Plan Director de Sistemas y Tecnologías de la Información

Plan Director de Sistemas y Tecnologías de la Información 2021 – 2023 RESUMEN

Resumen Plan Director de Sistemas y Tecnologías de la Información 2021 - 2023

2

Índice del documento 1. RESUMEN EJECUTIVO .................................................................................................................................. 4

2. ANÁLISIS DE LOS SISTEMAS ACTUALES ............................................................................................... 5

2.1 DESCRIPCIÓN GENERAL DE LA SITUACIÓN ............................................................................... 5

2.1.1 Presupuesto .................................................................................................................................. 5 2.1.2 Organización TIC: estructura de gestión, recursos, capacidades ............................ 6

2.1.2.1 Fluido eléctrico .................................................................................................................. 6

2.1.2.2 Centros de Proceso de Datos (CPDs) ........................................................................ 6

2.1.2.3 Redes ..................................................................................................................................... 6

2.1.2.4 Computación y almacenamiento ............................................................................... 7

2.1.2.5 Microinformática ............................................................................................................... 7

2.1.2.6 Comunicaciones y Servicios comunes ...................................................................... 7

2.1.2.7 Aplicaciones ........................................................................................................................ 8

2.1.2.8 Seguridad ............................................................................................................................. 8

2.1.2.9 Gestión TIC .......................................................................................................................... 8

2.1.2.10 Otros factores .................................................................................................................. 8

2.1.3 Relaciones con la organización ............................................................................................. 9 2.2 ANÁLISIS DAFO ..................................................................................................................................... 9

2.2.1 Debilidades.................................................................................................................................... 9 2.2.2 Amenazas .................................................................................................................................... 10 2.2.3 Fortalezas .................................................................................................................................... 10 2.2.4 Oportunidades .......................................................................................................................... 11

3. ANÁLISIS DEL MERCADO ........................................................................................................................ 11

4. PROPUESTA DE ESTRATEGIA TIC Y ANÁLISIS DEL GAP ............................................................... 12

4.1 DEFINICIÓN ESTRATÉGICA DEL DEPARTAMENTO DE INFORMÁTICA DE LA SINDICATURA ............................................................................................................................................... 12

4.1.1 Misión ........................................................................................................................................... 12 4.1.2 Visión ............................................................................................................................................ 12


3

4.1.3 Valores .......................................................................................................................................... 12 4.2 OBJETIVOS ESTRATÉGICOS ............................................................................................................ 13

4.2.1 Objetivo Estratégico 1 (OEInf.1). Establecer un marco de Gobierno y Gestión de las TIC .......................................................................................................................................... 13

4.2.2 Objetivo Estratégico 2 (OEInf.2). Realizar una explotación segura de los sistemas de información ............................................................................................................ 13

4.2.3 Objetivo Estratégico 3 (OEInf.3). Prestar servicios TIC proactivos, sostenibles y de calidad ..................................................................................................................................... 14

4.2.4 Objetivo Estratégico 4 (OEInf.4). Redefinir el rol de las TIC en la Sindicatura ....................................................................................................................................... 14

4.2.5 Objetivo Estratégico 5 (OEInf.5). Gestionar eficientemente los recursos del departamento ................................................................................................................................. 14

4.3 Principios ............................................................................................................................................... 15

5. IMPLICACIONES y Programas a ejecutar ........................................................................................... 15

5.1 PROGRAMAS DE ACTUACIÓN ...................................................................................................... 16

5.1.1 Servicios TIC excelentes y sostenibles ............................................................................. 16 5.1.2 Servicios TIC resilientes ......................................................................................................... 16

5.2 ANUALIZACIÓN Y NECESIDADES DE PROGRAMAS Y PROYECTOS ............................... 17

6. PLAN DE IMPLANTACIÓN ....................................................................................................................... 22

6.1 PLAN DE ACTIVIDAD ........................................................................................................................ 22

6.2 ORGANIZACIÓN, GESTIÓN Y SEGUIMIENTO DEL PLAN .................................................... 27

6.2.1. Justificación de los proyectos del Plan ........................................................................... 27 6.2.2 Seguimiento del Plan ............................................................................................................. 28

CONCLUSIONES ............................................................................................................................................... 28

ÍNDICE DE TABLAS ............................................................................................................................................ 31


4

1. RESUMEN EJECUTIVO

El propósito de un Plan Director de Sistemas de Información es establecer los objetivos, líneas de actuación y programas sobre las Tecnologías de la Información y las Comunicaciones de una organización para un periodo determinado. Este documento constituye un resumen del Plan Director de Sistemas de Información 2021-2023 de la Sindicatura, cuya versión íntegra aprobó el Consell de la misma,

En este caso, tras el diagnóstico de la situación existente en mayo de 2021, tras el relevo en el puesto de técnico de organización y coordinación de sistemas y tecnologías de la información, por jubilación del anterior responsable, se elabora este Plan Director para poder realizar una adecuada planificación de las actividades y proyectos que permitan adecuar las TIC de la Sindicatura de Comptes de la Comunitat Valenciana a la realidad tecnológica y de seguridad actual.

Los resultados de la fase de diagnóstico, resumidos en un Análisis DAFO, muestran un total de 91 debilidades y 23 amenazas, frente a 22 oportunidades y 11 fortalezas, por lo que el foco del Plan se situará en la corrección de debilidades y en el afrontamiento de amenazas, aprovechando las fortalezas y prestando atención a las oportunidades que se presenten en cada momento.

Este Plan se articula alrededor de 135 programas y proyectos. En torno al 50% de los programas incluidos no se desarrollan siquiera en el documento íntegro del Plan Director, para evitar que la extensión del mismo sea aún mayor. Por esta razón, cada programa que se encuentre en esta situación deberá ser desarrollado en su Plan de Programa específico, que incluya toda la información necesaria y los proyectos que lo constituirán. De la misma manera, cada proyecto se documentará apropiadamente y se justificará con los documentos de gestión oportunos.

Uno de los objetivos a largo plazo más importantes de este Plan Director es crear un marco de gobierno y gestión de las TIC de la Sindicatura, objetivo que, de alcanzarse apropiadamente, nos permitirá alinear perfectamente el desempeño y evolución de nuestras TIC a las necesidades de la Institución, preparándolas para los diferentes cambios que el futuro pueda deparar a la Sindicatura y a los servicios que demanda el departamento de Informática.

En la situación actual, en la que los ciberataques se suceden de forma continua, las iniciativas de ciberseguridad, bien sean de despliegue de nuevas soluciones, bien sean de revisión y análisis de sistemas y configuraciones, serán prioritarias frente a otro tipo de iniciativas. Sin embargo, en todo momento se aplicarán enfoques en los que no se podrá considerar un servicio en producción hasta que no se encuentre adecuadamente desplegado, monitorizado y documentado, evitando así que haya ‘islas’ o ‘sumideros’ de conocimiento en los sistemas de la Sindicatura.


5

Para ello, se dotará al departamento de informática de herramientas de gestión y administración de sistemas adecuadas al fin perseguido, así como de los procedimientos y guías técnicas apropiados.

Es obvio que toda esta batería de iniciativas va a tener un coste, y en los apartados correspondientes del Plan se determinan los costes aproximados de cada programa o proyecto, si es posible determinarlo en este momento. Y aunque agregados esos costes puedan parecer muy altos, hay que tener en cuenta que hay un considerable retraso en la adopción de determinadas tecnologías y productos que están repercutiendo no sólo en la productividad del conjunto del personal de la Sindicatura, sino que también pueden poner en peligro el funcionamiento de ésta, en el caso de las diferentes amenazas tecnológicas existentes.

2. ANÁLISIS DE LOS SISTEMAS ACTUALES

Cualquier Plan Director o Plan Estratégico debe partir del análisis de la situación actual y del conocimiento de la misión y valores de la organización que elabora el Plan, para, a continuación, establecer una visión que materializar en objetivos estratégicos, que a su vez se puedan convertir en líneas de actuación reflejadas en programas de proyecto concretos.

Para el análisis de la situación actual de las TIC de la Sindicatura se ha partido de una descripción general y de un Análisis DAFO de las mismas, lo que permite definir un Plan Director que, afrontando las amenazas, aprovechando las oportunidades, potenciando las fortalezas y minimizando las debilidades, permita al departamento de Informática de la Sindicatura alinearse completamente con los objetivos estratégicos y líneas de actuación principales de la misma y contribuir a la aceleración de su logro.

2.1 DESCRIPCIÓN GENERAL DE LA SITUACIÓN

2.1.1 Presupuesto

Las TIC de la Sindicatura, para 2021, ha contado con las siguientes dotaciones presupuestarias iniciales:

Tabla 1: Dotaciones presupuestarias iniciales 2021

APLICACIÓN DENOMINACIÓN CONSIGNACIÓN 21601 Equipos para proceso de información (mantenimiento) 95.000,00 22003 Material informático no inventariable 5.000,00 22201 Telefónicas 30.000,00 22707 Estudios y trabajos técnicos 100.000,00


6

62901 Inmovilizado inmaterial1 10.000,00 63501 Mobiliario2 20.000,00 63601 Equipos para proceso de información (inversión) 50.000,00

2.1.2 Organización TIC: estructura de gestión, recursos, capacidades

2.1.2.1 Fluido eléctrico

La Sindicatura dispone de un generador, ubicado en la azotea del edificio, para proporcionar energía eléctrica a determinadas instalaciones, entre las que se encuentra la sala donde se ubica el Centro de Proceso de Datos (CPD) principal de la Institución, en caso de fallo del fluido eléctrico. El mantenimiento de este equipamiento recae sobre la Supervisora de Mantenimiento de la Sindicatura y los contratos de mantenimiento que pudiera haber.

Asimismo, la Institución también dispone en el CPD principal de dos Sistemas de Alimentación Ininterrumpida (SAI) para proteger a los equipos a él conectados en caso de que se produzca el fallo eléctrico mencionado, mientras el generador arranca y alcanza su régimen de funcionamiento adecuado. Estos dos elementos de protección eléctrica cubren diferentes ámbitos. El mayor de ellos, permite que ordenadores y otros equipos de todo el edificio, si se encuentran conectados a las tomas de corriente en pared adecuadas, sigan en funcionamiento ante una eventual pérdida de fluido eléctrico desde la red pública. El más pequeño de los dos protege las infraestructuras tecnológicas ubicadas en el CPD.

2.1.2.2 Centros de Proceso de Datos (CPDs)

Físicamente, la Sindicatura dispone de equipamiento en tres ubicaciones: el edificio principal de la Sindicatura en la calle San Vicente nº 4, los despachos de la UASI en la calle Maestro Clavé nº 1, y un determinado espacio en bastidores (o racks) en el CPD de la Generalitat Valenciana ubicado en la Ciudad Administrativa 9 d’Octubre (CA9O). Por sus características, las instalaciones de Maestro Clavé no se deberían considerar un CPD, aunque allí se ubique de forma temporal o esporádica algún servicio TIC transversal.

2.1.2.3 Redes

La Sindicatura dispone de equipamiento de redes que permite conectar los diferentes recursos y servicios disponibles, bien por medios cableados, bien por medios inalámbricos. El equipamiento es de diferentes fabricantes, capacidades y antigüedades, y se basa

1 No toda la consignación estaba disponible para las TIC

2 Incluye dotaciones para el Acuerdo Marco CNMY15 Lote 3


7

fundamentalmente en ocho conmutadores de red y siete puntos de acceso inalámbrico.

2.1.2.4 Computación y almacenamiento

La Sindicatura dispone de una serie de servidores y dispositivos de almacenamiento, algunos de los cuales están en desuso debido a su antigüedad o a averías no reparables. En uso se encuentran cuatro servidores, aunque en el momento de escribir este documento uno se encontraba a la espera de ser reparado o sustituido.

Respecto del almacenamiento, en el CPD Principal se dispone de dos cabinas para alojar el espacio de almacenamiento de los diferentes servidores físicos y virtuales, más una cabina que aloja el primer nivel de las copias de seguridad. En el CPD de respaldo en el CA9O hay una cabina que aloja las copias de segundo nivel.

2.1.2.5 Microinformática

La Sindicatura dispone de una variedad de equipos informáticos de uso personal, tanto de sobremesa, como portátiles o tabletas, que ascienden a un total aproximado de 120, aunque durante el periodo de elaboración del Plan se realizaron los trámites para adquirir otros 32 equipos para sustitución y mejora de algunos de los existentes. Asimismo, hay instalados un total de 15 equipos de impresión, lo que incluye impresoras y equipos multifuncionales, de diversos fabricantes, capacidades y antigüedades. Los equipos más nuevos forman parte de un Acuerdo marco de servicios de impresión de la Generalitat Valenciana.

2.1.2.6 Comunicaciones y Servicios comunes

La Sindicatura hace uso de varios servicios comunes prestados por la Generalitat Valenciana, comenzando por la conectividad a la Red Corporativa de la misma, que nos permite, por ejemplo:

• Cursar tráfico a/desde Internet, lo que nos permite, entre otras cosas, disponer de una serie de servicios publicados en Internet.

• Interconectar nuestra sede de Maestro Clavé con la de San Vicente.

• Usar la plataforma de telefonía IP en virtud de un Acuerdo Marco, con numeración corporativa de GVA, incluida la integración de la telefonía móvil.

• Ubicar servidores de Sindicatura en el CA9O con objeto de disponer de un pequeño entorno de CPD de respaldo.

• Disponer del servicio de correo electrónico de GVA, con cuentas en el dominio @gva.es.


8

• Estar bajo el paraguas de la protección en materia de ciberseguridad del CSIRT-CV.

2.1.2.7 Aplicaciones

La Sindicatura dispone de un listado de aplicaciones de escritorio permitidas en los equipos de usuario, en línea con lo necesario para mantener adecuadamente el inventario de software y licencias, y permitir un adecuado plan de mantenimiento de dichas aplicaciones a través de la instalación de parches y actualizaciones. Asimismo, se dispone de un determinado número de licencias de Office 365 en diferentes niveles de servicio.

Desde un punto de vista corporativo, la Sindicatura dispone de aplicaciones horizontales y departamentales, para diferentes fines, entre las que destacan TeamMate y ACL.

Hay que resaltar, además, que se encuentran en diferentes estadios de implantación algunas aplicaciones proporcionadas por otras entidades, tales como Sedipualb@, DINTRE, RETECON o FISCON, que van a formar parte en un periodo de tiempo acotado del portfolio de servicios a disposición del personal de la Sindicatura.

2.1.2.8 Seguridad

Desde un punto de vista de la seguridad, podemos decir que la Sindicatura, como muchas otras organizaciones, dispone de un servicio de Directorio Activo de Microsoft para permitir la autenticación de los usuarios en diferentes servicios, comenzando por el acceso al propio terminal del usuario y los recursos compartidos de red.

2.1.2.9 Gestión TIC

Para la ejecución de los diferentes procesos que la gestión de las TIC requiere se están utilizando diferentes productos y herramientas,

Las incidencias y solicitudes de servicio se realizan a través de un formulario de la Intranet (que se reciben en una dirección de correo electrónico compartida), por teléfono o de forma presencial (cuando se está en el edificio de Sindicatura). El inventario de equipos se realiza a través de varios métodos, básicamente, hojas de cálculo y algunas de las aplicaciones anteriormente citadas. Durante el tiempo de escritura de este documento, se han iniciado los trabajos para desplegar una herramienta que permita unificar y estandarizar varios procesos de gestión de las TIC. Está herramienta, GLPI, es una solución de código abierto ampliamente utilizada en el sector.

2.1.2.10 Otros factores

El factor más importante en este apartado es el factor humano. El departamento de Informática está conformado por cinco técnicos/as, de diferentes niveles de titulación, con los que colabora estrechamente la técnico/a de administración electrónica y aplicaciones


9

corporativas, que se ha hecho cargo del departamento durante el periodo en que estaba vacante por jubilación la plaza de técnico/a coordinador del mismo.

Asimismo, la administrativa supervisora de mantenimiento realiza algunas tareas TIC, relacionadas con la telefonía corporativa y el mantenimiento general de las infraestructuras comunes. Ello se debe a que es la persona que gestiona los aspectos materiales de la aplicación del Acuerdo Marco de comunicaciones de la GVA al que la Sindicatura está adherida (CESSTIC).

El departamento cuenta, asimismo, con apoyo externo, en forma de contratos de mantenimiento y bolsas de horas para realizar tareas de soporte y asistencia técnica, por parte de diferentes empresas proveedoras. Estos contratos cubren tanto equipamiento hardware como productos software, y tienen diferentes SLA.

2.1.3 Relaciones con la organización

El departamento de Informática depende orgánicamente de la Secretaría General de la Sindicatura. Por tanto, las relaciones formales con el resto de la Institución se realizan a través de la estructura jerárquica establecida.

Sin embargo, dada nuestra naturaleza de departamento que presta servicios transversales, se establecen muchas relaciones horizontales y diagonales con otros estamentos de la Institución, y también con otras entidades, como el Tribunal de Cuentas, CSIRT-CV, DGTIC, cuentadantes, etc. a través de cualquier miembro del departamento de Informática.

2.2 ANÁLISIS DAFO

2.2.1 Debilidades

Las debilidades se refieren a todos aquellos elementos, recursos de energía, habilidades y actitudes que la organización ya tiene y que constituyen barreras para lograr la buena marcha de la misma. Esto incluye también al servicio que se brinda, a aspectos financieros, a situación de mercado o sector, a aspectos organizativos, etc. Las debilidades son problemas internos que, una vez identificados y desarrollando una adecuada estrategia, pueden y deben eliminarse. Para su detección, debemos preguntarnos:

• ¿Qué hacemos mal?

• ¿Qué se puede evitar?

• ¿Qué se debería mejorar?

• ¿Qué desventajas tiene la organización en comparación a otras del mismo


10

tipo/sector/tamaño?

• ¿Qué se percibe externamente como una debilidad?

Tras el análisis detallado, se han identificado un total de 91 debilidades, descritas en el Plan Director íntegro.

2.2.2 Amenazas

Las amenazas son problemas o situaciones negativas, externas, que pueden afectar directamente a la existencia o desempeño de la organización, y que una vez identificadas, es necesario diseñar una estrategia óptima para poder afrontarlas.

Algunas de las preguntas que se pueden realizar para la identificación de las amenazas a las que está sometida la organización son:

• ¿A qué obstáculos externos se enfrenta la organización?

• ¿Qué están haciendo los competidores?

• ¿Qué situaciones o circunstancias del exterior nos pueden afectar negativamente?

Tras el análisis detallado, se han identificado un total de 23 amenazas, descritas en el Plan Director íntegro.

2.2.3 Fortalezas

Las fortalezas son aquellos factores internos que suponen una ventaja competitiva y que pueden permitir sacar más rendimiento a las oportunidades y superar las amenazas. Algunas de las preguntas que se pueden realizar y que contribuyen en su identificación son:

• ¿Qué hacemos mejor que otros del mismo tipo/sector/tamaño?

• ¿Qué elementos nos diferencian positivamente?

• ¿Qué elementos internos potencian nuestro desempeño?

Tras el análisis detallado, se han identificado un total de 11 fortalezas, descritas en el Plan Director íntegro.

2.2.4 Oportunidades


11

Las oportunidades son aquellos factores positivos que se generan en el entorno y que, una vez identificados, pueden ser aprovechados y pasar a ser fortalezas o ventajas competitivas. Algunas de las preguntas que se pueden realizar y que contribuyen en su identificación son:

• ¿Qué circunstancias externas pueden mejorar la situación de la organización?

• ¿Qué tendencias del mercado pueden favorecernos?

• ¿Existe una coyuntura en la economía del país o región que podamos aprovechar?

• ¿Qué cambios se presentan en el mercado de las TIC que pueden beneficiarnos?

• ¿Qué cambios en las normas podemos aprovechar?

Tras el análisis detallado, se han identificado un total de 22 oportunidades, descritas en el Plan Director íntegro.

3. ANÁLISIS DEL MERCADO

El mercado TIC es un entorno muy dinámico, en el que las tendencias cambian con rapidez. Hay grandes tendencias y tendencias por sectores. Conocerlas y analizar cómo pueden ser aprovechadas por nuestra Institución o como pueden impactar en la misma es básico para cualquier esfuerzo de planificación.

Las grandes tendencias para 2021 y siguientes que identifican, a nivel global, consultoras como Gartner, PWC o IDC son las siguientes:

1. Ciberseguridad

2. Robotic Process Automation

3. Servicios en la Nube y Edge Computing

4. Movilidad

5. Inteligencia Artificial e ingeniería de IA

6. Análisis y Gobierno del dato

4. PROPUESTA DE ESTRATEGIA TIC Y ANÁLISIS DEL GAP


12

4.1 DEFINICIÓN ESTRATÉGICA DEL DEPARTAMENTO DE INFORMÁTICA DE LA SINDICATURA

4.1.1 Misión

La misión del departamento de Informática de la Sindicatura de Comptes de la Comunitat Valenciana es dar soporte a las necesidades que la Institución precise en materia de tecnologías de la información y las comunicaciones, en cualquiera de sus ámbitos de actuación, potenciando el uso de estas tecnologías y haciendo una gestión eficaz y eficiente de los recursos disponibles, todo ello en consonancia con el marco de gobierno establecido.

4.1.2 Visión

El departamento de Informática de la Sindicatura de Comptes de la Comunitat Valenciana quiere:

• Ser un servicio alineado con la estrategia de la Institución, capaz de implementarla, y un referente en su ámbito de actuación tanto de forma interna como externa, aportando valor a las partes interesadas.

• Satisfacer las necesidades planteadas por las distintas partes interesadas, con criterios de calidad y eficiencia.

• Disponer de una plantilla cualificada, motivada, implicada y dimensionada adecuadamente para la consecución de los objetivos de la Institución.

• Innovar en la prestación de los servicios y apoyar en la innovación y mejora del desempeño de las diferentes partes interesadas.

4.1.3 Valores

El departamento de Informática de la Sindicatura de Comptes de la Comunitat Valenciana desea regirse e inspirarse en los valores siguientes:

• La igualdad de oportunidades de desarrollo profesional de su plantilla.

• El trabajo en equipo.

• La conducta profesional y ética de la plantilla.

• La capacidad de innovación y mejora continua.


13

4.2 OBJETIVOS ESTRATÉGICOS

Del Plan Estratégico de la Sindicatura, y orientados por el marco de gobierno de las TIC COBIT 2019 de ISACA., a continuación se definirán los objetivos estratégicos y líneas de actuación departamentales desde un punto de vista práctico, más basado en la experiencia, y en apartados posteriores de este documento, se plasmarán los programas y proyectos que se llevarán a cabo para lograrlos.

4.2.1 Objetivo Estratégico 1 (OEInf.1). Establecer un marco de Gobierno y Gestión de las TIC

El establecimiento de un marco de Gobierno y Gestión de las TIC en la Sindicatura pasa no sólo por la presencia de las cuestiones de Información y Tecnología en los órganos de decisión de la misma, sino que requiere que se establezcan también las medidas oportunas en el ámbito de la gestión de las TIC.

Este objetivo, que probablemente sea el que más plazo de ejecución requiera para alcanzar un nivel aceptable de capacidad, pretende lograr la implantación del marco de referencia de COBIT 2019 en la Sindicatura al final de la vigencia de este Plan Director, con un nivel de capacidad mínimo de 2 en todos los procesos implicados, comenzando por los objetivos de Gestión, que son los que más cerca están de la prestación efectiva del servicio. Cabe recordar la máxima de que “Puede existir Gestión sin Gobierno, pero no Gobierno sin Ges-tión”.

Las metas o líneas de actuación de este objetivo estratégico departamental son un total de cinco, detalladas en el Plan Director íntegro.

4.2.2 Objetivo Estratégico 2 (OEInf.2). Realizar una explotación segura de los sistemas de información

En un entorno como el actual, repleto de amenazas a esta sociedad en tránsito hacia su digitalización plena, es imprescindible explotar los sistemas de información de manera segura, independientemente de quienes sean los usuarios del servicio que se preste. El resultado de este objetivo ha de ser la reducción del riesgo de los servicios que presta el departamento, hasta alcanzar el nivel riesgo aceptable que establezca la Sindicatura.

Las metas o líneas de actuación de este objetivo estratégico departamental son un total de seis, detalladas en el Plan Director íntegro.

4.2.3 Objetivo Estratégico 3 (OEInf.3). Prestar servicios TIC proactivos, sostenibles y de calidad

Actualmente, no es aceptable que la inmensa mayoría de los incidentes de servicio los reporten los clientes de los mismos (internos o externos) sin que el departamento tenga


14

conocimiento previo de ellos. Asimismo, no es lógico que cada usuario reciba un nivel de servicio diferente ante solicitudes o incidentes similares.

Este objetivo ha de perseguir que los servicios que presta el departamento se ajusten a unos estándares de prestación, parecidos a los Acuerdos de Nivel de Servicio, y que estén adecuadamente procedimentados, lo que en algunos casos podría dar lugar a su automatización.

Para alcanzar este objetivo, habremos de basarnos en metodologías, estándares y buenas prácticas, tales como ITIL o ISO 20000 para la gestión del servicio, o PRINCE2 o SCRUM para la gestión y ejecución de proyectos.

Las metas o líneas de actuación de este objetivo estratégico departamental son un total de once, detalladas en el Plan Director íntegro.

4.2.4 Objetivo Estratégico 4 (OEInf.4). Redefinir el rol de las TIC en la Sindicatura

En la actualidad, el rol de las TIC en la Sindicatura, si nos atenemos a la clasificación establecida por F. Warren McFarlan, James L. McKenney, y Philip Pyburn3, sería el de ”Fábrica”, es decir, cuando las TIC fallan, hay un impacto inmediato en el funcionamiento y continuidad de los procesos y servicios de la organización. Sin embargo, con este rol, las TIC no se consideran un factor impulsor de la innovación de procesos y servicios de la misma.

Atendiendo al Plan Estratégico de la Sindicatura, se deduce que es necesaria una evolución en el rol que nuestro departamento, y las TIC en general, desempeña en la Institución, para situarse en condiciones de lograr a corto plazo un rol de “Cambio”, como camino para alcanzar a medio plazo el rol “Estratégico”, tal y como estos autores los definen.

Las metas o líneas de actuación de este objetivo estratégico departamental son un total de cuatro, detalladas en el Plan Director íntegro.

4.2.5 Objetivo Estratégico 5 (OEInf.5). Gestionar eficientemente los recursos del departamento

El triángulo de hierro de la gestión de proyectos es una forma gráfica de explicar que, ante una iniciativa de cambio o proyecto, la calidad del resultado es función directa del tiempo asignado, del coste estimado y del alcance definido. Si asociamos como coste no sólo el presupuesto asignado, sino cualquier recurso material o humano adscrito al proyecto, es obvio que de la adecuada gestión de esos recursos dependerá que el proyecto finalice en el plazo previsto, con el alcance definido y la calidad final pactada. Si se reduce

3 The Information Archipelago—Plotting a Course. Harvard Business Review 1993


15

el personal y se quiere mantener la calidad del resultado, se deberá aumentar el tiempo disponible o reducir el alcance definido.

Si aplicamos algo parecido a la gestión de los servicios, que junto con la ejecución de proyectos es la otra gran área de actividad de un departamento TIC, nos daremos cuenta que, de nuevo, gestionar adecuadamente los recursos disponibles es la manera de que no haya que aumentar el tiempo necesario para prestarlo o que haya que reducirse el alcance o la calidad esperada.

En el caso de las TIC, también hay que planificar la retirada del servicio de productos y equipos que, por obsolescencia o falta de uso, no aportan el valor suficiente a la Sindicatura para que merezca la pena seguir explotándolos.

Asimismo, no podemos olvidar que puede haber una importante fuente de eficiencia en la reutilización de productos software procedentes de diferentes fuentes, en línea con lo establecido en el artículo 157 apartado 3 de la Ley 40/2015, o en el uso de productos en modo as-a-Service.

Las metas o líneas de actuación de este objetivo estratégico departamental son un total de diez, detalladas en el Plan Director íntegro.

4.3 PRINCIPIOS

Los proyectos en los que se desarrollará el Plan Director han de estar basados en una serie de principios de actuación coherentes, que permitan inspirar la forma en la que se tomen determinadas decisiones de diseño.

Para este Plan se proponen los siguientes principios de actuación, descritos con detalle en el documento íntegro del que éste es resumen:

• Eficiencia y sostenibilidad económica, técnica y medioambiental • Reutilización, software libre y de código abierto • Dato único y correcto • Seguridad y privacidad por defecto y desde el diseño • Gestión del conocimiento

5. IMPLICACIONES Y PROGRAMAS A EJECUTAR

5.1 PROGRAMAS DE ACTUACIÓN

La Sindicatura en la actualidad tiene sus TIC en un modelo híbrido, como muchísimas


16

organizaciones, en el que parte de los servicios se prestan por medios propios, y la otra parte, con medios externos. Y tiene sentido que sea así, ahora y en el futuro, por razones técnicas, económicas u organizativas. Por tanto, no debe presuponerse ningún modo de prestación de los servicios o sistemas que se van a incluir en los Programas de Actuación en los que se quiere articular este Plan Director.

Cabe aclarar aquí que un Programa de Actuación puede constar de otros programas y de proyectos, dependiendo de si lo que se va a obtener de los mismos son beneficios materializados para la organización o productos concretos. Asimismo, también hay que aclarar que la duración estimada de cada uno de los proyectos aquí referidos no debería superar los tres meses, pero algunos proyectos pueden planificarse en mucho menos tiempo.

Cada proyecto se habrá de justificar en un business case4 específico, y se tendrá que planificar y ejecutar adecuadamente, bien mediante licitaciones, bien internamente con trabajo de nuestro personal. Por esa razón no se describe en el documento íntegro del Plan Director cada proyecto o programa, sino que el detalle de cada iniciativa se realizará en el momento de darle curso. En ese momento, habrán de definirse las métricas de rendimiento oportunas del proyecto, y sus factores críticos de éxito.

5.1.1 Servicios TIC excelentes y sostenibles

Este Programa de Actuación pretende elevar la gestión de los servicios TIC a unos niveles adecuados a las necesidades de la Institución, facilitando el desempeño de ésta y convirtiendo a las TIC en un factor acelerador de la organización, y no en un freno. La máxima en este caso es que “las TIC frenan o aceleran a la organización, pero en ningún caso son neutras”.

Los programas incluidos en este Programa de Actuación son un total de 66.

5.1.2 Servicios TIC resilientes

Este Programa de Actuación tiene como objeto que la explotación de la información y de los servicios sea conforme a los estándares exigibles de seguridad y privacidad durante todo su ciclo de vida. Obviamente, este Programa de Actuación está íntimamente relacionado con el anterior, por lo que muchos de sus proyectos serán comunes o con partes comunes. Por ejemplo, la gestión de la continuidad es uno de los componentes de la seguridad, ya que si un sistema no está disponible cuando se le necesita, no es seguro,

4 Un Business Case o caso de negocio es un instrumento o herramienta estratégica, que sirve para valorar y tomar la mejor decisión de inversión en iniciativas o proyectos propuestos por los usuarios o el negocio. Y todo con el objeto de organizar, planificar y jerarquizar los proyectos que deben emprender en el corto, medio y largo plazo.


17

al ser la Disponibilidad una de las cinco dimensiones de la Seguridad, junto con la Integridad, Confidencialidad, Trazabilidad y Autenticidad.

Los programas y proyectos incluidos en este Programa de Actuación son un total de 8.

5.2 ANUALIZACIÓN Y NECESIDADES DE PROGRAMAS Y PROYECTOS

La clave para lograr una adecuada ejecución del Plan Director pasa, además de por la correcta definición de los programas y proyectos en que se articule, y de su dotación de recursos apropiados, por una adecuada sincronización de los mismos en base a unos criterios de priorización.

Como ya se ha mencionado, la prioridad en este momento es la minimización de amenazas y la corrección de debilidades más que el aprovechamiento de oportunidades y la potenciación de fortalezas.

Los programas y proyectos se van a clasificar a continuación según en qué ejercicio de vigencia del Plan Director se deberían iniciar, y en su caso, con indicación de qué otros programas o proyectos depende para poder hacerlo. El orden de los programas y proyectos en la Tabla 3 no presuponen prioridades entre ellos, y se han indicado como ‘Incógnita’ los costes de aquellos proyectos que no pueden ser valorados en este momento por diferentes circunstancias, como la indefinición de la situación de partida, la variedad de soluciones posibles, o las decisiones que se tomen en el momento de acometer el proyecto. Los proyectos cuya columna de Costes aparece en blanco son aquellos en los que, a priori, el proyecto puede asumirse con medios y personal propios, por lo que no hay previsto un coste de inversiones o gastos en servicios con reflejo presupuestario.

Tabla 2: Anualización, dependencias y costes de programas y proyectos

Programas / Proyectos

Descripción Ejercicio Depende de Coste

PG01 Implantación de un marco de Gobierno de las TIC 2021 PG01.01 Gestión de Servicios TIC en base a ITIL/ISO 20000 2021 PG01.01.01 Desplegar los procesos del dominio DSS de COBIT

2019 2021

PG01.01.01.01 Implantar el objetivo de gestión de la organización “DSS02 Gestionar las peticiones e incidentes de servicio”.

2021

PG01.01.01.02 Implantar el objetivo de gestión de la organización “DSS03 Gestionar los problemas”.

2021

PG01.01.01.03 Implantar el objetivo de gestión de la organización “DSS01 Gestionar las operaciones”.

2021

PG01.01.01.04 Implantar el objetivo de gestión de la organización “DSS05 Gestionar los servicios de seguridad”.

2021

PG01.01.01.05 Implantar el objetivo de gestión de la organización “DSS04 Gestionar la continuidad”.

2021 Incógnita


18



PG01.01.02 Desplegar los procesos del dominio BAI de COBIT 2019

2021

PG01.01.02.01 Implantar el objetivo de gestión de la organización “BAI09 Gestionar los activos”.

2021

PG01.01.02.03 Implantar el objetivo de gestión de la organización “BAI06 Gestionar los cambios de TI”.

2021

PG01.01.02.06 Implantar el objetivo de gestión de la organización “BAI03 Gestionar la identificación y construcción de soluciones”.

2021

PG01.01.02.10 Implantar el objetivo de gestión de la organización “BAI08 Gestionar el conocimiento”.

2021

PG01.01.02.11 Implantar el objetivo de gestión de la organización “BAI10 Gestionar la configuración”.

2021

PG01.01.03 Desplegar los procesos del dominio APO de COBIT 2019

2021

PG01.01.03.01 Implantar el objetivo de gestión de la organización “APO10 Gestionar los proveedores”.

2021

PG01.01.03.04 Implantar el objetivo de gestión de la organización “APO07 Gestionar los recursos humanos”.

2021

PG01.01.03.07 Implantar el objetivo de gestión de la organización “APO12 Gestionar el riesgo”.

2021

PG04 Aumentar las capacidades de computación 2021 PG04.01 Aumentar las capacidades de servidores y

almacenamiento. 2021

PR04.01.01 Analizar las alternativas a VMWare. 2021 PR04.01.02 Implantar la alternativa seleccionada para el entorno

de virtualización. 2021 PR04.01.01 Incógnita

PR04.01.03 Adquirir nuevos servidores para el cluster del CPD principal.

2021 44.000,00 €

PR04.01.04 Traslado de los servidores del CPD principal a CPD de respaldo.

2021 PR04.01.03 1.500,00 €

PR04.01.05 Dotar de interfaces 10-Gigabit Ethernet a las cabinas de almacenamiento MSA.

2021 2.400,00 €

PR04.01.06 Dotar de interfaces 10-Gigabit Ethernet a las cabinas de almacenamiento de backups QNAP.

2021 2.400,00 €

PR04.01.07 Actualizar todos los Windows Server a la última versión disponible.

2021 16.000,00 €

PG04.02 Aumentar las capacidades de estaciones de trabajo 2021 PR04.02.01 Elaborar un plan plurianual de renovación de equipos

de usuario. 2021

PR04.02.02 Definir un modelo de estación de trabajo orientada a un entorno híbrido de prestación del servicio por el personal.

2021

PG05 Mejoras en aplicaciones 2021 PR05.01 Implantar un gestor documental para múltiples usos

(tipo Alfresco). 2021

PG05.02 Implantar servicios de correo propios. 2021 4.000,00 € PR05.04 Estudiar la viabilidad a largo plazo de Office365. 2021 PR05.05 Estudiar la viabilidad de uso de LibreOffice para un

subconjunto de usuarios. 2021

PG05.10 Implantar Sedipualb@. 2021 PG06 Mejoras del modelo de prestación de servicios 2021


19



PR06.01 Estudio de rendimiento de aplicaciones departamentales cliente/servidor.

2021

PG06.02 Cambio de enfoque de uso de aplicaciones cliente/servidor a escritorios remotos.

2021

PG08 Implantar un modelo Zero Trust de configuración de la seguridad.

2021

PG08.03 Implantar un nuevo sistema de seguridad perimetral UTM en alta disponibilidad.

2021 20.000,00 €

PG08.04 Mejorar la seguridad del endpoint 2021 PR08.04.01 Renovar la protección antivirus. 2021 16.000,00 € PR08.04.02 Implantar MicroClaudia. 2021 PR08.04.03 Mejorar la gestión de parches de seguridad. 2021 Incluido en

PR08.04.01 PR08.04.04 Implantar una solución para la restricción del uso de

los puertos USB de los equipos. 2021 Incluido en

PR08.04.01 PR08.04.06 Eliminación de credenciales de administrador de

usuarios no pertenecientes al departamento de Informática.

2021

PG03.03 Aumentar las capacidades de telefonía 2021 PR03.03.01 Dotar de telefonía al personal de la Sindicatura para

el modo teletrabajo. 2021 44.300,00 €

PG01.01.01.06 Implantar el objetivo de gestión de la organización “DSS06 Gestionar los controles de los procesos de negocio”.

2022

PG01.01.02.02 Implantar el objetivo de gestión de la organización “BAI01 Gestionar los programas”.

2022

PG01.01.02.04 Implantar el objetivo de gestión de la organización “BAI11 Gestionar los proyectos”.

2022

PG01.01.02.05 Implantar el objetivo de gestión de la organización “BAI02 Gestionar la definición de requisitos”.

2022

PG01.01.02.07 Implantar el objetivo de gestión de la organización “BAI04 Gestionar la disponibilidad y la capacidad”.

2022

PG01.01.02.09 Implantar el objetivo de gestión de la organización “BAI07 Gestionar la aceptación y transición de los cambios de TI”.

2022

PG01.01.03.02 Implantar el objetivo de gestión de la organización “APO09 Gestionar los acuerdos de servicio”.

2022

PG01.01.03.03 Implantar el objetivo de gestión de la organización “APO13 Gestionar la seguridad”.

2022

PG01.01.03.08 Implantar el objetivo de gestión de la organización “APO14 Gestionar los datos”.

2022

PG01.01.03.09 Implantar el objetivo de gestión de la organización “APO05 Gestionar el portafolio”.

2022

PG01.01.03.10 Implantar el objetivo de gestión de la organización “APO06 Gestionar el presupuesto y los costes”.

2022

PG01.01.03.11 Implantar el objetivo de gestión de la organización “APO02 Gestionar la estrategia”.

2022

PG01.01.03.12 Implantar el objetivo de gestión de la organización “APO03 Gestionar la arquitectura de la organización”.

2022

PG01.01.03.14 Implantar el objetivo de gestión de la organización “APO01 Gestionar el marco de gestión de I&T”.

2022

PG02 Aumentar las capacidades de gestión de servicios. 2022


20



PR02.01 Plan de Formación específica para el personal del departamento en gestión de servicios.

2022 4.000,00 €

PR02.02 Reordenación de las capacidades técnicas y tareas. 2022 PR02.03 Plan de Recursos Humanos 2022 PG02.04 Automatización de tareas. 2022 PG03 Aumentar las capacidades de comunicación 2022 PG03.01 Aumentar las capacidades de la red 2022 PR03.01.01 Implantar una red troncal de fibra óptica. 2022 1.000,00 € PR03.01.02 Implantar una red de distribución de Categoría 6. 2022 20.000,00 € PR03.01.03 Instalar electrónica de red troncal a 10-Gigabit

Ethernet. 2022 52.500,00 €

PR03.01.04 Conectar la red troncal con la de distribución a 10-Gigabit Ethernet.

2022 PR03.01.01 PR03.01.02 PR03.01.03

PR03.01.05 Implantar una herramienta de gestión centralizada de la red.

2022 6.000,00 €

PR03.01.06 Aumentar el direccionamiento IP disponible a través de la GVA.

2022

PG03.02 Aumentar las capacidades de la interconexión de redes

2022

PR03.02.01 Migrar a un modelo de interconexión de redes SD-WAN.

2022 Incluido en PR03.01.03

PR03.02.02 Instalar un acceso a Internet separado de la red corporativa de la GVA en el CPD principal.

2022 4.800,00 €

PR03.02.03 Implantar un sistema de VPN multiplataforma. 2022 Incluido en PR03.01.03 o en PG08.03

PR03.02.04 Dar alta disponibilidad al enlace del CPD principal con la red corporativa de la GVA.

2022 Incógnita

PR03.03.02 Aprovisionar teléfonos IP a Gigabit Ethernet. 2022 19.800,00 € PR04.02.03 Estudiar las aplicaciones y servicios de las estaciones

de trabajo para optimizar su uso. 2022

PR05.03 Implantar un servidor de control de impresión, escaneo y OCR.

2022 3.500,00 €

PR05.06 Actualizar a la última versión de MS Office. 2021 PR05.04 36.300,00 € PR05.07 Analizar la viabilidad del cambio de gestor de

contenidos de la web. 2022

PG05.08 Aplicar la normativa de Accesibilidad de sitios web. 2022 PR05.08.01 Definir la Unidad Responsable de Accesibilidad. 2022 PR05.08.02 Elaborar la documentación periódica exigible. 2022 PR05.08.01 PR05.08.03 Formar al personal que crea contenido para la web en

materia de accesibilidad. 2022 PR05.08.01 2.000,00 €

PR05.08.04 Revisar los contenidos de la web para adaptarlos a la norma de accesibilidad.

2022 PR05.08.01 PR05.08.03

3.500,00 €

PG05.09 Implantar un sistema de gestión de la formación. 2022 PR06.03 Estudio de alternativas de acceso a escritorios

personales diferentes al PC clásico. 2022

PR06.04 Elaborar un plan de migración de aplicaciones a infraestructuras comunes.

2022 PR06.01 PG06.02 PR06.03


21



PR06.05 Revisión de la estructura de carpetas compartidas a la luz de los resultados de otros proyectos.

2022

PG07 Revisión general de las Políticas, Normas, Procedimientos y Guías técnicas.

2022

PR08.01 Implantar redes segmentadas. 2022 PR08.02 Implantar un sistema NAC avanzado. 2022 Incluido en

PR01.01.01.06.01 PR08.04.05 Revisión general de la seguridad de los end points

conforme a las guías del CCN. 2022

PR08.05 Implantar un mecanismo estandarizado de accesos de proveedores de servicio a la infraestructura.

2022

PR08.06 Refuerzo automático de la lista de aplicaciones permitidas.

2022

PG09 Implantar un modelo de seguridad proactiva. 2022 PG09.01 Implantar un SIEM con detección de APTs. 2022 14.000,00 € PR09.02 Implantar un servicio de análisis de vulnerabilidades

internas periódico. 2022 4.000,00 €

PR09.03 Realizar un test de intrusión a sistemas internos y externos.

2022 10.000,00 €

PR09.05 Revisar el servicio MDM a la luz de la ejecución de proyectos relacionados con la telefonía móvil.

2022 Incógnita

PR09.06 Implantar LUCIA para la gestión de incidentes de seguridad.

2022

PG10 Mejoras en los CPDs 2022 PG10.01 Mejoras en la alimentación eléctrica. 2022 PR10.01.01 Adquirir un nuevo SAI para proteger la infraestructura. 2022 10.000,00 € PR10.01.02 Separar en SAIs diferentes las cargas de

infraestructura y de tomas de corriente del edificio. 2022 PR10.01.01

PR10.01.03 Conectar a SAI la iluminación y la climatización del CPD principal.

2022 PR10.01.01

PR10.01.04 Mejorar la cobertura del servicio de mantenimiento del generador y los SAI.

2022

PR10.01.05 Instalar PDUs monitorizadas en las tomas de corriente de la infraestructura de todos los bastidores de Sindicatura.

2022 2.000,00 €

PR10.02 Implantar un control de accesos electrónico al CPD principal.

2022 1.500,00 €

PR10.03 Instalar cámaras de seguridad en el CPD principal. 2022 2.000,00 € PR10.04 Implantar un sistema de monitorización ambiental de

humedad y temperatura en el CPD principal. 2022 800,00 €

PG01.01.02.08 Implantar el objetivo de gestión de la organización “BAI05 Gestionar el cambio organizativo”.

2023

PG01.01.03.05 Implantar el objetivo de gestión de la organización “APO08 Gestionar las relaciones”.

2023

PG01.01.03.06 Implantar el objetivo de gestión de la organización “APO11 Gestionar la calidad”.

2023

PG01.01.03.13 Implantar el objetivo de gestión de la organización “APO04 Gestionar la innovación”.

2023

PG01.01.04 Desplegar los procesos del dominio MEA de COBIT 2019

2023


22



PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA01 Gestionar la monitorización del rendimiento y la conformidad”.

2023

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA02 Gestionar el sistema de control interno”.

2023

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA03 Gestionar el cumplimiento de los requisitos externos”.

2023

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA04 Gestionar el aseguramiento”.

2023

PG01.02 Desplegar los procesos del dominio EDM de COBIT 2019

2023 PG01.01

PG01.02.01 Implantar el objetivo de gobierno de la organización “EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno”.

2023

PG01.02.02 Implantar el objetivo de gobierno de la organización “EDM02 Asegurar la obtención de beneficios”.

2023

PG01.02.03 Implantar el objetivo de gobierno de la organización “EDM03 Asegurar la optimización del riesgo”.

2023

PG01.02.04 Implantar el objetivo de gobierno de la organización “EDM04 Asegurar la optimización de los recursos”.

2023

PG01.02.05 Implantar el objetivo de gobierno de la organización “EDM05 Asegurar el compromiso de las partes interesadas”.

2023

PR09.04 Realizar ataques simulados a usuarios. 2023 3.000,00 € PG10.05 Realizar acciones tendentes a evitar daños en caso de

inundación del CPD principal. 2023 Incógnita

PR10.06 Implantar un sistema de extinción fija automática en el CPD principal.

2023 PR10.04 5.000,00 €

6. PLAN DE IMPLANTACIÓN

6.1 PLAN DE ACTIVIDAD

Los proyectos definidos en el apartado 6 de este documento pueden, en algunos casos, agruparse total o parcialmente en iniciativas o actividades coherentes, que provean los resultados esperados por dichos proyectos, en función de las oportunidades que el mercado ofrezca en algunos casos.

En la Tabla 3 se muestra una duración estimada de cada uno de los programas y proyectos:


23

Tabla 3: Planificación temporal de programas y proyectos

Programas Descripción 2021 2022 2023 Proyectos 2T 3T 4T 1T 2T 3T 4T 1T 2T 3T 4T

PG01 Implantación de un marco de Gobierno de las TIC PG01.01 Gestión de Servicios TIC en base a ITIL/ISO 20000 PG01.01.01 Desplegar los procesos del dominio DSS de COBIT 2019 PG01.01.01.01 Implantar el objetivo de gestión de la organización “DSS02

Gestionar las peticiones e incidentes de servicio”.

PG01.01.01.02 Implantar el objetivo de gestión de la organización “DSS03 Gestionar los problemas”.

PG01.01.01.03 Implantar el objetivo de gestión de la organización “DSS01 Gestionar las operaciones”.

PG01.01.01.04 Implantar el objetivo de gestión de la organización “DSS05 Gestionar los servicios de seguridad”.

PG01.01.01.05 Implantar el objetivo de gestión de la organización “DSS04 Gestionar la continuidad”.

PG01.01.01.06 Implantar el objetivo de gestión de la organización “DSS06 Gestionar los controles de los procesos de negocio”.

PG01.01.02 Desplegar los procesos del dominio BAI de COBIT 2019 PG01.01.02.01 Implantar el objetivo de gestión de la organización “BAI09

Gestionar los activos”.

PG01.01.02.02 Implantar el objetivo de gestión de la organización “BAI01 Gestionar los programas”.

PG01.01.02.03 Implantar el objetivo de gestión de la organización “BAI06 Gestionar los cambios de TI”.

PG01.01.02.04 Implantar el objetivo de gestión de la organización “BAI11 Gestionar los proyectos”.

PG01.01.02.05 Implantar el objetivo de gestión de la organización “BAI02 Gestionar la definición de requisitos”.

PG01.01.02.06 Implantar el objetivo de gestión de la organización “BAI03 Gestionar la identificación y construcción de soluciones”.

PG01.01.02.07 Implantar el objetivo de gestión de la organización “BAI04 Gestionar la disponibilidad y la capacidad”.

PG01.01.02.08 Implantar el objetivo de gestión de la organización “BAI05 Gestionar el cambio organizativo”.

PG01.01.02.09 Implantar el objetivo de gestión de la organización “BAI07 Gestionar la aceptación y transición de los cambios de TI”.

PG01.01.02.10 Implantar el objetivo de gestión de la organización “BAI08 Gestionar el conocimiento”.

PG01.01.02.11 Implantar el objetivo de gestión de la organización “BAI10 Gestionar la configuración”.

PG01.01.03 Desplegar los procesos del dominio APO de COBIT 2019 PG01.01.03.01 Implantar el objetivo de gestión de la organización “APO10

Gestionar los proveedores”.

PG01.01.03.02 Implantar el objetivo de gestión de la organización “APO09 Gestionar los acuerdos de servicio”.

PG01.01.03.03 Implantar el objetivo de gestión de la organización “APO13 Gestionar la seguridad”.

PG01.01.03.04 Implantar el objetivo de gestión de la organización “APO07 Gestionar los recursos humanos”.

PG01.01.03.05 Implantar el objetivo de gestión de la organización “APO08 Gestionar las relaciones”.


24


PG01.01.03.06 Implantar el objetivo de gestión de la organización “APO11 Gestionar la calidad”.

PG01.01.03.07 Implantar el objetivo de gestión de la organización “APO12 Gestionar el riesgo”.

PG01.01.03.08 Implantar el objetivo de gestión de la organización “APO14 Gestionar los datos”.

PG01.01.03.09 Implantar el objetivo de gestión de la organización “APO05 Gestionar el portafolio”.

PG01.01.03.10 Implantar el objetivo de gestión de la organización “APO06 Gestionar el presupuesto y los costes”.

PG01.01.03.11 Implantar el objetivo de gestión de la organización “APO02 Gestionar la estrategia”.

PG01.01.03.12 Implantar el objetivo de gestión de la organización “APO03 Gestionar la arquitectura de la organización”.

PG01.01.03.13 Implantar el objetivo de gestión de la organización “APO04 Gestionar la innovación”.

PG01.01.03.14 Implantar el objetivo de gestión de la organización “APO01 Gestionar el marco de gestión de I&T”.

PG01.01.04 Desplegar los procesos del dominio MEA de COBIT 2019 PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA01

Gestionar la monitorización del rendimiento y la conformidad”.

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA02 Gestionar el sistema de control interno”.

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA03 Gestionar el cumplimiento de los requisitos externos”.

PG01.01.04.01 Implantar el objetivo de gestión de la organización “MEA04 Gestionar el aseguramiento”.

PG01.02 Desplegar los procesos del dominio EDM de COBIT 2019 PG01.02.01 Implantar el objetivo de gobierno de la organización “EDM01

Asegurar el establecimiento y el mantenimiento del marco de gobierno”.

PG01.02.02 Implantar el objetivo de gobierno de la organización “EDM02 Asegurar la obtención de beneficios”.

PG01.02.03 Implantar el objetivo de gobierno de la organización “EDM03 Asegurar la optimización del riesgo”.

PG01.02.04 Implantar el objetivo de gobierno de la organización “EDM04 Asegurar la optimización de los recursos”.

PG01.02.05 Implantar el objetivo de gobierno de la organización “EDM05 Asegurar el compromiso de las partes interesadas”.

PG02 Aumentar las capacidades de gestión de servicios. PR02.01 Plan de Formación específica para el personal del departamento

en gestión de servicios.

PR02.02 Reordenación de las capacidades técnicas y tareas. PR02.03 Plan de Recursos Humanos PG02.04 Automatización de tareas. PG03 Aumentar las capacidades de comunicación PG03.01 Aumentar las capacidades de la red PR03.01.01 Implantar una red troncal de fibra óptica. PR03.01.02 Implantar una red de distribución de Categoría 6. PR03.01.03 Instalar electrónica de red troncal a 10-Gigabit Ethernet.


25


PR03.01.04 Conectar la red troncal con la de distribución a 10-Gigabit Ethernet.

PR03.01.05 Implantar una herramienta de gestión centralizada de la red. PR03.01.06 Aumentar el direccionamiento IP disponible a través de la GVA. PG03.02 Aumentar las capacidades de la interconexión de redes PR03.02.01 Migrar a un modelo de interconexión de redes SD-WAN. PR03.02.02 Instalar un acceso a Internet separado de la red corporativa de

la GVA en el CPD principal.

PR03.02.03 Implantar un sistema de VPN multiplataforma. PR03.02.04 Dar alta disponibilidad al enlace del CPD principal con la red

corporativa de la GVA.

PG03.03 Aumentar las capacidades de telefonía PR03.03.01 Dotar de telefonía al personal de la Sindicatura para el modo

teletrabajo.

PR03.03.02 Aprovisionar teléfonos IP a Gigabit Ethernet. PG04 Aumentar las capacidades de computación PG04.01 Aumentar las capacidades de servidores y almacenamiento. PR04.01.01 Analizar las alternativas a VMWare. PR04.01.02 Implantar la alternativa seleccionada para el entorno de

virtualización.

PR04.01.03 Adquirir nuevos servidores para el cluster del CPD principal. PR04.01.04 Traslado de los servidores del CPD principal a CPD de respaldo. PR04.01.05 Dotar de interfaces 10-Gigabit Ethernet a las cabinas de

almacenamiento MSA.

PR04.01.06 Dotar de interfaces 10-Gigabit Ethernet a las cabinas de almacenamiento de backups QNAP.

PR04.01.07 Actualizar todos los Windows Server a la última versión disponible.

PG04.02 Aumentar las capacidades de estaciones de trabajo PR04.02.01 Elaborar un plan plurianual de renovación de equipos de

usuario.

PR04.02.02 Definir un modelo de estación de trabajo orientada a un entorno híbrido de prestación del servicio por el personal.

PR04.02.03 Estudiar las aplicaciones y servicios de las estaciones de trabajo para optimizar su uso.

PG05 Mejoras en aplicaciones PR05.01 Implantar un gestor documental para múltiples usos (tipo

Alfresco).

PG05.02 Implantar servicios de correo propios. PR05.03 Implantar un servidor de control de impresión, escaneo y OCR. PR05.04 Estudiar la viabilidad a largo plazo de Office365. PR05.05 Estudiar la viabilidad de uso de LibreOffice para un subconjunto

de usuarios.

PR05.06 Actualizar a la última versión de MS Office. PR05.07 Analizar la viabilidad del cambio de gestor de contenidos de la

web.

PG05.08 Aplicar la normativa de Accesibilidad de sitios web. PR05.08.01 Definir la Unidad Responsable de Accesibilidad. PR05.08.02 Elaborar la documentación periódica exigible.


26


PR05.08.03 Formar al personal que crea contenido para la web en materia de accessibilidad.

PR05.08.04 Revisar los contenidos de la web para adaptarlos a la norma de accesibilidad.

PG05.09 Implantar un sistema de gestión de la formación. PG05.10 Implantar Sedipualb@. PG06 Mejoras del modelo de prestación de servicios PR06.01 Estudio de rendimiento de aplicaciones departamentales

cliente/servidor.

PG06.02 Cambio de enfoque de uso de aplicaciones cliente/servidor a escritorios remotos.

PR06.03 Estudio de alternativas de acceso a escritorios personales diferentes al PC clásico.

PR06.04 Elaborar un plan de migración de aplicaciones a infraestructuras comunes.

PR06.05 Revisión de la estructura de carpetas compartidas a la luz de los resultados de otros proyectos.

PG07 Revisión general de las Políticas, Normas, Procedimientos y Guías técnicas.

PG08 Implantar un modelo Zero Trust de configuración de la seguridad.

PR08.01 Implantar redes segmentadas. PR08.02 Implantar un sistema NAC avanzado. PG08.03 Implantar un nuevo sistema de seguridad perimetral UTM en

alta disponibilidad.

PG08.04 Mejorar la seguridad del endpoint PR08.04.01 Renovar la protección antivirus. PR08.04.02 Implantar MicroClaudia. PR08.04.03 Mejorar la gestión de parches de seguridad. PR08.04.04 Implantar una solución para la restricción del uso de los puertos

USB de los equipos.

PR08.04.05 Revisión general de la seguridad de los end points conforme a las guías del CCN.

PR08.04.06 Eliminación de credenciales de administrador de usuarios no pertenecientes al departamento de Informática.

PR08.05 Implantar un mecanismo estandarizado de accesos de proveedores de servicio a la infraestructura.

PR08.06 Refuerzo automático de la lista de aplicaciones permitidas. PG09 Implantar un modelo de seguridad proactiva. PG09.01 Implantar un SIEM con detección de APTs. PR09.02 Implantar un servicio de análisis de vulnerabilidades internas

periódico.

PR09.03 Realizar un test de intrusión a sistemas internos y externos. PR09.04 Realizar ataques simulados a usuarios. PR09.05 Revisar el servicio MDM a la luz de la ejecución de proyectos

relacionados con la telefonía móvil.

PR09.06 Implantar LUCIA para la gestión de incidentes de seguridad. PG10 Mejoras en los CPDs PG10.01 Mejoras en la alimentación eléctrica. PR10.01.01 Adquirir un nuevo SAI para proteger la infraestructura.


27


PR10.01.02 Separar en SAIs diferentes las cargas de infraestructura y de tomas de corriente del edificio.

PR10.01.03 Conectar a SAI la iluminación y la climatización del CPD principal.

PR10.01.04 Mejorar la cobertura del servicio de mantenimiento del generador y los SAI.

PR10.01.05 Instalar PDUs monitorizadas en las tomas de corriente de la infraestructura de todos los bastidores de Sindicatura.

PR10.02 Implantar un control de accesos electrónico al CPD principal. PR10.03 Instalar cámaras de seguridad en el CPD principal. PR10.04 Implantar un sistema de monitorización ambiental de humedad

y temperatura en el CPD principal.

PG10.05 Realizar acciones tendentes a evitar daños en caso de inundación del CPD principal.

PR10.06 Implantar un sistema de extinción fija automática en el CPD principal.

6.2 ORGANIZACIÓN, GESTIÓN Y SEGUIMIENTO DEL PLAN

6.2.1. Justificación de los proyectos del Plan

Como ya se ha mencionado, cada uno de los programas y, por tanto, de los proyectos detallados en este Plan Director requerirá de su justificación continua en base a su business case, que contendrá, como mínimo los apartados siguientes5:

• Resumen Ejecutivo.

• Motivos para realizar el proyecto.

• Opciones posibles: Siempre hay tres opciones a considerar ante cualquier iniciativa: No hacer nada, hacer lo mínimo y hacer otras cosas.

• Beneficios esperados: Enumerar cada uno de los beneficios además de cómo y cuándo pueden ser cuantificados.

• Contra-beneficios esperados: De acuerdo con PRINCE2 un contra beneficio es un resultado final percibido como negativo por una o más partes interesadas. Otro

5 De acuerdo a la metodología de gestión de proyectos PRINCE2


28

nombre que se puede utilizar es efecto colateral negativo.

• Planificación.

• Costes: Costes del proyecto sumado a los costes de mantenimiento una vez finalizado el mismo.

• Evaluación de la inversión: Información del retorno de la inversión (ROI).

• Riesgos del proyecto.

6.2.2 Seguimiento del Plan

Como en muchas otras iniciativas, será la Comisión de Informática y Seguridad de los Sis-temas de Información (CIGSI) de la Sindicatura la que realizará la propuesta de aprobación y el seguimiento de este Plan, así como de los business case de los diferentes proyectos.

Cuando llegue el momento de asumir cada una de las iniciativas del Plan, se presentará a la CIGSI la propuesta, y en caso de ser aprobada, dará lugar a la realización de las actividades pertinentes, lo cual podrá o no generar las licitaciones oportunas.

A este respecto, la CIGSI tomará el rol de Comité de Proyecto y el responsable del departamento de Informática tomará el rol de Project Manager, según la nomenclatura de la metodología PRINCE2.

CONCLUSIONES

La ejecución directa de este Plan Director tendrá un coste aproximado, para sus dos años y medio de vigencia, de al menos 356.300 €, a los que habrá que añadir los costes de aquellos proyectos cuyo impacto económico se indicó como ‘Incógnita’ en la Tabla 5, y los costes de la ejecución de aquellos proyectos que supongan la planificación de gasto o inversión, como el plan plurianual de renovación de equipos de usuario. Aunque este gasto agregado pueda parecer grande, hay que tener en cuenta que, como se puede deducir de la parte de diagnóstico de la situación actual de este Plan Director, las TIC de la Sindicatura arrastran determinadas deficiencias y obsolescencias que impiden, sin la adecuada inversión, que sea un factor acelerador de la consecución de los objetivos de la Institución. Asimismo, las deficiencias diagnosticadas pueden suponer un riesgo para la seguridad y continuidad de los sistemas de información de la Sindicatura. En cualquier caso, en la ejecución de cada uno de los proyectos se tomarán las decisiones oportunas de diseño y planificación para maximizar la eficiencia del gasto en dicho proyecto.

Tras la ejecución de este Plan Director de Sistemas de Información, la situación de las TIC


29

de la Sindicatura habrá cambiado en muchos aspectos. Los cambios principales que habrá impulsado o provocado este Plan son:

1. La infraestructura física de la red de la sede de la Sindicatura en la calle San Vicente habrá pasado de poder entregar 100 Mbps a cada equipo conectado a la misma, a poder entregar al menos 1 Gbps, multiplicando por 10 la capacidad.

2. La infraestructura lógica de la red de la Sindicatura será una sola, independientemente de dónde, y a través de qué medio, se conecte un determinado equipo de usuario a la misma.

3. La infraestructura de redes separará las diferentes zonas de seguridad y gestionará adecuadamente el tráfico entre ellas.

4. Se dispondrá de una conexión a Internet por la que circulará también el tráfico VPN, por lo que se dispondrá de mayor ancho de banda en teletrabajo y menores retardos, al no pasar ese tráfico por la red de GVA.

5. La infraestructura de computación y almacenamiento habrá pasado de poder gestionar 1 Gbps de datos por cada conexión, a poder gestionar 10 Gbps por cada una de ellas, multiplicando por 10 la capacidad de esos enlaces. Esto significa que no sólo la respuesta inmediata a las peticiones de usuario será más rápida, sino que el acceso al almacenamiento de copias de seguridad locales también lo será.

6. La infraestructura de computación será más resistente ante determinados fallos, y permitirá levantar en el CPD de respaldo los servicios críticos, algo que en la actualidad no es posible.

7. La infraestructura de máquinas virtuales dispondrá de un entorno separado para desarrollo, preproducción y producción, evitando mezclar sistemas que estén en diferentes fases de su ciclo de vida.

8. El equipamiento TIC se mantendrá actualizado, evitando costes ocultos de pérdidas de productividad debidas a su lentitud o incidencias de soporte.

9. Todo el personal de Sindicatura dispondrá de comunicaciones telefónicas tanto en su despacho como en el lugar desde el que teletrabaje.

10. Los servicios TIC de la Sindicatura estarán monitorizados, tanto desde el punto de vista de las operaciones como desde el punto de vista de la ciberseguridad, incluidos los sistemas internos.

11. Todos los activos y servicios TIC se protegerán adecuadamente, según el impacto que se haya definido para cada uno, y cumpliendo con el Esquema nacional de


30

Seguridad y el Reglamento Europeo de Protección de Datos. Esto significa que se habrá reforzado la seguridad de todos los sistemas respecto de la situación actual.

12. Los servicios TIC se prestarán con el nivel de calidad y de respuesta que se defina en cada caso, con los requisitos legales oportunos, con costes económicos y medioambientales optimizados, y según los procedimientos establecidos para garantizar, en su caso, su continuidad.

13. El personal TIC de la Sindicatura estará plenamente capacitado y entrenado para la gestión y soporte de los diferentes sistemas de información y servicios de la misma, y se contará con el adecuado soporte externo para determinados tipos de tareas.

14. Las TIC de la Sindicatura estarán gestionadas y gobernadas, con un nivel de madurez aceptable, según un marco de referencia internacional y una serie de metodologías de buenas prácticas en sus diferentes ámbitos. Ello garantizará que las TIC sirvan adecuadamente al cumplimiento de los objetivos de la Sindicatura en cada momento.


31

ÍNDICE DE TABLAS

Tabla 1: Dotaciones presupuestarias iniciales 2021 ............................................................................... 5

Tabla 2: Anualización, dependencias y costes de programas y proyectos ................................. 17

Tabla 3: Planificación temporal de programas y proyectos ............................................................. 23

DILIGENCIA: Para hacer constar que el presente Resumen del Plan Director de Sistemas y Tecnologías de la Información 2021-2023, ha sido aprobado por el Consell de la Sindicatura de Comptes el día 16 de septiembre de 2021.

El secretario general,

Fecha y firma según codificación adjunta

Documents

Plan Director de Sistemas y Tecnologías de la Información