Post on 02-Dec-2018
COFL02 Página 1 de 37
SUPERINTENDENCIA NACIONAL DE SALUD
INFORME SEGUIMIENTO Y EVALUACIÓN
OFICINA DE TECNOLOGIAS DE LA INFORMACION
OFICINA DE CONTROL INTERNO
Bogotá, Marzo de 2018
COFL02 Página 2 de 37
CONTENIDO
1. OBJETIVO ........................................................................................................................................ 3
2. ALCANCE ......................................................................................................................................... 3
3. METODOLOGÍA .............................................................................................................................. 3
4. JUSTIFICACIÓN .............................................................................................................................. 4
5. FORTALEZAS .................................................................................................................................. 4
6. LIMITANTES .................................................................................................................................... 5
7. INFORME ......................................................................................................................................... 5
7.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS ...... 5
7.2 EVALUACION MAPA DE RIESGOS DEL PROCESO ......................................................... 18
7.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO . 20
7.3.1 De Informes de Seguimiento ............................................................................................ 20
7.3.2 De Auditorias al Sistema Integrado de Gestión ............................................................. 31
8. CONCLUSIONES Y RECOMENDACIONES ............................................................................ 35
COFL02 Página 3 de 37
1. OBJETIVO
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos
(PAAS), aprobado para la vigencia 2018, por la Alta Dirección mediante Resolución No. 5920 del
15 de Diciembre de 2017, realizó seguimiento y evaluación a la gestión de la Oficina de
Tecnologías de la Información, cuyos procesos y procedimientos fueron aprobados mediante
resolución 4086 del 19 de Diciembre de 2014, y por Resolución 1110 de 2015, se definieron los
Grupos Internos de Trabajo y las funciones para los mismos.
2. ALCANCE
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se
relacionan:
a. En ejercicio de las labores propias de la Oficina de Tecnologías de la Información, la Oficina
de Control Interno realizará seguimiento a los siguientes temas:
❖ Plan de Continuidad del Negocio en TI
❖ Integración de las bases de datos,
b. Seguimiento al cumplimiento de las funciones definidas mediante Decreto 2462 de 2013, en
especial la función No. 21: ““Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento
de los sistemas de información, de la infraestructura y plataforma tecnológica y de comunicaciones de
la Superintendencia”.
c. Revisión de riesgos operacionales y de corrupción asociados al “Proceso Gestión de Servicios
tecnológicos”.
d. Seguimiento a recomendaciones presentadas por la Oficina de Control Interno, en informes
anteriores.
3. METODOLOGÍA
De acuerdo con la Guía de Orientación de Actividades de la Oficina de Control Interno (IGGU01),
la metodología a seguir para el presente ejercicio es la siguiente:
3.1 Programación del Seguimiento a la Gestión.
La programación del seguimiento a la gestión y del Sistema Integrado de Gestión (SIG), se
encuentran incorporadas en el PAAS – “Programa Anual de Auditoría y Seguimiento”, de la Oficina
de Control Interno para la vigencia de 2018, el cual fue aprobado por la Alta Dirección mediante
Resolución No. 5920 del 15 de Diciembre de 2017 “Por la cual se aprueba el Plan Anual de Gestión de
la Superintendencia Nacional de Salud para la vigencia 2018”.
COFL02 Página 4 de 37
3.2 Planeación del Seguimiento a la Gestión
Con el objeto de realizar la planificación del seguimiento a la gestión a realizarse durante el mes
de Marzo de 2018, la funcionaria asignada como “Madrina” de la Oficina de Tecnologías de la
Información, programó las actividades a ejecutar, estableciendo las temáticas a abordar y que
fueron enunciadas en el “numeral 2. Alcance”, de este documento.
3.3 Anuncio del seguimiento
El anuncio del Seguimiento y solicitud de información se presentó a la Oficina de Tecnologías de
la Información, mediante Memorando radicado con NURC 3-2018-003072 del 26 de Febrero de
2018 y correo electrónico del 7 de Marzo de 2018.
3.4 Ejecución del seguimiento
Análisis de la información enviada por la Oficina de Tecnologías de la Información mediante
Memorando radicado con NURC 3-2018-003846 del 9 de Marzo de 2018, cuyos soportes fueron
debidamente publicada por la dependencia objeto de seguimiento, en el micro-sitio de la Oficina
de Control Interno denominado Banco de Evidencias.
3.5 Elaboración y revisión Informe de seguimiento.
Una vez revisada y analizada la información, se elabora el informe correspondiente, el cual se
pone a consideración y aprobación del Jefe de la Oficina de Control Interno, quien lo presenta al
Despacho del Señor Superintendente Nacional de Salud, durante el mismo mes de ejecución del
seguimiento.
3.6 Reporte de la actividad y publicación del informe en la página Web.
La Oficina de Control Interno en ejercicio de su autocontrol y su autorregulación, tiene definidas
herramientas en las cuales cada funcionario debe reportar sus actividades mensuales; información
que es insumo para presentar a la Oficina Asesora de Planeación, los avances a la Gestión del
P.A.G.; y, de acuerdo con la normativa vigente, los informes generados por esta Oficina son
publicados en el portal web de la Entidad.
4. JUSTIFICACIÓN
De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los
Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de
Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro
de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los
cargos; así como también, verificar que los controles asociados con todas y cada una de las
actividades de la organización estén adecuadamente definidos, sean apropiados y se mejoren
permanentemente, de acuerdo con la evolución de la Entidad.
5. FORTALEZAS
Se destaca la disposición de los funcionarios de la Oficina de Tecnologías de la Información, para
atender la visita y aportar la información adicional solicitada, la cual es insumo para la presentación
de este informe.
COFL02 Página 5 de 37
6. LIMITANTES
Para la elaboración de este informe, no se presentaron limitantes.
7. INFORME
7.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS
7.1.1 En ejercicio de las labores propias de la Oficina de Tecnologías de la Información, la Oficina
de Control Interno realizó seguimiento a los siguientes temas:
❖ Plan de Continuidad del Negocio en TI
❖ Integración de las bases de datos,
En relación con estos temas, la Oficina de Tecnologías de la Información informó lo siguiente:
❖ Plan de Continuidad del Negocio en TI
“A través del Grupo de Administración y Seguridad de la Información, en la vigencia 2016 se formuló el Plan
de Continuidad del Negocio, el cual está constituido por:
Plan de Continuidad del Negocio con código GGPL01
Procedimiento de Continuidad del Negocio con código GGPD02
Guía de Cumplimiento de Continuidad del Negocio con código GGGU04
De estos documentos, por Políticas de Seguridad de la Información, el Plan de Continuidad del Negocio con
código GGPL01 no se encuentra disponible al público, por lo cual no se puede tampoco consultar en el
mapa de procesos institucional, ya que es de conocimiento interno con acceso restringido, por su
connotación público clasificado, dado que contiene guías de operación específicas, las cuales poseen
información detallada de la operación de la Entidad.
La guía de cumplimiento de continuidad de negocio, código GGGU04 y el procedimiento GGPD02, no
incluye información sensible de los procesos de la Entidad y su contenido se clasifica como público, por lo
que además de poderse consultar en nuestra página web institucional o en la intranet en la sección con
nombre: "Anexo A17 Aspectos de Seguridad de la Información de la Gestión de Continuidad de Negocio"
en el enlace: https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-
gestion/subsistema-de-seguridad-en-la-informacion
El Plan de Continuidad de Negocio-PCN, se estableció para los procesos de los siguientes Macroprocesos:
Protección al Usuario y Participación Ciudadana
Gestión de TIC.
Durante la vigencia 2017 a través del Grupo de Administración y Seguridad de la Información se adelantó
la actualización del Plan de Continuidad del Negocio con código GGPL01, incluyendo los siguientes
Macroprocesos:
Inspección a sujetos vigilados
Vigilancia a sujetos vigilados
Control a Sujetos Vigilados.
COFL02 Página 6 de 37
Igualmente se actualizó el Procedimiento de Continuidad del Negocio con código GGPD02, el cual fue
publicado en el portal web de la Entidad (Mapa de Procesos), el 20 de Marzo de 2018; así mismo la Guía
de Cumplimiento de Continuidad del Negocio con código GGGU04, ya se encuentra definida y está en
proceso de ajustes y posterior aprobación por parte de la Oficina Asesora de Planeación.
Por solicitud del señor Superintendente Nacional de Salud, doctor Luis Fernando Cruz Araujo, el
15 de Febrero de 2018 se realizó una presentación del estado del Plan, tal como consta en el Acta
del Comité Directivo de esa fecha; de la mencionada presentación, se extrae lo pertinente a este
tema:
En relación con la caída del servicio de internet y telefonía presentado en la primera semana de
febrero, en la presentación power point que fue parte del acta, se relacionan los tiempos que se
tienen establecidos por acuerdos de niveles de servicio, como se registra en las imágenes que se
encuentran a continuación:
COFL02 Página 7 de 37
Con respecto a la situación antes mencionada, en visita in situ a la Oficina de Tecnologías de la
Información se informa que efectivamente hubo un incidente relacionado con fallas eléctricas
durante el fin de semana que ocasionaron que las UPS agotaran sus baterías y al regreso del
fluido eléctrico, éstas se bloquearon.
Durante el inicio de la jornada laboral el lunes, los funcionarios encargados de solucionar el tema,
realizaron las gestiones y actividades necesarias para su restablecimiento, situación que se llevó
a cabo dentro de los tiempos estipulados para ello.
Adicionalmente, se le informa a la Oficina de Control Interno que para la atención de incidentes de
TI que afecten la continuidad del servicio, se han establecido los controles y planes de acción que
establece la Norma ISO 27001:2013 y que dentro de los Acuerdos de Niveles de Servicio que
permiten atender estos incidentes, se tienen establecidos los siguientes:
Nivel 1: Atención al incidente, por Mesa de Servicios
Nivel 2: Incidentes que no pueden ser solucionados por nivel 1 y requieren un tratamiento más
específico, por parte de funcionarios de la Oficina de Tecnologías de la Información.
Nivel 3: El incidente debe ser tratado y solucionado por los proveedores.
COFL02 Página 8 de 37
Al tener definidos los acuerdos de niveles de servicios y estando centralizada la recepción de todos
los incidentes a través de la Mesa de Servicios, se garantiza que haya trazabilidad del caso (tiket),
que haya una adecuada valoración y escalamiento de la solución de los temas radicados, que
haya atención adecuada, dentro de los tiempos establecidos en los mismos.
Dentro del macroproceso Direccionamiento Estratégico se encuentra el proceso Gobierno y
Gestión de la Información, en el cual uno de sus procedimientos es “Continuidad del Negocio”, en
cumplimiento del numeral 5. Liderazgo, que se describe como: “Las personas de la alta dirección y
otros roles directivos pertinentes de la organización deben demostrar liderazgo con respecto al SGCN”.
De la verificación documental aportada en relación con la gestión para la continuidad del negocio,
se pudo verificar que la documentación que exige la Norma ISO 22301:2012 (Gestión de la
Continuidad del Negocio), está construida y actualmente, se encuentran algunos de ellos, en
proceso de revisión y ajuste, y otros ya han sido ajustados como el procedimiento GGPD02-
Gestión para la Continuidad del Negocio, el cual se encuentra en su versión 2.
❖ Integración de las bases de datos
“Partiendo de una de las posibles definiciones: La integración de bases de datos o integración de datos de
manera general como un proceso de transformación, concordancia y/o conciliación de datos que optimicen
y generen agilidad en la gestión, con esto obteniendo datos conectados, únicos, seguros y de calidad.
Claramente integrar tiene como significado combinar datos que se encuentran en diversas fuentes en una
vista y /o consulta unificada que permitan una accesibilidad eficiente y permitan servir a las necesidades de
negocio.
Teniendo en cuenta estas definiciones la Superintendencia Nacional de Salud cuenta con herramientas para
dichas integraciones como la consolidación de sistemas y el proveer datos a través de BI, como lo son:
En BI Bases de datos de talento humano, con la información biométrica vs la información del software
de humano para informes de ingreso y salida de funcionarios.
En BI Circulares, se tomó la información de nRVCC y de RVCC; se generaron informes de los cuales
se desprende cubos de información y son insumo para las Superintendencias Delegadas de Medidas
Especiales, Riesgos e Institucional, a través de BI.
Actualmente en nRVCC se realizó un procedimiento ETL1 para cargar la información; adicionalmente se
realizan consultas al sistema RVCC para obtener unicidad de información.
1 Extract, Transform and Load («extraer, transformar y cargar», frecuentemente abreviado ETL) es el proceso que permite a las
organizaciones mover datos desde múltiples fuentes, reformatearlos y limpiarlos, y cargarlos en otra base de datos, data mart, o data warehouse para analizar, o en otro sistema operacional para apoyar un proceso de negocio. Definición tomada de: https://es.wikipedia.org/wiki/Extract,_transform_and_load
COFL02 Página 9 de 37
De acuerdo con lo definido por la Oficina de Metodologías para la Supervisión y Análisis de Riesgos,
como fuente de consulta de datos generales de RVCC a nRVCC, se migró la siguiente información:
Directivos Representante Legal - Prestadores
Directivos Representante Legal - EAPB
Directivos Presidente consejo o junta directiva
Directivos Revisor fiscal principal - EAPB
Directivos Revisor fiscal principal - Prestadores
Directivos Revisor fiscal suplente - EAPB
Directivos Contador - EAPB
Directivos Contador - Prestadores
Directivos Oficial de cumplimiento EAPB
Directivos Oficial de cumplimiento EAPB
Directivos Oficial de cumplimiento Prestadores C1,C2,D1
Directivos Oficial de cumplimiento Prestadores C1,C2,D1
Con respecto a Contacto SIS no fue posible realizar la migración completa ya que en el archivo RVCC-
AT024 y RVCC-AT025, no existe un campo Numero de documento como se relaciona en el Excel, este
campo es requerido para realizar la migración en el nuevo RVCC y preservar la integridad de la
información; aspecto que actualmente está siendo analizado por la Oficina de Metodologías de
Supervisión y Análisis de Riesgos.
Contacto SIS Director de Atención al Usuario
Contacto SIS Referencia Nacional
Contacto SIS Referencia Regional
Contacto SIS Autorizaciones Regionales
Contacto SIS Encargado Gestión SIS Nacional
Lo anterior ha permitido que solo exista una base de datos de Vigilados en el sistema RVCC, ya que la
información que fue migrada, es obtenida de RVCC antiguo y dispuesta al nuevo sistema para que sea
la única fuente de información, lo que finamente redundará en el mejoramiento de la calidad del dato.
A partir de esta integración, la cual se constituye en la Base de Datos que se gestiona a través del Nuevo
RVCC, se pretende mantener una única fuente de información de vigilados.
Actualmente las áreas funcionales (Oficina de Metodologías de Supervisión y Análisis de Riesgos y
Superintendencia Delegada para la Supervisión Institucional) están definiendo las funcionalidades que
deben ser migradas a la nueva aplicación, con el fin que en un corto plazo pueda quedar funcionando
únicamente nRVCC.
En la vigencia 2018 se estructura el proyecto de Arquitectura integral de T.I. y hace parte de éste
proyecto la arquitectura de datos maestros de la Entidad, en donde el objetivo es direccionar las
necesidades actuales de la Entidad hacia disponer sistemas de información especializados,
componentes de servicios SOA2, interoperabilidades internas y externas, los anteriores articulados de
tal forma que se defina una arquitectura de datos única en la Entidad, reduciendo gradualmente las
duplicidades de información, para tal fin se hace necesario el trabajo articulado entre las áreas
funcionales, la Oficina de Planeación, la Oficina de Metodologías de Supervisión y Análisis de Riesgos
y la Oficina de Tecnologías de la Información, de tal forma que, paralelo a los temas tecnológicos se
tomen las decisiones y políticas internas para el manejo y administración de los datos.
Las fases en las que se desarrollará el proyecto serán las definidas en el marco de arquitectura
empresarial liderado por la Oficina de Planeación y el marco de gestión de arquitectura de T.I. de la
Oficina de Tecnologías de la información, en donde las fases principales son:
2 La Arquitectura Orientada a Servicios (SOA, siglas del inglés Service Oriented Architecture) es un estilo de arquitectura de TI que se apoya en la orientación a servicios. La orientación a servicios es una forma de pensar en servicios, su construcción y sus resultados. Definición tomada de: https://es.wikipedia.org/wiki/Arquitectura_orientada_a_servicios
COFL02 Página 10 de 37
• Inicio.
• Planeación.
• Ejecución (levantamiento de información, Línea base, arquitectura objetivo).
• Hoja de ruta.
• Implementación transversal.
• A lo anterior se desarrollará la fase de monitoreo y control que permitirá gestionar el avance del
proyecto.
A través del diseño de una arquitectura de datos, se busca que los sistemas de información nuevos y
existentes se ajusten a una sola fuente de información, ya sea a través de la integración de datos, o con
el uso de web services (interoperabilidades).
El 14 de Febrero de 2018, la Oficina de Tecnologías de la Información presentó ante el Comité
de Desarrollo Administrativo, el Proyecto Diseño Arquitectura de T.I-Estrategia y Definición del
ejercicio de arquitectura, del cual se extraen los siguientes aspectos:
“Alcance del Proyecto: El alcance está enmarcado en las actividades misionales de la Entidad.
1. Realizar un diagnóstico de la situación actual que permita:
o La actualización del catálogo de procesos
o La identificación de la interrelación entre procesos de negocio.
o La identificación del catálogo de servicios de negocio
o El nivel de apoyo tecnológico de sistemas de información
o Valoración de la gestión de datos actual
o La actualización y ampliación de la arquitectura de datos actual
o La actualización de la arquitectura de interoperabilidad
o La actualización de la arquitectura de sistemas de información
2. Realizar la propuesta de arquitectura objetivo de TI que incluya:
o Definición de arquitectura de datos, para unificar bases de datos
o Definición de arquitectura de interoperabilidad, para unificar bases de datos
o Definición de arquitectura de sistemas de información y automatización de procesos (levantar
inventario para analizar y definir las necesidades para el próximo cuatrienio)
3. Hoja de ruta de la puesta en marcha de iniciativas:
o Priorización de iniciativas
o Línea de tiempo
o Alcance
COFL02 Página 11 de 37
Motivadores
Estratégicos:
Cumplimiento a la estrategia GEL en el dominio de información
Incrementar el nivel tecnológico y de automatización de procesos que permitan dar mayor cobertura y
eficiencia en las actividades misionales de IVC
Fortalecer el uso de las herramientas y la gestión de datos para el análisis avanzado de información que
permita agilidad en la toma de decisiones.
COFL02 Página 12 de 37
Establecer políticas y lineamientos que faciliten el intercambio de información entre los sistemas internos
y fuentes externas.
Disponer de políticas e instrumentos para la gestión adecuada de los datos que permita la administración
de la información de la Entidad
Motivadores Estratégicos – PEI: Alineación de los objetivos de negocio con las estrategias de TI
COFL02 Página 13 de 37
Restricciones:
1. El diseño de la arquitectura está enfocado solo a los procesos misionales de la Entidad.
2. No incluye las capacidades de infraestructura de TI.
3. No se desarrollarán estrategias, políticas y procesos que determinen el uso y desarrollo de gobierno
de datos.
Metodología:
1. Identificar la viabilidad y definir la estrategia del ejercicio de arquitectura
2. Definición el plan para el desarrollo del ejercicio de arquitectura
3. Realizar la arquitectura actual en los diferentes dominios
4. Establecer referentes
5. Realizar el análisis de brechas entre situación actual y referentes
6. Realizar la arquitectura objetivo viable
7. Establecer el análisis de brecha entre la Arquitectura actual y la Arquitectura Objetivo
8. Definir la hoja de ruta de iniciativas para la implementación de la solución identificada.
9. Socializar y validar la propuesta arquitectónica y promover su implementación.
Fuente: Presentación Vision_Iniciativa_ARQTI_Estrategia_Def_Arq_20180301_V0.8 (Oficina de Tecnologías de la Información)”
En visita in situ realizada a la Oficina de Tecnologías de la Información, se le informa a la Oficina
de Control Interno que en relación con este tema es importante la sincronización y armonía que
se establezca entre la Oficina de Metodologías de Supervisión y Análisis de Riesgos, Oficina
Asesora de Planeación, las áreas funcionales y la Oficina de Tecnologías de la Información como
área de apoyo, para poder definir exactamente las necesidades que se plantean desde las
dependencias que utilizarán los sistemas y la información, lo cual en ultimas redundará en la
unificación de datos, a través de la integración de datos o interoperabilidades entre sistemas de
información.
Para ello es importante que cada área conozca muy bien sus procesos y procedimientos para
establecer sus necesidades, pero también lo es, que cada dependencia debe conocer los procesos
y procedimientos de las demás áreas de la Entidad, con el fin de que en el momento que se haga
un requerimiento se tenga previsto si la atención de esa necesidad beneficiará otro proceso y en
conjunto, entre las áreas funcionales con el apoyo técnico, se pueda definir una solución que
atienda a más de un requerimiento.
COFL02 Página 14 de 37
7.1.2 Seguimiento al cumplimiento de las funciones definidas mediante Decreto 2462 de 2013,
en especial la función No. 21: “Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de
los sistemas de información, de la infraestructura y plataforma tecnológica y de comunicaciones de la
Superintendencia”.
En relación con el cumplimiento de esta función, en lo que tiene que ver con Infraestructura y
plataforma tecnológica, la Oficina de Tecnologías de la Información aportó informe donde se
detalla toda la gestión correspondiente a estos aspectos, entre los cuales se relaciona lo siguiente:
a. Gestión de Servicios Tecnológicos:
“Conectividad – La Entidad obtuvo mejoras técnicas en cuanto a mayor ancho de banda, canales
dedicados seguros para flujo de información de la Entidad, una infraestructura de conectividad centralizada,
un modelo de conectividad que permita tener servicios en línea, accesos seguros y aprovechamiento de las
plataformas tecnológicas innovadoras como los servicios de comunicaciones unificadas (videoconferencia,
Skype, telefonía); para lo cual se contrató el servicio de conectividad pública y privada para el funcionamiento
de los aplicativos misionales de la Entidad, así como las Regionales donde se logró prestar el mencionado
servicio incluyendo el traslado del servicio a las nuevas sedes regionales, mediante la orden de compra
4963.
A partir del 1º de Septiembre de 2017, entran en operación los canales dedicados de datos e internet acorde
a la orden de compra 18680, con contrato interno No. 220 de 2017, suscrito con la firma Media Commerce
Partners SAS, con fecha de emisión 11 de Julio de 2017 y fecha de vencimiento 7 de Agosto de 2018, en la
cual se planea junto con el proveedor del servicio, todas las actividades encaminadas a garantizar la
conectividad.
Data Center (Nube Privada): Los servicios de nube privada implementados para la Superintendencia
Nacional de Salud ,han permitido garantizar los servicios disponibles y continuos.
A partir del 1º de Septiembre de 2017 se implementan los servicios correspondientes a la orden de compra
No. 18148 con número de contrato interno No. 210 de 2017, suscrito con UNE, con fecha de emisión 20 de
Junio de 2017 y fecha de vencimiento 31 de Julio de 2018,con el cual la Entidad contrató los servicios de
hosting virtual y hosting físico en sus seis (6) categorías a saber: IaaS3 para Procesamiento, IaaS para
Almacenamiento, IaaS para Seguridad, PaaS4, Alojamiento de Infraestructura y Servicios Complementarios
con Acuerdos de Nivel de servicio oro y plata.
Infraestructura Tecnológica: Para innovación de la plataforma tecnológica, se adquirió a través del
acuerdo marco de equipos y periféricos, los siguientes equipos:
Ítem Descripción Cantidad Orden de compra
1 Computador tipo Estación de trabajo 50 22821
2 Computadores portátiles 25 22817
3 Computadores portátiles Ultralivianos 49 22817
4 Tabletas 50 22816
5 Impresoras B/N 5 22819
6 Impresoras a color 1 22819
7 Impresoras multifunción 2 22819
8 Escáner 3 22819
9 Monitores industriales 2 22818
10 Monitores Touchscreen 34 22818
11 Video proyector 3 22818
12 Tableros Interactivos 2 22818 Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017
3 Iaas: Infraestructura como Servicio (IaaS, Infrastructure as a Service) es uno de los tres modelos fundamentales en el campo del cloud computing. Definición tomada de: https://www.interoute.es/what-iaas 4 PaaS: Plataforma como Servicio (PaaS, Platform as a Service. Definición tomada de: https://www.interoute.es/what-iaas
COFL02 Página 15 de 37
Infraestructura de TI: Las actividades realizadas durante la vigencia 2017, fueron:
• Crecimiento de la Infraestructura servidores año 2016 a 2017, 83% de nuevas maquina virtuales y 96%
en nuevos servidores para gestión de las bases de datos.
• Migración del directorio activo de Windows 2012 a Windows 2016 mejorando la seguridad en los
controladores de dominio.
• Aprovisionamiento de la infraestructura para los proyectos:
o Gestor documental
o PQRD
o BPMS
• BizTalk5 en alta disponibilidad para la integración de los proyectos de TI.
• Aprovisionamiento del Datacenter Alterno en la ciudad de Bogotá, con las aplicaciones críticas de la
Entidad.
• Actualización de las herramientas de System Center versión 2012 a 2016, para la gestión de la
infraestructura de TI.
Mesa de Servicios Tecnológicos (HelpDesk): A través de la Mesa de Servicio, para la vigencia 2017, se
brindó soporte a los funcionarios y vigilados de la Superintendencia Nacional de Salud, como se refleja en
el siguiente cuadro:
CASOS ATENDIDOS CA 2017
Estado Actual Total
Abierto 82
Cancelado 51
Cerrado 14798
Detenido Cliente 12
Detenido Revisión Técnica 185
Detenido Garantía 11
En progreso 13
Solucionados 1145
Automatización de soporte: abandonado 2
Automatización de soporte 1
Total general 16300
Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017
b. Provisión de Soluciones Tecnológicas:
Renovación y adquisición licenciamiento y servicios Microsoft
En virtud de la orden de compra 21652 con numero de contrato interno 262 de 2017, se realizó la renovación
de los productos de Office 365 (800 licencias) y software Assurance durante dos (2) años.
Entrenamiento Office 365
Con el propósito de mejorar las competencias laborales y el desempeño de los funcionarios de la Entidad
en el puesto de trabajo con el uso de las herramientas de Office365, la Oficina de Tecnologías de la
Información mediante la orden de compra 14557, dispuso de un instructor y de una sala debidamente dotada
para ofrecer entrenamiento en sitio, de Office 365, para lo cual se aportan listas de asistencia.
5 Microsoft BizTalk Server, es una plataforma de integración de procesos de negocio. Por medio del uso de adaptadores diseñados para comunicarse con diferentes tipos de software usados en una empresa de gran tamaño, permite a las compañías automatizar e integrar los procesos de negocio. Definición tomada de: https://es.wikipedia.org/wiki/Microsoft_BizTalk_Server
COFL02 Página 16 de 37
Portal Web Corporativo
Mediante la orden de compra 14557, se contrató el soporte técnico en sitio con el propósito de garantizar y
no interrumpir la continuidad y la disponibilidad de la infraestructura que soporta los servicios del portal web
corporativo (páginas Supersalud e intranet), que son de carácter crítico; se logró la estabilización de la
plataforma y del servicio de búsqueda, la documentación de errores frecuentes y la actualización del
documento técnico de la granja de servidores de SharePoint.
Licenciamiento y servicios Microsoft adquiridos
Familia Nombre Producto
Unidad
de
Medida
Cantidad
de
medida
Office 365 Office365E3Open ShrdSvr SubscriptionVL Government OLP
1License NoLevel Qualified Annual 1 Licencia por usuario - 1 - Und Und 800
Office 365 Office365E3Open ShrdSvr SubscriptionVL Government OLP
1License NoLevel Qualified Annual 1 Licencia por usuario - 1 - Und Und 800
Office 365
Office365PlanE1Archiving ShrdSvr SubscriptionVL Government
OLP 1License NoLevel Qualified Annual Región 1 a 4 Pago Anual
Anticipado 1 Licencia por usuario 1 Licencia por usuario - 1 - Und
Und 50
Office 365
Office365PlanE1Archiving ShrdSvr SubscriptionVL Government
OLP 1License NoLevel Qualified Annual Región 1 a 4 Pago Anual
Anticipado 1 Licencia por usuario 1 Licencia por usuario - 1 - Und
Und 50
Comunicaciones
Unificadas SfB
Server
SfBPlusCALOpen ShrdSvr SubscriptionVL Government OLP
1License NoLevel Qualified Annual Suscripción anual 1 Licencia
por Usuario - 1 - Und
Und 800
Comunicaciones
Unificadas SfB
Server
SfBPlusCALOpen ShrdSvr SubscriptionVL Government OLP
1License NoLevel Qualified Annual Suscripción anual 1 Licencia
por Usuario - 1 - Und
Und 800
Bases de Datos
SQL Server
SQLSvrEnterpriseCore SoftwareAssurance Government OLP
2Licenses NoLevel CoreLic Qualified Región 1 a 4 Una sola vez 1
Licencia por cada 2 Cores 1 Licencia por cada 2 Cores - 1 - Und
Und 2
Gestión de
Servidores
System Center
CoreInfraSvrSteStdCore SoftwareAssurance Government OLP
2Licenses NoLevel CoreLic Qualified 1 Licencia por cada 2 Cores -
1 - Und
Und 24
Herramientas de
Desarrollo Visual
Studio
VisualStudio®TeamFoundationServer SoftwareAssurance
Government OLP 1License NoLevel Región 1 a 4 Una sola vez 1
Licencia por Servidor 1 Licencia por Servidor - 1 - Und
Und 1
Herramientas de
Desarrollo Visual
Studio
VisualStudio®TeamFndationSvrCAL SoftwareAssurance
Government OLP 1License NoLevel DvcCAL Región 1 a 4 Una
sola vez 1 Licencia por Dispositivo 1 Licencia por Dispositivo - 1 -
Und
Und 14
Visio
VisioProforOffice365Open ShrdSvr SubscriptionVL Government
OLP 1License NoLevel Qualified Annual Región 1 a 4 Pago Anual
Anticipado 1 Licencia por usuario 1 Licencia por usuario - 1 - Und
Und 20
Visio
VisioProforOffice365Open ShrdSvr SubscriptionVL Government
OLP 1License NoLevel Qualified Annual Región 1 a 4 Pago Anual
Anticipado 1 Licencia por usuario 1 Licencia por usuario - 1 - Und
Und 20
Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017
En lo que hace referencia a asegurar el óptimo funcionamiento y mantenimiento de los sistemas
de información, la Oficina de Tecnologías de la Información indica que para los productos que se
relacionan a continuación durante la vigencia 2017 se tenían suscritos los contratos que se indican
en cada uno de ellos; así mismo se aportan los documentos soportes sobre las contrataciones
realizadas para cubrir la vigencia 2018:
COFL02 Página 17 de 37
TEMIS-COBRA - Contrato 265 de 2016 con fecha de vencimiento el 31 de Diciembre de 2017
suscrito con Central de Inversiones S.A.-CISA cuyo objeto fue: "Contratar el servicio de arrendamiento
de los sistemas de información Temis y Cobra como servicio – SAAS – (software as a Service), para la
administración y gestión de la información del proceso de cobro persuasivo y jurisdicción coactiva de la
Superintendencia Nacional de Salud, y demás servicios adicionales de acuerdo con la propuesta presentada
por CISA y el Anexo No 1 “Especificaciones Técnicas Mínima” del presente contrato".
Para la vigencia 2018, se suscribió el contrato 090 de 2018, con la misma empresa y objeto social,
por el periodo 26 de Enero de 2018 hasta el 25 de Octubre de 2018.
Supercor - Contrato 171 de 2017 con fecha de vencimiento 28 de Diciembre de 2017, suscrito
con Siscomputo Ltda. Servicios y Sistemas de Cómputo, cuyo objeto fue: "Prestar el servicio de
soporte y mantenimiento del sistema de información de correspondencia Supercor".
Para la vigencia 2018, se suscribió el contrato 084 de 2018, con la misma empresa y objeto social,
por el periodo 23 de Enero de 2018 hasta el 24 de Diciembre de 2018.
Tasa - Contrato 173 de 2017 con fecha de vencimiento 20 de Diciembre de 2017, suscrito con
Sertisoft SAS cuyo objeto fue: "Prestar el servicio de Soporte y mantenimiento de las Licencias de
TRACKING AND MANAGEMENT SYSTEM-TMS del Sistema de Gestión de Tasa de la Superintendencia
Nacional de Salud".
Para la vigencia 2018, se suscribió el contrato 089 de 2018, con la misma empresa y objeto social,
por el periodo 25 de Enero de 2018 hasta el 31 de Diciembre de 2018.
HUMANO - Contrato 188 de 2017 con fecha de vencimiento 31 de Diciembre de 2017, suscrito
con SOPORTE LOGICO Ltda., cuyo objeto fue: "Actualización a las últimas versiones liberadas en el
mercado, mantenimiento, soporte técnico funcional y no funcional y bolsa de horas para nuevas
funcionalidades o personalizaciones de funcionalidades a incluir en el sistema de acuerdo con lo que la
entidad requiere del Sistema de Gestión del Talento Humano y Nómina “Humano” de la Superintendencia
Nacional de Salud de conformidad con el Anexo No 1 “Especificaciones Técnicas”.
Para la vigencia 2018, se suscribió el contrato 091 de 2018, con la misma empresa y objeto social,
por el periodo 25 de Enero de 2018 hasta el 31 de Diciembre de 2018.
ITS Planeación y Gestión - Contrato 241 de 2017 con fecha de vencimiento 20 de Diciembre de
2017, suscrito con ITS Solutions Ltda., cuyo objeto fue: "Contratar la prestación de servicios de soporte
y mantenimiento para el sistema de información "Sistema integrado de planeación y gestión", el cual debe
comprender los recursos técnicos, especializados y capacitados en el sistema de información, esquema de
respaldo y contingencia de aplicación, gestión de soporte de problemas e incidentes, entrega de nuevas
versiones o actualizaciones de la aplicación, parches de seguridad y soporte técnico y funcional".
Para la vigencia 2018, se suscribió el contrato 103 de 2018, con la misma empresa y objeto social,
por el periodo 25 de Enero de 2018 hasta el 31 de Diciembre de 2018.
ArcGIS - Contrato 190 de 2017 OC 17662- con fecha de vencimiento 31 de Diciembre de 2017,
suscrito con ESRI Colombia cuyo objeto fue: "Renovación, actualización, y configuración para las
licencias de suscripción ArcGis en su última versión liberada en el mercado: Arcgis Online y la cartografía
Streepmap Premium, Adquisición de Soporte Avanzado y capacitación a usuarios finales".
COFL02 Página 18 de 37
ArcGIS- Contrato 210 de 2017 OC 18052- con fecha de vencimiento 14 de Junio de 2018, suscrito
con ESRI Colombia cuyo objeto fue: "Renovación, actualización, y configuración para las licencias de
suscripción ArcGis en su última versión liberada en el mercado: Arcgis Online y la cartografía Streepmap
Premium, Adquisición de Soporte Avanzado y capacitación a usuarios finales".
ArcGIS - Contrato 285 de 2017 OC 23149- con fecha de vencimiento 15 de Diciembre de 2017,
suscrito con ESRI Colombia "Renovación, actualización, configuración y soporte para las licencias de
ArcGis Enterprise Standard, ArcGis Desktop, ArcGis Desktop Advance, las extensiones Spatial y Network
Analyst de ArcGis Desktop en su última versión liberada en el mercado para la Superintendencia Nacional
de Salud".
Antivirus - Contrato 290 de 2017 con fecha de vencimiento 29 de Diciembre de 2017 (para
pagos), suscrito con BHA SAS cuyo objeto fue "Renovación y actualización de protección Antivirus
Suite Trend Micro Smart Protection Complete conforme a lo especificado en el Anexo Técnico". El soporte
y mantenimiento es por 3 años.
El objeto definido para estos contratos, permiten deducir que tienen como propósito fundamental
el soporte y mantenimiento de cada uno de estos Sistemas de Información o plataformas
tecnológicas, los cuales se cumplieron conforme al objeto y alcance de cada uno; así mismo en
cada uno de estos sistemas o licencias, se indicaron los nuevos contratos que aplican para la
vigencia 2018.
OBSERVACIONES CUMPLIMIENTO DE LAS FUNCIONES DE LA OFICINA DE
TECNOLOGÍAS DE LA INFORMACIÓN
Con base en la información aportada por la Oficina de Tecnologías de la Información, se pudo
evidenciar que la dependencia a la que se le hace seguimiento ha realizado las actividades
enunciadas en su respuesta, en aras de atender las funciones y actividades evaluadas.
7.2 EVALUACION MAPA DE RIESGOS DEL PROCESO
En el seguimiento objeto de este informe, se revisará un (1) riesgo operacional y un (1) riesgo de
corrupción, asociados al proceso “Gestión de Servicios Tecnológicos”, con el fin de verificar si esta
dependencia tiene plenamente identificados los riesgos asociados a sus procesos, y recoger
evidencias de las acciones de mejora que se han implementado con el fin de evitar su
materialización.
7.2.1 Riesgo Operacional
Riesgo Operacional
Descripción Causas Acciones propuestas/ tratamiento del riesgo
Falta de definición y aplicación de controles efectivos para salvaguarda de la información
El establecimiento indebido de controles efectivos de seguridad de la información y/o su inadecuada aplicación, conllevan a la pérdida de la confidencialidad, integridad y disponibilidad de la información.
1. Falta de conocimiento y conciencia sobre seguridad de la información 2. Falta de una adecuada capacitación para la toma de conciencia 3. Falta de personal idóneo para el manejo de las herramientas de seguridad informática 4. Falla en los controles de seguridad informática 5. Carencia de herramientas de seguridad informática 6. Falta de plan de recuperación de desastres aprobado y materializado 7. Debilidad en la aplicación de la metodología de identificación de riesgos de seguridad de la información
1. Implementación del Subsistema de Seguridad de la Información a siete procesos misionales 2. Implementación de nuevas herramientas tecnológicas 3. Diseñar, implementar y probar de un plan de contingencia tecnológica 4. Desarrollar planes de capacitación y sensibilización que fortalezcan la cultura de seguridad de la información
COFL02 Página 19 de 37
Para este riesgo, la Oficina de Tecnologías de la Información aporta evidencias sobre la gestión
realizada durante la vigencia 2017, con el fin de evitar la materialización del mismo, acatando las
acciones propuestas en el mapa de riesgos institucional, las cuales se transcriben a continuación:
Acciones Propuestas/ Tratamiento de Riesgos
Acciones Realizadas para Evitar Materialización
1. Implementación del Subsistema de Seguridad de la Información a siete procesos misionales.
En cuanto a la Implementación del SSI, durante la vigencia 2017 se realizaron actividades como: • Actualización activos de información para los procesos de la Oficina de Tecnologías de la Información • Levantamiento de información sobre planes de tratamiento • Validación de la efectividad de Controles • Tipificación de los riesgos de seguridad de la información • Depuración de controles ajustados • Presentación de los activos de información y riesgos consolidados sobre once (11) procesos definidos en los alcances de certificación de las vigencias 2016 y 2017 respectivamente, identificando en total 306 activos de información, los cuales fueron valorados a nivel de los posibles riesgos a los que se encuentran expuestos.
2. Implementación de nuevas herramientas tecnológicas.
• Adquirir EMS - Enterprise Mobility Security
• Renovar la Suite Trend Micro y Adición DDI mediante contrato 290 de 2017, que contiene:
ScanMail Suite for IBM Domino.
Seguridad del correo electrónico
Protección para servidores de archivos.
OfficeScan.
ServerProtect for Microsoft Windows/Novell NetWare.
ServerProtect for Linux.
Protección de clientes (puestos de trabajo).
Intrusion Defense Firewall.
Security for Mac.
3. Diseñar, Implementar y probar un plan de contingencia tecnológica.
Se ha desarrollado lo descrito en el acápite correspondiente a Plan de Continuidad del Negocio en TI, que se relacionó en el numeral 7.1 Evaluación del cumplimiento de las funciones y procedimientos, de este informe.
4. Desarrollar planes de capacitación y sensibilización que fortalezcan la cultura de seguridad de la Información.
Capacitar a los funcionarios y contratistas de la Entidad sobre la política de tercer nivel del SSI "Pantalla limpia y Escritorio limpio", para lo cual se aportaron los siguientes documentos:
Plan de capacitación para el primer semestre de 2018
Presentación de la capacitación realizada del 14 al 16 de febrero.
Listas de Asistencia de la capacitación realizada.
7.2.2 Riesgo de Corrupción
Para este riesgo, la Oficina de Tecnologías de la Información aporta evidencias sobre la gestión
realizada con el fin de evitar la materialización del mismo, acatando las acciones propuestas en el
mapa de riesgos institucional, las cuales se transcriben a continuación:
Riesgo de corrupción Causas Consecuencias Acciones asociadas al
control
Acceso a la información clasificada o a un sistema informático, modificándola y/o divulgándola con el fin de obtener bien sea un beneficio personal o para un tercero.
▪ Amiguismo. ▪ Interés del servidor público en recibir beneficio económico. ▪ Intercambio de información de los procesos contractuales entre el funcionario público y los proveedores. ▪ Recibir incentivos de los proveedores a beneficio propio ▪ Manipulación de estudios previos a beneficio de terceros
▪ Apertura de procesos disciplinarios. ▪ Denuncias ante entidades de control. ▪ Afectación de la credibilidad de la Oficina. ▪ Afectación de la efectividad en las actividades de la oficina de Tecnología de la información.
1. Divulgar el Código de Ética y Buen Gobierno de la Entidad. 2. Realizar capacitaciones en el Código Único Disciplinario.
COFL02 Página 20 de 37
La Oficina de Tecnologías de la Información informa que, con el fin de llevar a cabo las acciones
asociadas al control de este riesgo, la Oficina de Control Disciplinario Interno realizó las
capacitaciones correspondientes al Código Único Disciplinario; así mismo la Oficina de
Tecnologías de la Información adelantó capacitaciones sobre el Subsistema de Seguridad de la
Información y Ley 1712, el 13 de Junio de 2017, y sobre la Ley 1712, el 31 de octubre de 2017.
En la visita in situ, se informa que además de estos controles que están propuestos en la matriz
de riesgos institucional, a nivel periférico se tienen controles como firewall, antivirus y directorio
activo, y en los propios sistemas de información existen controles como lo son claves, contraseñas
y roles de usuario, con el fin de evitar su materialización.
Adicionalmente a todos estos controles, un aspecto fundamental es la concientización de los
usuarios en la protección de sus usuarios y claves, lo cual es atacado con las capacitaciones que,
desde la Oficina de Tecnologías de la Información, como líder operativo del Subsistema de
Seguridad de la Información, se realizan periódicamente.
OBSERVACIONES OFICINA DE CONTROL INTERNO
De acuerdo con la información aportada por la Oficina de Tecnologías de la Información, la Oficina
de Control Interno pudo evidenciar que se están llevando a cabo actividades que permitan cumplir
con los controles definidos en la matriz de riesgos operacionales y de corrupción, con el fin de
evitar que se materialicen los riesgos evaluados.
En la visita in situ, al realizar la entrevista con los funcionarios de la Oficina de Tecnologías de la
Información, se pudo establecer que además de los controles definidos para los riesgos de
corrupción, son necesarias otras medidas tanto a nivel físico (equipos y otros dispositivos) como
lógico (usuarios y contraseñas), las cuales se vienen aplicando en cumplimiento a lo establecido
en la norma ISO 27001:2013 que regula el Subsistema de Seguridad de la Información, por lo que
la recomendación muy respetuosa de la Oficina de Control Interno, es que en trabajo conjunto con
la Oficina Asesora de Planeación se pueda analizar y determinar la viabilidad de complementar
esas acciones en el mapa de riesgos.
7.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO
La Oficina de Control Interno realizó seguimiento a las recomendaciones formuladas como
resultado de informes anteriores, los cuales se relacionan a continuación:
7.3.1 De Informes de Seguimiento
a. Del informe de seguimiento efectuado a la Oficina de Tecnologías de la Información por parte
de la Oficina de Control Interno, el cual fue radicado con NURC 3-2017-018167 del 20 de
Noviembre de 2017, se extrae lo siguiente:
“En relación con los 5 sistemas de información que fueron objeto de seguimiento, y dado que ninguno
se encuentra en etapa de producción, la Oficina de Control Interno, continuará haciéndoles seguimiento
y monitoreo en aras de verificar el cumplimiento de los compromisos planteados tanto por la Oficina de
Tecnologías de la Información como por las áreas funcionales; precisando que, la verificación se
concentrará especialmente en establecer que los recursos invertidos en su adquisición y puesta en
marcha, sean de beneficio para la Entidad, y consecuentemente procuren el cumplimiento de los
objetivos y metas institucionales, lo anterior en cumplimiento de lo preceptuado en sentencia C–103 de
2015, de la Corte Constitucional”.
COFL02 Página 21 de 37
Los sistemas de información que fueron objeto de seguimiento en dicho ejercicio, fueron:
➢ Nuevo Gestor Documental: SUMA.
➢ Sistema de Información para la Función Jurisdiccional y de Conciliación-SJC.
➢ Nuevo Sistema de Información para el trámite de Peticiones, Quejas, Reclamos,
Denuncias-PQRD.
➢ Nuevo Sistema de Información para la Superintendencia Delegada de Procesos
Administrativos.
➢ Nuevo Sistema de Información para Auditorías, para la Superintendencia Delegada para
la Supervisión Institucional.
Sobre estos sistemas de información, la Oficina de Tecnologías de la Información informa lo
siguiente:
➢ Nuevo Gestor Documental: SUMA
El Gerente del Proyecto de la Superintendencia Nacional de Salud, describe brevemente el
marco contractual de esta adquisición, de la siguiente manera:
“El 21 de Noviembre de 2016 la Superintendencia Nacional de Salud suscribió el Contrato de
Compraventa No. 247 de 2016 con la UNIÓN TEMPORAL SUPERSALUD 2016, cuyo objeto
consiste en "Adquisición, licenciamiento y servicios conexos para la implementación del sistema de
información para la Gestión Documental en la Superintendencia Nacional de Salud”. El 23 de
Noviembre de 2016, las partes suscribieron el acta de inicio.
El 03 de Octubre de 2017 mediante prórroga No. 1 del contrato, las partes ampliaron el pazo de
ejecución hasta el 22 de Diciembre de 2017.
El 21 de Diciembre de 2017 la UT Supersalud 2016 solicita suspender la ejecución del contrato en
15 días hábiles, la supervisión revisó y aprobó la suspensión del contrato en 10 días hábiles, por lo
anterior, se firma acta No. 1 de suspensión entre las partes en un término de 10 días hábiles, esto
es, desde el 21 de Diciembre de 2017 hasta el 5 de Enero de 2018. El 10 de Enero de 2018 se
retoman las actividades del proyecto firmándose la prórroga No. 2 con finalización de contrato hasta
el 16 de Julio de 2018.”
En la prórroga No. 2 se establece la nueva línea base de entregables, de la siguiente manera:
Fuente: Prórroga No. 2 Contrato 247 de 2016
COFL02 Página 22 de 37
El gerente del proyecto indica que, a la fecha de presentación de este informe, el estado es el
siguiente:
Fuente: Gerente del Proyecto
A lo anterior, manifiesta las siguientes observaciones:
1. Desarrollo y Pruebas Unitarias: Se encuentra en desfase por retrasos en la finalización
de workFlow y auditorías.
2. Pruebas aceptación: Retrasos en la finalización de pruebas de interoperabilidad, pruebas
funcionales y no funcionales.
3. Salida en vivo: 02/05/2018
En relación con los pagos establecidos dentro del proyecto, no se han efectuado pagos
adicionales a los asociados a las primeras fases de inicio: Planeación los cuales se realizaron
en Diciembre de 2016 y, Ejecución (Análisis y Diseño) que se efectuaron en el primer
semestre de 2017.
Fuente: Gerente del Proyecto
Fuente: Prórroga No. 2 Contrato 247 de 2016
La Oficina de Tecnologías de la Información informa adicionalmente que “es importante destacar
que el proyecto maneja una matriz de riesgos bastante compleja y se han tomado medidas de choque /
mitigación y se han implementado controles en todos los frentes de trabajo para poder reaccionar
oportunamente a los desfases, imprevistos / materialización de eventos de riesgo”.
COFL02 Página 23 de 37
➢ Sistema de Información para la Función Jurisdiccional y de Conciliación-SJC
La Oficina de Tecnologías de la Información informa que: “Conforme a los requerimientos hechos
por la Superintendencia Delegada para la Función Jurisdiccional y Conciliación, para el 2017 se elaboró
un plan de trabajo sobre el cual se avanza. Este Plan se formalizó mediante un documento de
compromiso suscrito el 7 de Diciembre de 2017 entre la Superintendente Delegada para la Función
Jurisdiccional y Conciliación, Dra. María Isabel Cañón Ospina y el Jefe de la Oficina de Tecnologías de
la Información, ingeniero Guillermo Cadena Ronderos. El 15 de enero de 2018, se adelantó por parte
de la Dra. María Isabel y del Ingeniero Cadena, una reunión de seguimiento al Plan de trabajo trazado,
el cual se debió ajustar por las razones que se exponen en el Acta.
La siguiente imagen, muestra el nuevo cronograma de actividades derivado de la reunión del 15 de
Enero de 2018:
Fuente: Oficina de Tecnologías de la Información: Plan de Trabajo Mejoras SJC_LineaBase Ajustado 2018_01_15
De acuerdo con lo establecido, a la fecha de presentación del informe que ahora nos ocupa,
el avance con respecto a las actividades establecidas es el siguiente:
Nombre de tarea
FINALIZADAS
Firma mecánica de documentos con token
Opción otros demandados
Eliminación de oficio remisorio en notificaciones
Interoperabilidad con Gestor Documental (SUPERCOR/SUMA)
Validación de adjuntos en notificaciones
Pruebas Ajustes Priorizados
Verificación y cambios de textos
Ajustar campos requeridos
EN EJECUCIÓN
Parametrización de documentos requeridos (pendiente realizara la sesión de revisión con los coordinadores de proceso)
Adjuntar el escrito de demanda obligatoriamente (60%)
Adicionar múltiples demandados (90%)
Ajuste en numeración de solicitudes (30%) Fuente: Oficina de Tecnologías de la Información
COFL02 Página 24 de 37
En visita in situ, la Oficina de Tecnologías de la Información informa que el trabajo que
actualmente se viene desarrollando, está relacionado con los cambios generados por los
ajustes procedimentales al interior de la Superintendencia Delegada para la Función
Jurisdiccional y de Conciliación; adicionalmente se está trabajo el tema de interoperabilidad
con el gestor documental.
➢ Nuevo Sistema de Información para el trámite de Peticiones, Quejas, Reclamos,
Denuncias-PQR
La Oficina de Tecnologías de la Información informa que “Dando cumplimiento al cronograma
establecido en el proyecto de PQRD a través del contrato 267 de 2016 suscrito con la firma Sertisoft
SAS, se realizó la puesta en producción del sistema el día 1 de Diciembre de 2017 a las 12:00 a.m.
fecha en la cual el nuevo Sistema Gestión PQRD reemplazó el software ATENEA que es propiedad de
“Interactivo-Call Center (ICC)”.
El nuevo desarrollo, permite la atención de los siguientes canales: Personalizado, Telefónico, Video
Llamada y Chat (desde el 24 de Febrero de 2018).
Adicionalmente se aclara que dicho sistema entrará en interoperabilidad con el nuevo Sistema de
Gestión Documental "SUMA”, tan pronto como este último entre en producción y con ello atenderá
canales como escrito y web”.
En relación con el sistema de información GESTION PQRD, en el cual se radican las
peticiones, quejas, reclamos, denuncias y/o felicitaciones a través de los Centros de Atención
al Usuario y Regionales, la Oficina de Tecnologías de la Información aportó en medio físico,
soportes de toda la trazabilidad que dan cuenta de las mesas de trabajo sostenidas entre la
Oficina de Tecnologías de la Información y la Superintendencia Delegada para la Protección
al Usuario, desde el 7 de Abril de 2015, donde se levantaron los requerimientos funcionales y
nuevas necesidades del sistema de información.
Entre otros temas tratados en esas mesas de trabajo, se encontró lo siguiente:
La validación de los componentes técnicos para la contratación de la prestación del servicio
de Contact Center.
En reunión llevada a cabo el 7 de Julio de 2016, “como resultado de esta reunión, los directivos
presentes determinaron que se adquirirá un nuevo sistema de información para la gestión de las
PQRD, el cual se llevará por medio de la modalidad de licitación pública. Esta decisión tomada
beneficiará a la Entidad en factores de mejor servicio, costo, tiempo, y componentes técnicos por
parte de posibles proveedores que se presenten al proceso de contratación” (información tomada
de ayuda memoria aportada, de fecha Julio 7 de 2016).
Durante los meses de Agosto y Noviembre de 2016, se adelantó el proceso precontractual
para la adquisición e implementación de un sistema de información y licenciamiento para la
Gestión de las Peticiones, Quejas, Reclamos, Denuncias de la Superintendencia Nacional de
Salud.
El trabajo conjunto llevado a cabo entre la Superintendencia Delegada para la Protección al
Usuario y la Oficina de Tecnologías de la Información, permitieron la suscripción del Contrato
267 del 26 de Diciembre 2016, con acta Acta de Inicio del 28 de Diciembre de 2016, por el
término de 10 meses, previo el cumplimiento de todo el trámite contractual definido en los
procesos y procedimientos institucionales y la normativa aplicable a la contratación estatal.
COFL02 Página 25 de 37
El Objeto del contrato es: “Adquisición e implementación de un sistema de información y
licenciamiento para la Gestión de las Peticiones, Quejas, Reclamos y Denuncias de la Superintendencia
Nacional de Salud de acuerdo con el Anexo No. 1 "Especificaciones Técnicas Mínimas del presente
contrato y propuesta”.
Contrato 267 del 26 de Diciembre 2016, hasta la fecha, tiene 2 prórrogas, así:
Prórroga 1 suscrita el 26 de Octubre de 2017, de acuerdo con lo siguiente:
Prórroga 2 suscrita el 29 de Diciembre de 2017, de acuerdo con lo siguiente:
En visita in situ efectuada el 15 de Marzo de 2018, se hizo demostración del sistema de
información Gestión PQRD, donde se pudo evidenciar que es un sistema amigable, dinámico,
genera reportes y sus gráficos, presenta el tablero gerencial al cual tienen acceso el señor
Superintendente Nacional de Salud y el Superintendente Delegado para la Protección al
Usuario.
Fuente: Ambiente pruebas: https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD
COFL02 Página 26 de 37
Fuente: Ambiente pruebas: https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD
En relación con perfiles de usuario, se tienen los definidos para el Contact Center, Regionales,
Centros de Atención al Usuario, para la Superintendencia Delegada para la Protección al
Usuario y para la Oficina de Control Interno (únicamente de consulta).
Se informa que dentro de las interoperabilidades que ya se tienen definidas para Gestión
PQRD, están: IVR6 y grabaciones de llamadas (planta telefónica), Nuevo Gestor Documental-
SUMA, Sistema de Recepción, Validación y Cargue de Circular Única-RVCC, el App ClicSalud,
y sistemas de información de vigilados (EPS) para lo cual se tiene prueba piloto con Coomeva
EPS, S.O.S. EPS, Famisanar EPS; además se contempla otra interacción con Business
Inteligence-BI.
En relación con la migración de PQRD´s recibidas en vigencias anteriores, en la visita en sitio
se pudo evidenciar que actualmente se ha migrado información desde Diciembre de 2016
hasta 30 de Noviembre de 2017; Actualmente se está revisando y validando información sobre
las PQRS que tienen inconsistencia en los datos, para lo cual se están llevando mesas de
trabajo entre Superintendencia Delegada para la Protección al Usuario (Dirección de Atención
al Usuario), la Oficina de Tecnologías de la Información y el proveedor SERTISOFT. Una vez
analizadas y clasificadas esas PQRS, se hará cargue masivo para vigencias 2016 (hasta
Noviembre) y anteriores.
De otra parte, la Oficina de Control Interno presentó informe de seguimiento a la
Superintendencia Delegada para la Protección al Usuario, mediante NURC 3-2018-003926 del
12 de Marzo de 2018, en su numeral 5.2 Seguimiento a Riesgos Operacionales del Proceso, donde
indicó lo siguiente en relación con el sistema de información Gestión PQRD:
6 IVR: Respuesta de Voz Interactiva-es una tecnología de telefonía que le permite a los clientes interactuar con el sistema de atención de la compañía a través de menúes de voz configurables, en tiempo real. Definición tomada de: https://www.3cx.es/voip-sip/ivr/
COFL02 Página 27 de 37
“El Sistema de Información Gestión PQRD entró en operación el 25 de Noviembre del 2017, el cual se
encuentra dispuesto en la intranet institucional.
https://pqrd.supersalud.gov.co/TMS.Solution.TMSPQRD/home/corporativo.
Con base en lo anterior, se evidencia el cumplimiento de esta acción de mitigación para el riesgo
denominado “Incumplimiento de los atributos de calidad, oportunidad y legalidad contemplados en el
Manual de Acuerdo de Nivel de Servicios de la Entidad”.
Al contar con un sistema de información de este tipo, diseñado para dar trámite de las PQRD
institucionales en términos de oportunidad y calidad, se genera trazabilidad y custodia de soportes de
la gestión emprendida, avanzando en términos de automatización de estos trámites (racionalización).
Igualmente, en este mismo informe, en el numeral 5.3 Seguimiento Mapa de Riesgos de
Corrupción del Proceso, se indicó que “Con el fin de monitorear la realización de acciones o actividades
contenidas en la matriz de riesgos operacionales de la institución, se solicitó se allegara evidencia
objetiva, que dé cuenta de la realización de acciones de mitigación y gestión para el riesgo denominado
“Realizar cobros indebidos o solicitar favores a cambio de filtrar, alterar información, retrasar o agilizar
decisiones derivadas de la solución de PQRD”; dentro de las acciones propuestas en el mapa de
riesgos, para la mitigación de este riesgo, se tienen las siguientes:
En relación con las acciones adelantadas por la Superintendencia Delegada para la Protección
al Usuario, se informó lo siguiente:
“1. Ajustar el sistema de PQRD de acuerdo con lo contemplado en el artículo 15 de la Ley 1797 de 2016.
La Superintendencia Delegada para la Protección al Usuario, informó a la Oficina de Control Interno en
desarrollo del presente seguimiento a la gestión, que el día 14 de Febrero de 2018, se llevó a cabo
reunión sobre el Módulo “Seguimiento Usuario”, con el fin de definir la implementación de este módulo
de consulta de las PQRD por parte de los usuarios, en la página Web de la Superintendencia Nacional
de Salud; para lo cual adjuntó listado de asistencia como evidencia de las reuniones sostenidas, aunado
a relacionar el número de acta registrada en el aplicativo de Planeación y Gestión ITS, esto es, Acta GE
222”.
COFL02 Página 28 de 37
En relación con la definición de un enlace para que el usuario pueda hacer seguimiento a sus
PQRD´s radicadas, se indagó sobre el tema en la Oficina de Tecnologías de la Información,
quienes informaron que éste ya se encuentra listo y está en revisión y validación por parte de
la Superintendencia Delegada para la Protección al Usuario, en aspectos relacionados con las
especificaciones establecidas por la Estrategia GEL, sobre accesibilidad, usabilidad y
disponibilidad. La Oficina de Tecnologías de la Información se encuentra a la espera del visto
bueno de esta Superintendencia Delegada, para lograr sacarlo a producción a finales de Marzo
de 2018.
La información relacionada en el párrafo anterior, es corroborada con un correo electrónico del
12 de Marzo de 2018 que aportó la Superintendencia Delegada para la Protección al Usuario
para el seguimiento presentado a esa dependencia en Marzo de 2018, en el cual se indicó
que:
“2. Cumplimientos lineamientos accesibilidad y GEL:
En orden a los ítems descritos en el contrato 267 de 2016, anexo técnico, en tanto al cumplimiento de
lineamientos, seguridad de Gobierno en Línea y demás normas técnicas, título 5 Requerimientos de
USABILIDAD y ACCESO:
A la luz de estas normas se pide hacer una revisión exhaustiva de su cumplimiento. A continuación, se
presentan algunos hallazgos:
Realizar pruebas en la estructura del código del sitio web con un lector de pantalla para personas
con discapacidad visual como Jaws- Revisión de sintaxis. Responsable Sertisoft, el lunes 12 marzo
confirma tiempo de ejecución.
Validación del cumplimiento de aspectos gráficos de accesibilidad tales como contraste, tamaño de
la tipografía, etc. Responsable Sertisoft, el lunes 12 de marzo confirma tiempo de ejecución.
Compromisos adicionales:
Realizar pruebas y validación de la plataforma embebida en el sitio web de la Supersalud; la OTI
informa que estas pruebas se pueden hacer desde las instalaciones de la SNS. Responsable OTI,
programar pruebas con Sertisoft.
Remitir lista de chequeo de cumplimiento de requisitos de normas técnicas. Responsable Sertisoft,
lunes 12 marzo.
Revisión del resultado de las validaciones de cumplimiento de requisitos de normas técnicas
realizadas con anterioridad ante MINTIC. Responsable OTI y Oficina de Comunicaciones”.
El 19 de Marzo de 2018, SERTISOFT informa que ya se encuentran listos los ajustes
solicitados para que se realice una nueva verificación y validación, del mencionado módulo,
en los siguientes términos:
COFL02 Página 29 de 37
“Me permito informar que sobre el ambiente
https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD/pqrd/portalciudadano, se ha realizado una
nueva publicación que permite cerrar los siguientes compromisos:
• Realizar pruebas en la estructura del código del sitio web con un lector de pantalla para personas
con discapacidad visual como Jaws. Revisión de sintaxis.
• Validación del cumplimiento de aspectos gráficos de accesibilidad tales como contraste, tamaño de
la tipografía, etc.”
En visita in situ realizada el 22 de Marzo de 2018, la Oficina de Tecnologías de la Información,
indica que “Es preciso mencionar, que desde Enero de 2018 se está realizando seguimiento a todos
los requerimientos efectuados dentro de la etapa de soporte y garantía, tanto por la Oficina de
Tecnologías de la Información como por la Superintendencia Delegada para la Protección al Usuario,
para lo cual se están dejando las correspondientes actas registradas en ITS”.
➢ Nuevo Sistema de Información para la Superintendencia Delegada de Procesos
Administrativos y Nuevo Sistema de Información para Auditorías, para la
Superintendencia Delegada para la Supervisión Institucional
“En el primer semestre de 2017 se trabajaron los documentos de arquitectura y precontractuales para
la Adquisición del licenciamiento de una plataforma BPMS (Business Process Management Software) y
automatización de procesos de negocio en la Superintendencia Nacional de Salud, en donde hace parte
la solución tecnológica para la gestión de procesos de: Superintendencia Delegada de Procesos
Administrativos y Auditorías, de la Superintendencia Delegada para la Supervisión Institucional,
desarrollando las actividades de: Documentos de Arquitectura de la Solución, estudios de mercado,
estudios previos, ciclos de sustentación y aprobación de la contratación (Delegadas líderes de los
procesos, grupo de contratación, secretaría general y Superintendente Nacional), producto del cual a
mediados de septiembre se publica el pliego de condiciones en borrador dando inicio a la licitación
pública LP-24-2017 que finaliza el 7 de Noviembre de 2017, con la adjudicación del contrato a la Unión
Temporal BPM LAT y JP & CA SAS-SALUD, mediante contrato N. 265 de 2017. Seguido de lo anterior
se da inicio formal del contrato el 10 de Noviembre de 2017, con un plazo de ejecución hasta el 31 de
Julio de 2018.
A través Contrato 265 de 2017, suscrito con la Unión Temporal BPM-LAT y JP&CA SAS-Salud se realizó
la contratación para “Adquisición de una plataforma BPMS (Business Process Management Software)
y automatización de procesos de negocio en la Superintendencia Nacional de Salud.” A través de este
contrato se realizará la automatización de procesos administrativos y Auditorías.
Basado en las actividades del cronograma detallado el avance del proyecto es de un 47%.
Fuente: Oficina de Tecnologías de la Información - Grafica de avance proyecto BPMS
COFL02 Página 30 de 37
En visita in situ realizada a la Oficina de Tecnologías de la Información, se indicó que el
desarrollo de este proyecto ha sido un trabajo conjunto y coordinado tanto por la Oficina
Asesora de Planeación, la Oficina de Tecnologías de la Información y las áreas funcionales
Superintendencia Delegada para la Supervisión Institucional y Superintendencia Delegada de
Procesos Administrativos.
OBERVACIONES OFICINA DE CONTROL INTERNO
En relación con los 5 sistemas de información que fueron objeto de seguimiento, y con base
en los soportes e información aportada tanto por la Oficina de Tecnologías de la Información y
algunas áreas funcionales, la Oficina de Control Interno pudo verificar que la dependencia
objeto de seguimiento, ha venido adelantando las gestiones pertinentes y ha realizado un
trabajo coordinado con esas áreas, con el fin de lograr que los sistemas de información que se
están implementando cumplan con los requerimientos establecidos en el anexo técnico y en
estudios previos, así como con los cronogramas definidos para sus desarrollos; por lo anterior,
la Oficina de Control Interno continuará haciéndoles seguimiento y monitoreo.
b. En este mismo seguimiento se dejó la siguiente recomendación, relacionada con el autocontrol
de la Oficina de Tecnologías de la Información:
“En relación con la modificación y actualización de los documentos que hacen parte de sus procesos y
procedimientos, que actualmente se encuentran en etapa de revisión por parte de la Oficina de
Tecnologías de la Información, se recomienda muy respetuosamente que en ejercicio de los principios
de autocontrol y autogestión que establece el Modelo Estándar de Control Interno-MECI, se continúe
trabajando en ello, para que con el apoyo y asesoría de la Oficina Asesora de Planeación , se logre el
mejoramiento continuo; recomendación que ha sido reiterativa en los informes presentados durante las
vigencias 2016 y 2017”.
En relación con esta recomendación, la Oficina de Tecnologías de la Información informa que:
“Al respecto de este requerimiento, informamos que, dentro del proceso de mejora continua, la Oficina
de Tecnologías de la Información, no ha considerado hacer modificación de los procesos Gestión de
servicios tecnológicos y Provisión de soluciones tecnológicas.
En cuanto al Proceso de Gobierno y Gestión de la Información se han venido trabajando las matrices
de riesgos de seguridad de la información, para los procesos que se sometieron a la pre-auditoría de
certificación en el 2017 con la firma Bureau Veritas. Dichas matrices se publicarán en el mes de Marzo
tal como fue relacionado anteriormente. De otra parte, venimos trabajando en un ajuste a la plantilla de
la matriz de riesgo, la cual, si encontramos necesario hacer, solicitaremos a la Oficina Asesora de
Planeación su revisión, aprobación y respectiva publicación”.
OBERVACIONES OFICINA DE CONTROL INTERNO
En visita in situ realizada a la Oficina de Tecnologías de la Información el 22 de Marzo de 2018,
se indagó por este tema, ya que durante la vigencia 2017 para los informes de seguimiento
que se presentaron durante esa vigencia, se indicó por parte de esa dependencia que se
estaban revisando los procesos y procedimientos y para este informe se manifiesta que no se
tiene contemplada dicha actividad.
COFL02 Página 31 de 37
En diferentes informes se le ha reiterado a la Oficina de Tecnologías de la Información, que en
ejercicio de los principios de autocontrol y autogestión que establece el Modelo Estándar de
Control Interno-MECI, y que, con el apoyo y asesoría de la Oficina Asesora de Planeación, se
logre el mejoramiento continuo de sus procesos y procedimientos, así como de la
documentación que los soporta.
Lo anterior se ratifica con la Resolución 2660 de 2015 “por la cual se adoptan las reuniones de
autoevaluación de la Superintendencia Nacional de Salud”, en la que se resuelve:
Por lo anteriormente expuesto, la Oficina de Control Interno reitera recomendación relacionada
con el ejercicio del autocontrol definido en el Modelo Estándar de Control Interno-MECI,
complementado con la realización de reuniones de autoevaluación, definidas en la Resolución
2660 de 2015, en aras de que la Oficina de Tecnologías de la Información en desarrollo de sus
funciones tenga implementada la mejora continua y permanente de sus procesos y
procedimientos.
7.3.2 De Auditorias al Sistema Integrado de Gestión
❖ La Oficina de Control Interno mediante NURC 3-2017-008398 del 31 de Mayo de 2017,
presentó informe de Auditoría a los Subsistemas del Sistema Integrado de Gestión, en el cual
se establecieron No conformidades al Subsistema de Seguridad de la Información, a cargo de
la Oficina de Tecnologías de la Información como líder operativo del mismo, las cuales se
transcriben a continuación:
“C. SUBSISTEMA DE SEGURIDAD DE LA INFORMACION
NO CONFORMIDAD
Se evidenció desactualización de la versión de la “Matriz de Valoración de Activos y Análisis de Riesgos
de Seguridad y Privacidad de la Información”, toda vez que el registro que se encuentra publicado en la
Página Web de la Entidad, en la matriz de mapa de riesgos, señala el código del formato ASFT22
VERSIÓN 2, y el formato igualmente publicado en la Página Web se encuentra en VERSIÓN 3 (fecha
última actualización Febrero 28 de 2017) de la Entidad, incumpliendo lo establecido en el numeral 7.5
Información Documentada de la norma ISO 27001:2013.
Respuesta: La “Matriz de Valoración de Activos y Análisis de Riesgos de Seguridad y Privacidad de la
Información” publicada en la Página Web tiene como fecha de actualización el 23 de Diciembre de 2016
como se evidencia en la siguiente imagen, es decir cuando se realizó el registro de la matriz mencionada
estaba vigente la versión 2, conforme se vayan generando nuevas matrices de los demás procesos o
actualizando de acuerdo al mejoramiento continuo se usará la versión 3 del mencionado formato”.
COFL02 Página 32 de 37
OBERVACIONES OFICINA DE CONTROL INTERNO
Sobre la atención de esta No conformidad, la Oficina de Tecnologías de la Información
mediante NURC 3-2018-003846 del 9 de Marzo de 2018, informa que:
“El formato publicado en el Sistema de Gestión de Calidad es el ASFT22 Versión 4,
https://docs.supersalud.gov.co/PortalWeb/planeacion/AdministracionSIG/ASFT22.xlsx
Se entrega archivo "ASFT22 - MATRIZ DE VALORACIÓN DE ACTIVOS Y ANÁLISIS DE RIESGOS DE
SEGURIDAD V4.xlsx", el cual contiene los activos y riesgos identificados en el 2017 para los siguientes
procesos:
Gestión de la participación ciudadana en las instituciones del Sistema General de Seguridad Social
en Salud - GPC
Gestión de atención al usuario del Sistema General de Seguridad Social en Salud - GAU
Gestión de servicios tecnológicos - GST
Provisión de soluciones tecnológicas - PST
Evaluación y aprobación de acuerdos de reestructuración de pasivos - EAR
Adopción y seguimiento de acciones y medidas especiales - ASME
Gestión del procedimiento administrativo - GPA
Auditoría a los sujetos Vigilados - ASV
Identificación y seguimiento de liquidaciones voluntarias - ISLV
Supervisión a los sujetos vigilados de la Superintendencia Nacional de Salud-SSV
Evaluación integral de riesgos de sujetos vigilados – EIR”
En la revisión efectuada por la Oficina de Control Interno el 22 de Marzo de 2018, a la matriz
de riesgos institucional, se pudo evidenciar que el formato no ha sido ajustado en su versión,
ni ha sido actualizado en su contenido.
En visita in situ efectuada la el 22 de Marzo de 2018 a la Oficina de Tecnologías de la
Información, se informó a la Oficina de Control Interno que se ha realizado el trabajo de análisis
de riesgos, derivando la necesidad de modificar y actualizar la mencionada matriz, la cual
actualmente se encuentra en versión 4, la cual fue aportada como evidencia.
A lo expuesto por los funcionarios entrevistados, se les hace la observación que, a pesar de
las evidencias aportadas, se está incumpliendo un plan de mejoramiento que fue definido y
radicado por la Oficina de Tecnologías de la Información en la vigencia 2017, con fecha
propuesta de finalización 31 de Diciembre de 2017, relacionado con la actualización de la
matriz de riesgos y tratamiento de riesgos del subsistema de seguridad de la información y su
correspondiente publicación en el portal web; por lo que la Oficina de Control Interno
recomienda muy respetuosamente que se proceda a ajustar y publicar la mencionada matriz,
y que cada que se presenten ajustes relevantes se lleve a cabo esta acción, con la debida
aprobación y validación de la Oficina Asesora de Planeación.
❖ Visitas realizadas por la firma Bureau Veritas en el IV trimestre de 2017, relacionados con el
Subsistema de Seguridad de la Información.
• Visita de Seguimiento realizada entre el 22 y 24 de Noviembre de 2017
El Ente Certificador, dejó la siguiente No Conformidad Menor: “NCR1: Para el documento de
Declaración de Aplicabilidad que contiene los controles necesarios y la justificación de las
inclusiones, la justificación para las exclusiones de los controles del Anexo A; no se evidencia que
sea considerado un documento controlado”.
COFL02 Página 33 de 37
Sobre la atención de esta No conformidad, la Oficina de Tecnologías de la Información
mediante NURC 3-2018-003846 del 9 de Marzo de 2018, informa que:
Se gestionó la respuesta de la no conformidad menor identificada en la preauditoría realizada en el
mes de diciembre por Bureau Veritas, para lo cual se realizaron las siguientes actividades:
1. Elaboración del formato de declaración de aplicabilidad ASFT30
2. Actualización de la Guía Metodológica Gestión del Riesgo – ASGU05 actualizado a la versión 6.
3. Reunión de unificación de criterios con el funcionario José Javier Baquero de la Oficina Asesora
de Planeación.
4. Solicitud de creación del formato ASFT30 y Actualización de la guía ASGU05 mediante Nurc 3-
2018-000900 a la oficina asesora de planeación.
5. Se elaboró respuesta en el formato del ente certificador (Bureau Veritas), identificando las causas
y relacionando el plan de acción correspondiente
6. Publicación en el SIG y en el SSI de la página web del formato de declaración de aplicabilidad,
https://docs.supersalud.gov.co/PortalWeb/planeacion/AdministracionSIG/ASFT30.xlsx.
En la revisión efectuada sobre las evidencias aportadas por la Oficina de Tecnologías de
la Información, la Oficina de Control Interno pudo evidenciar que los documentos
declaración de aplicabilidad (ASFT30) y Guía Metodológica Gestión del Riesgo (ASGU05),
se encuentran debidamente aprobados por la Oficina Asesora de Planeación con su
correspondiente publicación en el portal web de la Entidad (Mapa de Procesos y micrositio
del Subsistema de Seguridad de la Información), dando cumplimiento para su cierre de la
No Conformidad Menor (NCR1) determinada por el Ente Certificador Bureau Veritas, en
Noviembre de 2017.
• Visita de Pre-Auditoría para 4 nuevos procesos, realizada entre el 29 de Noviembre de
2017 y el 15 de Diciembre de 2017:
El Ente Certificador, dejó las siguientes No Conformidades Menores, Sobre las cuales la
Oficina de Tecnologías de la Información dio respuesta mediante NURC 3-2018-003846
del 9 de Marzo de 2018, como se evidencia en el siguiente cuadro:
NO CONFORMIDAD RESPUESTA OTI FECHA FINAL
NCR 1: En la matriz de riesgos, en cuanto a los controles, es necesario indicar los controles que se siguen en la actualidad y no ha futuro. Evidencia objetiva para declarar la NC: En las auditorias forenses se tienen actividades de control alternas como: acompañamiento de auditores del área de seguridad la información, cadena de custodia, encripción de archivos, entre otros. Sin embargo en la matriz de riesgos, hoja de riesgos de seguridad de la información para estos riesgos se indica que el control a implementar es el de trabajar en un procedimiento que terminará en Febrero de 2018.
Se encuentra en elaboración el nuevo formato de Riesgos de Seguridad de la Información el cual será entregado en el mes de Abril de 2018. Sobre éste nuevo formato se hará la medición de los riesgos de los procesos definidos en el alcance y se entregará la matriz de riesgos en el mes de Julio de 2018.
Julio de 2018
NCR 2: En la matriz de riesgos no se presenta información sobre la evaluación del riesgo frente al transporte de información que realiza desde los vigilados hasta las instalaciones de la Supersalud, como resultado del proceso de auditorías forenses.
Se incluirá este riesgo en la nueva matriz y se identificarán los respectivos controles. Fecha de entrega: Julio de 2018
Julio de 2018
COFL02 Página 34 de 37
Evidencia objetiva para declarar la NC: Para el transporte de la información, se tienen establecidos controles alternos y éstos se llevan a cabo para el proceso de auditorías forenses, en la matriz de riesgos no se presenta información sobre la evaluación del riesgo frente a esta actividad, la cual se lleva a cabo desde los vigilados hasta las instalaciones de la Supersalud.
NCR 3: Se observa un computador personal sin bloqueo de terminal y sin uso por parte de algún usuario, lo cual incumple con lo indicado en las Políticas de Tercer Nivel del Subsistema de Gestión de Seguridad de la Información. Evidencia objetiva para declarar la NC: En las áreas: Delegada para la Supervisión de Riesgos, Delegada para las Medidas Especiales, Delegada para la Supervisión Institucional y Delegada de Procesos Administrativos, se considera la información de los expedientes como la más importante para los procesos, dichos expedientes se manejan en diferentes áreas y en oficinas abiertas, lo cual genera una alta incertidumbre en cuanto al manejo de expedientes en lo relacionado con el resguardo y la transferencia de los mismos entre áreas.
Se fortalecerán las campañas de sensibilización respecto del cumplimiento de las políticas de tercer nivel del Subsistema de Seguridad de la Información y se realizarán brigadas verificando el cumplimiento de las mismas. Adicionalmente se cuenta con la política desde el Directorio Activo que bloquea la sesión a los 5 minutos de inactividad.
Como soporte de esta acción, se aportaron las listas de asistencia de todo el personal de la Entidad, a las capacitaciones que se han realizado en el primer Trimestre de 2018, así como el plan de capacitaciones sobre el subsistema, que está programado para la vigencia 2018.
EN EJECUCION.
NCR 4: En el análisis de riesgos y en la matriz resultante, no se observó información relacionada con las actividades de mitigación de estos riesgos.
Evidencia objetiva para declarar la NC: En las áreas: Delegada para la Supervisión de Riesgos, Delegada para las Medidas Especiales, Delegada para la Supervisión Institucional y Delegada de Procesos Administrativos, se considera la información de los expedientes como la más importante para los procesos, dichos expedientes se manejan en diferentes áreas y en oficinas abiertas, lo cual genera una alta incertidumbre en cuanto al manejo de expedientes en lo relacionado con el resguardo y la transferencia de los mismos entre áreas.
Se realizará seguimiento con las Delegadas relacionadas y se incluirán los respectivos planes de tratamiento en la nueva matriz de riesgos. Fecha de entrega: Julio de 2018.
Julio de 2018.
En la revisión efectuada sobre las evidencias aportadas por la Oficina de Tecnologías de
la Información, la Oficina de Control Interno pudo evidenciar que para atender las No
Conformidades declaradas por el Ente Certificador, se vienen adelantando las acciones
pertinentes, las cuales tienen fecha de finalización Julio de 2018, a las cuales se les seguirá
haciendo seguimiento.
En cuanto a la NCR2, las capacitaciones fueron programadas para realizarse durante el
primer semestre de 2018, las cuales de acuerdo con las evidencias aportadas, se están
llevando a cabo de acuerdo con el cronograma.
OBSERVACIONES OFICINA DE CONTROL INTERNO
En el seguimiento realizado a las No Conformidades declaradas por el Ente Certificador Bureau
Veritas, en Noviembre de 2017 (visita de seguimiento a la Certificación de 2016) y en Noviembre y
Diciembre de 2017 (preauditoría a 4 nuevos procesos), la Oficina de Control Interno pudo evidenciar
que la Oficina de Tecnologías de la Información como líder operativo del Subsistema, ha adelantado
las gestiones pertinentes para dar cumplimiento a todas ellas y proceder a su cierre; por lo que a la
fecha de presentación de este informe, la No Conformidad Menor detectada en la visita de
seguimiento a la Certificación, ya fue cumplida, y las No Conformidades Menores declaradas en la
preauditoría, se encuentran en ejecución con plazo máximo de entrega en Julio de 2018.
COFL02 Página 35 de 37
La Oficina de Control Interno, seguirá haciendo seguimiento al cumplimiento de las
acciones propuestas por la Oficina de Tecnología de la Información, para el cierre de las
No Conformidades evaluadas.
8. CONCLUSIONES Y RECOMENDACIONES
Con base en la información aportada por la Oficina de Tecnologías de la Información y la visita in
situ realizada el 22 de Marzo de 2018, se pudo evidenciar que la dependencia a la que se le hace
seguimiento, ha realizado las actividades enunciadas en sus respuestas, en aras de atender las
funciones y actividades evaluadas; no obstante lo anterior, se determinan las siguientes
conclusiones y recomendaciones:
• Con el fin de atender los incidentes de TI que afecten la continuidad del servicio, se han
establecido los controles y planes de acción que establece la Norma ISO 27001:2013 y que
dentro de los Acuerdos de Niveles de Servicio que permiten atender estos incidentes, se
tienen establecidos los siguientes:
Nivel 1: Atención al incidente, por Mesa de Servicios
Nivel 2: Incidentes que no pueden ser solucionados por nivel 1 y requieren un tratamiento
más específico, por parte de funcionarios de la Oficina de Tecnologías de la
Información.
Nivel 3: El incidente debe ser tratado y solucionado por los proveedores.
Al tener definidos los acuerdos de niveles de servicios y estando centralizada la recepción de
todos los incidentes a través de la Mesa de Servicios, se garantiza que haya trazabilidad del
caso (tiket), que haya una adecuada valoración y escalamiento de la solución de los temas
radicados, que haya atención adecuada, dentro de los tiempos establecidos en los mismos.
De otra parte, se verificaron los documentos que hacen parte del procedimiento GGPD02-
Gestión para la Continuidad del Negocio, evidenciando algunos de ellos que se encuentran
en proceso de revisión y ajuste, y otros ya han sido ajustados.
• En relación con la integración de bases de datos, de acuerdo con lo informado y evidencias
suministradas por la Oficina de Tecnologías de la Información, es fundamental la
sincronización y armonía que se establezca entre la Oficina de Metodologías de Supervisión
y Análisis de Riesgos, Oficina Asesora de Planeación, las áreas funcionales y la Oficina de
Tecnologías de la Información como área de apoyo, para poder definir exactamente las
necesidades que se plantean desde las dependencias que utilizarán los sistemas y la
información, lo cual en ultimas redundará en la unificación de datos, a través de la integración
de datos o interoperabilidades entre sistemas de información.
Para ello es importante que cada área conozca muy bien sus procesos y procedimientos para
establecer sus necesidades, pero también lo es, que cada dependencia conozca los procesos
y procedimientos de las demás áreas de la Entidad, con el fin de que en el momento que se
haga un requerimiento se tenga previsto si la atención de esa necesidad beneficiará otro
proceso y en conjunto, entre las áreas funcionales con el apoyo técnico, se pueda definir una
solución que atienda a más de un requerimiento.
COFL02 Página 36 de 37
Aspecto que también puede ser reforzado con campañas de socialización y concientización a
toda la Entidad sobre los sistemas de información que se poseen, la interacción que existe
entre ellos y los procesos, y que por parte de la Alta Dirección con el decidido apoyo y asesoría
de la Oficina Asesora de Planeación, se establezcan políticas y lineamientos para el adecuado
uso tanto de sistemas de información, como de la misma información, y de la importancia de
que todas las áreas funcionales participen en la construcción de bases de datos unificadas e
interoperabilidades entre sistemas de información internos y externos.
▪ De acuerdo con la información aportada por la Oficina de Tecnologías de la Información, la
Oficina de Control Interno pudo evidenciar que se están llevando a cabo actividades que
permitan cumplir con los controles definidos en la matriz de riesgos operacionales y de
corrupción, con el fin de evitar que se materialicen los riesgos evaluados.
No obstante lo anterior, en la visita in situ realizada se pudo establecer que además de los
controles establecidos para los riesgos de corrupción, son necesarias otras medidas tanto a
nivel físico (equipos y otros dispositivos) como lógico (usuarios y contraseñas), las cuales se
vienen aplicando en cumplimiento a lo establecido en la norma ISO 27001:2013 que regula el
Subsistema de Seguridad de la Información, por lo que la recomendación muy respetuosa de
la Oficina de Control Interno, es que en trabajo conjunto con la Oficina Asesora de Planeación
se pueda analizar y determinar la viabilidad de complementar esas acciones en el mapa de
riesgos.
▪ En relación con los 5 sistemas de información que fueron objeto de seguimiento, y con base
en los soportes e información aportada tanto por la Oficina de Tecnologías de la Información y
algunas áreas funcionales, la Oficina de Control Interno pudo verificar que la dependencia
objeto de seguimiento, ha venido adelantando las gestiones pertinentes y ha realizado un
trabajo coordinado con esas áreas, con el fin de lograr que los sistemas de información que se
están implementando cumplan con los requerimientos establecidos en el anexo técnico y en
estudios previos, así como con los cronogramas definidos para sus desarrollos; por lo anterior,
la Oficina de Control Interno continuará haciéndoles seguimiento y monitoreo.
▪ En cuanto a la modificación y actualización de los documentos que hacen parte de los procesos
y procedimientos de la Oficina de Tecnologías de la Información durante la vigencia 2017 se
indicó que se encontraban en proceso de revisión y ajuste, lo cual no se pudo evidenciar en
este seguimiento; adicionalmente para el presente ejercicio se informa que no está
contemplado en esta vigencia realizar dicha acción, por lo que la Oficina de Control Interno,
recomienda muy respetuosamente que, en ejercicio del autocontrol definido en el Modelo
Estándar de Control Interno-MECI, complementado con la realización de reuniones de
autoevaluación definidas en la Resolución 2660 de 2015, la Oficina de Tecnologías de la
Información, pueda implementar la mejora continua y permanente de sus procesos y
procedimientos.
COFL02 Página 37 de 37
▪ En seguimiento a planes de mejoramiento producto de Auditorías Internas de Calidad y las
efectuadas por Entes Certificadores, se encontró lo siguiente:
o En relación con la No Conformidad determinada en la Auditoría al Sistema Integrado de
Gestión SIG, del cual hace parte el Subsistema de Seguridad de la Información, realizada
por la Oficina de Control Interno en Mayo de 2017, se presenta incumpliendo a un plan
de mejoramiento que fue definido y radicado por la Oficina de Tecnologías de la
Información en la vigencia 2017, con fecha propuesta de finalización 31 de Diciembre de
2017, relacionado con la actualización de la matriz de riesgos y tratamiento de riesgos del
subsistema de seguridad de la información, y su correspondiente publicación en el portal
web, acción que a la fecha de presentación de este informe, no se ha realizado; por lo
que la Oficina de Control Interno recomienda muy respetuosamente que se proceda a
ajustar y publicar la mencionada matriz, y que cada que se presenten ajustes relevantes
se lleve a cabo esta acción, con la debida aprobación y validación de la Oficina Asesora
de Planeación.
o En relación con la No Conformidad Menor (NCR1: Para el documento de Declaración de
Aplicabilidad que contiene los controles necesarios y la justificación de las inclusiones, la
justificación para las exclusiones de los controles del Anexo A; no se evidencia que sea
considerado un documento controlado”) determinada por el Ente Certificador Bureau Veritas,
en la visita de Seguimiento a la Certificación otorgada en 2016, la Oficina de Control
Interno pudo evidenciar que los documentos declaración de aplicabilidad (ASFT30) y
Guía Metodológica Gestión del Riesgo (ASGU05), se encuentran debidamente
aprobados por la Oficina Asesora de Planeación con su correspondiente publicación en
el portal web de la Entidad (Mapa de Procesos y micrositio del Subsistema de Seguridad
de la Información), dando cumplimiento para el cierre de la No Conformidad Menor
(NCR1) determinada por el Ente Certificador Bureau Veritas, en Noviembre de 2017.
o En cuanto a las No Conformidades declaradas por el Ente Certificador Bureau Veritas, en
Preauditoría realizada durante los meses de Noviembre y Diciembre de 2017 a 4 nuevos
procesos, la Oficina de Control Interno pudo evidenciar que la Oficina de Tecnologías de
la Información como líder operativo del Subsistema, ha adelantado las gestiones
pertinentes para dar cumplimiento a todas ellas y proceder a su cierre; por lo que a la
fecha de presentación de este informe, las No Conformidades Menores declaradas en la
preauditoría, se encuentran en ejecución con plazo máximo de entrega en Julio de 2018,
a las cuales la Oficina de Control Interno, les continuará haciendo seguimiento al
cumplimiento de las acciones propuestas por la Oficina de Tecnología de la Información,
para el cierre de las mismas.
Cordialmente,
JUAN DAVID LEMUS PACHECO
Jefe Oficina de Control Interno
Proyectó: Eddna Dueñas Monsalve, Profesional Especializado Oficina de Control Interno