ANEXO 14 REQUERIMIENTOS DE OPERACIÓN FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO INTERADMINISTRATIVO No. 210060 OFERTA PÚBLICA DE CONTRATO OPC 002-2011 OPERACIÓN INTEGRAL DE LAS SOLUCIONES TECNOLÓGICAS DE GOBIERNO EN LÍNEA, LA PLATAFORMA DE INTEROPERABILIDAD Y LA INFRAESTRUCTURA Y SERVICIOS ASOCIADOS A LA INTRANET GUBERNAMENTAL BOGOTÁ D.C., AGOSTO DE 2011 ANEXO 14 Página 1 de 95
TABLA DE CONTENIDO 1. ALCANCE DE LA OPERACIÓN 2. MODELO DE OPERACIÓN Y GESTIÓN DE SERVICIOS 2.1. APOYO A LA OPERACIÓN 2.2. ATENCIÓN AL CLIENTE 2.2.1. ATENCIÓN A CIUDADANOS 2.2.2. ATENCIÓN A ENTIDADES 2.3 CALIDAD DEL SERVICIO 3. PLAN DE EJECUCIÓN 3.1. PREPARACIÓN PARA LA MIGRACIÓN Y OPERACIÓN 3.2. EMPALME Y MIGRACIÓN 3.3. OPERACIÓN 3.4. TRANSICIÓN Y ENTREGA 3.4.1 PROTOCOLO DE TRANSFERENCIA DEL OPERADOR ADJUDICATARIO HACIA EL SIGUIENTE 3.4.2 DOCUMENTACIÓN ADICIONAL DEL PROTOCOLO DE TRANSFERENCIA 4. ARQUITECTURA Y MODELO DE SEGURIDAD DE LA INFORMACIÓN 4.1 CAPA CONCEPTUAL 4.1.1 ARQUITECTURA DE SEGURIDAD 4.1.2 PRINCIPIOS DE SEGURIDAD 4.1.3 PRINCIPIOS DE LA ARQUITECTURA DE SEGURIDAD 4.1.4 PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN 4.1.5 ZONAS DE SEGURIDAD 4.2 CAPA FUNCIONAL (REQUISITOS GENERALES) 4.2.1 REQUERIMIENTOS POLÍTICA DE SEGURIDAD BACKUP DE INFORMACIÓN MANEJO DE INCIDENTES ADMINISTRACIÓN DE USUARIOS Y CONTRASEÑAS CONTROL DE ACCESO FÍSICO CONTROL DE CAMBIOS INVENTARIO Y CLASIFICACIÓN DE ACTIVOS ADMINISTRACIÓN DE RIESGOS MANTENIMIENTO ANEXO 14 Página 2 de 95
BAJA Y REUTILIZACIÓN DE EQUIPAMIENTO Y MEDIOS EVACUACIÓN Y EMERGENCIAS CONTROL DEL BUEN USO DE RED Y CORREO ELECTRÓNICO SEGURIDAD DE LOS MEDIOS EN TRÁNSITO PLANIFICACIÓN DE LA CAPACIDAD DE OPERACIÓN MEDIDAS Y SANCIONES DISCIPLINARIAS CONTROL DE DOCUMENTOS Y REGISTROS ACCIONES CORRECTIVAS Y PREVENTIVAS CAPACITACIÓN Y ENTRENAMIENTO. 4.2.2 REQUERIMIENTOS ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 4.2.3 REQUERIMIENTOS GESTIÓN DE ACTIVOS 4.2.4 REQUERIMIENTOS SEGURIDAD DE LOS RECURSOS HUMANOS 4.2.5 REQUERIMIENTOS SEGURIDAD FÍSICA Y DEL ENTORNO 4.2.6 REQUERIMIENTOS GESTIÓN DE COMUNICACIONES Y OPERACIONES 4.2.7 REQUERIMIENTOS CONTROL DE ACCESO 4.2.8 REQUERIMIENTOS ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 4.2.9 REQUERIMIENTOS GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN 4.2.10 REQUERIMIENTOS GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 4.2.11 REQUERIMIENTOS CUMPLIMIENTO 4.3 CAPA FISICA 4.3.1 FIREWALL DE APLICACIONES Y BASES DE DATOS 4.3.2 SISTEMA DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS (IDS/IPS) 4.3.3 SISTEMA DE INTEGRIDAD DE ARCHIVOS 4.3.4 PREVENCIÓN DE FUGA DE INFORMACIÓN (DLP) 4.3.5 SISTEMA DE CORRELACIÓN DE EVENTOS 5. REQUERIMIENTOS GENERALES 5.1. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS A LA RED DE ALTA VELOCIDAD DEL ESTADO COLOMBIANO RAVEC 5.2. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS AL CENTRO DE DATOS CD 5.3. PROVEER, OPERAR, MANTENER Y SOPORTAR LA INFRAESTRUCTURA TECNOLÓGICA Y LOS SERVICIOS ASOCIADOS AL CENTRO DE CONTACTO CIUDADANO CCC 5.4. OPERAR Y ADMINISTRAR LAS SOLUCIONES DE GOBIERNO EN LÍNEA A CARGO DEL PROGRAMA TANTO PARA LAS SOLUCIONES DE LA PLATAFORMA DE INTEROPERABILIDAD COMO PARA LAS DE PORTALES DE ACCESO, SOLUCIONES TRANSVERSALES Y SOLUCIONES SECTORIALES 5.5. MANTENER Y SOPORTAR LAS SOLUCIONES DE GOBIERNO EN LÍNEA A CARGO DEL PROGRAMA TANTO PARA LAS SOLUCIONES DE LA PLATAFORMA DE INTEROPERABILIDAD COMO PARA LAS DE PORTALES DE ACCESO, SOLUCIONES TRANSVERSALES Y SOLUCIONES SECTORIALES ANEXO 14 Página 3 de 95
6. ESPECIFICACIONES TÉCNICAS 6.1 RED DE ALTA VELOCIDAD DEL ESTADO COLOMBIANO RAVEC 6.2 CENTRO DE DATOS CD 6.2.1. CENTRO ALTERNO DE DATOS 6.3 CENTRO DE CONTACTO CIUDADANO CCC 6.4 ADMINISTRACIÓN DE SOLUCIONES 6.5 MANTENIMIENTO DE SOLUCIONES ANEXO 14 Página 4 de 95
1. ALCANCE DE LA OPERACIÓN Las actividades para la Operación integral de las soluciones tecnológicas de Gobierno en línea, la plataforma de interoperabilidad y la infraestructura y servicios asociados a la Intranet Gubernamental, se desarrollarán de acuerdo a las siguientes Metas y esquemas de cofinanciación: Componente Actividad Metas de la actividad Esquema de cofinanciación 2012: Hasta 130 entidades conectadas y un enlace de por lo menos 30 Mbps a la red RENATA con disponibilidad 99.7 2013: Hasta 140 entidades conectadas y un enlace de por lo menos 30 Mbps a la red RENATA con disponibilidad 99.7 Proveer, operar, mantener y soportar la infraestructura tecnológica y los servicios básicos asociados a la Red de Alta Velocidad Proveer, operar, mantener y soportar la infraestructura tecnológica y los servicios básicos asociados al Centro de Datos. 2011-2013: Se alojarán las siguientes soluciones a cargo del Programa en el centro de datos y las demás que se requieran en la ejecución del contrato que estén a cargo del Programa o del Ministerio: Portales de acceso: - Portal del Estado Colombiano - Gobierno en Línea Territorial fase informativa y transaccional para entidades territoriales. - Sitios web de Entidades Gubernamentales - SECOP fase informativa (Portal Único de Contratación) - Portal del Programa Gobierno en Línea - Portal del Ministerio de Tecnologías de la Información y las Comunicaciones. - Micrositio Vive Gobierno En Línea - Portal Lenguaje de Intercambio de información - Portal de la Intranet Gubernamental 2011-2013: El 100% del valor de los enlaces de las entidades conectadas será cubierto por el Fondo de Tecnologías de la Información y las Comunicaciones. Los enlaces que superen los 10Mbps deben ser cubiertos por la Entidad que requiera el servicio. 2011-2013: Las entidades diferentes al Ministerio de Tecnologías de la Información y las Comunicaciones (MINTIC), que utilicen el servicio deben cancelar el 100% del valor consumido a través de un contrato de adhesión al convenio vigente FONTIC- FONADE. Los servicios se pagan por demanda con costo a la entidad que los solicite. Infraestructura tecnológica Sistemas transversales: - Sistema Electrónico para la Contratación Pública SECOP fase transaccional - Sistema de Información de Tecnología Informática - SITI - Sistema Único de Información de Trámites SUIT - Urna de cristal - Sistema de monitoreo y evaluación de la estrategia de Gobierno en Línea Sistemas Sectoriales: - Sistema de Información Unificado del Sector de las Telecomunicaciones - Sistema de Información Georreferenciado Ministerio de Tecnologías de la Información y las Comunicaciones - Sistemas de gestión Ministerio de Tecnologías de la Información y las Comunicaciones - ISOLUCION - Sistema de Gestión de Calidad del Ministerio de Tecnologías de la Información y las Comunicaciones Plataforma de interoperabilidad: - Notificaciones en Línea - Autenticación electrónica - Tramitador en Línea (Enrutador Transaccional - PDI) - Catálogo de Servicios - Plataforma de servicios de estampado cronológico - Sistema de Información del estándar GEL-XML - Sistema Administrador de Firmas Digitales - DIVIPOLA - Webservice de la División Política de Colombia De igual manera, se alojarán las soluciones de entidades del Estado, que cancelen el 100% del valor del servicio consumido. ANEXO 14 Página 5 de 95
Componente Actividad Metas de la actividad Esquema de cofinanciación 2011-2013: Soporte de primer nivel a ciudadanos para Proveer, operar, servicios de Gobierno en Línea. mantener y soportar la Soporte de segundo nivel a ciudadanos para los siguientes infraestructura servicios: tecnológica y los - Atención de peticiones, quejas y reclamos del Ministerio servicios básicos de Tecnologías de la Información y las Comunicaciones. asociados al Centro de - Urna de cristal Contacto Ciudadano. - Transferencia de llamadas para soporte del SECOP. Servicio de re-direccionamiento y consolidación de información hacia otros centros de contacto de las entidades públicas, la cual se incluirá como una línea de servicio. Servicio de Mesa de Ayuda para soportar las soluciones tecnológicas de Gobierno en Línea, la plataforma de interoperabilidad y la infraestructura y servicios asociados a la Intranet Gubernamental. 2011-2013: Las entidades diferentes al Ministerio de Tecnologías de la Información y Comunicaciones que utilicen el servicio deben cancelar el 100% del valor consumido a través de un contrato de adhesión al convenio vigente FONTIC-FONADE. Los servicios se pagan por demanda con costo a la entidad que los solicite. De igual manera, se atenderán campañas de entidades del Estado, que cancelen el 100% del valor del servicio consumido. Plataforma de interoperabilida d Operar, administrar, mantener y soportar las soluciones que hacen parte de la plataforma de interoperabilidad y que están a cargo del Programa. 2011-2013: Las soluciones de la plataforma de interoperabilidad que se incluyen en este servicio son las siguientes: - Notificaciones en Línea - Autenticación electrónica - Tramitador en Línea (Enrutador Transaccional - PDI) - Catálogo de Servicios - Plataforma de servicios de estampado cronológico - Sistema Administrador de Firmas Digitales 2011-2013: El 100% de este servicio será cubierto por el Fondo de Tecnologías de la Información y las Comunicaciones. De igual manera, se podrán operar, administrar, mantener y soportar nuevas soluciones incorporadas a la Plataforma durante la ejecución del contrato. Portales de Acceso; Servicios sectoriales; Servicios transversales Operar, administrar, mantener y soportar las soluciones de Gobierno en Línea a cargo del Programa. 2011-2013: Portales de acceso: - Portal del Estado Colombiano - Gobierno en Línea Territorial fase informativa y transaccional para entidades territoriales. - Sitios web de Entidades Gubernamentales - Portal de la Estrategia Gobierno en Línea - Micrositio Vive Gobierno en Línea - Portal de la Intranet Gubernamental 2011-2013: El 100% de este servicio será cubierto por el Fondo de Tecnologías de la Información y las Comunicaciones. Sistemas transversales: - Sistema de Información de Tecnología Informática - SITI - Sistema Único de Información de Trámites SUIT - Urna de cristal - Sistema de monitoreo y evaluación de la estrategia de Gobierno en Línea Sistemas Sectoriales: - ISOLUCION - Sistema de Gestión de Calidad del Ministerio de Tecnologías de la Información y las Comunicaciones De igual manera, se podrán operar, administrar, mantener y soportar nuevas soluciones incorporadas durante la ejecución del contrato. ANEXO 14 Página 6 de 95
2. MODELO DE OPERACIÓN Y GESTIÓN DE SERVICIOS El contratista deberá ejecutar un Modelo de operación y gestión de servicios que debe contemplar las fases del ciclo de vida del servicio y sus procesos, basados en ITIL v.3.0, más las Funciones y Actividades que los complementan, como se presenta en la siguiente figura: Figura 1. Modelo de operación y gestión de servicios A continuación se describe los principales objetivos de cada uno de las fases del Ciclo de Vida del Servicio al igual que de los procesos, actividades y funciones que comprende cada fase que soportan el modelo. (Se indicará entre paréntesis cuando se trate de una función o actividad) FASE OBJETIVO PROCESOS Estrategia Planeación Estratégica Conocimiento de necesidades y expectativas del cliente Facilita políticas, planes y recursos Controla cumplimiento de objetivos estratégicos Administración de Relaciones con el Cliente y Gestión de la Demanda: Establecer y mantener buenas relaciones entre el operador y el cliente, basado en el entendimiento y conocimiento del mismo y sus factores determinantes del negocio (demandas), por ejemplo, haciendo uso de la información de la prestación de servicios como el Centro de Contacto. Proveer la información adecuada para planificar la capacidad adecuada derivada de requerimientos de los clientes por nuevos servicios o evolución de estos. Administración Financiera: Evaluar y controlar los costos asociados a los servicios TI de forma que se ofrezca un servicio de calidad a los clientes con un uso eficiente de los recursos necesarios. Administrar el modelo de computación por demanda y los modelos de optimización de los demás componentes. Administración de Portafolio: Aprobar o rechazar servicios conforme a su valoración, alineación con los objetivos estratégicos de Gobierno en Línea, ajuste de lo que se oferta a lo que se demanda; y priorizar los aprobados. Contener los nuevos servicios, los existentes y los que serán retirados para que vayan decreciendo hasta su retirada. ANEXO 14 Página 7 de 95
FASE OBJETIVO PROCESOS Diseño Transición Etapa Operación de Una guía para diseñar y desarrollar servicios y procesos de administración de servicios, y cubre los principios y métodos de diseño para convertir objetivos estratégicos en portafolios de servicios y activos de servicios. Asegurar que el servicio puede funcionar. Implementación de todos los aspectos del servicio. Entregar los servicios que el negocio requiere para uso operativo. Generación de la Estrategia: Generar estrategias para desarrollar los servicios, así como, generar servicios como parte de las estrategias de las Entidades, así entonces crear nuevos servicios para captar nuevos clientes (Entidades) con el fin de alcanzar economías a escala y brindar a éstas la posibilidad de optimizar el uso de sus recursos. Administración del Catálogo de Servicio: Realizar la definición y el mantenimiento de los servicios, que contenga todos los detalles técnicos y de negocio, dependencias mutuas con otros servicios, y prepararlos para funcionar operacionalmente. Administración de Niveles de Servicio: Asegurar que la entrega de servicios al cliente cumple o excede las características de calidades del servicio acordadas y comprometidas. Monitorear los niveles de servicio objetivo, revisar el desempeño del servicio, e iniciar planes de mejoramiento del servicio. Administración de Capacidad: Diseñar, hacer seguimiento y control de las características de capacidad requeridas para el manejo actual y futuro del servicio. Administración de Disponibilidad: Asegurar que los niveles de disponibilidad del servicio entregado cumplen o exceden las necesidades acordadas actuales y futuras del negocio manteniendo una buena relación costo-beneficio. Administración de Continuidad: El objetivo de este proceso está enmarcado en la necesidad de brindar continuidad en los servicios. Administración de Proveedores: Negociar y manejar con los proveedores y fabricantes el cumplimiento de garantías y soporte técnico cuando se requiera. Administración de Seguridad de la Información: Identificar las amenazas de seguridad, determinar los riesgos y vulnerabilidades que afectan o pueden afectar la prestación de los servicios (RAVEC, Centro de Datos, centro de Contacto y Soluciones a cargo de Gobierno en Línea) con el fin de garantizar Confidencialidad, Integridad, Disponibilidad, Autenticación, Autorización, No Repudio, Auditoría y Privacidad de la información. Desarrollo de Requisitos (Actividad): Analizar procesos de negocio. Investigar y documentar los requisitos funcionales, de gestión y operación, y de usabilidad. Dar trazabilidad a los requisitos. Gestión de la Información (Actividad): Controlar los datos. Gestionar fuentes de datos, tecnologías de repositorios, estándares, políticas y niveles de seguridad de datos. Administración de Aplicaciones (Actividad): Gestionar ciclo de vida de las aplicaciones, su mantenimiento y los aspectos de gestión y operación, incluyendo infraestructura. Administración de Cambio: Garantizar que todos los cambios de los servicios nuevos o modificados y de la infraestructura TI, se evalúan, aprueban, implementan y revisan de manera controlada. Administración de Liberación y Distribución: Entregar, distribuir y mantener la trazabilidad de los cambios efectuados. Mide y gestiona el posible impacto y riesgos de la puesta en producción de las modificaciones. Administración de la Configuración: Mantener y proveer información exacta acerca de los Ítems de Configuración (CI) que componen cada servicio y sus relaciones para el soporte de los servicios. Administración del Conocimiento: Mejora la calidad de la gerencia para la toma de decisiones, es un proceso que asegura que la información sea confiable y segura, que esté disponible durante el ciclo vital del servicio. Planificación y Soporte de la transición (Actividad): Planear y coordinar los recursos que aseguren que las especificaciones para el diseño del servicio se realicen. Identificar, manejar y limitar los riesgos que podrían interrumpir el servicio Validación y Pruebas (Actividad): Realizar las configuraciones básicas, realizar pruebas. Evaluación (Actividad): Comprobar el buen rendimiento del servicio, cambiado o nuevo, en el contexto real y la infraestructura definitiva de TIC con relación a lo acordado. Realiza la evaluación post-implementación. Comunicaciones (Actividad): Comunicar cuándo y cómo va a estar disponible y cómo se va a soportar Cambio de la Organización (Actividad): Asignación o reasignación de personal, y sensibilización y formación de la nueva forma de operar. Administración de Incidentes: Restaurar la operación normal del servicio tan pronto como sea posible minimizando el impacto sobre las operaciones del negocio y asegurando que los mejores niveles de calidad del servicio y disponibilidad sean mantenidos. ANEXO 14 Página 8 de 95
FASE OBJETIVO PROCESOS Entregar los niveles acordados de servicios a los usuarios y clientes. Administrar las aplicaciones, tecnologías e infraestructura que soportan la entrega del servicio. Para incidentes CRITICOS el operador deberá entregar en máximo tres (3) días calendario el respectivo informe de causa raíz, con el siguiente contenido mínimo: Fecha y hora reales del evento, número de ticket, descripción detallada del incidente, análisis de causa raíz, plan de acción ejecutado para solucionarlo y las medidas que se toman para que no vuelva a presentarse. Así mismo, para todo incidente CRITICO se debe enviar notificación vía email y por SMS (tanto a la apertura como en el cierre) a la Interventoría, al Supervisor de FONADE y al Programa, la cual debe contener mínimo la siguiente información: Fecha y hora reales del evento, número de ticket y descripción y estado del incidente. Administración de Problemas: Resolver los problemas que afectan el servicio TI, tanto reactiva como proactivamente. La Administración de Problemas encuentra la tendencia de los Incidentes, agrupas estos Incidentes en Problemas e identifica la causa raíz de los problemas. Administración de Eventos: Identificar y priorizar eventos de la infraestructura, el servicio, procesos del negocio y seguridad. Establecer las respuestas apropiadas para estos eventos, especialmente respondiendo a aquellos casos que podrían llevar a fallas potenciales o incidentes. Administración de Accesos e Identidad: Proveer derechos a los usuarios para utilizar un servicio. Políticas de seguridad Solicitud de Requerimientos: El propósito es tratar con solicitudes de servicios de los usuarios. Esto incluye proveer a los usuarios un canal para solicitar y recibir servicios estándares para el cual existe una pre-aprobación definida. Centro de Servicio (Función): Proveer un punto de contacto único en TIC para clientes-usuarios y facilitar la recuperación del servicio ante incidencias con el menor impacto en el cliente de acuerdo al ANS y las prioridades del negocio. Gestión Técnica (Función): Provee las habilidades técnicas y los recursos necesarios para soportar las operaciones de la infraestructura de TIC. Se ocupa de la configuración y soporte de los sistemas. Gestión de Operación (Función): Asume las actividades diarias de operación comunes a varios servicios y las propias de la gestión de infraestructura de TIC. Gestión de Aplicaciones (Función): Respalda y mantiene las aplicaciones operacionales, conforme a los requisitos establecidos. Operación de Servicios Comunes (Actividades): Conjunto de actividades técnicas especializadas que buscan asegurar que la tecnología requerida para prestar y soportar servicios está operando efectiva y eficientemente. Por ejemplo, Monitoreo y Control, Gestión de Red, Almacenamiento y archivo, Gestión de facilidades de Data Centers, etc. Mejoramiento Continuo del servicio: Actuar para prevenir, mantener y/o mejorar los resultados determinados en los Acuerdos de Niveles de Servicio. Medición del Servicio, Proceso de mejora, Informes de Servicio Mejoramiento Continuo Aprendizaje y mejora bajo el ciclo de PHVA En la definición de este modelo, el operador deberá atender los objetivos de control definidos en los procesos definidos en COBIT, versión 4.1, especialmente en los procesos: PO4 Definir los procesos, organización y relaciones de TI PO8 Administrar la calidad P09 Evaluar y Administrar los riesgos en TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas ME4 Proporcionar gobierno de TI. ANEXO 14 Página 9 de 95
2.1. APOYO A LA OPERACIÓN El operador deberá contar con herramientas de apoyo a la operación que permitan realizar el seguimiento y generación de la facturación correspondiente a los servicios prestados, tanto al Programa como a las entidades que los utilizan. El operador debe garantizar que la información procedente de estas herramientas de apoyo, se utilice como insumo para el proceso de facturación, para lo cual es recomendable que utilice estándares que garanticen automatizar dicho proceso. De igual manera, deberá emplear herramientas de monitoreo que le permitan determinar la medición de recursos en ambientes virtualizados y herramientas que permitan evaluar la calidad de la gestión realizada a través de indicadores de alto nivel. El contratista deberá seleccionar igualmente indicadores de alto nivel para la gestión de calidad del servicio de la red de telecomunicaciones. Cabe recordar que RAVEC posee la tecnología MPLS, tecnología desarrollada para extender los servicios proporcionados por las redes IP, la cual permite monitorear la calidad de servicio. A pesar de poder medir la calidad del servicio en cada uno de los componentes al interior de la operación es necesario complementarlo con una visión externa del conjunto del servicio. Para ello se debe contar con la percepción de los clientes y usuarios del servicio. 2.2. ATENCIÓN AL CLIENTE El operador debe garantizar que la administración de calidad se enfoque en los clientes, al determinar sus requerimientos y alinearlos con los estándares y prácticas de TI requeridas. Todos los esfuerzos deben estar orientados hacia el cliente y su percepción es muy importante para fortalecer o mejorar el servicio. Por ello, el modelo de atención de clientes juega un papel importante en el diseño del servicio efectivo, el cuál definirá los estándares de atención y los parámetros de calidad que deberán ser considerados por todas las actividades alrededor de tal servicio. El operador debe definir los roles y responsabilidades respecto a la resolución de conflictos entre el usuario/cliente y la organización de TI. El contratista deberá diseñar e implementar un modelo de atención al cliente que complemente al establecido en el modelo operativo para obtener un panorama completo de la calidad del servicio prestado. El modelo de atención al cliente deberá acoger mínimo la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2009, Capítulo 8, Medición, Análisis y Mejora, en especial el numeral 8.2.1, Satisfacción del cliente, donde la Norma garantiza que se cuenta con mecanismos eficaces, eficientes y continuos para recopilar, analizar y utilizar la información relacionada con la satisfacción del cliente a fin de mejorar el desempeño de la entidad, a través de mecanismos como: Encuestas periódicas. Grupos focales Buzón de sugerencias Peticiones, quejas y reclamos Estos mecanismos deben ser implementados por el operador para su propio control y mejoramiento continuo hacia el cliente y entregar los resultados de su aplicación y dichos mecanismos implementados a la interventoría semestralmente para su verificación. La interventoría posteriormente comprobará la implementación de las acciones correctivas. Se aclara que FONADE y el Programa podrán efectuar los estudios que consideren pertinentes, independientemente de los realizados por el Operador. Para este proyecto existen dos tipos de clientes que deben ser atendidos: los ciudadanos y las entidades. El interés es garantizar la calidad del servicio, para esto se debe medir la satisfacción de los diferentes usuarios, tanto entidades como ciudadanos. 2.2.1. Atención a Ciudadanos Los ciudadanos son los clientes masivos. Son clientes con múltiples exigencias, con variadas alternativas de elección, las que deben ser satisfechas en el menor tiempo posible y con altos estándares de calidad. Se debe contar con canales exclusivos (o enrutamiento de las llamadas) dispuestos en el Centro de Contacto Ciudadano, en los cuales se permitan presentar las quejas, reclamos o sugerencias sobre el servicio prestado a personal dedicado para esto. El operador deberá cumplir las siguientes funciones: Evaluar la satisfacción sobre el servicio que se presta y la efectividad del mismo. Evaluar la satisfacción sobre la atención prestada en el Centro de Contacto Ciudadano. ANEXO 14 Página 10 de 95
Estudiar razones de abandono o no uso de los servicios por parte de los ciudadanos. Dentro del proceso de mejoramiento, analizar los resultados, proponer acciones de mejora y gestionar su realización con los responsables correspondientes y verificar la efectividad e impacto de las mismas. 2.2.2. Atención a Entidades Las entidades equivalen a los clientes empresariales. Hay más homogeneidad en este tipo de cliente, que tienen interlocutores capacitados técnicamente, los cuales deben seguir políticas, restricciones y requisitos. Se tiene una relación cliente-proveedor más estrecha. Se debe contar con canales exclusivos dispuestos en el Centro de Contacto Ciudadano en los cuales se permita presentar las quejas, reclamos o sugerencias sobre el servicio prestado y cuando se requiera, con la atención personalizada de los promotores de servicios. Las funciones que deberá cumplir son: Manejo y gestión de un cuadro de mando, de clientes (entidades), con indicadores, objetivos y de percepción de clientes. Evaluar la satisfacción sobre la atención prestada en el Centro de Contacto Ciudadano Realizar seguimiento a clientes insatisfechos. Asegurar que los requerimientos/problemas relevantes de los clientes asignados son tratados con la debida diligencia, mediante la adecuada coordinación con los integrantes en la cadena de atención. Dentro del proceso de mejoramiento, realizar seguimiento a las acciones de mejora y verificar la efectividad e impacto de las mismas. Los tamaños de la muestra pueden variar dependiendo de los objetivos de los estudios y del método de selección de la muestra. El oferente debe garantizar que la muestra resulte realmente representativa para el objetivo trazado. El tamaño de la muestra será avalada por el interventor. 2.3 CALIDAD DEL SERVICIO Establecer y mantener un Sistema de Gestión de la Calidad (SGC) que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los requerimientos del proyecto. El SGC debe definir la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades para todos los componentes, o áreas clave: 1. Red de Alta Velocidad del estado Colombiano (RAVEC) 2. Centro de Datos (CD) 3. Centro de Contacto Ciudadano (CCC) 4. Administración de Aplicaciones de Agenda 5. Mantenimiento de Aplicaciones de Agenda. En las cuales se debe desarrollar sus planes de calidad de acuerdo a los criterios y políticas, definir estándares y prácticas de calidad, registrar sus datos de calidad, monitorear y revisar interna y externamente el desempeño contra los estándares y prácticas de calidad definidas, monitorear y medir la efectividad y aceptación del SGC, midiendo: Porcentaje de stakeholders satisfechos con la calidad (ponderados por importancia) Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo periódico que satisfaga las metas y objetivos de calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad. Porcentaje de reducción en el número de incidentes de alta severidad por usuario/mes por mes. Porcentaje de defectos no descubiertos antes de entrar a producción. Número de problemas en producción por aplicación, que causan tiempos perdidos significativos. Porcentaje de satisfacción de los interesados con el entrenamiento de las soluciones recibido Porcentaje de personal de TI que reciben entrenamiento administrativo/concientización. Porcentaje de interesados que participan en encuestas de calidad. Se debe liderar y gestionar los análisis de causa raíz de los problemas hasta encontrarles la solución no solo desde el punto de vista técnico, sino de procesos y recurso humano de todos los componentes de la Intranet Gubernamental. La mejora del SGC debe ser de manera continua. Se debe elaborar y comunicar de forma periódica un plan global de calidad que promueva la mejora continua. ANEXO 14 Página 11 de 95
El contratista debe seleccionar los anteriores indicadores y definir otros medidores generales relacionados con los Factores Críticos de Éxito (CSFs), que describan aquello qué debe pasar para que se cumplan los objetivos estratégicos preestablecidos, los cuales deben ser puestos a consideración de la interventoría para su respectiva aprobación. La medición de cada CSF deberá construirse a partir de los Indicadores Claves de Desempeño (KPIs) que miden el performance de los procesos, actividades y soluciones. A manera de ilustración, si se tiene con CSF la Calidad del Servicio, éste podría construirse a partir de los KPI s: Porcentaje de Disponibilidad del Servicio para cada componente Medidas de performance de los componentes RAVEC y CD Tiempo medio de resolución de los incidentes Tiempo medio de recuperación ante fallas Incidentes debidos a falta de capacidad de la infraestructura Índice de percepción del cliente (por encuestas de satisfacción, tendencia 100% satisfacción; y cero quejas/reclamos) Número de errores encontrados en la información de consumos Número de informes/reportes no entregados oportunamente Un segundo ejemplo de CSF podría ser el de Seguridad, con los siguientes KPIs: Número de incidentes graves de seguridad Número de auditorías de seguridad y hacking ético Duración en la implementación de medidas preventivas Número de simulacros en el año ante desastres Índice de funcionarios sensibilizados y capacitados en seguridad de la información sobre el total de funcionarios. Los KPI s deberán determinarse durante la etapa de Preparación para la Migración y Operación y deberán formar parte tanto de las reuniones periódicas de seguimiento del servicio como de los informes mensuales de gestión. ANEXO 14 Página 12 de 95
3. PLAN DE EJECUCIÓN La ejecución de las actividades de este contrato se realizará en cuatro (4) etapas. 1. Preparación para la migración y operación 2. Empalme y migración 3. Operación 4. Transición y entrega 3.1. PREPARACIÓN PARA LA MIGRACIÓN Y OPERACIÓN Esta etapa podrá ser desarrollada en un plazo máximo de un (1) mes contado a partir del inicio de la ejecución del contrato. Durante esta etapa el contratista deberá ejecutar las siguientes actividades: 1. El operador debe entregar el Plan de Proyecto general que siga los lineamientos del PMI para la gestión de proyectos y programas que debe ser entregado durante los primeros 15 días de ejecución del proyecto y deberá mantenerse actualizado a lo largo del proyecto. Este plan debe incluir como mínimo los siguientes entregables, los cuales el contratista deberá presentar y gestionar a lo largo del proyecto: Plan de actividades y tiempos. Cronograma. Ruta crítica. Control de actividades y sistema de autorización de paquetes de trabajo. Plan de riesgos del proyecto: Evaluación de riesgos, disparadores de riesgos, planes de mitigación, planes de remediación y planes de contingencia a los riesgos. Su seguimiento debe ser semanal. Plan de calidad del proyecto. Definición clara, precisa y concertada (entre el operador, la interventoría y la Supervisión) de los procesos de aseguramiento y control de calidad de los diferentes entregables: Definición de pruebas, procedimientos de aceptación; criterio para establecer que un servicio migrado o implementado está listo para entrar a operación; formatos y criterios de aceptación de los documentos a entregar durante la ejecución del contrato; y proceso de cierre del proyecto. Todos estos serán los criterios bajo los cuales la Interventoría dará por aceptados los entregables y servicios del proyecto. Igualmente, se acordarán los tiempos para validar los entregables por parte de la interventoría. Para los informes que deba presentar el operador se elaborarán las plantillas que incluyan lo que se espera que vaya en cada sección o ítem, más los espacios para las observaciones de la Interventoría. Los cambios de las plantillas deben llevarse a control de cambios. Plan de comunicaciones del proyecto: Establecimiento de canales, mecanismos y herramientas de comunicación con los stakeholders. (Formatos de reportes, formatos de documentos, matriz de comunicaciones, agenda de reuniones, periodicidad de los informes, reuniones, reportes de avance). Este plan debe ser actualizado, divulgado a todos los stakeholders y seguido. Plan de recursos humano del proyecto: Definición de roles y responsabilidades del equipo del proyecto, fechas de entrada y salida de los integrantes del equipo. Los comités pertinentes, incluido el comité de control de cambios del proyecto (este comité es diferente al comité de cambios del servicio que se defina conforme con ITIL). Procedimientos de control de cambio del proyecto y sistema de autorización de cambios. 2. Durante esta etapa el contratista deberá ejecutar las siguientes actividades: Planear la migración: Conjuntamente con las entidades usuarias, el operador saliente y el Programa Agenda de Conectividad, usando como insumos los protocolos del Anexo 19 Protocolos de Transferencia de los Proveedores Actuales, el contratista debe acordar y establecer un plan donde se prioricen las soluciones que deberá migrar y poner en producción en el plazo previsto. Iniciar el Business Impact Analysis (BIA) y el Risk Assessment (RA) de los servicios. Se recomienda que esta actividad se lleve a cabo desde el comienzo de la etapa. Diseñar del Centro de Datos, el Centro de Contacto Ciudadano, y la Red de Alta Velocidad del Estado Colombiana. Caracterizar los servicios prioritarios. La forma de caracterización de los servicios a ser migrados debe quedar definida, descrita y acordada en esta primera etapa. Definición de reportes necesarios para cada uno de los servicios priorizados, y acordar un criterio frente a la posibilidad de reportes ad-hoc. Especificación detallada de los ANS para la operación de los servicios priorizados ANEXO 14 Página 13 de 95
Acuerdo y definición de los KPIs o indicadores de gestión dentro del Sistemas de Gestión de Calidad, entre el responsable de calidad del nuevo operador, y la Interventoría, el Programa y la Supervisión. 3. El contratista deberá hacer entrega de los siguientes productos, para revisión y aprobación por parte de la interventoría: Plan de migración Diseño del Centro de Datos Diseño del Centro de Contacto Ciudadano Diseño de la Red de Alta Velocidad del Estado Colombiana Business Impact Analysis (BIA) y un Risk Assessment (RA) de los servicios, basado en metodologías como BCI del Business Continuity Institute, DRII del Disaster Recovery Institute International o la de otro organismo internacional. Caracterización de los servicios prioritarios, que incluya: i. Descripción de cada servicio ii. Responsable (Propietario, Desarrollador, Administrador) iii. Procedimientos asociados a cada servicio iv. ANS aplicables a cada servicio v. Características incluidas en el Protocolo de Entrada de Servicio, tales como: Nivel de criticidad del servicio Nivel de disponibilidad Recovery Time Objective (RTO) Consumo de recurso computacional y de comunicaciones Puerto TCP o UDP de conexión para los servicios. (NOTA: El análisis de riesgos y los controles para mitigar estos riesgos deberá ser responsabilidad de las Entidades propietarias de las aplicaciones diferentes de Agenda.) vi. Demás información que permita ser eficiente y responsable en la prestación del servicio Definición de reportes necesarios para cada uno de los servicios priorizados, y acordar un criterio frente a la posibilidad de reportes ad-hoc. Especificación detallada de los ANS para la operación de los servicios priorizados Documentación detallada del modelo de gestión de la operación, que deberá incluir como mínimo los siguientes entregables: i. Plan de Comunicaciones del Servicio (no del proyecto) y esquema del sistema de gestión de la configuración y la Base de Datos de Gestión de la Configuración. ii. Plan de Seguridad de la información (que incluya modelo de seguridad definido y el plan de implementación), Plan de recuperación ante desastres, Plan de continuidad del servicio y Plan de Contingencia (que involucre RAVEC, Centros de Datos principal y alterno, equipos de conectividad del centro de datos, Centro de Contacto Ciudadano y aplicaciones del Programa y de las Entidades usuarias). iii. Documentación de los procesos ITIL definidos, actividades, formatos de registro y reportes. iv. Plan de Calidad para el mejoramiento contínuo del servicio. v. Manual de Operación del RAVEC, Centro de Datos, Centro de Contacto Ciudadano, y Administración y Mantenimiento de las aplicaciones del Programa. Documentación de soporte requerida en los componentes RAVEC, Centro de Datos y Centro de Contacto, que certifiquen el uso de Tecnología Reciente y documentación soporte de los proyectos en los que ha sido probada satisfactoriamente dicha tecnología, para la correspondiente verificación y aprobación por parte de la Interventoría. El contratista deberá facilitar de manera ágil y oportuna el acceso de la Interventoría a sus instalaciones y brindar los elementos de logística, en el momento que esta lo requiera, en el ejercicio de las funciones propias de la Supervisión. 3.2. EMPALME Y MIGRACIÓN En esta etapa se lleva a cabo el cierre de la transferencia de conocimiento, empalme con el operador actual, migración de servicios y soluciones de acuerdo con el plan, realización de pruebas e inicio de la operación de los servicios migrados de la Red de Alta Velocidad, del Centro de Datos y del Centro de Contacto Ciudadano. Dicho proceso se debe realizar de manera simultánea y gradual durante un plazo máximo de cuatro (4) meses siguientes a la terminación de la etapa de preparación para la migración y operación. El servicio de administración y mantenimiento será de uso exclusivo para las soluciones a cargo del Programa o del MINTIC. En ese sentido esta entrega será responsabilidad del Programa o del MINTIC, respectivamente. ANEXO 14 Página 14 de 95
1. Durante esta etapa el contratista deberá ejecutar las siguientes actividades: a) Finalizar y entregar el BIA y el RA de todos los procesos o servicios para la definición de la Arquitectura de Seguridad, máximo al finalizar el mes uno (1) de la etapa. b) Definir y documentar la Arquitectura de Seguridad y el Modelo de Seguridad de la información, que debe incluir el Plan Recuperación de Desastres (PRD) y la infraestructura de Seguridad, como máximo al finalizar el mes dos (2) de la etapa. c) Finalizar la caracterización de la totalidad de los servicios a ser migrados. Es recomendable comenzar por aquellos que sigan en secuencia a los definidos en la primera etapa. Nunca esta actividad deberá ser causante de retrasos para la migración de los servicios correspondientes. d) Tener definidos los reportes necesarios para cada uno de la totalidad de los servicios. e) Tener la especificación detallada de los ANS para la operación de la totalidad de los servicios. f) Garantizar el montaje de la infraestructura básica, es decir aquella que permita ejecutar el proceso de migración, de conformidad con los diseños aprobados en la primera etapa. g) Antes de que se lleven a cabo las diferentes migraciones, el contratista debe tener implementadas las políticas y las medidas básicas (recursos tecnológicos y humanos) del modelo de seguridad que garanticen la confidencialidad, disponibilidad e integridad de la información así como de los activos de TI comprometidos en la migración. h) Implementar la Arquitectura de Seguridad y el Modelo de Seguridad de la información, máximo en el mes tres (3) de esta etapa. (Se advierte que para la entrada en operación de cualquiera de los servicios, todo el modelo de seguridad debe estar implementado y todos los controles de seguridad y de continuidad pertinentes deben estar funcionando y disponibles.) Debe implementar la totalidad de políticas y medidas (recursos tecnológicos y humanos) del modelo de seguridad que garanticen la disponibilidad, la confidencialidad, integridad, autenticación, autorización, no repudio, auditoría y privacidad de la información así como de los activos de TI comprometidos en la operación. Para poder iniciar la operación de un servicio, deben estar aprobadas previamente todas sus fases, incluyendo la implementación de las políticas y medidas de seguridad pertinentes al servicio en los componentes que le aplique. Por ningún motivo podrá ponerse en operación un servicio sin que estén implementadas la totalidad de políticas y medidas de seguridad pertinentes. i) Dar prioridad a la migración de las soluciones de MINTIC. j) Para la migración del Centro de Datos se debe habilitar un enlace con el Centro de Datos del operador actual, cuyo costo y manejo estarán a cargo del contratista, de tal manera que se facilite el proceso de migración. k) Establecer un enlace con la Red de Alta velocidad del operador actual, asumiendo su costo. l) En la migración del centro de contacto ciudadano el costo de las transferencias de llamadas será asumido por el contratista. m) Recibir del Programa Gobierno en Línea las soluciones del Ministerio de las TIC para iniciar su Administración y Mantenimiento n) Deberá iniciar el mantenimiento de las soluciones del Programa a más tardar dos (2) meses después de la entrada en producción de dichas soluciones para los casos que indique el Programa. o) Proveer las herramientas de monitoreo y medición de ANS y el equipo por demanda necesario. El contratista deberá facilitar a la Interventoría el acceso a sus instalaciones y brindar los elementos de logística 1, en el momento que esta lo requiera, en el ejercicio de las funciones propias de la Supervisión. 2. En esta etapa se deberán entregar los siguientes productos para revisión y aprobación por parte de la Interventoría: a) Arquitectura de la información en todos sus niveles arquitecturales: conceptual, funcional y físico (detallado en el numeral 4). b) Enlace a la Red de Alta Velocidad del Estado Colombiano y al Centro de Datos del operador actual. c) Informe y diagnóstico de la migración. Se requiere de Informes y Diagnóstico tanto previo como posterior a la Migración. d) Actas de aceptación de entrada en producción de cada servicio debidamente firmadas por las partes (Incluyendo el Operador, la Interventoría y las entidades involucradas), con sus correspondientes manuales de instalación. e) Acta de inicio de la Administración de cada Solución del Programa que estará a cargo del contratista, incluyendo la línea base de la documentación. f) Acta de inicio del mantenimiento, incluyendo línea base de software y documentación técnica.!"#$$$ $%&$ '() '$!*') ) + *+) ),- $+* ) -* ANEXO 14 Página 15 de 95
g) Pruebas de aceptación del esquema de soporte y administración de cada servicio. h) Herramientas de monitoreo y medición de ANS en funcionamiento. i) Ajustes a los procesos y procedimientos del modelo de gestión. j) Informe de seguimiento, que deberá incluir: i. Gestión, calidad del servicio, resultados y análisis de los resultados para cada servicio. ii. Informe financiero del contrato. k) Modelo de computación por demanda revisión y ajuste, definiendo los descuentos aplicables para los servicios. l) Modelo de gestión propuesto revisado a la luz de ISO20000, y siguiendo las buenas prácticas de ITIL. m) Otros informes solicitados por la Supervisión. NOTA: Para cada servicio que se migre, una vez realizada y aceptada la instalación, se contará con un (1) mes de estabilización, de tal manera que la medición y descuentos de los ANS empezarán a efectuarse después de este mes. Durante esta etapa los descuentos del modelo de computación por demanda no se aplicarán, por consiguiente se cancelará el valor correspondiente al servicio el valor correspondiente al prestado. 3.3. OPERACIÓN Esta etapa da inicio una vez adelantada la etapa de Empalme y Migración con todos sus entregables aprobados por la Interventoría, mediante la suscripción de las actas de inicio de la operación para cada uno de los componentes: Red de Alta Velocidad del Estado Colombiano, Centro de Datos, Centro de Contacto Ciudadano, Acta de aceptación de entrada en producción de cada servicio, Acta de inicio de la Administración y Acta de inicio del mantenimiento de cada Solución del Programa, y se ejecutará hasta la finalización del contrato. Comprende entre otras las siguientes actividades que debe desarrollar el contratista: 1. Operar cada uno de los servicios de la Red de Alta Velocidad, Centro de Datos y Centro de Contacto Ciudadano de acuerdo con los procedimientos establecidos, asegurando el cumplimiento de los ANS. 2. Efectuar la revisión y actualización de los procesos y procedimientos periódicamente para su optimización. 3. Administrar y mantener cada una de las soluciones recibidas, atendiendo a los usuarios de cada solución, resolviendo todas las inquietudes funcionales y técnicas que surjan durante el uso de las mismas. 4. Divulgar a las entidades usuarias los protocolos de comunicación al inicio de la operación y mantener contacto permanente con las mismas para efectos de control y seguimiento en la prestación del servicio. 5. Desarrollar y comunicar a cada entidad los procedimientos establecidos para la correcta prestación de los servicios que contrata con el operador. Estos procedimientos deben ser ágiles, de fácil implementación y en lo posible automatizados. 6. Los servicios deberán tener una línea de soporte técnico y atención de incidentes 7x24x365 de nivel 1 y 2 apoyado con una herramienta automatizada para seguimiento del estado de las solicitudes, la cual deberá estar disponible durante toda la operación con acceso a las entidades usuarias, la Interventoría y la Supervisión. Corresponde al soporte de mesa de ayuda que debe ofrecer el CCC a los usuarios de las soluciones instaladas en el Centro de Datos. (ver Anexo 14 numeral 6.3 ítem 17). 7. El proponente debe garantizar que la información procedente de las herramientas de monitoreo se utilice como insumo para el proceso de facturación, para lo cual es recomendable que utilice herramientas que le permitan automatizar ese proceso. 8. El operador deberá garantizar la disponibilidad de diferentes versiones de software de los productos asociados a las líneas tecnológicas aprobadas para el Centro de Datos, con el fin de que se puedan instalar aplicaciones de las Entidades en las versiones en que fueron desarrolladas. Estos casos serán exceptuados al evaluar el cumplimiento de tecnología reciente, siempre y cuando, previamente hayan sido aprobados por la interventoría. 9. El operador deberá implementar un programa de salud ocupacional para garantizar las condiciones de trabajo adecuadas del personal que hace parte de la operación. 10. Para el Centro de Contacto Ciudadano se deben implementar encuestas de satisfacción del servicio prestado al final de las llamadas de acuerdo con las necesidades de las entidades y del Programa. 11. El operador debe asignar a cada campaña una persona responsable de interactuar con la entidad (esta persona puede ser seleccionada entre los líderes de campaña existentes y/o el coordinador del Centro de Contacto Ciudadano). ANEXO 14 Página 16 de 95
12. El operador debe implementar mecanismos para garantizar que la información que se le entrega a la ciudadanía esté actualizada (coordinación permanente con la entidades usuarias). Las entidades usuarias deberán entregar al operador clara y oportunamente la información actualizada para este fin. De la misma manera, debe establecer jornadas de inducción, reinducción y capacitación a sus agentes para mantener los niveles de información requeridos. 13. Todos los procesos involucrados en el modelo de operación deben estar enmarcados en las recomendaciones establecidas por las normas internacionales vigentes en seguridad de la información y operación de los servicios de tecnología, considerando lo solicitado en el numeral 4.1 ítem 6 del presente documento. 14. En el caso que no se cumpla lo descrito en la ejecución de manuales de operación, guías, instructivos, procedimientos, políticas de administración o que las personas no ejecutan el rol definido o cuando el Interventor recomiende o solicite acciones de mejora, el operador de servicio deberá presentar un plan de mejoramiento y realizar las actividades o cambios necesarios para corregir las deficiencias encontradas en el tiempo acordado en conjunto con la Interventoría, de no cumplir con el plan de mejoramiento propuesto se procederá a la aplicación de las sanciones contractuales. 15. El operador debe mantener actualizados todos los documentos (políticas, manuales, guías, procedimientos, instructivos, planes, roles, responsabilidades, entre otros) de acuerdo con los cambios que se presenten en el desempeño de las tareas descritas en el Modelo Operativo. 16. En el caso de presentarse alguna falla, error o interrupción en la operación, esta debe ser identificada, registrada, documentada y resuelta oportunamente de acuerdo con los ANS establecidos para ello. 17. El contratista deberá facilitar a la Interventoría el acceso a sus instalaciones y brindar los elementos de logística 2, en el momento que esta lo requiera, en el ejercicio de las funciones propias de la Supervisión. 18. Diseño de nuevos servicios. Se refiere a servicios que demanden las entidades y que no se encuentran entre los previstos para la operación (de cada uno de los componentes). Por ejemplo, nuevas aplicaciones que requieran líneas tecnológicas no previstas en el Centro de Datos. 19. El contratista deberá entregar los siguientes productos para revisión y aprobación por parte de la Interventoría: a) Infraestructura para mantenimiento y pruebas, en funcionamiento. b) Caracterización de los servicios, actualizada mensualmente. No debe existir ningún servicio en producción, sin tener su caracterización. c) Modelo de gestión de la operación optimizado para la prestación de los servicios, debe ser presentado al menos cada seis (6) meses, en el marco del mejoramiento continuo. Debe facilitar la verificación frente al uso y actualización del CMDB por parte del operador. d) Modelo de gestión de la seguridad de la información con las mejoras incluidas, debe ser presentado al menos cada seis (6) meses, en el marco del mejoramiento continuo. e) Informe de seguimiento, mensuales que deberá incluir: iii. Gestión del servicio (calidad del servicio), gestión de la seguridad de la información, resultados y análisis de los resultados para cada servicio. iv. Informes de ANS. v. Informe financiero del contrato. f) Otros informes solicitados por la Supervisión, cuya periodicidad será concertada con la Interventoría. g) Actualizaciones de la línea base documental y de software, cada vez que sea efectuada la instalación de nuevas versiones por cada solución. h) Modelo de computación por demanda actualizado semestralmente. i) Modelos optimizados de prestación de servicios para RAVEC, CCC, ADMINISTRACION Y MANTENIMIENTO DE SOLUCIONES. Nota: Los ANS aplicables a cada servicio se empezarán a medir una vez se dé inicio a la puesta en operación del servicio.!"#$$$ $%&$ '() '$!*') ) + *+) ),- $+* ) -* ANEXO 14 Página 17 de 95
20. El operador deberá efectuar todas las pruebas de seguridad basadas en el estándar NIST 800-115 a los componentes: RAVEC, Centro de Datos y Centro de Contacto Ciudadano; como se expone en la siguiente tabla, con las frecuencias allí señaladas, las cuales están basadas en NIST 800-42. Tabla - Técnica de Pruebas de Red TIPOS DE PRUEBA FRECUENCIA DE LA CATEGORÍA 1* FRECUENCIA DE LA CATEGORÍA 2** Escaneado de red Continuamente para Trimestral Semestral Análisis de vulnerabilidad Trimestral o bimensual (y más a menudo para Semestral determinados sistemas de alto riesgo), y cuando la BD de vulnerabilidades se actualiza Pruebas de Penetración Anual Anual Password Cracking Continuamente a la misma frecuencia que la política de caducidad La misma frecuencia que la política de caducidad Revisión de Logs Diarias para los sistemas críticos, p. ej., firewalls Semanal Verificadores de Integridad Mensual y en caso de incidente sospechoso Mensual Detectores de Virus Semanal o cuando sea requerido Semanal o cuando sea requerido Guerra de marcado Anual Anual Guerra de conducción Continuamente a semanal Semestral Fuente: Tomado del estándar NIST 800-42 *Categoría 1: Son los sistemas sensibles que proporcionan seguridad para la organización o que proporcionan otras funciones críticas. Estos sistemas incluyen a menudo: - Firewalls, routers y sistemas de defensa perimetral, como para la detección de intrusiones, - Los sistemas de acceso público tales como servidores web y correo electrónico, - DNS y los servidores de directorios y otros sistemas internos que probablemente sean objetivos de intrusos. **Categoría 2 Son en general todos los demás sistemas, es decir, aquellos sistemas que están protegidos por firewalls, etc., pero que deben ser probados periódicamente. Así mismo, efectuar pruebas de seguridad basados en metodologías como la OWASP, OSSTMM, o de algún organismo internacional, para los componentes Administración y Mantenimiento de Soluciones de Agenda. 21. El operador debe llevar a cabo auditorías externas e internas de la seguridad de TI a la totalidad de los componentes, conforme a los estándares establecidos anteriormente. Las auditorías externas, las cuales correrán por cuenta del operador, deben realizarse anualmente, siendo la primera a los seis (6) meses de haber iniciado la etapa de operación. Las auditorías internas deben realizarse semestralmente, siendo la primera a los cuatro (4) meses de haber iniciado la etapa de operación. Para las auditorías externas, el operador deberá presentar tres firmas expertas en el tema como candidatas para efectuar la auditoría y la interventoría escogerá una de ellas para tal fin. Por esta razón deberá presentar las certificaciones o credenciales de estas compañías que acrediten su idoneidad. Las auditorías internas deben ser totalmente independientes a las auditorías externas (realizadas por terceros), y serán ejecutadas por parte del área de control interno o su equivalente dentro de la organización del operador. Para cualquiera de las auditorías, el operador deberá presentar un informe con los resultados de este análisis, las Conformidades y No-Conformidades halladas, las posibles vulnerabilidades, así como el plan de mejoramiento correspondiente, dentro de un plazo máximo quince (15) días calendario a partir de la terminación de la auditoría. Se aclara en el caso de las auditorías externas, que los informes generados por la entidad externa deberán ser anexados, con sus hallazgos y recomendaciones. El plan de mejoramiento deberá contener las acciones preventivas y correctivas con miras a confrontar a las No- Conformidades, estipulando las acciones, el costo y el tiempo proyectado para la implementación, y los respectivos controles de cambio. Estos cambios o endurecimientos respectivos deberán ser aprobados por la interventoría. NOTA: Si una No-Conformidad encontrada en una auditoría previa realizada dentro del actual contrato, a pesar de que la interventoría ya hubiera aprobado el cambio, y esta misma No-Conformidad vuelve a hallarse en la siguiente auditoría, esto conducirá a un incumplimiento del contrato. 22. El operador deberá contratar por cuenta propia los servicios profesionales de Ethical Hacking a los componentes Centro de Datos, RAVEC y Centro de Contacto Ciudadano. El profesional quien ejecute las pruebas debe contar con alguna certificación internacional (EHC) como la emitida por la EC-Council, en su última versión vigente, además debe contar con ANEXO 14 Página 18 de 95
aval de la interventoría. La frecuencia con que deben ser llevadas a cabo estas pruebas debe ser tres (3) veces al año -cada cuatro meses-, durante todo el proyecto. Se requiere que al final de los servicios profesionales de Ethical Hacking se genere un informe para el operador, la interventoría y la supervisión, con los resultados de las pruebas, las vulnerabilidades encontradas y las recomendaciones para resolverlas, y un informe en máximo tres días (3) días calendario. El operador deberá presentar un informe en máximo quince (15) días calendario a partir de la terminación de las pruebas de Ethical Hacking, informando las acciones preventivas urgentes que se hayan tomado, con el aval de la interventoría, y el plan de mejoramientoque el interventor avale para que se realicen los respectivos cambios o endurecimientos respectivos. El plan de mejoramiento deberá contener las acciones con miras a disipar las vulnerabilidades, estipulando las acciones, el costo y el tiempo proyectado para la implementación, y los respectivos controles de cambio. Estos cambios o endurecimientos respectivos deberán ser aprobados por la interventoría. NOTA: Si una vulnerabilidad que haya sido identificada en un servicio profesional de ethical hacking previo, realizado dentro del actual contrato, y a pesar de que la interventoría ya hubiera aprobado el cambio, esta misma vulnerabilidad vuelve a identificarse en el siguiente servicio de ethical hacking, esto conducirá a un incumplimiento del contrato. 23. El operador deberá emitir una declaración de auto-conformidad ISO 27001 al finalizar los doce (12) primeros meses, tiempo prudente de institucionalización del modelo de seguridad por quienes intervienen en la operación, con una primera revisión del avance que el operador lleve en este propósito por parte de la interventoría. 24. El operador debe llevar a cabo auditorías internas de la Calidad de Servicio de TI a todos los componentes, conforme a los estándares y buenas prácticas ISO20000 e ITIL v.3. Las auditorías internas serán ejecutadas por parte del área de control interno o su equivalente en la organización del operador y deben realizarse semestralmente, siendo la primera a los tres (3) meses de haber iniciado la etapa de operación. Posterior a las auditorías, el operador deberá presentar un informe con los resultados de este análisis, las Conformidades y No-Conformidades halladas, así como el plan de mejoramiento correspondiente, dentro de un plazo máximo quince (15) días calendario a partir de la terminación de la auditoría. El plan de mejoramiento deberá contener las acciones de mejora con miras a resolver las No-Conformidades, estipulando las acciones, el costo y el tiempo proyectado para la implementación, y los respectivos controles de cambio en el modelo operativo. Estos cambios deberán ser aprobados por la interventoría. NOTA: Si una No-Conformidad que haya sido hallada en una auditoría previa, realizada dentro del actual contrato, y a pesar de que la interventoría ya hubiera aprobado el cambio, esta misma No-Conformidad vuelve a hallarse en la siguiente auditoría, esto conducirá a un incumplimiento del contrato. 25. Realización de análisis de desempeño de las aplicaciones del Centro de Datos durante todo el proyecto. Debe realizarse mensualmente en conjunto con los encargados de las aplicaciones alojadas en el componente, sin perjuicio de los análisis correspondientes a la medición de las variables de operación. Se presentará informe de este con el plan de acción correspondiente. 26. Realizar la presentación de los documentos en formato digital, de manera que se minimice el uso del papel, utilizando mecanismos de seguridad que aseguren no repudio, integridad, autenticidad tales como firma digital, evidencia digital, estampado de tiempo. 27. Todas las demás obligaciones especificadas en las reglas de participación. NOTA: En esta etapa aplican en su totalidad los ANS. Durante esta etapa los descuentos del modelo de computación por demanda serán aplicados. 3.4. TRANSICIÓN Y ENTREGA Esta etapa comienza al menos cuatro (4) meses antes de la finalización del contrato, o cuando FONADE lo solicite teniendo en cuenta que el contrato puede terminarse una vez se agote su presupuesto. Comprende las siguientes actividades: ANEXO 14 Página 19 de 95
1. Elaborar un plan para la entrega de la operación de los servicios de Gobierno en Línea al siguiente operador, para lo cual el contratista dispondrá de quince (15) días calendario a partir del inicio de la etapa. Dicho plan será revisado y aprobado por la Interventoría. 2. Implementación del plan de acuerdo con el cronograma establecido. El contratista deberá hacer entrega de los siguientes productos para revisión y aprobación por parte de la Interventoría: a) Plan de entrega de la operación de los servicios de Gobierno en línea de mínimo impacto, hacia el siguiente operador. b) Transferencia de información, conocimiento y servicios al nuevo operador el cual incluye cada una de las aplicaciones y sus medios de instalación, capas del Centro de Datos, manuales, configuración de las capas y líneas tecnológicas, archivos de configuración de software base, scripts de operación, base de datos de clientes atendidos, base de conocimiento del Centro de Contacto Ciudadano y documentación de diseño y de la arquitectura de la Red de Alta Velocidad. Línea base documental y software actualizado (código fuente) de todas las soluciones en las que tuvo a cargo su administración y/u operación. c) Todos los entregables relacionados en el numeral 3.4.2 de este anexo. d) Documentación de soporte del diseño y la operación de cada uno de los servicios actualizados. e) Documentos y procedimientos de operación de cada servicio actualizados. f) Carta de garantía para los mantenimientos de software realizados. g) Actas de entrega de cada uno de los servicios. h) Informes de seguimiento mensual, que deberá incluir: vi. Gestión, calidad del servicio, resultados y análisis de los resultados para cada servicio vii. Informe financiero del contrato viii. Informe de pruebas de seguridad realizadas sobre los servicios entregados en el mes. ix. Informes de ANS. i) Documento de recomendaciones j) Modelo de computación por demanda actualizado. k) Informe de entrega. 3. El operador saliente deberá eliminar de forma permanente la totalidad de la información mediante procesos de borrado seguro sobre todos los medios de almacenamiento que utilizó durante la operación. Esto se debe realizar después de terminada la etapa de migración, previa revisión y aprobación de las Interventorías entrante y saliente. El procedimiento debe ser establecido de común acuerdo con la interventoría, para lo cual se deberán levantar las actas correspondientes, una vez migrada y validada la aplicación ó el elemento entregado al nuevo operador ó cuando sea requerido durante la etapa de operación. Este borrado debe ser a bajo nivel que garantice la no recuperación de los datos con herramientas especializadas. El borrado seguro deberá ser verificada por la interventoría. Este procedimiento hace parte del Plan de Gestión de Seguridad de la información indicado en la etapa Preparación para migración y operación. 4. Para las actividades que lo requieran, previo acuerdo, facilitar el acceso a sus instalaciones al nuevo operador y a la interventoría. NOTA: En esta etapa se continuarán aplicando los ANS en su totalidad. Durante esta etapa los descuentos del modelo de computación por demanda serán aplicados. 3.4.1 Protocolo de Transferencia del Operador Adjudicatario hacia el siguiente De acuerdo con lo planteado en el análisis que se hace para los componentes actualmente en servicio, se establece el siguiente esquema de transferencia por cada uno de ellos y los documentos adicionales y la CMDB (base de datos de la gestión de configuración), que hacen parte de la transferencia a darse entre el operador entrante y el saliente (quien en este punto sería el adjudicatario del presente proceso licitatorio): CENTRO DE DATOS: Ítem Operador Entrante Plan de migración Montaje de la infraestructura del centro de datos Enlace con Centro de datos del operador saliente ANEXO 14 Página 20 de 95