Ministerio de Agricultura y Ganadería
Departamento de
Tecnologías de
Información
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería
2
Contenido
Presentación................................................................................................................................. 4
Marco Jurídico .............................................................................................................................. 5
Ámbito de aplicación ................................................................................................................. 5
Actualizaciones de este manual ................................................................................................ 5
Marco Filosófico........................................................................................................................... 6
Del establecimiento de políticas ............................................................................................... 6
Objetivos ................................................................................................................................... 6
Objetivo General ................................................................................................................... 6
Objetivos Específicos ............................................................................................................. 6
Supervisión de políticas ............................................................................................................. 7
Violación a las políticas ............................................................................................................. 7
Definición de Políticas ................................................................................................................. 8
Normas de aplicación General .................................................................................................. 8
Marco estratégico de TI ........................................................................................................ 8
Gestión de la Calidad ............................................................................................................. 8
Gestión de Riesgos de TI ....................................................................................................... 9
Gestión de la Seguridad en TI ................................................................................................ 9
Gestión de Proyectos .......................................................................................................... 25
Cumplimiento de obligaciones relacionadas con la gestión de TI .......................................... 26
Planificación y Organización de TI ............................................................................................ 27
Planificación de las Tecnologías de Información .................................................................... 27
Marco Políticas para el planeamiento y administración de actividades ............................. 27
Modelo de Arquitectura de Información ............................................................................ 27
Infraestructura Tecnológica ................................................................................................ 27
Independencia y recurso humano de la Función de TI ....................................................... 28
Implementación de las Tecnologías de Información .............................................................. 29
Consideraciones generales de la implementación de las Tecnologías de Información ......... 29
Políticas sobre el servicio que ofrece el Departamento de Tecnologías de Información 29
Políticas para la adquisición de nuevas tecnologías ........................................................... 29
Implementación de Software .............................................................................................. 30
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería
3
Contratación de terceros para la implementación y mantenimiento de software e
infraestructura .................................................................................................................... 31
Prestación de servicios y mantenimiento ................................................................................ 33
Consideraciones generales de la implementación de las Tecnologías de Información ......... 33
Definición y administración de acuerdos de servicio ........................................................ 33
Administración y operación de la plataforma tecnológica ................................................. 33
Administración de los datos ................................................................................................ 35
Seguimiento a las políticas y normas ....................................................................................... 38
Glosario ....................................................................................................................................... 39
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 4
Presentación
Las tecnologías de información y comunicación son hoy en día un tema relevante, tanto para la
competitividad de las empresas como para el eficaz desempeño de las instituciones públicas.
Para el Ministerio de Agricultura y Ganadería, es importante disponer y poner al servicio del
Sector Agropecuario novedosas herramientas tecnológicas, que le permita cumplir con mayor
eficiencia, las funciones que le corresponde.
Esta disciplina contiene un rubro muy importante dentro del presupuesto institucional, por lo
que es particularmente necesario, vigilar y controlar el eficiente uso de estos recursos,
ordenando acciones mediante políticas en materia de tecnologías de información, que
sustenten las tareas que requieren el apoyo de las tecnologías informáticas y de comunicación.
En este sentido, además de considerar prioritaria la necesidad de ordenar esta materia, las
instituciones públicas tienen la obligatoriedad de acatar la Resolución emitida por la
Contraloría General de la República Número R-CO-26-2007, publicada en La Gaceta Nº 119 del
21 de junio de 2007, relacionada con la implementación de la normativa técnica sobre
tecnologías de información Nº N-2-2007-CO-DFOE.
Este documento contiene las políticas informáticas institucionales, que son aplicables a todas
las Direcciones Nacionales y Regionales, órganos adscritos y en general a la estructura
organizativa del Ministerio de Agricultura y Ganadería. Se definen las políticas administrativas
relacionadas con Tecnologías de Información: Sistemas de información, bases de datos, redes y
comunicaciones, hardware, software y seguridad informática.
Entre otros La finalidad de este documento es que junto a otro material relacionado, sirva
como un instrumento de consulta permanente y como guía especializada, para las áreas
usuarias e interesadas dentro de la Institución.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 5
Marco Jurídico
La Contraloría General de la República ha emitido leyes y normativas para el control y la
administración en materia de tecnologías de información y comunicación, así como la Ley
General de Control Interno y otras normativas relacionadas sobre este tema.
En el año 2007 el ente contralor emite las “Normas técnicas para la gestión y el control de las
tecnologías de información” las cuales fueron publicadas en el Diario Oficial La Gaceta No 119
del Jueves 21 de junio de ese mismo año y en su Capítulo I, Artículo 1.1 se establece la
necesidad que en cada Institución exista un marco estratégico de Tecnologías de Información,
constituido por políticas organizacionales que el personal comprenda y con las que esté
comprometido.
Por lo tanto, en todas las instituciones del Estado deben existir manuales de políticas internas
relativas a la administración de Tecnologías de Información. Para su cumplimiento, se definen
en este documento las políticas que en esta materia, deben aplicarse para el Ministerio de
Agricultura y Ganadería.
Por otra parte, el Despacho del Ministerio de Agricultura y Ganadería en el acuerdo ministerial
04-2004 del 3 de Noviembre del 2014 aprobó el Plan Estratégico de Tecnologías y delegó en el
Departamento de Tecnologías de Información la coordinación y ejecución del mismo en el
Ministerio y sus órganos adscritos.
Ámbito de aplicación
Las políticas definidas en este documento son de aplicación para todo el Ministerio, incluyendo
las direcciones nacionales, regionales y todas las organizaciones adscritas al MAG, cuyas
actividades se apoyan en instrumentos informáticos.
Actualizaciones de este manual
Este instrumento rige una vez que el jerarca institucional lo apruebe y haya ordenado su
puesta en marcha a través de una directriz ministerial. Deberá ser revisado y actualizado
formalmente por lo menos una vez cada año, siendo responsabilidad de la jefatura de la
instancia administrativa de Tecnologías de Información, en adelante denominado
Departamento de TI, realizar este proceso.
Durante el proceso de implementación cualquier usuario podrá hacer observaciones, con el
objetivo de mejorar y/o modificar cláusulas o políticas, las cuales se harán llegar a la jefatura
del Departamento de TI.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 6
Marco Filosófico
Del establecimiento de políticas
El término política se define como la guía o principios generales, con que se conduce un asunto
o se emplean los medios para alcanzar un fin. De esta manera, las políticas se pueden entender
como las orientaciones o directrices que rigen la actuación de una persona o una entidad en
un asunto o campo determinado.
El Ministerio de Agricultura y Ganadería define periódicamente el conjunto de políticas
generales y normas para la Institución, por lo que las políticas que se definen en este
documento pasan a formar parte de este conjunto, como complemento para orientar las
actividades apoyadas en tecnologías de información.
Objetivos
Objetivo General
Mantener la confiabilidad, disponibilidad e integridad de la información, así como facilitar el
mejor aprovechamiento de los recursos informáticos y las telecomunicaciones, que son
propiedad o se encuentran a disposición del Ministerio de Agricultura y Ganadería, para
alcanzar la misión institucional.
Objetivos Específicos
1. Utilizar los recursos tecnológicos de información y comunicación en forma responsable
y apropiada, de conformidad con las disposiciones dadas en este manual y otras de
carácter institucional, legal o emitido por otros órganos del Estado Costarricense, que
guarden relación con normativas aplicables a la materia.
2. Minimizar las interrupciones de los servicios asociadas a los sistemas informáticos y
comunicaciones, ocasionados por uso inapropiado o por daños causados en forma
accidental o intencional.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 7
Supervisión de políticas
La supervisión del cumplimiento de las “Políticas Generales sobre Tecnologías de Información”,
queda a cargo del Departamento de TI; razón por la cual está facultada para verificar en
cualquier momento el cumplimiento de estas políticas y las normativas vigentes en materias
de tecnologías de información y comunicación.
Violación a las políticas
La infracción o incumplimiento de las políticas sobre tecnologías de información y
comunicación, será notificado a la Unidad Administrativa correspondiente a fin de que ésta
proceda según corresponda. Durante el proceso de implementación se estará revisando el
tema de cumplimiento y sanción con el Departamento de Recursos Humanos.
Este documento se estará revisando y/o actualizando por parte de la instancia administrativa
de tecnologías de información en la Sede Central, con la finalidad de estarlo mejorando. Estas
modificaciones serán comunicadas a través del Despacho del señor Viceministro.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 8
Definición de Políticas
Normas de aplicación General
Marco estratégico de TI
1. El Departamento de Tecnologías Información (TI), será la encargada de la ejecución de
procesos de planeación, coordinación, ejecución y supervisión estratégica de los
proyectos e inversiones en materia de Tecnología de Información y Comunicación a
nivel institucional. Para ello tendrá una dependencia jerárquica adecuada a este
propósito, que en el caso de la Sede Central la tendrá con el Despacho del/la Oficialía
Mayor, quien cuidará de este tema a nivel institucional.
2. Las políticas de tecnologías de información serán aprobadas por el jerarca del
Ministerio y divulgadas adecuadamente a través de los/las directores(as) nacionales,
regionales y sitios web institucionales.
3. El jerarca liderará el proceso continuo de promulgación y divulgación de las presentes
políticas y la inclusión de las mismas como materia obligada en los procesos de
inducción a los nuevos funcionarios de la institución.
4. El Departamento de Tecnologías de Información se encargará de la ejecución y
actualización del Plan Estratégico en Tecnologías de Información y Comunicación
(PETIC), del cual deriva el Plan Anual Estratégico con el cual se orientarán las
actividades del Departamento.
Gestión de la Calidad
Políticas de la calidad de los servicios y proyectos de TI
1. El Departamento de Tecnologías de Información elaborará y divulgará el catálogo de
servicios del Departamento
2. Cada vez que un funcionario requiera un servicio por parte del Departamento de Tecnologías de Información no solo debe crear la solicitud en el Sistema de Soporte Técnico, vía web; sino que además debe indicar si quedó o no conforme con la respuesta técnica recibida tomando en cuenta su solución, tiempo empleado y procedimiento ejecutado. Esta información será utilizada por el Departamento de Tecnologías de Información, para iniciar la toma de decisiones para el mejoramiento continuo de los servicios brindados.
3. El Departamento de Tecnologías de Información elaborará e implementará un proceso
para la gestión y aseguramiento de la calidad de las TI el cual permita que los servicios sean brindados con resultados satisfactorios.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 9
4. Las jefaturas departamentales deben solicitar formalmente el desarrollo de un
proyecto de TI, mediante la metodología establecida y participar activamente en el desarrollo y prueba de las soluciones tecnológicas.
Gestión de Riesgos de TI
Políticas de evaluación de riesgos
1. Departamento de Tecnologías de Información será el encargado de definir el proceso
de gestión de riesgos en materia de TI y de mantener actualizado dicho proceso. Así como alimentar el Sistema de Gestión del Riesgo Institucional con los riesgos identificados al menos dos veces al año.
Gestión de la Seguridad en TI
Marco de la seguridad de la información
Políticas de seguridad de la Información
2. El/la jerarca institucional será el encargado de oficializar y divulgar el marco de
seguridad de la información que incluyan las directrices sobre seguridad y utilización de las tecnologías de información y comunicaciones elaboradas por el Departamento de TI. El Marco de seguridad será un proceso incluido durante las inducciones a los nuevos funcionarios y que la violación comprobada a las normas establecidas se pueda tipificar como falta leve o grave según sea el caso, y se imponga la sanción disciplinaria correspondiente.
3. El Departamento de Tecnologías de Información será el responsable de mantener
actualizado el marco de seguridad de la información y velar porque se cumpla a nivel institucional.
Compromiso del personal con la seguridad de la información
Políticas sobre la responsabilidad de los funcionarios para la seguridad y la
confidencialidad de la información
1. Los funcionarios del MAG usarán el equipo de cómputo en labores exclusivamente de trabajo y serán responsables por el uso adecuado de las herramientas de hardware (tales como el PC, impresoras, escáner, medios de almacenamiento como discos externos, tabletas, portátiles, llaves "maya" USB, otros) y el software (programas) instalado.
2. El usuario del equipo es responsable de acatar las disposiciones del Departamento de
Tecnologías de información, en cuanto a los programas que puede tener su equipo. Es responsable directo si es detectado en su equipo, un software no autorizado, ilegal o "pirateado", por lo cual debe responder ante las autoridades del Ministerio o quien
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 10
corresponda. Además debe considerar lo aplicable de la política sobre licencias de software.
3. Todo el personal debe mantener las claves de acceso que le hayan asignado en forma
confidencial.
4. Cada funcionario/a debe asegurarse de cerrar apropiadamente sesiones abiertas en sistemas internos o aplicaciones externas, sobre todo en sitios accedidos vía internet.
5. Es prohibido a todo el personal de cualquier nivel, utilizar el equipo de la oficina para
bajar de internet y/o ejecutar: juegos, música, videos, fotos, "screensavers" y todo archivo que provenga de fuentes no confiables; así como todo tipo de material pornográfico, que atente contra el trabajo o el honor de las personas.
6. Las personas usuarias deben utilizar antivirus para revisar todo medio antes de
ingresarlo al equipo, con el propósito de evitar que éste sea contagiado al igual que la red institucional. Si no tienen instalado el antivirus tienen la responsabilidad de notificarlo al Departamento de Tecnologías de Información mediante el Sistema de Soporte Técnico o cualquier otro medio establecido para ese fin.
7. El funcionario será el responsable de realizar los respaldos de su información y
mantenerlos resguardados en los medios adecuados que les permita una recuperación segura en caso de algún daño al equipo. En caso de las aplicaciones cliente-servidor el responsable de realizar los respaldos será el administrador o encargado de las base de datos del Departamento de Tecnologías de información.
8. Para mensajería instantánea, chats, videoconferencia y similares se utilizará la
herramienta autorizada por el Departamento de Tecnologías de Información. En sede central del MAG y regiones se implementará la herramienta Lync o Skype. Para usar cualquier otra herramienta, la jefatura departamental deberá solicitarlo formalmente ante el Departamento de Tecnologías de información, manifestando los cuidados y supervisión que ejercerá sobre su uso.
9. Está prohibido conectar cualquier dispositivo de red (switch, router) a la red
institucional sin la autorización correspondiente del Departamento de Tecnologías de Información.
10. Los funcionarios darán autorización por escrito con la boleta respectiva, al personal
del Departamento de Tecnologías de Información, cada vez que soliciten o se requiera formatear el equipo a su cargo, asumiendo la responsabilidad de cualquier pérdida de datos si no cuentan con los respaldos de su información.
11. Todo visitante que ingrese a las instalaciones del MAG con equipo de cómputo
personal, deberá regístralo en la recepción para poder ingresar con él, al Departamento que requiera de algún servicio.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 11
Seguridad Física y Ambiental
Políticas para el acceso físico al Departamento de Tecnologías de Información
1. Los funcionarios del MAG y personas ajenas a la institución deberán identificarse con
su respectivo gafete del MAG o de visitante en la recepción del Departamento de Tecnologías de Información, para efectos de solicitar servicios o realizar consultas. Asimismo, podrán ingresar a lo interno del Departamento siempre que haya un funcionario de TI que los atienda personalmente, y que mantengan visible su correspondiente gafete de identificación.
2. Los funcionarios de TI deberán portar siempre su identificación institucional.
3. Ningún equipo del MAG será ingresado en el Departamento de Tecnologías de
Información, sin tener la debida documentación en papel o en electrónico (solicitud de servicio, boleta de traslado de equipo, otro) mediante el cual se pueda determinar la persona responsable del bien y el motivo por el cual ingresa al Departamento.
4. Toda salida de equipo de cómputo de la institución deberá contar con la debida
autorización del Departamento de Bienes y Servicios, y será confirmada la salida con el personal de seguridad responsable de la revisión de paquetes en la institución.
5. Toda empresa que requiera realizar labores de mantenimiento en los equipos de la
sala de servidores de TI, deberá coordinar con anticipación la visita con el personal de TI para verificar su disponibilidad.
Políticas de ubicación y ambiente del Departamento de Tecnologías de Información
1. Las estaciones de trabajo deben estar dotadas con las condiciones ambientales
necesarias para garantizar un entorno físico conveniente para su funcionamiento.
2. El espacio del Departamento de Tecnologías de Información deberá estar climatizado a una temperatura constante de 23° para garantizar el mejor rendimiento de los componentes electrónicos y alargar la vida útil de los mismos.
3. La puerta de acceso a las áreas del Departamento de Tecnologías de Información debe
estar completamente cerrada y deberá permanecer siempre cerrada. Las llaves de acceso estarán en custodia del personal del Departamento de Tecnologías de Información
4. Todo el cableado eléctrico que sea utilizado en los equipos del Departamento de
Tecnologías de Información deberá ser distribuido correctamente para el centro de datos y servidores. Con sus respetivos cargas de distribución, polarizado y carga eléctrica correcta
5. Para efectos de cableado eléctrico y de datos se utilizarán las normas de cableado que
se fundamenten en las mejores prácticas utilizadas en el mercado. Deberá utilizarse para el cableado de red la certificación vigente en el momento que se instalen nuevas conexiones.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 12
Seguridad en las operaciones y comunicaciones
El objetivo es que la Administración implemente medidas de seguridad relacionadas con la operación de los recursos de TI y las comunicaciones, minimizar el riesgo de fallas y proteger la integridad del software y la información.
Políticas sobre responsabilidad de uso de los recursos de TI
1. El personal del MAG usará el equipo de cómputo para labores exclusivamente de
trabajo y será responsable por el uso adecuado de las herramientas de hardware y software.
2. Todo computador del Ministerio en su sede Central debe estar registrado dentro del
dominio MAG y configurado con su respectivo usuario.
3. Ningún funcionario del MAG deberá utilizar los equipos de otros sin su debía autorización de la persona responsable del bien y además no podrá hacer uso de equipos con usuarios de otros funcionarios, debe de utilizar el usuario de Active directory que se le haya asignado.
4. Los funcionarios deben velar porque su equipo de cómputo tenga la debida protección
contra fallas en el suministro eléctrico. Para ello el Departamento de Tecnologías de Información, contará con la información actualizada del parque computacional debidamente con el estado de los mismos, en el caso de que se requiera de UPS o regletas, el Departamento que lo requiera le solicita a la jefatura de TI la compra los dispositivos de seguridad.
5. Los equipos de cómputo (tabletas, portátiles, CPU) deben contar con el antivirus oficial
del MAG. El antivirus debe estar debidamente actualizado por lo que si éste presenta problemas de actualización o el equipo no dispone de antivirus, el usuario deberá notificarlo al Departamento de Tecnologías de Información por medio del sistema de soporte.
12. El Departamento de Tecnologías de Información determinará cuál es el antivirus oficial
y lo instalará en los equipos institucionales, cuando se cuente con la debida licencia. Asesorará a la Administración para que gestione la compra de las licencias requeridas.
Políticas para el manejo de desechos de los medios tecnológicos
1. La institución deberá definir y establecer procedimientos para proteger la información
en cualquier medio fijo o removible (papel, cintas, discos flexibles, discos duros de la PC o externos, otros), y el manejo y desecho de dichos medios.
2. El MAG procurará la entrega de sus desechos tecnológicos a empresas recicladoras que cumplan con las normativas vigentes de Políticas de Gestión Ambiental Institucional.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 13
3. Cada dispositivo de cómputo que desea desechar de la institución o donarlo, deberá contar con el diagnóstico técnico emitido por el Departamento de Tecnologías de Información.
Control del Acceso a la información
La finalidad es proteger la información de accesos no autorizados
Políticas generales de seguridad de acceso a la información
1. El Departamento de Tecnologías de Información establecerá un procedimiento para la
creación de perfiles y roles de usuario para el acceso a los sistemas y proyectos,
tomando en consideración los criterios de las jefaturas departamentales, las
recomendaciones de control interno y las políticas de seguridad establecidas en este
documento.
2. El Departamento de Tecnologías de Información es el responsable de la seguridad de
acceso a los sistemas operativos (SO), sistemas de información (SI), bases de datos
(BD), y redes que operen en los equipos de cómputo institucionales.
3. Las jefaturas deben solicitar formalmente la apertura, modificación o cierre de las
cuentas de usuario (Active Directory o correo electrónico institucional).
4. El acceso a las computadoras, sistemas de información, impresoras en red, correo
electrónico, bases de datos; estará determinado por un usuario y una contraseña que
le será dada al usuario en el Departamento de TI. El funcionario podrá cambiar el
“password” o contraseña si el Departamento de Tecnologías de Información le permite
y capacita para hacerlo.
5. Las contraseñas de los usuarios deben tener alta o mediana seguridad no se deben
permitir contraseñas genéricas.
6. Se desactivarán o bloquearán las cuentas de usuario a aquellos funcionarios que no
laboren para el Ministerio. Los roles o privilegios se modificarán por solicitud de las
jefaturas departamentales o por decisión del Departamento de Tecnologías de
Información si se evidencia un riesgo para la seguridad de la información.
7. El Departamento de Recursos Humanos deberá notificar al Departamento de
Tecnologías de Información, toda vez que una persona suspenda temporalmente su
servicio para el MAG o traslado temporal a otra institución; para realizar las gestiones
pertinentes al usuario asignado al funcionario.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 14
Políticas de seguridad de bases de datos
1. Todo acceso a las bases de datos del Ministerio debe contar con los mecanismos
adecuados y controlados, que garanticen su seguridad, su integridad y la
confidencialidad de la información almacenada.
2. El Departamento de TI velará porque toda base de datos que sea instalada,
cuente con los controles de seguridad que garanticen la confiabilidad de la
información.
3. Las jefaturas departamentales deberán solicitar formalmente el acceso a la
información de las bases de datos para los funcionarios a su cargo, indicando el nivel
de acceso con el que ingresaran a los sistemas.
4. Deberán de mantenerse y aplicarse sistemas de respaldos para todas las bases de
datos del Ministerio, con el fin de garantizar su conservación. Queda bajo la
responsabilidad del Administrador de la Base de Datos del Departamento de
Tecnologías de Información dichos respaldos.
5. El Departamento de Tecnologías de Información establecerá planes de recuperación
de la información de las bases de datos, para garantizar la continuidad del servicio que
se presta por medio de los sistemas de información.
6. Las dependencias, “dueñas” de la información, deberán participar junto con el
Departamento de Tecnologías de Información, para verificar si la información de los
respaldos o la restauración de la base de datos fue exitosa.
7. El Departamento de Tecnologías de Información implementará controles para que
todos los respaldos de información, se encuentren almacenados en medios externos
como cintas de respaldo, discos externos, CD´s o DVD´s.
Políticas de seguridad de acceso a sistemas operativos
1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del
personal técnico del Departamento de Tecnologías de Información.
2. En la activación de usuarios de sistemas operativos, se crearán identificadores de
usuario utilizando el estándar de la letra inicial del nombre seguida del primer apellido.
En caso de que se repitan dichos datos, es decir coincidan con 2 o más funcionarios, se
utilizará letra inicial del nombre, seguida del primer apellido y letra inicial del segundo
apellido.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 15
3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el
número de intentos de ingreso fallidos: luego de tres intentos, deberá bloquearse la
cuenta del usuario y no permitir su ingreso al sistema. El funcionario deberá
comunicarse al Departamento de Tecnologías de Información, para solicitar el
desbloqueo de la cuenta.
Políticas de seguridad de acceso a sistemas de información (SI)
1. La activación y desactivación de usuarios de los sistemas de información estará a
cargo del personal técnico del Departamento de Tecnologías de Información.
2. Las jefaturas departamentales son las que deben definir los roles y privilegios que sus
funcionarios pueden tener para acceder a determinada aplicación, ya sea un sistema
interno (Por ejemplo, Expediente Personal, Sistema Financiero Contable, otros.) o
externo (Certificaciones, SIGAF del Ministerio de Hacienda, otros). La jefatura debe
realizar solicitud formal ante el Departamento de Tecnologías de Información para
que se apliquen estas asignaciones al personal a cargo.
3. Las jefaturas departamentales deberán solicitar al Departamento de Tecnologías de
Información cualquier cambio en los roles y privilegios de acceso a los Sistemas
Internos o Externos (como los del Ministerio de Hacienda), o el cese de privilegios a
dichas aplicaciones, tales son los casos de cambio de funciones de la persona traslado
a otra oficina, o decisión de suspender el privilegio.
4. En toda transacción que se realice en el SI se deberá grabar el nombre del usuario, la
fecha y la hora en que se realizó, para pistas de auditoría.
Políticas de seguridad de acceso a redes
1. El Departamento de Tecnologías de Información será la responsable de documentar y
aplicar procedimientos para nombrar los equipos. Se utilizará un nombre en letra
mayúscula compuesto así: la primera letra del nombre, seguida por el apellido, en caso
de ser necesario, le seguirá la letra inicial del segundo apellido. Se añadirá un guion
seguido de iniciales que representen las unidades organizacionales. Por ejemplo:
MMURILLO-TI. Aplicará otras reglas para nombrar los equipos portátiles,
minicomputadores y tabletas.
2. Los funcionarios, deben reportar al Departamento de Tecnologías de Información,
cuando se le asigna una PC a fin de que el equipo pueda ser identificado
correctamente dentro de la red institucional, en sede central del MAG y en las oficinas
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 16
regionales y agencias. Para ello utilizarán la Boleta de Traslado de Equipo, diseñada por
el Departamento de Control de Bienes y Servicios o cualquier otro medio documental
establecido para indicar un traslado de equipo. El mismo medio documental será
usado por la persona funcionaria para notificar al Departamento de Tecnologías de
Información, si un equipo a su nombre fue reasignado a otro empleado. Esto con el fin
de que el Departamento de Tecnologías de Información pueda renombrar los equipos
acorde a la persona responsable del activo y mantener actualizado el registro y estatus
de los equipos institucionales.
3. Para la utilización de las redes de datos, los nombres de usuario para las mismas se
crearán siguiendo el esquema de letra inicial del nombre seguido por el primer
apellido. En caso de repetirse con dos o más funcionarios, se usará además la letra
inicial del segundo apellido. Ejemplo: fruiz
4. El Departamento de Tecnologías de Información, asignará las claves de acceso a los
usuarios, además procederá conforme con los procedimientos para la activación y
desactivación de usuarios de las redes del Ministerio.
5. Para otorgarle acceso a las redes de datos, de acuerdo con las funciones que debe
desempeñar el usuario, la jefatura correspondiente deberá enviar la solicitud formal al
Departamento de Tecnologías de Información. Puede solicitarlo a través del Sistema
de Soporte Técnico vía internet.
6. Cada jefatura debe notificar al Departamento de Tecnologías de Información cuándo
un/a usuario/a tiene que tener acceso exclusivo o dedicado para un Sistema Externo
del Ministerio de Hacienda u otra instancia, a fin de reservar la IP para uso de la
persona. De igual forma, la jefatura debe notificar si se da un cambio en la situación
laboral que amerita que el uso exclusivo de la dirección IP, sea traslado a otro/a
funcionario, se congele o cese el uso exclusivo de la IP reservada.
Seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica
1. El Departamento de Tecnologías de Información tiene establecidos tres ambientes:
área de desarrollo de aplicaciones, pruebas de las mismas y capacitación a los
usuarios, mantenimiento y ambiente de producción en el DTI.
2. El acceso a los programas fuente de los sistemas implementados, es solo para el
personal del Área de Informática.
Políticas para el uso de las redes de datos
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 17
1. El Departamento de Tecnologías de Información será la dependencia responsable de
la administración y uso de la red interna de datos.
2. Los funcionarios solicitarán asistencia al Departamento de Tecnologías de Información
para agregar un equipo a la red institucional, mediante los procedimientos ya
establecidos.
3. El Departamento de Tecnologías de Información garantizará el acceso controlado en la
red interna de datos a los funcionarios del Ministerio que así lo requieran.
4. Los usuarios accederán a la red de datos por medio de un código de acceso que les
será asignado en el Departamento de TI
5. El código de acceso a redes que se asigne será único y exclusivo para cada usuario, el
cual será responsable por su uso.
6. Todas las operaciones que se efectúen por medio de las redes internas serán
responsabilidad única del usuario al que se le asignó el código relacionado con las
mismas.
7. El Departamento de Tecnologías de Información monitoreará periódicamente los
accesos a la red interna mediante herramientas de seguridad y administración.
8. Solamente el personal de TI podrá manipular los dispositivos activos de la red:
conmutadores (switches), enrutadores o enrutadores (routers), dispositivos
inalámbricos, cableado, etc. El mal manejo de dichos dispositivos podría tipificarse
como falta leve o grave según sea el caso, y se aplicaría la sanción disciplinaria
correspondiente.
9. No se permitirá la instalación de puntos de acceso de redes inalámbricas con conexión
a la red del Ministerio sin la debida información y autorización del Departamento de
Tecnologías de Información. En caso de detección de un punto de acceso no
autorizado se procederá a su inmediata desconexión de la red Institucional.
10. No se permite el empleo de mecanismos para la manipulación de direcciones de red o
cualquier otro uso que pueda afectar la topología o a la estructura lógica de la red.
11. El Departamento de Tecnologías de Información solamente prestará apoyo a los
equipos institucionales.
12. Los equipos electrónicos de gestión e infraestructura de la red del MAG serán
instalados, configurados y mantenidos exclusivamente por el Departamento de
Tecnologías de Información.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 18
13. Si el personal del MAG no acata las recomendaciones antes expuestas, será
especialmente considerado como infracción a las políticas del MAG.
Políticas para el acceso a servicios de Internet, correo electrónico y mensajería.
1. Los servicios de Internet y correo electrónico serán administrados por el
Departamento de Tecnologías de Información.
2. Para la comunicación oficial del Ministerio debe utilizarse la cuenta de correo
institucional.
3. El acceso a los servicios de Internet y correo electrónico estarán disponibles para todos
los usuarios del Ministerio, si las condiciones de infraestructura tecnológica y
administrativa lo permiten.
4. El uso de los servicios de Internet, correo electrónico y mensajería Lync, deberán ser
exclusivamente para apoyar y mejorar la calidad de las funciones administrativas y
técnicas.
5. El Departamento de Tecnologías de Información asignará las cuentas de correo de
acuerdo a las licencias disponibles. Se asignará con la prioridad establecida por la
Administración Superior.
6. Cuando una jefatura requiera la creación de un grupo o lista de distribución, para
enviar correos a varios destinatarios a la vez, debe realizar solicitud formal ante el
Departamento de Tecnologías de Información, justificando el motivo por el cual lo
requiere.
7. No está permitido facilitar u ofrecer las cuentas de correo a terceras personas. En este
punto también se debe acatar las normas sobre seguridad y confiabilidad de la
información
8. Se prohíbe a los funcionarios formar parte de cadenas de mensajes o SPAM, ya que
esto contribuye a la saturación de las redes de telecomunicación y facilita la
divulgación de su cuenta de correo y la proliferación de virus en la red.
9. Se prohíbe a los funcionarios que tengan acceso al servicio de correo electrónico abrir
mensajes de procedencia desconocida.
10. El funcionario que tenga acceso a servicios de correo electrónico institucional debe
evitar divulgar su cuenta a personas o entes desconocidos.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 19
11. Ningún equipo que esté designado como servidor debe tener asociada una cuenta de
correo electrónica.
12. Los mensajes de correo electrónico deben ser considerados como documentos
formales y deben respetar todos los lineamientos referentes al uso inapropiado del
lenguaje.
13. Los funcionarios deben realizar revisiones periódicas de los mensajes almacenados con
el fin de no mantener información innecesaria.
14. Las jefaturas deberán notificar al Departamento de Tecnologías de Información
cuando se deba cerrar o inhabilitar una cuenta de correo electrónico.
15. El personal usuario debe atender a los avisos de actualización automática del
programa de detección de virus e informar al Departamento de Tecnologías de
Información, cuando la actualización no se realice satisfactoriamente.
16. Los valores de seguridad, de aceptación de cookies y los certificados de los
navegadores o buscadores (browser) no deberán ser cambiados, excepto por
indicaciones del Departamento de Tecnologías de Información.
17. Está prohibida la utilización abusiva del correo electrónico y de las listas o grupos de
distribución incluyendo la realización de prácticas tales como:
a. Si se requiere un envío masivo de correo se recomienda usar las listas de
distribución o usar el campo de "copia oculta" (Bcc ó Cco) para poner la lista
de destinatarios, o bien ponerse en contacto con el Departamento de
Tecnologías de Información.
b. Actividades comerciales privadas:
i. Propagación de cartas encadenadas o participación en esquemas
piramidales o actividades similares.
ii. El insulto, la amenaza o la difamación a cualquier persona.
iii. Suscribirse a periódicos, revistas, semanarios, buscadores de parejas,
chats ni a ningún otro tipo de actividades o boletines electrónicos que
no sea el estrictamente relacionado con el área profesional de trabajo
del funcionario.
iv. Descargar archivos de música, programas, videos, pornografía y
cualquier otro tipo de información que no guarde estricta relación con
el área profesional del funcionario. El Departamento de Tecnologías de
Información procurará tomar las previsiones del caso para que se
bloquee por medio de software especializado, el acceso no autorizado
a los servicios antes mencionados.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 20
18. Está prohibido la transmisión y/o, descarga de material obsceno o pornográfico, que
contenga amenazas o cualquier tipo de información que atente contra la moral o
buenas costumbres.
19. Los funcionarios del MAG, dispondrán de una hora diaria para el ingreso a páginas de
redes sociales y de entretenimiento como YouTube.
Políticas para uso de impresoras en red
1. El usuario que requiere utilizar las impresoras en red disponibles en el edificio Central,
deberán hacer la solitud respectiva en el Departamento de TI.
2. El Departamento de TI, le asignará una contraseña de acceso a las impresoras al cada
funcionario, por lo que queda bajo responsabilidad del usuario mantener bajo
seguridad dicho acceso.
3. Queda prohibido la impresión de archivos personales, ni de terceras personas.
4. El Departamento de TI, mensualmente hará entrega vía correo a las jefaturas
Departamentales el informe de impresión de sus funcionarios, para que se tomen las
medidas respectivas.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 21
Políticas de responsabilidad y mantenimiento del hardware
1. El hardware que se encuentra en el área de servidores y los armarios de
comunicaciones es responsabilidad directa del personal del área de infraestructura del
Departamento de Tecnologías de Información, y velaran uso apropiado y cuidado.
2. Los otros equipos de cómputo quedan bajo la responsabilidad del usuario al que se
asignen. Estos tendrán la obligación de cuidarlos, mantenerlos limpios y velar por su
buen funcionamiento. En el caso de existir algún problema con el equipo deberán de
reportarlo inmediatamente al Departamento de Tecnologías de Información para que
se proceda a su revisión.
3. Los usuarios tienen el deber de informar sobre el rendimiento de cada equipo, para
que sea valorado y de ser necesario mejorado.
4. Las computadoras, impresoras y otros dispositivos del MAG serán sometidos a un
mantenimiento preventivo por lo menos una vez al año (salvo aquellas que se
encuentren en garantía), con la finalidad de aumentar su vida útil, mejorar el
rendimiento, detectar a tiempo posibles causas de fallas y determinar su necesidad de
mejora o reemplazo.
5. El mantenimiento preventivo del equipo de telecomunicaciones se realizará por lo
menos una vez al año, por el Encargado de Infraestructura, quien deberá establecer un
programa de trabajo y llevar los respectivos controles.
6. Es responsabilidad del Departamento de Tecnologías de Información hacer cumplir las
garantías respectivas de cada uno de los equipos; para tal razón se deberán respetar
los sellos de garantía que vienen adheridos a los equipos, y velar porque el usuario
final no los despegue en caso de que el proveedor utilice ese mecanismo.
7. Es responsabilidad del Departamento de Tecnologías de Información valorar la
necesidad de sustituir algún equipo cuando ya éste no garantice la funcionalidad y
operatividad adecuada.
8. Solamente se les dará el servicio de soporte técnico a los equipos computacionales
que pertenezcan a la institución. Dichos equipos deben poseer el patrimonio
respectivo y en el caso de que no cuente con patrimonio deberá presentar la
documentación respectiva del Departamento de Bienes y Servicios en la que se
compruebe que se encuentra bajo su tutela y que pertenece a la institución.
9. Los funcionarios que opten por la modalidad de Teletrabajo, no podrán solicitar ningún
servicio de soporte técnico al Departamento de TI, una vez se encuentre laborando
desde sus hogares.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 22
Políticas sobre el uso de licencias de software
1. Según Decreto Ejecutivo Nº 30151-J del 01 de febrero de 2002, en su Artículo 1 se
indica: “Se ordena que todo el Gobierno Central se proponga diligentemente prevenir
y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las
disposiciones sobre derechos de autor que establece la Ley Nº 6683 y sus reformas…”
Por consiguiente, los programas que se utilizarán en los equipos del Ministerio tendrán
licencia, de lo contrario es ilegal y debe eliminarse de inmediato.
2. El Departamento de Tecnologías de Información dará la asesoría necesaria a los
funcionarios del MAG en el tema de licencias. Los usuarios deben asegurarse que
disponen de las licencias adecuadas al uso que hagan del respectivo software, ya sea
mediante licencias adquiridas de forma centralizada por el Ministerio (para software
de uso común), por la adquisición individual de las correspondientes licencias, o bien
por el uso de software libre. De no ser así, la responsabilidad recaerá totalmente sobre
el usuario.
3. El Departamento de Tecnologías de Información llevará un registro actualizado de los
equipos y las licencias vigentes en el Ministerio para informar a la Administración a
este respecto.
4. El Departamento de Tecnologías de Información dará de baja todos los equipos que
estén al margen de la ley, en lo que respecta al cumplimiento de la Ley de Derechos de
Autor, lo cual se hará en un plazo razonable, que será comunicado al responsable de la
dirección o Departamento respectivo.
5. La Dirección Administrativa y Financiera gestionará mediante los presupuestos
ordinarios y extraordinarios con cargo a los Centros de Asignación Presupuestaria, la
compra de licencias de “software” con la finalidad de que siempre el Ministerio se
mantenga al día con el uso de licencias. Esta función la hará mediante el concurso y
petición del Departamento de Tecnologías de Información.
6. El Departamento de Tecnologías de Información removerá cualquier programa de las
máquinas cuando no exista licencia, sin responsabilidad para ésta de los problemas
que ocasione directa o indirectamente. Llevará un registro de los programas instalados
ilegalmente, para que, ante la reincidencia de mantener programas instalados en
forma ilegal, se proceda a reportar el asunto al Departamento de Recursos Humanos o
ante las autoridades superiores, para aplicar la sanción que corresponda por
desobediencia según el Reglamento Interno del MAG, lo cual debe tipificarse como
falta grave. Para ello, el Departamento de Tecnologías de Información cuidará de no
violentar el derecho a la privacidad de las personas, solicitando previamente la
autorización al usuario para proceder con la remoción del programa ilegal.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 23
7. Las licencias básicas para todo equipo son: el Sistema Operativo (“Windows”), paquete
de Oficina (“Office”) y el acceso a la red interna (CAL), así como el respectivo antivirus
(McAfee).
8. Los medios de instalación originales serán custodiados por el Departamento de
Tecnologías de Información.
Políticas de instalación de Software
1. El Departamento de Tecnologías de Información es el responsable de la instalación de
los programas de software en cada una de las computadoras del Ministerio.
2. Queda completamente prohibido que los usuarios realicen instalaciones de cualquier
tipo de software en sus computadoras. De requerir un software específico debe
solicitarse al Departamento de Tecnologías de Información para que se valore la
necesidad de su instalación.
3. Todo software que se instale en las computadoras del MAG deberá contar con su
respectiva licencia y su instalación deberá ser autorizada por la jefatura del
Departamento de Tecnologías de Información.
4. Queda prohibida la instalación del software adquirido por el MAG en equipos que no
sean de su propiedad de la institución.
5. El personal del Departamento de Tecnologías de Información deberá mantener un
inventario de software y programas instalados en cada una de las computadoras. Este
inventario deberá revisarse y actualizarse una vez al año.
6. Para la administración y el manejo seguro de la información que se almacena en los
computadores del Ministerio y para evitar su utilización por personas no autorizadas,
se utilizarán los sistemas operativos que ofrezcan mayor seguridad.
Continuidad de los servicios de TI
El DTI deberá desarrollar e implementar un Sistema para la continuidad de los servicios de TI
(SCS), que permita el registro y la actualización de eventos que afecten los servicios, su
solución, su criticidad y su impacto, recursos, escalabilidad, procedimientos de recuperación y
responsables.
El acceso a la información por parte de terceros y a la contratación de servicios
prestados por éstos
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 24
1. El acceso a la información por parte de terceros, requiere de convenios o contratos
previamente establecidos, o de la solicitud formal del jerarca o jefatura para la
asignación de roles o privilegios que los faculten para la consulta controlada.
2. En la contratación de servicios a terceros se debe establecer cláusulas específicas
sobre la confidencialidad de la información.
Manejo de la documentación en el Departamento de Tecnologías de Información
1. El Departamento de Tecnologías de Información administra la documentación física y
electrónica, clasificándola por tipos documentales y queda disponible de acuerdo con
la tabla de plazos autorizada por el Archivo Institucional.
2. En lo que respecta a TI, se mantienen estándares de documentación de proyectos de
tecnología.
Políticas para la documentación y mantenimiento de manuales del Departamento de
Tecnologías de Información
1. Será política primordial del Departamento de Tecnologías de Información, documentar
formalmente (en papel o electrónica) todas las actividades que realice en el desarrollo
de los servicios que brinda a la Institución.
2. El Departamento de Tecnologías de Información mantendrá un archivo de gestión de
documentos, debidamente ordenado y clasificado para el registro y custodia de la
documentación administrativa, correspondencia y de actividades técnicas que
desarrolla. Mantendrá, como mínimo, dentro de sus archivos de gestión, las siguientes
documentaciones:
o Correspondencia interna mantenida con todas las dependencias del Ministerio
o Correspondencia con entidades externas
o Documentación de planeamiento estratégico de tecnologías de información
o Documentación de planes anuales operativos
o Documentación sobre solicitudes de servicio recibidas y satisfechas por el
Departamento
o Documentación de inventario de equipos de cómputo, periféricos y de
telecomunicaciones.
o Documentación de perfiles de usuarios de redes
o Documentación de perfiles de usuarios de bases de datos
o Documentación de inventario de software instalado en equipos
o Documentación relativa a adquisición de equipos de cómputo, periféricos
y de telecomunicaciones
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 25
o Documentación del mantenimiento correctivo de equipos de cómputo,
periféricos y telecomunicaciones
o Documentación de licencias de software adquiridas
o Documentación de proyectos formalmente desarrollados
o Documentación administrativa de los funcionarios del Departamento
3. El Departamento de Tecnologías de Información mantendrá en su archivo de gestión
un Compendio de Manuales que contendrá como mínimo:
o Manual de Políticas Institucionales de Tecnologías de Información en general
o Manual de Procesos y Procedimientos del Departamento de Tecnologías de
Información
o Planes de Contingencias de Tecnologías de Información
o Manuales de Sistemas de Información
4. El Departamento de Tecnologías de Información utilizará toda la documentación
formal definida en la organización para el desarrollo de trámites administrativos.
La terminación normal de contratos de TI, su rescisión o resolución
El DTI administra los contratos relacionados con TI, a través de los coordinadores; según
especialidad y afinidad, para llevar un control periódico y directo sobre la ejecución,
continuidad, rescisión o la resolución de los mimos.
Gestión de Proyectos
1. Los usuarios y/o patrocinadores de los proyectos de TI, deben liderar y administrar
sus proyectos, con la asesoría e incorporación del Departamento de Tecnologías de
Información para coordinarlos siguiendo la metodología de desarrollo de proyectos
de TI ya establecida.
2. Se mantiene la cartera de proyectos aprobada e incorporada al Plan Anual Estratégico.
3. El Departamento de Tecnologías de Información será responsable por la definición y
ejecución de los presupuestos que el Ministerio asigne en esta materia.
4. La administración central del MAG, sus direcciones nacionales y regionales brindarán
el apoyo logístico, material, presupuestario y los recursos humanos necesarios al
Departamento de Tecnologías de Información, para que pueda cumplir
adecuadamente sus funciones.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 26
Cumplimiento de obligaciones relacionadas con la gestión de TI
El jerarca y los titulares subordinados deben observar el cumplimiento de las obligaciones
relacionadas con normativa, leyes, decretos, resoluciones y contratos de las tecnologías de
información. Por ejemplo, normativa emitida por la Contraloría General de la República (CGR),
a saber las Normas para el Sector Público, las Normas Técnicas de Tecnologías de Información
y Comunicación, las presentes normas, etc.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 27
Planificación y Organización de TI
Planificación de las Tecnologías de Información
Marco Políticas para el planeamiento y administración de actividades
1. El Departamento de Tecnologías de Información contará con un Plan Anual
Estratégico con el cual se orientarán las actividades. Para la administración y el control
de sus proyectos, se utilizará preferiblemente un software de administración o en su
defecto, se utilizará alguna otra herramienta que contenga información de control.
2. Todo proyecto en materia de TI, deberá ser desarrollado bajo la metodología de
Administración y control de los proyectos de TI, utilizada en dicho Departamento.
Modelo de Arquitectura de Información
1. Se debe optimizar la integración, uso y estandarización de los sistemas de información.
2. Las jefaturas interesadas en adquirir un sistema o aplicación, deben presentar solicitud
formal ante el Departamento de Tecnologías de Información, siguiendo la metodología
ya establecida.
3. Las jefaturas departamentales no deben adquirir o implementar sistemas, (ya sea por
donación, práctica estudiantil, contrato a terceros), sin la debida aprobación del
Departamento de Tecnologías de Información.
4. Las aplicaciones adquiridas por el MAG deben ser compatible con la plataforma
tecnológica institucional (sistemas operativos, sistema de bases de datos, ambiente
web, etc.)
Infraestructura Tecnológica
1. Las dependencias deben asesorarse con el Departamento de Tecnologías de
Información, para la adquisición de infraestructura tecnológica.
2. Se deberá buscar la adquisición de infraestructura (red, software, hardware, servicios),
con la debida justificación y que esté alineada al plan estratégico de TI.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 28
Independencia y recurso humano de la Función de TI
1. Actualmente, el Departamento de Tecnologías de Información del MAG, está ubicado
organizacionalmente dentro de la Dirección Administrativa Financiera y Oficialía
Mayor.
2. El Departamento en oficinas centrales se divide en 3 áreas: Infraestructura, Soporte y
Desarrollo.
3. El Área de Infraestructura tiene que ver los procesos de administración de redes, bases
de datos, sistemas en producción, portales web, gestión de la seguridad informática,
interoperabilidad de plataformas, plan de continuidad, gestión de los riesgos.
4. En el Área de Soporte, se da atención a usuarios, actividades de capacitación, aula
virtual, mesa de ayuda, gestión de la calidad, control de inventarios, control de
contratos, administración del riesgo, correo electrónico.
5. El Área de Desarrollo debe apoyar el desarrollo y mantenimiento de sistemas,
arquitectura informática, políticas y normas generales, metodologías, estrategias de
seguridad.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 29
Implementación de las Tecnologías de Información
Consideraciones generales de la implementación de las
Tecnologías de Información
Políticas sobre el servicio que ofrece el Departamento de Tecnologías de
Información
1. El Departamento de Tecnologías de Información es un área de servicio para las
diferentes dependencias del Ministerio, en el desarrollo y la utilización de las
tecnologías de información, operando como un órgano asesor, promotor y facilitador.
2. El Departamento de Tecnologías de Información mantendrá un registro de los
servicios que ofrece a las dependencias del Ministerio y los informará a través de la
web. Entre los servicios se destacan: acceso a web privado y público, contrato de
terceros, capacitación, red, apoyo en formación virtual, soporte a la gestión de la
DNEA, soporte técnico, entre otros.
3. Los servicios ofrecidos por el Departamento de Tecnologías de Información, se
solicitarán formalmente y siguiendo los procedimientos que se emitan para ese fin; los
cuales se estarán comunicando durante el proceso de implementación.
4. El jerarca o área usuaria, según corresponda, debe indicar el respaldo claro y explícito
para los proyectos de TI. De acuerdo a la metodología establecida, debe aportar los
recursos necesarios para el desarrollo e implementación de los proyectos y asumir
responsabilidades, y aprobar formalmente la implementación realizada.
Políticas para la adquisición de nuevas tecnologías
1. Todos los procesos institucionales de adquisición de recursos informáticos, deben ser
valorados y aprobados previamente por el Departamento de Tecnologías de
Información.
2. Para la adquisición de nuevos recursos de hardware, software y otros dispositivos
tecnológicos, será política del Departamento de Tecnologías de Información
recomendar aquellos que ofrezcan calidad comprobada y sean referentes en el
mercado nacional.
3. Para el trámite de adquisición de nuevos recursos informáticos, el Departamento de
Tecnologías de Información asesorará y apoyará a la Proveeduría Institucional, en la
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 30
definición de las características tecnológicas y evaluación de ofertas mediante
recomendaciones técnicas.
4. Para la adquisición de nuevos recursos, el Departamento de Tecnologías de
Información se fundamentará en los reglamentos y normativas de compras definidos
para la Institución.
5. El Departamento de Tecnologías de Información velará porque los recursos
informáticos adquiridos sean enviados y utilizados por el mismo sitio en que surgió la
necesidad de compra.
Implementación de Software
En los proyectos relacionados con desarrollo de aplicaciones, deberá aplicarse una
metodología formal basada en el ciclo de vida de sistemas, para asegurar la adecuada
administración y desarrollo.
Políticas para el desarrollo interno de sistemas de información
1. El Departamento de Tecnologías de Información desarrollará los sistemas de
información que la organización requiera, de acuerdo a los recursos humanos y
tecnológicos que tenga a su disposición para este fin.
2. El desarrollo de aplicaciones o sistemas se hará bajo el concepto de tecnología web y
siguiendo el procedimientos para el desarrollo de sistemas.
3. Las solicitudes de nuevos sistemas de información, solicitadas por las diferentes
dependencias del Ministerio, serán evaluadas y aprobadas por el Departamento de
Tecnologías de Información de acuerdo con las prioridades que éstos determinen.
4. Las pruebas de los nuevos sistemas de información deberán hacerse en servidores y
ambiente de pruebas y con la utilización de bases de datos de prueba antes de ser
puestos en producción.
5. Ningún sistema será puesto en producción si no se cuenta con la debida aprobación
del stakeholder (patrocinador del proyecto) del sistema.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 31
Políticas sobre mantenimiento de sistemas de información
1. Será considerado como mantenimiento de sistemas de información todas las acciones
que impliquen modificaciones, mejoras o adiciones a los sistemas de información, que
soliciten los usuarios de cualquier dependencia del Ministerio, una vez entren estos en
producción.
2. El personal del Departamento de Tecnologías de Información será la encargada de dar
el mantenimiento ordinario a los sistemas de información que se desarrollen en el
Ministerio.
3. El Departamento de Tecnologías de Información definirá el procedimiento y las
formalidades necesarias que orienten la forma en que serán desarrolladas las
actividades de mantenimiento de sistemas de información.
Contratación de terceros para la implementación y mantenimiento de
software e infraestructura
Políticas para soluciones de terceros
1. El Departamento de Tecnologías de Información podrá recurrir al desarrollo sistemas
de información por “outsourcing”, cuando no cuente con el recurso humano y/o
tecnológico necesario, para llevar a cabo los desarrollos de forma interna.
2. Las solicitudes de nuevos sistemas de información a desarrollar en la modalidad de
“outsourcing”, deberán ser formalmente presentadas por las Jefaturas, en forma
escrita e indicando en éstas los requerimientos generales por cubrir y la constancia de
la existencia de los fondos presupuestarios emitida por el Departamento Financiero.
Además, serán evaluados y aprobados por la Comisión Gerencial de Control Interno y
el Departamento de Tecnologías de Información, de acuerdo con las prioridades que la
Administración determine.
3. Para los proyectos de desarrollo de sistemas de información por “outsourcing”, deberá
establecerse un contrato formal entre el Ministerio y la empresa proveedora del
servicio, en donde se definan las condiciones de la contratación, el uso de los
programas fuente y la reutilización del sistema en el MAG.
4. El control y monitoreo del avance de proyectos de sistemas de información por
“outsourcing” estará a cargo del Departamento de Tecnologías de Información.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 32
5. Para el desarrollo de proyectos de sistemas de información por “outsourcing”, deberán
existir uno o más funcionarios que cumplan las funciones de “contraparte” de la
Institución, quienes deberán ser preferiblemente profesionales del Departamento de
Tecnologías de Información y del área usuaria.
6. El Departamento de Tecnologías de Información estará pendiente que las empresas
contratadas para el desarrollo de sistemas de información, brinden la capacitación a
sus funcionarios en administración, uso y mantenimiento del nuevo sistema de
información, para minimizar la dependencia que se genere del MAG hacia la empresa.
7. Los sistemas de información desarrollados por empresas externas, deberán ser
entregados por éstas, de manera formal y debidamente documentados, incluyendo en
dicha documentación al menos: código fuente, el manual técnico del sistema de
información y el manual de los usuarios.
8. Los programas desarrollados o adquiridos externamente serán de uso exclusivo del
MAG, y no se permite el uso para funciones que no correspondan a las operaciones
normales del MAG.
9. Se deberá implementar un proceso de transferencia tecnológica para minimizar la
dependencia del ministerio de las empresas contratadas una vez que termina el
contrato, que faculte para que los funcionarios de TI absorban los conocimientos y
mantengan la solución operando cuando termina el contrato.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 33
Prestación de servicios y mantenimiento
Consideraciones generales de la implementación de las
Tecnologías de Información
Definición y administración de acuerdos de servicio
1. El Departamento de Tecnologías de Información creará un registro de los servicios que
ofrece a las dependencias del Ministerio y los informará a través de la web. Entre los
servicios podrían estar; acceso a web privado y público, contrato de terceros,
capacitación, red, apoyo en formación virtual, soporte a la gestión de la DNEA, soporte
técnico, entre otros.
2. Para cada servicio el jerarca institucional y el Departamento de Tecnologías de
Información, documentarán sus atributos, definirán responsabilidades de las partes y
su sujeción a las condiciones establecidas y evaluarán su cumplimiento. Se deberá
tener claro qué es exactitud, oportunidad, confidencialidad, autenticidad, integridad y
disponibilidad.
Administración y operación de la plataforma tecnológica
1. El objetivo es mantener la plataforma tecnológica en óptimas condiciones y minimizar
el riesgo de fallas.
2. La administración debe establecer y documentar los procedimientos y
responsabilidades asociados con la operación de la plataforma y vigilar
constantemente la capacidad desempeño y uso, asegurando su correcta operación y
manejo de fallas
3. El Departamento de Tecnologías de Información debe identificar requerimientos
presentes y futuros y gestionar la adquisición de recursos de TI por contingencias,
cargas de trabajo, obsolescencia de la plataforma y tendencias tecnológicas.
4. El Departamento de Tecnologías de Información se encargará de realizar inventario
de hardware y software, y realizar las verificaciones correspondientes en forma
periódica.
5. El Área de Salud Ocupacional Institucional es la encargada de emitir las
recomendaciones para la adquisición de mobiliario ergonómico para uso de los
equipos de cómputo en armonía con la salud física del personal que los usa.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 34
Políticas sobre inventario de equipos
1. El Departamento de Tecnologías de Información mantendrá un inventario del parque
computacional (hardware) con las características de cada uno de ellos, tanto de la
sede central como de las direcciones regionales y sus agencias.
2. El Departamento de Tecnologías de Información deberá revisar el inventario del
equipo por lo menos dos veces al año, realizando los cambios que sean necesarios.
Hará un informe a la Administración sobre las diferencias y/o deficiencias encontradas.
Políticas sobre la reparación de equipos
1. Todos los usuarios deben acatar el procedimiento que el Departamento de
Tecnologías de Información implemente para controlar los servicios de reparación y la
calidad de los mismos.
2. La obtención de fondos presupuestarios para la adquisición de repuestos y accesorios
será responsabilidad de la jefatura departamental.
3. El Departamento de Tecnologías de Información tendrá un control de las garantías de
los equipos adquiridos para hacer cumplir los compromisos contractuales. Los equipos
no cubiertos se procederán a ser reparados en el sitio mismo o en el taller.
4. En lo posible se formalizarán y se dará seguimiento a contratos de reparación y
mantenimiento de equipos, alquiler de impresoras y equipos, tanto de la Sede Central
del MAG, como de las oficinas regionales. El Departamento de Tecnologías de
Información, es el encargado de coordinar la realización efectiva del mantenimiento y
evaluar el cumplimiento y la calidad de los servicios brindados por las empresas
contratadas.
Políticas sobre inventario de software
1. El Departamento de Tecnologías de Información deberá mantener un inventario de
software y programas instalados en cada una de las computadoras. Este inventario
deberá revisarse y actualizarse dos veces al año. Ver políticas para instalación de
software.
2. El Departamento de Tecnologías de Información , es la dependencia designada por el
jerarca institucional, para que confeccione un informe anual de inventario de los
programas instalados en los equipos, el cual debe hacerlo llegar al Registro Nacional
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 35
de Derechos de Autor y Derechos Conexos a efectos de hacer constar que el Ministerio
cumple con la protección de los derechos de autor relativos a los programas de
cómputo, en observancia al Decreto de Legalización de Software en el Gobierno
Central, número 3015-J.
Administración de los datos
Políticas para la creación de Base de Datos
1. El Departamento de Tecnologías de Información será la encargada de diseñar física y
lógicamente las bases de datos, que utilizarán los sistemas de información que se
desarrollen internamente.
2. El Departamento de Tecnologías de Información permitirá la creación de bases de
datos a empresas contratadas para este fin o para el desarrollo de sistemas de
información, siempre que entreguen, en forma completa, toda la documentación
técnica de dichas bases de datos que permita su fácil comprensión.
3. En la creación de nuevas bases de datos se deberá generar la documentación
necesaria y suficiente, que permita comprender su estructura física y lógica, así como
su contenido.
4. En la definición de nomenclatura para las bases de datos, debe respetarse el Manual
de Estándares de bases de datos correspondiente utilizado por el Departamento de
Tecnologías de Información.
5. El Departamento de Tecnologías de Información hará uso de una herramienta para el
modelaje de datos, creación y generación de base de datos, para lo cual debe
adquirirse la respectiva licencia y la capacitación para su manejo.
Políticas para la migración de Base de Datos
1. Toda migración de base de datos deberá ser realizada por encargado de las bases de
datos del Departamento de Tecnologías de información o personal externo del
ministerio que corresponda bajo la supervisión del Departamento de Tecnologías de
información.
2. Antes de cualquier proceso de migración se deberán realizar los respaldos respectivos,
así como realizar previamente una prueba de la migración en un servidor de pruebas,
para garantizar que el proceso de migración funciona correctamente.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 36
3. En las actividades de migración de información a bases de datos, se deberá seguir el
procedimiento definido por el Departamento de Tecnologías de Información para
evitar atrasos y complicaciones, así como dejar documentado en una bitácora todo lo
realizado para futuras migraciones.
Políticas sobre la instalación de Base de Datos
1. Toda instalación de base de datos deberá ser realizada por el encargado de las bases
de datos del Departamento de Tecnologías de Información, o en su defecto por
personal de empresas contratadas para estos efectos, bajo la supervisión de
Departamento de Tecnologías de Información.
2. Antes de cualquier instalación deberá realizarse los respaldos respectivos para evitar
accidentes y garantizar la recuperación de la base de datos.
3. Para la instalación se deberá seguir el procedimiento definido por el Departamento de
Tecnologías de Información para prevenir que se den atrasos o complicaciones, así
como dejar documentado en una bitácora todo lo realizado.
Políticas sobre administración y mantenimiento de bases de datos
1. Todo mantenimiento a las bases de datos deberá ser realizado por encargado de las
bases de datos de TI interno. En el caso de bases de datos que darán mantenimiento
profesionales externos, deberán ser supervisados por el profesional responsable de
esa tarea del Departamento de Tecnologías de Información.
2. Antes de cualquier proceso de mantenimiento a la base de datos, se deberán realizar
los respaldos respectivos para estar prevenidos contra cualquier accidente que se
pudiera presentar.
3. Todo cambio o ajuste hecho en el proceso de mantenimiento, se deberá dejar
documentado en una bitácora para efectos de control y seguimiento.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 37
Políticas de tiempos de almacenamiento de información en bases de datos
1. El Departamento de Tecnologías de Información deberá garantizar la conservación
permanente de toda la información almacenada en las bases de datos de los
servidores, que esté directa o indirectamente relacionada con las actividades del
Ministerio.
2. La información deberá ser conservada durante el período que se defina en la tabla de
plazos de conservación de la oficina del Archivo Central de la Institución.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 38
Seguimiento a las políticas y normas
1. La organización debe definir un marco de referencia y un proceso de seguimiento,
definiendo alcance, metodología y los mecanismos para vigilar la gestión de TI.
2. El jerarca debe establecer y mantener el sistema de control interno asociado a la
gestión de las TIs.
3. La Auditoría Interna debe orientarse a coadyuvar, de conformidad con sus
competencias, al control interno sobre el uso de las TIs, en miras a garantizar que se
cumplen los objetivos relacionados con las mismas.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 39
Glosario
Activos informáticos: Véase “Recursos informáticos”
Acuerdos de confidencialidad: Convenio suscrito entre la entidad y sus funcionarios, o bien,
entre instituciones que comparten datos o sistemas, para garantizar el manejo discreto de la
información. También se utiliza el concepto “cláusulas de confidencialidad”, que son aquellas
que imponen una obligación negativa: de no hacer o de abstenerse; es decir, de no utilizar la
información recibida con fines distintos a los estipulados. (Véanse los artículos 71 del Código
de Trabajo)
Acuerdos de servicio: Los acuerdos de servicios, mejor conocidos como convenios o acuerdos
de nivel de servicio (“SLA’s” por sus siglas en inglés de “Service Level Agreement”) son
contratos escritos, formales, desarrollados conjuntamente por el proveedor del servicio de TI y
los usuarios respectivos, en los que se define, en términos cuantitativos y cualitativos, el
servicio que brindará la dependencia responsable de TI y las responsabilidades de la
contraparte beneficiada por dichos servicios.
Ambiente de desarrollo: Conjunto de componentes de hardware y software donde se
efectúan los procesos de construcción, mantenimiento (v.gr. ajustes, cambios y correcciones) y
pruebas de sistemas de información.
Ambiente de producción: Conjunto de componentes de hardware y software donde se
efectúan los procesos normales de procesamiento de datos, con sistemas e información reales.
Base de datos: Colección de datos almacenados en un computador, los cuales pueden ser
accedidos de diversas formas para apoyar los sistemas de información de la organización.
Calidad: Propiedad o conjunto de propiedades inherentes a algo, que permiten juzgar su valor.
/ Conjunto de características que posee un producto o servicio obtenidos en un sistema
productivo, así como su capacidad de satisfacción de los requerimientos del usuario.
Confidencialidad de la información: Protección de información sensible contra divulgación no
autorizada.
Contingencia: Riesgo que afecta la continuidad de los servicios y operaciones.
Continuidad de los servicios y operaciones: Implica la prevención, mitigación de las
interrupciones operacionales y la recuperación de las operaciones y servicios.
Contraseñas: Véase “password”.
Conversión de datos: Proceso mediante el cual se cambia el formato de los datos.
Desarrollo: Etapa del ciclo de vida del desarrollo de sistemas que implica la construcción de las
aplicaciones.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 40
Disponibilidad de la información: Se vincula con el hecho de que la información se encuentre
disponible (v.gr.utilizable) cuando la necesite un proceso de la organización en el presente y en
el futuro. También se asocia con la protección de los recursos necesarios y las capacidades
asociadas. Implica que se cuente con la información necesaria en el momento en que la
organización la requiere.
Efectividad de la información: Que la información sea cierta, oportuna, relevante y pertinente
para la organización.
Eficiencia: Provisión de información efectiva a la organización mediante el uso óptimo (el más
productivo y económico) de los recursos.
Función de TI: Unidad organizacional o conjunto de componentes organizacionales
responsable de los principales procesos relacionados con la gestión de las tecnologías de
información en apoyo a la gestión de la organización.
Gestión de las TI: Conjunto de acciones fundamentadas en políticas institucionales que, de una
manera global, intentan dirigir la gestión de las TI hacia el logro de los objetivos de la
organización. Para ello se procura, en principio, la alineación entre los objetivos de TI y los de
la organización, el balance óptimo entre las necesidades de TI de la organización y las
oportunidades que sobre ello existen, la maximización de los beneficios y el uso responsable
de los recursos, la administración adecuada de los riesgos y el valor agregado en la
implementación de dichas TI. Tales acciones se relacionan con los procesos (planificación,
organización, implementación, mantenimiento, entrega, soporte y seguimiento), recursos
tecnológicos (personas, sistemas, tecnologías, instalaciones y datos), y con el logro de los
criterios de fidelidad, calidad y seguridad de la información. También se entiende como
“Gobernabilidad de TI”.
Hardware: Todos los componentes electrónicos, eléctricos y mecánicos que integran una
computadora, en oposición a los programas que se escriben para ella y la controlan (software).
Información: Conjunto de datos que han sido capturados y procesados, que se encuentran
organizados y que tienen el potencial de confirmar o cambiar el entendimiento sobre algo.
Infraestructura tecnológica: Conjunto de componentes de hardware e instalaciones en los que
se soportan los sistemas de información de la organización.
Instalaciones: Edificaciones y sus aditamentos utilizados para alojar los recursos informáticos.
Integridad: Precisión y suficiencia de la información, así como su validez de acuerdo con los
valores y expectativas del negocio.
Jerarca: Superior jerárquico, unipersonal o colegiado del órgano o ente quien ejerce la máxima
autoridad.
Marco de seguridad de la información: Conjunto de componentes asociados a la gestión de la
seguridad dentro de los cuales cuentan, entre otros: Principios y términos definidos para un
uso uniforme en la organización; un sistema de gestión que implica la definición de
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 41
actividades, productos y responsables del proceso de definición, implementación y
seguimiento de acciones para la seguridad de la información; el conjunto de controles; las
guías de implementación; métricas para seguimiento y la consideración de riesgos.
Menor Privilegio: Principio utilizado para la asignación de perfiles de usuario según el cual a
éste se le deben asignar, por defecto, únicamente los permisos estrictamente necesarios para
la realización de sus labores.
Migración: Proceso de traslado de datos o sistemas entre plataformas o entre sistemas.
Modelo de arquitectura de información: Véase "Modelo de Información".
Modelo de información Representación de los procesos, sistemas y datos, y sus
interrelaciones, mediante los cuales fluye toda la información organizacional.
No negación: Condición o atributo que tiene una transacción informática que permite que las
partes relacionadas con ella no puedan aducir que la misma transacción no se realizó o que no
se realizó en forma completa, correcta u oportuna.
Necesidad de saber: Principio utilizado para la definición de perfiles de usuario según el cual a
éste se le deben asignar los permisos estrictamente necesarios para tener acceso a aquella
información que resulte imprescindible para la realización de su trabajo.
Pistas de auditoría: Información que se registra como parte de la ejecución de una aplicación o
sistema de información y que puede ser utilizada posteriormente para detectar incidencias o
fallos. Esta información puede estar constituida por atributos como: la fecha de creación,
última modificación o eliminación de un registro, los datos del responsable de dichos cambios
o cualquier otro dato relevante que permita dar seguimiento a las transacciones u operaciones
efectuadas. Las pistas de auditoría permiten el rastreo de datos y procesos; pueden aplicarse
progresivamente (de los datos fuente hacia los resultados), o bien regresivamente (de los
resultados hacia los datos fuente).
Plataforma tecnológica: Término que resume los componentes de hardware y software
(software de base, utilitarios y software de aplicación) utilizados en la organización.
Prestación de servicios de TI: Entrega o prestación eficaz de los servicios de TI requeridos por
la organización, que comprenden desde las operaciones tradicionales sobre aspectos de
seguridad y continuidad, hasta la capacitación. Para prestar los servicios, debe establecerse los
procesos de soporte necesarios. Como parte de esta prestación, se incluye el procesamiento
real de los datos por los sistemas de aplicación, a menudo clasificados como controles de
aplicaciones.
Propiedad de la información: Tiene la propiedad de la información la unidad responsable o
que puede disponer sobre dicha información.
Recursos de TI: Aplicaciones, información, infraestructura (tecnología e instalaciones) y
personas que interactúan en un ambiente de TI de una organización.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 42
Recursos informáticos: Véase “recursos de TI”.
Seguimiento de las TI: Evaluación regular de todos los procesos de TI a medida que transcurre
el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. Es
parte de la vigilancia ejercida por la función gerencial sobre los procesos de control de la
organización y la garantía independiente provista por la auditoría interna y externa u obtenida
de fuentes alternativas.
Seguridad: Conjunto de controles para promover la confidencialidad, integridad y
disponibilidad de la información.
Seguridad física: Protección física del hardware, software, instalaciones y personal relacionado
con los sistemas de información.
Servicios prestados por terceros: Servicios recibidos de una empresa externa a la organización.
Por lo general, requiere de una contraparte interna de la organización que garantice que el
producto desarrollado cumple con los estándares establecidos por ésta. También es conocido
como “outsourcing”.
Software: Los programas y documentación que los soporta que permiten y que facilitan el uso
de la computadora. El software controla la operación del hardware.
Software de aplicación: Programa de computadora con el que se automatiza un proceso de la
organización y que principalmente está diseñado para usuarios finales. También conocido
como sistemas de aplicación.
Software de base: También conocido como software de sistemas que es la colección de
programas de computadora usados en el diseño, procesamiento y control de todas las
aplicaciones, los programas y rutinas de procesamiento que controlan el hardware de
computadora. Incluye el sistema operativo y los programas utilitarios.
Stakeholder: es una palabra del inglés que, en el ámbito empresarial, significa ‘interesado’ o
‘parte interesada’, y que se refiere a todas aquellas personas u organizaciones afectadas por
las actividades y las decisiones de una empresa.
Tecnologías de información (TI): Conjunto de tecnologías dedicadas al manejo de la
información organizacional.
Término genérico que incluye los recursos de: información, software, infraestructura y
personas relacionadas.
Políticas y Normas Generales de TI
Ministerio de Agricultura y Ganadería 43