Terminos de Referencia Servicio de Modelo de Gobierno Corporativo TI del Servicio de Centro de Datos Corporativo para las Empresas del Estado bajo el ámbito de FONAFE Página | 1 Tabla de Contenidos Tabla de Contenidos 2 1. Información General 4 1.1. 1.2. 1.3. Antecedentes 4 Gobierno Corporativo TI 4 Objetivo y Alcance General del Servicio 5 Objetivo General 5 Alcance del Proyecto 5 1.4. Lineamientos Generales del Servicio 6 La etapa de diseño del presente servicio se debe ejecutar al mismo tiempo con la etapa de planificación del servicio de centro de datos. 6 1.5. Confidencialidad 6 2. Servicio de modelo de procesos de gobierno corporativo de TI 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 7 Contexto general 7 Cuerpo de gobierno de servicios 7 Servicio de Proceso de Gobierno de gestión de servicios. 8 a. Alcance 8 b. Diseño el servicio 8 c. Características de los componentes del servicio 9 Servicios de procesos de gobierno de gestión de seguridad 13 a. Alcance 13 b. Diseño del servicio 14 c. Características y componentes del servicio 14 Responsabilidades del proveedor de modelo de procesos de operación de gobierno de TI 15 Responsabilidades del proveedor del servicio de centro de datos corporativo 16 Responsabilidades de FONAFE 16 Responsabilidades de las empresas de FONAFE 16 3. Servicio de acompañamiento en la transición al servicio de Centro de Datos Corporativo 17 3.1. 3.2. 3.3. 3.4. 3.5. Alcance Diseño del servicio Características y componentes del servicio Responsabilidad de FONAFE Responsabilidad de las empresas de FONAFE 4. Organización del Servicio 4.1. 4.2. a. b. c. d. 4.3. a. b. 4.4. 4.5. Organización General Organización para el Servicio Gerencia del Proyecto Metodología de Gerencia de Proyectos Roles y Responsabilidades del proveedor Roles y Responsabilidades de FONAFE Comités Comité Ejecutivo Comité Operativo Perfil mínimo del personal proveedor Perfil mínimo del personal requerido 5. Niveles de Servicio 17 17 17 17 17 18 18 19 19 20 21 22 23 24 24 25 26 30 Página | 2 5.1. 5.2. Niveles de Servicio a. Concepto General b. Definiciones c. Métricas y Mediciones Penalidades 30 30 30 31 32 Página | 3 1. Información General 1.1. Antecedentes FONAFE ha definido como estrategia de mejora de servicios de las empresas la implementación de un Centro Corporativo de Servicios de Tecnologías de Información y Comunicaciones (CSC – TIC). Uno de los proyectos que conforma la estrategia del CSC – TIC es la implementación del servicio de centro de datos corporativo, el cual será concursado para su implementación, el cual consiste en la centralización de los siguientes servicios: - Servicio de infraestructura, Servicio de comunicaciones, Servicio de procesamiento, Servicio de almacenamiento, Servicio de directorio activo y DNS, Servicio de acceso a internet, Servicio de correo electrónico, Servicio de chat corporativo, Servicio de administración de aplicaciones y bases de datos Servicio de acceso remoto. El centro de datos corporativo será implementado para 11 empresas de la corporación las cuales son: - Corpac S.A, Electrocentro, Electro Noroeste, Electro Norte, Hidrandina, Electroperú S.A, Enapu S.A, Fonafe, Fondo Mi Vivienda S.A, Serpost S.A. 1.2. Gobierno Corporativo TI Ante la estrategia del inicio del CSC – TIC con la implementación del servicio de centro de datos corporativo se debe asegurar que la transición a dicho servicio se realice cumpliendo las especificaciones de los términos de referencia, asimismo elaborar un modelo de gobierno que permita gestionar de forma adecuada el servicio de centro de datos corporativo y posteriores servicios que formen parte del CSC TIC. Este aseguramiento corresponde al concepto de Gobierno Corporativo de TI, y establece como definición de alto nivel, que FONAFE debe tener la capacidad de dirigir y controlar la función operacional, cotidiana, de la empresa privada que se adjudique el proyecto del Centro Corporativo de Servicios, para dar ese aseguramiento. Siguiendo los mismos principios para realizar la licitación del Centro Corporativo de Servicios y ante la necesidad de agilizar la entrega de servicios, FONAFE requiere contratar los servicios de Gobierno Corporativo TI, para establecer el Modelo de Página | 4 Operación de Gobierno TI, basado en procesos y prácticas basados en el marco de referencia ITIL principalmente, y con dicho modelo realizar el aseguramiento de los servicios que entregue el Centro Corporativo de Servicios. 1.3. Objetivo y Alcance General del Servicio Objetivo General Crear un Modelo de Procesos de Gobierno TI, para el Centro de Servicios Compartidos de Tecnología de la Información y Comunicaciones (CSC – TIC), específicamente para el servicio de centro de datos corporativo, basado en las mejores prácticas de la industria, que establezca la capacidad de FONAFE de: - Dirigir y controlar la operación con el proveedor del CSC - TIC, asegurando que este sostiene y extiende los objetivos considerando la realización efectiva de proyectos, la entrega servicios de alta calidad, la gestión de riesgos y optimización de recursos. - Asegurar la correcta transición de los servicios de las empresas al servicio de centro de datos corporativo, realizando actividades de supervisión y acompañamiento. Alcance del Proyecto a. Modelo de Procesos de Gobierno Corporativo TI Consiste en definición, acuerdo, preparación y establecimiento inicial de los procesos, políticas, procedimientos y lineamientos, para garantizar la capacidad de FONAFE para supervisar, controlar y dirigir la función del proveedor adjudicado del servicio de centro de datos corporativo, para que sostenga y extienda la entrega de los servicios contratados. El alcance macro del servicio es el siguiente: • Definir el modelo global de gobierno de TI de FONAFE, determinando que procesos son necesarios. • Definir los modelos de procesos de gobierno para la entrega de Servicios, basados en las mejores prácticas de la industria: • • • • • ITIL v2 o v3 ISO 20000 ISO/IEC 27001 CMMI PMBOK • Verificar que el proveedor del servicio de centro de datos corporativo realiza sus actividades de acuerdo a estándares para los servicios y sus componentes de tecnología de información y comunicaciones. • Elaborar las políticas, procedimientos y controles de gobierno y gestión TIC, en materia de servicios y seguridad. • Establecer el marco de gestión de riesgos y seguridad de la información, para los servicios y proyectos TI, de forma que sean conocidos y administrados. • Asegurar el establecimiento y seguimiento de Acuerdos de Niveles de Servicio del centro de datos corporativo Página | 5 b. Acompañamiento en la transición al servicio de Centro de Datos Corporativo. Consiste en realizar las actividades necesarias para que asegurar que la transición del servicio se realice de acuerdo a las especificaciones de los términos de referencia del servicio de centro de datos corporativo. El alcance macro del servicio es el siguiente: • Gestión del proyecto (transición al servicio de centro de datos) en el cual se debe asegurar la realización de las actividades programadas por parte del proveedor, FONAFE y sus empresas, así como realizar reportes del avance del proyecto de transición. • Validación y pruebas del servicio, en el cual se define el modelo de pruebas, se valida el diseño del servicio, se realizan las pruebas en los componentes de los servicios. • Gestión del cambio, debiendo por lo menos asegurar que los cambios siguen un flujo que permita su clasificación, evaluación y programación. • Gestión de la configuración y activos, el cual permita a FONAFE y sus empresas un mapa de los elementos de configuración del servicio. • Asegurar que todo el conocimiento generado sea depositado en la base de conocimiento que se defina. 1.4. Lineamientos Generales del Servicio - Duración del contrato : Doce (12) meses calendario. - Forma de pago : Pago mensual en cuotas iguales. - Cronograma : FASE 1 2 3 4 5 Mes 6 7 8 9 10 11 12 Diseño Implantación Mejora continua La etapa de diseño del presente servicio se debe ejecutar al mismo tiempo que la etapa de planificación del servicio de centro de datos. La etapa de implementación corresponde al aseguramiento de la transición de las empresas al servicio de centro de datos y al aseguramiento del cumplimiento los niveles de servicio ofrecidos por el proveedor del servicio de centro de datos. 1.5. Confidencialidad Toda la información que se genere durante la ejecución del servicio debe ser considerada como confidencial. El proveedor que recibe la información debe tomar las medidas necesarias para que la información proporcionada tanto por FONAFE, sus empresas y el proveedor de centro de datos sea accedida sólo por partes autorizadas. Página | 6 2. Servicio de modelo de procesos de gobierno corporativo de TI 2.1. Contexto general El Servicio de Modelo de Procesos de Operación de Gobierno Corporativo de TI del servicio de centro de datos corporativo está conformado por un conjunto de servicios de gestión de servicios y seguridad, que se pueden resumir en el siguiente modelo: Figura 1. Modelo de Servicios de Gobierno Corporativo TIC del servicio de centro de datos corporativo Como se puede apreciar en la figura 1 y para mejor entendimiento, los servicios de gobierno corporativo de tecnología de información y comunicaciones van a ser divididos de la siguiente manera: 1. Servicio de Gobierno de Gestión de Servicios, 2. Servicio de Gobierno de Gestión de Seguridad de la Información Se destaca también la figura del Cuerpo de Gobierno de Servicios. El Cuerpo de Gobierno de Servicios lo preside y regula íntegramente FONAFE. 2.2. Cuerpo de gobierno de servicios El Cuerpo de Gobierno de Servicios, será el único responsable, en la perspectiva de “accountability”, para asegurar el cumplimiento del Modelo de Operación de Procesos de Gobierno de TI. Este cuerpo debe estar integrado por FONAFE y por los representantes de las 11 empresas que se requieran para acordar y gestionar: 1. Los requerimientos de cumplimiento normativo, en el ámbito de las Leyes y reglamentaciones vigentes. Página | 7 2. La aceptación y en su caso modificación de los procesos del Modelo de Operación, para instruir al proveedor del servicio de centro de datos corporativo, para realizar los cambios necesarios. 3. La agenda general y particular de revisión de indicadores y métricas, del desempeño de los procesos de Gobierno Corporativo de TI. 4. La operación de la administración del Marco de Operación de Procesos de Gobierno Corporativo de TI, incluyendo el sistema de comunicación y el uso de las capacidades de los proveedores para reportar el desempeño de los servicios. 2.3. Servicio de Proceso de Gobierno de gestión de servicios. a. Alcance El proveedor debe diseñar un modelo de gobierno de TI el cual permita, gestionar los riesgos, capacidad, catalogo de servicios, niveles de servicio, base de conocimiento, mejora continua, cumplimiento, implementación y proyectos que brinda el servicio de centro de datos corporativo. b. Diseño el servicio Para el diseño del modelo de gobierno TI, el proveedor debe tomar en consideración como mínimo los siguientes modelos rectores: Dominio Modelos Rectores Notas Gobierno de TI COBIT® COBIT® es una marca registrada del IT Governance Institute (www.itgi.org) Val IT® Val IT® es una marca registrada del IT Governance Institute (www.itgi.org) ITIL® ITIL® es una marca registrada ante el Office of Government Commerce. (UK) (www.itil.co.uk) CMMI-SVC® CMM® and CMMI® son marcas registradas ante el U.S. Patent and Trademark Office por Carnegie Mellon University. (www.sei.cmu.edu/cmmi/) Project Management Body of Knowledge (PMBoK®) Guide PMBoK® es una marca registrada del Project Management Institute Procesos Proyectos © 2008 Project Management Institute (www.pmi.org) The Standard for Portafolio Management © Servicios y ITIL® CMM® and CMMI® son marcas Página | 8 Proveedores CMMI-SVC® Seguridad ISO 27001® registradas ante el U.S. Patent and Trademark Office por Carnegie Mellon University. (www.sei.cmu.edu/cmmi/) ISO 27001® es un estándar de la International Organization for Standardization. (www.iso.org) c. Características de los componentes del servicio Se propone que la implementación del servicio se realice en las siguientes tres fases: • Diseño • Implementación • Mejora continua Diseño Modelo de Gobierno de TI Las actividades que debe realizar el proveedor en esta fase son: Elaborar el modelo de procesos del Gobierno de TI, el cual debe contener políticas, lineamientos, procesos, reportes mínimos de operación para el servicio alineados al modelo de procesos de gobierno establecido “Reporte Integral de Rendimiento”, que permiten hacer efectivo el gobierno del servicio de centro de datos corporativo. El proveedor de Gobierno solicita al representante de Fonafe las reuniones del Cuerpo de Gobierno, durante la transición del Servicio. Documentar y comunicar a todos los interesados los acuerdos que se tomen en el Cuerpo de Gobierno. Capacitar al personal que tendrá directo contacto con el modelo de Gobierno de TI en los siguientes cursos: • Gestión de servicios: pudiendo ser este: Service Operation Lifecycle, Service Transition Lifecycle, OSA, SOA o R&CV, los cuales son cursos intermedios de ITIL, mínimo de 24 horas, 15 participantes. • Gobierno de TI (Curso de preparación para examen CGEIT ó curso avanzado en gobierno de servicios de TI), mínimo 24 horas, 15 participantes. • Gestión del cambio organizacional, mínimo 16 horas, 15 participantes. El contenido del curso de gestión de cambio será coordinado con FONAFE. Los siguientes son los entregables de esta fase: Políticas y lineamientos para la operación del Cuerpo de Gobierno. Modelo de Procesos de Gobierno Corporativo de TI, incluyendo los controles (KPI y KGI) requeridos para realizar el gobierno corporativo de Servicios, se debe considerar como mínimo los siguientes procesos: - Gestión del catalogo de servicios, como mínimo debe incluir: El proceso para incluir/retirar servicios del catalogo de servicios. - Gestión de la capacidad, como mínimo debe incluir: Página | 9 El proceso para asegurar que las demandas de servicio y/o su capacidad asociada, por cada empresa, en sus variantes en el tiempo, dentro del centro de datos corporativo, sean oportunamente registrados y evaluados y gestionados, para prevenir riesgos en la entrega de servicios por falta de capacidad. El proceso para asegurar que los cambios en la capacidad y disponibilidad de los servicios entregados por el centro de datos corporativo, se apega al proceso de Gestión de Cambios definido. - Gestión de los niveles de servicio, como mínimo debe incluir: El proceso para asegurar que todos los servicios del Catálogo de Servicios cuentan con Acuerdos de Niveles de Servicio (SLA) y que se han establecido los Acuerdos Operacionales de Servicio (OLA) aprobados por el Cuerpo de Gobierno y los grupos involucrados. El proceso para asegurar que todos los Acuerdos de Niveles de Servicios (SLA) y los Acuerdos Operacionales de Servicio (OLA) cumplen con los requisitos que se establezcan en el Marco de Gobierno y den respuesta a los requerimientos del servicio. El proceso para asegurar que se cuenta con las mediciones de Indicadores clave de rendimiento (KPI) y reportes de rendimiento para evaluar los niveles de servicio. El proceso para reportar al Cuerpo de Gobierno el rendimiento y tendencias de los Niveles de Servicio alcanzados. Los atributos de los Niveles de Servicios para los que deberá especificarse metas dentro de la realización del servicio de centro de datos corporativo Los controles para auditar las prácticas y procedimientos de medición de los niveles de servicio y los procedimientos para cálculo de importes en facturas del proveedor del servicio de centro de datos corporativo. - Gestión de riesgos, como mínimo debe incluir: El marco de administración de los riesgos asociados a los servicios, proyectos, procesos y proveedores, mediante la elaboración de procedimientos para la identificación, análisis y respuesta a los riesgos. Los procedimientos deben asegurar que sea un proceso formal, continuo e iterativo, en los que los factores de riesgo sean identificados, evaluados y controlados sistemáticamente. - Gestión de cumplimiento, como mínimo debe incluir El proceso para verificar y asegurar que los servicios se encuentran alineadas y cumplen con las políticas, lineamientos, directivas y normatividad vigente. - Gestión del cambio, como mínimo debe incluir: El proceso que permita clasificar, evaluar e implementar los cambios en los servicios del centro de datos corporativo. - Gestión de la base de conocimiento, como mínimo debe contemplar: El proceso para asegurar que se realizan los registros necesarios y suficientes, con la calidad necesaria, en la Base de Datos de Conocimiento. Los requerimientos de la estructura de la case de datos de conocimiento, particularmente lo relacionado con la CMDB donde se registrarán los activos del proyecto del centro de datos corporativo y el propio del Modelo de Operación de Procesos de Gobierno de TI. - Gestión de proyectos Página | 10 - Artefactos propios de la ejecución de gestión de proyectos Gestión de la mejora continua, como mínimo debe incluir: El esquema de mejoras progresivas en los niveles de servicio para el proveedor del servicio centro de datos corporativo. El esquema de mejoras progresivas del modelo de Gobierno de TI. Procedimiento para asegurar que el plan de mejora se realice y que las acciones tomadas hayan sido efectivas. Modelo de madurez del modelo de gobierno de TI, el cual permita medir de forma objetiva por proceso la mejor continua del modelo de gobierno de TI. Roles del modelo de gobierno corporativo TI, y especificar sus responsabilidades mediante una matriz de responsabilidad (RACI). Estimación de recursos (infraestructura, hardware, software, personal, servicios, etc.) para habilitar los procesos de gobierno corporativo de TI. Especificación de los perfiles de recursos humanos requeridos para la operación cotidiana del modelo de gobierno corporativo TI. Sistema de comunicación del modelo de gobierno corporativo TI, el cual debe incluir esquemas y medios para asegurar que se cubren los requerimientos de información de todos los grupos interesados relacionados con el servicio de gobierno y centro de datos corporativo. Identificar los elementos del marco de operación de procesos gobierno corporativo TI que regulará la operación de los servicios del centro de datos corporativo. Modelo de la identificación de los patrones de actividad del negocio (PBA). Modelo de reportes de rendimiento que consideren en forma integral el estado de los servicios, procesos, proyectos y contratos. Plan de transferencia del gobierno del servicio de centro de datos corporativo. Plan de desarrollo del modelo de gobierno de corporativo de TI. Implementación del Modelo de Gobierno TI Dentro de esta fase se deben realizar las siguientes actividades: Gestión del Marco de Gobierno Integrar y comunicar a los interesados los elementos del marco de operación de procesos de gobierno, incluyendo los lineamientos, políticas, procesos y contratos. Asegurar que los cambios al marco de gobierno son evaluados y autorizados de acuerdo al procedimiento formal en el que participan todos los grupos de interesados. Incluye la elaboración del procedimiento de control de cambios. Comunicar los cambios y modificaciones al marco de gobierno a todos los Interesados. Realización de verificación de procesos de gestión de TI, basados en ITIL v2 o v3 del proveedor adjudicado del centro de datos corporativo. Gestión del Sistema de Comunicación Distribuir la información de acuerdo al medio y periodicidad establecida, durante la fase de implementación del modelo. Gestión de Riesgos Realizar la identificación, análisis y respuesta a los riesgos que se presenten en la gestión y operación del modelo de gobierno de TI. Reporte Integral del Rendimiento Página | 11 Integrar y distribuir reportes de rendimiento que consideren en forma integral el estado de los servicios, procesos, proyectos y contratos. Asegurar que se diseñen los mecanismos para desarrollar la capacidad de medición y análisis que permita conocer el rendimiento de los servicios, procesos, proyectos y contratos. Gestión del Catálogo de Servicios Asegurar que se define, acuerda y mantiene el catálogo de servicios con información precisa y acorde al marco de gobierno. Validación del catálogo de servicios Gobierno de los Niveles de Servicio Realización del proceso de verificación del cumplimiento de los Acuerdos de Niveles de Servicios (SLA) Revisión de requisitos de los Acuerdos de Niveles de Servicio (SLA) y Acuerdos de Nivel Operacional (OLA), con respecto a los Objetivos de Niveles de Servicio Revisión y Mejora Continua de Niveles de Servicio Asegurar que se entienda y establezca una línea base de rendimiento de los servicios para poder sustentar al proceso de mejora continua de acuerdo al marco de gobierno. Efectuar al menos dos revisiones de los niveles de servicio con el propósito de determinar oportunidades de mejora, analizar desviaciones y en su caso determinar las acciones correctivas y preventivas a ser integradas al plan de mejora continua. Definir la base de conocimiento, e integrar las lecciones aprendidas a la base de conocimiento de los servicios del contrato. Auditoría a los Procedimientos de Niveles de Servicio Realizar auditorías mensuales para determinar la validez de los niveles de servicio reportados por el proveedor de centro de datos. Realizar una auditoría inicial que permita determinar el nivel madurez de gobierno inicial utilizando el método SCAMPI. Realizar una auditoría al culminar el servicio que permita determinar el nivel de madurez del modelo de gobierno TI corporativo. Gestión de la capacidad Asegurar que las actividades se realizan de acuerdo a los procedimientos establecidos se definen, acuerdan y mantienen actividades que, de acuerdo con los Patrones de Actividad del Negocio (PBA) y la revisión cotidiana del consumo de servicios y gestión de fallas, se realicen los ajustes en la capacidad del centro de datos corporativo. Asegurar que se define, acuerda y mantiene el plan de capacidad general del centro de datos corporativo y para cada empresa, con información precisa y acorde al marco de gobierno. Realizar las sesiones de dirección y control sobre las capacidades y realización de los servicios de centro de datos corporativo Gobierno de los Patrones de Actividad del Negocio - Realizar continuo seguimiento y actualizar de los patrones de actividad del negocio con la finalidad de definir planes de actualización de los servicios Gobierno de la Base de Datos de Conocimiento Página | 12 Asegurar que se definen, acuerdan y mantienen las actividades, controles, roles y responsabilidades para el mantenimiento de la base de datos de conocimiento. Asegurar que FONAFE cuenta con la titularidad de la base de datos de conocimiento. Transferencia de la Gestión. Asegurar la transferencia de las capacidades a FONAFE o a quien designe. Elaborar un plan detallado de crecimiento del modelo de gobierno, el cual debe ser el roadmap a seguir en la implementación de los siguientes procesos a considerar dentro del modelo de gobierno TI. Este plan debe ser especifico en términos de secuencia de procesos a implementar, el tiempo y el costo que puede implicar implementar cada uno de ellos y Elaborar un plan detallado de acción para la consolidación e implementación del modelo en las demás empresas bajo el ámbito de FONAFE. Los entregables mínimos de esta fase son: Informe de cumplimiento de niveles de servicio (mensual) Informe de auditoría a los niveles de servicio (mensual) Informe de auditoría a las evaluaciones de capacidad (mensual). Informe de consistencia e integridad de los datos de Monitoreo (mensual) Informe de Integridad de los datos de las verificaciones de control y reconciliación acordados (mensual) Reportes de Gobernabilidad entregados y validados (mensual) Informe de efectividad de la habilitación de las actividades de Gobernabilidad (mensual). Mejora Continua Se identificarán, propondrán y programarán mejoras al sistema de gestión dentro del marco de gobierno corporativo de TI. En esta fase se usan de forma consistente los indicadores y se evalúa el desempeño de los niveles de servicio. Los entregables mínimos para esta fase son: Plan de mejora de niveles de servicio Objetivos de Niveles de Servicio Plan de Evaluación de Procesos Proceso de Mejora Continua 2.4. Servicios de procesos de gobierno de gestión de seguridad a. Alcance Establecer la estructura del cuerpo de gobierno orientado a la seguridad de la información. Definir las políticas y lineamientos para la operación del cuerpo de gobierno, que deberá de administrar los riesgos con respecto a los servicios y procesos. Definir las políticas y lineamientos de seguridad del marco de gobierno. Establecer el diseño y documentación para la operación de los procesos de gestión de seguridad, del cuerpo de gobierno conforme a las políticas y lineamientos establecidos. Página | 13 Establecer los mecanismos de comunicación y control que faciliten la dirección y toma oportuna de decisiones del cuerpo de gobierno para la gestión de riesgos. Definir lineamientos para la recuperación de desastres. b. Diseño del servicio c. Características y componentes del servicio El servicio se llevará a cabo en 3 fases: • Diseño • Implantación • Mejora continua Diseño: Definir un sistema de gestión que defina y documente los controles de seguridad requeridos para asegurar la información sensible y crítica manejada dentro el ámbito del alcance del proyecto. Estos controles de seguridad se implementan a través de la documentación de políticas y estándares de seguridad. Los entregables mínimos requeridos en esta fase son: • Alcance del Sistema de Gestión de Seguridad de la Información. • Inventario de activos inmersos en el alcance del servicio de centro de datos corporativo • Metodología de Análisis de riesgos. • Proceso y formatos para la Sentencia de Aplicabilidad (SOA) • Metodología para el plan integral de mitigación de riesgos. • Definición de roles y responsabilidades. • Procedimiento de auditorías internas. • Formato de minuta para las reuniones de revisiones gerenciales • Procedimiento de acciones correctivas y preventivas. • Políticas y/o estándares de seguridad a alto nivel para la adecuada protección de la información residente en el ambiente físico, infraestructura tecnológica y procesos incluidos dentro del alcance del proyecto. Las políticas consideradas son: • Política del Sistema de Gestión de Seguridad de la Información • Organización de la Seguridad • Administración de activos • Seguridad en los recursos humanos • Seguridad Física • Administración de las operaciones y comunicaciones • Control de acceso • Adquisición, desarrollo y mantenimiento de sistemas • Administración de incidentes • Cumplimiento • Lineamientos mínimos para la recuperación de desastres • Procedimientos para la formulación del DRP • Esquema mínimo del DRP • Taller para la trasferencia del conocimiento. Implementación Página | 14 En esta fase se requiere la ejecución de ejercicios de análisis de riesgos, implantación del sistema, publicación de políticas e identificación de controles. Administrar los riesgos asociados a los servicios, proyectos, procesos y proveedores, mediante la identificación, análisis y respuesta a los riesgos. Se requiere la definición del proceso formal, continuo e iterativo, en los que los factores de riesgo son identificados, evaluados y controlados sistemáticamente. Las actividades se realizarán en forma de acompañamiento al cuerpo de gobierno que realizará las actividades propias de la fase. Los entregables mínimos de esta fase son: - Informes de estado detallado de riesgos, con las respectivas propuesta de acciones de mitigación, control o transferencia (mensual) Mejora Continua Se identificarán, propondrán y programarán mejoras al sistema de gestión dentro del marco de gobierno corporativo de TI, de acuerdo a las métricas definidas. Se integrarán las lecciones aprendidas a la base de conocimiento de los servicios desde el punto de vista de seguridad, cuando estas existan. Las actividades se realizarán en forma de acompañamiento al cuerpo de gobierno que realizará las actividades propias de la fase. 2.5. Responsabilidades del proveedor de modelo de procesos de operación de gobierno de TI Para todos los servicios, las siguientes actividades son responsabilidad del proveedor del modelo de procesos de operación de gobierno de TI. Especificar los controles de dirección y control aplicables a los servicios del centro de datos corporativo, en materia de gestión de servicios y seguridad. Especificar los procesos de gobierno corporativo de TI, necesarios para asegurar que el proveedor del centro de datos corporativo cumple con los requisitos y condiciones expuestas en los términos de referencia del servicio de centro de datos corporativo. Establecer, fomentar y mantener la relación entre FONAFE, el proveedor del servicio de centro de datos corporativo y el propio proveedor del modelo de procesos de operación de gobierno corporativo de TI. Comunicar el modelo de procesos de operación de gobierno corporativo de TI, a FONAFE, el proveedor del servicio de centro de datos y a los representantes de las empresas. Definir el marco de gobierno de seguridad conforme a las mejores prácticas establecidas en el ISO /IEC 27001. Acompañar al cuerpo de gobierno corporativo de TI de FONAFE asegurando la transferencia de conocimiento. Realizar las tareas de planeación, registro, comprobación y alineación, según el modelo de gobierno corporativo de TI. Página | 15 2.6. Responsabilidades del proveedor del servicio de centro de datos corporativo Para todos los servicios, las siguientes actividades son responsabilidad del proveedor de los servicios del centro de datos corporativo. Asignar al gestor de proyecto, que colaborará con los gestores de gobierno del modelo de gobierno corporativo, para que acuerde las actividades de aseguramiento dentro de los proyectos y la entrega cotidiana de los servicios del centro de datos corporativo. Entender y acordar las políticas y lineamientos operacionales, relacionadas con la dirección y control de los servicios del centro de datos corporativo, en el ámbito del modelo de procesos de gobierno corporativo de TI. Facilitar el acceso al personal del FONAFE y al proveedor del modelo de operación de procesos de gobierno corporativo de TI, a las instalaciones del centro de datos corporativo. Entregar las evidencias a los representantes que el Cuerpo de Gobierno desgine, documentos de proceso y registros acordados como parte de la operación de gobierno corporativo de TI. Una vez definido el modelo de operación de gobierno corporativo de TI, considerar las actividades de aseguramiento, dirección y control que se definan. 2.7. Responsabilidades de FONAFE Para todos los servicios, las siguientes actividades son responsabilidad del FONAFE: Revisar, evaluar la conformidad y enviar observaciones de los informes mensuales dentro de los 15 primeros días calendario después de recibido los informes. En caso no hubiera respuesta se considera que no hay observaciones al servicio. Aprobar las políticas, lineamientos, procedimientos y cualquier otro instrumento necesario para la implementación del modelo de gobierno corporativo de TI, del centro de datos corporativo. Ejecutar las actividades de gobierno corporativo de TI. Mantener y mejorar el sistema de gestión dentro del gobierno corporativo de TI. 2.8. Responsabilidades de las empresas de FONAFE Sugerir mecanismos de comunicación durante la operación del modelo de gobierno corporativo de TI directamente al cuerpo de Gobierno Planificar los requisitos de aseguramiento de calidad y seguridad conjuntamente con FONAFE Evaluar y acordar los procesos, políticas y lineamientos del modelo de gobierno corporativo de TI Página | 16 3. Servicio de acompañamiento en la transición al servicio de Centro de Datos Corporativo 3.1. Alcance Realizar labores de acompañamiento de proyecto para lograr la implementación del servicio de centro de datos corporativo. 3.2. Diseño del servicio El servicio se debe encontrar diseñado de acuerdo a una metodología de gestión de proyectos basada en el PMBOK 2008. 3.3. Características y componentes del servicio Actividades Establecer los mecanismos para asegurar que el servicio de centro de datos corporativo sea implementado dentro de los recursos y tiempo requeridos. Realizar el seguimiento y control de las actividades del proveedor para asegurar el correcto avance de las actividades de implementación del servicio de centro de datos corporativo durante la fase de transición ( primer año). Recomendar medidas para lograr el cumplimiento de tiempos y recursos en la implementación del servicio de centro de datos corporativo. Entregables Informe ejecutivo con principales hitos de avance de proyecto e información relevante de avance (mensual). Informe de avance del proyecto basado en el valor ganado (EV) (mensual) sólo a nivel presupuesto y avance en cronograma. Informe de riesgos del proyecto (mensual). Informe de acciones correctivas (mensual). 3.4. Responsabilidad de FONAFE Proporcionar la información disponible al proveedor para que realice el seguimiento y control de la implementación del servicio de centro de datos corporativo. 3.5. Responsabilidad de las empresas de FONAFE Proporcionar la información disponible al proveedor para que realice el seguimiento y control de la implementación del servicio de centro de datos corporativo. Página | 17 4. Organización del Servicio 4.1. Organización General Dirigir, Controlar Con la finalidad de dinamizar la estructura organizacional de FONAFE, se crearán roles de Director y Gerente de proyecto como interlocutores con el proveedor de servicios. En esta sección se describe la organización, metodología y procedimientos requeridos por FONAFE y sus empresas para la administración del servicio de centro de datos corporativo. El organigrama a continuación presenta los roles organizacionales a fin de que el proveedor estructure una organización que se encuentre alineada para el desarrollo de las diferentes fases en transición y operación del servicio. Estructura Mínima del Proveedor de Gobierno y Calidad de servicios del Centro de Datos Página | 18 Las frecuencias mínimas de reuniones por niveles serán: Nivel Estratégico. Reuniones Mensuales. Nivel Táctico. Reuniones Quincenales. Nivel Operacional. Reuniones Semanales. En cada nivel se esperan tener reuniones periódicas para revisar los avances del proyecto, los cambios mayores, mejoras en el servicio o cualquier tema conveniente para garantizar el buen desenvolvimiento del servicio. 4.2. Organización para el Servicio a. Gerencia del Proyecto La administración de cualquier proyecto requiere buenas herramientas para planear, asignar personal administrativo, calcular, hacer seguimiento e informar el avance. Debe combinar herramientas y técnicas que le permitirán al gerente de proyecto emitir informes oportunos, estar en capacidad de identificar potenciales áreas problemáticas y, por lo tanto, tomar las acciones correctivas para cumplir con el trabajo según lo planeado. El gerente de proyecto elaborará un “Informe de Gestión” mensual, en el cual se detallan las labores de servicio realizadas y se resaltan los resultados de niveles de servicio. Incluido con el informe de gestión, el gerente de proyecto completará un “Acta de Conformidad” para cada tarea finalizada que represente un entregable tangible o un logro que se definirá durante la implementación del servicio. El gerente de proyecto de FONAFE utilizará este documento para revisar el logro o tarea terminada frente a los criterios de terminación que se definirán durante la fase de diseño del servicio, dándolo por aceptado o haciendo las observaciones pertinentes para que Proveedores proveedor corrija las desviaciones respecto de los criterios definidos por ambas partes. Página | 19 Otra característica importante de la gerencia del proyecto del proveedor es que permite una buena comunicación y documentación. De cada reunión se elabora un acta en un formato llamado “Acta de la Reunión” que refleja los asistentes, el orden del día, los tópicos discutidos, las resoluciones y decisiones tomadas, elementos de acción (identificando al responsable y la fecha esperada de resolución) y aspectos críticos de alarma que requieren la atención inmediata de la gerencia del proyecto y/o de la gerencia ejecutiva. Las actas se distribuyen a los asistentes y también se almacenan en la biblioteca del proyecto para referencia futura. Este proceso es sólo una muestra de la metodología que el proveedor usa para administrar un proyecto. El proveedor deberá elaborar formatos de control para documentos de diseño, procedimientos de documentación para aspectos o solicitud de cambio y otros procesos de control y de informe que les permitirá a los ejecutivos de proyecto de FONAFE mantenerse informados sobre el avance del servicio. De esta manera, la organización y administración del servicio cumplirá con las siguientes características: Será formal, permanente durante el primer año y estará dentro de la estructura administrativa de FONAFE y del proveedor. Asimismo, el flujo de decisiones e información se hará a través de la organización designada explícitamente por FONAFE y por el proveedor para la prestación del servicio. Contará con el apoyo y responsabilidad gerencial directos de las dos partes. Para esto se designarán, en FONAFE y en el proveedor, ejecutivos de proyecto como responsables que tienen como objetivo velar por el cumplimiento del servicio. Dichos ejecutivos de proyecto y sus delegados tendrán en el proyecto suficiente autoridad y atribución para resolver los conflictos que puedan poner en riesgo los objetivos, metas o resultados del servicio. Será simétrica entre proveedores y FONAFE, de manera que se permita un ágil entendimiento entre niveles equivalentes y se garantice un esquema adecuadamente escalado para la solución de problemas. b. Metodología de Gerencia de Proyectos La metodología de Gerencia de Proyectos contempla los procesos de planeación y seguimiento durante toda la vida del proyecto. Su objetivo es proveer al Gerente de Proyecto con los mecanismos para poder entregar el servicio acordado en el tiempo acordado y al costo acordado. Se basa en el concepto de un único punto de contacto entre FONAFE y el proveedor, para colocar la información a disposición de los niveles aprobados oportunamente. La metodología de Gerencia de Proyectos del proveedor debe ejecutarse con estándares globales y mejores prácticas del mercado internacional. La metodología debe cubrir los pasos básicos de la administración de un proyecto de servicios, tales como estimación de esfuerzo, planeación, elaboración del plan de trabajo, descomposición de componentes de trabajo, definición de dependencias, seguimiento y estimación del estado actual del proyecto. Esto se complementa con metodología para manejo de excepciones, manejo de riesgos y su contención. Página | 20 c. Roles y Responsabilidades del proveedor Para el desarrollo del servicio el proveedor designará diferentes recursos, quienes tendrán las responsabilidades que se detallan a continuación. Director del Proyecto Ejecutivo designado como el responsable de más alto nivel del proyecto, que tiene como misión velar por el cumplimiento del servicio. El Director y sus delegados tendrán la suficiente autoridad y atribución para resolver los conflictos que puedan poner en riesgo los objetivos, metas o resultados del servicio. Gerente de Proyecto El gerente de proyecto alerta, brinda elementos de negociación y escala a FONAFE sobre aquellos conflictos que puedan poner en riesgo los objetivos, metas o resultados del servicio. El gerente de proyecto deberá participar a tiempo completo durante el diseño y a tiempo parcial en la etapa de implementación y mejora continua. Notificar a FONAFE de cualquier falla o problema que afecte la disponibilidad de los servidores o equipos de comunicación provistos por Proveedores. Permanecer en continuo contacto con el responsable del proyecto del Centro de Datos por parte de FONAFE, para definir los posibles cambios o adecuaciones que se deban realizar en el Centro de Datos por modificación en las aplicaciones y/o hardware. Ejecutar las actividades y procedimientos acordados de acuerdo al cronograma y en coordinación con las partes interesadas. Mantener al día la documentación de los reportes de riesgos y acciones de mitigación. Informar acerca del desempeño de acuerdo a los niveles de servicio requeridos, mediante reportes mensuales y reuniones periódicas. Coordinar con el personal de FONAFE los aspectos técnicos relacionados con la habilitación del Modelo Operacional de Procesos de Gobierno Corporativo TI. Administrar el Procedimiento de Control de Cambios. Elaborar en conjunto con FONAFE el procedimiento de inspección del servicio. Coordinar los cronogramas de transición con las empresas. Experto ITIL Es el encargado de Gestionar el aseguramiento de la operación del Modelo de Operación, con las siguientes responsabilidades: Asegurar que la transición de servicios se realice de forma ordenada y con el menor impacto operativo para las empresas, mediante la validación Gestionar el aseguramiento de los procesos de gobierno de los servicios, disponiendo de los recursos necesarios para que se ejecuten de acuerdo a lo previsto. Elaborar informes mensuales de recomendaciones de acuerdo a los valores de indicadores de acuerdo de nivel de servicio alcanzado Realizar la transición de los servicios hasta su pase en operación. Página | 21 Asegurar que se han establecido los servicios de hasta los niveles establecidos en el acuerdo de servicio. Consultor ITIL Intermedio SOA Es el encargado de Gestionar los aspectos de los acuerdos sobre la operación del servicio, con las siguientes responsabilidades: Gestionar el aseguramiento de las actividades relacionadas con los Requerimientos de Niveles de Servicio, desde su documentación, hasta su formalización en Acuerdos de Niveles de Servicio Gestionar el aseguramiento de los aspectos relacionados con la identificación de los riesgos asociados con la entrega de los servicios, en particular los relativos a la capacidad, seguridad, disponibilidad y continuidad. Establecer el programa de mejora continua, mediante el aseguramiento del establecimiento de mejoras y metas nuevas sobre los niveles de servicios entregados. Asegurar el establecimiento de los mecanismos de gestión de la demanda en coordinación con el Consultor ITIL Intermedio OSA. Consultor ITIL Intermedio OSA Es el encargado de Gestionar los aspectos de la operación del servicio, con las siguientes responsabilidades: Gestionar el aseguramiento de las actividades relacionadas con los procedimientos de resolución de incidentes y problemas Gestionar el aseguramiento de las actividades relacionadas con la atención de peticiones de cumplimiento. Asegurar el establecimiento de los mecanismos de gestión de la demanda en coordinación con el Consultor ITIL Intermedio SOA. Líder de Seguridad de la Información Es el responsable de diseñar y preparar la futura gestión de la seguridad dentro de los servicios, con las siguientes responsabilidades: Diseño del marco normativo Proveer información y participar del proceso de análisis de riesgos Brindar claridad y transparencia acerca del estado de seguridad de la información en la empresa Elaborar informes trimestrales de recomendaciones de acuerdo a las métricas definidas dentro del sistema de gestión de seguridad de la información d. Roles y Responsabilidades de FONAFE FONAFE administrará responsabilidades: este proyecto teniendo los siguientes roles y Director Corporativo del proyecto Gerente Corporativo de Proyecto Gerente de Proyecto de cada Empresa Página | 22 Staff TI de cada Empresa Adicionalmente, FONAFE definirá las personas que considere necesarias para cubrir las responsabilidades asignadas. Director Corporativo del Proyecto Ejecutivo designado como responsable general de los servicios de tecnología y comunicaciones de FONAFE. El Ejecutivo y sus delegados tendrán la suficiente autoridad y atribución como para resolver los conflictos que puedan poner en riesgo los objetivos, metas o resultados de los servicios. Gerente Corporativo de Proyecto Velar por el cumplimiento de los compromisos contractuales. Mantenerse informado sobre el mantenimiento y actualización del manual de procedimientos de operación del Centro de Datos. Mantener comunicación formal con todo el personal que participa en la prestación del servicio, tanto de FONAFE como del proveedor, tanto a nivel ejecutivo como a nivel Operativo. Coordinar la participación de todas las áreas involucradas de FONAFE, en la totalidad de las actividades relacionadas con la prestación del servicio. Dirigir y responder por el adecuado desarrollo del Procedimiento para Control de Cambios al servicio, manteniendo al día la documentación de los cambios. Dirigir y responder por el adecuado desarrollo del manejo de problemas en el servicio. Mantener actualizada la documentación sobre el estado del servicio y el registro histórico de los eventos desarrollados y sus causales con base en la información proporcionada por Proveedores proveedor. Coordinar y facilitar la relación con las áreas de FONAFE y otros proveedores. Responder a los informes y/o reportes del Gerente de Proyecto o Service Manager del proveedor en un plazo no mayor a cinco (5) días hábiles. Resolver los conflictos acerca de los riesgos o incidentes de seguridad que podrían afectar la confidencialidad, integridad o disponibilidad de la información. Gerente de Proyecto de cada Empresa Es la contraparte del Gerente de Proyecto. Es un rol más operativo y directo entre las empresas y el proveedor. Aquellos requerimientos que no sean operativos serán canalizados a través de FONAFE. Equipo de Operación y Soporte Técnico de cada Empresa (Staff TI) Cada empresa cuenta actualmente con un equipo de soporte técnico que será encargado de brindar las facilidades para la transición de los servicios en operación en sus instalaciones o de terceros. Asimismo, mantendrá constante interacción durante la operación de los servicios. 4.3. Comités Para el adecuado desarrollo del proyecto y los servicios, se tienen contemplados dos (2) niveles de comités, estos son el Comité Ejecutivo y el Comité Operativo. Página | 23 a. Comité Ejecutivo El objetivo de este comité es darle al proyecto un control estratégico y buscar la oportuna toma de decisiones sobre aspectos que lo modifiquen en tiempo, alcances y costo. Estará conformado como mínimo por: El Director del Precio del proveedor, el gerente de proyectos del proveedor, el Director Corporativo del Proyecto de FONAFE, el gerente corporativo del proyecto de FONAFE, el gerente de proyecto del proveedor del modelo de gobierno del servicio de centro de datos. Es la instancia superior de decisión. Se reunirá bimestralmente o cuando sea requerido por el Comité Operativo. Asimismo, este comité podrá contar con la participación de otros ejecutivos de alto nivel del proveedor a solicitud de FONAFE. Responsabilidades: Obtener información y tomar decisiones estratégicas sobre el proyecto y los problemas identificados. Resolver cualquier desacuerdo o controversia entre las partes, relacionados con la ejecución del proyecto que no haya podido resolverse en instancias previas. Velar por el cumplimiento de los acuerdos y Niveles de Servicio del Proyecto. Ajustar las líneas base de los servicios durante la operación. Definir y comunicar las directrices en los procesos y estructura. Aprobar los cambios que impliquen modificación en tiempo, costos, Niveles de Servicio o alcance del proyecto. Dirigir la estrategia de comunicación y visibilidad corporativa del proyecto. b. Comité Operativo El objetivo de este comité es el de realizar la gestión táctica y de campo en el proyecto. Deberá estar conformado por el Gerente de Proyecto del proveedor, el Gerente Corporativo del Proyecto de FONAFE y el gerente de proyecto del proveedor del modelo de gobierno del servicio de centro de datos. Se reunirá semanalmente durante la fase de transición y mensualmente durante la fase de operación del servicio de centro de datos. También se debe considerar que en los períodos pico del proyecto o cuando lo estimen conveniente, según el estado del proyecto. Debe dar solución a inconvenientes presentados durante el desarrollo del proyecto siempre y cuando estos no afecten el desarrollo del mismo en alcance, tiempo y costos, así como alertar a los miembros del Comité Ejecutivo sobre situaciones que excedan su competencia. Responsabilidades: Revisar el alcance del proyecto. Decidir las acciones requeridas para el cumplimiento del Cronograma de Actividades. Determinar prioridades y acordar el planeamiento detallado para las diferentes actividades. Identificar los recursos necesarios para terminar las actividades. Resolver los problemas o alertar a los miembros del Comité Ejecutivo del Proyecto sobre inconvenientes presentados en el desarrollo y coordinar una reunión extraordinaria con dicho comité en caso de ser necesario. Preparar las reuniones periódicas de seguimiento. Página | 24 Coordinar la aprobación de los objetivos de Niveles de Servicio presentados por Proveedores proveedor. Coordinar la aprobación final de los Acuerdos de Niveles de Servicio, según los criterios definidos en los objetivos de niveles de servicio. Determinar prioridades y acordar el planeamiento detallado para las diferentes actividades. Identificar los recursos necesarios para terminar las actividades Resolver los conflictos y problemas que se presenten durante la ejecución del proyecto. En caso de no ser posible, los Gerentes de Proyecto los comunicarán en la reunión del Comité Ejecutivo, con las recomendaciones del caso para su solución en este Comité. Coordinar las aprobaciones por parte de correspondientes a las Pruebas de Aceptación. FONAFE de las Actas 4.4. Perfil mínimo del personal proveedor Experiencia en Gestión y Gobierno de TI Deberá contar con experiencia en la implementación y operación de funciones y alcances similares a los solicitados en esta licitación, en particular en el desarrollo y habilitación de Modelos de Operación de Gobierno TI Evidencia Deberá demostrar la experiencia en gobernabilidad con un contrato firmado dentro del sector gobierno que compruebe la experiencia de al menos 18 meses realizando trabajos de Servicios de Gestión de la Calidad de un Modelo de Operación de Gobierno, así como la Gestión de Procesos. Experiencia en Modelo CMMI La experiencia en el Modelo CMMI es requerida para sustentar la capacidad de FONAFE en la Gestión del Contrato (CMMI-ACQ) y evaluación del nivel de madurez del los procesos del Modelo de Operación de Gobierno TI. Es responsabilidad de FONAFE asegurar que los procesos de gobierno se realicen de acuerdo a las mejores prácticas, por lo que para garantizar esta capacidad el proveedor debe ser una empresa autorizada por el SEI (dueño de los derechos de autor del CMMI) para poder ofrecer los servicios relacionados con CMMI y que cuenta con la experiencia necesaria en la definición, implantación y evaluación de procesos de acuerdo a este marco de referencia. Evidencia 1. Demostrar ser una empresa autorizada por el SEI para poder ofrecer los servicios relacionados con CMMI para esto deberá presentar una copia de la página actual de Internet del sitio del SEI donde aparezca dentro del listado como SEI Partner bajo las siguientes descripciones: Estar habilitado para ofrecer Productos y Servicios CMMI: CMMI for Acquisition CMMI for Services Introduction to CMMI Página | 25 SCAMPI Appraisal Services 2. . Experiencia en Modelo PMBoK Esta una capacidad central requerida y por esta razón el licitante adjudicado deberá contar con experiencia en la implementación de oficinas de proyectos basadas en las mejores prácticas de administración de proyectos acorde al PMBOK. Evidencia 1. Deberá comprobar que durante los últimos 3 años ha realizado implementaciones de Oficina de Proyectos en por lo menos 2 empresas, al menos dos en sector Gobierno, para esto deberá presentar copia de contratos firmados que avalen estos servicios. Experiencia en Modelo ITIL La gestión de la demanda, catálogo y los niveles de servicios requiere que FONAFE, se asegure de que el proveedor tenga experiencia en la definición e implementación de procesos de gestión de servicios basados en las mejores prácticas de ITIL; por esta razón el licitante adjudicado deberá contar con experiencia en la implementación de ITIL. Evidencia 1. Deberá comprobar que cuenta con experiencia en la Implementación de servicios relacionados con el marco de referencia ITIL, para esto deberá presentar copia de por los menos 2 cartas de referencia y/o facturas. Experiencia en Seguridad Es objeto de esta licitación el aseguramiento de los servicios y de la seguridad de la información en la entrega de los mismos, por lo que FONAFE requiere que el proveedor cuente con experiencia en las prácticas utilizadas para el cuidado de la información. Evidencia: 1. El licitante deberá haber realizado por lo menos un assessment de seguridad de la información y/o riesgos. 4.5. Perfil mínimo del personal requerido Con el propósito de demostrar que los licitantes cuentan con personal para cubrir este rol deberán acreditar que cuentan con tantos recursos según los indicados en la “Tabla de Perfiles” para la realización de este rol y que cumplan con los requisitos de este perfil que se detalla en la misma tabla. En la “Tabla de Perfiles”, incluida en este numeral, se detallan los perfiles requeridos para los distintos roles. Evidencia de Cumplimiento Los licitantes deberán acreditar el número de personas que se especifique para cada uno de los roles listados en la “Tabla de Perfiles” incluida en este numeral. Para acreditar un recurso el licitante deberá comprobar que el recurso que asignará para la ejecución de un rol cuenta con las certificaciones y experiencia solicitada para su Página | 26 perfil. La misma persona no podrá desempeñar más de un rol a menos que explícitamente se incluya en esta sección una excepción para este requisito. Las certificaciones son un complemento a la experiencia que se solicita, primero garantiza que el recurso humano asignado tenga experiencia en las funciones que desempeñará y segundo que cuente con las certificaciones profesionales que acredite su conocimiento. Para validar la experiencia se deberá presentar el curriculum vitae correspondiente a cada persona, el cual deberá incluir los proyectos que avalen que tienen la experiencia y conocimientos solicitados. El Currículum deberá desglosar los proyectos en donde compruebe su experiencia desempeñando el rol al que aplique, considerando: • Nombre de la empresa (Dirección, Teléfono) • Puesto • Nombre y cargo del jefe inmediato o supervisor (Teléfono y correo electrónico). • Cliente (si aplica) • Nombre del proyecto(s) donde participó • Rol en el proyecto • Duración del proyecto (fecha de inicio y termino en formato día/mes/año). • Breve descripción del proyecto • Alcance • Actividades realizadas en el mismo • Plataforma tecnológica (hardware y software) • Metodología utilizada • Contacto de referencia (nombre, cargo, teléfono, y correo electrónico). En el caso de las certificaciones, se debe acreditar presentando la certificación emitida por la organización que avale estar certificado de acuerdo a lo solicitado y adicionalmente presentar el registro y/o ID proporcionado por la empresa dueña de los derechos comerciales y de autor o el procedimiento para su validación con la organización. Perfil Gerente del Proyecto Descripción Principales Actividades: • Responsable de la realización de la Gestión del Proyecto y la Gestión del Contrato Tipo de Asignación: La asignación del Gerente del Proyecto deberá ser de tiempo parcial. El licitante Página | 27 deberá asignar a un recurso para la realización de este rol. Experiencia: Este personal deberá tener experiencia mínima de 3 (tres) años proporcionando servicios como Jefe o Gerente de proyectos y contar con conocimiento en PMBOK. Evidencia: Comprobable mediante copia de certificados de: • • Experto ITIL Project Management Professional (PMP) emitido por el PMI (Project Management Institute) ITIL Foundation Certificate, emitido por la empresa dueña de los derechos comerciales y de autor; y/o Cobit Foundations, emitido por la empresa dueña de los derechos comerciales y de autor. Principales Actividades: Es el encargado de Gestionar el aseguramiento de la operación del Modelo de Operación, con las siguientes responsabilidades Tipo de Asignación: La asignación del Líder de Proyecto deberá ser de tiempo parcial. El licitante deberá asignar a un recurso para la realización de este rol. Experiencia: Mínimo 3 años en proyectos de TI, en la habilitación de procesos de ITIL Evidencia: Comprobable mediante copia de certificados de: • • • • Certificado ITIL Experto (ITIL Expert) SOA (ITIL v3 Intermediate Qualification: Service Offerings and Agreements Certificate) OSA (ITIL v3 Intermediate Qualification: Operational Support and Analysis Certificate ) RCV ( ITIL v3 Intermediate Qualification: Release Control & Validation Certificate) Principales Actividades: Es el encargado de Gestionar los aspectos de los acuerdos sobre la operación del servicio, con las siguientes responsabilidades Tipo de Asignación: Consultor ITIL La asignación del Consultor ITIL deberá ser de tiempo parcial. El licitante deberá asignar a un recurso para la realización de este rol. Experiencia: Mínimo 3 años en proyectos de TI, en habilitación de procesos de ITIL para una Mesa, Incidentes y Problemas y Gestión de Niveles de Servicio. Página | 28 Evidencia: Comprobable mediante copia de certificados (2 personas) de: • • • SOA (ITIL v3 Intermediate Qualification: Service Offerings and Agreements Certificate) OSA (ITIL v3 Intermediate Qualification: Operational Support and Analysis Certificate ) RCV ( ITIL v3 Intermediate Qualification: Release Control & Validation Certificate) Principales Actividades: Es el responsable de diseñar y preparar la futura gestión de la seguridad dentro de los servicios. Tipo de Asignación: La asignación del Líder de seguridad deberá ser de tiempo parcial. El licitante deberá asignar a dos recursos para la realización de este rol. Experiencia: Mínimo 3 años en proyectos de TI donde se hayan realizado actividades como: Líder de Seguridad • Implantación de la norma ISO/IEC 27001 • Proyectos de implantación de Gobierno en TI • Análisis de riesgos • Continuidad en el negocio • Auditoria sobre sistemas de gestión Evidencia: Comprobable mediante copia de certificados (2 personas) de: • Certificado ISO/IEC 27001 Lead auditor • Certificado de conocimientos gerenciales en seguridad Certified Information Systems Security Professional (CISSP) ó Certified Information Systems Manager (CISM) Página | 29 5. Niveles de Servicio 5.1. Niveles de Servicio a. Concepto General Para medir la calidad de los servicios, se contempla la utilización del concepto de Niveles de Servicio como el elemento que permite cuantificar objetivamente la eficiencia con la que se está prestando el servicio contratado. El concepto de niveles de servicio está conformado por: 1. Objetivo de Niveles de Servicio (SLO, por sus siglas en inglés) 2. Acuerdo de Niveles de Servicio (SLA, por sus siglas en inglés) Estos niveles de servicio deben ser orientados al aseguramiento del cumplimiento de plazos planeados, disponibilidad, eliminación de errores o defectos del servicio y a la mejora de la satisfacción de los usuarios de los servicios. Todos los niveles de servicio, variables e indicadores de desempeño enunciados servirán para la evaluación de desempeño del proveedor, a excepción de aquellas variables e indicadores denominados informativos, sobre los cuales el proveedor tendrá la responsabilidad de actualizar, informar y utilizar para su gestión. Las variables e indicadores están referidas a determinados periodos de tiempo (mensual, trimestral, semestral, etc.), sin embargo se debe tener en cuenta que toda variable e indicadores de desempeño podrán ser consultados en línea en cualquier momento. El proveedor prestará los servicios contratados considerando como base los SLO´s enunciados, en tanto que FONAFE procederá a su verificación y ajuste. Sin embargo en caso que alguna de las métricas llegase al Valor Mínimo considerado por FONAFE, el proveedor informará las razones por las cuales no alcanzaron el cumplimiento de los niveles de servicio requerido y a partir de este informe se evaluará si corresponde aplicar penalidades. Los Niveles de Servicio Objetivo (SLO) forman parte del Acuerdo de Nivel de Servicio (SLA), una vez verificados y validados los supuestos usados para la generación de estos objetivos, lo cual se realizará de acuerdo a cada lo requerido para cada servicio. Durante la prestación de los servicios, los Niveles de Servicios e Indicadores de Desempeño serán revisados y podrán ser ajustados por FONAFE, en coordinación con el proveedor. Se procederá de igual manera cuando se produzcan cambios mayores o sustanciales en los servicios y/o cuando FONAFE lo crea necesario. b. Definiciones Objetivo de Niveles de Servicio (SLO): Establece los diferentes indicadores de desempeño a utilizarse para medir el servicio prestado durante la vigencia del Página | 30 contrato. Se denominan “objetivos” porque es el nivel de servicio al que se busca llegar en la prestación del servicio cuando se estabilice la operación. Acuerdo de Niveles de Servicio (SLA): Se refiere al conjunto de SLO, términos y condiciones contractuales que aplican para la verificación del cumplimiento del contrato. Valor Objetivo (SLO/SLA): Es el valor de la métrica deseado durante la operación continua del servicio. Si el valor de la métrica es mayor o igual al valor establecido, FONAFE considerará que el proveedor está brindando un servicio con la calidad esperada. Color Verde. Métricas: Son las variables e indicadores que servirán para la evaluación de desempeño del proveedor, a excepción de aquellas variables e indicadores denominados informativos, sobre los cuales el proveedor tendrá la responsabilidad de actualizar, informar y utilizar para su gestión. c. Métricas y Mediciones El Factor Crítico de Éxito (CSF, por sus siglas en inglés) definido para el servicio es mejorar la Calidad de Servicios TI. En este sentido se han generado los siguiente Indicadores: CSF Mejorar la gestión de los Servicios TI KPI Modelo de gobierno TI implementado Las métricas definidas para la evaluación del servicio, considerando los valores de SLO’s son: KPI Modelo de Gobierno TI Implementado Servicio Modelo de Gobierno de TI Métrica Valor Periodicidad Número de auditorías al servicio de centro de datos corporativo acordados 1 mensual Número de auditorías a las evaluaciones sobre la capacidad usada conforme a la demanda. 1 mensual Grado de consistencia en la integridad de datos proporcionado por el servicio de centro de datos corporativo. > 90% al Implantar mensual >95% Al iniciar la mejora continua Página | 31 Grado de integridad de las verificaciones de control y reconciliación > 90% al Implantar mensual Número de reportes de gobernabilidad 1 mensual Grado de consistencia en la realización de las actividades de Gobernabilidad 90% de adherencia a los procesos de gobierno de TI. mensual 95% Al iniciar la mejora continua 5.2. Penalidades Si el proveedor incumple los SLA acordados, FONAFE le aplicará en todos los casos una penalidad, hasta por un monto máximo equivalente al diez por ciento (10%) del monto correspondiente al servicio. La penalidad se aplicará automáticamente. Cuando se llegue a cubrir el monto máximo de la penalidad, FONAFE podrá resolver el contrato parcial o totalmente por incumplimiento. Esta penalidad será deducida de los pagos a cuenta, del pago final o en la liquidación final; o si fuese necesario se cobrará del monto resultante de la ejecución de las garantías de fiel cumplimiento o por el monto diferencial de la propuesta. Página | 32