Código : A-RI-L02 Versión : 01 Página 1 de 31 0. INTRODUCCION. En los últimos años el área de informática y comunicaciones de la universidad está preocupada por establecer mecanismos de calidad en la prestación de servicios TIC a la comunidad Universitaria y a la sociedad en general. La evolución de la Universidad ha permitdo el crecimiento en personal docente e investigador, estudiantes, y ha generado la demanda de nuevas necesidades en tecnologías de la información y las comunicaciones (TIC) que ha hecho que en el área se plantee establecer la medidas necesarias para gestionar los servicios TIC a la comunidad universitaria con las mejores prácticas según ISO / IEC 20000, para garantizar que se satisfacen de manera adecuada.las necesidades y solicitudes de las comunidad acadèmica en relación con tecnología e Información TI En la actualidad el área de Informática de la Universidad que esta representada en el Grupo Organizaciòn y Sistemas, atiende a la comunidad universitaria alrededor de 20 tipos de incidencias y peticiones que se han consolidado en cinco (5) servicios de su catálogo, articulados desde las áreas en que se trabaja en el grupo que son: Desarrollo de aplicaciones, soporte tècnico, aulas de Informàtica y redes. Aun cuando expresamente el Grupo Organización y Sistemas reconoce que la calidad es competencia de todos cuantos realizan actividades en la Universidad Pedagógica y Tecnológica de Colombia, se considera necesario contar con un Sistema de Gestión de Calidad de Servicios TI que asegure y mejore la calidad de los servicios que ofrece, mediante el fortalecimiento de su cultura cuyo proceso, requiere de un cambio de actitud. Un cambio de actitud positiva conlleva a una cultura de calidad, que se caracteriza por un conjunto de valores, principios y procesos que requieren una serie de pasos intencionados, sistemáticos y ordenados. No se logra de un día para otro, ni con el esfuerzo aislado de algunas personas. Se requiere que existan condiciones institucionales para la adecuada prestación de los servicios, así como de personas que de manera individual y colectiva posean un conjunto de conocimientos, habilidades, capacidades, actitudes y valores. Con la implementación de la cultura del servicio en el área de TI de a Universidad, donde se genera el rol de prestador de Servicios de TI para el Grupo Organización y Sistemas se busca mejorar la prestación de los servicios, garantizando satisfacción de los clientes.
Código : A-RI-L02 Versión : 01 Página 2 de 31 1. OBJETIVOS DEL SISTEMA DE GESTIÓN DE SERVICIOS. SGS. Establecer los servicios de TI conforme a los requerimientos de los clientes. Prestar los servicios de TI en concordancia con los acuerdos de niveles de servicio. Evaluar continuamente la calidad de los servicios prestados, para aumentar la satisfacción de los clientes 2. ALCANCE. El Sistema de Gestión de Servicios (SGS) de la Universidad Pedagógica y Tecnológica de Colombia comprende los servicios del proceso Gestión de Recursos Informáticos identificados así: Desarrollo de Aplicaciones Asistencia Técnica Aulas de Informática Infraestructura de Red y Comunicaciones Gestión de Seguridad Informática 3. POLITICA DEL SGS La Universidad Pedagógica y Tecnológica de Colombia, institución de Educación Superior, desarrolla sus procesos misionales de docencia, investigación y extensión. Como estrategia de acompañamiento tecnológico la Universidad se compromete a ofrecer y mantener servicios de Tecnología e Información (TI) en concordancia con las necesidades de sus procesos y clientes, mediante la implementación del Sistema de Gestión de Servicios en beneficio de la mejora continua. 4. REQUISITOS DEL SERVICIO. Los requisitos de los servicios que hacen parte del SGS, están considerados en la Matriz de requisitos y servicios del SIG Sistema Integrado de Gestión de la UPTC, además los requisitos han sido considerados en el procedimiento Gestión de Servicios Nuevos o Modificados, A-RI-P14.
Código : A-RI-L02 Versión : 01 Página 3 de 31 5. LIMITACIONES CONOCIDAS QUE PUEDAN AFECTAR EL SGS. Actualmente no se han identificado limitaciones que afecten el Sistema de Gestión de Servicios de la UPTC. 6. POLITICAS, NORMAS, REQUISITOS LEGALES Y REGULATORIOS. De acuerdo con la implementación del SGS se han generado algunas políticas adicionales a la política del SGS, las cuales se relacionan a continuación: Existen otras políticas asociadas a la seguridad de la Información que pueden ser consultadas en el Manual del Sistema de Gestión de Seguridad de la Información SGSI. Las políticas de cambios y entregas se consultan en los procedimientos establecidos. 6.1. POLITICA DE MEJORA CONTINUA La Política de Calidad y Mejora del Servicio de los servicios prestado desde el Grupo Organización y Sistemas, para el logro de la Mejora del Servicio que presta a la Comunidad Universitaria y la consecución de los mejores resultados en relación a todos los grupos de interés, tiene en cuenta los siguientes principios: - Principios. La calidad y la mejora continua de los servicios es responsabilidad de todos y lo es, asimismo, su incorporación a la tarea (gestión) diaria. La mejora continua es el camino de la excelencia. - El liderazgo. Es la coordinación del Grupo organización y Sistemas en Conjunto con el Comité de Calidad del proceso Gestión de Recursos Informáticos la que impulsa y dirige la política de calidad y mejora de los servicios de TI. - Políticas y Estrategias. El desarrollo de políticas de gestión de los servicios de TIC como orientación a las planificaciones estratégicas y operativas para conseguir los objetivos programados, alineados en cada momento con el Plan de Desarrollo de la UPTC. - Personal. El desarrollo de políticas de personal. La promoción laboral, la formación, el aprendizaje y la innovación continua como forma de alcanzar un mayor rendimiento y eficacia en la gestión y mejoras de Servicios TIC. Planificación de la gestión por competencias y el desempeño de objetivos. - Procesos. La gestión por procesos supone una mejor coordinación de las actividades a realizar. Implementación de un Sistema de Gestión de Servicios TI (SGS) basados en procesos según la guía de buenas prácticas de ITIL y procesos certificables según la norma ISO/IEC: 20000.
Código : A-RI-L02 Versión : 01 Página 4 de 31 - Resultados. La orientación hacia los resultados. Sólo se puede mejorar aquello que se puede medir. (Medición de resultados en las personas, clientes, sociedad y resultados claves). La prestación de servicios de calidad que cumplan con las expectativas e intereses de los usuarios y clientes. La orientación al cliente. Sus necesidades son el núcleo central de la actuación de la gestión del Grupo Organización y Sistemas. - Planificación: La Planificación de la Mejoras se realizará conforme a criterios de oportunidades, viabilidad de recursos y activos, Programación presupuestal anual de la UPTC, generando proyectos de Inversión, con repercusiones en los usurarios y clientes, capacidad, disponibilidad, eficiencia y eficacia. Estos criterios serán evaluados en las auditorias internas. - Evaluación y Revisión: Se realizarán al menos dos auditorias (una interna y otra externa) del Sistema de Gestión de Servicios de TI, con los criterios de evaluación de oportunidades. Se deberán especificar y comunicar las No Conformidades y realizar un plan de mejoras para las acciones correctivas. - Mejoras: se documentarán todas las mejoras en el Sistemas de Información destinado por la UPTC para dicho fin, allí se puede detallar el ciclo de vida de las mejoras (trazabilidad) propuestas en el Sistema de Gestión de Servicios SGS. - Informes de la Dirección: Al menos una vez al año la dirección del Grupo Organización y Sistemas emitirá un informe conforme al cumplimiento de los objetivos trazados en la gestión de los servicios de TIC, así como retroalimentación del cliente, comportamiento y conformidad del servicio y de los procesos, niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros, capacidades humanas y técnicas actuales y previstas, riesgos, resultados y acciones de seguimiento de las auditorías, resultados y acciones de seguimiento de las revisiones de la gestión previas, estado de las acciones preventivas y correctivas, cambios que puedan afectar al SGS y los servicios, oportunidades de mejora. 6.2. POLITICA DE CAPACIDAD la política de capacidad del grupo organización y sistemas, para el logro de la mejora de los servicios que presta a la comunidad universitaria y la consecución de mejores resultados en relación a todos los grupos de interés, se basa en los siguientes principios: 1. Asegurar que los niveles apropiados de la monitorización de recursos y la ejecución de los sistemas son establecidos, y que la información grabada se mantiene actualizada y utilizada por todas las partes que participan en la gestión de capacidad. 2. Producir planes de capacidad alineados con el plan de desarrollo de la universidad y los proyectos del Grupo Organización y Sistemas que se encuentren en el banco de
Código : A-RI-L02 Versión : 01 Página 5 de 31 proyecto de la universidad, identificando los requerimientos de la capacidad con anticipación para lograr la ejecución de las actividades. 3. Documentar las necesidades de cualquier incremento o decremento en hardware basado en requisitos del nivel del servicio y los costos implicados. 4. Producir informes de gestión periódicos que incluyan la utilidad de los recursos actuales, tendencias y previsiones. 5. Medir los nuevos sistemas propuestos para determinar los recursos de los sistemas, plataforma y de red requeridos, para determinar la utilización del hardware, la ejecución de los niveles de servicio y los costos implicados. 6. Valorar las nuevas tecnologías y su relevancia en la organización en términos de ejecución y costos. 7. Valorar los nuevos productos de hardware y software para el uso de la gestión de capacidad que pueden mejorar la eficiencia y efectividad de los procesos. 8. Mantener el conocimiento de la demanda futura para los servicios TI y ser proactivos a los efectos de la demanda en la ejecución de los niveles de servicio. 9. Determinar la ejecución de los niveles de servicio que son mantenidos y la justificación de sus costos. 10. Realizar recomendaciones a la coordinación del grupo organización y sistemas en el diseño y uso de los sistemas, de forma que ayuda a asegurar el uso óptimo de todo el hardware y el sistema operacional de los recursos del software 6.3. POLÍTICAS QUE RIGEN LA RELACIÓN CON TERCERAS PARTES Cualquier contrato, o convenio con terceras partes debe aplicar las políticas y normas de seguridad de la información de la Universidad Pedagógica y Tecnológica de Colombia. La Universidad debe establecer mecanismos de control en sus relaciones con terceras partes que le proveen servicios. Se deben establecer o regular los Acuerdos de Niveles de Servicio con los terceros teniendo en cuenta consideraciones de seguridad de la información y condiciones en la prestación del Servicio. Todo acceso requerido a la información de la Universidad por terceras partes deberá ser analizado y aprobado por el área propietaria de la información.
Código : A-RI-L02 Versión : 01 Página 6 de 31 6.3.1. Normas que Rigen la Relación con Terceras Partes La Oficina Jurídica o la Oficina de Bienes y Suministros, debe revisar la validez de las condiciones establecidas en los contratos u órdenes de compra suscritos con terceras partes proveedoras de servicios, así como las obligaciones de dichos terceros para con la Universidad. La Oficina Jurídica debe aprobar los modelos de acuerdos de confidencialidad y acuerdos de intercambios con terceros, que sean propuestos para el área de TI. Se deben revisar los Acuerdos de Niveles de Servicio y los requisitos de seguridad a los que los terceros deben acogerse., como es el caso de la constitución de pólizas y la elaboración de los acuerdos de confidencialidad e intercambio con los terceros. La Coordinación del Grupo Organización y Sistemas debe generar un modelo de Acuerdos de Niveles de Servicio y divulgarlo a todas las Unidades Académicas y Administrativas que adquieran recursos de tecnologías de información. Las Unidades Académicas o Administrativas que adquieran recursos de TI deben establecer Acuerdos de Niveles de Servicio o, incluir en los acuerdos ya existentes, los requisitos de seguridad que deben cumplir los proveedores de servicio, entre los cuales se pueden mencionar, el cumplimiento de las Políticas de Seguridad de la Información, el uso de Acuerdos de Confidencialidad y/o de Intercambio, el uso de hardware y software de los terceros, los niveles de atención según la criticidad, el esquema de escalamiento, los controles de acceso físico, la separación de ambientes de desarrollo y producción, la entrega de reportes que indiquen la disponibilidad de servicio, el esquema de monitoreo y los procesos de manejo del cambio de personal y detección y reporte de incidentes. Se deben monitorear de manera permanente el cumplimiento de los Acuerdos de Niveles de Servicio establecidos con terceras partes. 6.4. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN La Universidad Pedagógica y Tecnológica de Colombia, se compromete a preservar la confidencialidad, disponibilidad e integridad, de sus activos de información, protegiéndolos contra amenazas internas y externas, mediante la implementación del sistema de gestión de seguridad de la información y la metodología para la gestión del riesgo, manteniendo la mejora continua; adicionalmente a cumplir con las disposiciones constitucionales y legales aplicables a la entidad, así como las disposiciones internas, relacionadas con la seguridad de la información, para todas sus sedes
Código : A-RI-L02 Versión : 01 Página 7 de 31 6.5. NORMAS QUE APLICAN PARA EL SISTEMA DE GESTION DE SERVICIOS. Las normas por las que se rige el SGS se encuentran contempladas en el marco Legal que hace parte de cada uno de los procedimientos que integran el SGS, la lista se presenta a continuación: Ley 1266 de 2008: Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ley 1341 de 2009: Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones. Estatuto anticorrupción: Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo. Ley 527 de Agosto de 1999 Comercio electrónico: Define y reglamenta el acceso y uso de los mensajes de datos (probatoria), del comercio electrónico y de las firmas digitales, se establecen las entidades de certificación (parte de una PKI) y se dictan otras disposiciones Ley 1273 de 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado de la protección de la información y de los datos - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ley 594 de 2000 Ley General de Archivos (Sector Público): Regula la obligación que tienen las entidades públicas y privadas que cumplen funciones públicas, de elaborar programas de gestión documental, independientemente del soporte en que se produzca la información para su cometido estatal, del objeto social para el que fueron creadas. ANEXO 11.2 SEGURIDAD DE LA INFORMACIÓN: La conservación en condiciones seguras de estos documentos se efectúa en locales especialmente habilitados, al amparo de desastres naturales o accidentales, de robos o usos indebidos, de campos magnéticos o de diferencias térmicas o hidrométricas excesivas. Ley 603 de 2000: LA DIAN trabaja con entidades públicas y privadas que hacen parte del comité antipiratería del software y de la producción intelectual, con el fin de extender las auditorías que hace todos los días, al tema de la informática. Ley 794 de 2003: Actos de comunicación procesal por medios electrónicos Ley 962 de 2005: Actuaciones administrativas por medios electrónicos Ley 1150 de 2007: Contratación del Estado por medios electrónicos Ley 1273 del 5 de enero 2009: Delitos informáticos
Código : A-RI-L02 Versión : 01 Página 8 de 31 Ley 1581 de 2012: Ley Estatutaria 1581 de 2012 mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo. La ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante tratamiento) por parte de entidades de naturaleza pública y privada. Decreto 1377 del 27 de junio de 2013: El Decreto tiene como objetivo facilitar la implementación y el cumplimiento de la ley 1581 reglamentando aspectos relacionados con la autorización del titular de la información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de la información. Se tendrán en cuenta algunos estándares de buenas prácticas para ser aplicados en los casos que se considere, de acuerdo a los servicios que se han implementado.: Buenas prácticas Norma NFPA 75 Protección contra incendio equipos electrónicos Norma Data Center TIA 942 Sistemas Arquitectónico, eléctrico, de telecomunicaciones, mecánico y de seguridad Norma ANSI/TIA 942 Telecommunications Infrastructure Standard for Centro de Cómputo Sistema de Cableado de Telecomunicaciones Norma ANSI/TIA/EIA 568-B, Commercial Building Telecommunications Cabling Standard Norma ANSI/TIA/EIA 569-A, Comercial Building Standard for Telecommunications Pathways and Spaces Norma ANSI/TIA/EIA 606-A, Administration Standard for the Telecommunications Infrastructure of Commercial Buildings Norma ANSI/J-STD 607-A, Commercial Building Grounding (Earthing) and Bonding Requirements for Telecommunications Sistema de Seguridad Norma NFPA 101, Life Safety Code Norma NFPA 2001, Standard on Clean Agent Fire Extinguishing Systems Norma NFPA 72, National Fire Alarm Code
Código : A-RI-L02 Versión : 01 Página 9 de 31 Norma NFPA 75, Standard for the protection of electronic computer/ data processing equipment. Norma NFPA 76, Standard for the protection of telecommunications facilities SIA, Security Industry Association ITIL V 3.0 7. ROLES CARGOS, AUTORIDAD Y RESPONSABILIDAD. De acuerdo con los requisitos del Sistema Integrado de Gestión SIG, en la Tabla 1, se presentan los cargos roles y responsabilidades que afectan el SGS, las responsabilidades están relacionadas con las normas ISO 20000-1 e ISO 27001.
Código : A-RI-L02 Versión : 01 Página 10 de 31 Tabla 1. Roles Cargos, Autoridad y Responsabilidad para ISO 20000 e ISO 27001. ROLES CARGO AUTORIDAD RESPONSABILIDAD RENDICION DE CUENTAS Representa nte de la Alta Dirección para el SIG Directivo designado por el Rector - Establecer políticas que contribuyan a implementar y mantener el Sistema Integrado de Gestión -SIG-. -Avalar la adopción y modificación de la documentación del Sistema Integrado de Gestión SIG. Sugerir actualizaciones al marco normativo de seguridad de la información de la empresa cuando un requerimiento del negocio, contractual o del proceso genere la necesidad. Liderar los proyectos y planes de mejoramiento de seguridad de la información asociados a la gestión de riesgos sobre la información de su proceso. Participar en las decisiones de seguridad de la información. Asegurar el establecimiento, implementación, operación, seguimiento y mejoramiento del SGSI en sus procesos. Garantizar los recursos humanos para la ejecución de los planes de auditorías al SGSI. Aprobar la identificación, evaluación y tratamiento de riesgos sobre los activos de sus procesos. Asegurar el seguimiento de la gestión
Código : A-RI-L02 Versión : 01 Página 11 de 31 de riesgos asociados a los activos de sus procesos. Comité De Seguridad. Comité Coordinador de Control Interno.. Debe estar bajo alguna resolución. Aprobar la implementación, comunicar y asegurar la aplicación de los controles/ medidas administrativas para tratar los riesgos sobre la información de sus procesos. Hacer seguimiento al manejo de Anomalías del SGSI. Aprobar la identificación, valoración y clasificación de la información en sus procesos. Determinar la información que hará parte del alcance del SGSI. Garantizar la clasificación y tratamiento de la información de acuerdo al esquema definido por la Universidad. Revisar y aprobar la política de seguridad de la información y asignar las responsabilidades pertinentes. Monitorear los cambios importantes en la exposición de los recursos de la información a las mayores amenazas. Revisar y monitorear las anomalías o aspectos que puedan impactar la seguridad de la información (No
Código : A-RI-L02 Versión : 01 Página 12 de 31 conformidades en el marco del SGSI). Aprobar iniciativas en pro de la mejora de la seguridad de la información. Debe brindar evidencia objetiva de su participación y compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI. Llevar a cabo las revisiones pertinentes a la gestión de la seguridad de la información en la organización Brindar las aprobaciones necesarias para la consecución de los recursos necesarios para el sistema. Aprobar la normatividad del Sistema de Gestión de Seguridad de la Información (SGSI) teniendo en cuenta las características de la institución. Aprobar los objetivos para el SGSI. Validar el manual del Sistema de Gestión de Seguridad de la Información (SGSI) para la Universidad en cuanto a su alcance, objetivos, indicadores y metas, herramientas, funciones y
Código : A-RI-L02 Versión : 01 Página 13 de 31 responsabilidades y competencias necesarias. Asegurar que se hagan revisiones regulares de la eficacia del SGSI. Informar a la Dirección de la Universidad acerca del desempeño del SGSI y de la manera como se están gestionando los planes asociados a la seguridad de la información. Líder del Sistema de Gestión de Seguridad de la Información. SGSI. Coordinador Grupo Organización y Sistemas. La delegada por la alta dirección para tomar las decisiones acerca del SGSI. Reporta al Comité de Seguridad y a la Alta Dirección. Aprobar y hacer seguimiento a los criterios para la aceptación y tratamiento de los riesgos asociados a la información. Validar y proponer al comité el alcance y límites del SGSI en términos. de las características del negocio, la organización, su ubicación, sus activos, tecnología. Validar y proponer al comité la política de SGSI en términos de las características del negocio, la organización, su ubicación, sus activos y tecnología. Validar y proponer al comité una metodología para la identificación, valoración, clasificación y tratamiento
Código : A-RI-L02 Versión : 01 Página 14 de 31 de los activos de información. Validar y proponer al comité una metodología de valoración del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la información del negocio, identificados. Conocer la gestión de identificación de riesgos realizada por los procesos. Coordinar la realización de la gestión de riesgos que incluye: o Análisis y evaluación de riesgos. o o Identificación y evaluación de opciones para tratamiento de riesgos. Selección de objetivos de control y controles para el tratamiento de riesgos. Validar y presentar al comité los riesgos residuales propuestos por los procesos. Validar la implementación y operación del SGSI. Validar y presentar al comité una
Código : A-RI-L02 Versión : 01 Página 15 de 31 declaración de aplicabilidad. Validar la implementación del plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiación y la asignación de funciones y responsabilidades. Validar la implementación de controles seleccionados para cumplir con los objetivos. Validar la definición de la eficacia de los controles o grupos de controles seleccionados por los procesos. Definir y validar en conjunto con las áreas idóneas la implementación de programas de formación y toma de conciencia relacionados con el SGSI. Validar el diseño y definición de los procedimientos y controles para detectar y dar respuesta oportuna a los incidentes de seguridad. Definir y aplicar los procedimientos de seguimiento y revisión del SGSI. Definir y aplicar la medición de la eficacia de los controles para verificar que se han cumplido los requisitos de
Código : A-RI-L02 Versión : 01 Página 16 de 31 seguridad. Revisar las valoraciones de los riesgos a intervalos planificados, y el nivel de riesgo residual y riesgo aceptable identificado. Coordinar la realización de auditorías internas al SGSI. Coordinar las revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la política y objetivos del SGSI, y la revisión de los controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, medición de la eficacia sugerencias y retroalimentación de todas las partes interesadas. Validar y presentar al comité los planes de seguridad desarrollados. Facilitar y promover el desarrollo de iniciativas sobre seguridad de la información. Validar la documentación del SGSI. Validar que se cumpla el establecimiento y mantenimiento de registros para brindar evidencia de la conformidad con los requisitos y la
Código : A-RI-L02 Versión : 01 Página 17 de 31 operación eficaz del SGSI. Validar y presentar al comité los criterios para aceptación de riesgos, y los niveles de riesgo aceptables. Recomendar al Comité de Seguridad de la Información, sobre posibles actualizaciones de políticas, normas y estándares de Seguridad de la Información. Coordinar la realización de análisis e investigaciones sobre los incidentes de seguridad de la información. Liderar la realización de la gestión de activos de información y riegos por parte de los líderes de procesos. Velar por una permanente integración del Sistema de Gestión de Seguridad de la Información con el Sistema de Gestión Integral de la Universidad. Líder de Proceso. Verificar el cumplimiento de la normatividad de seguridad de la información en el proceso. Participación en la identificación de los proyectos y planes de mejoramiento de seguridad de la información
Código : A-RI-L02 Versión : 01 Página 18 de 31 asociados a la gestión de riesgo sobre la información de su proceso. Reportar el desempeño del sistema de seguridad de la información y los planes y proyectos asociados a la seguridad de la información de su proceso. Verificar la identificación, evaluación, tratamiento y seguimiento de los riesgos sobre la información en su proceso, así mismo su pertinencia. Validar la identificación, implementación y aplicación de controles y/o medidas administrativas a implementar. Verificar la aplicación de los procedimientos de manejo de incidentes y anomalías. Consolidar y hacer seguimiento de las acciones preventivas o correctivas en el proceso. Identificar y valorar la información más importante del proceso en términos de su confidencialidad, integridad y disponibilidad y atributos de manejo. Clasificar la información del proceso de acuerdo al esquema de clasificación y a los niveles de
Código : A-RI-L02 Versión : 01 Página 19 de 31 Administrad or de Seguridad. Profesional Universitario Grupo Organización y Sistemas. tratamiento definidos por la empresa. Verificar la aplicación del tratamiento estipulado de acuerdo a la clasificación de la información. Garantizar que se cumpla con las políticas de Seguridad Informática. Administrar y coordinar la ejecución de la Seguridad Informática desde el punto de vista tecnológico y administrativo. Promover la aplicación de auditorías enfocadas a la seguridad informática, para evaluar las prácticas de Seguridad Informática. Ejecutar el plan de seguridad informática definido. Definir disposiciones de seguridad para que sean incorporadas por las áreas que utilizan la tecnología a nivel de estándares y procedimientos de Seguridad Informática. Documentar los procedimientos, normas y estándares de Seguridad Informática. En conjunto con el área de tecnología de Información o Sistemas y el líder del SGSI desarrollar, mantener y
Código : A-RI-L02 Versión : 01 Página 20 de 31 comunicar las políticas, estándares y normas de Seguridad Informática. Crear y definir los lineamientos para la conformación de un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a la Seguridad Informática. Servir de punto de apoyo respecto a cambios en la plataforma tecnológica, para asegurar que los aspectos de Seguridad Informática sean considerados en las etapas iníciales de los proyectos. Responsable por establecer y verificar la implementación de los lineamientos (Normas y estándares) de seguridad en las plataformas tecnológicas que soportan los procesos. Crear y vigilar los lineamientos necesarios que ayuden a tener los servicios de seguridad. Servir como punto de apoyo en la Seguridad Informática de activos que hacen parte de los procesos. Realizar las acciones correctivas y preventivas relacionadas con el
Código : A-RI-L02 Versión : 01 Página 21 de 31 modelo de seguridad informática. Usuarios Cumplir con todas las medidas de seguridad definidas en el Manual de Gestión de Seguridad de la Información. Participar activamente de las capacitaciones periódicas para conocer las políticas de Seguridad de la Información. Evaluar los servicios prestados por el SGS. Funcionario s que hacen parte del SGS y del SGSI. Grupo Organizació n y Sistemas. Funcionarios Grupo Organización y Sistemas Funciones establecidas en el manual de funciones. Actividades establecidas en cada uno de los procedimientos que hacen parte del SGS. Dar cumplimiento a las políticas establecidas en el SGS y en el SGSI. Dar cumplimiento a las actividades para cumplir con los acuerdos de Nivel de servicios del SGS. Comité de Calidad del Proceso Gestión de Funcionarios del Grupo Organización y Sistemas. La definida por el líder del SGSI y SGS. - Aprueba los planes definidos de la gestión del servicio. - Aprueba los Procesos del SGS (documentación, responsables,
Código : A-RI-L02 Versión : 01 Página 22 de 31 Recursos Informático s. registros, indicadores). Comunica al personal y alta dirección de las acciones y resultados obtenidos. Verifica que las mejoras cumplen los objetivos propuestos. Genera acciones de mejora, preventivas y correctivas para el SGS y el SGSI - Delega la ejecución de las tareas de desarrollo e implementación del SGS.
Código : A-RI-L02 Versión : 01 Página 23 de 31 8. PROCESOS Y PROCEDIMIENTOS QUE HACEN PARTE DEL SISTEMA DE GESTION DE SERVICIOS SGS. En la Figura 1. Se puede observar qué procesos hacen parte del SGS, se identifican porque están resaltados en amarillo, y a continuación se explica que procedimientos aportan a cada uno. PROCESOS ESTRATEGICOS 1. PLANEACIÓN INSTITUCIONAL P-PI: El Objetivo y Alcance de este proceso es: Objetivo Alcance ORIENTAR EL DESARROLLO DE LA UNIVERSIDAD EN EL CORTO, MEDIANO Y LARGO PLAZO A TRAVES DE LA FORMULACION, DISEÑO Y EVALUACION DE PLANES, PROGRAMAS Y PROYECTOS, PARA GARANTIZAR EL CUMPLIMIENTO DE LA MISION Y VISION, A TRAVES DE LA EFICIENCIA Y EFICACIA COMPRENDE LA FORMULACION Y EVALUACION DE PLANES, PROGRAMAS Y PROYECTOS DEFINIDOS PARA LA UNIVERSIDAD, EN CUMPLIMIENTO DEL QUEHACER INSTITUCIONAL. INICIA CON EL PLAN MAESTRO DE DESARROLLO Y TERMINA CON LA IMPLEMENTACION DE LAS ACCIONES DE MEJORA PRODUCTO DE LAS AUDITORIAS INTERNAS Y EXTERNAS En el cumplimiento de los procedimientos de Formulación de Plan de Acción, Programación Presupuestal, de este proceso se generan los planes y proyectos que ejecuta el Grupo Organización y Sistemas como Proveedor de
Código : A-RI-L02 Versión : 01 Página 24 de 31 Servicios de TI de la Universidad Pedagógica y Tecnológica de Colombia, articulado con los planes de Desarrollo y de acción de la Universidad. 2. DIRECCIONAMIENTO DEL SIG D-DS: El Objetivo y Alcance de este proceso es: Objetivo Alcance MANTENER EL SISTEMA INTEGRADO DE GESTION ACADEMICO ADMINISTRATIVO-SIGMA, EN CUMPLIMIENTO DE LA MISION, VISION, OBJETIVOS Y METAS INSTITUCIONALES INICIA CON LA ELABORACION DEL PLAN DE ACCION Y TERMINA CON LA IMPLEMENTACION DE ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA Con este proceso se cumplen requisitos relacionados con la revisión por la Dirección y Control de Documentos. PROCESOS DE APOYO. 3. GESTIÓN DEL TALENTO HUMANO A-GH: Este proceso tiene como objetivo y alcance: Objetivo Alcance REALIZAR LA SELECCION Y VINCULACION DE LOS SERVIDORES PUBLICOS DE LA UPTC, EFECTUAR EL PAGO DE SALARIOS Y CONTRIBUCIONES INHERENTES A LA NOMINA, EJERCER ACTIVIDADES DE PREVENCION Y CONTROL EN EL DESEMPEÑO DE LA FUNCION PUBLICA, BRINDAR CUALIFICACION Y CAPACITACION, EFECTUAR LA EVALUACION DEL MERITO Y TRAMITAR LAS DIFERENTES SITUACIONES ADMINISTRATIVAS INICIA CON LA SELECCION Y VINCULACION DE LOS SERVIDORES PUBLICOS Y TERMINA CON LA GENERACION DE LOS ACTOS ADMINISTRATIVOS DE RETIRO, APLICA A TODOS LOS FUNCIONARIOS Con este proceso se cumplen los requerimientos de Recurso Humano requerido por el SGS. 4. GESTION FINANCIERA. A-GF: El objetivo y alcance del proceso son: Objetivo Alcance ATENDER DESDE EL PUNTO DE VISTA DE LOS RECURSOS FINANCIEROS, EL DESARROLLO DE LOS PLANES INSTITUCIONALES A TRAVES DE UNA ADECUADA IDENTIFICACION DE SUS FUENTES DE FINANCIACION, EL USO RACIONAL Y OPORTUNO DE LOS MISMOS, PARA EL CUMPLIMIENTO DEL SERVICIO SOCIAL DE LA INSTITUCION Y EL MEJORAMIENTO CONTINUO DEL SISTEMA INICIA CON LA INCORPORACION DEL PRESUPUESTO ANUAL DE INGRESOS Y GASTOS AL SOFTWARE FINANCIERO, SU EJECUCION ANUAL CON LAS MODIFICACIONES A QUE HAYA LUGAR, Y CULMINA CON LA GENERACION DE LOS ESTADOS CONTABLES, EL ANALISIS DE LOS DATOS QUE ARROJAN ESTOS Y LAS ACCIONES DE MEJORA. APLICA A TODOS LOS PROCESOS DE LA UNIVERSIDAD Con este proceso se da cumplimiento al proceso de elaboración de Presupuesto y contabilidad de los servicios, que es requerido por ISO 20000 como un proceso de Provisión del servicio. El grupo Organización y Sistemas como proveedor del Servicio de TI, se rige por lo establecido en este proceso para realizar el registro presupuestal y contable de los diferentes costos que se derivan de la prestación de los servicios, asociados al Centro de Costos
Código : A-RI-L02 Versión : 01 Página 25 de 31 Grupo Organización y Sistemas y a los proyectos de Inversión en los que es responsable el Grupo por ejemplo el Proyecto Red de Sistematización y Computarización. 5. GESTION DE ADQUISICION DE BIENES Y SERVICIOS A-AB: Este proceso cuenta con el siguiente Alcance y objetivo: Objetivo Alcance TRAMITAR LAS SOLICITUDES DE ADQUISICION DE BIENES Y SERVICIOS DE LAS DIFERENTES DEPENDENCIAS ACADEMICO ADMINISTRATIVAS, DE ACUERDO A LOS OBJETIVOS INSTITUCIONALES Y CON ATENCION A LAS NORMAS PERTINENTES INICIA CON LA CONSOLIDACION Y APROBACION DE LAS NECESIDADES INSTITUCIONALES (PLAN DE COMPRAS) Y TERMINA CON LA ENTREGA A SATISFACCION DE LOS BIENES Y/O SERVICIOS. APLICA SEDE CENTRAL Y SECCIONALES Con este proceso se da cumplimiento al proceso requerido de Gestión de suministradores, ya que este proceso implica la selección y evaluación de los proveedores y también la manera de realizar las diferentes adquisiciones de bienes y servicios requeridas por el Grupo Organización y Sistemas como proveedor del servicio. 6. GESTION ELECTORAL DOCUMENTAL Y DE PETICIONES A-ED: Objetivos y alcance del proceso: Objetivo Alcance GARANTIZAR EL DERECHO DE PARTICIPACION DE LAS PARTES INTERESADAS EN LA GESTION INSTITUCIONAL, EN LA RESOLUCION DE PETICIONES DE ACUERDO CON LA NORMATIVIDAD APLICABLE, Y ASEGURAR LA ADECUADA Y OPORTUNA PLANEACION, EJECUCION Y SEGUIMIENTO EN LA GESTION DOCUMENTAL EN LA UNIVERSIDAD, DE ACUERDO CON LA LEGISLACION VIGENTE DENTRO DE LA CONCEPCION DE ARCHIVO TOTAL, EN PROCURA DEL MEJORAMIENTO CONTINUO INICIA CON LA PLANEACION DE LA GESTION DEL PROCESO Y FINALIZA CON EL SEGUIMIENTO Y EVALUACION DE LA IMPLEMENTACION DE LAS ACTIVIDADES, APLICA A TODOS LOS PROCESOS DEL SISTEMA SIGMA DE LA UNIVERSIDAD Con este proceso se da cumplimiento a lo requerido por la Gestión de Relaciones con el negocio, ya que aquí se encuentra el proceso de Quejas, Reclamos y sugerencias. Además el control de registros requerido por la norma. 7. GESTION DE RECURSOS INFORMATICOS A-RI: En este proceso se identifican los procesos relacionados con la prestación del servicio, de control y de resolución. El objetivo y alcance son: Objetivo Alcance GESTIONAR LA INFRAESTRUCTURA INFORMATICA Y DE TELECOMUNICACIONES, QUE PERMITA LA PRESTACION DE SERVICIOS, CUMPLIENDO CON LAS POLITICAS DE SEGURIDAD DE LA INFORMACION, PARA LA SATISFACCION DE NECESIDADES DE LOS CLIENTES INICIA CON LA SOLICITUD DE REQUERIMIENTO INFORMATICOS Y TERMINA CON LA PRESTACION DE
Código : A-RI-L02 Versión : 01 Página 26 de 31 LA SOLICITUD, APLICA SEDE CENTRAL Y SECCIONALES Dentro de este proceso se encuentran los siguientes procedimientos requeridos por el SGS, los cuales pueden ser consultados a través de la Intranet de la Universidad en: http://aplica.uptc.edu.co/sigmaii/paginas/mapadeproceso.aspx Seleccionando procesos de Apoyo y luego el Proceso Gestión de Recursos Informáticos. A_RI-P16 Gestión de la Continuidad. A-RI-P17. Gestión de Seguridad de la Información.
Código : A-RI-L02 Versión : 01 Página 27 de 31 8. PROCESO EVALUACION INDEPENDIENTE: V-EI. Este proceso cumple con la fase de verificar y actuar que exige el SGS. Objetivo Alcance EVALUAR EL SISTEMA INTEGRADO DE GESTION DE LA UPTC APLICA A TODOS LOS PROCESOS DEL SISTEMA INTEGRADO DE GESTION SIG DE LA UNIVERSIDAD PEDAGOGICA Y TECNOLOGICA DE COLOMBIA, INICIA CON LA FORMULACION DEL PLAN DE ACCION Y TERMINA CON EL SEGUIMIENTO A LOS PLANES DE MEJORAMIENTO Este proceso contiene los procedimientos de Auditoría Interna, y acciones correctivas, preventivas y de mejora. 8.1. PLANES QUE HACEN PARTE DEL SGS. Dentro de los planes que se tienen en cuenta para el funcionamiento del SGS, se cuenta con tres: 1. Plan de Desarrollo Institucional 2011-2014, y Plan Maestro Institucional 2007 2019, donde se observa la alineación de los proyectos del grupo Organización y Sistemas con la Planeación estratégica de la Universidad. Esos proyectos se observan en el lineamiento 5. Modernización de la Gestión Administrativa y Financiera, donde se evidencian programas y proyectos relacionados con el área de TI de la UPTC como los siguientes: a. 5.35. Adopción de Buenas Prácticas bajo las normas ISO 20000 e ISO 27001. b. 5.4.2. Dotación Tecnológica como apoyo de actividades académicas. c. 5.4.3. evolución de Sistemas de Información hacia un enfoque integrado Gerencial. 2. Plan de gestión de Servicios donde se condensa toda la estructura del SGS en la UPTC. 3. Plan de Capacidad, asociado al procedimiento de Gestión de capacidad, donde se evidencia la capacidad actual con la que cuenta el Grupo Organización y Sistemas para prestar los servicios identificados en el catalogo de servicios. 4. Proyecto Red de Sistematización y Computarización que refleja el desarrollo de actividades del proyecto para beneficio de la comunidad Universitaria relacionadas con fortalecer infraestuctura y servicios de Tecnología e Información.
Código : A-RI-L02 Versión : 01 Página 28 de 31 9. RECURSOS QUE HACEN PARTE DEL SGS. El grupo Organización y Sistemas quien se encarga de prestar los servicios para el SGS, cuenta con los siguientes recursos 9.1. Recursos Humanos. Actualmente se cuenta con 33 personas que trabajan en el Grupo Organizaciòn y sistemas y quienes colaboran en la atención de los diferentes servicios establecidos en el Catálogo de servicios. 9.2. Recursos Técnicos: se cuenta con 22 aulas de informática, equipos de computo para cada uno de los funcionarios del Grupo Organización y Sistemas, un data center dotado con aire acondicionado, planta eléctrica y UPS y 28 servidores. Materiales necesarios para la atención de soporte técnico y redes. Esta información se puede consultar de manera específica en registros físicos y magnéticos existentes en la Coordinación del grupo Organización y Sistemas. 9.3. Recursos Financieros: Estos recursos dependen de la programación anual que se realiza en la Universidad, se reflejaran en el plan de compras para el Grupo Organización y Sistemas, además en los recursos por proyectos de Inversión como Red de Sistematización y Computarización y otros que ya han finalizado como Gestión de Servicios y Seguridad para la UPTC. En la medida que se requiera se generaran propuestas de proyectos para que se asignen recursos de inversión al Grupo Organización y Sistemas como proveedor de servicios de TI en la UPTC. 9.4. Recursos de Información. Los siguientes son los sistemas de Información que administra el Grupo Organización y Sistemas para soportar el SGS. Sistema SIAFI: el sistema Financiero. Correo Electrónico. Sistema SCOD. Sistema de Comunicaciones Oficiales Digitales. Sistema SIG: Sistema Integrado de Gestión, soporta toda la Documentación del SGS y del SIG de la Universidad..Net, Sharepoint,Java y Oracle para desarrollo de los sistemas de Información Reportes generados a través de proactiva NET. Software de Monitoreo de redes. Software SGA y SIPEF, para gestión de acciones correctivas y preventivas y planes de mejoramiento.
Código : A-RI-L02 Versión : 01 Página 29 de 31 10. ENFOQUE PARA EL TRABAJO CON TERCEROS. Para el trabajo con terceros se cuenta con una política relacionada con los terceros, además la Universidad en el Proceso de Gestión de adquisición de Bienes y Servicios A-AB, han considerado los diferentes mecanismos de contratación que se pueden presentar para vincular a un tercero. 11. ENFOQUE POR PROCESOS. El Sistema de Gestión de Seguridad de Servicios (SGS), planteado tendrá un enfoque basado en procesos. El SGS se incorpora a la organización mediante la adopción de un modelo PHVA que define las etapas de establecimiento, implementación, operación seguimiento, mantenimiento y mejora del sistema frente a la Gestión de Servicios. Para el funcionamiento eficiente del Sistema de Gestión de Servicios, se deben identificar y gestionar las actividades involucradas para la identificación de los servicios del Grupo Organización y Sistemas buscando que se conozcan y divulguen los servicios y se adopten buenas prácticas en el hacer para lograr la satisfacción de los clientes. Basado en el énfasis planteado, el Sistema de Gestión de servicios adopta el modelo de procesos Planificar-Hacer-verificar-Actuar (PHVA), aplicándolo para estructurar todos los procesos que apoyan el sistema. La Figura 2, ilustra cómo el SGS toma como elementos de entrada los requisitos de negocio, requisitos del clientes, solicitud de servicios nuevos o modificados, y a través de las acciones y procesos diseñados para soportar el sistema (SGS) produce resultados de negocio, satisfacción del clientes, modificación de servicios, satisfacción del personal que hacer parte del SGS.
Código : A-RI-L02 Versión : 01 Página 30 de 31 Figura 2 - Ciclo PHVA para el SGS 12. ENFOQUE PARA ADOPCION DE RIESGOS Y CRITERIOS DE ACEPTACION. Este enfoque será el mismo utilizado dentro del SIG, para los riesgos del proceso, y en los casos que se identifiquen Riesgos de seguridad de la información se tendrán en cuenta el enfoque presentado en el procedimiento A-RI.P11, Procedimiento para la Gestión del Riesgo de Seguridad de la Información. 13. TECNOLOGIA UTILIZADA PARA SOPORTAR EL SGS Para Soportar el SGS, se cuenta con: El Software que soporta la parte documental conocido como SIG. SGA, Sistema de Gestión de Auditorias.
Código : A-RI-L02 Versión : 01 Página 31 de 31 Proactiva.NET: Software que respalda los procesos de resolución para manejo de incidencias y problemas, procesos de entrega y cambios e informes entre otros. 14. MEDICION Y MEJORA DEL SGS. La medición del SGS se realiza a través de indicadores como los siguientes: 1. COMUNICACIÓN DE MEJORAS DE LOS SERVICIOS. 2. IMPLEMENTACION DE MEJORAS 3. SATISFACCION DE USUARIOS 4. CUMPLIMIENTO DEL SERVICIO 5. OPORTUNIDAD ATENCION DE INCIDENCIAS. La mejora del SGS se realiza a través de los procedimientos de Auditoria Interna, Acciones Preventivas y Correctivas, que se encuentran dentro del proceso evaluación Independiente del Sistema Integrado de Gestión SIG.