Terminos de Referencia

Anuncio
Terminos de
Referencia
Servicio de Modelo de
Gobierno Corporativo TI
del Servicio de Centro de
Datos Corporativo para las
Empresas del Estado bajo
el ámbito de FONAFE
Página | 1
Tabla de Contenidos
Tabla de Contenidos
2
1. Información General
4
1.1.
1.2.
1.3.
Antecedentes
4
Gobierno Corporativo TI
4
Objetivo y Alcance General del Servicio
5
Objetivo General
5
Alcance del Proyecto
5
1.4.
Lineamientos Generales del Servicio
6
La etapa de diseño del presente servicio se debe ejecutar al mismo tiempo con la
etapa de planificación del servicio de centro de datos.
6
1.5.
Confidencialidad
6
2. Servicio de modelo de procesos de gobierno corporativo de TI
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
7
Contexto general
7
Cuerpo de gobierno de servicios
7
Servicio de Proceso de Gobierno de gestión de servicios.
8
a.
Alcance
8
b.
Diseño el servicio
8
c.
Características de los componentes del servicio
9
Servicios de procesos de gobierno de gestión de seguridad
13
a.
Alcance
13
b.
Diseño del servicio
14
c.
Características y componentes del servicio
14
Responsabilidades del proveedor de modelo de procesos de operación de
gobierno de TI
15
Responsabilidades del proveedor del servicio de centro de datos corporativo
16
Responsabilidades de FONAFE
16
Responsabilidades de las empresas de FONAFE
16
3. Servicio de acompañamiento en la transición al servicio de Centro de Datos Corporativo
17
3.1.
3.2.
3.3.
3.4.
3.5.
Alcance
Diseño del servicio
Características y componentes del servicio
Responsabilidad de FONAFE
Responsabilidad de las empresas de FONAFE
4. Organización del Servicio
4.1.
4.2.
a.
b.
c.
d.
4.3.
a.
b.
4.4.
4.5.
Organización General
Organización para el Servicio
Gerencia del Proyecto
Metodología de Gerencia de Proyectos
Roles y Responsabilidades del proveedor
Roles y Responsabilidades de FONAFE
Comités
Comité Ejecutivo
Comité Operativo
Perfil mínimo del personal proveedor
Perfil mínimo del personal requerido
5. Niveles de Servicio
17
17
17
17
17
18
18
19
19
20
21
22
23
24
24
25
26
30
Página | 2
5.1.
5.2.
Niveles de Servicio
a.
Concepto General
b.
Definiciones
c.
Métricas y Mediciones
Penalidades
30
30
30
31
32
Página | 3
1. Información General
1.1. Antecedentes
FONAFE ha definido como estrategia de mejora de servicios de las empresas la
implementación de un Centro Corporativo de Servicios de Tecnologías de
Información y Comunicaciones (CSC – TIC).
Uno de los proyectos que conforma la estrategia del CSC – TIC es la
implementación del servicio de centro de datos corporativo, el cual será concursado
para su implementación, el cual consiste en la centralización de los siguientes
servicios:
-
Servicio de infraestructura,
Servicio de comunicaciones,
Servicio de procesamiento,
Servicio de almacenamiento,
Servicio de directorio activo y DNS,
Servicio de acceso a internet,
Servicio de correo electrónico,
Servicio de chat corporativo,
Servicio de administración de aplicaciones y bases de datos
Servicio de acceso remoto.
El centro de datos corporativo será implementado para 11 empresas de la
corporación las cuales son:
-
Corpac S.A,
Electrocentro,
Electro Noroeste,
Electro Norte,
Hidrandina,
Electroperú S.A,
Enapu S.A,
Fonafe,
Fondo Mi Vivienda S.A,
Serpost S.A.
1.2. Gobierno Corporativo TI
Ante la estrategia del inicio del CSC – TIC con la implementación del servicio de
centro de datos corporativo se debe asegurar que la transición a dicho servicio se
realice cumpliendo las especificaciones de los términos de referencia, asimismo
elaborar un modelo de gobierno que permita gestionar de forma adecuada el servicio
de centro de datos corporativo y posteriores servicios que formen parte del CSC TIC.
Este aseguramiento corresponde al concepto de Gobierno Corporativo de TI, y
establece como definición de alto nivel, que FONAFE debe tener la capacidad de
dirigir y controlar la función operacional, cotidiana, de la empresa privada que se
adjudique el proyecto del Centro Corporativo de Servicios, para dar ese
aseguramiento.
Siguiendo los mismos principios para realizar la licitación del Centro Corporativo de
Servicios y ante la necesidad de agilizar la entrega de servicios, FONAFE requiere
contratar los servicios de Gobierno Corporativo TI, para establecer el Modelo de
Página | 4
Operación de Gobierno TI, basado en procesos y prácticas basados en el marco de
referencia ITIL principalmente, y con dicho modelo realizar el aseguramiento de los
servicios que entregue el Centro Corporativo de Servicios.
1.3. Objetivo y Alcance General del Servicio
Objetivo General
Crear un Modelo de Procesos de Gobierno TI, para el Centro de Servicios
Compartidos de Tecnología de la Información y Comunicaciones (CSC – TIC),
específicamente para el servicio de centro de datos corporativo, basado en las
mejores prácticas de la industria, que establezca la capacidad de FONAFE de:
-
Dirigir y controlar la operación con el proveedor del CSC - TIC, asegurando que
este sostiene y extiende los objetivos considerando la realización efectiva de
proyectos, la entrega servicios de alta calidad, la gestión de riesgos y
optimización de recursos.
-
Asegurar la correcta transición de los servicios de las empresas al servicio de
centro de datos corporativo, realizando actividades de supervisión y
acompañamiento.
Alcance del Proyecto
a. Modelo de Procesos de Gobierno Corporativo TI
Consiste en definición, acuerdo, preparación y establecimiento inicial de los
procesos, políticas, procedimientos y lineamientos, para garantizar la capacidad
de FONAFE para supervisar, controlar y dirigir la función del proveedor
adjudicado del servicio de centro de datos corporativo, para que sostenga y
extienda la entrega de los servicios contratados. El alcance macro del servicio es
el siguiente:
• Definir el modelo global de gobierno de TI de FONAFE, determinando que
procesos son necesarios.
• Definir los modelos de procesos de gobierno para la entrega de Servicios,
basados en las mejores prácticas de la industria:
•
•
•
•
•
ITIL v2 o v3
ISO 20000
ISO/IEC 27001
CMMI
PMBOK
• Verificar que el proveedor del servicio de centro de datos corporativo realiza
sus actividades de acuerdo a
estándares para los servicios y sus
componentes de tecnología de información y comunicaciones.
• Elaborar las políticas, procedimientos y controles de gobierno y gestión TIC,
en materia de servicios y seguridad.
• Establecer el marco de gestión de riesgos y seguridad de la información, para
los servicios y proyectos TI, de forma que sean conocidos y administrados.
• Asegurar el establecimiento y seguimiento de Acuerdos de Niveles de Servicio
del centro de datos corporativo
Página | 5
b. Acompañamiento en la transición al servicio de Centro de Datos
Corporativo.
Consiste en realizar las actividades necesarias para que asegurar que la
transición del servicio se realice de acuerdo a las especificaciones de los
términos de referencia del servicio de centro de datos corporativo. El alcance
macro del servicio es el siguiente:
• Gestión del proyecto (transición al servicio de centro de datos) en el cual se
debe asegurar la realización de las actividades programadas por parte del
proveedor, FONAFE y sus empresas, así como realizar reportes del avance
del proyecto de transición.
• Validación y pruebas del servicio, en el cual se define el modelo de pruebas,
se valida el diseño del servicio, se realizan las pruebas en los componentes de
los servicios.
• Gestión del cambio, debiendo por lo menos asegurar que los cambios siguen
un flujo que permita su clasificación, evaluación y programación.
• Gestión de la configuración y activos, el cual permita a FONAFE y sus
empresas un mapa de los elementos de configuración del servicio.
• Asegurar que todo el conocimiento generado sea depositado en la base de
conocimiento que se defina.
1.4. Lineamientos Generales del Servicio
-
Duración del contrato
:
Doce (12) meses calendario.
-
Forma de pago
:
Pago mensual en cuotas iguales.
-
Cronograma
:
FASE
1
2
3
4
5
Mes
6 7
8
9
10 11 12
Diseño
Implantación
Mejora continua
La etapa de diseño del presente servicio se debe ejecutar al mismo tiempo que la
etapa de planificación del servicio de centro de datos.
La etapa de implementación corresponde al aseguramiento de la transición de las
empresas al servicio de centro de datos y al aseguramiento del cumplimiento los
niveles de servicio ofrecidos por el proveedor del servicio de centro de datos.
1.5. Confidencialidad
Toda la información que se genere durante la ejecución del servicio debe ser
considerada como confidencial. El proveedor que recibe la información debe tomar
las medidas necesarias para que la información proporcionada tanto por FONAFE,
sus empresas y el proveedor de centro de datos sea accedida sólo por partes
autorizadas.
Página | 6
2. Servicio de modelo de procesos de gobierno
corporativo de TI
2.1. Contexto general
El Servicio de Modelo de Procesos de Operación de Gobierno Corporativo de TI del
servicio de centro de datos corporativo está conformado por un conjunto de servicios
de gestión de servicios y seguridad, que se pueden resumir en el siguiente modelo:
Figura 1. Modelo de Servicios de Gobierno Corporativo TIC del servicio de centro de
datos corporativo
Como se puede apreciar en la figura 1 y para mejor entendimiento, los servicios de
gobierno corporativo de tecnología de información y comunicaciones van a ser
divididos de la siguiente manera:
1. Servicio de Gobierno de Gestión de Servicios,
2. Servicio de Gobierno de Gestión de Seguridad de la Información
Se destaca también la figura del Cuerpo de Gobierno de Servicios. El Cuerpo de
Gobierno de Servicios lo preside y regula íntegramente FONAFE.
2.2. Cuerpo de gobierno de servicios
El Cuerpo de Gobierno de Servicios, será el único responsable, en la perspectiva de
“accountability”, para asegurar el cumplimiento del Modelo de Operación de
Procesos de Gobierno de TI. Este cuerpo debe estar integrado por FONAFE y por
los representantes de las 11 empresas que se requieran para acordar y gestionar:
1. Los requerimientos de cumplimiento normativo, en el ámbito de las Leyes y
reglamentaciones vigentes.
Página | 7
2. La aceptación y en su caso modificación de los procesos del Modelo de
Operación, para instruir al proveedor del servicio de centro de datos corporativo,
para realizar los cambios necesarios.
3. La agenda general y particular de revisión de indicadores y métricas, del
desempeño de los procesos de Gobierno Corporativo de TI.
4. La operación de la administración del Marco de Operación de Procesos de
Gobierno Corporativo de TI, incluyendo el sistema de comunicación y el uso de
las capacidades de los proveedores para reportar el desempeño de los servicios.
2.3. Servicio de Proceso de Gobierno de gestión de servicios.
a. Alcance
El proveedor debe diseñar un modelo de gobierno de TI el cual permita, gestionar
los riesgos, capacidad, catalogo de servicios, niveles de servicio, base de
conocimiento, mejora continua, cumplimiento, implementación y proyectos que
brinda el servicio de centro de datos corporativo.
b. Diseño el servicio
Para el diseño del modelo de gobierno TI, el proveedor debe tomar en
consideración como mínimo los siguientes modelos rectores:
Dominio
Modelos Rectores
Notas
Gobierno de TI
COBIT®
COBIT® es una marca registrada del IT
Governance
Institute
(www.itgi.org)
Val IT®
Val IT® es una marca registrada del IT
Governance Institute (www.itgi.org)
ITIL®
ITIL® es una marca registrada ante el
Office of Government Commerce. (UK)
(www.itil.co.uk)
CMMI-SVC®
CMM® and CMMI® son marcas
registradas ante el U.S. Patent and
Trademark Office por Carnegie Mellon
University. (www.sei.cmu.edu/cmmi/)
Project
Management
Body
of
Knowledge
(PMBoK®) Guide
PMBoK® es una marca registrada del
Project Management Institute
Procesos
Proyectos
© 2008 Project Management Institute
(www.pmi.org)
The
Standard
for
Portafolio Management ©
Servicios
y
ITIL®
CMM®
and
CMMI®
son
marcas
Página | 8
Proveedores
CMMI-SVC®
Seguridad
ISO 27001®
registradas ante el U.S. Patent and
Trademark Office por Carnegie Mellon
University. (www.sei.cmu.edu/cmmi/)
ISO 27001® es un estándar de la
International
Organization
for
Standardization.
(www.iso.org)
c. Características de los componentes del servicio
Se propone que la implementación del servicio se realice en las siguientes tres
fases:
• Diseño
• Implementación
• Mejora continua
Diseño Modelo de Gobierno de TI
Las actividades que debe realizar el proveedor en esta fase son:
Elaborar el modelo de procesos del Gobierno de TI, el cual debe contener
políticas, lineamientos, procesos, reportes mínimos de operación para el
servicio alineados al modelo de procesos de gobierno establecido “Reporte
Integral de Rendimiento”, que permiten hacer efectivo el gobierno del servicio
de centro de datos corporativo.
El proveedor de Gobierno solicita al representante de Fonafe las reuniones del
Cuerpo de Gobierno, durante la transición del Servicio.
Documentar y comunicar a todos los interesados los acuerdos que se tomen
en el Cuerpo de Gobierno.
Capacitar al personal que tendrá directo contacto con el modelo de Gobierno
de TI en los siguientes cursos:
• Gestión de servicios: pudiendo ser este: Service Operation Lifecycle,
Service Transition Lifecycle, OSA, SOA o R&CV, los cuales son cursos
intermedios de ITIL, mínimo de 24 horas, 15 participantes.
• Gobierno de TI (Curso de preparación para examen CGEIT ó curso
avanzado en gobierno de servicios de TI), mínimo 24 horas, 15
participantes.
• Gestión del cambio organizacional, mínimo 16 horas, 15 participantes.
El contenido del curso de gestión de cambio será coordinado con FONAFE.
Los siguientes son los entregables de esta fase:
Políticas y lineamientos para la operación del Cuerpo de Gobierno.
Modelo de Procesos de Gobierno Corporativo de TI, incluyendo los controles
(KPI y KGI) requeridos para realizar el gobierno corporativo de Servicios, se
debe considerar como mínimo los siguientes procesos:
-
Gestión del catalogo de servicios, como mínimo debe incluir:
El proceso para incluir/retirar servicios del catalogo de servicios.
-
Gestión de la capacidad, como mínimo debe incluir:
Página | 9
El proceso para asegurar que las demandas de servicio y/o su
capacidad asociada, por cada empresa, en sus variantes en el tiempo,
dentro del centro de datos corporativo, sean oportunamente registrados
y evaluados y gestionados, para prevenir riesgos en la entrega de
servicios por falta de capacidad.
El proceso para asegurar que los cambios en la capacidad y
disponibilidad de los servicios entregados por el centro de datos
corporativo, se apega al proceso de Gestión de Cambios definido.
-
Gestión de los niveles de servicio, como mínimo debe incluir:
El proceso para asegurar que todos los servicios del Catálogo de
Servicios cuentan con Acuerdos de Niveles de Servicio (SLA) y que se
han establecido los Acuerdos Operacionales de Servicio (OLA)
aprobados por el Cuerpo de Gobierno y los grupos involucrados.
El proceso para asegurar que todos los Acuerdos de Niveles de
Servicios (SLA) y los Acuerdos Operacionales de Servicio (OLA)
cumplen con los requisitos que se establezcan en el Marco de
Gobierno y den respuesta a los requerimientos del servicio.
El proceso para asegurar que se cuenta con las mediciones de
Indicadores clave de rendimiento (KPI) y reportes de rendimiento para
evaluar los niveles de servicio.
El proceso para reportar al Cuerpo de Gobierno el rendimiento y
tendencias de los Niveles de Servicio alcanzados.
Los atributos de los Niveles de Servicios para los que deberá
especificarse metas dentro de la realización del servicio de centro de
datos corporativo
Los controles para auditar las prácticas y procedimientos de medición
de los niveles de servicio y los procedimientos para cálculo de importes
en facturas del proveedor del servicio de centro de datos corporativo.
-
Gestión de riesgos, como mínimo debe incluir:
El marco de administración de los riesgos asociados a los servicios,
proyectos, procesos y proveedores, mediante la elaboración de
procedimientos para la identificación, análisis y respuesta a los riesgos.
Los procedimientos deben asegurar que sea un proceso formal,
continuo e iterativo, en
los que los factores de riesgo sean
identificados, evaluados y controlados sistemáticamente.
-
Gestión de cumplimiento, como mínimo debe incluir
El proceso para verificar y asegurar que los servicios se encuentran
alineadas y cumplen con las políticas, lineamientos, directivas y
normatividad vigente.
-
Gestión del cambio, como mínimo debe incluir:
El proceso que permita clasificar, evaluar e implementar los cambios en
los servicios del centro de datos corporativo.
-
Gestión de la base de conocimiento, como mínimo debe contemplar:
El proceso para asegurar que se realizan los registros necesarios y
suficientes, con la calidad necesaria, en la Base de Datos de
Conocimiento.
Los requerimientos de la estructura de la case de datos de
conocimiento, particularmente lo relacionado con la CMDB donde se
registrarán los activos del proyecto del centro de datos corporativo y el
propio del Modelo de Operación de Procesos de Gobierno de TI.
-
Gestión de proyectos
Página | 10
-
Artefactos propios de la ejecución de gestión de proyectos
Gestión de la mejora continua, como mínimo debe incluir:
El esquema de mejoras progresivas en los niveles de servicio para el
proveedor del servicio centro de datos corporativo.
El esquema de mejoras progresivas del modelo de Gobierno de TI.
Procedimiento para asegurar que el plan de mejora se realice y que las
acciones tomadas hayan sido efectivas.
Modelo de madurez del modelo de gobierno de TI, el cual permita medir de
forma objetiva por proceso la mejor continua del modelo de gobierno de TI.
Roles del modelo de gobierno corporativo TI, y especificar sus
responsabilidades mediante una matriz de responsabilidad (RACI).
Estimación de recursos (infraestructura, hardware, software, personal,
servicios, etc.) para habilitar los procesos de gobierno corporativo de TI.
Especificación de los perfiles de recursos humanos requeridos para la
operación cotidiana del modelo de gobierno corporativo TI.
Sistema de comunicación del modelo de gobierno corporativo TI, el cual debe
incluir esquemas y medios para asegurar que se cubren los requerimientos de
información de todos los grupos interesados relacionados con el servicio de
gobierno y centro de datos corporativo.
Identificar los elementos del marco de operación de procesos gobierno
corporativo TI que regulará la operación de los servicios del centro de datos
corporativo.
Modelo de la identificación de los patrones de actividad del negocio (PBA).
Modelo de reportes de rendimiento que consideren en forma integral el estado
de los servicios, procesos, proyectos y contratos.
Plan de transferencia del gobierno del servicio de centro de datos corporativo.
Plan de desarrollo del modelo de gobierno de corporativo de TI.
Implementación del Modelo de Gobierno TI
Dentro de esta fase se deben realizar las siguientes actividades:
Gestión del Marco de Gobierno
Integrar y comunicar a los interesados los elementos del marco de operación
de procesos de gobierno, incluyendo los lineamientos, políticas, procesos y
contratos.
Asegurar que los cambios al marco de gobierno son evaluados y autorizados
de acuerdo al procedimiento formal en el que participan todos los grupos de
interesados. Incluye la elaboración del procedimiento de control de cambios.
Comunicar los cambios y modificaciones al marco de gobierno a todos los
Interesados.
Realización de verificación de procesos de gestión de TI, basados en ITIL v2 o
v3 del proveedor adjudicado del centro de datos corporativo.
Gestión del Sistema de Comunicación
Distribuir la información de acuerdo al medio y periodicidad establecida,
durante la fase de implementación del modelo.
Gestión de Riesgos
Realizar la identificación, análisis y respuesta a los riesgos que se presenten
en la gestión y operación del modelo de gobierno de TI.
Reporte Integral del Rendimiento
Página | 11
Integrar y distribuir reportes de rendimiento que consideren en forma integral el
estado de los servicios, procesos, proyectos y contratos.
Asegurar que se diseñen los mecanismos para desarrollar la capacidad de
medición y análisis que permita conocer el rendimiento de los servicios,
procesos, proyectos y contratos.
Gestión del Catálogo de Servicios
Asegurar que se define, acuerda y mantiene el catálogo de servicios con
información precisa y acorde al marco de gobierno.
Validación del catálogo de servicios
Gobierno de los Niveles de Servicio
Realización del proceso de verificación del cumplimiento de los Acuerdos de
Niveles de Servicios (SLA)
Revisión de requisitos de los Acuerdos de Niveles de Servicio (SLA) y
Acuerdos de Nivel Operacional (OLA), con respecto a los Objetivos de Niveles
de Servicio
Revisión y Mejora Continua de Niveles de Servicio
Asegurar que se entienda y establezca una línea base de rendimiento de los
servicios para poder sustentar al proceso de mejora continua de acuerdo al
marco de gobierno.
Efectuar al menos dos revisiones de los niveles de servicio con el propósito de
determinar oportunidades de mejora, analizar desviaciones y en su caso
determinar las acciones correctivas y preventivas a ser integradas al plan de
mejora continua. Definir la base de conocimiento, e integrar las lecciones
aprendidas a la base de conocimiento de los servicios del contrato.
Auditoría a los Procedimientos de Niveles de Servicio
Realizar auditorías mensuales para determinar la validez de los niveles de
servicio reportados por el proveedor de centro de datos.
Realizar una auditoría inicial que permita determinar el nivel madurez de
gobierno inicial utilizando el método SCAMPI.
Realizar una auditoría al culminar el servicio que permita determinar el nivel de
madurez del modelo de gobierno TI corporativo.
Gestión de la capacidad
Asegurar que las actividades se realizan de acuerdo a los procedimientos
establecidos se definen, acuerdan y mantienen actividades que, de acuerdo
con los Patrones de Actividad del Negocio (PBA) y la revisión cotidiana del
consumo de servicios y gestión de fallas, se realicen los ajustes en la
capacidad del centro de datos corporativo.
Asegurar que se define, acuerda y mantiene el plan de capacidad general del
centro de datos corporativo y para cada empresa, con información precisa y
acorde al marco de gobierno.
Realizar las sesiones de dirección y control sobre las capacidades y
realización de los servicios de centro de datos corporativo
Gobierno de los Patrones de Actividad del Negocio
-
Realizar continuo seguimiento y actualizar de los patrones de actividad del
negocio con la finalidad de definir planes de actualización de los servicios
Gobierno de la Base de Datos de Conocimiento
Página | 12
Asegurar que se definen, acuerdan y mantienen las actividades, controles,
roles y responsabilidades para el mantenimiento de la base de datos de
conocimiento.
Asegurar que FONAFE cuenta con la titularidad de la base de datos de
conocimiento.
Transferencia de la Gestión.
Asegurar la transferencia de las capacidades a FONAFE o a quien designe.
Elaborar un plan detallado de crecimiento del modelo de gobierno, el cual
debe ser el roadmap a seguir en la implementación de los siguientes procesos
a considerar dentro del modelo de gobierno TI. Este plan debe ser especifico
en términos de secuencia de procesos a implementar, el tiempo y el costo que
puede implicar implementar cada uno de ellos y
Elaborar un plan detallado de acción para la consolidación e implementación
del modelo en las demás empresas bajo el ámbito de FONAFE.
Los entregables mínimos de esta fase son:
Informe de cumplimiento de niveles de servicio (mensual)
Informe de auditoría a los niveles de servicio (mensual)
Informe de auditoría a las evaluaciones de capacidad (mensual).
Informe de consistencia e integridad de los datos de Monitoreo (mensual)
Informe de Integridad de los datos de las verificaciones de control y
reconciliación acordados (mensual)
Reportes de Gobernabilidad entregados y validados (mensual)
Informe de efectividad de la habilitación de las actividades de Gobernabilidad
(mensual).
Mejora Continua
Se identificarán, propondrán y programarán mejoras al sistema de gestión dentro
del marco de gobierno corporativo de TI.
En esta fase se usan de forma consistente los indicadores y se evalúa el
desempeño de los niveles de servicio.
Los entregables mínimos para esta fase son:
Plan de mejora de niveles de servicio
Objetivos de Niveles de Servicio
Plan de Evaluación de Procesos
Proceso de Mejora Continua
2.4. Servicios de procesos de gobierno de gestión de
seguridad
a. Alcance
Establecer la estructura del cuerpo de gobierno orientado a la seguridad de la
información.
Definir las políticas y lineamientos para la operación del cuerpo de gobierno,
que deberá de administrar los riesgos con respecto a los servicios y procesos.
Definir las políticas y lineamientos de seguridad del marco de gobierno.
Establecer el diseño y documentación para la operación de los procesos de
gestión de seguridad, del cuerpo de gobierno conforme a las políticas y
lineamientos establecidos.
Página | 13
Establecer los mecanismos de comunicación y control que faciliten la dirección
y toma oportuna de decisiones del cuerpo de gobierno para la gestión de
riesgos.
Definir lineamientos para la recuperación de desastres.
b. Diseño del servicio
c. Características y componentes del servicio
El servicio se llevará a cabo en 3 fases:
• Diseño
• Implantación
• Mejora continua
Diseño:
Definir un sistema de gestión que defina y documente los controles de seguridad
requeridos para asegurar la información sensible y crítica manejada dentro el
ámbito del alcance del proyecto. Estos controles de seguridad se implementan a
través de la documentación de políticas y estándares de seguridad.
Los entregables mínimos requeridos en esta fase son:
• Alcance del Sistema de Gestión de Seguridad de la Información.
• Inventario de activos inmersos en el alcance del servicio de centro de datos
corporativo
• Metodología de Análisis de riesgos.
• Proceso y formatos para la Sentencia de Aplicabilidad (SOA)
• Metodología para el plan integral de mitigación de riesgos.
• Definición de roles y responsabilidades.
• Procedimiento de auditorías internas.
• Formato de minuta para las reuniones de revisiones gerenciales
• Procedimiento de acciones correctivas y preventivas.
• Políticas y/o estándares de seguridad a alto nivel para la adecuada protección
de la información residente en el ambiente físico, infraestructura tecnológica y
procesos incluidos dentro del alcance del proyecto. Las políticas consideradas
son:
• Política del Sistema de Gestión de Seguridad de la Información
• Organización de la Seguridad
• Administración de activos
• Seguridad en los recursos humanos
• Seguridad Física
• Administración de las operaciones y comunicaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas
• Administración de incidentes
• Cumplimiento
• Lineamientos mínimos para la recuperación de desastres
• Procedimientos para la formulación del DRP
• Esquema mínimo del DRP
• Taller para la trasferencia del conocimiento.
Implementación
Página | 14
En esta fase se requiere la ejecución de ejercicios de análisis de riesgos,
implantación del sistema, publicación de políticas e identificación de controles.
Administrar los riesgos asociados a los servicios, proyectos, procesos y
proveedores, mediante la identificación, análisis y respuesta a los riesgos. Se
requiere la definición del proceso formal, continuo e iterativo, en los que los
factores de riesgo son identificados, evaluados y controlados sistemáticamente.
Las actividades se realizarán en forma de acompañamiento al cuerpo de gobierno
que realizará las actividades propias de la fase.
Los entregables mínimos de esta fase son:
- Informes de estado detallado de riesgos, con las respectivas propuesta de
acciones de mitigación, control o transferencia (mensual)
Mejora Continua
Se identificarán, propondrán y programarán mejoras al sistema de gestión dentro
del marco de gobierno corporativo de TI, de acuerdo a las métricas definidas.
Se integrarán las lecciones aprendidas a la base de conocimiento de los servicios
desde el punto de vista de seguridad, cuando estas existan.
Las actividades se realizarán en forma de acompañamiento al cuerpo de gobierno
que realizará las actividades propias de la fase.
2.5. Responsabilidades del proveedor de modelo de procesos
de operación de gobierno de TI
Para todos los servicios, las siguientes actividades son responsabilidad del
proveedor del modelo de procesos de operación de gobierno de TI.
Especificar los controles de dirección y control aplicables a los servicios del
centro de datos corporativo, en materia de gestión de servicios y seguridad.
Especificar los procesos de gobierno corporativo de TI, necesarios para asegurar
que el proveedor del centro de datos corporativo cumple con los requisitos y
condiciones expuestas en los términos de referencia del servicio de centro de
datos corporativo.
Establecer, fomentar y mantener la relación entre FONAFE, el proveedor del
servicio de centro de datos corporativo y el propio proveedor del modelo de
procesos de operación de gobierno corporativo de TI.
Comunicar el modelo de procesos de operación de gobierno corporativo de TI, a
FONAFE, el proveedor del servicio de centro de datos y a los representantes de
las empresas.
Definir el marco de gobierno de seguridad conforme a las mejores prácticas
establecidas en el ISO /IEC 27001.
Acompañar al cuerpo de gobierno corporativo de TI de FONAFE asegurando la
transferencia de conocimiento.
Realizar las tareas de planeación, registro, comprobación y alineación, según el
modelo de gobierno corporativo de TI.
Página | 15
2.6. Responsabilidades del proveedor del servicio de centro de
datos corporativo
Para todos los servicios, las siguientes actividades son responsabilidad del
proveedor de los servicios del centro de datos corporativo.
Asignar al gestor de proyecto, que colaborará con los gestores de gobierno del
modelo de gobierno corporativo, para que acuerde las actividades de
aseguramiento dentro de los proyectos y la entrega cotidiana de los servicios del
centro de datos corporativo.
Entender y acordar las políticas y lineamientos operacionales, relacionadas con la
dirección y control de los servicios del centro de datos corporativo, en el ámbito
del modelo de procesos de gobierno corporativo de TI.
Facilitar el acceso al personal del FONAFE y al proveedor del modelo de
operación de procesos de gobierno corporativo de TI, a las instalaciones del
centro de datos corporativo.
Entregar las evidencias a los representantes que el Cuerpo de Gobierno desgine,
documentos de proceso y registros acordados como parte de la operación de
gobierno corporativo de TI.
Una vez definido el modelo de operación de gobierno corporativo de TI,
considerar las actividades de aseguramiento, dirección y control que se definan.
2.7. Responsabilidades de FONAFE
Para todos los servicios, las siguientes actividades son responsabilidad del
FONAFE:
Revisar, evaluar la conformidad y enviar observaciones de los informes
mensuales dentro de los 15 primeros días calendario después de recibido los
informes. En caso no hubiera respuesta se considera que no hay observaciones
al servicio.
Aprobar las políticas, lineamientos, procedimientos y cualquier otro instrumento
necesario para la implementación del modelo de gobierno corporativo de TI, del
centro de datos corporativo.
Ejecutar las actividades de gobierno corporativo de TI.
Mantener y mejorar el sistema de gestión dentro del gobierno corporativo de TI.
2.8. Responsabilidades de las empresas de FONAFE
Sugerir mecanismos de comunicación durante la operación del modelo de
gobierno corporativo de TI directamente al cuerpo de Gobierno
Planificar los requisitos de aseguramiento de calidad y seguridad conjuntamente
con FONAFE
Evaluar y acordar los procesos, políticas y lineamientos del modelo de gobierno
corporativo de TI
Página | 16
3. Servicio
de
acompañamiento
en
la
transición al servicio de Centro de Datos
Corporativo
3.1. Alcance
Realizar labores de acompañamiento de proyecto para lograr la implementación del
servicio de centro de datos corporativo.
3.2. Diseño del servicio
El servicio se debe encontrar diseñado de acuerdo a una metodología de gestión de
proyectos basada en el PMBOK 2008.
3.3. Características y componentes del servicio
Actividades
Establecer los mecanismos para asegurar que el servicio de centro de datos
corporativo sea implementado dentro de los recursos y tiempo requeridos.
Realizar el seguimiento y control de las actividades del proveedor para asegurar
el correcto avance de las actividades de implementación del servicio de centro de
datos corporativo durante la fase de transición ( primer año).
Recomendar medidas para lograr el cumplimiento de tiempos y recursos en la
implementación del servicio de centro de datos corporativo.
Entregables
Informe ejecutivo con principales hitos de avance de proyecto e información
relevante de avance (mensual).
Informe de avance del proyecto basado en el valor ganado (EV) (mensual) sólo a
nivel presupuesto y avance en cronograma.
Informe de riesgos del proyecto (mensual).
Informe de acciones correctivas (mensual).
3.4. Responsabilidad de FONAFE
Proporcionar la información disponible al proveedor para que realice el seguimiento
y control de la implementación del servicio de centro de datos corporativo.
3.5. Responsabilidad de las empresas de FONAFE
Proporcionar la información disponible al proveedor para que realice el seguimiento
y control de la implementación del servicio de centro de datos corporativo.
Página | 17
4. Organización del Servicio
4.1. Organización General
Dirigir,
Controlar
Con la finalidad de dinamizar la estructura organizacional de FONAFE, se crearán
roles de Director y Gerente de proyecto como interlocutores con el proveedor de
servicios. En esta sección se describe la organización, metodología y
procedimientos requeridos por FONAFE y sus empresas para la administración del
servicio de centro de datos corporativo. El organigrama a continuación presenta los
roles organizacionales a fin de que el proveedor estructure una organización que se
encuentre alineada para el desarrollo de las diferentes fases en transición y
operación del servicio.
Estructura Mínima del Proveedor de Gobierno y Calidad de servicios del Centro de Datos
Página | 18
Las frecuencias mínimas de reuniones por niveles serán:
Nivel Estratégico. Reuniones Mensuales.
Nivel Táctico. Reuniones Quincenales.
Nivel Operacional. Reuniones Semanales.
En cada nivel se esperan tener reuniones periódicas para revisar los avances del
proyecto, los cambios mayores, mejoras en el servicio o cualquier tema conveniente
para garantizar el buen desenvolvimiento del servicio.
4.2. Organización para el Servicio
a. Gerencia del Proyecto
La administración de cualquier proyecto requiere buenas herramientas para
planear, asignar personal administrativo, calcular, hacer seguimiento e informar el
avance. Debe combinar herramientas y técnicas que le permitirán al gerente de
proyecto emitir informes oportunos, estar en capacidad de identificar potenciales
áreas problemáticas y, por lo tanto, tomar las acciones correctivas para cumplir
con el trabajo según lo planeado.
El gerente de proyecto elaborará un “Informe de Gestión” mensual, en el cual se
detallan las labores de servicio realizadas y se resaltan los resultados de niveles
de servicio. Incluido con el informe de gestión, el gerente de proyecto completará
un “Acta de Conformidad” para cada tarea finalizada que represente un
entregable tangible o un logro que se definirá durante la implementación del
servicio. El gerente de proyecto de FONAFE utilizará este documento para revisar
el logro o tarea terminada frente a los criterios de terminación que se definirán
durante la fase de diseño del servicio, dándolo por aceptado o haciendo las
observaciones pertinentes para que Proveedores proveedor corrija las
desviaciones respecto de los criterios definidos por ambas partes.
Página | 19
Otra característica importante de la gerencia del proyecto del proveedor es que
permite una buena comunicación y documentación. De cada reunión se elabora
un acta en un formato llamado “Acta de la Reunión” que refleja los asistentes, el
orden del día, los tópicos discutidos, las resoluciones y decisiones tomadas,
elementos de acción (identificando al responsable y la fecha esperada de
resolución) y aspectos críticos de alarma que requieren la atención inmediata de
la gerencia del proyecto y/o de la gerencia ejecutiva. Las actas se distribuyen a
los asistentes y también se almacenan en la biblioteca del proyecto para
referencia futura.
Este proceso es sólo una muestra de la metodología que el proveedor usa para
administrar un proyecto. El proveedor deberá elaborar formatos de control para
documentos de diseño, procedimientos de documentación para aspectos o
solicitud de cambio y otros procesos de control y de informe que les permitirá a
los ejecutivos de proyecto de FONAFE mantenerse informados sobre el avance
del servicio.
De esta manera, la organización y administración del servicio cumplirá con las
siguientes características:
Será formal, permanente durante el primer año y estará dentro de la estructura
administrativa de FONAFE y del proveedor. Asimismo, el flujo de decisiones e
información se hará a través de la organización designada explícitamente por
FONAFE y por el proveedor para la prestación del servicio.
Contará con el apoyo y responsabilidad gerencial directos de las dos partes.
Para esto se designarán, en FONAFE y en el proveedor, ejecutivos de
proyecto como responsables que tienen como objetivo velar por el
cumplimiento del servicio. Dichos ejecutivos de proyecto y sus delegados
tendrán en el proyecto suficiente autoridad y atribución para resolver los
conflictos que puedan poner en riesgo los objetivos, metas o resultados del
servicio.
Será simétrica entre proveedores y FONAFE, de manera que se permita un
ágil entendimiento entre niveles equivalentes y se garantice un esquema
adecuadamente escalado para la solución de problemas.
b. Metodología de Gerencia de Proyectos
La metodología de Gerencia de Proyectos contempla los procesos de planeación
y seguimiento durante toda la vida del proyecto. Su objetivo es proveer al Gerente
de Proyecto con los mecanismos para poder entregar el servicio acordado en el
tiempo acordado y al costo acordado.
Se basa en el concepto de un único punto de contacto entre FONAFE y el
proveedor, para colocar la información a disposición de los niveles aprobados
oportunamente.
La metodología de Gerencia de Proyectos del proveedor debe ejecutarse con
estándares globales y mejores prácticas del mercado internacional.
La metodología debe cubrir los pasos básicos de la administración de un proyecto
de servicios, tales como estimación de esfuerzo, planeación, elaboración del plan
de trabajo, descomposición de componentes de trabajo, definición de
dependencias, seguimiento y estimación del estado actual del proyecto.
Esto se complementa con metodología para manejo de excepciones, manejo de
riesgos y su contención.
Página | 20
c. Roles y Responsabilidades del proveedor
Para el desarrollo del servicio el proveedor designará diferentes recursos,
quienes tendrán las responsabilidades que se detallan a continuación.
Director del Proyecto
Ejecutivo designado como el responsable de más alto nivel del proyecto, que
tiene como misión velar por el cumplimiento del servicio. El Director y sus
delegados tendrán la suficiente autoridad y atribución para resolver los conflictos
que puedan poner en riesgo los objetivos, metas o resultados del servicio.
Gerente de Proyecto
El gerente de proyecto alerta, brinda elementos de negociación y escala a
FONAFE sobre aquellos conflictos que puedan poner en riesgo los objetivos,
metas o resultados del servicio.
El gerente de proyecto deberá participar a tiempo completo durante el diseño y
a tiempo parcial en la etapa de implementación y mejora continua.
Notificar a FONAFE de cualquier falla o problema que afecte la disponibilidad
de los servidores o equipos de comunicación provistos por Proveedores.
Permanecer en continuo contacto con el responsable del proyecto del Centro
de Datos por parte de FONAFE, para definir los posibles cambios o
adecuaciones que se deban realizar en el Centro de Datos por modificación en
las aplicaciones y/o hardware.
Ejecutar las actividades y procedimientos acordados de acuerdo al
cronograma y en coordinación con las partes interesadas.
Mantener al día la documentación de los reportes de riesgos y acciones de
mitigación.
Informar acerca del desempeño de acuerdo a los niveles de servicio
requeridos, mediante reportes mensuales y reuniones periódicas.
Coordinar con el personal de FONAFE los aspectos técnicos relacionados con
la habilitación del Modelo Operacional de Procesos de Gobierno Corporativo
TI.
Administrar el Procedimiento de Control de Cambios.
Elaborar en conjunto con FONAFE el procedimiento de inspección del servicio.
Coordinar los cronogramas de transición con las empresas.
Experto ITIL
Es el encargado de Gestionar el aseguramiento de la operación del Modelo de
Operación, con las siguientes responsabilidades:
Asegurar que la transición de servicios se realice de forma ordenada y con el
menor impacto operativo para las empresas, mediante la validación
Gestionar el aseguramiento de los procesos de gobierno de los servicios,
disponiendo de los recursos necesarios para que se ejecuten de acuerdo a lo
previsto.
Elaborar informes mensuales de recomendaciones de acuerdo a los valores
de indicadores de acuerdo de nivel de servicio alcanzado
Realizar la transición de los servicios hasta su pase en operación.
Página | 21
Asegurar que se han establecido los servicios de hasta los niveles
establecidos en el acuerdo de servicio.
Consultor ITIL Intermedio SOA
Es el encargado de Gestionar los aspectos de los acuerdos sobre la operación
del servicio, con las siguientes responsabilidades:
Gestionar el aseguramiento de las actividades relacionadas con los
Requerimientos de Niveles de Servicio, desde su documentación, hasta su
formalización en Acuerdos de Niveles de Servicio
Gestionar el aseguramiento de los aspectos relacionados con la identificación
de los riesgos asociados con la entrega de los servicios, en particular los
relativos a la capacidad, seguridad, disponibilidad y continuidad.
Establecer el programa de mejora continua, mediante el aseguramiento del
establecimiento de mejoras y metas nuevas sobre los niveles de servicios
entregados.
Asegurar el establecimiento de los mecanismos de gestión de la demanda en
coordinación con el Consultor ITIL Intermedio OSA.
Consultor ITIL Intermedio OSA
Es el encargado de Gestionar los aspectos de la operación del servicio, con las
siguientes responsabilidades:
Gestionar el aseguramiento de las actividades relacionadas con los
procedimientos de resolución de incidentes y problemas
Gestionar el aseguramiento de las actividades relacionadas con la atención de
peticiones de cumplimiento.
Asegurar el establecimiento de los mecanismos de gestión de la demanda en
coordinación con el Consultor ITIL Intermedio SOA.
Líder de Seguridad de la Información
Es el responsable de diseñar y preparar la futura gestión de la seguridad dentro
de los servicios, con las siguientes responsabilidades:
Diseño del marco normativo
Proveer información y participar del proceso de análisis de riesgos
Brindar claridad y transparencia acerca del estado de seguridad de la
información en la empresa
Elaborar informes trimestrales de recomendaciones de acuerdo a las métricas
definidas dentro del sistema de gestión de seguridad de la información
d. Roles y Responsabilidades de FONAFE
FONAFE administrará
responsabilidades:
este
proyecto
teniendo
los
siguientes
roles
y
Director Corporativo del proyecto
Gerente Corporativo de Proyecto
Gerente de Proyecto de cada Empresa
Página | 22
Staff TI de cada Empresa
Adicionalmente, FONAFE definirá las personas que considere necesarias para
cubrir las responsabilidades asignadas.
Director Corporativo del Proyecto
Ejecutivo designado como responsable general de los servicios de tecnología y
comunicaciones de FONAFE. El Ejecutivo y sus delegados tendrán la suficiente
autoridad y atribución como para resolver los conflictos que puedan poner en
riesgo los objetivos, metas o resultados de los servicios.
Gerente Corporativo de Proyecto
Velar por el cumplimiento de los compromisos contractuales.
Mantenerse informado sobre el mantenimiento y actualización del manual de
procedimientos de operación del Centro de Datos.
Mantener comunicación formal con todo el personal que participa en la
prestación del servicio, tanto de FONAFE como del proveedor, tanto a nivel
ejecutivo como a nivel Operativo.
Coordinar la participación de todas las áreas involucradas de FONAFE, en la
totalidad de las actividades relacionadas con la prestación del servicio.
Dirigir y responder por el adecuado desarrollo del Procedimiento para Control
de Cambios al servicio, manteniendo al día la documentación de los cambios.
Dirigir y responder por el adecuado desarrollo del manejo de problemas en el
servicio.
Mantener actualizada la documentación sobre el estado del servicio y el
registro histórico de los eventos desarrollados y sus causales con base en la
información proporcionada por Proveedores proveedor.
Coordinar y facilitar la relación con las áreas de FONAFE y otros proveedores.
Responder a los informes y/o reportes del Gerente de Proyecto o Service
Manager del proveedor en un plazo no mayor a cinco (5) días hábiles.
Resolver los conflictos acerca de los riesgos o incidentes de seguridad que
podrían afectar la confidencialidad, integridad o disponibilidad de la
información.
Gerente de Proyecto de cada Empresa
Es la contraparte del Gerente de Proyecto. Es un rol más operativo y directo
entre las empresas y el proveedor. Aquellos requerimientos que no sean
operativos serán canalizados a través de FONAFE.
Equipo de Operación y Soporte Técnico de cada Empresa (Staff TI)
Cada empresa cuenta actualmente con un equipo de soporte técnico que será
encargado de brindar las facilidades para la transición de los servicios en
operación en sus instalaciones o de terceros. Asimismo, mantendrá constante
interacción durante la operación de los servicios.
4.3. Comités
Para el adecuado desarrollo del proyecto y los servicios, se tienen contemplados dos
(2) niveles de comités, estos son el Comité Ejecutivo y el Comité Operativo.
Página | 23
a. Comité Ejecutivo
El objetivo de este comité es darle al proyecto un control estratégico y buscar la
oportuna toma de decisiones sobre aspectos que lo modifiquen en tiempo,
alcances y costo. Estará conformado como mínimo por: El Director del Precio del
proveedor, el gerente de proyectos del proveedor, el Director Corporativo del
Proyecto de FONAFE, el gerente corporativo del proyecto de FONAFE, el gerente
de proyecto del proveedor del modelo de gobierno del servicio de centro de
datos. Es la instancia superior de decisión. Se reunirá bimestralmente o cuando
sea requerido por el Comité Operativo. Asimismo, este comité podrá contar con la
participación de otros ejecutivos de alto nivel del proveedor a solicitud de
FONAFE.
Responsabilidades:
Obtener información y tomar decisiones estratégicas sobre el proyecto y los
problemas identificados.
Resolver cualquier desacuerdo o controversia entre las partes, relacionados
con la ejecución del proyecto que no haya podido resolverse en instancias
previas.
Velar por el cumplimiento de los acuerdos y Niveles de Servicio del Proyecto.
Ajustar las líneas base de los servicios durante la operación.
Definir y comunicar las directrices en los procesos y estructura.
Aprobar los cambios que impliquen modificación en tiempo, costos, Niveles
de Servicio o alcance del proyecto.
Dirigir la estrategia de comunicación y visibilidad corporativa del proyecto.
b. Comité Operativo
El objetivo de este comité es el de realizar la gestión táctica y de campo en el
proyecto. Deberá estar conformado por el Gerente de Proyecto del proveedor, el
Gerente Corporativo del Proyecto de FONAFE y el gerente de proyecto del
proveedor del modelo de gobierno del servicio de centro de datos. Se reunirá
semanalmente durante la fase de transición y mensualmente durante la fase de
operación del servicio de centro de datos. También se debe considerar que en los
períodos pico del proyecto o cuando lo estimen conveniente, según el estado del
proyecto.
Debe dar solución a inconvenientes presentados durante el desarrollo del
proyecto siempre y cuando estos no afecten el desarrollo del mismo en alcance,
tiempo y costos, así como alertar a los miembros del Comité Ejecutivo sobre
situaciones que excedan su competencia.
Responsabilidades:
Revisar el alcance del proyecto. Decidir las acciones requeridas para el
cumplimiento del Cronograma de Actividades. Determinar prioridades y
acordar el planeamiento detallado para las diferentes actividades. Identificar
los recursos necesarios para terminar las actividades.
Resolver los problemas o alertar a los miembros del Comité Ejecutivo del
Proyecto sobre inconvenientes presentados en el desarrollo y coordinar una
reunión extraordinaria con dicho comité en caso de ser necesario.
Preparar las reuniones periódicas de seguimiento.
Página | 24
Coordinar la aprobación de los objetivos de Niveles de Servicio presentados
por Proveedores proveedor.
Coordinar la aprobación final de los Acuerdos de Niveles de Servicio, según
los criterios definidos en los objetivos de niveles de servicio.
Determinar prioridades y acordar el planeamiento detallado para las diferentes
actividades.
Identificar los recursos necesarios para terminar las actividades
Resolver los conflictos y problemas que se presenten durante la ejecución del
proyecto. En caso de no ser posible, los Gerentes de Proyecto los
comunicarán en la reunión del Comité Ejecutivo, con las recomendaciones del
caso para su solución en este Comité.
Coordinar las aprobaciones por parte de
correspondientes a las Pruebas de Aceptación.
FONAFE
de
las
Actas
4.4. Perfil mínimo del personal proveedor
Experiencia en
Gestión y Gobierno
de TI
Deberá contar con experiencia en la implementación y operación de
funciones y alcances similares a los solicitados en esta licitación, en
particular en el desarrollo y habilitación de Modelos de Operación de
Gobierno TI
Evidencia
Deberá demostrar la experiencia en gobernabilidad con un contrato
firmado dentro del sector gobierno que compruebe la experiencia de
al menos 18 meses realizando trabajos de Servicios de Gestión de la
Calidad de un Modelo de Operación de Gobierno, así como la Gestión
de Procesos.
Experiencia en
Modelo CMMI
La experiencia en el Modelo CMMI es requerida para sustentar la
capacidad de FONAFE en la Gestión del Contrato (CMMI-ACQ) y
evaluación del nivel de madurez del los procesos del Modelo de
Operación de Gobierno TI. Es responsabilidad de FONAFE asegurar
que los procesos de gobierno se realicen de acuerdo a las mejores
prácticas, por lo que para garantizar esta capacidad el proveedor
debe ser una empresa autorizada por el SEI (dueño de los derechos
de autor del CMMI) para poder ofrecer los servicios relacionados con
CMMI y que cuenta con la experiencia necesaria en la definición,
implantación y evaluación de procesos de acuerdo a este marco de
referencia.
Evidencia
1. Demostrar ser una empresa autorizada por el SEI para poder
ofrecer los servicios relacionados con CMMI para esto deberá
presentar una copia de la página actual de Internet del sitio del
SEI donde aparezca dentro del listado como SEI Partner bajo las
siguientes descripciones:
Estar habilitado para ofrecer Productos y Servicios CMMI:
CMMI for Acquisition
CMMI for Services
Introduction to CMMI
Página | 25
SCAMPI Appraisal Services
2. .
Experiencia en
Modelo PMBoK
Esta una capacidad central requerida y por esta razón el licitante
adjudicado deberá contar con experiencia en la implementación de
oficinas de proyectos basadas en las mejores prácticas de
administración de proyectos acorde al PMBOK.
Evidencia
1. Deberá comprobar que durante los últimos 3 años ha realizado
implementaciones de Oficina de Proyectos en por lo menos 2
empresas, al menos dos en sector Gobierno, para esto deberá
presentar copia de contratos firmados que avalen estos servicios.
Experiencia en
Modelo ITIL
La gestión de la demanda, catálogo y los niveles de servicios requiere
que FONAFE, se asegure de que el proveedor tenga experiencia en
la definición e implementación de procesos de gestión de servicios
basados en las mejores prácticas de ITIL; por esta razón el licitante
adjudicado deberá contar con experiencia en la implementación de
ITIL.
Evidencia
1. Deberá comprobar que cuenta con experiencia en la
Implementación de servicios relacionados con el marco de
referencia ITIL, para esto deberá presentar copia de por los
menos 2 cartas de referencia y/o facturas.
Experiencia en
Seguridad
Es objeto de esta licitación el aseguramiento de los servicios y de la
seguridad de la información en la entrega de los mismos, por lo que
FONAFE requiere que el proveedor cuente con experiencia en las
prácticas utilizadas para el cuidado de la información.
Evidencia:
1. El licitante deberá haber realizado por lo menos un
assessment de seguridad de la información y/o riesgos.
4.5. Perfil mínimo del personal requerido
Con el propósito de demostrar que los licitantes cuentan con personal para cubrir este rol
deberán acreditar que cuentan con tantos recursos según los indicados en la
“Tabla de Perfiles” para la realización de este rol y que cumplan con los requisitos de
este perfil que se detalla en la misma tabla.
En la “Tabla de Perfiles”, incluida en este numeral, se detallan los perfiles requeridos
para los distintos roles.
Evidencia de Cumplimiento
Los licitantes deberán acreditar el número de personas que se especifique para cada
uno de los roles listados en la “Tabla de Perfiles” incluida en este numeral.
Para acreditar un recurso el licitante deberá comprobar que el recurso que asignará para
la ejecución de un rol cuenta con las certificaciones y experiencia solicitada para su
Página | 26
perfil. La misma persona no podrá desempeñar más de un rol a menos que
explícitamente se incluya en esta sección una excepción para este requisito.
Las certificaciones son un complemento a la experiencia que se solicita, primero
garantiza que el recurso humano asignado tenga experiencia en las funciones que
desempeñará y segundo que cuente con las certificaciones profesionales que acredite su
conocimiento.
Para validar la experiencia se deberá presentar el curriculum vitae correspondiente a
cada persona, el cual deberá incluir los proyectos que avalen que tienen la experiencia y
conocimientos solicitados. El Currículum deberá desglosar los proyectos en donde
compruebe su experiencia desempeñando el rol al que aplique, considerando:
•
Nombre de la empresa (Dirección, Teléfono)
•
Puesto
•
Nombre y cargo del jefe inmediato o supervisor (Teléfono y correo electrónico).
•
Cliente (si aplica)
•
Nombre del proyecto(s) donde participó
•
Rol en el proyecto
•
Duración del proyecto (fecha de inicio y termino en formato día/mes/año).
•
Breve descripción del proyecto
•
Alcance
•
Actividades realizadas en el mismo
•
Plataforma tecnológica (hardware y software)
•
Metodología utilizada
•
Contacto de referencia (nombre, cargo, teléfono, y correo electrónico).
En el caso de las certificaciones, se debe acreditar presentando la certificación emitida
por la organización que avale estar certificado de acuerdo a lo solicitado y
adicionalmente presentar el registro y/o ID proporcionado por la empresa dueña de los
derechos comerciales y de autor o el procedimiento para su validación con la
organización.
Perfil
Gerente del
Proyecto
Descripción
Principales Actividades:
•
Responsable de la realización de la Gestión del Proyecto y la Gestión
del Contrato
Tipo de Asignación:
La asignación del Gerente del Proyecto deberá ser de tiempo parcial. El licitante
Página | 27
deberá asignar a un recurso para la realización de este rol.
Experiencia:
Este personal deberá tener experiencia mínima de 3 (tres) años proporcionando
servicios como Jefe o Gerente de proyectos y contar con conocimiento en
PMBOK.
Evidencia:
Comprobable mediante copia de certificados de:
•
•
Experto ITIL
Project Management Professional (PMP) emitido por el PMI (Project
Management Institute)
ITIL Foundation Certificate, emitido por la empresa dueña de los
derechos comerciales y de autor; y/o Cobit Foundations, emitido por la
empresa dueña de los derechos comerciales y de autor.
Principales Actividades:
Es el encargado de Gestionar el aseguramiento de la operación del Modelo de
Operación, con las siguientes responsabilidades
Tipo de Asignación:
La asignación del Líder de Proyecto deberá ser de tiempo parcial. El licitante
deberá asignar a un recurso para la realización de este rol.
Experiencia:
Mínimo 3 años en proyectos de TI, en la habilitación de procesos de ITIL
Evidencia:
Comprobable mediante copia de certificados de:
•
•
•
•
Certificado ITIL Experto (ITIL Expert)
SOA (ITIL v3 Intermediate Qualification: Service Offerings and
Agreements Certificate)
OSA (ITIL v3 Intermediate Qualification: Operational Support and
Analysis Certificate )
RCV ( ITIL v3 Intermediate Qualification: Release Control & Validation
Certificate)
Principales Actividades:
Es el encargado de Gestionar los aspectos de los acuerdos sobre la operación
del servicio, con las siguientes responsabilidades
Tipo de Asignación:
Consultor ITIL
La asignación del Consultor ITIL deberá ser de tiempo parcial. El licitante
deberá asignar a un recurso para la realización de este rol.
Experiencia:
Mínimo 3 años en proyectos de TI, en habilitación de procesos de ITIL para una
Mesa, Incidentes y Problemas y Gestión de Niveles de Servicio.
Página | 28
Evidencia:
Comprobable mediante copia de certificados (2 personas) de:
•
•
•
SOA (ITIL v3 Intermediate Qualification: Service Offerings and
Agreements Certificate)
OSA (ITIL v3 Intermediate Qualification: Operational Support and
Analysis Certificate )
RCV ( ITIL v3 Intermediate Qualification: Release Control & Validation
Certificate)
Principales Actividades:
Es el responsable de diseñar y preparar la futura gestión de la seguridad dentro
de los servicios.
Tipo de Asignación:
La asignación del Líder de seguridad deberá ser de tiempo parcial. El licitante
deberá asignar a dos recursos para la realización de este rol.
Experiencia:
Mínimo 3 años en proyectos de TI donde se hayan realizado actividades como:
Líder de
Seguridad
•
Implantación de la norma ISO/IEC 27001
•
Proyectos de implantación de Gobierno en TI
•
Análisis de riesgos
•
Continuidad en el negocio
•
Auditoria sobre sistemas de gestión
Evidencia:
Comprobable mediante copia de certificados (2 personas) de:
• Certificado ISO/IEC 27001 Lead auditor
•
Certificado de conocimientos gerenciales en seguridad Certified
Information Systems Security Professional (CISSP) ó Certified
Information Systems Manager (CISM)
Página | 29
5. Niveles de Servicio
5.1. Niveles de Servicio
a. Concepto General
Para medir la calidad de los servicios, se contempla la utilización del concepto de
Niveles de Servicio como el elemento que permite cuantificar objetivamente la
eficiencia con la que se está prestando el servicio contratado.
El concepto de niveles de servicio está conformado por:
1. Objetivo de Niveles de Servicio (SLO, por sus siglas en inglés)
2. Acuerdo de Niveles de Servicio (SLA, por sus siglas en inglés)
Estos niveles de servicio deben ser orientados al aseguramiento del cumplimiento
de plazos planeados, disponibilidad, eliminación de errores o defectos del servicio
y a la mejora de la satisfacción de los usuarios de los servicios.
Todos los niveles de servicio, variables e indicadores de desempeño enunciados
servirán para la evaluación de desempeño del proveedor, a excepción de
aquellas variables e indicadores denominados informativos, sobre los cuales el
proveedor tendrá la responsabilidad de actualizar, informar y utilizar para su
gestión.
Las variables e indicadores están referidas a determinados periodos de tiempo
(mensual, trimestral, semestral, etc.), sin embargo se debe tener en cuenta que
toda variable e indicadores de desempeño podrán ser consultados en línea en
cualquier momento.
El proveedor prestará los servicios contratados considerando como base los
SLO´s enunciados, en tanto que FONAFE procederá a su verificación y ajuste.
Sin embargo en caso que alguna de las métricas llegase al Valor Mínimo
considerado por FONAFE, el proveedor informará las razones por las cuales no
alcanzaron el cumplimiento de los niveles de servicio requerido y a partir de este
informe se evaluará si corresponde aplicar penalidades.
Los Niveles de Servicio Objetivo (SLO) forman parte del Acuerdo de Nivel de
Servicio (SLA), una vez verificados y validados los supuestos usados para la
generación de estos objetivos, lo cual se realizará de acuerdo a cada lo requerido
para cada servicio.
Durante la prestación de los servicios, los Niveles de Servicios e Indicadores de
Desempeño serán revisados y podrán ser ajustados por FONAFE, en
coordinación con el proveedor.
Se procederá de igual manera cuando se produzcan cambios mayores o
sustanciales en los servicios y/o cuando FONAFE lo crea necesario.
b. Definiciones
Objetivo de Niveles de Servicio (SLO): Establece los diferentes indicadores de
desempeño a utilizarse para medir el servicio prestado durante la vigencia del
Página | 30
contrato. Se denominan “objetivos” porque es el nivel de servicio al que se busca
llegar en la prestación del servicio cuando se estabilice la operación.
Acuerdo de Niveles de Servicio (SLA): Se refiere al conjunto de SLO, términos
y condiciones contractuales que aplican para la verificación del cumplimiento del
contrato.
Valor Objetivo (SLO/SLA): Es el valor de la métrica deseado durante la
operación continua del servicio. Si el valor de la métrica es mayor o igual al valor
establecido, FONAFE considerará que el proveedor está brindando un servicio
con la calidad esperada. Color Verde.
Métricas: Son las variables e indicadores que servirán para la evaluación de
desempeño del proveedor, a excepción de aquellas variables e indicadores
denominados informativos, sobre los cuales el proveedor tendrá la
responsabilidad de actualizar, informar y utilizar para su gestión.
c. Métricas y Mediciones
El Factor Crítico de Éxito (CSF, por sus siglas en inglés) definido para el servicio
es mejorar la Calidad de Servicios TI.
En este sentido se han generado los siguiente Indicadores:
CSF
Mejorar la gestión de los
Servicios TI
KPI
Modelo de gobierno TI implementado
Las métricas definidas para la evaluación del servicio, considerando los valores
de SLO’s son:
KPI
Modelo de
Gobierno TI
Implementado
Servicio
Modelo de
Gobierno de TI
Métrica
Valor
Periodicidad
Número de
auditorías al servicio
de centro de datos
corporativo
acordados
1
mensual
Número de
auditorías a las
evaluaciones sobre
la capacidad usada
conforme a la
demanda.
1
mensual
Grado de
consistencia en la
integridad de datos
proporcionado por el
servicio de centro de
datos corporativo.
> 90% al
Implantar
mensual
>95% Al iniciar
la mejora
continua
Página | 31
Grado de integridad
de las verificaciones
de control y
reconciliación
> 90% al
Implantar
mensual
Número de reportes
de gobernabilidad
1
mensual
Grado de
consistencia en la
realización de las
actividades de
Gobernabilidad
90% de
adherencia a
los procesos de
gobierno de TI.
mensual
95% Al iniciar
la mejora
continua
5.2. Penalidades
Si el proveedor incumple los SLA acordados, FONAFE le aplicará en todos los casos
una penalidad, hasta por un monto máximo equivalente al diez por ciento (10%) del
monto correspondiente al servicio. La penalidad se aplicará automáticamente.
Cuando se llegue a cubrir el monto máximo de la penalidad, FONAFE podrá resolver
el contrato parcial o totalmente por incumplimiento.
Esta penalidad será deducida de los pagos a cuenta, del pago final o en la liquidación
final; o si fuese necesario se cobrará del monto resultante de la ejecución de las
garantías de fiel cumplimiento o por el monto diferencial de la propuesta.
Página | 32
Descargar