe los principales objetivos de cada uno de las fases del Ciclo de Vida del Servicio procesos al igual que de los procesos, actividades y funciones que comprende cada fase que soportan el modelo. (Se indicará entre paréntesis cuando se trate de una función o actividad) FASE OBJETIVO PROCESOS Estrategia Planeación Estratégica Conocimiento de necesidades y expectativas del cliente Facilita políticas, planes y recursos Controla cumplimiento de objetivos estratégicos Administración de Relaciones con el Cliente y Gestión de la Demanda: Establecer y mantener buenas relaciones entre el operador y el cliente, basado en el entendimiento y conocimiento del mismo y sus factores determinantes del negocio (demandas), por ejemplo, haciendo uso de la información de la prestación de servicios como el Centro de Contacto. Proveer la información adecuada para planificar la capacidad adecuada derivada de requerimientos de los clientes por nuevos servicios o evolución de estos. Administración Financiera: Evaluar y controlar los costos asociados a los servicios TI de forma que se ofrezca un servicio de calidad a los clientes con un uso eficiente de los recursos necesarios. Administrar el modelo de computación por demanda y los modelos de optimización de los demás Servicios. Administración de Portafolio: Aprobar o rechazar servicios conforme a su valoración, alineación con los objetivos estratégicos de Gobierno en Línea, ajuste de lo que se oferta a lo que se demanda; y priorizar los aprobados. Contener los nuevos servicios, los existentes y los que serán retirados para que vayan decreciendo hasta su retirada. Generación de la Estrategia: Generar estrategias para desarrollar los servicios, así como, generar servicios como parte de las estrategias de las Entidades, así entonces crear nuevos servicios para captar nuevos clientes (Entidades) con el fin de alcanzar economías a escala y brindar a éstas la posibilidad de optimizar el uso de sus recursos. ANEXO 14 LP Página 6 de 70

7 FASE OBJETIVO PROCESOS Diseño Una guía para diseñar y desarrollar servicios y procesos de administración de servicios, y cubre los principios y métodos de diseño para convertir objetivos estratégicos en portafolios de servicios y activos de servicios. Administración del Catálogo de Servicio: Realizar la definición y el mantenimiento de los servicios, que contenga todos los detalles técnicos y de negocio, dependencias mutuas con otros servicios, y prepararlos para funcionar operacionalmente. Administración de Niveles de Servicio: Asegurar que la entrega de servicios al cliente cumple o excede las características de calidades del servicio acordadas y comprometidas. Monitorear los niveles de servicio objetivo, revisar el desempeño del servicio, e iniciar planes de mejoramiento del servicio. Administración de Capacidad: Diseñar, hacer seguimiento y control de las características de capacidad requeridas para el manejo actual y futuro del servicio. Administración de Disponibilidad: Asegurar que los niveles de disponibilidad del servicio entregado cumplen o exceden las necesidades acordadas actuales y futuras del negocio manteniendo una buena relación costo-beneficio. Administración de Continuidad: El objetivo de este proceso está enmarcado en la necesidad de brindar continuidad en los servicios. Administración de Proveedores: Negociar y manejar con los proveedores y fabricantes el cumplimiento de garantías y soporte técnico cuando se requiera. Administración de Seguridad de la Información: Identificar las amenazas de seguridad, determinar los riesgos y vulnerabilidades que afectan o pueden afectar la prestación de los servicios (RAVEC, Centro de Datos, centro de Contacto y Soluciones a cargo de Gobierno en Línea) con el fin de garantizar disponibilidad, integridad y confidencialidad de la información. Desarrollo de Requisitos (Actividad): Analizar procesos de negocio. Investigar y documentar los requisitos funcionales, de gestión y operación, y de usabilidad. Dar trazabilidad a los requisitos. Gestión de la Información (Actividad): Controlar los datos. Gestionar fuentes de datos, tecnologías de repositorios, estándares, políticas y niveles de seguridad de datos. Administración de Aplicaciones (Actividad): Gestionar ciclo de vida de vida de las aplicaciones, su mantenimiento y los aspectos de gestión y operación, incluyendo infraestructura. Transición Etapa Operación de Asegurar que el servicio puede funcionar. Implementación de todos los aspectos del servicio. Entregar los servicios que el negocio requiere para uso operativo. Entregar los niveles acordados de servicios a los usuarios y clientes. Administración de Cambio: Garantizar que todos los cambios de los servicios nuevos o modificados y de la infraestructura TI, se avalúan, aprueban, implementan y revisan de manera controlada. Administración de Liberación y Distribución: Entregar, distribuir y mantener la trazabilidad de los cambios efectuados. Mide y gestiona el posible impacto y riesgos de la puesta en producción de las modificaciones. Administración de la Configuración: Mantener y proveer información exacta acerca de los Ítem de Configuración (CI) que componen cada servicio y sus relaciones para el soporte de los servicios. Administración del Conocimiento: Mejora la calidad de la gerencia para la toma de decisiones, es un proceso que asegura que la información sea confiable y segura, que esté disponible durante el ciclo vital del servicio. Planificación y Soporte de la transición (Actividad): Planear y coordinar los recursos que aseguren que las especificaciones para el diseño del servicio se realicen. Identificar, manejar y limitar los riesgos que podrían interrumpir el servicio Validación y Pruebas (Actividad): Realizar las configuraciones básicas, realizar pruebas. Evaluación (Actividad): Comprobar el buen rendimiento del servicio, cambiado o nuevo, en el contexto real y la infraestructura definitiva de TIC con relación a lo acordado. Realiza la evaluación post-impleme4ntación. Comunicaciones (Actividad): Comunicar cuando y como va a estar disponible y cómo se va a soportar Cambio de la Organización (Actividad): Asignación o reasignación de personal, y sensibilización y formación de la nueva forma de operar. Administración de Incidentes: Restaurar la operación normal del servicio tan pronto como sea posible minimizando el impacto sobre las operaciones del negocio y asegurando que los mejores niveles de calidad del servicio y disponibilidad sean mantenidos. Administración de Problemas: resolver los Problemas que afectan el servicio TI, tanto reactiva como proactivamente. La Administración de Problemas encuentra la tendencia de los Incidentes, agrupas estos Incidentes en Problemas e identifica la causa raíz de los problemas. ANEXO 14 LP Página 7 de 70

8 FASE OBJETIVO PROCESOS Administrar las aplicaciones, tecnologías e infraestructura que soportan la entrega del servicio. Administración de Eventos: Identificar y priorizar eventos de la infraestructura, el servicio, procesos del negocio y seguridad. Establecer las respuestas apropiadas para estos eventos, especialmente respondiendo a aquellos casos que podrían llevar a fallas potenciales o incidentes. Administración de Accesos e Identidad: Proveer derechos a los usuarios para utilizar un servicio. Políticas de seguridad Mejoramiento Continuo Aprendizaje y mejora bajo el ciclo de PHVA Solicitud de Requerimientos: El propósito es tratar con Solicitud de Servicios de los usuarios. Esto incluye proveer a los usuarios un canal para solicitar y recibir servicios estándares para el cual existe una pre-aprobación definida. Centro de Servicio (Función): Proveer un punto de contacto único en TIC para clientes-usuarios y facilitar la recuperación del servicio ante incidencias con el menor impacto en el cliente de acuerdo al ANS y las prioridades del negocio. Gestión Técnica (Función): Provee las habilidades técnicas y los recursos necesarios para soportar las operaciones de la infraestructura de TIC. Se ocupa de la configuración y soporte de los sistemas. Gestión de Operación (Función): Asume las actividades diarias de operación comunes a varios servicios y las propias de la gestión de infraestructura de TIC. Gestión de Aplicaciones (Función): Respalda y mantiene las aplicaciones operacionales, conforme a los requisitos establecidos. Operación de Servicios Comunes (Actividades): Conjunto de actividades técnicas especializadas que buscan asegurar que la tecnología requerida para prestar y soportar servicios está operando efectiva y eficientemente. Por ejemplo, Monitoreo y Control, Gestión de Red, Almacenamiento y archivo, Gestión de facilidades de Data Centers, etc. Mejoramiento Continuo del servicio: Actuar para prevenir, mantener y/o mejorar los resultados determinados en los Acuerdos de Niveles de Servicio. Medición del Servicio, Proceso de mejora, Informes de Servicio En la definición de este modelo, el operador deberá atender los objetivos de control definidos en el proceso PO4, Definir los procesos, organización y relaciones de TI, de la versión vigente de COBIT, con especial énfasis en: La asignación de la responsabilidad para el desempeño de la función de aseguramiento de calidad. La responsabilidad sobre el riesgo, la seguridad y el cumplimiento APOYO A LA OPERACIÓN El operador deberá contar con herramientas de apoyo a la operación que permitan realizar el seguimiento y generación de la facturación correspondiente a los servicios prestados, tanto al Programa como a las entidades que los utilizan. De igual manera, deberá emplear herramientas de monitoreo que le permitan determinar la medición de recursos en ambientes virtualizados y herramientas que permitan evaluar la calidad de la gestión realizada a través de indicadores de alto nivel. El contratista deberá seleccionar igualmente indicadores de alto nivel para la gestión de calidad del servicio de la red de telecomunicaciones. Cabe recordar que RAVEC posee la tecnología MPLS, tecnología desarrollada para extender los servicios proporcionados por las redes IP, la cual permite monitorear la calidad de servicio. A pesar de poder medir la calidad del servicio en cada uno de los componentes al interior de la operación es necesario complementarlo con una visión externa del conjunto del servicio. Para ello se debe contar con la percepción de los clientes y usuarios del servicio. ANEXO 14 LP Página 8 de 70

9 2.2. ATENCIÓN AL CLIENTE El operador debe garantizar que la administración de calidad se enfoque en los clientes, al determinar sus requerimientos y alinearlos con los estándares y prácticas de TI requeridas. Todos los esfuerzos deben estar orientados hacia el cliente y su percepción es muy importante para fortalecer o mejorar el servicio. Por ello, el modelo de atención de clientes juega un papel importante en el diseño del servicio efectivo, el cuál definirá los estándares de atención y los parámetros de calidad que deberán ser considerados por todas las actividades alrededor de tal servicio. El operador debe definir los roles y responsabilidades respecto a la resolución de conflictos entre el usuario/cliente y la organización de TI. El contratista deberá diseñar e implementar un modelo de atención al cliente que complemente al establecido en el modelo operativo para obtener un panorama completo de la calidad del servicio prestado. El modelo de atención al cliente deberá acoger mínimo la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2009, Capítulo 8, Medición, Análisis y Mejora, en especial el numeral 8.2.1, Satisfacción del cliente, donde la Norma garantiza que se cuenta con mecanismos eficaces, eficientes y continuos para recopilar, analizar y utilizar la información relacionada con la satisfacción del cliente a fin de mejorar el desempeño de la entidad, a través de mecanismos como: Encuestas Grupos focales Buzón de sugerencias Peticiones, quejas y reclamos Estos mecanismos deben ser implementados por el operador para su propio control y mejoramiento continuo hacia el cliente, sin descartar la posibilidad de entregar dicha información o los mecanismos implementados al servicio de la auditoría externa que el contratista contratará periódicamente, avalada por la interventoría. Se aclara que FONADE y el Programa podrán efectuar los estudios que consideren pertinentes, independientemente de los realizados por el Operador. Para este proyecto existen dos tipos de clientes que deben ser atendidos: los ciudadanos y las entidades. El interés es garantizar la calidad del servicio, para esto se debe medir la satisfacción de los diferentes usuarios, tanto entidades como ciudadanos Atención a Ciudadanos Los ciudadanos son los clientes masivos. Son clientes con múltiples exigencias, con variadas alternativas de elección, las que deben ser satisfechas en el menor tiempo posible y con altos estándares de calidad. Se debe contar con canales exclusivos (o enrutamiento de las llamadas) dispuestos en el Centro de Contacto Ciudadano en los cuales se permita presentar las quejas, reclamos o sugerencias sobre el servicio prestado a personal dedicado para esto. El operador deberá cumplir las siguientes funciones: Evaluar la satisfacción sobre el servicio que se presta y la efectividad del mismo. Evaluar la satisfacción sobre la atención prestada en el Centro de Contacto Ciudadano. Estudiar razones de abandono o no uso de los servicios por parte de los ciudadanos. Analizar los resultados, proponer acciones de mejora y gestionar su realización con los responsables correspondientes. Dentro del proceso de mejoramiento, realizar seguimiento a las acciones de mejora y verificar la efectividad e impacto de las mismas Atención a Entidades Las entidades equivalen a los clientes empresariales. Hay más homogeneidad en este tipo de cliente, que tienen interlocutores capacitados técnicamente, los cuales deben seguir políticas, restricciones y requisitos. Se tiene una relación cliente-proveedor más estrecha. Se debe contar con canales exclusivos dispuestos en el Centro de Contacto Ciudadano en los cuales se permita presentar las quejas, reclamos o sugerencias sobre el servicio prestado y cuando se requiera, con la atención personalizada de los promotores de servicios. Las funciones que deberá cumplir son: Manejo y gestión de un cuadro de mando, de clientes (entidades), con indicadores, objetivos y de percepción de clientes. Evaluar la satisfacción sobre la atención prestada en el Centro de Contacto Ciudadano Realizar seguimiento a clientes insatisfechos. ANEXO 14 LP Página 9 de 70

10 Asegurar que los requerimientos/problemas relevantes de los clientes asignados son tratados con la debida diligencia, mediante la adecuada coordinación con los integrantes en la cadena de atención. Dentro del proceso de mejoramiento, realizar seguimiento a las acciones de mejora y verificar la efectividad e impacto de las mismas. Atender los requerimientos relacionados con el proceso de facturación y recaudación, asegurando la recuperación de los ingresos conjuntamente con la satisfacción del cliente. 2.3 CALIDAD DEL SERVICIO Establecer y mantener un Sistema de Gestión de la Calidad (SGC) que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los requerimientos del proyecto. El SGC debe definir la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades para todos los componentes, o áreas clave: 1. RAVEC 2. Centro de Datos 3. Centro de Contacto Ciudadano 4. Administración y Mantenimiento de Aplicaciones. En las cuales se debe desarrollar sus planes de calidad de acuerdo a los criterios y políticas, definir estándares y prácticas de calidad, registrar sus datos de calidad, monitorear y revisar interna y externamente el desempeño contra los estándares y prácticas de calidad definidas, monitorear y medir la efectividad y aceptación del SGC, midiendo: Porcentaje de stakeholders satisfechos con la calidad (ponderados por importancia) Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo periódico que satisfaga las metas y objetivos de calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad. Porcentaje de reducción en el número de incidentes de alta severidad por usuario por mes. Porcentaje de defectos no descubiertos antes de entrar a producción. Número de problemas en producción por aplicación, que causan tiempos perdidos significativos. Porcentaje de satisfacción de los interesados con el entrenamiento de las soluciones recibido Porcentaje de personal de TI que reciben entrenamiento administrativo /concientización. Porcentaje de interesados que participan en encuestas de calidad. La mejorara del SGC debe ser de manera continua y mejorarla cuando sea necesario. Se debe elaborar y comunicar un plan global de calidad que promueva la mejora continua, de forma periódica. El contratista debe seleccionar los anteriores y definir otros medidores generales relacionados con los Factores Críticos de Éxito (CSFs), que describan aquello qué debe pasar para que se cumplan los objetivos estratégicos preestablecidos, los cuales deben ser puestos a consideración de la interventoría para su respectiva aprobación. La medición de cada CSF deberá construirse a partir de los Indicadores Claves de Desempeño (KPIs) que miden el performance de los procesos, actividades y soluciones. A manera de ejemplo, y solamente para ilustrar, si se tiene con CSF la Calidad del Servicio, éste podría construirse a partir de los KPI s: Porcentaje de Disponibilidad del Servicio Tiempo medio de resolución de los incidentes Tiempo medio de recuperación ante fallas Incidentes debidos a falta de capacidad Índice de percepción del cliente -por encuestas de satisfacción- Un segundo ejemplo de CSF podría ser el de Seguridad, con los siguientes KPIs: Número de incidentes graves de seguridad Número de auditorías de seguridad y hacking ético Duración en la implementación de medidas preventivas Número de simulacros ante desastres Índice de funcionarios sensibilizados y capacitados en seguridad de la información sobre el total de funcionarios. ANEXO 14 LP Página 10 de 70

11 3. PLAN DE EJECUCIÓN La ejecución de las actividades de este contrato se realizará en cuatro (4) etapas. 1. Preparación para la migración y operación 2. Empalme y migración 3. Operación 4. Transición y entrega 3.1. PREPARACIÓN PARA LA MIGRACIÓN Y OPERACIÓN Esta etapa podrá ser desarrollada en un plazo máximo de un (1) mes contado a partir del inicio de la ejecución del contrato. Durante esta etapa el contratista deberá ejecutar las siguientes actividades: a) El operador debe entregar el Plan de Proyecto general que siga los lineamientos del PMI para la gestión de proyectos y programas que debe ser entregado durante los primeros 15 días de ejecución del proyecto y deberá mantenerse actualizado a lo largo del proyecto. Este plan debe incluir como mínimo los siguientes entregables, los cuales el contratista deberá presentar y gestionar a lo largo del proyecto: Plan de actividades y tiempos. Cronograma. Ruta crítica. Control de actividades y sistema de autorización de paquetes de trabajo. Plan de riesgos del proyecto: Evaluación de riesgos, disparadores de riesgos, planes de mitigación, planes de remediación y planes de contingencia a los riesgos. Su seguimiento debe ser semanal. Plan de calidad del proyecto. Definición clara, precisa y concertada de los procesos de aseguramiento y control de calidad de los diferentes entregables. Definición de pruebas, procedimientos de aceptación y proceso de cierre del proyecto. En esta etapa se definen los criterios bajos los cuales la Interventoría dará por aceptados los resultados del proyecto. Plan de comunicaciones del proyecto: Establecimiento de canales, mecanismos y herramientas de comunicación con los stakeholders. (Formatos de reportes, formatos de documentos, matriz de comunicaciones, agenda de reuniones, periodicidad de los informes, reuniones, reportes de avance). Este plan debe ser actualizado, divulgado a todos los stakeholders y seguido. Plan de recursos humano del proyecto: Definición de roles y responsabilidades del equipo del proyecto, fechas de entrada y salida de los integrantes del equipo. Los comités pertinentes, incluido el comité de control de cambios del proyecto (este comité es diferente al comité de cambios del servicio que se defina conforme con ITIL). Procedimientos de control de cambio del proyecto y sistema de autorización de cambios. b) El contratista deberá hacer entrega de los siguientes productos, para revisión y aprobación por parte de la interventoría: Plan de migración: Conjuntamente con las entidades usuarias, el operador saliente y el Programa Agenda de Conectividad se debe establecer la priorización de las soluciones que el contratista debe migrar y poner en producción en el plazo previsto. Diseño del Centro de Datos Diseño del Centro de Contacto Ciudadano Diseño de la Red de Alta Velocidad del Estado Colombiana Caracterización de los servicios, que incluya: i. Descripción de cada servicio ii. Procedimientos asociados a cada servicio iii. ANS aplicables a cada servicio La caracterización de los primeros servicios a ser migrados en la siguiente etapa debe quedar definida, descrita y acordada en esta primera etapa. Formatos y criterios de aceptación de los documentos a entregar durante la ejecución del contrato Definición de reportes necesarios para cada uno de los servicios Especificación detallada de los ANS para la operación Documentación detallada del modelo de gestión de la operación, que deberá incluir como mínimo los siguientes entregables: i. Plan de Comunicaciones del Servicio y esquema del sistema de gestión de la configuración y la Base de Datos de Gestión de la Configuración. ANEXO 14 LP Página 11 de 70

12 ii. Plan de Seguridad de la información (que incluya modelo de seguridad definido y el plan de implementación), Plan de recuperación ante desastres, Plan de continuidad del servicio y Plan de Contingencia (que involucre RAVEC, Centros de Datos principal y alterno, equipos de conectividad del centro de datos, Centro de Contacto Ciudadano y aplicaciones del Programa y de las Entidades usuarias). iii. Documentación de los procesos ITIL definidos, actividades, formatos de registro y reportes. iv. Plan de Calidad para el mejoramiento continuo del servicio. v. Manual de Operación del RAVEC, Centro de Datos, Centro de Contacto Ciudadano, y Administración y Mantenimiento de las aplicaciones del Programa. Documentación de soporte requerida en los componentes RAVEC, Centro de Datos y Centro de Contacto, que certifiquen el uso de tecnología de punta y documentación de soporte de los proyectos en los cuales se ha usado o se está usando dicha tecnología, para la correspondiente verificación y aprobación por parte de la Interventoría. El contratista deberá facilitar a la Interventoría el acceso a sus instalaciones y brindar los elementos de logística necesarios para que pueda ejecutar su labor de forma ágil y oportuna EMPALME Y MIGRACIÓN En esta etapa se lleva a cabo el cierre de la transferencia de conocimiento, empalme con el operador actual, migración de servicios y soluciones de acuerdo con el plan, realización de pruebas e inicio de la operación de los servicios migrados de la Red de Alta Velocidad, del Centro de Datos y del Centro de Contacto Ciudadano. Dicho proceso se debe realizar de manera simultánea y gradual durante los cuatro (4) meses siguientes a la terminación de la etapa de preparación para la migración y operación. El servicio de administración y mantenimiento será de uso exclusivo para las soluciones a cargo del Programa o del MINTIC. En ese sentido esta entrega será responsabilidad del Programa o del MINTIC, respectivamente. Durante el primer (1) mes de estos cuatro (4) meses el operador deberá: Finalizar la caracterización de la totalidad de los servicios a ser migrados. Es recomendable comenzar por aquellos que sigan en secuencia a los definidos en la primera etapa. Nunca esta actividad deberá ser causante de retrasos para la migración de los servicios correspondientes. Garantizar el montaje de la infraestructura básica, es decir aquella que permita ejecutar el proceso de migración, de conformidad con los diseños aprobados en la primera etapa. Las herramientas de monitoreo y medición de ANS y el equipo por demanda necesario. Tener implementadas las políticas y las medidas básicas (recursos tecnológicos y humanos) del modelo de seguridad que garanticen la confidencialidad e integridad de la información así como de los activos de TI comprometidos en la migración. En los siguientes tres (3) meses, de esta etapa también se deberá Tener implementadas la totalidad de las políticas y medidas (recursos tecnológicos y humanos) del modelo de seguridad que garanticen la disponibilidad, la confidencialidad e integridad de la información así como de los activos de TI comprometidos en la operación. El operador no deberá retrasar la puesta en operación de algún servicio por motivos relacionados con no tener implementadas las políticas y medidas de seguridad pertinentes. Recibir e iniciar la administración de las soluciones de Gobierno en línea. Para la migración del Centro de Datos se debe habilitar un enlace con el Centro de Datos del operador actual, cuyo costo y manejo estarán a cargo del contratista, de tal manera que se facilite el proceso de migración. De igual manera, bajo su costo el contratista deberá establecer un enlace con la Red de Alta velocidad del operador actual y también durante la migración del Centro de Contacto Ciudadano, estará a cargo del contratista el costo de la transferencia de llamadas. Adicionalmente deberá Iniciar el mantenimiento de las soluciones de Gobierno en línea a más tardar dos (2) meses después de la entrada en producción de dichas soluciones para los casos que indique el Programa. El contratista deberá facilitar a la Interventoría el acceso a sus instalaciones y brindar los elementos de logística 1 necesarios para que pueda ejecutar su labor de forma ágil y oportuna. Elementos de logística: Se refiere a disponer de un puesto de trabajo (escritorio, silla, internet, computador, conexión de red, teléfono) que cumpla con todas las condiciones técnicas, ambientales y eléctricas requeridas para que la interventoría pueda efectuar los registros y validaciones que requiera así como acceder de manera ágil a las herramientas de monitoreo, para las verificaciones y consultas a que haya lugar. ANEXO 14 LP Página 12 de 70

13 En esta etapa se deberán entregar los siguientes productos para revisión y aprobación por parte de la Interventoría: Enlace a la Red de Alta Velocidad del Estado Colombiano y al Centro de Datos del operador actual. Informe y diagnóstico de la migración. Se requiere de Informes y Diagnóstico tanto previo como posterior a la Migración. Actas de aceptación de entrada en producción de cada servicio debidamente firmadas por las partes (Incluyendo el Operador, la Interventoría y las entidades involucradas), con sus correspondientes manuales de instalación. Acta de inicio de la Administración de cada Solución de Gobierno en Línea que estará a cargo del contratista, incluyendo la línea base de la documentación. Acta de inicio del mantenimiento, incluyendo línea base de software y documentación técnica. Pruebas de aceptación del esquema de soporte y administración de cada servicio. Herramientas de monitoreo y medición de ANS en funcionamiento. Ajustes a los procesos y procedimientos del modelo de gestión. Informe de seguimiento, que deberá incluir: i. Gestión, calidad del servicio, resultados y análisis de los resultados para cada servicio. ii. Informe financiero del contrato. Revisión y ajuste del modelo de computación por demanda, definiendo los descuentos aplicables para los servicios. Revisión por parte del contratista de ISO20000, que ampare el modelo de gestión propuesto. Otros informes solicitados por la supervisión. NOTA: Para cada servicio que se migre, una vez realizada y aceptada la instalación, se contará con un (1) mes de estabilización, de tal manera que la medición y penalización de los ANS empezara a efectuarse después de este mes. Durante esta etapa los descuentos del modelo de computación por demanda no se aplicarán OPERACIÓN Esta etapa da inicio una vez adelantada la fase de empalme y migración con todos sus entregables aprobados por la Interventoría, mediante la suscripción de las actas de inicio de la operación para cada uno de los componentes: Red de Alta Velocidad del Estado Colombiano, Centro de Datos, Centro de Contacto Ciudadano, Acta de aceptación de entrada en producción de cada servicio, Acta de inicio de la Administración y Acta de inicio del mantenimiento de cada Solución de Gobierno en Línea, y se ejecutará hasta la finalización del contrato. Comprende entre otras las siguientes actividades que debe desarrollar el contratista: 1. Operar cada uno de los servicios de la Red de Alta Velocidad, Centro de Datos y Centro de Contacto Ciudadano de acuerdo con los procedimientos establecidos, asegurando el cumplimiento de los ANS. 2. Efectuar la revisión y actualización de los procesos y procedimientos periódicamente para su optimización. 3. Administrar y mantener cada una de las soluciones recibidas, atendiendo a los usuarios de cada solución, resolviendo todas las inquietudes funcionales y técnicas que surjan durante el uso de las mismas. 4. Divulgar a las entidades usuarias los protocolos de comunicación al inicio de la operación y mantener contacto permanente con las mismas para efectos de control y seguimiento en la prestación del servicio. 5. Desarrollar y comunicar a cada entidad los procedimientos establecidos para la correcta prestación de los servicios que contrata con el operador. Estos procedimientos deben ser ágiles, de fácil implementación y en lo posible automatizados. 6. Los servicios deberán tener una línea de soporte técnico y atención de incidentes 7x24x365 de nivel 1 y 2 apoyado con una herramienta automatizada para seguimiento del estado de las solicitudes, la cual deberá estar disponible durante toda la operación con acceso a las entidades usuarias, la Interventoría y la supervisión. Corresponde al soporte de mesa de ayuda que debe ofrecer el CCC a los usuarios de las soluciones instaladas en el Centro de Datos. (ver Anexo 14 numeral 6.3 ítem 17). 7. A partir del primer (1) mes de operación, el contratista deberá disponer de una herramienta automatizada de consulta en línea vía web para la facturación de los servicios, integrada con los sistemas de monitoreo, de manera que se agilicen los procesos de reporte de consumo y facturación a las entidades así como su conciliación con la Interventoría. 8. El operador deberá garantizar la disponibilidad de diferentes versiones de software de los productos asociados a las líneas tecnológicas aprobadas para el Centro de Datos, con el fin de que se puedan instalar aplicaciones de las Entidades en las ANEXO 14 LP Página 13 de 70

14 versiones en que fueron desarrolladas. Estos casos serán exceptuados al evaluar el cumplimiento de tecnologías de punta, siempre y cuando, previamente hayan sido aprobados por la interventoría. 9. El operador deberá implementar un programa de salud ocupacional para garantizar las condiciones de trabajo adecuadas del personal que hace parte de la operación. 10. Para el Centro de Contacto Ciudadano se deben implementar encuestas de satisfacción del servicio prestado al final de las llamadas de acuerdo con las necesidades de las entidades y del Programa. 11. El operador debe asignar a cada campaña una persona responsable de interactuar con la entidad (esta persona puede ser seleccionada entre los líderes de campaña existentes y/o el coordinador del Centro de Contacto Ciudadano). 12. El operador debe implementar mecanismos para garantizar que la información que se le entrega a la ciudadanía esté actualizada (coordinación permanente con la entidades usuarias). Las entidades usuarias deberán entregar al operador clara y oportunamente la información actualizada para este fin. De la misma manera, debe establecer jornadas de inducción, re-inducción y capacitación a sus agentes para mantener los niveles de información requeridos. 13. Todos los procesos involucrados en el modelo de operación deben estar enmarcados en las recomendaciones establecidas por las normas internacionales vigentes en seguridad de la información y operación de los servicios de tecnología. 14. En el caso que no se cumpla lo descrito en la ejecución de manuales de operación, guías, instructivos, procedimientos, políticas de administración o que las personas no ejecutan el rol definido o cuando el Interventor recomiende o solicite acciones de mejora, el operador de servicio deberá presentar un plan de mejoramiento y realizar las actividades o cambios necesarios para corregir las deficiencias encontradas en un tiempo acordado en conjunto con la Interventoría, de no cumplir con el plan de mejoramiento propuesto se procederá a la aplicación de las sanciones contractuales. 15. El operador debe mantener actualizados todos los documentos (políticas, manuales, guías, procedimientos, instructivos, planes, roles, responsabilidades, entre otros) de acuerdo con los cambios que se presenten en el desempeño de las tareas descritas en el Modelo Operativo. 16. En el caso de presentarse alguna falla, error o interrupción en la operación, esta debe ser identificada, registrada, documentada y resuelta oportunamente de acuerdo con los ANS establecidos para ello. 17. El contratista deberá facilitar a la Interventoría el acceso a sus instalaciones y brindar los elementos de logística 2 necesarios para que pueda ejecutar su labor de forma ágil y oportuna 18. Diseño de nuevos servicios. Se refiere a servicios que demanden las entidades y que no se encuentran entre los previstos para la operación (de cada uno de los componentes). Por ejemplo, nuevas aplicaciones que requieran líneas tecnológicas no previstas en el Centro de Datos 19. El contratista deberá entregar los siguientes productos para revisión y aprobación por parte de la Interventoría: Infraestructura para mantenimiento y pruebas, en funcionamiento. Caracterización de los servicios, actualizada mensualmente. No debe existir ningún servicio en producción, sin tener su caracterización. Modelo de gestión de la operación optimizado para la prestación de los servicios, debe ser presentado al menos cada seis (6) meses Informe de seguimiento, que deberá incluir: i. Gestión, calidad del servicio, resultados y análisis de los resultados para cada servicio. ii. Informe financiero del contrato iii. Informes de pruebas de seguridad, trimestralmente. iv. Informes de ANS, mensualmente. Elementos de logística: Se refiere a disponer de un puesto de trabajo (escritorio, silla, internet, computador, conexión de red, teléfono) que cumpla con todas las condiciones técnicas, ambientales y eléctricas requeridas para que la interventoría pueda efectuar los registros y validaciones que requiera así como acceder de manera ágil a las herramientas de monitoreo, para las verificaciones y consultas a que haya lugar. ANEXO 14 LP Página 14 de 70

15 Otros informes solicitados por la supervisión. Actualizaciones de la línea base documental y de software, cada vez que sea efectuada la instalación de nuevas versiones por cada solución. Modelo de computación por demanda actualizado, semestralmente. Modelos optimizados de prestación de servicios para RAVEC, CCC, ADMINISTRACION Y MANTENIMIENTO DE SOLUCIONES. Nota: Los ANS aplicables a cada servicio se empezarán a medir una vez se dé inicio a la puesta en producción del servicio. 20. Realizar análisis de vulnerabilidades a la totalidad de la plataforma. Debe realizarse tres veces al año durante todo el proyecto. Se presentará informe de este análisis con el plan de acción correspondiente. 21. Realizar auditorías y pruebas de Ethical Hacking para los elementos del proyecto por lo menos tres veces al año y cuyo resultado y/o hallazgos se deben entregar en máximo ocho (8) días. 22. Todas las demás obligaciones especificadas en el pliego de condiciones. NOTA: En esta etapa aplican en su totalidad los ANS. Durante esta etapa los descuentos del modelo de computación por demanda serán aplicados TRANSICIÓN Y ENTREGA Esta etapa comienza al menos cuatro (4) meses antes de la finalización del contrato, o cuando FONADE lo solicite teniendo en cuenta que el contrato puede terminarse una vez se agote su presupuesto. Comprende las siguientes actividades: 1. Elaborar un plan para la entrega de la operación de los servicios de Gobierno en línea al siguiente operador, para lo cual el contratista dispondrá de quince (15) días calendario a partir del inicio de la etapa. Dicho plan será revisado y aprobado por la Interventoría. 2. Implementación del plan de acuerdo con el cronograma establecido. El contratista deberá hacer entrega de los siguientes productos para revisión y aprobación por parte de la Interventoría: Plan de entrega de la operación de los servicios de Gobierno en línea de mínimo impacto, hacia el siguiente operador. Transferencia de información, conocimiento y servicios al nuevo operador el cual incluye cada una de las aplicaciones y sus medios de instalación, capas del Centro de Datos, manuales, configuración de las capas y líneas tecnológicas, scripts de operación, base de datos de clientes atendidos, base de conocimiento del Centro de Contacto Ciudadano y documentación de diseño y de la arquitectura de la Red de Alta Velocidad. Línea base documental y software actualizado (código fuente) de todas las soluciones en las que tuvo a cargo su administración y/o operación. Acompañamiento en la instalación y configuración al nuevo operador. Documentación de soporte del diseño y la operación de cada uno de los servicios actualizados. Documentos y procedimientos de operación de cada servicio actualizados. Carta de garantía para los mantenimientos de software realizados. Actas de entrega de cada uno de los servicios. Informes de seguimiento mensual, que deberá incluir: i. Gestión, calidad del servicio, resultados y análisis de los resultados para cada servicio ii. Informe financiero del contrato iii. Informes de pruebas de seguridad. iv. Informes de ANS. Documento de recomendaciones Modelo de computación por demanda actualizado. Informe de entrega. 3. El operador deberá eliminar de forma permanente la totalidad de la información mediante procesos de borrado seguro sobre todos los medios de almacenamiento que utilizó durante la operación. Esto se debe realizar después de terminada la etapa ANEXO 14 LP Página 15 de 70

16 de migración, previa revisión y aprobación de las Interventorías entrante y saliente. El procedimiento debe ser establecido de común acuerdo con la interventoría, para lo cual se deberán levantar las actas correspondientes, una vez migrada y validada la aplicación ó el elemento entregado al nuevo operador ó cuando sea requerido durante la etapa de operación. Este borrado debe ser a bajo nivel que garantice la no recuperación de los datos con herramientas especializadas. El borrado seguro deberá ser certificado por la firma auditora externa experta en el tema, contratada y pagada por el operador. Este procedimiento hace parte del Plan de Gestión de Seguridad de la información indicado en la etapa Preparación para migración y operación. NOTA: En esta etapa aplican en su totalidad los ANS. Durante esta etapa los descuentos del modelo de computación por demanda serán aplicados. 4. MODELO DE SEGURIDAD DE LA INFORMACIÓN 4.1 Requisitos Generales Se debe implementar en el primer mes de la etapa 2, Empalme y Migración, y poner en práctica el Modelo de Seguridad de la Información teniendo en cuenta las indicaciones dadas a continuación, de obligatorio cumplimiento por parte del contratista: 1. El Plan de Proyecto debe incluir las tareas relacionadas con el Modelo de Seguridad y mantenerlo actualizado en todas las etapas del proyecto junto con los puntos de control de acuerdo con todas las actividades requeridas. 2. El Modelo de Seguridad de la Información debe cubrir la operación segura de la Red de Datos de Alta Velocidad, el Centro de Datos, el Centro de Contacto Ciudadano, las aplicaciones alojadas en el Centro de Datos, toda la infraestructura tecnológica y el entorno de operación y mantenimiento del proyecto incluyendo a los administradores de los componentes o activos tecnológicos, desarrolladores, agentes del centro de contacto, entidades vinculadas y a los usuarios finales. 3. El alcance del modelo debe cubrir toda la información generada por la prestación de los servicios a través de medios físicos y electrónicos que hagan parte de la operación propia del proyecto, y su acopio debe realizarse en un centro de operaciones de seguridad localizado en Colombia, que como mínimo debe estar integrado por la infraestructura física, administrativa, tecnológica, logística y de seguridad misma. 4. El modelo para la gestión de la seguridad de la información debe seguir las recomendaciones de la norma técnica colombiana NTC ISO/IEC Anexo A. Objetivos de control y controles bajo las siguientes condiciones: a) Durante el primes mes de la ejecución del contrato el contratista debe entregar el modelo de gestión de seguridad que deberá contener como mínimo los siguientes componentes para definir el modelo en referencia, los cuales se describen en los capítulos siguientes: Política de Seguridad Organización de la seguridad de la información Gestión de Activos Seguridad de los Recursos Humanos Seguridad Física y del entorno Gestión de Comunicaciones y Operaciones Control de Acceso Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de los incidentes de la seguridad de la información Gestión de la continuidad del negocio Cumplimiento Constancia de auditoría externa en donde se pueda verificar por pate de la interventoría que el contratista va a implementar controles que ya han sido probados de manera exitosa en proyectos similares con anterioridad a la prestación del servicio objeto del presente proceso de contratación y que tienen validez para la verificación de controles de servicios de tecnología aplicados en el último año contado a partir de la fecha de publicación del presente proceso. b) El informe SAS 70 tipo II debe realizarse anualmente una vez termine la fase de migración y el mencionado reporte de auditoría no debe tener observaciones mayores. ANEXO 14 LP Página 16 de 70

17 5. El incumplimiento total o parcial de las disposiciones contenidas en el modelo de seguridad que sea aprobado por la Interventoría se considerará como un incumplimiento al contrato el cual dará aplicación a las cláusulas penales de apremio o pecuniarias, independiente de la responsabilidad penal, civil, administrativa a que haya lugar. 6. El modelo de seguridad para el alcance definido en el primer numeral, se enmarcará por la norma técnica colombiana NTC ISO/IEC la cual recoge las recomendaciones de seguridad de las normas colombianas de calidad NTC/ISO 9001, NTC/ISO14001, NTC/ISO 19011, NTC 5411 y las guías internacionales IEC TR13335, IEC TR 18044, NIST SP 800, DoD 8570 y la ley colombiana 557 de Se deberán acoger las guías de CERT TN-020, FIPS PUB 200, ITIL versión 3 y COBIT 4.1; en caso de discrepancia entre cualquier norma y la norma técnica colombiana NTC ISO/IEC27001 prevalecerá la norma técnica colombiana. 7. Para garantizar que el contratista cumplirá el requisito fundamental de seguridad se exige que para finalizar la fase de empalme y migración y antes de iniciar las actividades de operación según lo definido en el Anexo 14 numeral 3. Plan de Ejecución el contratista debe demostrar que cumple la norma ISO 27000, a través de la auditoría SAS 70 tipo II. El contratista debe ejecutar auditorías internas de seguridad con personal calificado de carácter trimestral que permita mantener y asegurar las revisiones anuales de la norma NTC ISO/IEC El contratista debe ejecutar auditorías externas de carácter semestral, y una auditoría anual SAS 70 tipo II. Los análisis de vulnerabilidad y ethical hacking se llevarán a cabo trimestralmente. El contratista para el inicio de la fase de operación deberá disponer en su nomina de un ingeniero de seguridad certificado CEH (Certified Ethical Hacker) bajo la norma DoD El operador deberá actualizar periódicamente los procedimientos que se establezcan en el modelo de seguridad, previa aprobación de la Interventoría. Las modificaciones no pueden ir en contra de lo definido en la Norma NTC ISO/IEC Es responsabilidad del contratista proteger la red de datos de amenazas, ciberataques y mantener la seguridad en los sistemas y aplicaciones del Programa soportadas por el Centro de Datos, incluyendo la información en tránsito. Esta tarea se puede apoyar en las recomendaciones de los fabricantes y a través de terceros para hacer pruebas de análisis de vulnerabilidades a las aplicaciones del Programa y tomar los correctivos necesarios. Este tipo de análisis se deberá hacer con las aplicaciones de las Entidades usuarias y efectuar las recomendaciones para que la Entidad tome los correctivos necesarios, esta responsabilidad deberá quedar reflejada en los acuerdos que el operador establezca con las Entidades según el modelo de gestión de la operación. 9. El operador debe acordar un compromiso con las Entidades, referente al Modelo de seguridad y el plan de acción para su cumplimiento, al ingresar cualquier servicio. Compromiso que aplica para todas las etapas del proyecto, con los alcances de las partes e implicaciones definidas. 10. Es responsabilidad del contratista proteger la información recolectada, registrada y generada desde el centro de contacto ciudadano. 11. El operador debe garantizar que para todos los cambios y ajustes autorizados y en ejecución sobre Sistemas de Información y/o Aplicativos se debe conservar un registro escrito de las modificaciones realizadas en la CMDB. Dicho registro debe incluir fechas, personas y transacciones involucradas en dicho cambio. Se deben revisar y probar las aplicaciones críticas cuando se realicen cambios en el software, con objeto de garantizar que no existen impactos adversos para las actividades o la seguridad de la información. Desde el punto de vista de control documental, el contratista debe seguir todas las guías definidas en el Numeral 4.3 de la norma técnica colombiana NTC-ISO/IEC Requisitos de Documentación Es responsabilidad del contratista velar por la seguridad industrial, salud ocupacional y riesgo laboral de todo el personal que se encuentre involucrado en el proyecto; por lo tanto para garantizar el cumplimiento de estas normativas el contratista debe seguir normas como la ISO18000 vigente. En caso de discrepancias entre el contratista, la Interventoría y/o FONADE se usará como mecanismo de solución de conflictos lo definido en las normas técnicas colombianas vigentes. ANEXO 14 LP Página 17 de 70

18 4.2 Requerimientos Política de Seguridad La seguridad de la información para la administración y gestión del sistema debe cumplir con la legislación vigente, los requerimientos contractuales adquiridos y las normas técnicas definidas en los pliegos de condiciones 1. Las políticas se deben definir con el propósito de establecer el adecuado comportamiento que debe tener cada uno de los administradores de los componentes o activos tecnológicos, desarrolladores, agentes del centro de contacto, entidades vinculadas, usuarios finales y demás personas que hagan parte del proyecto en el manejo de la información soportada por la infraestructura de tecnología de los componentes objeto de este contrato. Además, deben establecer las reglas y procedimientos que regulan la forma en que el operador previene, protege y maneja los riesgos. 2. Semestralmente, el operador y la Interventoría revisarán la pertinencia de las políticas. Igualmente, se pueden revisar y actualizar las políticas de manera extraordinaria cuando se presenten cambios que afecten la seguridad de la información o cuando la Interventoría ó FONADE lo requiera. 3. El líder de Seguridad de la Intranet Gubernamental será el responsable de velar por la implantación de las medidas relativas a esta. Igualmente, será responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas. Así mismo, se encargará de la definición, creación y actualización de las políticas, normas, procedimientos y estándares relacionados con la seguridad de la información y velará por la implantación, divulgación hacia los miembros del Proyecto, la interventoría y Entidades; velará igualmente por el cumplimiento de las mismas. 4. El líder de seguridad al finalizar la migración, deberá dar a conocer a las entidades las políticas de seguridad y propender porque ellas las cumplan. 5. El líder de seguridad, deberá revisar el estado de seguridad de una aplicación que vaya a ingresar al Centro de Datos y dejar documentado su estado e informarlo a la entidad, a la Interventoría y al Programa para que se decida y apruebe el ingreso de la aplicación. 6. Las pruebas de vulnerabilidades ejecutadas por el operador ó por un externo, deberán tener en cuenta como mínimo pruebas desde internet, pruebas desde la red interna, con cuentas privilegiadas, con cuentas poco privilegiadas, con conocimiento de la infraestructura a ser analizada. Estas serán realizadas dependiendo de los objetivos a analizar y el tipo de prueba requerida (Pruebas de Caja Blanca, Pruebas de Caja Negra, Pruebas de Caja Negra Doble, Pruebas Externas, Pruebas Internas, Pruebas intrusivas ó pruebas no intrusivas) 7. Los informes de resultados de análisis de vulnerabilidades y demás pruebas ejecutadas para detectar fallas de seguridad deben incluir las respectivas recomendaciones y acciones de mejora determinando el respectivo plan o estrategias de remediación de las mismas. 8. Las Pruebas de Vulnerabilidad se deberán adelantar teniendo como marco de referencia o metodología que más aplique: a) Open Source Security Testing Methodology Manual (OSSTMM) b) Information Systems Security Assessment Framework (ISAAF) c) National Institute of Standards and Technology (NIST) d) Open Web Application Security Project (OWASP) 9. Para realizar la función de administración de la seguridad del contrato, el operador se debe apoyar en herramientas tecnológicas para una adecuada administración, monitoreo y control de los recursos. De igual manera se requiere proteger el acceso a estas herramientas para salvaguardar la integridad de los registros de auditoría y prevenir el mal uso de las mismas. Las herramientas tecnológicas de gestión de seguridad deben permitir como mínimo el manejo de incidentes, problemas, cambios, en la misma CMDB del modelo de gestión para efectos de gestión 10. El procesamiento de la información que se realice sobre cualquier componente de la plataforma tecnológica del proyecto debe cumplir con todas las políticas y procedimientos de seguridad y contingencia que garanticen los principios de confidencialidad, integridad y disponibilidad de la información. En los casos en que se vaya a implementar una nueva línea tecnológica en cualquier componente, el operador debe comprobar que los requisitos operacionales sean documentados, probados y aceptados por la Interventoría, el Programa y/o la respectiva entidad que solicite el servicio antes de entrar en producción para evitar problemas de incompatibilidad e interrupciones en el funcionamiento de los sistemas. ANEXO 14 LP Página 18 de 70

19 Para los cambios de emergencia, estos deben estar debidamente aprobados por el líder de seguridad, evaluados y documentados de acuerdo con los procedimientos establecidos por el operador y aprobados por la Interventoría en donde se definen las actividades de solicitud, autorización y aprobación para todos los cambios a aplicativos. El contratista debe definir claramente cuál es el punto único de contacto para todos los usuarios, para los temas de seguridad de la información. Los elementos mínimos que deberán tenerse en cuenta para la revisión de las políticas de seguridad son: a) Peticiones, Quejas y Reclamos de los recursos que deben cumplir con la política de seguridad b) Resultados de las auditorias de seguridad trimestrales c) Incidentes de seguridad d) Revisiones periódicas de la dirección del proyecto. e) Implementación y mantenimiento de las acciones de mejora f) Cambios de entorno (ciberataques, ciberterrorismo, etc) g) Cambios de proyecto h) Recomendaciones de fabricantes i) Recomendaciones de los ciudadanos j) Recomendaciones del Programa Agenda de Conectividad y FONADE 4.3 Requerimientos Organización de la seguridad de la información 1. Debe existir un comité de gestión de seguridad compuesto por lo menos por el líder de seguridad del operador, delegado de la Interventoría y el supervisor del contrato con el fin de cumplir las siguientes funciones: a) Establecer una cultura de gestión de seguridad que cubra todo el proyecto. b) Supervisar las actividades de gestión de seguridad. c) Gestionar los riesgos de seguridad identificados de acuerdo a la criticidad de los activos, la probabilidad de ocurrencia, magnitud de los daños e impacto. d) Asegurar el cumplimiento del Modelo de Gestión de Seguridad establecido y revisar que se cuenta con los recursos adecuados y suficientes para su desarrollo a lo largo de la ejecución del proyecto. e) Establecer los mecanismos de seguimiento y control para el cumplimiento del Modelo de Gestión de Seguridad para el proyecto, revisando responsabilidades y garantizan la segregación de funciones de acuerdo con las mejores prácticas de la industria. f) Asegurar que se mantiene la cultura de gestión de la seguridad a través de políticas definidas en el modelo. g) Determinar los umbrales de aceptación del riesgo, y las tareas necesarias para la mitigación y prevención de los riesgos alineándolos con los objetivos operativos del proyecto. h) Asegúrese de que los riesgos, amenazas y vulnerabilidades de seguridad son periódicamente evaluados y revisados utilizando metodologías aceptadas y las mejores prácticas. i) Supervisar el desarrollo y la revisión periódica de un plan de gestión de riesgos de seguridad. j) Supervisión las principales actividades del modelo de seguridad, incluyendo El desarrollo y cumplimiento del modelo de seguridad. Categorización de activos de información físicos y digitales Selección, aprobación y revisión de los controles. Identificación de indicadores clave de rendimiento Desarrollo y ensayo de planes básicos de respuesta a incidentes, comunicaciones de crisis, la continuidad del negocio y recuperación ante desastres Asegúrese de revisiones y auditorías formales del modelo de seguridad se llevan a cabo de manera regular y que las deficiencias detectadas se tratan. Todo el proceso de incidentes, cambios y problemas debe realizarse de acuerdo al modelo de operación presentado que debe estar alineado con ITIL V3. 2. Todos los requerimientos establecidos dentro de las especificaciones técnicas de los elementos del proyecto también harán parte integral del modelo de seguridad. ANEXO 14 LP Página 19 de 70

20 3. La información que es soportada por la infraestructura tecnológica que hace parte del proyecto así como los registros que resulten de la operación y funcionalidad de las aplicaciones y la gestión documental de la ejecución del Proyecto pertenecerá al Programa o a la respectiva entidad que tenga servicios asociados con este proyecto. 4. Para el acceso a los componentes de la plataforma tecnológica del proyecto por parte de terceros o subcontratistas para revisiones, diagnóstico, mantenimientos preventivos o correctivos, pruebas de análisis de vulnerabilidad entre otras acciones, el operador debe limitar el acceso al objeto del contrato y supervisar las labores realizadas sobre los dispositivos. Previamente a cualquier acción deben existir cláusulas de confidencialidad sobre la información que se evidencie en los procesos descritos. 5. El operador debe establecer una cláusula de confidencialidad que le permita conocer a los subcontratistas las condiciones bajos las cuales tendrán acceso a la información del Programa y de las entidades. Se deben anexar o indicar la ubicación para consultar todos los requisitos identificados de seguridad antes de dar a los subcontratistas acceso a la información o a los activos del Programa y de las entidades vinculadas al proyecto. 6. El operador debe velar para garantizar una estructura interna mínima necesaria que le permita al Líder de Seguridad vigilancia, control y reportes por componente y por líneas tecnológicas, y provistos por los Analistas de monitoreo de seguridad del equipo de trabajo. 7. El contratista debe establecer un contacto a organizaciones externas (Oficiales de Enlace) que garantice el cumplimiento del modelo de seguridad, como mínimo con: a) Los organismos de seguridad electrónica del Estado (Certificado Digital, El Archivo Digital del Archivo General de la Nación, entre otros) b) MINTIC c) Los Auditores externos d) FONADE e) Unidad de Delitos Informáticos del CTI y DIJIN f) Otras autoridades Judiciales g) Otras entidades usuarias Todo acceso desde redes externas que utilice los recursos tecnológicos del centro de datos principal y alterno requerirán de un estudio previo de riesgos e impacto, para el aseguramiento, garantía de integridad, confidencialidad y disponibilidad de la información que permitan mantener los requisitos contractuales fijados y los acuerdos de niveles de servicio pactados 4.4 Requerimientos Gestión de Activos 1. El contratista debe mantener un inventario actualizado de la plataforma tecnológica que soporta la operación del proyecto usando una CMDB (Base de datos de configuración) centralizada 2. El contratista debe definir los procesos, procedimientos y controles asociados para garantizar la operación, custodia y administración de la información en cada uno de los componentes. 3. El contratista debe crear los procesos, procedimientos y controles para que cada entidad que se vincule al proyecto no cause compromiso en la integridad, disponibilidad y confiabilidad de la intranet gubernamental. 4. El operador debe identificar claramente los lugares donde se almacene y procese información más crítica. Esto con el fin de implementar controles de acceso electrónico ó de otra clase y preservar la confidencialidad e integridad de la misma. Cualquier cambio a las instalaciones donde se realice procesamiento o almacenamiento de la información deberá ser analizado por la Interventoría con el objeto de validar el posible impacto en la seguridad de la información del proyecto. 5. El contratista no podrá almacenar, tratar o tener respaldos de los registros de información físicamente fuera del territorio Colombiano, y fuera de las instalaciones comprometidas con FONADE para este fin. 4.5 Requerimientos Seguridad de los Recursos Humanos ANEXO 14 LP Página 20 de 70