marco de referencia para la gestion de ti en el estado colombiano

8/16/2019 Marco de Referencia Para La Gestion de TI en El Estado Colombiano

1/42

MARCO DE REFERENCIAPARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

ESTRATEGIA DE TI

ENTENDIMIENTO ESTRATÉGICO DEAE

1. Entendimiento estratégico:

Las entidades y el sector deben formular una estrategia de TI de la entidad y el sector respectivamente a partir del entendimiento de:

• El contexto de negocio de la entidad y el sector que incluye, entre otros.

• La postura estratégica de la entidad: misión, visión, principios, valores.

• Los procesos que se desarrollan a nivel sectorial e institucional.

• Losservicios e interacciones que el sector tiene con todas las comunidades y

personas naturales y jurídicas.• El portafolio de productos y servicios que cada entidad presta.

• La organización de la entidad.

• El entorno normativo de la entidad y sus políticas internas.

• El Plan Nacional de Desarrollo, el Plan Estratégico del Sector y el Plan EstratégicoInstitucional.

• Las tendencias del mercado al que pertenece el sector así como las tendencias en

TI.

• La Gestión y el Gobierno de TI, incluye, entre otros, la gestión y la dirección de:

• El Portafolio y Catálogo de Servicios de TI.

• El Portafolio de Planes, Programas y Proyectos de TI.


2/42

• El modelo deorganización de TI.

• El modelo de procesos de TI.

• El modelo de indicadores de seguimiento al cumplimiento de la Estrategia de TI, consu alineación con el negocio y el desempeño de los procesos de TI.

• Los planes programas y proyectos de TI que viene adelantando la UGITI y sualineación con planes, programas y proyectos de la entidad.

• La integración y alineación con el negocio de la entidad de:

• La Arquitectura de Información.

• La Arquitectura de Sistemas de Información.• La Arquitectura de Servicios Tecnológicos.

• El Modelo de Operación, Gestión y Gobierno de TI.

• La estrategia de Uso y Apropiación de las TI.

INSTRUMENTO RELACIONADO: Entendimiento estratégico

2. Analizar DOFA

LaUnidad Digital deberá realizar un análisis DOFA de la situación actual de TI en laentidad, para todos los dominios de la AE de TI.

El análisis DOFA debe recibir el vistobueno de los directores de la entidad.

LaUnidad Digital debe asegurar la conformidad y dar el visto bueno de los directoresde la entidad y de la instancia de Gobierno de TI, donde se presente este análisis dela DOFA de TI.

INSTRUMENTO RELACIONADO: Transformación empresarial

3. Definir la arquitectura

Cada sector, mediante un trabajo articulado de sus entidades, debe definir laestrategia de desarrollo de la Arquitectura Empresarial (AE), que permita materializar


3/42

la visión estratégica del sector en las entidades, utilizando la tecnología como agentede transformación.

Cada entidad, a partir de la estrategia de desarrollo de la AE del sector, mediante untrabajo articulado de sus áreas de negocio, debe definir la AE de la entidad.

La AE de la entidaddebe adoptar el Marco de Referencia de Arquitectura Empresarialpara la Gestión de TI, y adicionalmente debe definir, desarrollar y detallar loscomponentes del Marco en lo específico de la entidad.

• La estrategia de desarrollo de la AE del sector debequedar consignada en undocumento llamado Estrategia de Transformación de AE Sector.

• La definición de la estrategia de desarrollo de la AE de la entidad debe quedar consignada en el documentoPlan de Transformación e Implementación de AE de laEntidad.

• Estos planes deben ser elaborados para un período definido entre 4 y 6 años,dependiendo del tamaño de la entidad y del sector. Estos planes deben tener continuidad de manera que los cambios de Gobierno no afecten el desarrollo de la AEde la entidad. Lo anterior no significaque no se deban considerar las estrategiasprovistas por el Gobierno de turno y que contribuyen a la evolución de la AE de laentidad.


4. Implementación de la arquitectura

Cada entidad debe tener un plan de Transformación e implementación de su Arquitectura Empresarial de acuerdo a las iniciativas definidas en la Estrategia deTransformación de AE del sector y de la estrategia de negocio de la entidad.

El Plan de Transformación e Implementación de la AE de la entidad, deberá estar alineado con la normatividad vigente, las políticas, procesos y servicios del modelointegral de gestión de la entidad.



4/42

5. Mantenimiento de la arquitectura

Cada sector y entidad debe contar con un proceso que permita trimestralmente

evaluar y mantener actualizada la AE, acorde con los cambios estratégicos,organizacionales y tecnológicos de la entidad, el sector y el entorno. Estos cambios sedeben reflejar en los documentos:

• Estrategia de Transformación de AE del Sector.

• Plan de Transformación e Implementación de la AE de la entidad.

Desde la operación continua de la entidad, cada una de ellas debe reportar trimestralmente al sector la completitud de la implementación de la AE en la entidad

que permita hacerle mantenimiento a la AE.INSTRUMENTO RELACIONADO: Transformación empresarial

6. Evolución de la arquitectura

La Arquitectura de la entidad y del sector debe tener una mirada prospectiva hacia laadopción de nuevas tendencias, identificación e incorporación de nuevasoportunidades y el logro de un nivel de madurez superior como consecuencia de su

implementación.Desde la operación continua de la entidad, cada una de ellas debe considerar laevolución de la AE con TI, y para esto podrá generar iniciativas de evolución.


DIRECCIÓN ESTRATÉGICA DE TI

7. Portafolio de servicios

Las entidades deben contar con un portafolio de servicios de negocio, apoyados por TI, de tal manera que el servicio atienda las necesidades de los usuarios externos einternos.

Debe existir un Portafolio de Servicios de TI en el que se registre como proyectos, lasiniciativas que han sido aprobadas por la instancia de gobierno de TI que se defina.


5/42

Este registro debe permitir la trazabilidad de proyectos que contribuyen a evolucionar el Portafolio de Servicios de la entidad.

Debe existir una correlación entre el Portafolio de Servicios de TI en la entidad y suCatálogo de Servicios de TI. El catálogo es una herramienta de gestión operativadeTI, que entre otros permite garantizar que los servicios vigentes de TI se estánprestando con los acuerdos de servicio definidos con el usuario de la entidad y losterceros proveedoresde esta y de TI.

INSTRUMENTO RELACIONADO: Alineación de capacidades, recursos y portafolio TIcon el negocio.

8. Demanda y capacidad de servicios

La entidad debe seleccionar, evaluar y priorizar las tecnologías y las aproximaciones alas soluciones TI que dan respuesta a las necesidades (demanda) de los procesos yestrategia de TI a la luz de las capacidades y recursos con que cuenta la Unidad TI.De esta forma se asegura el cubrimiento efectivoy eficiente de lasproblemáticas delnegocio.

Cada entidad debe identificar y estimar las capacidades y recursos requeridos para la

implementación de las iniciativas TI.Definición de apoyo tecnológico a los procesos. La definición de las necesidades desistematización y apoyo tecnológico a los procesos de la entidad, deben realizarsecon base en el mapa de procesos que las entidades deben implementar en el sistemade gestión de calidad según la norma SGP1000.


9. Recursos financieros

LaUnidad Digital debe en equipo con el área de Planeación de la e entidad, asegurar una correspondencia directa entre las cifras financieras del Portafolio de Planes,Programas y Proyectos de TI; con las del Plan de Acción y de Compras de TI, yéstas con las del l presupuesto destinado a gestión de TI; para lograr una mirada


6/42

completa de planeación y ejecución financiera., tanto en los rubros de inversión comoen los de funcionamiento.


10. Iniciativas TI

• LaUnidad Digital debe, en equipo con funcionarios dueños de procesos y/o serviciosde la entidad, identificar iniciativas estratégicas de TI para las combinaciones desituaciones DO, DA, FO y FA deTI. Las iniciativas estratégicas de TI: DO, DA, FO y

FA deberán surtir el mismo proceso de revisión y aprobación del análisis DOFA,por parte de los directivos y la instancia de gobierno de TI definida para este efecto en laentidad.

• LaUnidad Digital debe participar en el diseño y/o mejoramiento de los procesos denegocio de tal manera que pueda identificar iniciativas TI a incorporar en estos y quecontribuyan a lograr transversalidad, coordinación, articulación, mayor eficiencia yoportunidad; menores costos, mejores servicios, menores riesgos y mayor seguridadpara el negocio de la entidad. La definición de apoyo tecnológico a los procesos laorganización, debe realizarse de manera alineada con el sistema de gestión de

calidad de la entidad, al Plande Transformación e implementación de la AE de laentidad,

• Las iniciativas TI deberán garantizar la trazabilidad con:

Las metas de negocio

Los planes, programas y proyectos de negocio

Los procesos de negocio

Las metas de TI El portafolio de planes, programas y proyectos de TI. Una iniciativa deja de ser

iniciativa cuando la instancia de gobierno dela entidad, el sector o el país le asigne unpresupuesto para su ejecución.

INSTRUMENTO RELACIONADO: Iniciativas estratégicas de TI y existencia del PETI


7/42

11. PETI

LaUnidad Digital debe elaborar un Plan de Implementación de la estrategia de TI de

la entidad (PETI) en él que consigne de manera muy precisa (tipo ficha), ladescripción de cada iniciativa en términos de: su objetivo, valor para el negocio, fasesy entregables, inversión total requerida, riesgos, impacto para el negocio y usuariosbeneficiados.

El PETI debe hacer parte (Sección o Anexo) del Plan de Transformación eImplementación de la AE de la entidad,

El PETI debe incluir la definición de los criterios de priorización de las iniciativas en elescenario de tiempo definidoen el Plan de Transformación e Implementación de la AE

de la entidady por consiguiente debe ser revisado y/o actualizado anualmente sinperjuicio del seguimiento que se hace a su implementación trimestralmente. Estoscriterios de priorización deben ser definidos en equipoconlos directivos de la entidad.

El PETI es entonces la herramienta estratégica de gestión quedefine el norte deacción estratégico en materia de TI de la entidad.

INSTRUMENTO RELACIONADO: Iniciativas estratégicas de TI y existencia del PETI

12. Definición de políticas TI, continuidad, privacidady seguridad de lainformación

Cada entidad debe definir lasPolíticas TI para que sean aprobadaspor la instancia degobierno de TI definida por la entidad, con el fin de tener como mínimo un ambientecontrolado de:

• Arquitectura Empresarial para gobernar su desarrollo, implementación ymantenimiento.

• Seguridad, privacidad y gestión de la información; la cual deberá incluir laimplementación de un Sistema de Gestión de la Seguridad de la Información,conformeal Marco de Referencia de AE. Este sistema debe facilitar la organización,liderazgo y control sobre las decisiones deseguridad de la información, y garantizar laalineación con la normatividad vigente, las políticas, procesos y servicios del modelointegral de gestión y el modelo de gobernabilidad de la entidad, desde la definición de


8/42

las necesidades, requerimientos de apoyo tecnológico y recursos, hasta laimplementación de las soluciones.

• Continuidad de negocio para gobernar el diseño y pruebas de los planes decontinuidad y recuperación del negocio.

• Sistemas de información que permitan gobernar el desarrollo e implantación desistemas de información.

• Acceso a la tecnología y uso de las facilidades por parte de los usuarios.

INSTRUMENTO RELACIONADO: Política TI continuidad, privacidad y seguridad de lainformación.

13. Mantenimiento de políticas TI continuidad, privacidady seguridad de lainformación

El sector y sus entidades deben contar con un proceso integrado que permita evaluar la aplicacióny los resultados de las políticas TI, la continuidad, privacidad y seguridadde la información; de acuerdo con los cambios estratégicos, organizacionales ytecnológicos, y su replanteamiento o mejoramiento de ser necesario

INSTRUMENTO RELACIONADO: Política TI continuidad, privacidad y seguridad de lainformación.

14. Estrategia de Comunicación TI

Cada entidad debe definir una estrategia de gestión del cambio organizacional paraasegurar la implementación de las iniciativas TI del PETI, que asegure su apropiaciónde todos los niveles de la organización.

La estrategia de comunicación TI se debe preparar a partir del análisis de:• La postura estratégica de TI.

• Los servicios de TI.

• Las políticas de TI, de continuidad de negocio, de privacidad y seguridad de lainformación.


9/42


10/42

IMPLEMENTACIÓN ESTRATÉGICA DE TI

16. Hoja de ruta de Transformacióneimplementación de AE de la entidad

La entidaddebe definir una hoja de ruta en la que mediante grafos se pueda visualizar la evolución del Plan de Transformación e Implementación de la AE de la entidad.

Esta hoja de ruta deberá ser preparada con base en las iniciativas presentadas en elPETI, y deberá ser actualizada anualmente, producto del seguimiento al PETI.

17. Gobierno de la Implementación de la Estrategia de TICada entidad debe implementar un proceso de gobierno de TIque facilite laevaluación, selección ypriorización de iniciativas TI como respuesta a lasproblemáticas y necesidades delos procesos y estrategias de la entidady del sector.

18. Recursos financieros

LaUnidad Digital debe ser la responsable de formular, administrar, ejecutar y hacer

seguimiento de las fichas de losproyectos de inversión requeridos para llevar a cabola implementación de la estrategia de TI.

El proceso de gestión de proyectos de inversión debe cumplir con los lineamientosque para este efecto establezca el Departamento Nacional de Planeación.

19. Portafolio de planes, programas y proyectos TIC

La entidad debe contar con un portafolio de planes, programas y proyectos de TI que

permita la ejecución de las iniciativas TI definidas en el PETI.Los proyectos de TI deben diferenciar sus componentes asociados a:

• Sistemas de información

• Servicios tecnológicos.

• Gestión de TI


11/42

Al portafolio se le debe hacer seguimiento periódico acordado en el gobierno de TI,teniendo en cuenta unresponsable para su gestión y actualización de avance, de tal

forma que se puedan tomar acciones correctivas o de mejoramiento tendientes acumplir con las metas estratégicas.

SEGUIMIENTO Y EVALUACIÓN DE LA ESTRATEGIA DE TI

20. Seguimiento al desempeño y cumplimiento

La Unidad Digital debe:

• Definir los indicadores de desempeño y cumplimiento de la estrategia de TI.

• Realizar trimestralmente, el seguimiento a los indicadores de desempeño ycumplimiento de la estrategia de TI. El proceso de seguimiento deberá contemplar una carga mínima para los funcionarios en el reporte de información de seguimiento,que deberá apoyarse principalmente en procesos automáticos y semiautomáticos;información veraz que refleje el estado real de avance de la entidad.

• Con los resultados del análisis de estos indicadores, deberá preparar un informe deanálisis y definición de iniciativas de mejora a los servicios de TI. Este análisis deberealizarsepor diferentes criterios como son entre otros: dominios TI, impacto en

proceso de negocio y estrategias de negocio.

• Realizar el seguimiento de la ejecución presupuestal del periodo actual, teniendo encuenta los diferentes estados de las asignaciones presupuestales, a saber:apropiación, compromisos y ejecución.

• Tomar acciones para lograr una exitosa ejecución de los planes y proyectos de TI,definidos para la vigencia.

• Realizar un seguimiento cruzado del Portafolio dePlanes, Programas y Proyectos de

TI; con el Plan de Acción y de Compras de TI, y éste con el presupuesto destinado agestión de TI; para lograr una mirada completa de planeación y ejecución financiera.


12/42

21. Tablero de indicadores

La entidad debe contar con un tablero de indicadores TI, que permita tener una visiónintegral de los avances y resultados enel desarrollo de la EstrategiaTI.

El Tablero de Indicadores TI debe contemplar indicadores de:

• Cumplimiento.

• Impacto.

• Avance según la Hoja de Ruta de AE.

• Desempeño de la gestión de TI.

GOBIERNO DE TI

CUMPLIMIENTO Y ALINEACIÓN CON EL NEGOCIO

22. Alineación

La entidad en sus instancias de relacionamiento, debe monitorear, evaluar y

direccionar el cumplimiento de la propuesta de valor del portafolio de servicios de TI, yel portafolio de planes, programas y proyectos de TI.

La Unidad Digital debe participar en las instancias de gobierno de la entidad, en dondese tomen decisiones relacionadas con los procesos de negocio, que incorporensoluciones y/o servicios tecnológicos, para contribuir al logro de una visión transversal,y por ende obtener la coordinación, articulación, mayor eficiencia y oportunidad conmenores costos, mejores servicios, menores riesgos y mayor seguridad.

INSTRUMENTO RELACIONADO: Beneficio de TI para el negocio

23. Claridad

La entidad debe definir criterios específicos para la determinación del valor de TI.Entre otros se consideran criterios a tener en cuenta los siguientes:


13/42

• Valor financiero que establece el costo - beneficio que tiene para la entidad, laimplementación de la iniciativa, proyecto o servicio.

• Valor tecnológico que cuantifica los niveles de incertidumbre o riesgo existente parala implementación.

• Valor del negocio que cuantifica la alineación con la estrategia de la entidad.


24. Seguridad de la información

La entidad debe velar porque el modelo de gestión de seguridad de la informacióngenere un valor agregado, representado en niveles de riesgos a un nivel aceptable y aun costo razonable. La Unidad de TIC de la entidad debe identificar los riesgos,elaborar el mapa de riesgos y gestionar los mismos, basados en el apetito del riesgodefinido por el gobierno del negocio.


25. Formalidad

Las políticas de TI definidas desde la estrategia deben ser emitidas y publicadasprevia aprobación del gobierno de la entidad. Se publicarán como actosadministrativos mediante los mecanismos normativos que disponga la entidad(decreto, resolución, circular o guía).

INSTRUMENTO RELACIONADO: Incorporación de políticas de TIC

26. Cumplimiento

El Gobierno de TI identificará y velará para que la normatividad externa que se debetener en cuenta en la proporción de servicios y soluciones de TI, se cumpla.

INSTRUMENTO RELACIONADO: Regulación externa


14/42

SEGUIMIENTO DE PLANES, PROGRAMAS Y PROYECTOS DE TI

27. Liderazgo

La Unidad de Gestión de Información y las Tecnologías de Información deberá liderar el proceso deplaneación, ejecución y seguimiento de los planes, programas yproyectos que correspondan al ámbito tecnológico e involucren TI. En aquellos casosen los que los planes, programas y proyectos respondan a objetivos funcionales denegocio y sean liderados por otras áreas, la Unidad deberá liderar la definiciónconceptual y técnica para que se asegure que la tecnología apoya correctamente lasolución planteada para el negocio.

INSTRUMENTO RELACIONADO: Planes, programas y proyectos de TI

28. Planeación, ejecución y seguimiento

En todos los proyectos de TI se debe evaluar, direccionar y monitorear como mínimo,las siguientes áreas de conocimiento de los proyectos:

1. Alcance.

2. Costos.

3. Tiempo.

4. Equipo humano.

5. Compras.

6. Calidad.

7. Comunicación.

8. Manejo de los interesados.9. Integración.

Los proyectos deberán tener una relación directa con el portafolio, planes y programasdefinidos en la entidad y el sector.


15/42

Durante la ejecución del proyecto, se deben generar espacios detransferencia deconocimiento, que faciliten el entendimiento y la futura operaciónde los productos y

servicios intermedios y finales que serán generados.INSTRUMENTO RELACIONADO: Planes, programas y proyectos de TI

29. Indicadores de gestión de los proyectos

Para establecer el avance y la ejecución normal de los proyectos, se debe contar conun conjunto de indicadores que permitan registrar y monitorear el estado de losmismos.

Se deben definir los indicadores estrictamente necesarios y suficientes, a fin de medir el avance de los entregables, el gasto que se ha causado, el valor ganado y losresultados obtenidos. De esta manera se adelantará el proceso de control que permitamedir la eficiencia y la efectividad del proyecto.


30. Oficina de proyectos

En los casos en los que el volumen e importancia de proyectos así lo amerite, se debeestablecer una oficina de Proyectos (en la entidad o sector), que le permita a laentidad contar con un modelo de gobierno centralizado de proyectos y proporcionar funciones de apoyo, control y dirección que generen el respectivo seguimiento yoptimización de los recursos y capacidades.


RELACIONAMIENTO Y ORGANIZACIÓN DE TI31. Definición de la cadena de valor de TIC

La entidad debe incluir en su cadena de valor un macroproceso para la gestión deTecnología y Sistemas de Información, que genere mérito a la entidad y en el cual seincorporen como mínimo los procesos reglamentados por el Decreto por el cual secrea el Sistema de Gestión de Información y las Tecnologías de la Información.


16/42

En la especificación del macroproceso se debe tener la definición de losprocedimientos, resultados, indicadores y mecanismos de control; para garantizar que

se desarrolle normalmente la función según los criterios de calidad.INSTRUMENTO RELACIONADO: Procesos y calidad de TI

32. Implementación de los procesos de TIC

La Unidad de Gestión de Información y las Tecnologías de la Información tiene laresponsabilidad de implementar su modelo de organización y deoperación. A partir delas definiciones hechas en la estrategia, se debe incluir como mínimo los siguientes

procesos:• Planeación y Dirección. Corresponde al desarrollo de actividades tendientes a ladefinición de las políticas, objetivos y metas a alcanzar durante los períodos legalescorrespondientes para la gestión estratégica de la información y de las tecnologías dela información [4].

• Gestión de la Información. Corresponde al desarrollo de las actividades tendientes acolectar, almacenar, analizar y explotar la información a fin de apoyar el proceso de latoma de decisiones, divulgar y proteger la información misional de cada entidad, así

como la seguridad y privacidad de la información [4].• Gestión de TI. Implica el desarrollo de las actividadespara el aprovechamiento delas Tecnologías de la Información, de tal manera que permitan cumplir con la misiónde cada entidad [4].

• Seguimiento y Control. Implica el desarrollo de actividades tendientes a laverificación y seguimiento a la gestión de la información y de las Tecnologías deInformación, facilitando la realimentación continua al desempeño, resultados eimpactos producidos por las actividades, la toma de decisiones y la reorientación de

las acciones para garantizar el logro de los resultados previstos [4].Los procesos definidos deben cubrir de manera transversal las actividadesrelacionadas con:

• Gestión del Modelo de Seguridad de la Información que garanticeel cumplimiento ylogro de sus objetivos y su mejora continua.


17/42

• Mejoramiento continuo de los servicios de TI.

• Optimización del riesgo.

Teniendo en cuenta el Sistema de Gestión de Calidad de la entidad, se deberá definir las cargas de trabajo, las responsabilidades, los roles, los mecanismos deseguimiento y adelantar las capacitaciones y actividades de entrenamiento ydivulgación necesarias para la apropiación de los procesos al interior del área y en laentidad.

INSTRUMENTO RELACIONADO: Procesos y calidad de TI

33. Evaluación de gestión TICEn virtud de lo establecido dentro del Modelo Integral de Gestión de la Entidad, laUnidad Digital debe realizar el monitoreo y evaluación de desempeño de la gestión, apartir de las mediciones de los indicadores del macroproceso y de los acuerdos deniveles de servicio. Se debe también, determinar el nivel de avance y cumplimiento delos procesos, estableciendo oportunidades y acciones de mejoramiento. Se deberámonitorear el cumplimiento de las metas establecidas en el PETI de la entidad.


34. Mejoramiento continuo TIC

Como parte del ciclo de mejoramiento de la calidad del Sistema de Gestión deInformación y las Tecnologías de la Información, la entidad deberá buscar sumejoramiento en el cumplimiento de las metas y en un mayor control de losindicadores de desempeño de los procesos y de su impacto y cubrimiento de laestrategia de TI.



18/42

35. Definición de capacidades

Cada entidad debe definir, direccionar, evaluar y monitorear los recursos ycapacidades necesarias y suficientes para prestar los servicios de TI, mediante loscuales se implementa la estrategia de TI.

• Los recursos se deberán definir en términos de servicios tecnológicos, sistemas deinformación, personal y recursos financieros.

• Las capacidades debenestar definidas en términos de organización, conocimiento yprocesos.

INSTRUMENTO RELACIONADO: Recursos y capacidades de TI

36. Responsable

El responsable de la Unidad Digital debe estar en capacidad de:

• Proveer la visión tecnológica y el liderazgo para desarrollar e implementar todas lasiniciativas de TI definidas en la estrategia.

• Es patrocinador de la AE y es quien debe lograr el compromiso de todos losinteresados de la entidad, para desarrollarla (esto mientras que el concepto y laimportancia no se encuentren arraigados en la entidad, momento en el cual la AltaGerencia será quien tome el rol).

• Lidera el desarrollo de la AE, apoyado en los lineamientos del Marco de Referencia yel concurso del MinTIC.

• Tiene presencia enlas instancias de relacionamiento y toma de decisiones a fin deimpulsar su desarrollo.

INSTRUMENTO RELACIONADO: Recursos y capacidades de TI

37. Estructura de organización


19/42


20/42

39. Definición de instancias

En laUnidad Digital debe existir un Modelo de Relacionamiento debidamenteformalizado, que determine los principales actores de relacionamiento (internos yexternos), y que contenga:

• Definición de instancias (comités) de relacionamiento y participación en la toma dedecisiones.

• Procedimientos bajo los cuales se ejecutan instancias de relacionamiento.

• Responsabilidades de quienes participan en las instancias de relacionamiento.

• Liderazgo y líneas de reporte.

INSTRUMENTO RELACIONADO: Relaciones y toma de decisiones

40. Responsable modelo de relacionamiento

El responsable de la Unidad Digital, debe liderar y controlar el Modelo deRelacionamiento que conduzca a impulsar el desarrollo de la AE en la entidad, para lo

cual se apoya en el Comité Asesor de Gestión de Información y las Tecnologías deInformación, y en el Comité Interno de Gestión de Información y las Tecnologías deInformación; que tienen una cobertura sectorial e institucional respectivamente.

Lo anterior conducirá a apoyar las acciones requeridas y definidas en el ComitéSectorial de Desarrollo Administrativo y/o su instancia de preparación; y el ComitéInstitucional de Desarrollo Administrativo y/o su instancia de preparación.

INSTRUMENTO RELACIONADO: Relaciones y toma de decisiones

SEGUIMIENTO DE LA GESTIÓN DE TI

41. Gestión de servicios

La gestión de servicios debe realizarse siguiendo un enfoque de procesos que facilitensu definición, evaluación y control.


21/42

El esquema de procesos se realizará teniendo en cuenta lo definido por IT4+®.

INSTRUMENTO RELACIONADO: Servicios de TI

42. Gestión de proveedores de TI

Todos los proveedores y contratos para el desarrollo de las iniciativas de TI deben ser administrados por la UGITI. Durante el proceso pre-contractual se debe establecer unesquemaclaro de direccionamiento, supervisión, seguimiento y control. Es la UGITI,quiendefine los criterios técnicos para la selección, la metodología de supervisióntécnica, los criterios de calidad para la recepción de los bienes o servicios

contratados. Todo lo anterior en el marco de los procedimientos establecidos para lacontratación pública.

INSTRUMENTO RELACIONADO: Proveedores de TI

43. Alineación de proveedores

La Unidad Digital debe dar a conocer a los proveedores las iniciativas de la Estrategiade TI, la contribución al negocio y el rol de su participación en la implementación de

las mismas.INSTRUMENTO RELACIONADO: Proveedores de TI

44. Traspaso de información

LaUnidad Digital debe identificar los momentos y/o puntos en donde es necesariogenerar dinámicas de traspaso de información de los proveedores, a fin de garantizar la permanencia de conocimiento en la entidad.



22/42

45. Optimización de las compras de TI

La entidad debe dar prioridad a aquellos esquemas que brinden beneficio colectivo alas entidades estatales tales como: Acuerdos Marco de Precios y adquisiciones enmodalidad de servicio y/o por demanda.


46. Criterios de adopción y compra

La entidad debe identificar criterios y/o métodos claros (DOFA, retorno de inversión,TCO) que le faciliten tomar objetivamente la decisión de adquirir y/o optar por otrosmodelos de negocio, buscando el beneficio económico y de servicio de la entidad. Por lo anterior, para los proyectos en los que se involucren Tecnologías de Información, sedebe realizar un análisis del costo total de propiedad de la inversión. En los casos deadquisiciones, cuyo objetivo es el área de Seguridad Informática, la adquisición debeser precedida por la respectiva evaluación de riesgos y beneficios esperados.


INFORMACIÓN

PLANEACIÓN Y GOBIERNO DE COM-INF

47. Responsabilidad y gestión del proceso de COM-INF

LaUnidad Digital es la responsable de liderar el proceso de Gestión de los COM-INF.Este proceso debe tener en cuenta los diferentes ámbitos del Dominio de Información(Planeación y Gobierno, Diseño, Gestión del Ciclo de Vida, Análisis y

Aprovechamiento y Gestión de la Calidad y Seguridad de COM-INF). Así mismo, laUGITI debe trabajar en conjunto con las áreas misionales y de apoyo que se requieranpara establecer acuerdos que garanticen la calidad los de COM-INF construidos.


23/42

48. Acuerdos de intercambio de información

La entidad debe contar conacuerdos formales, tanto a nivel de entidad como desector, con los productores y consumidores de sus Componentes de Información queasegure a través de Acuerdos de Niveles de Servicio (ANS), las características deoportunidad y disponibilidad que requieren los Flujosde Información involucrados (ydefinidos en su Catálogo), su vigencia, así como la trazabilidad de los intercambios.

49. Arquitectura de los COM-INF

La entidad debe disponer de una Arquitectura de COM-INF que establezca, para cadauno de ellos, su definición funcional y técnica, su ciclo de vida, el Gobierno de la

Arquitectura así como su Proceso de Gestión. La arquitectura debe incluir lasdiferentes vistas que definan los COM-INF, incluyendo vistas de negocio, lógicas y deinteroperabilidad.

50. Modelo de Gestión de Documentos Electrónicos y Cero Papel

La entidad debe contar en su Arquitectura de sus COM-INF con un Modelo de Gestiónde Documentos Electrónicos que guíe la transición de su información No-Electrónica amodelos de manejo electrónico. Este modelo debe seguir las políticas de gestióndocumental vigentes en la entidad y en el sector, incluyendo Políticas de Cero Papel,

Archivística y Gestión documental. El Modelo debe asegurar principios deautenticidad, fiabilidad, trazabilidad, accesibilidady cobertura de todo el ciclo de vidade los documentos de la entidad.

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE COM-INF51. Plan de calidad de los COM-INF

La entidad debe contar con un Plan de Calidad de los COM-INF que incluya etapas deaseguramiento, control e inspección y tenga en cuenta tanto actividades de mediciónde indicadores de calidad (a través de un Tablero de Control disponible en elDirectorio de Servicios) como actividades preventivas, correctivas y de mejoramiento


24/42

que incluyan depuración, perfilado, validación y auditoría de sus repositorios tanto enámbitos técnicos (ej. tipos de datos, longitud, entre otros) como funcionales (ej. reglas

e integridad de negocio).

DISEÑO DE COM-INF

52. Protección y privacidad de COM-INF

La entidad debe complementar su Taxonomía de Componentes de Información conlos responsables y políticas de la protección y privacidad de la información conforme ala normativa de protección de datos de tipo personal. Por defecto, el nivel de

restricción para cualquier Componentede Información de tipo público es inexistente.Por defecto, el nivel de restricción para cualquier Componente de tipo clasificado oreservado es el máximo. Los responsables designados sólo podrán modificar ese nivelde manera explícita.

53. Taxonomía y diccionario de los COM-INF

La entidad debe clasificar y mantener actualizada un conjunto de taxonomías de susCOM-INF considerando atributos de criticidad, nivel de acceso, nivel de relevancia,

mecanismos de intercambio, privacidad, consideraciones de uso, apertura y accesopúblico. De manera complementaria, se debe contar con un Diccionario de COM-INFque describa los metadatos de los mismos (tipos de datos, definición semántica,reglas de negocio, valor operativo/táctico o estratégico).

54. Directorio de servicios de COM-INF

La entidad debe habilitar un directorio con los servicios que dispone sobre sus COM-

INF. Este directorio debe estar clasificado teniendo en cuenta categoría, temática ytipo de servicio. Cada servicio debe incluir una descripción, la vigencia, canales deacceso, formatos, roles de acceso así como operaciones permitidas a través de unaGuía de Uso del COM-INF disponible en el propio directorio. La entidad esresponsable de definir el nivel de acceso de este directorio teniendo en cuenta lanormatividad asociada. Este directorio se consolida, a nivel sectorial, a través de lacabeza de sector, como un Directorio de Servicios de COM-INF sectorial.


25/42

ANÁLISIS Y APROVECHAMIENTO DE COM-INF

55. Análisis y toma de decisiones sobre COM-INF

La entidad debe contar con mecanismos que apoyen el análisis y la toma dedecisiones partiendo de los COM-INF y tomando como base las Fuentes Únicas deInformación de la entidad. Estos mecanismos se relacionan también con los procesosde consolidación de los COM-INF con el fin de facilitar los procesos de localización deinformación de relevancia en las fuentes únicas.

56. Acceso a los reportes de COM-INFLa entidad debe facilitar el acceso a sus reportes predefinidos (disponibles comoservicios de Componentes de Información en el Directorio de Servicios) utilizandoformatos estándar, abiertos y transformables (por ejemplo CSV, XML o PDF, entreotros). Los reportes deben ser auto-descriptivos, incluyendo no sólo la informaciónpropia del reporte sino una descripción de su estructura que sea única y completatanto a nivel funcional como técnico.

CICLO DE VIDA DE COM-INF

57. Lenguaje Común de Intercambio de COM-INF

La entidad debe utilizar un lenguaje común para el intercambio de un COM-INF conotras entidades. Este lenguaje común debe contar con una definición acordada ybasada en una especificación técnica o en estándares de industria con carácter nacional y/o internacional que estén incluidas en el Marco de Referencia de AE,siendo la cabeza del sector responsable de liderar este acuerdo entre entidades así

como la inclusión en el Marco. La definición deberá ser pública y disponible en elPortal de Lenguaje Común de Intercambio de Información del Estado colombiano.


26/42

58. Publicación de los servicios de intercambio de COM-INF

La entidad debe publicar sus servicios de intercambio de información para que esténdisponibles a través de la Plataforma de Interoperabilidad del Estado colombiano.

59. Consolidación y Análisis de Componentes de Información Sectorial

La entidad cabeza del sector es la responsable de la creación y mantenimiento de unrepositorio unificado de Componentes de Información bajo algún mecanismo deconsolidación definido (ej. propagación, replicación o federación de datos, entre otros),

permitiendo realizar análisis de tendencias, relaciones y descubrimiento de patronesen los COM-INF con el fin de apoyar la toma de decisiones a nivel sectorial, siendofuente única de información en estos ámbitos de análisis.

60. Catálogo de flujos de información

La entidad debe mantener un Catálogo de Flujos de Información que describa cuálesson los Componentes de Información usados por sus procesos y/o que se

intercambian con otras entidades. Cada flujo debe identificar al productor, consumidor (en caso que la entidad sea productora de la información), periodicidad o frecuenciade intercambio así como su prioridad o relevancia.

DISEÑO

61. Canales de Acceso a los COM-INF

La entidad debe asegurar los mecanismos necesarios que permitan el acceso a los

servicios de información porparte de los diferentes grupos de interés, contemplandocaracterísticas de accesibilidad y usabilidad.


27/42

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE COM-INF

62. Auditoría y trazabilidad de COM-INF

La entidad debe asegurar que todos sus COM-INF incluyenlos mecanismosnecesarios para asegurar la trazabilidad y auditoría sobre las acciones de creación,actualización, modificación o borrado de los mismos. Estos mecanismos deben ser considerados en el Proceso de Gestión de los COM-INF.

PLANEACIÓN ESTRATÉGICA

63. Gobierno de la Arquitectura de los COM-INF

La entidad debe contar con un Gobierno de la Arquitectura de los Componentes deInformación que establezca métricas e indicadores relacionados con los mismos,cuáles son los productores y consumidores dentro de la Entidad así como losmecanismos de aseguramiento de su calidad, transparencia y seguridad mediantemecanismos de control, seguimiento, entre otros. Adicionalmente, el Gobierno debeapoyar el Proceso de Gestión de los COM-INF definiendo cuáles son los roles yhabilidades requeridas en la organización así como la estructura organizacional que

los soporte.

DISEÑO DE COM-INF

64. Fuente Única de Información

La entidad debe diseñar, mantener y evolucionar las Fuentes Únicas de Información apartir de los diferentes repositorios de Componentes de Información para que elacceso a estos COM-INF sea oportuno, relevante, completo, veraz y comparable.

Estas fuentes de información deben permitir realizar análisis de tendencias ydescubrimiento de patrones con el fin de apoyar la toma de decisiones.


28/42

SERVICIOS TECNOLÓGICOS

ARQUITECTURA DE INFRAESTRUCTURA TECNOLÓGICA

65. Aplicar mejores prácticas para infraestructura tecnológica

La entidad debe definir un Plan de Arquitectura de Servicios Tecnológicos que, confoco en la capa física, incorpore las características técnicas de los elementosnecesarios para cubrir la demanda tecnológica actual de la entidad así como losrequerimientos proyectados a futuro de los sistemas de información y los servicios dela entidad. Este Plan debe derivar en un Diseño de Arquitectura de Servicios

Tecnológicos y debe tener en cuenta acciones de mantenimiento periódico.INSTRUMENTO RELACIONADO: Diseño de Arquitectura Tecnológica

66. Disposición de un centro de servicios tecnológicos

Laentidad debe contar con un Centro de Servicios Tecnológicos por medio del cual segestione:

• Las iniciativas tecnológicas de la entidad de acuerdo al Plan de Arquitectura deServicios Tecnológicos

• Las estrategias tecnológicas para que sean rentables y de calidad.

• La innovación tecnológica.

• Los requerimientos de Capacidad, Disponibilidad y Adaptabilidad, Estandarizaciónde los servicios tecnológicos.

• La adquisición y/o re-utilización de la tecnología requerida por la entidad de acuerdocon principios de Racionalización y Optimización.

• La administración y operación de los servicios tecnológicos.

Los anteriores deben cubrir las características de conectividad, software base,infraestructura, plataformas y aplicaciones; considerando las modalidades deprestación de servicios tecnológicos On Premise y On Demand.


29/42

INSTRUMENTO RELACIONADO: Diseño de Arquitectura Tecnológica

67. Intercambio de Información

La entidad debe incluir dentro de su Arquitectura de Servicios Tecnológicos loselementos necesariospara realizar el intercambio de información entre las áreas de laentidad, las entidades externas del nivel sectorial y del nivel nacional. La estrategia deintercambio debe ser identificada, analizada, diseñada e implementada considerandolas necesidadesde interoperabilidad actuales y proyectadas a futuro, tomando encuenta la Plataforma de Interoperabilidad disponible en el Estado colombiano.


68. Continuidad y disponibilidad de servicios tecnológicos

La infraestructura tecnológica debe contar con sistemas de alimentación eléctrica,mecanismos de refrigeración, soluciones de detección de incendios, sistemas decontrol de acceso, y sistemas de monitorización de componentes físicos que asegurela continuidad y disponibilidad del servicio así como la capacidad de atención yresolución de incidentes.


69. Monitoreo de la seguridad de los Servicios Tecnológicos.

La entidad debe contar con herramientas de administración de seguridad paraimplementar, mantener, controlar y monitorear elementos de seguridad que incluyaperfiles del usuario, privilegios, grupos de usuarios y sus recursos, redes, tanto a nivelinterno como externo. Las herramientas deben registrar como mínimo los intentos de

ingreso, las modificaciones de los privilegios, las creaciones de nuevos perfiles,usuarios y localización desde la cual se realiza el evento.

INSTRUMENTO RELACIONADO: Seguridad de la infraestructura y servicios


30/42

70. Definición y Seguimiento de Acuerdos de Nivel de Servicio

La entidad debe definir y realizar el seguimiento de los Acuerdos de Niveles deServicio (ANS) para los servicios tecnológicos (incluyendo aquellos soportados por terceros), con el fin de cumplir sus Criterios de Calidad (ver Características de Calidadde Servicios Tecnológicos). Cada entidad deberá determinar cuál es el nivel decalidad mínimo requerido (ver Especificación Técnica).

INSTRUMENTO RELACIONADO: Catálogo de servicios

71. Acceso aservicios en la nubeLa entidad debe evaluar la prestación de sus servicios tecnológicos a través de lanube pública privada o hibrida según sea el caso para atender a los usuarios,entidades y ciudadanos que requieran de los servicios.


72. Control del Consumo de los recursos compartidos por Servicios

Tecnológicos

La entidad debe identificar, monitorear y controlar el nivel de consumo de los recursoscríticos que son compartidos por los servicios tecnológicosy administrar sudisponibilidad en consecuencia.


GESTIÓN DE LA CAPACIDAD DE SERVICIOS

73. Alta disponibilidad de servicios tecnológicos

La entidad debe implementar capacidades de alta disponibilidad que incluyanbalanceo de carga y redundancia para los servicios tecnológicos que esténinvolucrados en la continuidad del servicio de entidad, las cuales deben ser puestas aprueba periódicamente.


31/42

INSTRUMENTO RELACIONADO: Capacidad para proveer servicios e infraestructura.

74. Reusabilidad a través de un Catálogo de Servicios Tecnológicos

La entidad debe contar con un catálogo de su infraestructura tecnológica para validar la posibilidad de implementar y reutilizar los servicios existentes considerando lasnecesidades actuales de las áreas de negocio y sistemas de información de laentidad. El catalogo debe contar con la información licencias, versiones, cantidades,capacidades, restricciones y las demás necesarias para decidir la viabilidad dereutilizarla o adquirir un nuevo servicio tecnológico.

INSTRUMENTO RELACIONADO: Reutilización de servicios e infraestructura

GESTIÓN DE LA OPERACIÓN

75. Proceso de copias de seguridad y restauración

La entidad debe contar con un proceso periódico de respaldo de la configuración desus servicios tecnológicos así como de la información almacenada en lainfraestructura tecnológica. Este proceso debe ser probado periódicamente (en

diferentes niveles de agregación) y debe permitir la recuperación íntegra de losservicios tecnológicos.

INSTRUMENTO RELACIONADO: Gestión de la operación y continuidad de losservicios

76. Gestión preventiva de los Servicios Tecnológicos

La infraestructura que soporta los servicios tecnológicos de la entidad deben contar

con mecanismos de monitoreo para generar alertas tempranas ligadas los umbralesde operación que tenga definidos. En aquellos casos en los que las alertasrepresentan la interrupción de un servicio, esta debe ser notificada a los usuariosafectados.



32/42

77. Análisis de vulnerabilidades

La entidad debe definir un proceso homologado y de ejecución periódica para elanálisis de vulnerabilidades de la infraestructura tecnológica a través de un Plan dePruebas que permita identificar y mitigar las brechas que puedan comprometer laseguridad de la información o puedan afectar la prestación de un servicio.


GESTIÓN DE SOPORTE78. Mesa de ayuda única

La entidad debe definir el procedimiento para atender los requerimientos de soportede primer, segundo y tercer nivel para sus servicios tecnológicos a través de unamesa de ayuda única.

INSTRUMENTO RELACIONADO: Gestión, soporte y mantenimiento de servicios

79. Planes de mantenimiento

La entidad debe contar con un Plan de Mantenimiento Preventivo sobre toda lainfraestructura y sus servicios tecnológicos para asegurar unaoperación estable delos servicios. Este plan debe contar como mínimo con información de periodicidad,prerrequisitos, condiciones técnicas y verificaciones necesarias para asegurar elcumplimiento de los resultados de los mantenimientos preventivos.

INSTRUMENTO RELACIONADO: Gestión, soporte y mantenimiento de servicios


33/42

SISTEMAS DE INFORMACIÓN

PLANEACIÓN Y GESTIÓN DE SIS-INF

80. Definición Estratégica de los SIS-INF

Las entidades deben, en la Arquitectura de cada uno de sus SIS-INF, en primer lugar plantear una Arquitectura del Sistema de Información que aborde los diferentesdominios del Marco de Referencia de AE. A partir de esta arquitectura, debeestablecer la Arquitectura de Solución que defina los diferentes componentes softwareque la implementan. Esta Arquitectura de Solución debe estar basada en una

Arquitectura de Referencia.

81. Hoja de Ruta de SIS-INF

Las entidades deben contar, para todas las soluciones de software de sus Sistemasde Información, con una Hoja de Ruta que permita establecer un plan demantenimiento, soporte y evolución hasta su potencial reemplazo u obsolescencia,considerando tanto los aspectos normativos que los regulan la vigencia de sussoportes tecnológicos, así como los cambios de estrategia y modelo operativo de laentidad.

82. Metodología de Referencia para desarrollo de SIS-INF

La entidad debe contar con una Metodología de Referencia que defina loscomponentes principales de un Proceso de Desarrollo del Software que considere susfases o etapas (ciclo de vida), las actividades principales y de soporte involucradas (ej.Gestión de la Configuración, Gestión de la Calidad, entre otros), roles y

responsabilidades así como herramientas de apoyo al ciclo de vida. Esta metodologíade referencia debe dar cobertura a todos las soluciones de software de los SIS-INFque la entidad construya o adapte, independientemente de su tecnología. Así mismo,debe ser común a nivel sectorial y es responsabilidad de la entidad cabeza de sector conseguir los acuerdos necesarios para ello. Esta metodología debe incorporar


34/42

mejores prácticas de las metodologías de la industria, incluyendo el uso de métodoságiles.

83. Directorio de SIS-INF

La entidad debe habilitar un directorio con los SIS-INF de que dispone. Este directoriodebe estar clasificado teniendo en cuenta categoría, temática y tipo de SIS-INF(incluyendo si es de infraestructura crítica). Cada SIS-INF debe incluir unadescripción, si es el sistema es de interés de la entidad, sectorial o de interésnacional, la vigencia, canales de acceso, roles de acceso así como operacionespermitidas a través de una Guía de Usodel SIS-INF disponible en el propio directorio.

La entidad es responsable de definir el nivel de acceso de este directorio teniendo encuenta la normatividad asociada. Este directorio se consolida, a nivel sectorial, através de la cabeza de sector, comoun Directorio de SIS-INF sectorial. Este Directoriodebe permitir realizar un análisis de reutilización ante la necesidad de construir oadquirir un nuevo sistema de información por parte de una entidad.

84. Licencia abierta de uso de los SIS-INF

Aquelloselementos de software de los SIS-INF de interés sectorial o nacional debentener una licencia de uso abierta para entidades del Estado colombiano. Esta licenciaestablece que la entidad debe habilitar las capacidades necesarias para que loselementos de software puedan ser prestados como servicio o cedidos a otrasentidades, así mismo, establece que en aquellos casos donde las entidades realicenadaptaciones o mejoras de los elementos de software que también sean de interéssectorial o nacional, estas son responsables de distribuirlas a la entidad cabeza desector y/o a la entidad desarrolladora del componente referido.

85. Activos de Arquitectura de Referencia de los SIS-INF

La entidad debe contar con componentes de software reutilizables que hagan parte desus Arquitecturas de Referencia tales como: Componentes de autenticación yautorización única a través de un Servicio de Directorio, de trazabilidad de laejecución, de registro de errores, de acceso a la capa de datos, de gestión de la


35/42

integridad transaccional, entre otros. La entidad debeasegurar el uso de estoscomponentes en sus SIS-INF.

86. Guía de Estilo y Usabilidad de los SIS-INF

La entidad debe contar con una Guía de Estilo y Usabilidad única que establezca losprincipios para el estilo de loscomponentes de presentación, estructura para lavisualización de la información, procesos de navegación entre pantallas, entre otros.Esta Guía de Estilo y Usabilidad debe estar particularizada por cada mediotecnológico o canal utilizado por los SIS-INF, y así mismo debe estar alineada con losprincipios de Usabilidad definidos por el Estado colombiano. La entidad debe

asegurarse de la aplicación de esta Guía en todos sus SIS-INF, y es la UGITI laresponsable de coordinar su elaboración.

87. Ambientes para los SIS-INF

La entidad debe contar con una línea de producción para sus SIS-INF con diferentesambientes que puedan alinearse con actividades o etapas del ciclo de vidaestablecidas por el Proceso de Desarrollo de Software (ej. Desarrollo, Integración,

Pruebas, Aceptación de Usuario o de Certificación, Capacitación, Puesta enProducción, entre otros).

DISEÑO DE SIS-INF

88. Arquitecturas de Referencia de SIS-INF

Las entidades deben contar con Arquitecturas de Referencia, por medio de la cualesse establezcan aquellos patrones de diseño, mejores prácticas tecnológicas,

recomendaciones de desarrollo, herramientas específicas de apoyo a la construcciónasí como componentes tecnológicos reutilizables que aseguren el diseño de cualquier Arquitectura de Solución de manera eficiente, homogénea y de calidad. La UGITI es launidad responsable de definir y evolucionar estas Arquitecturas de Referencia.


36/42

89. Arquitecturas de Solución de SIS-INF

La entidad debe contar, para las soluciones software de sus SIS-INF, con una diseñode Arquitectura de Solución que, vigente a través de las etapas del ciclo de vida eincluya la definición de vistas de contexto, funcional, de despliegue y de informaciónpara representar todos sus componentes, principios y patrones de diseño así comoactores involucrados.

90. Implementación de COM-INF a través de SIS-INF

Los SIS-INF de la entidad deben soportar la Arquitectura de los COM-INF definida,considerando la Taxonomía, el Diccionario deDatos establecido, el Catálogo de Flujosde Información, el Directorio de Servicios así como las necesidades de Análisis yToma de Decisiones de los COM-INF.

91. Apertura de Datos en los SIS-INF

La entidad debe habilitar en sus SIS-INF aquellas características técnicas, funcionales

y no funcionales necesarias para la apertura de sus datos de acuerdo a la normativadel Estado colombiano. Estas características deben permitir que la apertura se realicede un mismo modo tanto hacia el Portal de Datos de Abiertos del Estado colombianocomo hacia portales propios de la entidad.

92. Interoperabilidad de SIS-INF

La entidad debe habilitar en sus SIS-INF aquellas características técnicas, funcionalesy no funcionales necesarias para interactuar con la Plataforma de Interoperabilidad del

Estado colombiano, partiendo para ello del Catálogode Flujos de Información y lasnecesidades de intercambio de información con otras entidades que de este sederivan.


37/42

CICLO DE VIDA DE SIS-INF

93. Plan de Pruebas de los SIS-INF

La entidad debe contar con un Plan de Pruebas en la construcción de loscomponentes software de su SIS-INF que incluya etapas para pruebas unitarias, deintegración, de aceptación de usuario, de rendimiento y estrés, de despliegue y deseguridad. La aceptación de cada una de las etapas del Plan de Pruebas debe estar vinculada a la transición del Sistema de Información a través de los diferentesambientes. Este Plan de Pruebas debe formar parte del Proceso de Desarrollo deSoftware.

SOPORTES DE SIS-INF

94. Servicios de Mantenimiento de SIS-INF

La entidad debe establecer Acuerdos de Nivel de Servicio para sus servicios demantenimiento de SIS-INF establecidos con terceros. Estos debe tener en cuenta lasetapas de transición, prestación y devolución del mismo para asegurar la continuidadde los SIS-INF involucrados.

95. Actualización y requerimientos de cambio de los SIS-INF

La entidad, en los servicios de soporte de sus SIS-INF, debe formalizar la petición denuevas funcionalidades o de cambios a las existentes a través de un procedimiento deGestión de Solicitudes de Cambio.

96. Análisis de Impacto de SIS-INFLa entidad debe disponer de mecanismos para realizar análisis de impacto ante uncambio o modificación de alguno de los componentes de software de sus SIS-INF.


38/42

97. Plan de Capacitación y Entrenamiento de los SIS-INF

La entidad debe contar, para cada SIS-INF, con un Plan de Capacitación yEntrenamiento que facilite el uso y apropiación durante todo el ciclo de vida delsistema. La entidad debe considerar para la ejecución del plan los métodos másadecuados según las características del SIS-INF (ej. autoformación, guías, sesionespresenciales, formación a formadores, entre otros).

98. Manual de Usuario, Técnico y de Operación de SIS-INF

La entidad debe asegurar que todos sus SIS-INF, en su etapa de entrega, cuentencon un Manual de Usuario, un Manual Técnico y un Manual de Operación vigentesque asegure la transferencia de conocimiento para el uso del sistema hacia losusuarios, hacia la UGITI, y hacia servicios de soporte tecnológico, respectivamente.

GESTIÓN DE LA CALIDAD Y SEGURIDAD DE SIS-INF

99. Plan de Calidad de los SIS-INF

La entidad debe contar con un Plan de Calidad de los componentes software de susSIS-INF que incluya etapas de aseguramiento, control e inspección y tenga en cuentatanto actividades de medición de indicadores de calidad (a través de un Tablero deControl) como actividades preventivas, correctivas y de mejoramiento tanto enámbitos técnicos, funcionales y no funcionales. Este Plan de Calidad debe formar parte del Proceso de Desarrollo de Software.

100. Criterios no funcionales y de calidad de los SIS-INF

La entidad debe asegurar que el diseño de sus SIS-INF cumple con los Criterios NoFuncionales y de Calidad definidos, incluyendo Escalabilidad, Interoperabilidad,Multicanalidad, Funcionalidad, Fiabilidad, Usabilidad, Eficiencia, Mantenibilidad yPortabilidad.


39/42

101. Seguridad y Privacidad de los SIS-INF

La entidad debe incorporar, en el diseño de sus SIS-INF, aquellos componentes deseguridad alineados con la normativa establecida que incluyan, como mínimo: eltratamiento de la privacidad de la información, la implementación de controles deacceso (autorización y autenticación) así como los mecanismos de integridad y cifradode la información.

102. Auditoría y trazabilidad de SIS-INF

Las entidadesdeben incluir, en el diseño de sus Sistemas de Información,mecanismos que aseguren el registro histórico para la trazabilidad de las accionesrealizadas por los usuarios. Por cada acción, el registro debe incluir la fecha y hora, elusuario y la acción o evento involucrado.

USO Y APROPIACIÓN

MOVILIZACIÓN DE LOS GRUPOS DE INTERÉS

103. Identificación de stakeholders

La estrategia de uso yapropiación está basada principalmente por los grupos deinterés, los cuales deben ser identificados, priorizados, categorizados y clasificados.Se deben tener en cuenta los diferentes públicos involucrados por la oferta desistemas y servicios de información.

INSTRUMENTO RELACIONADO: Redes de involucramiento

104. Involucramiento en cascada

El involucramiento de los grupos de interés debe ser convocado desde la AltaDirecciónen cascadahacia el resto de los niveles organizacionales.

INSTRUMENTO RELACIONADO: Redes de involucramiento


40/42

105. Liderazgo visible

La Alta Dirección debeser modelo a seguir en el uso yapropiación de las TI en lasorganizaciones.

106. Visión compartida

Las entidadespodrán impulsar el compromiso hacia la adopción y uso de las TImediante el alineamiento y el desarrollo de una identidad común con los propósitosestratégicos de la gestión de TI. De esta manera se establecen vínculos comunes que

conllevan al compromiso.

FORMACIÓN Y DESARROLLO DE CAPACIDADES

107. Plan de formación

El desarrollo de capacidadesen TI debe hacer parte del plan de formaciónde laEntidad.

INSTRUMENTO RELACIONADO: Competencias TI

108. Toma de decisiones

Las competencias en TI deben generar un entorno de conocimiento para la toma dedecisiones de la Entidad.

INSTRUMENTO RELACIONADO: Competencias TI

109. Prácticas TI

La cultura organizacional de la Entidad debe reflejar buenas prácticasde TI.

INSTRUMENTO RELACIONADO: Prácticas TI


41/42

DESARROLLO DE PROGRAMAS DE GESTIÓN DEL CAMBIO

110. Lógicas del cambio

La Entidad debe analizar sus propias lógicas de cambio y gestionar los impactospriorizando su nivel, de manera anticipada.

INSTRUMENTO RELACIONADO: Gestión de impactos de cambio

111. Herramientas de cambio

La Entidaddebe desarrollar herramientasgerencialesy de aprendizaje queapalanquen el uso y la apropiación de las TI.

INSTRUMENTO RELACIONADO: Alistamiento hacia el cambio

112. Dotación y acceso

Las entidades deben asegurar el uso y la apropiación de los sistemas de informacióny servicios tecnológicos desde la identificación de iniciativas estratégicas de TI para el

negocio, hasta facilitar la dotación de tecnología y fomentar su acceso.INSTRUMENTO RELACIONADO: Alistamiento hacia el cambio

113. Sostenibilidad del cambio

Las iniciativas de TI se enmarcan en una estrategia detransformación que le décontinuidad de largo plazo en la entidad, superando estadios de estabilización hastaapropiar las TI como parte de las prácticas organizacionales.

INSTRUMENTO RELACIONADO: Sostenibilidad del cambio


42/42

ASEGURAMIENTO DE USO Y APROPIACIÓN

114. Cultura TI

La Entidad debe diseñar, aplicar y monitorear indicadores de impacto del uso yapropiación de las TI alineados a los de la cultura organizacional.

INSTRUMENTO RELACIONADO: Medición de impactos, uso y apropiación

115. Adopción de TI

Los indicadores deUsoy Apropiación deben evaluar el nivel de adopción detecnología y la satisfacción en el uso.

INSTRUMENTO RELACIONADO: Medición de impactos, uso y apropiación

marco de referencia para la gestion de ti en el estado colombiano

Documents