Políticas y Normas para el uso del Sistema de Planificación de Recursos Gubernamentales SAP del Gobierno del Estado de Tamaulipas

Compartir
FacebookWhatsAppXLinkedInMessengerTelegram

Introducción

Este documento forma parte del compendio de las políticas generales de seguridad de la Información definidas por el Gobierno del Estado de Tamaulipas y por lo tanto es parte del modelo de seguridad para la protección de la información perteneciente al Gobierno del Estado.

Justificación

Las políticas se establecen para sensibilizar a los usuarios de los riesgos asociados con el uso de los recursos y servicios tecnológicos que estén a disposición de los empleados del Gobierno del Estado de Tamaulipas. Debido a que las acciones contrarias a las políticas señaladas en dicho documento traen consigo consecuencias de tipo legal, administrativas, económicas, tanto al Gobierno como al usuario o al equipo.

Todos los usuarios están obligados de acatar los lineamientos plasmados en la presente política, con el fin de realizar sus operaciones diarias minimizando así el riesgo de llevar a cabo el uso inadecuado o prácticas impropias en dichos recursos. Por ello, se definen estrategias y medidas de seguridad de la información, que permitan garantizar el funcionamiento adecuado de todos los sistemas y servicios para que, en un momento dado, se puedan aplicar las medidas correctivas necesarias en caso de un eventual ataque o un desastre que implique la pérdida de información y los sistemas informáticos.

Alcance

Estas políticas aplican a todas las dependencias, organismos y unidades administrativas que hacen uso del sistema de Planificación de Recursos Gubernamentales (SAP) en el Gobierno del Estado de Tamaulipas, así como a todos los servidores públicos que tengan acceso autorizado al mismo.

Normas para el uso de las cuentas de acceso al Sistema Planificación de Recursos Gubernamentales

El Sistema Planificación de Recursos Gubernamentales SAP es el sistema dispuesto por el Gobierno del Estado de Tamaulipas para facilitar el registro y seguimiento de su información financiera en alineación a lo dispuesto en la Ley General de Contabilidad Gubernamental. El presente documento contiene los lineamientos con las obligaciones y prohibiciones de los servidores públicos que cuentan con acceso a dicho sistema.

El Gobierno del Estado de Tamaulipas, es el propietario exclusivo de la información que reside en el sistema.

El Gobierno del Estado en cualquier momento podrá implementar las medidas necesarias en el Sistema de Planificación de Recursos Gubernamentales SAP, en aras de incrementar los niveles de seguridad y/o de brindar un mejor servicio.

Responsabilidades de las Dependencias

Cada dependencia deberá designar de su área administrativa un enlace para el sistema SAP, quien deberá:

  • Coordinar solicitudes de altas, bajas y modificaciones de usuarios.
  • Realizar y supervisar la validación anual obligatoria de usuarios.
  • Gestionar las solicitudes de capacitación de los usuarios asignados a su dependencia. Los usuarios de nivel directivo podrán realizar solicitudes de capacitación de acuerdo a sus necesidades.
  • La capacitación sólo se brindará a personal qué tenga asignada una cuenta de usuario activa.
  • Ser el primer contacto para la gestión y seguimiento de incidentes relacionados con el sistema SAP
  • La omisión o demora en reportar cambios que afecten el acceso al sistema podría derivar en responsabilidades administrativas por el uso indebido de información o procesos.
  • Los cambios en las estrategias de liberación se realizan sólo a partir de una solicitud oficial a la AIIDT.
  • Cualquier actualización al sistema se realizará luego de su análisis y validación con el área rectora correspondiente de la información financiera en el sistema
  • Secretaría de Finanzas, sociedad 1000
  • Secretaría de Salud, sociedad 2000
  • IPSSET, sociedad 3000

Cada dependencia es responsable de mantener actualizada la información relativa a sus usuarios.

Administración de Usuarios

Para garantizar la correcta asignación y restricción de permisos en el sistema, se deberá solicitar mediante oficio institucional a la Dirección General de Servicios Gubernamentales y Contacto Ciudadano, así como atender los siguientes requisitos de acuerdo al tipo de solicitud:

a) Alta de usuario

  • Descripción
    • Creación y configuración de una cuenta individual que permite a un usuario acceder al sistema con los permisos y roles necesarios según la función que desempeñe dentro de la dependencia.
  • Políticas
    • El usuario debe tener únicamente los roles y permisos necesarios para desempeñar sus funciones.
    • Toda solicitud de alta debe contar con la aprobación del director de área, así como de la dirección administrativa correspondiente
    • En caso de que el usuario cuente con rol de liberador es necesario proporcionar requisitos adicionales.
    • Solicitar o acercarse oportunamente a recibir capacitación sobre el uso del sistema SAP de acuerdo a las funciones que le fueron asignadas.
  • Requisitos
    • AIIDT-DGSGCC-SSG-DPG-01-001 Formato para la Solicitud de Actualización de Usuarios y Roles en Plataforma Gubernamental.
    • AIIDT-DGSGCC-SSG-DPG-01-002 Carta responsiva.

Para usuario tipo liberador incluir además:

  • INE
  • Copia de nombramiento
  • Oficio de solicitud
  • Formato de baja de liberador anterior

b) Acceso Remoto

  • Descripción
    • Solicitud de Acceso VPN para conexión de usuarios SAP fuera de la red de dominio de Gobierno del Estado.
  • Políticas
    • Derivado de la necesidad deberá contar con la autorización y solicitud requerida para su debida aceptación conforme a sus funciones.
    • Tomar en cuenta las consideraciones físicas y técnicas para la conexión VPN, así como de los lineamientos de su uso.
    • Especificar el motivo y caducidad del uso de la misma.
  • Requisitos
    • Cuenta de dominio. En caso de no contar con ella favor de incluir en el oficio de solicitud la petición de su creación. 
    • Proporcionar usuario SAP activo para el uso de la conexión.
    • AIIDT-DGSGCC-SSG-DPG-02-002 Formato para la Solicitud de Acceso VPN de Usuarios y Roles en Plataforma Gubernamental

Los usuarios que soliciten acceso remoto deberán utilizar preferentemente dispositivos autorizados por la AIIDT y cumplir con requisitos mínimos de seguridad informática, tales como:

  • Sistema operativo actualizado.
  • Software antivirus con licenciamiento activo y actualizado. Si el equipo es oficial: software antivirus Kaspersky.

c) Bajas de usuario

  • Descripción
    • Desactivación o eliminación de una cuenta de usuario que ya no requiere acceso al sistema, ya sea por  desvinculación laboral, cambio de funciones, inactividad prolongada u otras razones administrativas o de seguridad.
  • Políticas
    • Es responsabilidad de cada dependencia notificar de manera inmediata cuando un usuario requiera ser dado de baja, ya sea por cambio de adscripción, renuncia, despido, jubilación, término de contrato o cualquier otro motivo.
    • La baja debe contar con la autorización de la dirección de área y administrativa correspondiente.
  • Requisito
    • AIIDT-DGSGCC-SSG-DPG-01-001 Formato para la Solicitud de Actualización de Usuarios y Roles en Plataforma Gubernamental

d) Cambios de funciones

  • Descripción
    • Implica la modificación de los roles, accesos y autorizaciones asignados a un usuario como resultado de un reubicación, ascenso, cambio de área o reajuste en sus responsabilidades laborales.  
  • Políticas
    • Revisión de los permisos actuales del usuario, eliminando los permisos y roles que no correspondan al nuevo perfil funcional del usuario.
    • Los nuevos accesos deben limitarse estrictamente a las funciones requeridas por el usuario
    • El cambio debe contar con la autorización de la dirección de área y administrativa correspondiente.
    • Solicitar o acercarse oportunamente a recibir capacitación sobre el uso del sistema SAP de acuerdo a las funciones que le fueron asignadas
  • Requisito
    • AIIDT-DGSGCC-SSG-DPG-01-001 Formato para la Solicitud de Actualización de Usuarios y Roles en Plataforma Gubernamental

e) Suspensión Temporal

    • Descripción
      • Bloqueo temporal de cuenta de acceso, sin eliminarla ni modificar permanentemente sus roles o autorizaciones. Esta medida se aplica en casos como ausencias prolongadas, licencias laborales (médicas, maternidad, vacaciones extendidas), investigaciones internas o medidas disciplinarias.  
  • Políticas
      • Bloqueo inmediato de la cuenta de usuario en todos los ambientes de SAP (Productivo, Calidad y Desarrollo)
      •  Deberán conservarse los roles asignados al usuario, para una ágil reactivación.
      • La suspensión debe contar con la autorización de la dirección de área y administrativa correspondiente, excepto en el caso de que el usuario no ingrese al sistema por un periodo mayor a 30 días, en cuyo caso podrá aplicarse la suspensión de manera automática  por la Agencia de Innovación e Inteligencia Digital de Tamaulipas dentro del proceso de validación permanente.
      • Son también motivos de suspensión temporal:
        • Dentro del proceso de validación permanente, la Agencia de Innovación e Inteligencia Digital de Tamaulipas detecta un usuario sin acceso al sistema en un periodo mayor a 60 días.
        • A partir de la notificación de la Secretaría de Finanzas para el bloqueo del sistema al término del ejercicio.
  • Requisito
    • AIIDT-DGSGCC-SSG-DPG-01-001 Formato para la Solicitud de Actualización de Usuarios y Roles en Plataforma Gubernamental

Todos los formatos mencionados en este documento (AIIDT-DGSGCC-SSG-DPG-01-001, AIIDT-DGSGCC-SSG-DPG-01-002, AIIDT-DGSGCC-SSG-DPG-02-002) podrán descargarse directamente desde el portal institucional de la Agencia (https://www.tamaulipas.gob.mx/aiidt), o solicitarse directamente al Departamento de Plataforma Gubernamental.

Actualizaciones al sistema

Se entiende por actualización al sistema cualquier modificación o creación de configuraciones, transacciones, procesos, formatos o reportes oficiales dentro de la plataforma institucional. Estas actualizaciones pueden involucrar consultas de información, implementación de nuevos procesos operativos, o la incorporación de formatos oficiales utilizados por las dependencias y entidades del Gobierno del Estado. 

El sistema se encuentra estructurado por sociedades, es decir en este conviven diferentes dependencias las cuales  pertenecen a una jerarquía llamada sociedad (1000 Gobierno Central, 2000 Secretaría de Salud y 3000 IPSSET) , la cual rige a todas las áreas administrativas adscritas a ellas. que rigen a todas las áreas administrativas adscritas a ellas.

Las sociedades son dueñas de su información así como también de los procesos que se implementan en el sistema tales como: 

  • Estados financieros y presupuestales solicitados por la CONAC
  • Formatos de compras (solicitud de pedido y pedido, etc.)
  • Formatos de Viáticos
  • Formato del Recibo de Pago

Las solicitudes de actualización del sistema deberán realizarse directamente por la sociedad correspondiente, a fin de garantizar su conformidad con la normatividad vigente aplicable.

Asimismo, las áreas administrativas de las dependencias y OPD pueden solicitar actualizaciones relacionadas con:

  • Estrategias operativas
  • Configuración de juegos de firmas en recibos de pago
  • Reportes auxiliares de consulta

Requisitos Generales para la Solicitud

Toda solicitud de actualización deberá cumplir con los siguientes lineamientos, sin excepción:

  • El solicitante de la mejora a realizar debe formalizar la petición mediante oficio a la AIIDT.
  • Para los casos que impliquen un cambio de normatividad sólo se aceptarán las solicitudes emitidas por la sociedad titular correspondiente.
  • La Dirección de Servicios Gubernamentales y Contacto Ciudadano, a través del Departamento de Plataforma Gubernamental analizará las solicitudes,  , será responsable de:
    • Analizar la solicitud.
    • Determinar su factibilidad técnica.
    • En caso de ser viable, programar y validar el desarrollo correspondiente.

Validación anual

Con el objetivo de que los accesos asignados a cada usuario continúen siendo pertinentes y estén alineados con su función actual dentro del área, las dependencias realizan una validación anual, en la que revisarán los roles, permisos, estados de cuentas (activas, suspendidas o inactivas) para asegurar el cumplimiento del mínimo privilegio y la política de seguridad de la información..

A la AIIDT  le corresponde gestionar la “Validación anual de usuarios” , que consiste en :

  1. Solicitud de bloqueo de usuarios
    La Secretaría de Finanzas y Secretaría de Salud, cada una en su sociedad correspondiente, de forma anual realiza el proceso de Cierre y Apertura del Ejercicio en el Sistema de Planificación de Recursos Gubernamentales SAP para la emisión de la cuenta Pública del ejercicio anterior y la preparación para aperturar el Ejercicio en curso. La Secretaría de Finanzas, como parte del cierre del ejercicio concluyente, solicita a la AIIDT el bloqueo masivo de usuarios de la sociedad 1000 a partir del día 31 de Diciembre hasta nuevo aviso.
  2. Bloqueo de usuarios
    La AIIDT aplica el bloqueo masivo de los usuarios correspondientes.
  3. Validación de usuarios activos 
    1. La AIIDT proporcionará vía correo electrónico a todas las dependencias la lista de su personal con usuarios activos al 31 de diciembre y el procedimiento para la solicitud de validación de sus usuarios. Dicha validación será responsabilidad de los administrativos de cada área o de la persona que ellos designen como enlace. Para facilitar este proceso, se les hará llegar un paquete de validación por parte de la AIIDT que incluirá:
  • Los formatos correspondientes para solicitudes de alta, baja o modificación de accesos.
  • Las listas actualizadas de los usuarios adscritos a su área, con el detalle de su situación actual.
  • La carta responsiva.

Todo el material deberá ser revisado, actualizado, firmado y autorizado por el responsable del área o su enlace designado. Posteriormente, deberá ser entregado tanto en formato físico como digital, este último mediante su carga en el enlace de Drive asignado específicamente para su área. Solo se considerará completado el proceso cuando se haya recibido toda la documentación en ambas modalidades y con los requisitos de firma y autorización debidamente cumplidos.

Recordatorio mensual

Con el fin de mantener una supervisión continua y facilitar la preparación de la validación anual se enviará vía correo electrónico un recordatorio mensual a las direcciones (enlaces) de cada área. Este recordatorio servirá como alerta preventiva para la revisión anticipada de posibles cambios de funciones, bajas, o usuarios que ya no requieran acceso al sistema SAP.

Responsabilidades de los Usuarios del Sistema de Planificación de Recursos Gubernamentales SAP

  • El acceso al sistema SAP es personal e intransferible.
  • El acceso al sistema SAP se encuentra únicamente habilitado para equipos dentro de la red de datos del Gobierno del Estado, en caso de requerir acceso remoto deberá realizar la solicitud mediante formato establecido al Departamento de Plataforma Gubernamental.
  • Cada usuario es responsable del uso adecuado de su cuenta y de las acciones realizadas con ella dentro del sistema.
  • Los usuarios que tienen asignada una cuenta de acceso deberán establecer una contraseña al recibir ésta, para poder hacer uso de la misma. Una vez registrada dicha contraseña en el Sistema de Planificación de Recursos Gubernamentales será responsabilidad del usuario debiéndose mantener en secreto para que la cuenta no pueda ser utilizada por otra persona.
  • Los usuarios son responsables de todas las actividades que se realicen desde su cuenta del Sistema de Planificación de Recursos Gubernamentales.
  • Las cuentas del Sistema de Planificación de Recursos Gubernamentales son creadas para el uso exclusivo de las funciones propias del usuario, por lo tanto, el usuario debe hacer uso de este servicio implementando criterios de racionalidad, respeto, responsabilidad, integridad y seguridad de la información.
  • El usuario de la cuenta del Sistema de Planificación de Recursos Gubernamentales se compromete a reportar oportunamente al administrador del sistema cualquier fallo de seguridad de su cuenta institucional, incluyendo el uso no autorizado, pérdida de contraseñas, etc.; de acuerdo al Procedimiento para Solicitud de Soporte Técnico en el Sistema SAP descrito en el presente documento.
  • El Sistema de Planificación de Recursos Gubernamentales es una herramienta de trabajo, de uso exclusivamente laboral, por tanto, la información contenida en estos es propiedad del Gobierno del Estado de Tamaulipas.

Capacitación en el Sistema SAP

Con el propósito de asegurar el uso correcto y eficiente del sistema SAP, las dependencias y organismos públicos pueden solicitar sesiones de capacitación dirigidas a sus usuarios, a fin de que comprendan la funcionalidad del sistema conforme a sus atribuciones.

Tal como se establece en el procedimiento de alta de usuarios, todo nuevo usuario puede solicitar la capacitación correspondiente a las funciones específicas asignadas en su perfil.

Modalidades de Capacitación

Las sesiones de capacitación podrán realizarse en cualquiera de las siguientes modalidades, de acuerdo con la disponibilidad técnica y operativa:

  • Presencial: en las instalaciones de la Agencia de Innovación e Inteligencia Digital de Tamaulipas (AIIDT).
  • En sitio: directamente en las instalaciones de la dependencia solicitante.
  • En línea: mediante videollamada a través de una plataforma institucional autorizada.

Procedimiento para Solicitar Capacitación

Las dependencias interesadas deberán emitir un oficio formal dirigido a la AIIDT, el cual deberá contener la siguiente información:

  1. Nombre del módulo SAP en el que se requiere la capacitación (ejemplo: Presupuesto, Nómina, Compras).
  2. Descripción de funciones específicas o procesos puntuales sobre los que se solicita la capacitación.
     Nota: La capacitación se limitará exclusivamente a la funcionalidad asociada al perfil de usuario del participante.
  3. Número total de participantes previstos para la sesión.
  4. Nombre completo y puesto de cada persona participante, los cuales deberán contar con una cuenta de usuario activa en el sistema SAP.
  5. El oficio deberá ser firmado por la persona titular del área solicitante y enviado con anticipación suficiente para permitir la adecuada programación, asignación de instructores y coordinación logística.

Evidencia de Capacitación

Para cada sesión de capacitación que se lleve a cabo, se deberá generar evidencia documental, incluyendo al menos:

  • Listado de asistencia firmado por los participantes.
  • Registro fotográfico de la sesión (cuando sea posible y apropiado).

Procedimiento para Solicitud de Soporte Técnico en el Sistema SAP

Para solicitar soporte relacionado con el uso del sistema SAP, el usuario deberá comunicarse al área de Atención a Usuarios a través de los siguientes medios:

  • Desde línea interna: *080, extensión 42080
  • Desde el exterior: (834) 107 8080

Durante la llamada, el personal de atención levantará un ticket de soporte y proporcionará al usuario un número de folio como referencia de la solicitud. Para registrar correctamente el ticket, se solicitará la siguiente información:

  • Nombre completo del usuario
  • Dependencia o unidad administrativa a la que pertenece
  • Extensión o número telefónico para contacto

Una vez registrado el ticket, se canalizará al área correspondiente de soporte técnico SAP. En caso de que los especialistas se encuentren atendiendo otros reportes, el usuario será contactado a la brevedad posible para brindarle la atención requerida y dar seguimiento hasta la solución del problema.

 

Confidencialidad y Seguridad

El uso del Sistema de Planificación de Recursos Gubernamentales SAP por parte del personal de las dependencias gubernamentales del Estado de Tamaulipas debe observar estrictamente los principios de legalidad, confidencialidad y responsabilidad, conforme a las disposiciones siguientes:

  1.  Confidencialidad y Protección de la Información

Los usuarios del Sistema de Planificación de Recursos Gubernamentales SAP deben resguardar la información a la que tenga acceso, en especial si ésta contiene datos personales o información sensible.

  • Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Tamaulipas
    • Artículo 15: Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, explícitas, lícitas y legítimas, relacionadas con las atribuciones expresas que la normatividad aplicable le confiera. 
    • Artículo 17: El responsable deberá abstenerse de tratar los datos personales a través de medios engañosos o fraudulentos, privilegiando, en todo momento, la protección de los intereses del titular y su expectativa razonable de privacidad.

  1.  Resguardo de Contraseñas y Accesos

Cada servidor público es único responsable del resguardo y uso correcto de sus credenciales de acceso al sistema SAP. La contraseña es personal e intransferible.

  • Reglas de Integridad para el Ejercicio de la Función Pública del Estado de Tamaulipas. 
    • Regla 1. Actuación Pública: La persona servidora pública que desempeña un empleo, cargo, comisión o función , debe conducir su actuación con transparencia, honestidad, lealtad, cooperación, austeridad, sin ostentación y con una clara orientación al interés público
    • Regla 11 Desempeño permanente con integridad: La persona servidora pública que desempeña un empleo, cargo, comisión o función, conduce su actuación con legalidad, imparcialidad, objetividad, transparencia, certeza, cooperación, ética e integridad.

https://transparencia.tamaulipas.gob.mx/wp-content/uploads/2023/12/3.-REGLAS-DE-INTEGRIDAD-PARA-EL-EJERCICIO-DE-LA-FUNCION-PUBLICA.pdf

  1.  Uso de Roles y Funciones Asignadas

Los usuarios deberán operar el sistema SAP únicamente dentro del rol y permisos asignados, conforme a su función dentro del área.

  • Ley de Transparencia y Acceso a la Información Pública del Estado de Tamaulipas
    • Artículo 65: Los sujetos obligados serán responsables de los datos personales en su posesión y, en relación con éstos, deberán:

Fracción VI.- Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado. 

  • Reglamento Interior de la dependencia Oficina del Gobernador 
    • ARTÍCULO 90.- Los servidores públicos adscritos a la Dependencia, tendrán las siguientes obligaciones:
      Fracción V. Deberán acatar de manera estricta los controles internos que se establezcan para la salvaguarda del equipo y programas de cómputo bajo su responsabilidad, así como la información almacenada.

El servidor público que incumpla con lo estipulado en las Políticas y Normas para el uso del Sistema de Planificación de Recursos Gubernamentales SAP del Gobierno del Estado de Tamaulipas estableciéndose en los supuestos de la Ley de Protección de datos, Reglas de integridad para el Ejercicio de la Función Pública del Estado de Tamaulipas y Ley de Transparencia podrán ser sancionados de conformidad con lo dispuesto por la Ley de Responsabilidades Administrativas del Estado de Tamaulipas y demás aplicables que impongan las leyes y reglamentos.

 

Vigencia y Actualización

Estas políticas entran en vigor a partir de la fecha de su publicación y deberán revisarse y actualizarse anualmente, o antes si ocurren cambios normativos, tecnológicos o administrativos significativos. La Dirección General de Servicios Gubernamentales y Contacto Ciudadano será la encargada de realizar esta revisión, y toda modificación deberá ser aprobada formalmente por el titular de la Agencia, quedando constancia documental del proceso y del historial de versiones. Deberán ser acatadas obligatoriamente para todos los empleados, funcionarios, comisionados y servidores públicos de las dependencias, organismos y unidades administrativas del Gobierno del Estado de Tamaulipas que hacen uso del sistema de Planificación de Recursos Gubernamentales (SAP).

Todo servidor público tendrá las obligaciones de salvaguardar la legalidad, honradez, lealtad, imparcialidad y eficacia que deben ser observadas en el desempeño de su empleo, cargo o comisión y cuyo incumplimiento dará lugar al procedimiento y a las sanciones que correspondan, según la naturaleza de la infracción en que se incurra y sin perjuicio de sus derechos laborales.