Solicitud de Cambio No: INSTITUTO COSTARRICENSE DE ELECTRICIDAD ORGANIZACIÓN PARA LA NORMALIZACIÓN Plan de Aseguramiento de la Calidad de la Información Contractual del ICE Elaborado por: Dirección Administrativa de Proveeduría Aprobado por: Presidencia Ejecutiva TABLA DE CONTENIDO : : /24 Rige a partir de: 2007/05/03 0. INTRODUCCIÓN... 2. PROPÓSITO... 2 2 ALCANCE:... 2 3 DOCUMENTOS APLICABLES:... 3 4 POLÍTICA:... 3 5 TERMINOS SÍMBOLOS Y ABREBIATURAS:... 3 6 CONTENIDO:... 7 7 CONTROL DE REGISTROS:... 23 8 CONTROL DE CAMBIOS:... 24
2/24 0. INTRODUCCIÓN El Plan de aseguramiento de la calidad de la información contractual, se desarrolla en el marco del Gobierno Digital de la República como instrumento que permita, a la Administración Pública Costarricense, como mínimo mejorar sus procesos de gestión incorporando normativa de calidad y mejora continua de manera sistemática en aspectos como: ejecución, control y seguimiento de sus procesos contractuales.. PROPÓSITO Asegurar la calidad de la información contractual del ICE a ser incluida en el Sistema Integrado de Actividad Contractual SIAC según Directriz de la Contraloría General de la República D-4-2005-CO-DDI publicada en Gaceta 243 del 6 de diciembre del año 2005, mediante: A. Proveer información para la gestión de la contratación administrativa que garanticen calidad, autenticidad, integridad, oportunidad y seguridad. B. Crear conciencia de la importancia de la calidad de la información a través de la sensibilización y comunicación. C. Establecer mecanismos de control interno que respalden la gestión de la información en cuanto a: Calidad de Datos, Infraestructura de sistemas de información, Recurso humano dedicado a esta función y Respaldo de la gestión del aseguramiento de la calidad de la información. 2 ALCANCE: El presente plan es de acatamiento obligatorio para el Instituto Costarricense de Electricidad desde sus órganos superiores, Uen`s, Direcciones, Auditoria, y especialmente el área de operaciones de la gestión de contratación Administrativa (Dirección Administrativa de Proveeduría).
3 DOCUMENTOS APLICABLES: 3/24 CODIGO N/A N/A NOMBRE DEL DOCUMENTO REGISTRO Política Sistema de Gestión Empresarial Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización. 6227 Ley General de la Administración Pública 7202 Ley de Archivos Nacionales 7494 Ley de Contratación Administrativa y su reglamento 83 Ley de administración Financiera y Presupuestos Públicos 8292 Ley de Control Interno 8220 Ley de Protección al ciudadano contra exceso de trámites administrativos 8422 Ley Contra la Corrupción y el Enriquecimiento Ilícito 4 POLÍTICA: Este plan de aseguramiento de calidad de información responde a la política de sistema de Gestión empresarial ICE. 5 TERMINOS SÍMBOLOS Y ABREBIATURAS: 5. TÉRMINOS. acciones: Pasos que se realizan para alcanzar las metas u objetivos acción correctiva: Acción realizada para eliminar la causa de una inconformidad detectada o situación indeseable, con el propósito de evitar vuelva a producirse. acción preventiva: Acción realizada para evitar la causa de una inconformidad potencial u otra situación potencialmente indeseable.
4/24 acciones de mejora: Pasos que se realizan para aumentar la capacidad para cumplir requisitos. Consideran acciones preventivas y correctivas. actividad: Es una secuencia repetitiva y ordenada de operaciones, generalmente dentro del ámbito de un proceso, que están organizadas de forma lógica con recursos (personas, materiales, equipo, energía, dinero, procedimientos, etc.) actividad de control: Políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por entidades de fiscalización y control, por los jerarcas y titulares subordinados para la consecución de los objetivos. control: Método con el cual se planifica y organiza el trabajo para que cumpla con los estándares; orienta a las personas para cumplir con los mismos, mide la actuación propia y de otros; evalúa los resultados y necesidades; reconoce y corrige constructivamente el desempeño. documento: Información y su medio de soporte. En sentido archivístico es todo material escrito, gráfico, audiovisual, magnético, electrónico, digital o legible a máquina producto de las actividades de la Institución y se conserva con fines científicos, culturales, legales o administrativos. documento fuente: Documento basado en información fundamental, originaria recopilada en forma directa por el investigador o autor. evaluación: Medición de la conformidad para satisfacer requisitos especificados. evaluación de riesgo: Actividad del proceso de valoración del riego que consiste en la determinación de las prioridades para la administración. evento: Incidente o situación que podría ocurrir en un lugar específico en un intervalo de tiempo particular. factor de riesgo: Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo lo provoca o modifica su nivel.
5/24 gestión: Actividad coordinada para dirigir y controlar una organización. identificación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos fijados. indicadores: Medios que se utilizan para visualizar el cumplimiento de los objetivos estratégicos. medios de comunicación: Canales utilizados para llevar a cabo el proceso de comunicación. monitoreo: Comprobar, supervisar, observar críticamente o registrar el proceso de una actividad, acción o sistema en forma sistemática para identificar cambios. normalización: Actividad que consisten en establecer, de cara a problemas reales o potenciales disposiciones destinadas a un uso común y repetitivo, con el objeto de alcanzar un grado óptimo de orden en un contexto dado. probabilidad: Medida o descripción de la posibilidad de ocurrencia de un evento. proceso: Conjunto de recursos y actividades interrelacionadas que transforma entradas en salidas. proceso de mejora continúa: Proceso continúo a través del uso de los hallazgos de las auditorias, las conclusiones de las auditorias, el análisis de datos, la revisión por la Dirección u otros medios, generalmente conducen a la acción correctiva y preventiva. registros: Documentos que presentan resultados obtenidos o proporciona evidencia de actividades. riesgo: Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos fijados.
6/24 seguimiento: Acciones orientadas a mantener los estándares en el desempeño y cumplimiento de recomendaciones, directrices y políticas, tanto preventivas como correctivas. tarea: Conjunto de acciones propias de una persona que pertenecen a un fin específico. verificación: Se refiere a las actividades destinadas a confirmar, mediante examen y aporte de evidencia objetiva que el trabajo (propio o de otros) ha cumplido requisitos especificados. Entre otras se puede nombrar la comprobación, recuento, medición, evaluación, inspección, ensayo, etc. 5.2 ABREVIATURAS CGR: Contraloría General de la República. ICE: Instituto Costarricense de Electricidad. DAP: Dirección Administrativa de Proveeduría. UEN: Unidad Estratégica de Negocio. SIAC: Sistema Integrado de Actividad Contractual. ISAF: Integración Sistema Administrativo Financiero.
7/24 6 CONTENIDO: 6.. Comunicación del Plan de Aseguramiento de la Calidad de la Información contractual. 6... Difusión a nivel Institucional. La Dirección Administrativa de Proveeduría será la encargada de difundir el plan de aseguramiento de calidad de la información contractual a nivel Institucional, a través de los diferentes medios electrónicos informativos que posee la Institución. 6...2 Difusión a nivel operacional. La Dirección Administrativa de Proveeduría será la encargada de difundir el plan de aseguramiento de calidad de la información contractual a nivel operacional, dirigiendo esta difusión a áreas estratégicas del negocio como; Auditoria, Directores de área, Coordinadores de la Contratación Administrativa, Administradores de Contrato, personal interno etc. 6.2. Definir la organización y sus relaciones. 6.2.. Responsabilidad de la Sub Gerencia en cuanto a Políticas. La sub. Gerencia Administrativa Institucional será la responsable de implementar las políticas Institucionales en materia de gestión de Calidad de la información contractual y de propiciar un ambiente laboral adecuado para el desarrollo de las mismas, así como de asignar el presupuesto requerido para su cumplimiento. 6.2..2 Responsabilidad del aseguramiento de la calidad de la información. Será responsabilidad del jerarca así como de los titulares subordinados el alcance de los objetivos propuestos en el plan de aseguramiento de calidad de la información contractual, dentro de cada una de sus áreas de competencia. (Sub. Gerencia Administrativa Institucional, Tecnologías de Información, Auditoria, Dirección Administrativa de Proveeduría.)
8/24 6.2..3 Responsabilidad de la Seguridad Lógica y Física. La Dirección de Tecnologías de Información será la responsable de la seguridad lógica y física (Hardware) de la información así como garantizar la calidad (oportunidad, costo razonable, aplicación de estándares y normas técnicas reconocidas) de los sistemas y medios electrónicos de almacenamiento y transmisión de datos. 6.2..4 Responsabilidad del Control Interno. Será responsabilidad del jerarca así como de los titulares subordinados las políticas y procedimientos que permitan obtener la seguridad y la consecución de los objetivos propuestos en cada una de sus áreas de competencia. (Sub gerencia Administrativa, Tecnologías de Información, Auditoria, Dirección Administrativa de Proveeduría Unidades Estratégicas de Negocio, etc.) 6.2..5 Responsabilidad de la información. La Dirección Administrativa de Proveeduría será el área encargada de la recepción, revisión y envío de la información en materia de contratación administrativa, a la Contraloría General de la República de acuerdo a los lineamientos y requerimientos de la resolución 243 del 6 de diciembre del año 2005 6.2.2 Roles y Responsabilidades. 6.2.2.. Coordinadores de la Contratación Administrativa. Serán los responsables de suministrar ante la Dirección Administrativa de Proveeduría la información fuente referente a las contrataciones de suministro de bienes y servicios que suscriba el ICE con particulares o terceros, asegurando su calidad, integridad, oportunidad, autenticidad y transparencia, tanto cualitativa como cuantitativamente. Dicha información debe ser suministrada bajo el formato que indique la Dirección Administrativa de Proveeduría 6.2.2.2 Área de Auditoria Interna. Será la responsable con base en la ley de control interno de realizar los estudios pertinentes sobre la correcta aplicación del plan de aseguramiento de calidad de la información contractual que el ICE envía al SIAC en apego a la resolución 243 de la Contraloría General de la República y de informar al Director de la Proveeduría sobre sus resultados para la toma de decisiones y mecanismos de corrección.
9/24 6.2.2.3 Dirección Administrativa de Proveeduría. Coordinar a lo interno de la Dirección de Proveeduría las políticas en materia de gestión de calidad de la información contractual, así como establecer los mecanismos adecuados en materia de recursos, materiales y presupuesto que aseguren el logro de los objetivos. Asegurar que se emprendan acciones de mejora continua. Crear una cultura de calidad la cual es un factor importante para asegurar el éxito. Revisar el sistema de gestión de calidad de la información a intervalos planificados para asegurar su continua idoneidad Asegurar que los compromisos de prevención de riesgos de la Dirección Administrativa de Proveeduría operan efectivamente. 6.2.2.4. Coordinadores de nivel de la Dirección de Proveeduría. Fomentar la cultura de calidad de la información en su personal. Asegurar que los compromisos de prevención de riesgos de la Dirección Administrativa de Proveeduría se ponen en práctica diariamente. Supervisar y controlar el cumplimiento del plan de aseguramiento de calidad de la información de cada una de sus áreas. Asegurar la recepción, digitación y envío de información en términos de calidad, integridad, oportunidad, autenticidad y transparencia, tanto cualitativa como cuantitativamente. Asignar personal competente encargado del proyecto. Proporcionar al personal las herramientas, técnicas y métodos apropiados para efectuar el seguimiento y control de los procesos. Evaluar la eficiencia y eficacia de los procesos mediante revisiones internas o externas. Así como de velar por las medidas correctivas, plan de mejora del servicio, actualización de procedimiento y normativa, asignación de roles, estudios mensuales, control del riesgo y reportes e informes que solicite sus superiores. Documentar procesos, incidencias, mejoras aplicadas, resultados, cambios implementados, reportes, etc.
0/24 6.2.2.5. Personal de Proveeduría encargado de alimentar el Sistema Integrado de la Actividad Contractual (SIAC). Poseer una responsabilidad y autoridad bien definida en su participación. Será el personal de cada una de las áreas responsables por la recepción, análisis, inclusión y envío de información al ente rector de acuerdo a los requisitos de la resolución 243 del 6 de diciembre del año 2005, ley de Administración financiera de la República y presupuesto público, Ley de control interno. Resguardar la confiabilidad y asegurar el uso adecuado de su clave de acceso 6.3. Administrar los Recursos Humanos. 6.3.. Roles y Responsabilidades. La administración del recurso humano dedicado a la recepción, análisis e inclusión de la información con la cual se alimenta el sistema SIAC será responsabilidad de los coordinadores de nivel de la Dirección Administrativa de Proveeduría de acuerdo al punto 2.2.5. quienes a su vez deben velar por la adecuada asignación en cantidad y calidad del mismo, así como de otorgar permisos, vacaciones y realizar los ajustes o tomar las medidas provisorias del caso para que la información fluya en todo momento de acuerdo a lo indicado en términos de calidad, oportunidad, integridad, autenticidad y seguridad. 6.3..2 Capacitación del personal. La Dirección Administrativa de Proveeduría debe asegurar una adecuada capacitación de su personal en materia de calidad de la información para cada uno de los procesos, sistemas ISAF-SIAC, y aseguramiento de calidad, así como aplicación de los objetivos de este plan de calidad de la información y su debida motivación y actualización, para lo cual deberán integrar en el plan anual de proyectos en el apartado de capacitación estos aspectos, garantizando mínimo una actualización anual. 6.3..3 Procedimientos de Acreditación de Personal. La acreditación del personal para la alimentación del sistema SIAC, se dará con aprobación de los coordinadores de cada área de la Dirección Administrativa de Proveeduría, quienes deben dirigir por escrito la solicitud al funcionario interno que la Dirección de Proveeduría designe como enlace con el ente Contralor, indicando las necesidades de nuevas acreditaciones, eliminación de acreditaciones, incidencias con acreditaciones (revisión de perfiles) en el formulario desarrollado para esos efectos. El
/24 compañero designado como enlace con el Ente Contralor deberá revisar los datos sean completos de acuerdo a la solicitud de la Contraloría y remitirla al ente regulador para que este proceda a crear los enlaces o eliminar o cambiar al personal asignado según sea el caso. 6.3..4 Evaluación de Desempeño de los Empleados. Se realizará por parte de cada coordinador de área un informe trimestral a la Dirección de Proveeduría sobre el desempeño de los funcionarios encargados de la alimentación del sistema SIAC, indicando en el mismo una calificación porcentual y las medidas correctivas propuestas a aplicar, para ello como insumo adicional servirán los reportes de desempeño del siguiente apartado. 6.3..5 Monitoreo y Reporte del desempeño. Se designará una unidad de monitoreo independiente de las áreas de contrataciones directas y licitaciones con el fin de realizar el informe del punto anterior. Esta unidad de monitoreo entregará un informe trimestral al Director de Proveeduría y a los coordinadores de las áreas de licitaciones y contrataciones con el fin de que se tomen las medidas correctivas pertinentes. Se establece un monitoreo al proceso por etapas que evalúe la información incluida por el funcionario al sistema SIAC considerando la cantidad y calidad de datos incluidos en las fases establecidas para el proceso, aplicando la siguiente fórmula como principio básico de control interno. Z²α/2 pq N Z²α/2 S² n = ----------------- = n = --------------- d² + Z²α/2 pq Nd² + Z²α/2 S² Donde: n = tamaño de la muestra. N = tamaño de la población. Zα/2 = variable estandarizada de distribución normal. S² = varianza de la muestra. d = precisión del muestreo. α = Nivel de significancia
2/24 6.3..6 Programa de Mejoramiento del Servicio. Cada coordinador conjuntamente con el funcionario enlace ante contraloría y los funcionarios encargados de alimentar el sistema ISAF y SIAC en coordinación con Tecnologías de información deberán implementar un programa de mejoramiento de sus procesos de acuerdo a los lineamientos, directrices, resoluciones etc. emitidas por el ente contralor y evaluando los monitoreos y supervisión de la gestión de calidad de la información de cara al servicio. Este programa debe ser documentado y contemplarse como una actividad habitual del negocio. 6.4. Arquitectura de información. 6.4.. Modelo de la Arquitectura de Información (ISAF). La arquitectura de información está soportado por un motor de base datos Sybase y reside en un computador de alta capacidad de almacenamiento y procesamiento 6.4..2 Niveles de Seguridad. - Capa de Red: Autenticación y Validación Usuario 2- Capa de Base Datos: Usuario Base Datos y perfil Grupo Sybase. 3- Capa de Presentación: Usuario y perfil Grupo Sybase. 6.4..3 Monitoreo y Evaluación. Se realizan monitoreos semanales, mensuales e incluso se puede establecer un periodo de tiempo para el monitoreo por rango de fechas o bien por rango de numeración de contrataciones o bien por responsable encargado, también se pueden hacer monitoreos de estas variables cruzadas. En esta misma línea se aplican las evaluaciones de desempeño enfocada por etapa y cantidad. 6.4.2 Administrar la información. 6.4.2. Protección de Información Sensible durante transmisión y transporte. Debido a la importancia que la contratación administrativa reviste en la cadena de abastecimiento y como elemento desarrollador de la gestión Institucional se considera que toda la información debe tratarse como sensible por la relevancia legal que posee.
3/24 6.4.2.2 Recopilación de Datos de Documentos Fuente. Debido a que los documentos fuente son todos en soporte de papel, y forman parte del expediente administrativo que custodia esta Dirección Administrativa de Proveeduría la recolección de datos se realiza en forma directa y manual, posteriormente incorporándose al sistema. 6.4.2.3 Manejo de errores de documentos fuente. Los errores en documentos fuente son tratados de acuerdo a la importancia del mismo y a la particularidad del documento fuente, dando lugar a una posible enmienda al documento o al rechazo de plano del mismo y su sustitución de acuerdo a los procedimientos establecidos. Canalizando mediante reporte (generalmente correo electrónico) al área que corresponda, donde se les da trámite para gestionar la solución respectiva, todo lo anterior en apego a la Ley de Contratación Administrativa, su reglamento y ley 7200 Ley de archivo nacional 6.4.2.4 Retención de Documentos Fuente. Todos los documentos que conforman el expediente administrativo son retenidos y custodiados de acuerdo a la ley de Contratación Administrativa en la Dirección Administrativa de Proveeduría, en concordancia con las prácticas archivísticas de la ley 7200 por un periodo de hasta 5 años después de concluido el trámite totalmente. 6.4.2.5 Manejo de Errores en la Entrada de Datos. A través de monitoreos establecidos para cada etapa a evaluar en el proceso, aplicando la formula del punto 3..5. se verifican los posibles errores en la entrada de datos y se registra como incidencia y se ingresa al reporte personal del funcionario para efectos de evaluación de desempeño. 6.4.2.6 Revisión de Datos de Salida y Manejo de Errores. A través de un monitoreo establecido para cada etapa a evaluar, aplicando la formula del punto 3..5. se verifican los posibles errores en la salida de datos y se registra como incidencia y se ingresa al reporte personal del funcionario para efectos de evaluación de desempeño. Así mismo se le da seguimiento y análisis para tomar las mediadas correctivas de cada caso.
4/24 6.5. Garantizar la seguridad de sistemas. 6.5.. Administrar Medidas de Seguridad. La administración de la seguridad a nivel del sistema se basa en el uso del login y password para las diferentes capas: presentación y base de datos. Para cada usuario se define un perfil, mismo que dicta a lo interno de la aplicación el subconjunto de programas a los cuales tiene acceso estricto, dependiendo de su rol y funciones dentro del proceso asignado. La creación de estos usuarios, así como la asignación de su rol, es solicitada por la jefatura y el visto bueno del administrador del sistema mediante nota formal o correo electrónico al centro de operaciones del área de tecnologías de Información CALL. Con base a esta solicitud se procede a remitir el caso a los administradores de los servidores de aplicación y de base de datos. 6.5..2 Identificación, Autenticación y Acceso. A nivel de la base de datos se controla el acceso mediante el código de acceso, clave y control de acceso por grupos de usuarios. 6.5..3 Seguridad de Acceso a Datos en Línea. Una vez que el dato está en línea para poder realizar una cambio, este puede realizarse únicamente por el usuario acreditado para ello (rol específico para modificar datos) previo consentimiento del administrador interno del área. El cambio realizado quedará registrado e informado mediante reporte automático. En caso de que el funcionario autorizado para realizar los cambios a los datos en línea no este presente, estos pueden ser cambiados mediante solicitud al administrador de la base de datos, quien en todo caso también dejara indicado el registro. a. A nivel del aplicativo: el acceso al sistema se hace mediante una clave de acceso de usuario, Esta clave de acceso se desactiva automáticamente después de un plazo de no uso de un mes. b. A nivel del servidor donde reside el aplicativo: El usuario debe estar previamente definido como usuario con su cuenta respectiva (y permisos asociados) en el servidor, misma que tiene que coincidir con el usuario que hace ingreso a la red. c. A nivel del servidor donde reside la base de datos: El nombre de usuario y clave deben estar creadas con su respectivo LOGIN y PASSWORD
5/24 6.5..4 Administración de Cuentas de Usuario. Únicamente el Administrador de la base de datos puede crear nuevos usuarios en el servidor contra una solicitud escrita de los responsables de la administración de los sistemas. (Unidad de monitoreo independiente) Estos usuarios son validados mediante el sistema de seguridad del servidor de base de datos. 6.5..5 Control de Usuarios sobre Cuentas de Usuario. Los usuarios solo pueden cambiar su propio password, pero no puede modificar su propio acceso a la información ni los permisos de otros usuarios. 6.5..6 Respaldos de la infraestructura de la información. Se realizan respaldos diarios totales de todas las bases de datos, dos veces al día a las 2:00h y a las 22:00h. Hay dos centros de cómputo, uno en Sabana y otro en San Pedro. 6.5..7 Reportes de Violación y de Actividades de Seguridad. Mediante la aplicación se valida el acceso y se inactiva los username que no han estado en uso. (90 días). 6.5..8 Manejo de Incidentes. Las incidencias son canalizadas mediante reporte a un centro de atención al cliente, donde se les da trámite para gestionar la solución respectiva. 6.6. Administrar las instalaciones. 6.6.. Seguridad Física. El centro de cómputo donde reside el equipo que alberga el sistema, cuenta con acceso restringido mediante un sistema de seguridad de tarjetas, restringiendo así el acceso directo solo al personal del centro del cómputo. Personal ajeno al centro de cómputo puede ingresar solamente bajo la escolta de un trabajador del centro. 6.6..2 Discreción de las Instalaciones de Tecnología de Información. Las instalaciones se encuentran dentro del Edificio del ICE San Pedro, donde se tiene acceso restringido
6/24 6.6..3 Escolta de Visitantes. Los visitantes pueden ingresar al centro de cómputo solamente bajo la responsabilidad de un empleado del centro de cómputo, además deben llenar una bitácora donde se anota: nombre del visitante, motivo de la visita, hora de entrada y hora de salida. 6.6..4 Salud y Seguridad del Personal. El centro de cómputo está diseñado de tal forma que vela por la salud y seguridad del personal, se cuenta con salas diferentes para personal y equipo. Además la Institución posee normas claras en materia de seguridad y un área de seguridad industrial que vela por aspectos de infraestructura, ventilación, luminucidad, ruido etc. como también se posee un programa especial de Clima laboral que esta bajo el auspicio del área de Recursos Humanos y vela entre otros aspecto de elementos similares. 6.6..5 Protección contra Factores Ambientales. El centro de cómputo cuenta con protección contra incendios e inundaciones. Circuito cerrado de vigilancia y además el edificio en su totalidad es antisísmico. 6.6..6 Suministro Ininterrumpido de Energía. Se cuenta con conexiones alternas al sistema nacional de energía, además de sistemas de suministro de energía ininterrumpida 6.7. Evaluar riesgos. 6.7.. Identificación de Riesgos. Se identifican tres grandes áreas de riesgo, a saber lo que corresponde con: a- Factor Humano b- Documentos fuente c- Servidores y líneas de transmisión 6.7..2 Plan de Acción contra Riesgos. a. Factor Humano: Desarrollar un equipo de trabajo especializado en materia de fiscalización, seguimiento y control que de soporte y garantice un adecuado manejo y mantenimiento al plan de calidad de la información contractual, así como iniciar una
7/24 campaña de información y motivación a todos los funcionarios relacionados con el proceso de calidad de la información. Asegurar en cada una de las áreas grupos de trabajo en el mantenimiento oportuno de los sistemas con personal de contingencia para casos de excepción, y desarrollar un manual para este proceso. b. Documentos fuente: Aplicación de medidas de seguridad rígidas en cuanto al manejo y revisión de documentos fuentes, asegurando su idoneidad, oportunidad e integridad. c- Servidores y líneas de transmisión Los servicios de proveeduría esta dentro del Back-Bone principal de la red institucional, esto es de suma importancia puesto que se establece diferentes rutas alternativas para los servicios provistos en los servidores de ISAF, de tal forma que a nivel de seguridad se ha tomado las medidas a nivel interno para que no se pierda la conectividad con los usuarios debido a la redundancia propia de los enlaces. De igual forma que los servidores están conectados a los equipos activos dentro del Back Bones principal, esta entidad presenta la misma características de enlace y por ende las mismas ventajas de seguridad denotadas sobre los servidores donde esta la aplicaciones de ISAF. 6.7..3 Selección de Salvaguardas. 6.7..4 Recursos Críticos de Tecnología de Información. ANCHO DE BANDAS: Dentro de los planes de mejoramiento constante del área de infraestructura de comunicación se sitúan también las ampliaciones de los anchos de banda actuales del Back-Bone en muchos nodos de red adjuntos a la red principal, en su mayoría serán anchos de banda de Gigabit, los cual como consecuencia directa causarán un mayor rendimiento en la red de datos y los servidores adjuntos a la misma. CONEXIONES A INTERNET: Desde el punto de vista de red y transporte de la información o datos, propios de nuestra competencia, es un factor clave establecer una adecuada conexión al exterior, este elemento es adicional y fuera de propios cuidados de factores de seguridad de la información que deben de tomarse en cuenta en toda red de datos a nivel interno. FIREWALL: Para efectos de seguridad se han establecido paredes de fuego o Firewall contra posibles intrusos tanto a nivel de Internet como de la intranet, de tal forma que la Institución esta cubierta contra posibles ataque indeseados externos. De igual forma que se proyectan mejoras en el Back-Bone, se ha planificado otra modificaciones al actual sistema de seguridad, especialmente de servicios como
8/24 Internet e intranet, la mejora se enfoca en un duplicación de los niveles de seguridad al anteponer un firewall doble en ambos puntos de conexión a dicho servicios, generando un escenario mucho mas complejo y seguro para posibles ataques a la red Institucional y su servicios. MONITOREO DE RED: En otro ambiente de control y seguridad de los servicios soportados por la red de datos de la Institución se encuentra también los software y Hardware para monitorear los eventos dentro de la red en servicio, la institución cuenta con un plataforma para dar esta necesidad llamada como SASTI, (Sistema de Administración de servicios de tecnologías de información). En la actualidad dicho sistema cubre las mayoría de los elementos de la red a nivel de equipos activos y servidores principales, con esta herramienta es posible, visualizar en tiempo real las anomalías que se presenta dentro de la plataforma de comunicación de datos, hecho que se efectúa en tiempo real, esto permite que personal altamente preparado pueda entender dichos eventos en tiempos bastantes rápidos, evitando las molestias correspondientes y permitiendo el desarrollo del negocio sin mayor incidencia. Además el sistema cuenta con herramientas que permiten proyectarse hacia mejoras en el corto y mediano plazo, ya que los datos ofrecidos permiten desarrollar una adecuada planificación y por ende mejoramiento de los sistemas de comunicación. MEJORAS EN SERVICIOS DE MONITOREO: Al igual que otros elementos de red el mejoramiento constante también aplica a este rubro, actualmente ya se esta desarrollando la actualización de los sistema de monitoreo, con un alcance proyectado a cubrir no solo los servicios y equipos actuales, si no otros servicios no cubiertos. Objetivamente; La importancia de estos planes de acción sobre los servicios es que garantizan altos niveles de seguridad de la actividad de los diferentes sistemas adscritos a la red institucional. 6.7..5 Almacenamiento del Back-up fuera del Sitio. Se cuenta con dos servidores para el respaldo de la información situados; uno en Sabana y otro en San Pedro, también se cuenta con un auxiliar para casos de extrema urgencia ubicado en Cañas.
9/24 6.8. Monitorear el proceso. 6.8.. Recolección de Datos de Monitoreo. La recolección de datos se realizar en forma diaria y automática en algunos procesos (etapas) para otros casos se realiza el estudio mediante monitoreo semanal, mensual y trimestral. 6.8..2 Evaluación de Desempeño. Así como en los puntos anteriores 3..4 y 3..5 existe una evaluación del desempeño sobre los actores, también existe un procedimiento para evaluar el desempeño del proceso, mediante informes estadísticos sobre la varianza en la aplicación de la formula la cual debe oscilar entre un +,- 90% de confiabilidad. 6.8..3 Evaluación de la satisfacción de Clientes. Existen tres tipos de clientes a- Internos: Constituidos por las unidades estratégicas de negocio (UEN) y direcciones administrativas que requieren canalizar sus necesidades de compra a través de la Dirección Administrativa de Proveeduría, a los cuales se les realiza una encuesta semestral sobre el servicio y continuamente se realizan reuniones para tratar aspectos específicos del negocio. b- Externos: Son clientes a los cuales les interesa ofrecer sus bienes y servicios al Instituto, (Proveedores) para los cuales se diseñó una encuesta de satisfacción del servicio y se distribuye en periodos semestrales. c- Cliente específico: Se refiere a la Contraloría General de la República la cual monitorea constantemente nuestro servicio y nos retroalimenta sobre sus necesidades de información, a través de los contactos con el personal del centro de operaciones del SIAC quienes siempre están anuentes a recibirnos y concretar alguna consulta. 6.8..4 Reportes Gerenciales. Se tiene previsto informar de manera permanente a cada coordinador de área respecto a los resultados de los monitoreos y supervisión de desempeño de sus colaboradores, para la toma de desiciones y la aplicación de medidas correctivas, igualmente informar mensualmente a la Dirección con los resultados del periodo. Todo lo anterior debidamente documentado
6.9. Administrar problemas e incidentes. 20/24 6.9.. Sistema de Administración de Problemas.. El cliente reporta al Centro de Atención de Llamadas de la Dirección de Tecnologías de Información (CALLDTI), mediante llamada telefónica o correo electrónico, las incidencias presentadas en los sistemas corporativos. 2. El CALLDTI, registra los reportes recibidos en el sistema SASTI, el cual les asigna automáticamente un número de consecutivo. 3. El Agente del CALLDTI procede a resolver la incidencia según los procedimientos establecidos. Si su acción es efectiva, verifica con el cliente la solución del problema, registra en SASTI las acciones realizadas y cierra el reporte, de lo de lo contrario canaliza el reporte de incidencia al área técnica especializada que corresponda. 4. El área técnica especializada investiga el origen del problema, lo soluciona y comunica lo actuado al CALLDTI. 5. El agente del CALLDTI verifica con el cliente la solución del problema. Si el problema persiste lo envía nuevamente al área técnica especializada, si no registra en SASTI la solución dada y cierra el reporte. 6.9..2 Escalamiento de Problemas. El CALLDTI, según el tipo de problema, procede con el escalamiento definido. Si la solución no se da en el tiempo establecido, se escala el reporte a la jefatura inmediata del funcionario que lo está atendiendo. Si continúa sin solucionarse en el tiempo establecido a este nivel, se escala a la jefatura inmediata en la línea de mando, y así sucesivamente. 6.9..3 Seguimiento de Problemas y Pistas de Auditoria. El CALLDTI, cuando canaliza un reporte de incidencia a las áreas técnicas especializadas, realiza un constante seguimiento sobre el mismo para corroborar su estado y mantenerlo actualizado (por ejemplo: reporte pendiente, en ejecución, resuelto, cerrado). 6.9..4 Autorizaciones de Acceso de Emergencia y Temporarias. Aplica lo establecido en los ítems anteriores 3..3, 5..4 y 5..5
6.0. Gestión de Calidad de la información. 2/24 6.0.. Procedimiento para la Documentación de Programas. Las soluciones de automatización están estructuras bajo políticas Institucionales orientadas a soluciones de sistemas, por lo cual gran parte de su desarrollo debe respetar los marcos de referencias y estándares asignados. 6.0..2 Procedimiento para Pruebas de Sistemas. a. Se cuenta con tres ambientes para el software de las aplicaciones, es decir tres servidores: desarrollo, pruebas de calidad y producción. b. Se cuenta con tres ambientes para bases de datos, también tres servidores: Desarrollo, pruebas de calidad, producción. c. Los programadores realizan sus actualizaciones o crean sus programas en el ambiente de desarrollo, en esta fase se afinan procesos y se construyen los requerimientos, también hay una fase previa de calidad antes de llevarlo a una publicación para presentación al cliente a cargo de los programadores, analistas y coordinador del proyecto. d. En el ambiente de calidad, se le hace la presentación al cliente y además se establece el plan para la certificación del producto, se le prepara un ambiente casi idéntico a producción, en datos y permisos; aún en esta fase se puedan determinar ajustes menores antes de definir un paralelo o publicarlo a producción, incluso el usuario puede probar todos los casos para garantizar que el producto cumple con lo solicitado. e. Para la publicación en producción se cuenta con el visto bueno del cliente, y se acuerda una fecha especial para el pase. Dependiendo del impacto del cambio o módulo a publicar se hace un comunicado a los clientes para anunciar la mejora, y si fuera necesario se anuncia con 3 días de anticipación la posible interrupción del servicio sistema, lo cual ocurre en horas NO laborales. 6.0..3 Documentación de las Pruebas del Sistema. Básicamente se realizan sesiones de seguimiento semanales, dentro de las cuales se establece el grupo de requerimientos que están listos para cada ambiente. Se trabaja mediante minutas de resultados y de avance, para que tanto programadores como administradores estén enterados del avance, y por si es necesaria la programación de demos o pruebas conjuntas antes de pasar al ambiente de Calidad. A los clientes se
22/24 les hace un resumen vía correo electrónico para comunicar el avance o su participación según sea la etapa del ciclo de vida del sistema. 6.0..4 Reportes de Revisiones de Aseguramiento de Calidad de la información. El administrador del sistema del área administrativa donde se desarrolló la aplicación es quien le lleva el pulso a la misma y mediante reportes vía correo electrónico mantiene constante comunicación con el área de apoyo de Tecnología Informática para mantener la actualización, transparencia, monitoreo del sistema a través de un operador de cliente quien es el encargado de esa Dirección en materia de desarrollos. 6.0..5 Evaluación sobre el cumplimiento del aseguramiento de la calidad de la información. La alta dirección lleva a cabo una revisión del Sistema de Gestión de Calidad de la información (Revisión por la Dirección) en intervalos máximos de 6 meses o después de cada auditoria interna. La revisión es una actividad documentada con el propósito de: a) Asegurar la adecuación, conveniencia y efectividad del Plan de Aseguramiento de Calidad de la información, en el logro de la política de calidad, los compromisos de prevención de riesgos y en el cumplimiento de las necesidades del cliente. b) Evaluar la necesidad de cambios al Plan de Aseguramiento de Calidad de la información, incluyendo la política de la calidad, los compromisos de prevención de riesgos y los objetivos para mejorar la efectividad y cumplir mejor las necesidades y expectativas de nuestros clientes. c) Asegurar que el Sistema de Aseguramiento de Calidad de la información contribuye con los resultados del negocio. Los insumos del proceso de Revisión por la Dirección incluyen entre otros las siguientes: a) Resultados de auditorias y evaluaciones de cumplimiento con los requisitos legales y otros requisitos b) Retroalimentación del cliente (incluyendo datos de medición de la satisfacción del cliente y quejas del cliente), así como las comunicaciones de otros grupos de Intereses externos, incluyendo las quejas o sugerencias c) Desempeño de los procesos y conformidad del servicio d) Desempeño de prevención de riesgos de la Dirección Administrativa de Proveeduría
23/24 e) Grado de cumplimiento con los objetivos y metas del Plan de Aseguramiento de Calidad de la información. f) Estado de las acciones correctivas y preventivas g) Acciones anteriores de seguimiento de revisiones por la dirección h) Recomendaciones de mejora I) Circunstancias cambiantes, que incluyan la evolución de los requisitos legales y otros requisitos relacionados con sus aspectos ambientales y prevención de riesgos. J) Revisión de la planta física, mobiliario, equipo de oficina, flotilla vehicular, redes y sistemas de información críticos. 6.0..6 RESULTADOS DE LA REVISIÓN. El Reporte de Revisión por la Dirección, debe indicar las actividades pendientes las conclusiones alcanzadas y las acciones identificadas. Estos reportes se usan para guiar y mejorar el Sistema de Gestión de Calidad al documentar: i. Las acciones requeridas para mejorar continuamente la efectividad del Sistema de Aseguramiento de Calidad de la información y los procesos relacionados. ii. Las acciones requeridas para mejorar continuamente los servicios para mantener un alto nivel de satisfacción del cliente y cumplir consistentemente con los requisitos del cliente, así como mejorar el desempeño ambiental y de prevención de riesgos y su relación con los grupos de interés. iii. Los recursos adicionales necesarios para la operación efectiva del Sistema de Gestión Calidad de la información, incluyendo necesidades de recursos humanos, infraestructura y ambiente de trabajo. Los reportes de la Revisión por la Dirección sirven como registros para el Sistema de Gestión de Calidad de la información. 7 CONTROL DE REGISTROS: APARTADO DESCRIPCIÓN DEL REGISTRO No aplica