Herramienta Digital M@PPP Maagticsi SUBSECRETARIA DE ADMINISTRACIÓN Y FINANZAS DIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN 1

MAAGTICSI ¿Que es el MAAGTICSI? Es el Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información. Objetivo General. Definir los procesos con los que, en las materias de TIC y de seguridad de la información, las Instituciones deberán regular su operación, independientemente de su estructura organizacional y las metodologías de operación con las que cuenten.

MAAGTICSI El MAAGTICSI consta de 9 procesos divididos en 3 grupos.

MAAGTICSI

Planeación Estratégica (PE). Ciclo de Vida de un Proyecto PE APCT ADS ACNF ASI ADP APRO AOP OPEC

Implementación de MAAGTICSI UA y OAD DGTI Proyecto GRP Institucional Proyecto Fábrica de Software Proyecto Servicio Integral de Telecomunicaciones. Proyecto OAD Proyecto UA

Modelo de Automatización de Procesos, Proyectos y Productos (M@PPP). https://login.salesforce.com http://owa.salud.gob.mx Consulta tú correo electrónico para obtener tú usuario y contraseña y poder acceder.

RESPONSABLES DE PROCESOS DENTRO DE LA UTIC   RESPONSABLES DE PROCESOS DENTRO DE LA UTIC Número de participación PROCESO Responsable Datos de Contacto Lic. Elizabeth Grace Jiménez Vázquez elizabeth.jimenez@salud.gob.mx 1 Planeación Estratégica (PE) Ing. Valentín Bárcenas valentin.barcenas@salud.gob.mx Ext. 58213 2 Administración del Presupuesto y las Contrataciones (APCT) Lic. Miguel Ángel Ruiz Rodríguez miguel.ruizr@salud.gob.mx Ext. 58709 3 Administración de Servicios (ADS) Ing. Oscar Escamilla oscar.escamilla@salud.gob.mx Ext. 58743 4 Administración de la Configuración (ACNF) Mtro. Leonardo Ramírez Fernández leonardo.ramirezf@salud.gob.mx Ext. 58725 5 Administración de la Seguridad de la Información (ASI) Mtro. Iván Domínguez Ing. Jonathan López jonathan.lopez@salud.gob.mx Ext. 58707 6 Administración de Proyectos (ADP) Ing. Jesús Castañeda jesus.castaneda@salud.gob.mx Ext. 58790 7 Administración de Proveedores (APRO) Lic. Carolina Caparroso carolina.caparroso@salud.gob.mx Ext. 58745 8 Administración de la Operación (AOP) 9 Operación de Controles de Seguridad de la Información y del ERISC (OPEC)

PLANEACIÓN ESTRATÉGICA (PE)

Planeación Estratégica (PE). Objetivo General. Establecer un modelo de gobierno de TIC en la Institución, para efectuar, entre otras acciones, el análisis de las oportunidades de aprovechamiento de las TIC, la planeación estratégica de TIC y asegurar la adecuada organización al interior de la UTIC para la gestión de sus procesos y vinculación ordenada con sus usuarios. Oficio solicitud de proyectos PETIC 2015 Respuestas de PETIC 2015 PETIC 2015 Validación UGD. (31 de diciembre 2015)

PE1 Establecer la gobernabilidad de las operaciones de la UTIC.

ADMINISTRACIÓN DEL PRESUPUESTO Y LAS CONTRATACIONES (APCT) DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Objetivo: Coordinar las acciones para el ejercicio del presupuesto destinado a las TIC, a fin de maximizar su aplicación en las contrataciones de TIC requeridas por la Institución, así como las acciones para efectuar el acompañamiento necesario a las unidades facultadas para realizar los procedimientos de contrataciones en la Institución, de manera que se asegure su ejecución en tiempo y forma, alineado al presupuesto autorizado; así como el seguimiento a los contratos que se celebren.

Objetivo Específico Identificar y consolidar los recursos financieros (TIC) Elaborar Listado de Bines y Servicios de TIC – UTIC Proporcionar elementos técnicos para las contrataciones de TIC

Reglas del proceso Responsable designado por el Titular de la UTIC Con apego a las disposiciones en materia presupuestaria aplicables a las UA Asegurar que se efectúe con apego y acuerdo por el que se expide el MAAGMAASSP Designar un representante con conocimientos técnicos para dar respuesta clara y precisa a las solicitudes UA tengan asignados recursos financieros para contrataciones de TIC, deberán contar con el anexo técnico autorizado por la UTIC Proporcionar apoyo técnico a las UA En lo casos que se integren o adicionen componentes de Software verificar que integren las sig. pruebas: integrales, funcionalidad, estrés, volumen, aceptación del usuario y seguridad Verificar que lo contratos de adquisición , arrendamiento o servicios de TIC estén en CompraNet Firma del UTIC de aprobación del formato APCT-F2

APCT 1 Establecer el seguimiento del presupuesto de TIC. Definir las acciones necesarias para dar seguimiento al presupuesto autorizado de TIC por las instancias competentes Mantener actualizado el portafolio de proyectos y de servicios de TIC Mantenimiento de la infraestructura tecnológica. Mantener Comunicación Efectiva Coordinar y Gestionar ante las unidades administrativas, en el ámbito de competencia de las UTIC Proveer, Mantener y Comunicar el Ejercicio de los recursos presupuestarios UA y UTIC APCT 2 Participar en el establecimiento de prioridades del presupuesto de TIC. APCT 3 Estimar los recursos presupuestarios en materia de TIC para la elaboración del anteproyecto anual de presupuesto de la Institución. APCT 4 Establecer el listado de bienes y servicios de TIC a contratar por la UTIC en cada ejercicio fiscal y ejecutar las acciones necesarias para apoyar los procedimientos de contratación correspondientes, en el ámbito de sus atribuciones. APCT 5 Participar como área técnica, en los procedimientos de contratación de TIC.

HERRAMIENTA M@PPP

HERRAMIENTA M@PPP

HERRAMIENTA M@PPP APCT1 Establecer el seguimiento del presupuesto

HERRAMIENTA M@PPP APCT2 Establecer prioridades de presupuesto

HERRAMIENTA M@PPP APCT3 Estimar los recursos presupuestarios en materia de TIC

HERRAMIENTA M@PPP APCT4 Establecer listado de bienes y servicios

HERRAMIENTA M@PPP APCT5 Participar como área técnica, en los procedimientos de contratación de TIC

ADMINISTRACIÓN DE SERVICIOS (ADS) Dirección General de Tecnologías de la Información 33

Dirección de Red y Telecomunicaciones Administración de Servicios ¿Qué es? Importancia Proceso y Formatos Herramienta Administración de Operaciones 34

Administración de Servicios Definir los compromisos y costos de los servicios de TIC necesarios para mantener el adecuado funcionamiento de la Institución, así como identificar iniciativas de servicios de TIC que aporten beneficios importantes en el cumplimiento de los objetivos estratégicos de la Institución, con apego a la EDN y efectuar su instrumentación. 1. Diseñar la arquitectura de los servicios de TIC y definir las especificaciones técnicas para satisfacer las necesidades actuales y proyectadas de la Institución, considerando que se deben incluir las definiciones de los niveles de seguridad, capacidad, disponibilidad y continuidad de la operación de TIC. 2. Identificar y administrar riesgos, desde el diseño de los servicios de TIC, para que puedan ser eliminados, transferidos o mitigados y de ser el caso, aceptados. 3. Mantener información clara y precisa sobre los servicios de TIC en operación y en proceso de diseño o desarrollo. 4. Contar con mecanismos para la toma de decisiones relacionadas con los servicios de TIC. 35

Administración de Servicios IMPORTANCIA 36

Administración de Servicios PROCESO 37

Administración de Servicios PRODUCTOS - FORMATOS 1. “Mecanismo de operación de TIC” (formato de acuerdo a las necesidades de la UTIC). 2. “Programa de aprovisionamiento de la infraestructura tecnológica”. Formato AOP F1. 3. “Programa de mantenimiento de la infraestructura tecnológica”. Formato AOP F2. 38

Administración de Servicios ORIENTACIÓN EN HERRAMIENTA 39

ADMINISTRACIÓN DE LA CONFIGURACIÓN (ACNF) Dirección General de Tecnologías de la Información 40

¿Qué es Subversion? Herramientas para el control de versiones de archivos, software o documentación, multiplataforma (Windows, Linux, etc). Es un repositorio central que actúa como un servidor de archivos, con la capacidad de registrar todos los cambios que se hacen tanto en sus directorios como en sus archivos. Es posible copiar y renombrar archivos, crear ramas. Se puede pedir una salida con las diferencias entre dos revisiones arbitrarias, o que recupere algún sub-árbol de la revisión N.

¿Qué es TortoiseSVN ? TortoiseSVN es un cliente gratuito para el sistema de control de versiones Subversion. Los menús contextuales de TortoiseSVN también funcionan en otros administradores de archivos, y en la ventana Fichero/Abrir que es común a la mayoría de aplicaciones estándar de Windows. Todos los comandos de Subversion están disponibles desde el menú contextual del explorador. TortoiseSVN añade su propio submenú allí.

PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ASI) Dirección General de Tecnologías de la Información 44

Procesos en las materias de TIC y de seguridad de la información GOBERNANZA ORGANIZACIÓN Planeación Estratégica (PE) Administración del Presupuesto y las Contrataciones (APCT) Administración de Servicios (ADS) Administración de la Configuración (ACNF) Administración de la Seguridad de la Información (ASI) Administración de Proyectos (ADP) Administración de Proveedores (APRO) Administración de la Operación (AOP) Operación de Controles de Seguridad de la Información y del ERISC (OPEC) ENTREGA

Objetivos Específicos PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ASI). Establecer, operar y mantener un modelo de gobierno de seguridad de la información Efectuar la identificación de infraestructuras críticas y activos clave de la institución y elaborar el catálogo respectivo Establecer los mecanismos de administración de riesgos que permitan identificar, analizar, evaluar, atender y monitorear los riesgos. Establecer un SGSI que proteja los activos de información de la institución, con la finalidad de preservar su confidencialidad, integridad y disponibilidad. Establecer mecanismos para la respuesta inmediata a incidentes a la seguridad de la información. Vigilar los mecanismos establecidos y el desempeño del SGI, a fin de prever desviaciones y mantener una mejora continua. Fomentar una cultura de seguridad de la información en la Institución.

Actividades del Proceso

Proceso de Administración de Proyectos (ADP)

Proceso de Administración de Proyectos (ADP) Objetivo General Administrar iniciativas, programas y proyectos de TIC, a fin de optimizar la aplicación de los recursos y obtener mayores beneficios para la Institución. Objetivos Específicos Establecer la gobernabilidad del portafolio de proyectos de TIC Establecer una visión integral de los proyectos de TIC designará, para cada proyecto que se autorice, al administrador de proyecto. Establecer las directrices para administrar el portafolio de proyectos TIC.

Reglas del proceso El responsable de este proceso es el administrador del portafolio de proyectos TIC. El administrador del portafolio de proyectos designará, para cada proyecto que se autorice, al administrador del proyecto. Los administradores del proyecto deberán asegurarse que cuenten con su documento de planeación del proyecto, documentos de planeación subsidiarios, desde su inicio hasta su cierre, y que éste se actualice en tiempo y forma de acuerdo a los avances de los proyectos hasta su cierre. Los administradores de proyecto deben asegurarse que cualquier cambio a un proyecto que administren se realice mediante una solicitud de cambio autorizada por los involucrados. El responsable de este proceso deberá asegurarse que en los proyectos de TIC se aplique la metodología, que se adopte por la UTIC con apego a la EDN. Los responsables de proyecto deberán asegurarse que las metodologías y /o mejores prácticas que se documenten en cada uno de los proyectos que desarrolle la UTIC.

Roles del proceso Grupo de Trabajo para la dirección de proyectos TIC. Responsable de proceso y administrador del portafolio de proyectos TIC Responsable de iniciativas de TIC Administrador de proyectos TIC

ROLES PROCESOS Grupo de Trabajo para la Dirección de TIC Administrador del Portafolio de Proyectos de TIC Responsable de la Administración de Programas de Proyectos

Relación de Productos del proceso 1. Tablero de control de proyectos de TIC 2. “Acta de constitución de proyecto” (Formato ADP F1) 3. “Acta de aceptación de entregables” (Formato ADP F2) 4. “Acta de cierre de proyecto” (Formato ADP F3)

Actividades del Proceso ADP 1 Establecer directrices para la gobernabilidad y evaluación del portafolio de proyectos de TIC. ADP 2 Identificar y documentar iniciativas de TIC. ADP 3 Priorizar, equilibrar y autorizar el portafolio de proyectos.

Actividades del Proceso ADP 4 Administrar programas de proyectos y proyectos de TIC. ADP 5 Monitorear el desarrollo de los proyectos de Tic y sus programas. ADP 6 Cerrar iniciativas y proyectos de TIC.

PROCESO DE ADMINISTRACIÓN DE PROVEEDORES (APRO). Dirección General de Tecnologías dela Información

Objetivos de APRO Objetivo General: Mecanismo  verificar el cumplimiento de las obligaciones adquisición, arrendamiento o servicios de TIC.   Objetivos Específicos: 1. Hallazgos, desviaciones y riesgos. 2. Acciones preventivas y correctivas.

REGLAS DEL PROCESO DE APRO Rsponsable desigando por titular de la UTIC.  Responsable de APRO designa a los administradores de contratos con el visto bueno del titular de la UTIC. *Cumplimiento de la LAASSP y Acuerdo por el que se expide el MAAGMAASSP. REGLAS DEL PROCESO DE APRO

Actividad 1 (APRO1)  Generar lista de verificación de obligaciones*. ¿Cómo y para Qué?  Conforme a CADA contrato celebrado. Para dar seguimiento al desarrollo de las obligaciones pactadas. *Responsable elabora con APOYO de los administradores.

Actividad 1 (APRO1)  ¿Qué debe contener la lista? a) La totalidad de las obligaciones asumidas por el Proveedor y la Institución.* b) Los supuestos en que se aplicarán penalizaciones al proveedor. c) Las fechas de entrega de los bienes o de prestación de los servicios contratados y en su caso, el calendario de entrega de los productos o entregables. d) Los datos del enlace o de los enlaces o responsables, designados por el proveedor. *En los casos en que participen diversos proveedores en un contrato, identificar qué obligaciones corresponden a cada uno.

Actividad 2 (APRO2)  Verificar avances de compromios y actividades*. ¿Cómo y para Qué?  Conforme a CADA contrato celebrado. Para dar seguimiento al desarrollo de las obligaciones pactadas. *Responsable recaba información con APOYO de los administradores.

Actividad 2 (APRO2) Recabar evidencia relativa a los aspectos siguientes:  Evidencia relativa a los aspectos siguientes: a) Cumplimiento de las obligaciones asumidas por el proveedor en el contrato. b) Los avances del proveedor y el desempeño al que éste se encuentre obligado. c) La identificación de los incumplimientos del proveedor y las penas convencionales o deductivas que se hubieren aplicado o que deban aplicarse.

Actividad 2 (APRO2) Con la información obtenida de los administradores del contrato coadyuvará para:  Elaborar un reporte de avance sobre el cumplimiento de obligaciones, con el fin de: a) Identificar, analizar y registrar hallazgos, desviaciones y riesgos, y proponer al administrador del proyecto, así como a la unidad administrativa o a los responsables de los procesos involucrados, las acciones preventivas y/o correctivas correspondientes. b) Dar seguimiento a las acciones preventivas y/o correctivas que se determinen hasta su cierre.

Actividad 3 (APRO3) Apoyo para la verificación del cumplimiento de las obligaciones de los contratos. ¿Cómo y para Qué?  Conforme a CADA contrato celebrado. Para corroborar que el provedor de CADA contrato, cumple con el mismo. *Responsable realiza solo la actividad.

¿Cómo se realiza el apoyo? Actividad 3 (APRO3) ¿Cómo se realiza el apoyo?  Actualizando el reporte de avance sobre el cumplimiento de obligaciones con la información final y; Comunicando cualquier incidente o desviación que se detecte al administrador de proyecto

Resumen: Datos de identificación en la Herramienta. Lista de verificación de obligaciones. Descripción: Elaborar una lista de verificación, conforme al contrato celebrado, para dar seguimiento al desarrollo de las obligaciones pactadas. La lista de verificación deberá contener al menos, lo siguiente: a) Relación de la totalidad de las obligaciones asumidas por el proveedor y la Institución. b) Relación de los supuestos en que se aplicarán penalizaciones al proveedor. c) Las fechas de entrega de los bienes o de prestación de los servicios contratados y en su caso, el calendario de entrega de los productos o entregables. d) Los datos del enlace o de los enlaces o responsables, designados por el proveedor. *. En los casos en que participen diversos proveedores en un contrato, será necesario identificar qué obligaciones corresponden a cada uno. Factores Críticos: a) Descripción: Elaborar un reporte de avance sobre el cumplimiento de obligaciones por el proveedor en el contrato, así como, si es el caso la identificación de los incumplimientos del proveedor y las penas convencionales o deductivas que se hubieren aplicado o que deban aplicarse. El reporte deberá Identificar, analizar y registrar hallazgos, desviaciones y riesgos, y proponer al administrador del proyecto, las acciones preventivas y/o correctivas correspondientes. b) Actualizar el reporte de avance sobre el cumplimiento de obligaciones con la información final, y comunicar cualquier incidente o desviación que se detecte al administrador de proyecto y, en su caso, a la unidad administrativa solicitante o a los responsables de los procesos involucrados, así como a la unidad administrativa facultada en la Institución para efecto Datos del proyecto Definición de Necesidad de Negocio Criterios de éxito del proyecto Alcance Proyecto Restricciones Clave / Supuestos Alternativas de proyecto Estrategia de Implementación Planes Soporte Mecanismos de control y seguimiento Administración de la configuración Aseguramiento de Calidad Comunicación Entrenamiento Datos de identificación en la Herramienta.

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

HERRAMIENTA MAAP

Administración de operaciones MAAGTIC-SI SUBSECRETARIA DE ADMINISTRACIÓN Y FINANZAS DIRECCIÓN GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN 79

Administración de OPERACIONES Entregar a los usuarios los servicios de TIC, conforme a los niveles de servicio acordados y con los controles de seguridad definidos. 1. Establecer mecanismos para administrar y operar la infraestructura y servicios de TIC, de manera que puedan resistir fallas, ataques deliberados o desastres y, se recuperen los servicios de TIC de manera ágil y segura. 2. Asegurar la estabilidad y continuidad de la operación de la infraestructura de TIC en la aplicación de cambios y la solución de problemas e Incidentes, la implementación de aplicativos de cómputo, soluciones tecnológicas y nuevos servicios de TIC. 80

Administración de Operaciones IMPORTANCIA 81

Administración de Operaciones PROCESO 82

Administración de Operaciones PRODUCTOS - FORMATOS 1.“Mecanismo de operación de TIC” (formato de acuerdo a las necesidades de la UTIC). 2.“Programa de aprovisionamiento de la infraestructura tecnológica”. Formato AOP F1. 3.“Programa de mantenimiento de la infraestructura tecnológica”. Formato AOP F2. 83

Administración de Operaciones ORIENTACIÓN EN HERRAMIENTA 84

Dirección General de Tecnologías de la Información PROCESO DE OPERACIÓN DE LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN Y DEL ERISC (OPEC) Dirección General de Tecnologías de la Información 85

Objetivo General PROCESO DE OPERACIÓN DE LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN Y DEL ERISC (OPEC). Implementar y operar los controles de seguridad de la información de acuerdo al programa de implementación del SGSI, así como los correspondientes a la capacidad de respuesta a incidentes.

Objetivos Específicos Implementar y operar los controles de seguridad de la información. Definir y aplicar la planeación para la mitigación de riesgos por incidentes. Implementar las mejoras recibidas del Proceso de Administración de la Seguridad de la Información (ASI), para el fortalecimiento del SGSI, tanto de sus guías técnicas como de los controles de seguridad de la información en operación.

Actividades del Proceso OPEC 1 Designar un responsable de la supervisión de la implementación de los controles de seguridad definidos en el SGSI y en el análisis de riesgos. OPEC 2 Establecer los elementos de operación del ERISC.. OPEC 3 Operación del ERISC en la atención de incidentes. OPEC 4 Implementar los controles de mitigación de riesgos y los controles del SGSI. OPEC 5 Implementar los controles del SGSI relacionados con los dominios tecnológicos de TIC. OPEC 6 Revisar la operación del SGSI. OPEC 7 Aplicar al SGSI las mejoras que defina el grupo estratégico de seguridad de la información.