SUPERINTENDENCIA NACIONAL DE SALUD · establece la Norma ISO 27001:2013 y que dentro de los...

COFL02 Página 1 de 37

SUPERINTENDENCIA NACIONAL DE SALUD

INFORME SEGUIMIENTO Y EVALUACIÓN

OFICINA DE TECNOLOGIAS DE LA INFORMACION

OFICINA DE CONTROL INTERNO

Bogotá, Marzo de 2018


CONTENIDO

1. OBJETIVO ........................................................................................................................................ 3

2. ALCANCE ......................................................................................................................................... 3

3. METODOLOGÍA .............................................................................................................................. 3

4. JUSTIFICACIÓN .............................................................................................................................. 4

5. FORTALEZAS .................................................................................................................................. 4

6. LIMITANTES .................................................................................................................................... 5

7. INFORME ......................................................................................................................................... 5

7.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS ...... 5

7.2 EVALUACION MAPA DE RIESGOS DEL PROCESO ......................................................... 18

7.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO . 20

7.3.1 De Informes de Seguimiento ............................................................................................ 20

7.3.2 De Auditorias al Sistema Integrado de Gestión ............................................................. 31

8. CONCLUSIONES Y RECOMENDACIONES ............................................................................ 35


1. OBJETIVO

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos

(PAAS), aprobado para la vigencia 2018, por la Alta Dirección mediante Resolución No. 5920 del

15 de Diciembre de 2017, realizó seguimiento y evaluación a la gestión de la Oficina de

Tecnologías de la Información, cuyos procesos y procedimientos fueron aprobados mediante

resolución 4086 del 19 de Diciembre de 2014, y por Resolución 1110 de 2015, se definieron los

Grupos Internos de Trabajo y las funciones para los mismos.

2. ALCANCE

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se

relacionan:

a. En ejercicio de las labores propias de la Oficina de Tecnologías de la Información, la Oficina

de Control Interno realizará seguimiento a los siguientes temas:

❖ Plan de Continuidad del Negocio en TI

❖ Integración de las bases de datos,

b. Seguimiento al cumplimiento de las funciones definidas mediante Decreto 2462 de 2013, en

especial la función No. 21: ““Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento

de los sistemas de información, de la infraestructura y plataforma tecnológica y de comunicaciones de

la Superintendencia”.

c. Revisión de riesgos operacionales y de corrupción asociados al “Proceso Gestión de Servicios

tecnológicos”.

d. Seguimiento a recomendaciones presentadas por la Oficina de Control Interno, en informes

anteriores.

3. METODOLOGÍA

De acuerdo con la Guía de Orientación de Actividades de la Oficina de Control Interno (IGGU01),

la metodología a seguir para el presente ejercicio es la siguiente:

3.1 Programación del Seguimiento a la Gestión.

La programación del seguimiento a la gestión y del Sistema Integrado de Gestión (SIG), se

encuentran incorporadas en el PAAS – “Programa Anual de Auditoría y Seguimiento”, de la Oficina

de Control Interno para la vigencia de 2018, el cual fue aprobado por la Alta Dirección mediante

Resolución No. 5920 del 15 de Diciembre de 2017 “Por la cual se aprueba el Plan Anual de Gestión de

la Superintendencia Nacional de Salud para la vigencia 2018”.


3.2 Planeación del Seguimiento a la Gestión

Con el objeto de realizar la planificación del seguimiento a la gestión a realizarse durante el mes

de Marzo de 2018, la funcionaria asignada como “Madrina” de la Oficina de Tecnologías de la

Información, programó las actividades a ejecutar, estableciendo las temáticas a abordar y que

fueron enunciadas en el “numeral 2. Alcance”, de este documento.

3.3 Anuncio del seguimiento

El anuncio del Seguimiento y solicitud de información se presentó a la Oficina de Tecnologías de

la Información, mediante Memorando radicado con NURC 3-2018-003072 del 26 de Febrero de

2018 y correo electrónico del 7 de Marzo de 2018.

3.4 Ejecución del seguimiento

Análisis de la información enviada por la Oficina de Tecnologías de la Información mediante

Memorando radicado con NURC 3-2018-003846 del 9 de Marzo de 2018, cuyos soportes fueron

debidamente publicada por la dependencia objeto de seguimiento, en el micro-sitio de la Oficina

de Control Interno denominado Banco de Evidencias.

3.5 Elaboración y revisión Informe de seguimiento.

Una vez revisada y analizada la información, se elabora el informe correspondiente, el cual se

pone a consideración y aprobación del Jefe de la Oficina de Control Interno, quien lo presenta al

Despacho del Señor Superintendente Nacional de Salud, durante el mismo mes de ejecución del

seguimiento.

3.6 Reporte de la actividad y publicación del informe en la página Web.

La Oficina de Control Interno en ejercicio de su autocontrol y su autorregulación, tiene definidas

herramientas en las cuales cada funcionario debe reportar sus actividades mensuales; información

que es insumo para presentar a la Oficina Asesora de Planeación, los avances a la Gestión del

P.A.G.; y, de acuerdo con la normativa vigente, los informes generados por esta Oficina son

publicados en el portal web de la Entidad.

4. JUSTIFICACIÓN

De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los

Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de

Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro

de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los

cargos; así como también, verificar que los controles asociados con todas y cada una de las

actividades de la organización estén adecuadamente definidos, sean apropiados y se mejoren

permanentemente, de acuerdo con la evolución de la Entidad.

5. FORTALEZAS

Se destaca la disposición de los funcionarios de la Oficina de Tecnologías de la Información, para

atender la visita y aportar la información adicional solicitada, la cual es insumo para la presentación

de este informe.


6. LIMITANTES

Para la elaboración de este informe, no se presentaron limitantes.

7. INFORME

7.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS

7.1.1 En ejercicio de las labores propias de la Oficina de Tecnologías de la Información, la Oficina

de Control Interno realizó seguimiento a los siguientes temas:


❖ Integración de las bases de datos,

En relación con estos temas, la Oficina de Tecnologías de la Información informó lo siguiente:


“A través del Grupo de Administración y Seguridad de la Información, en la vigencia 2016 se formuló el Plan

de Continuidad del Negocio, el cual está constituido por:

Plan de Continuidad del Negocio con código GGPL01

Procedimiento de Continuidad del Negocio con código GGPD02

Guía de Cumplimiento de Continuidad del Negocio con código GGGU04

De estos documentos, por Políticas de Seguridad de la Información, el Plan de Continuidad del Negocio con

código GGPL01 no se encuentra disponible al público, por lo cual no se puede tampoco consultar en el

mapa de procesos institucional, ya que es de conocimiento interno con acceso restringido, por su

connotación público clasificado, dado que contiene guías de operación específicas, las cuales poseen

información detallada de la operación de la Entidad.

La guía de cumplimiento de continuidad de negocio, código GGGU04 y el procedimiento GGPD02, no

incluye información sensible de los procesos de la Entidad y su contenido se clasifica como público, por lo

que además de poderse consultar en nuestra página web institucional o en la intranet en la sección con

nombre: "Anexo A17 Aspectos de Seguridad de la Información de la Gestión de Continuidad de Negocio"

en el enlace: https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-

gestion/subsistema-de-seguridad-en-la-informacion

El Plan de Continuidad de Negocio-PCN, se estableció para los procesos de los siguientes Macroprocesos:

Protección al Usuario y Participación Ciudadana

Gestión de TIC.

Durante la vigencia 2017 a través del Grupo de Administración y Seguridad de la Información se adelantó

la actualización del Plan de Continuidad del Negocio con código GGPL01, incluyendo los siguientes

Macroprocesos:

Inspección a sujetos vigilados

Vigilancia a sujetos vigilados

Control a Sujetos Vigilados.

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion


Igualmente se actualizó el Procedimiento de Continuidad del Negocio con código GGPD02, el cual fue

publicado en el portal web de la Entidad (Mapa de Procesos), el 20 de Marzo de 2018; así mismo la Guía

de Cumplimiento de Continuidad del Negocio con código GGGU04, ya se encuentra definida y está en

proceso de ajustes y posterior aprobación por parte de la Oficina Asesora de Planeación.

Por solicitud del señor Superintendente Nacional de Salud, doctor Luis Fernando Cruz Araujo, el

15 de Febrero de 2018 se realizó una presentación del estado del Plan, tal como consta en el Acta

del Comité Directivo de esa fecha; de la mencionada presentación, se extrae lo pertinente a este

tema:

En relación con la caída del servicio de internet y telefonía presentado en la primera semana de

febrero, en la presentación power point que fue parte del acta, se relacionan los tiempos que se

tienen establecidos por acuerdos de niveles de servicio, como se registra en las imágenes que se

encuentran a continuación:


Con respecto a la situación antes mencionada, en visita in situ a la Oficina de Tecnologías de la

Información se informa que efectivamente hubo un incidente relacionado con fallas eléctricas

durante el fin de semana que ocasionaron que las UPS agotaran sus baterías y al regreso del

fluido eléctrico, éstas se bloquearon.

Durante el inicio de la jornada laboral el lunes, los funcionarios encargados de solucionar el tema,

realizaron las gestiones y actividades necesarias para su restablecimiento, situación que se llevó

a cabo dentro de los tiempos estipulados para ello.

Adicionalmente, se le informa a la Oficina de Control Interno que para la atención de incidentes de

TI que afecten la continuidad del servicio, se han establecido los controles y planes de acción que

establece la Norma ISO 27001:2013 y que dentro de los Acuerdos de Niveles de Servicio que

permiten atender estos incidentes, se tienen establecidos los siguientes:

Nivel 1: Atención al incidente, por Mesa de Servicios

Nivel 2: Incidentes que no pueden ser solucionados por nivel 1 y requieren un tratamiento más

específico, por parte de funcionarios de la Oficina de Tecnologías de la Información.

Nivel 3: El incidente debe ser tratado y solucionado por los proveedores.


Al tener definidos los acuerdos de niveles de servicios y estando centralizada la recepción de todos

los incidentes a través de la Mesa de Servicios, se garantiza que haya trazabilidad del caso (tiket),

que haya una adecuada valoración y escalamiento de la solución de los temas radicados, que

haya atención adecuada, dentro de los tiempos establecidos en los mismos.

Dentro del macroproceso Direccionamiento Estratégico se encuentra el proceso Gobierno y

Gestión de la Información, en el cual uno de sus procedimientos es “Continuidad del Negocio”, en

cumplimiento del numeral 5. Liderazgo, que se describe como: “Las personas de la alta dirección y

otros roles directivos pertinentes de la organización deben demostrar liderazgo con respecto al SGCN”.

De la verificación documental aportada en relación con la gestión para la continuidad del negocio,

se pudo verificar que la documentación que exige la Norma ISO 22301:2012 (Gestión de la

Continuidad del Negocio), está construida y actualmente, se encuentran algunos de ellos, en

proceso de revisión y ajuste, y otros ya han sido ajustados como el procedimiento GGPD02-

Gestión para la Continuidad del Negocio, el cual se encuentra en su versión 2.

❖ Integración de las bases de datos

“Partiendo de una de las posibles definiciones: La integración de bases de datos o integración de datos de

manera general como un proceso de transformación, concordancia y/o conciliación de datos que optimicen

y generen agilidad en la gestión, con esto obteniendo datos conectados, únicos, seguros y de calidad.

Claramente integrar tiene como significado combinar datos que se encuentran en diversas fuentes en una

vista y /o consulta unificada que permitan una accesibilidad eficiente y permitan servir a las necesidades de

negocio.

Teniendo en cuenta estas definiciones la Superintendencia Nacional de Salud cuenta con herramientas para

dichas integraciones como la consolidación de sistemas y el proveer datos a través de BI, como lo son:

En BI Bases de datos de talento humano, con la información biométrica vs la información del software

de humano para informes de ingreso y salida de funcionarios.

En BI Circulares, se tomó la información de nRVCC y de RVCC; se generaron informes de los cuales

se desprende cubos de información y son insumo para las Superintendencias Delegadas de Medidas

Especiales, Riesgos e Institucional, a través de BI.

Actualmente en nRVCC se realizó un procedimiento ETL1 para cargar la información; adicionalmente se

realizan consultas al sistema RVCC para obtener unicidad de información.

1 Extract, Transform and Load («extraer, transformar y cargar», frecuentemente abreviado ETL) es el proceso que permite a las

organizaciones mover datos desde múltiples fuentes, reformatearlos y limpiarlos, y cargarlos en otra base de datos, data mart, o data warehouse para analizar, o en otro sistema operacional para apoyar un proceso de negocio. Definición tomada de: https://es.wikipedia.org/wiki/Extract,_transform_and_load

https://es.wikipedia.org/wiki/Extract,_transform_and_load


De acuerdo con lo definido por la Oficina de Metodologías para la Supervisión y Análisis de Riesgos,

como fuente de consulta de datos generales de RVCC a nRVCC, se migró la siguiente información:

Directivos Representante Legal - Prestadores

Directivos Representante Legal - EAPB

Directivos Presidente consejo o junta directiva

Directivos Revisor fiscal principal - EAPB

Directivos Revisor fiscal principal - Prestadores

Directivos Revisor fiscal suplente - EAPB

Directivos Contador - EAPB

Directivos Contador - Prestadores

Directivos Oficial de cumplimiento EAPB

Directivos Oficial de cumplimiento EAPB

Directivos Oficial de cumplimiento Prestadores C1,C2,D1

Directivos Oficial de cumplimiento Prestadores C1,C2,D1

Con respecto a Contacto SIS no fue posible realizar la migración completa ya que en el archivo RVCC-

AT024 y RVCC-AT025, no existe un campo Numero de documento como se relaciona en el Excel, este

campo es requerido para realizar la migración en el nuevo RVCC y preservar la integridad de la

información; aspecto que actualmente está siendo analizado por la Oficina de Metodologías de

Supervisión y Análisis de Riesgos.

Contacto SIS Director de Atención al Usuario

Contacto SIS Referencia Nacional

Contacto SIS Referencia Regional

Contacto SIS Autorizaciones Regionales

Contacto SIS Encargado Gestión SIS Nacional

Lo anterior ha permitido que solo exista una base de datos de Vigilados en el sistema RVCC, ya que la

información que fue migrada, es obtenida de RVCC antiguo y dispuesta al nuevo sistema para que sea

la única fuente de información, lo que finamente redundará en el mejoramiento de la calidad del dato.

A partir de esta integración, la cual se constituye en la Base de Datos que se gestiona a través del Nuevo

RVCC, se pretende mantener una única fuente de información de vigilados.

Actualmente las áreas funcionales (Oficina de Metodologías de Supervisión y Análisis de Riesgos y

Superintendencia Delegada para la Supervisión Institucional) están definiendo las funcionalidades que

deben ser migradas a la nueva aplicación, con el fin que en un corto plazo pueda quedar funcionando

únicamente nRVCC.

En la vigencia 2018 se estructura el proyecto de Arquitectura integral de T.I. y hace parte de éste

proyecto la arquitectura de datos maestros de la Entidad, en donde el objetivo es direccionar las

necesidades actuales de la Entidad hacia disponer sistemas de información especializados,

componentes de servicios SOA2, interoperabilidades internas y externas, los anteriores articulados de

tal forma que se defina una arquitectura de datos única en la Entidad, reduciendo gradualmente las

duplicidades de información, para tal fin se hace necesario el trabajo articulado entre las áreas

funcionales, la Oficina de Planeación, la Oficina de Metodologías de Supervisión y Análisis de Riesgos

y la Oficina de Tecnologías de la Información, de tal forma que, paralelo a los temas tecnológicos se

tomen las decisiones y políticas internas para el manejo y administración de los datos.

Las fases en las que se desarrollará el proyecto serán las definidas en el marco de arquitectura

empresarial liderado por la Oficina de Planeación y el marco de gestión de arquitectura de T.I. de la

Oficina de Tecnologías de la información, en donde las fases principales son:

2 La Arquitectura Orientada a Servicios (SOA, siglas del inglés Service Oriented Architecture) es un estilo de arquitectura de TI que se apoya en la orientación a servicios. La orientación a servicios es una forma de pensar en servicios, su construcción y sus resultados. Definición tomada de: https://es.wikipedia.org/wiki/Arquitectura_orientada_a_servicios

https://es.wikipedia.org/wiki/Arquitectura_orientada_a_servicios


• Inicio.

• Planeación.

• Ejecución (levantamiento de información, Línea base, arquitectura objetivo).

• Hoja de ruta.

• Implementación transversal.

• A lo anterior se desarrollará la fase de monitoreo y control que permitirá gestionar el avance del

proyecto.

A través del diseño de una arquitectura de datos, se busca que los sistemas de información nuevos y

existentes se ajusten a una sola fuente de información, ya sea a través de la integración de datos, o con

el uso de web services (interoperabilidades).

El 14 de Febrero de 2018, la Oficina de Tecnologías de la Información presentó ante el Comité

de Desarrollo Administrativo, el Proyecto Diseño Arquitectura de T.I-Estrategia y Definición del

ejercicio de arquitectura, del cual se extraen los siguientes aspectos:

“Alcance del Proyecto: El alcance está enmarcado en las actividades misionales de la Entidad.

1. Realizar un diagnóstico de la situación actual que permita:

o La actualización del catálogo de procesos

o La identificación de la interrelación entre procesos de negocio.

o La identificación del catálogo de servicios de negocio

o El nivel de apoyo tecnológico de sistemas de información

o Valoración de la gestión de datos actual

o La actualización y ampliación de la arquitectura de datos actual

o La actualización de la arquitectura de interoperabilidad

o La actualización de la arquitectura de sistemas de información

2. Realizar la propuesta de arquitectura objetivo de TI que incluya:

o Definición de arquitectura de datos, para unificar bases de datos

o Definición de arquitectura de interoperabilidad, para unificar bases de datos

o Definición de arquitectura de sistemas de información y automatización de procesos (levantar

inventario para analizar y definir las necesidades para el próximo cuatrienio)

3. Hoja de ruta de la puesta en marcha de iniciativas:

o Priorización de iniciativas

o Línea de tiempo

o Alcance


Motivadores

Estratégicos:

Cumplimiento a la estrategia GEL en el dominio de información

Incrementar el nivel tecnológico y de automatización de procesos que permitan dar mayor cobertura y

eficiencia en las actividades misionales de IVC

Fortalecer el uso de las herramientas y la gestión de datos para el análisis avanzado de información que

permita agilidad en la toma de decisiones.


Establecer políticas y lineamientos que faciliten el intercambio de información entre los sistemas internos

y fuentes externas.

Disponer de políticas e instrumentos para la gestión adecuada de los datos que permita la administración

de la información de la Entidad

Motivadores Estratégicos – PEI: Alineación de los objetivos de negocio con las estrategias de TI


Restricciones:

1. El diseño de la arquitectura está enfocado solo a los procesos misionales de la Entidad.

2. No incluye las capacidades de infraestructura de TI.

3. No se desarrollarán estrategias, políticas y procesos que determinen el uso y desarrollo de gobierno

de datos.

Metodología:

1. Identificar la viabilidad y definir la estrategia del ejercicio de arquitectura

2. Definición el plan para el desarrollo del ejercicio de arquitectura

3. Realizar la arquitectura actual en los diferentes dominios

4. Establecer referentes

5. Realizar el análisis de brechas entre situación actual y referentes

6. Realizar la arquitectura objetivo viable

7. Establecer el análisis de brecha entre la Arquitectura actual y la Arquitectura Objetivo

8. Definir la hoja de ruta de iniciativas para la implementación de la solución identificada.

9. Socializar y validar la propuesta arquitectónica y promover su implementación.

Fuente: Presentación Vision_Iniciativa_ARQTI_Estrategia_Def_Arq_20180301_V0.8 (Oficina de Tecnologías de la Información)”

En visita in situ realizada a la Oficina de Tecnologías de la Información, se le informa a la Oficina

de Control Interno que en relación con este tema es importante la sincronización y armonía que

se establezca entre la Oficina de Metodologías de Supervisión y Análisis de Riesgos, Oficina

Asesora de Planeación, las áreas funcionales y la Oficina de Tecnologías de la Información como

área de apoyo, para poder definir exactamente las necesidades que se plantean desde las

dependencias que utilizarán los sistemas y la información, lo cual en ultimas redundará en la

unificación de datos, a través de la integración de datos o interoperabilidades entre sistemas de

información.

Para ello es importante que cada área conozca muy bien sus procesos y procedimientos para

establecer sus necesidades, pero también lo es, que cada dependencia debe conocer los procesos

y procedimientos de las demás áreas de la Entidad, con el fin de que en el momento que se haga

un requerimiento se tenga previsto si la atención de esa necesidad beneficiará otro proceso y en

conjunto, entre las áreas funcionales con el apoyo técnico, se pueda definir una solución que

atienda a más de un requerimiento.


7.1.2 Seguimiento al cumplimiento de las funciones definidas mediante Decreto 2462 de 2013,

en especial la función No. 21: “Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de

los sistemas de información, de la infraestructura y plataforma tecnológica y de comunicaciones de la

Superintendencia”.

En relación con el cumplimiento de esta función, en lo que tiene que ver con Infraestructura y

plataforma tecnológica, la Oficina de Tecnologías de la Información aportó informe donde se

detalla toda la gestión correspondiente a estos aspectos, entre los cuales se relaciona lo siguiente:

a. Gestión de Servicios Tecnológicos:

“Conectividad – La Entidad obtuvo mejoras técnicas en cuanto a mayor ancho de banda, canales

dedicados seguros para flujo de información de la Entidad, una infraestructura de conectividad centralizada,

un modelo de conectividad que permita tener servicios en línea, accesos seguros y aprovechamiento de las

plataformas tecnológicas innovadoras como los servicios de comunicaciones unificadas (videoconferencia,

Skype, telefonía); para lo cual se contrató el servicio de conectividad pública y privada para el funcionamiento

de los aplicativos misionales de la Entidad, así como las Regionales donde se logró prestar el mencionado

servicio incluyendo el traslado del servicio a las nuevas sedes regionales, mediante la orden de compra

4963.

A partir del 1º de Septiembre de 2017, entran en operación los canales dedicados de datos e internet acorde

a la orden de compra 18680, con contrato interno No. 220 de 2017, suscrito con la firma Media Commerce

Partners SAS, con fecha de emisión 11 de Julio de 2017 y fecha de vencimiento 7 de Agosto de 2018, en la

cual se planea junto con el proveedor del servicio, todas las actividades encaminadas a garantizar la

conectividad.

Data Center (Nube Privada): Los servicios de nube privada implementados para la Superintendencia

Nacional de Salud ,han permitido garantizar los servicios disponibles y continuos.

A partir del 1º de Septiembre de 2017 se implementan los servicios correspondientes a la orden de compra

No. 18148 con número de contrato interno No. 210 de 2017, suscrito con UNE, con fecha de emisión 20 de

Junio de 2017 y fecha de vencimiento 31 de Julio de 2018,con el cual la Entidad contrató los servicios de

hosting virtual y hosting físico en sus seis (6) categorías a saber: IaaS3 para Procesamiento, IaaS para

Almacenamiento, IaaS para Seguridad, PaaS4, Alojamiento de Infraestructura y Servicios Complementarios

con Acuerdos de Nivel de servicio oro y plata.

Infraestructura Tecnológica: Para innovación de la plataforma tecnológica, se adquirió a través del

acuerdo marco de equipos y periféricos, los siguientes equipos:

Ítem Descripción Cantidad Orden de compra

1 Computador tipo Estación de trabajo 50 22821

2 Computadores portátiles 25 22817

3 Computadores portátiles Ultralivianos 49 22817

4 Tabletas 50 22816

5 Impresoras B/N 5 22819

6 Impresoras a color 1 22819

7 Impresoras multifunción 2 22819

8 Escáner 3 22819

9 Monitores industriales 2 22818

10 Monitores Touchscreen 34 22818

11 Video proyector 3 22818

12 Tableros Interactivos 2 22818 Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017

3 Iaas: Infraestructura como Servicio (IaaS, Infrastructure as a Service) es uno de los tres modelos fundamentales en el campo del cloud computing. Definición tomada de: https://www.interoute.es/what-iaas 4 PaaS: Plataforma como Servicio (PaaS, Platform as a Service. Definición tomada de: https://www.interoute.es/what-iaas

https://www.interoute.es/what-iaas

https://www.interoute.es/what-iaas


Infraestructura de TI: Las actividades realizadas durante la vigencia 2017, fueron:

• Crecimiento de la Infraestructura servidores año 2016 a 2017, 83% de nuevas maquina virtuales y 96%

en nuevos servidores para gestión de las bases de datos.

• Migración del directorio activo de Windows 2012 a Windows 2016 mejorando la seguridad en los

controladores de dominio.

• Aprovisionamiento de la infraestructura para los proyectos:

o Gestor documental

o PQRD

o BPMS

• BizTalk5 en alta disponibilidad para la integración de los proyectos de TI.

• Aprovisionamiento del Datacenter Alterno en la ciudad de Bogotá, con las aplicaciones críticas de la

Entidad.

• Actualización de las herramientas de System Center versión 2012 a 2016, para la gestión de la

infraestructura de TI.

Mesa de Servicios Tecnológicos (HelpDesk): A través de la Mesa de Servicio, para la vigencia 2017, se

brindó soporte a los funcionarios y vigilados de la Superintendencia Nacional de Salud, como se refleja en

el siguiente cuadro:

CASOS ATENDIDOS CA 2017

Estado Actual Total

Abierto 82

Cancelado 51

Cerrado 14798

Detenido Cliente 12

Detenido Revisión Técnica 185

Detenido Garantía 11

En progreso 13

Solucionados 1145

Automatización de soporte: abandonado 2

Automatización de soporte 1

Total general 16300

Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017

b. Provisión de Soluciones Tecnológicas:

Renovación y adquisición licenciamiento y servicios Microsoft

En virtud de la orden de compra 21652 con numero de contrato interno 262 de 2017, se realizó la renovación

de los productos de Office 365 (800 licencias) y software Assurance durante dos (2) años.

Entrenamiento Office 365

Con el propósito de mejorar las competencias laborales y el desempeño de los funcionarios de la Entidad

en el puesto de trabajo con el uso de las herramientas de Office365, la Oficina de Tecnologías de la

Información mediante la orden de compra 14557, dispuso de un instructor y de una sala debidamente dotada

para ofrecer entrenamiento en sitio, de Office 365, para lo cual se aportan listas de asistencia.

5 Microsoft BizTalk Server, es una plataforma de integración de procesos de negocio. Por medio del uso de adaptadores diseñados para comunicarse con diferentes tipos de software usados en una empresa de gran tamaño, permite a las compañías automatizar e integrar los procesos de negocio. Definición tomada de: https://es.wikipedia.org/wiki/Microsoft_BizTalk_Server

https://es.wikipedia.org/wiki/Microsoft_BizTalk_Server


Portal Web Corporativo

Mediante la orden de compra 14557, se contrató el soporte técnico en sitio con el propósito de garantizar y

no interrumpir la continuidad y la disponibilidad de la infraestructura que soporta los servicios del portal web

corporativo (páginas Supersalud e intranet), que son de carácter crítico; se logró la estabilización de la

plataforma y del servicio de búsqueda, la documentación de errores frecuentes y la actualización del

documento técnico de la granja de servidores de SharePoint.

Licenciamiento y servicios Microsoft adquiridos

Familia Nombre Producto

Unidad

de

Medida

Cantidad

de

medida

Office 365 Office365E3Open ShrdSvr SubscriptionVL Government OLP

1License NoLevel Qualified Annual 1 Licencia por usuario - 1 - Und Und 800

Office 365 Office365E3Open ShrdSvr SubscriptionVL Government OLP

1License NoLevel Qualified Annual 1 Licencia por usuario - 1 - Und Und 800

Office 365

Office365PlanE1Archiving ShrdSvr SubscriptionVL Government

OLP 1License NoLevel Qualified Annual Región 1 a 4 Pago Anual

Anticipado 1 Licencia por usuario 1 Licencia por usuario - 1 - Und

Und 50

Office 365

Office365PlanE1Archiving ShrdSvr SubscriptionVL Government



Und 50

Comunicaciones

Unificadas SfB

Server

SfBPlusCALOpen ShrdSvr SubscriptionVL Government OLP

1License NoLevel Qualified Annual Suscripción anual 1 Licencia

por Usuario - 1 - Und

Und 800

Comunicaciones

Unificadas SfB

Server

SfBPlusCALOpen ShrdSvr SubscriptionVL Government OLP

1License NoLevel Qualified Annual Suscripción anual 1 Licencia

por Usuario - 1 - Und

Und 800

Bases de Datos

SQL Server

SQLSvrEnterpriseCore SoftwareAssurance Government OLP

2Licenses NoLevel CoreLic Qualified Región 1 a 4 Una sola vez 1

Licencia por cada 2 Cores 1 Licencia por cada 2 Cores - 1 - Und

Und 2

Gestión de

Servidores

System Center

CoreInfraSvrSteStdCore SoftwareAssurance Government OLP

2Licenses NoLevel CoreLic Qualified 1 Licencia por cada 2 Cores -

1 - Und

Und 24

Herramientas de

Desarrollo Visual

Studio

VisualStudio®TeamFoundationServer SoftwareAssurance

Government OLP 1License NoLevel Región 1 a 4 Una sola vez 1

Licencia por Servidor 1 Licencia por Servidor - 1 - Und

Und 1

Herramientas de

Desarrollo Visual

Studio

VisualStudio®TeamFndationSvrCAL SoftwareAssurance

Government OLP 1License NoLevel DvcCAL Región 1 a 4 Una

sola vez 1 Licencia por Dispositivo 1 Licencia por Dispositivo - 1 -

Und

Und 14

Visio

VisioProforOffice365Open ShrdSvr SubscriptionVL Government



Und 20

Visio

VisioProforOffice365Open ShrdSvr SubscriptionVL Government



Und 20

Fuente: Informe de Gestión Oficina de Tecnologías de la Información-2017

En lo que hace referencia a asegurar el óptimo funcionamiento y mantenimiento de los sistemas

de información, la Oficina de Tecnologías de la Información indica que para los productos que se

relacionan a continuación durante la vigencia 2017 se tenían suscritos los contratos que se indican

en cada uno de ellos; así mismo se aportan los documentos soportes sobre las contrataciones

realizadas para cubrir la vigencia 2018:


TEMIS-COBRA - Contrato 265 de 2016 con fecha de vencimiento el 31 de Diciembre de 2017

suscrito con Central de Inversiones S.A.-CISA cuyo objeto fue: "Contratar el servicio de arrendamiento

de los sistemas de información Temis y Cobra como servicio – SAAS – (software as a Service), para la

administración y gestión de la información del proceso de cobro persuasivo y jurisdicción coactiva de la

Superintendencia Nacional de Salud, y demás servicios adicionales de acuerdo con la propuesta presentada

por CISA y el Anexo No 1 “Especificaciones Técnicas Mínima” del presente contrato".

Para la vigencia 2018, se suscribió el contrato 090 de 2018, con la misma empresa y objeto social,

por el periodo 26 de Enero de 2018 hasta el 25 de Octubre de 2018.

Supercor - Contrato 171 de 2017 con fecha de vencimiento 28 de Diciembre de 2017, suscrito

con Siscomputo Ltda. Servicios y Sistemas de Cómputo, cuyo objeto fue: "Prestar el servicio de

soporte y mantenimiento del sistema de información de correspondencia Supercor".


por el periodo 23 de Enero de 2018 hasta el 24 de Diciembre de 2018.

Tasa - Contrato 173 de 2017 con fecha de vencimiento 20 de Diciembre de 2017, suscrito con

Sertisoft SAS cuyo objeto fue: "Prestar el servicio de Soporte y mantenimiento de las Licencias de

TRACKING AND MANAGEMENT SYSTEM-TMS del Sistema de Gestión de Tasa de la Superintendencia

Nacional de Salud".



HUMANO - Contrato 188 de 2017 con fecha de vencimiento 31 de Diciembre de 2017, suscrito

con SOPORTE LOGICO Ltda., cuyo objeto fue: "Actualización a las últimas versiones liberadas en el

mercado, mantenimiento, soporte técnico funcional y no funcional y bolsa de horas para nuevas

funcionalidades o personalizaciones de funcionalidades a incluir en el sistema de acuerdo con lo que la

entidad requiere del Sistema de Gestión del Talento Humano y Nómina “Humano” de la Superintendencia

Nacional de Salud de conformidad con el Anexo No 1 “Especificaciones Técnicas”.



ITS Planeación y Gestión - Contrato 241 de 2017 con fecha de vencimiento 20 de Diciembre de

2017, suscrito con ITS Solutions Ltda., cuyo objeto fue: "Contratar la prestación de servicios de soporte

y mantenimiento para el sistema de información "Sistema integrado de planeación y gestión", el cual debe

comprender los recursos técnicos, especializados y capacitados en el sistema de información, esquema de

respaldo y contingencia de aplicación, gestión de soporte de problemas e incidentes, entrega de nuevas

versiones o actualizaciones de la aplicación, parches de seguridad y soporte técnico y funcional".



ArcGIS - Contrato 190 de 2017 OC 17662- con fecha de vencimiento 31 de Diciembre de 2017,

suscrito con ESRI Colombia cuyo objeto fue: "Renovación, actualización, y configuración para las

licencias de suscripción ArcGis en su última versión liberada en el mercado: Arcgis Online y la cartografía

Streepmap Premium, Adquisición de Soporte Avanzado y capacitación a usuarios finales".


ArcGIS- Contrato 210 de 2017 OC 18052- con fecha de vencimiento 14 de Junio de 2018, suscrito

con ESRI Colombia cuyo objeto fue: "Renovación, actualización, y configuración para las licencias de

suscripción ArcGis en su última versión liberada en el mercado: Arcgis Online y la cartografía Streepmap

Premium, Adquisición de Soporte Avanzado y capacitación a usuarios finales".

ArcGIS - Contrato 285 de 2017 OC 23149- con fecha de vencimiento 15 de Diciembre de 2017,

suscrito con ESRI Colombia "Renovación, actualización, configuración y soporte para las licencias de

ArcGis Enterprise Standard, ArcGis Desktop, ArcGis Desktop Advance, las extensiones Spatial y Network

Analyst de ArcGis Desktop en su última versión liberada en el mercado para la Superintendencia Nacional

de Salud".

Antivirus - Contrato 290 de 2017 con fecha de vencimiento 29 de Diciembre de 2017 (para

pagos), suscrito con BHA SAS cuyo objeto fue "Renovación y actualización de protección Antivirus

Suite Trend Micro Smart Protection Complete conforme a lo especificado en el Anexo Técnico". El soporte

y mantenimiento es por 3 años.

El objeto definido para estos contratos, permiten deducir que tienen como propósito fundamental

el soporte y mantenimiento de cada uno de estos Sistemas de Información o plataformas

tecnológicas, los cuales se cumplieron conforme al objeto y alcance de cada uno; así mismo en

cada uno de estos sistemas o licencias, se indicaron los nuevos contratos que aplican para la

vigencia 2018.

OBSERVACIONES CUMPLIMIENTO DE LAS FUNCIONES DE LA OFICINA DE

TECNOLOGÍAS DE LA INFORMACIÓN

Con base en la información aportada por la Oficina de Tecnologías de la Información, se pudo

evidenciar que la dependencia a la que se le hace seguimiento ha realizado las actividades

enunciadas en su respuesta, en aras de atender las funciones y actividades evaluadas.

7.2 EVALUACION MAPA DE RIESGOS DEL PROCESO

En el seguimiento objeto de este informe, se revisará un (1) riesgo operacional y un (1) riesgo de

corrupción, asociados al proceso “Gestión de Servicios Tecnológicos”, con el fin de verificar si esta

dependencia tiene plenamente identificados los riesgos asociados a sus procesos, y recoger

evidencias de las acciones de mejora que se han implementado con el fin de evitar su

materialización.

7.2.1 Riesgo Operacional

Riesgo Operacional

Descripción Causas Acciones propuestas/ tratamiento del riesgo

Falta de definición y aplicación de controles efectivos para salvaguarda de la información

El establecimiento indebido de controles efectivos de seguridad de la información y/o su inadecuada aplicación, conllevan a la pérdida de la confidencialidad, integridad y disponibilidad de la información.

1. Falta de conocimiento y conciencia sobre seguridad de la información 2. Falta de una adecuada capacitación para la toma de conciencia 3. Falta de personal idóneo para el manejo de las herramientas de seguridad informática 4. Falla en los controles de seguridad informática 5. Carencia de herramientas de seguridad informática 6. Falta de plan de recuperación de desastres aprobado y materializado 7. Debilidad en la aplicación de la metodología de identificación de riesgos de seguridad de la información

1. Implementación del Subsistema de Seguridad de la Información a siete procesos misionales 2. Implementación de nuevas herramientas tecnológicas 3. Diseñar, implementar y probar de un plan de contingencia tecnológica 4. Desarrollar planes de capacitación y sensibilización que fortalezcan la cultura de seguridad de la información


Para este riesgo, la Oficina de Tecnologías de la Información aporta evidencias sobre la gestión

realizada durante la vigencia 2017, con el fin de evitar la materialización del mismo, acatando las

acciones propuestas en el mapa de riesgos institucional, las cuales se transcriben a continuación:

Acciones Propuestas/ Tratamiento de Riesgos

Acciones Realizadas para Evitar Materialización

1. Implementación del Subsistema de Seguridad de la Información a siete procesos misionales.

En cuanto a la Implementación del SSI, durante la vigencia 2017 se realizaron actividades como: • Actualización activos de información para los procesos de la Oficina de Tecnologías de la Información • Levantamiento de información sobre planes de tratamiento • Validación de la efectividad de Controles • Tipificación de los riesgos de seguridad de la información • Depuración de controles ajustados • Presentación de los activos de información y riesgos consolidados sobre once (11) procesos definidos en los alcances de certificación de las vigencias 2016 y 2017 respectivamente, identificando en total 306 activos de información, los cuales fueron valorados a nivel de los posibles riesgos a los que se encuentran expuestos.

2. Implementación de nuevas herramientas tecnológicas.

• Adquirir EMS - Enterprise Mobility Security

• Renovar la Suite Trend Micro y Adición DDI mediante contrato 290 de 2017, que contiene:

ScanMail Suite for IBM Domino.

Seguridad del correo electrónico

Protección para servidores de archivos.

OfficeScan.

ServerProtect for Microsoft Windows/Novell NetWare.

ServerProtect for Linux.

Protección de clientes (puestos de trabajo).

Intrusion Defense Firewall.

Security for Mac.

3. Diseñar, Implementar y probar un plan de contingencia tecnológica.

Se ha desarrollado lo descrito en el acápite correspondiente a Plan de Continuidad del Negocio en TI, que se relacionó en el numeral 7.1 Evaluación del cumplimiento de las funciones y procedimientos, de este informe.

4. Desarrollar planes de capacitación y sensibilización que fortalezcan la cultura de seguridad de la Información.

Capacitar a los funcionarios y contratistas de la Entidad sobre la política de tercer nivel del SSI "Pantalla limpia y Escritorio limpio", para lo cual se aportaron los siguientes documentos:

Plan de capacitación para el primer semestre de 2018

Presentación de la capacitación realizada del 14 al 16 de febrero.

Listas de Asistencia de la capacitación realizada.

7.2.2 Riesgo de Corrupción

Para este riesgo, la Oficina de Tecnologías de la Información aporta evidencias sobre la gestión

realizada con el fin de evitar la materialización del mismo, acatando las acciones propuestas en el

mapa de riesgos institucional, las cuales se transcriben a continuación:

Riesgo de corrupción Causas Consecuencias Acciones asociadas al

control

Acceso a la información clasificada o a un sistema informático, modificándola y/o divulgándola con el fin de obtener bien sea un beneficio personal o para un tercero.

▪ Amiguismo. ▪ Interés del servidor público en recibir beneficio económico. ▪ Intercambio de información de los procesos contractuales entre el funcionario público y los proveedores. ▪ Recibir incentivos de los proveedores a beneficio propio ▪ Manipulación de estudios previos a beneficio de terceros

▪ Apertura de procesos disciplinarios. ▪ Denuncias ante entidades de control. ▪ Afectación de la credibilidad de la Oficina. ▪ Afectación de la efectividad en las actividades de la oficina de Tecnología de la información.

1. Divulgar el Código de Ética y Buen Gobierno de la Entidad. 2. Realizar capacitaciones en el Código Único Disciplinario.


La Oficina de Tecnologías de la Información informa que, con el fin de llevar a cabo las acciones

asociadas al control de este riesgo, la Oficina de Control Disciplinario Interno realizó las

capacitaciones correspondientes al Código Único Disciplinario; así mismo la Oficina de

Tecnologías de la Información adelantó capacitaciones sobre el Subsistema de Seguridad de la

Información y Ley 1712, el 13 de Junio de 2017, y sobre la Ley 1712, el 31 de octubre de 2017.

En la visita in situ, se informa que además de estos controles que están propuestos en la matriz

de riesgos institucional, a nivel periférico se tienen controles como firewall, antivirus y directorio

activo, y en los propios sistemas de información existen controles como lo son claves, contraseñas

y roles de usuario, con el fin de evitar su materialización.

Adicionalmente a todos estos controles, un aspecto fundamental es la concientización de los

usuarios en la protección de sus usuarios y claves, lo cual es atacado con las capacitaciones que,

desde la Oficina de Tecnologías de la Información, como líder operativo del Subsistema de

Seguridad de la Información, se realizan periódicamente.

OBSERVACIONES OFICINA DE CONTROL INTERNO

De acuerdo con la información aportada por la Oficina de Tecnologías de la Información, la Oficina

de Control Interno pudo evidenciar que se están llevando a cabo actividades que permitan cumplir

con los controles definidos en la matriz de riesgos operacionales y de corrupción, con el fin de

evitar que se materialicen los riesgos evaluados.

En la visita in situ, al realizar la entrevista con los funcionarios de la Oficina de Tecnologías de la

Información, se pudo establecer que además de los controles definidos para los riesgos de

corrupción, son necesarias otras medidas tanto a nivel físico (equipos y otros dispositivos) como

lógico (usuarios y contraseñas), las cuales se vienen aplicando en cumplimiento a lo establecido

en la norma ISO 27001:2013 que regula el Subsistema de Seguridad de la Información, por lo que

la recomendación muy respetuosa de la Oficina de Control Interno, es que en trabajo conjunto con

la Oficina Asesora de Planeación se pueda analizar y determinar la viabilidad de complementar

esas acciones en el mapa de riesgos.

7.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO

La Oficina de Control Interno realizó seguimiento a las recomendaciones formuladas como

resultado de informes anteriores, los cuales se relacionan a continuación:

7.3.1 De Informes de Seguimiento

a. Del informe de seguimiento efectuado a la Oficina de Tecnologías de la Información por parte

de la Oficina de Control Interno, el cual fue radicado con NURC 3-2017-018167 del 20 de

Noviembre de 2017, se extrae lo siguiente:

“En relación con los 5 sistemas de información que fueron objeto de seguimiento, y dado que ninguno

se encuentra en etapa de producción, la Oficina de Control Interno, continuará haciéndoles seguimiento

y monitoreo en aras de verificar el cumplimiento de los compromisos planteados tanto por la Oficina de

Tecnologías de la Información como por las áreas funcionales; precisando que, la verificación se

concentrará especialmente en establecer que los recursos invertidos en su adquisición y puesta en

marcha, sean de beneficio para la Entidad, y consecuentemente procuren el cumplimiento de los

objetivos y metas institucionales, lo anterior en cumplimiento de lo preceptuado en sentencia C–103 de

2015, de la Corte Constitucional”.


Los sistemas de información que fueron objeto de seguimiento en dicho ejercicio, fueron:

➢ Nuevo Gestor Documental: SUMA.

➢ Sistema de Información para la Función Jurisdiccional y de Conciliación-SJC.

➢ Nuevo Sistema de Información para el trámite de Peticiones, Quejas, Reclamos,

Denuncias-PQRD.

➢ Nuevo Sistema de Información para la Superintendencia Delegada de Procesos

Administrativos.

➢ Nuevo Sistema de Información para Auditorías, para la Superintendencia Delegada para

la Supervisión Institucional.

Sobre estos sistemas de información, la Oficina de Tecnologías de la Información informa lo

siguiente:

➢ Nuevo Gestor Documental: SUMA

El Gerente del Proyecto de la Superintendencia Nacional de Salud, describe brevemente el

marco contractual de esta adquisición, de la siguiente manera:

“El 21 de Noviembre de 2016 la Superintendencia Nacional de Salud suscribió el Contrato de

Compraventa No. 247 de 2016 con la UNIÓN TEMPORAL SUPERSALUD 2016, cuyo objeto

consiste en "Adquisición, licenciamiento y servicios conexos para la implementación del sistema de

información para la Gestión Documental en la Superintendencia Nacional de Salud”. El 23 de

Noviembre de 2016, las partes suscribieron el acta de inicio.

El 03 de Octubre de 2017 mediante prórroga No. 1 del contrato, las partes ampliaron el pazo de

ejecución hasta el 22 de Diciembre de 2017.

El 21 de Diciembre de 2017 la UT Supersalud 2016 solicita suspender la ejecución del contrato en

15 días hábiles, la supervisión revisó y aprobó la suspensión del contrato en 10 días hábiles, por lo

anterior, se firma acta No. 1 de suspensión entre las partes en un término de 10 días hábiles, esto

es, desde el 21 de Diciembre de 2017 hasta el 5 de Enero de 2018. El 10 de Enero de 2018 se

retoman las actividades del proyecto firmándose la prórroga No. 2 con finalización de contrato hasta

el 16 de Julio de 2018.”

En la prórroga No. 2 se establece la nueva línea base de entregables, de la siguiente manera:

Fuente: Prórroga No. 2 Contrato 247 de 2016


El gerente del proyecto indica que, a la fecha de presentación de este informe, el estado es el

siguiente:

Fuente: Gerente del Proyecto

A lo anterior, manifiesta las siguientes observaciones:

1. Desarrollo y Pruebas Unitarias: Se encuentra en desfase por retrasos en la finalización

de workFlow y auditorías.

2. Pruebas aceptación: Retrasos en la finalización de pruebas de interoperabilidad, pruebas

funcionales y no funcionales.

3. Salida en vivo: 02/05/2018

En relación con los pagos establecidos dentro del proyecto, no se han efectuado pagos

adicionales a los asociados a las primeras fases de inicio: Planeación los cuales se realizaron

en Diciembre de 2016 y, Ejecución (Análisis y Diseño) que se efectuaron en el primer

semestre de 2017.

Fuente: Gerente del Proyecto

Fuente: Prórroga No. 2 Contrato 247 de 2016

La Oficina de Tecnologías de la Información informa adicionalmente que “es importante destacar

que el proyecto maneja una matriz de riesgos bastante compleja y se han tomado medidas de choque /

mitigación y se han implementado controles en todos los frentes de trabajo para poder reaccionar

oportunamente a los desfases, imprevistos / materialización de eventos de riesgo”.


➢ Sistema de Información para la Función Jurisdiccional y de Conciliación-SJC

La Oficina de Tecnologías de la Información informa que: “Conforme a los requerimientos hechos

por la Superintendencia Delegada para la Función Jurisdiccional y Conciliación, para el 2017 se elaboró

un plan de trabajo sobre el cual se avanza. Este Plan se formalizó mediante un documento de

compromiso suscrito el 7 de Diciembre de 2017 entre la Superintendente Delegada para la Función

Jurisdiccional y Conciliación, Dra. María Isabel Cañón Ospina y el Jefe de la Oficina de Tecnologías de

la Información, ingeniero Guillermo Cadena Ronderos. El 15 de enero de 2018, se adelantó por parte

de la Dra. María Isabel y del Ingeniero Cadena, una reunión de seguimiento al Plan de trabajo trazado,

el cual se debió ajustar por las razones que se exponen en el Acta.

La siguiente imagen, muestra el nuevo cronograma de actividades derivado de la reunión del 15 de

Enero de 2018:

Fuente: Oficina de Tecnologías de la Información: Plan de Trabajo Mejoras SJC_LineaBase Ajustado 2018_01_15

De acuerdo con lo establecido, a la fecha de presentación del informe que ahora nos ocupa,

el avance con respecto a las actividades establecidas es el siguiente:

Nombre de tarea

FINALIZADAS

Firma mecánica de documentos con token

Opción otros demandados

Eliminación de oficio remisorio en notificaciones

Interoperabilidad con Gestor Documental (SUPERCOR/SUMA)

Validación de adjuntos en notificaciones

Pruebas Ajustes Priorizados

Verificación y cambios de textos

Ajustar campos requeridos

EN EJECUCIÓN

Parametrización de documentos requeridos (pendiente realizara la sesión de revisión con los coordinadores de proceso)

Adjuntar el escrito de demanda obligatoriamente (60%)

Adicionar múltiples demandados (90%)

Ajuste en numeración de solicitudes (30%) Fuente: Oficina de Tecnologías de la Información


En visita in situ, la Oficina de Tecnologías de la Información informa que el trabajo que

actualmente se viene desarrollando, está relacionado con los cambios generados por los

ajustes procedimentales al interior de la Superintendencia Delegada para la Función

Jurisdiccional y de Conciliación; adicionalmente se está trabajo el tema de interoperabilidad

con el gestor documental.

➢ Nuevo Sistema de Información para el trámite de Peticiones, Quejas, Reclamos,

Denuncias-PQR

La Oficina de Tecnologías de la Información informa que “Dando cumplimiento al cronograma

establecido en el proyecto de PQRD a través del contrato 267 de 2016 suscrito con la firma Sertisoft

SAS, se realizó la puesta en producción del sistema el día 1 de Diciembre de 2017 a las 12:00 a.m.

fecha en la cual el nuevo Sistema Gestión PQRD reemplazó el software ATENEA que es propiedad de

“Interactivo-Call Center (ICC)”.

El nuevo desarrollo, permite la atención de los siguientes canales: Personalizado, Telefónico, Video

Llamada y Chat (desde el 24 de Febrero de 2018).

Adicionalmente se aclara que dicho sistema entrará en interoperabilidad con el nuevo Sistema de

Gestión Documental "SUMA”, tan pronto como este último entre en producción y con ello atenderá

canales como escrito y web”.

En relación con el sistema de información GESTION PQRD, en el cual se radican las

peticiones, quejas, reclamos, denuncias y/o felicitaciones a través de los Centros de Atención

al Usuario y Regionales, la Oficina de Tecnologías de la Información aportó en medio físico,

soportes de toda la trazabilidad que dan cuenta de las mesas de trabajo sostenidas entre la

Oficina de Tecnologías de la Información y la Superintendencia Delegada para la Protección

al Usuario, desde el 7 de Abril de 2015, donde se levantaron los requerimientos funcionales y

nuevas necesidades del sistema de información.

Entre otros temas tratados en esas mesas de trabajo, se encontró lo siguiente:

La validación de los componentes técnicos para la contratación de la prestación del servicio

de Contact Center.

En reunión llevada a cabo el 7 de Julio de 2016, “como resultado de esta reunión, los directivos

presentes determinaron que se adquirirá un nuevo sistema de información para la gestión de las

PQRD, el cual se llevará por medio de la modalidad de licitación pública. Esta decisión tomada

beneficiará a la Entidad en factores de mejor servicio, costo, tiempo, y componentes técnicos por

parte de posibles proveedores que se presenten al proceso de contratación” (información tomada

de ayuda memoria aportada, de fecha Julio 7 de 2016).

Durante los meses de Agosto y Noviembre de 2016, se adelantó el proceso precontractual

para la adquisición e implementación de un sistema de información y licenciamiento para la

Gestión de las Peticiones, Quejas, Reclamos, Denuncias de la Superintendencia Nacional de

Salud.

El trabajo conjunto llevado a cabo entre la Superintendencia Delegada para la Protección al

Usuario y la Oficina de Tecnologías de la Información, permitieron la suscripción del Contrato

267 del 26 de Diciembre 2016, con acta Acta de Inicio del 28 de Diciembre de 2016, por el

término de 10 meses, previo el cumplimiento de todo el trámite contractual definido en los

procesos y procedimientos institucionales y la normativa aplicable a la contratación estatal.


El Objeto del contrato es: “Adquisición e implementación de un sistema de información y

licenciamiento para la Gestión de las Peticiones, Quejas, Reclamos y Denuncias de la Superintendencia

Nacional de Salud de acuerdo con el Anexo No. 1 "Especificaciones Técnicas Mínimas del presente

contrato y propuesta”.

Contrato 267 del 26 de Diciembre 2016, hasta la fecha, tiene 2 prórrogas, así:

Prórroga 1 suscrita el 26 de Octubre de 2017, de acuerdo con lo siguiente:

Prórroga 2 suscrita el 29 de Diciembre de 2017, de acuerdo con lo siguiente:

En visita in situ efectuada el 15 de Marzo de 2018, se hizo demostración del sistema de

información Gestión PQRD, donde se pudo evidenciar que es un sistema amigable, dinámico,

genera reportes y sus gráficos, presenta el tablero gerencial al cual tienen acceso el señor

Superintendente Nacional de Salud y el Superintendente Delegado para la Protección al

Usuario.

Fuente: Ambiente pruebas: https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD

https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD


Fuente: Ambiente pruebas: https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD

En relación con perfiles de usuario, se tienen los definidos para el Contact Center, Regionales,

Centros de Atención al Usuario, para la Superintendencia Delegada para la Protección al

Usuario y para la Oficina de Control Interno (únicamente de consulta).

Se informa que dentro de las interoperabilidades que ya se tienen definidas para Gestión

PQRD, están: IVR6 y grabaciones de llamadas (planta telefónica), Nuevo Gestor Documental-

SUMA, Sistema de Recepción, Validación y Cargue de Circular Única-RVCC, el App ClicSalud,

y sistemas de información de vigilados (EPS) para lo cual se tiene prueba piloto con Coomeva

EPS, S.O.S. EPS, Famisanar EPS; además se contempla otra interacción con Business

Inteligence-BI.

En relación con la migración de PQRD´s recibidas en vigencias anteriores, en la visita en sitio

se pudo evidenciar que actualmente se ha migrado información desde Diciembre de 2016

hasta 30 de Noviembre de 2017; Actualmente se está revisando y validando información sobre

las PQRS que tienen inconsistencia en los datos, para lo cual se están llevando mesas de

trabajo entre Superintendencia Delegada para la Protección al Usuario (Dirección de Atención

al Usuario), la Oficina de Tecnologías de la Información y el proveedor SERTISOFT. Una vez

analizadas y clasificadas esas PQRS, se hará cargue masivo para vigencias 2016 (hasta

Noviembre) y anteriores.

De otra parte, la Oficina de Control Interno presentó informe de seguimiento a la

Superintendencia Delegada para la Protección al Usuario, mediante NURC 3-2018-003926 del

12 de Marzo de 2018, en su numeral 5.2 Seguimiento a Riesgos Operacionales del Proceso, donde

indicó lo siguiente en relación con el sistema de información Gestión PQRD:

6 IVR: Respuesta de Voz Interactiva-es una tecnología de telefonía que le permite a los clientes interactuar con el sistema de atención de la compañía a través de menúes de voz configurables, en tiempo real. Definición tomada de: https://www.3cx.es/voip-sip/ivr/

https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD

https://www.3cx.es/voip-sip/ivr/

https://www.3cx.es/voip-sip/ivr/


“El Sistema de Información Gestión PQRD entró en operación el 25 de Noviembre del 2017, el cual se

encuentra dispuesto en la intranet institucional.

https://pqrd.supersalud.gov.co/TMS.Solution.TMSPQRD/home/corporativo.

Con base en lo anterior, se evidencia el cumplimiento de esta acción de mitigación para el riesgo

denominado “Incumplimiento de los atributos de calidad, oportunidad y legalidad contemplados en el

Manual de Acuerdo de Nivel de Servicios de la Entidad”.

Al contar con un sistema de información de este tipo, diseñado para dar trámite de las PQRD

institucionales en términos de oportunidad y calidad, se genera trazabilidad y custodia de soportes de

la gestión emprendida, avanzando en términos de automatización de estos trámites (racionalización).

Igualmente, en este mismo informe, en el numeral 5.3 Seguimiento Mapa de Riesgos de

Corrupción del Proceso, se indicó que “Con el fin de monitorear la realización de acciones o actividades

contenidas en la matriz de riesgos operacionales de la institución, se solicitó se allegara evidencia

objetiva, que dé cuenta de la realización de acciones de mitigación y gestión para el riesgo denominado

“Realizar cobros indebidos o solicitar favores a cambio de filtrar, alterar información, retrasar o agilizar

decisiones derivadas de la solución de PQRD”; dentro de las acciones propuestas en el mapa de

riesgos, para la mitigación de este riesgo, se tienen las siguientes:

En relación con las acciones adelantadas por la Superintendencia Delegada para la Protección

al Usuario, se informó lo siguiente:

“1. Ajustar el sistema de PQRD de acuerdo con lo contemplado en el artículo 15 de la Ley 1797 de 2016.

La Superintendencia Delegada para la Protección al Usuario, informó a la Oficina de Control Interno en

desarrollo del presente seguimiento a la gestión, que el día 14 de Febrero de 2018, se llevó a cabo

reunión sobre el Módulo “Seguimiento Usuario”, con el fin de definir la implementación de este módulo

de consulta de las PQRD por parte de los usuarios, en la página Web de la Superintendencia Nacional

de Salud; para lo cual adjuntó listado de asistencia como evidencia de las reuniones sostenidas, aunado

a relacionar el número de acta registrada en el aplicativo de Planeación y Gestión ITS, esto es, Acta GE

222”.


En relación con la definición de un enlace para que el usuario pueda hacer seguimiento a sus

PQRD´s radicadas, se indagó sobre el tema en la Oficina de Tecnologías de la Información,

quienes informaron que éste ya se encuentra listo y está en revisión y validación por parte de

la Superintendencia Delegada para la Protección al Usuario, en aspectos relacionados con las

especificaciones establecidas por la Estrategia GEL, sobre accesibilidad, usabilidad y

disponibilidad. La Oficina de Tecnologías de la Información se encuentra a la espera del visto

bueno de esta Superintendencia Delegada, para lograr sacarlo a producción a finales de Marzo

de 2018.

La información relacionada en el párrafo anterior, es corroborada con un correo electrónico del

12 de Marzo de 2018 que aportó la Superintendencia Delegada para la Protección al Usuario

para el seguimiento presentado a esa dependencia en Marzo de 2018, en el cual se indicó

que:

“2. Cumplimientos lineamientos accesibilidad y GEL:

En orden a los ítems descritos en el contrato 267 de 2016, anexo técnico, en tanto al cumplimiento de

lineamientos, seguridad de Gobierno en Línea y demás normas técnicas, título 5 Requerimientos de

USABILIDAD y ACCESO:

A la luz de estas normas se pide hacer una revisión exhaustiva de su cumplimiento. A continuación, se

presentan algunos hallazgos:

Realizar pruebas en la estructura del código del sitio web con un lector de pantalla para personas

con discapacidad visual como Jaws- Revisión de sintaxis. Responsable Sertisoft, el lunes 12 marzo

confirma tiempo de ejecución.

Validación del cumplimiento de aspectos gráficos de accesibilidad tales como contraste, tamaño de

la tipografía, etc. Responsable Sertisoft, el lunes 12 de marzo confirma tiempo de ejecución.

Compromisos adicionales:

Realizar pruebas y validación de la plataforma embebida en el sitio web de la Supersalud; la OTI

informa que estas pruebas se pueden hacer desde las instalaciones de la SNS. Responsable OTI,

programar pruebas con Sertisoft.

Remitir lista de chequeo de cumplimiento de requisitos de normas técnicas. Responsable Sertisoft,

lunes 12 marzo.

Revisión del resultado de las validaciones de cumplimiento de requisitos de normas técnicas

realizadas con anterioridad ante MINTIC. Responsable OTI y Oficina de Comunicaciones”.

El 19 de Marzo de 2018, SERTISOFT informa que ya se encuentran listos los ajustes

solicitados para que se realice una nueva verificación y validación, del mencionado módulo,

en los siguientes términos:


“Me permito informar que sobre el ambiente

https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD/pqrd/portalciudadano, se ha realizado una

nueva publicación que permite cerrar los siguientes compromisos:

• Realizar pruebas en la estructura del código del sitio web con un lector de pantalla para personas

con discapacidad visual como Jaws. Revisión de sintaxis.

• Validación del cumplimiento de aspectos gráficos de accesibilidad tales como contraste, tamaño de

la tipografía, etc.”

En visita in situ realizada el 22 de Marzo de 2018, la Oficina de Tecnologías de la Información,

indica que “Es preciso mencionar, que desde Enero de 2018 se está realizando seguimiento a todos

los requerimientos efectuados dentro de la etapa de soporte y garantía, tanto por la Oficina de

Tecnologías de la Información como por la Superintendencia Delegada para la Protección al Usuario,

para lo cual se están dejando las correspondientes actas registradas en ITS”.

➢ Nuevo Sistema de Información para la Superintendencia Delegada de Procesos

Administrativos y Nuevo Sistema de Información para Auditorías, para la

Superintendencia Delegada para la Supervisión Institucional

“En el primer semestre de 2017 se trabajaron los documentos de arquitectura y precontractuales para

la Adquisición del licenciamiento de una plataforma BPMS (Business Process Management Software) y

automatización de procesos de negocio en la Superintendencia Nacional de Salud, en donde hace parte

la solución tecnológica para la gestión de procesos de: Superintendencia Delegada de Procesos

Administrativos y Auditorías, de la Superintendencia Delegada para la Supervisión Institucional,

desarrollando las actividades de: Documentos de Arquitectura de la Solución, estudios de mercado,

estudios previos, ciclos de sustentación y aprobación de la contratación (Delegadas líderes de los

procesos, grupo de contratación, secretaría general y Superintendente Nacional), producto del cual a

mediados de septiembre se publica el pliego de condiciones en borrador dando inicio a la licitación

pública LP-24-2017 que finaliza el 7 de Noviembre de 2017, con la adjudicación del contrato a la Unión

Temporal BPM LAT y JP & CA SAS-SALUD, mediante contrato N. 265 de 2017. Seguido de lo anterior

se da inicio formal del contrato el 10 de Noviembre de 2017, con un plazo de ejecución hasta el 31 de

Julio de 2018.

A través Contrato 265 de 2017, suscrito con la Unión Temporal BPM-LAT y JP&CA SAS-Salud se realizó

la contratación para “Adquisición de una plataforma BPMS (Business Process Management Software)

y automatización de procesos de negocio en la Superintendencia Nacional de Salud.” A través de este

contrato se realizará la automatización de procesos administrativos y Auditorías.

Basado en las actividades del cronograma detallado el avance del proyecto es de un 47%.

Fuente: Oficina de Tecnologías de la Información - Grafica de avance proyecto BPMS

https://gestionpqrdtest.supersalud.gov.co/TMS.Solution.TMSPQRD/pqrd/portalciudadano


En visita in situ realizada a la Oficina de Tecnologías de la Información, se indicó que el

desarrollo de este proyecto ha sido un trabajo conjunto y coordinado tanto por la Oficina

Asesora de Planeación, la Oficina de Tecnologías de la Información y las áreas funcionales

Superintendencia Delegada para la Supervisión Institucional y Superintendencia Delegada de

Procesos Administrativos.

OBERVACIONES OFICINA DE CONTROL INTERNO

En relación con los 5 sistemas de información que fueron objeto de seguimiento, y con base

en los soportes e información aportada tanto por la Oficina de Tecnologías de la Información y

algunas áreas funcionales, la Oficina de Control Interno pudo verificar que la dependencia

objeto de seguimiento, ha venido adelantando las gestiones pertinentes y ha realizado un

trabajo coordinado con esas áreas, con el fin de lograr que los sistemas de información que se

están implementando cumplan con los requerimientos establecidos en el anexo técnico y en

estudios previos, así como con los cronogramas definidos para sus desarrollos; por lo anterior,

la Oficina de Control Interno continuará haciéndoles seguimiento y monitoreo.

b. En este mismo seguimiento se dejó la siguiente recomendación, relacionada con el autocontrol

de la Oficina de Tecnologías de la Información:

“En relación con la modificación y actualización de los documentos que hacen parte de sus procesos y

procedimientos, que actualmente se encuentran en etapa de revisión por parte de la Oficina de

Tecnologías de la Información, se recomienda muy respetuosamente que en ejercicio de los principios

de autocontrol y autogestión que establece el Modelo Estándar de Control Interno-MECI, se continúe

trabajando en ello, para que con el apoyo y asesoría de la Oficina Asesora de Planeación , se logre el

mejoramiento continuo; recomendación que ha sido reiterativa en los informes presentados durante las

vigencias 2016 y 2017”.

En relación con esta recomendación, la Oficina de Tecnologías de la Información informa que:

“Al respecto de este requerimiento, informamos que, dentro del proceso de mejora continua, la Oficina

de Tecnologías de la Información, no ha considerado hacer modificación de los procesos Gestión de

servicios tecnológicos y Provisión de soluciones tecnológicas.

En cuanto al Proceso de Gobierno y Gestión de la Información se han venido trabajando las matrices

de riesgos de seguridad de la información, para los procesos que se sometieron a la pre-auditoría de

certificación en el 2017 con la firma Bureau Veritas. Dichas matrices se publicarán en el mes de Marzo

tal como fue relacionado anteriormente. De otra parte, venimos trabajando en un ajuste a la plantilla de

la matriz de riesgo, la cual, si encontramos necesario hacer, solicitaremos a la Oficina Asesora de

Planeación su revisión, aprobación y respectiva publicación”.


En visita in situ realizada a la Oficina de Tecnologías de la Información el 22 de Marzo de 2018,

se indagó por este tema, ya que durante la vigencia 2017 para los informes de seguimiento

que se presentaron durante esa vigencia, se indicó por parte de esa dependencia que se

estaban revisando los procesos y procedimientos y para este informe se manifiesta que no se

tiene contemplada dicha actividad.


En diferentes informes se le ha reiterado a la Oficina de Tecnologías de la Información, que en

ejercicio de los principios de autocontrol y autogestión que establece el Modelo Estándar de

Control Interno-MECI, y que, con el apoyo y asesoría de la Oficina Asesora de Planeación, se

logre el mejoramiento continuo de sus procesos y procedimientos, así como de la

documentación que los soporta.

Lo anterior se ratifica con la Resolución 2660 de 2015 “por la cual se adoptan las reuniones de

autoevaluación de la Superintendencia Nacional de Salud”, en la que se resuelve:

Por lo anteriormente expuesto, la Oficina de Control Interno reitera recomendación relacionada

con el ejercicio del autocontrol definido en el Modelo Estándar de Control Interno-MECI,

complementado con la realización de reuniones de autoevaluación, definidas en la Resolución

2660 de 2015, en aras de que la Oficina de Tecnologías de la Información en desarrollo de sus

funciones tenga implementada la mejora continua y permanente de sus procesos y

procedimientos.

7.3.2 De Auditorias al Sistema Integrado de Gestión

❖ La Oficina de Control Interno mediante NURC 3-2017-008398 del 31 de Mayo de 2017,

presentó informe de Auditoría a los Subsistemas del Sistema Integrado de Gestión, en el cual

se establecieron No conformidades al Subsistema de Seguridad de la Información, a cargo de

la Oficina de Tecnologías de la Información como líder operativo del mismo, las cuales se

transcriben a continuación:

“C. SUBSISTEMA DE SEGURIDAD DE LA INFORMACION

NO CONFORMIDAD

Se evidenció desactualización de la versión de la “Matriz de Valoración de Activos y Análisis de Riesgos

de Seguridad y Privacidad de la Información”, toda vez que el registro que se encuentra publicado en la

Página Web de la Entidad, en la matriz de mapa de riesgos, señala el código del formato ASFT22

VERSIÓN 2, y el formato igualmente publicado en la Página Web se encuentra en VERSIÓN 3 (fecha

última actualización Febrero 28 de 2017) de la Entidad, incumpliendo lo establecido en el numeral 7.5

Información Documentada de la norma ISO 27001:2013.

Respuesta: La “Matriz de Valoración de Activos y Análisis de Riesgos de Seguridad y Privacidad de la

Información” publicada en la Página Web tiene como fecha de actualización el 23 de Diciembre de 2016

como se evidencia en la siguiente imagen, es decir cuando se realizó el registro de la matriz mencionada

estaba vigente la versión 2, conforme se vayan generando nuevas matrices de los demás procesos o

actualizando de acuerdo al mejoramiento continuo se usará la versión 3 del mencionado formato”.



Sobre la atención de esta No conformidad, la Oficina de Tecnologías de la Información

mediante NURC 3-2018-003846 del 9 de Marzo de 2018, informa que:

“El formato publicado en el Sistema de Gestión de Calidad es el ASFT22 Versión 4,

https://docs.supersalud.gov.co/PortalWeb/planeacion/AdministracionSIG/ASFT22.xlsx

Se entrega archivo "ASFT22 - MATRIZ DE VALORACIÓN DE ACTIVOS Y ANÁLISIS DE RIESGOS DE

SEGURIDAD V4.xlsx", el cual contiene los activos y riesgos identificados en el 2017 para los siguientes

procesos:

Gestión de la participación ciudadana en las instituciones del Sistema General de Seguridad Social

en Salud - GPC

Gestión de atención al usuario del Sistema General de Seguridad Social en Salud - GAU

Gestión de servicios tecnológicos - GST

Provisión de soluciones tecnológicas - PST

Evaluación y aprobación de acuerdos de reestructuración de pasivos - EAR

Adopción y seguimiento de acciones y medidas especiales - ASME

Gestión del procedimiento administrativo - GPA

Auditoría a los sujetos Vigilados - ASV

Identificación y seguimiento de liquidaciones voluntarias - ISLV

Supervisión a los sujetos vigilados de la Superintendencia Nacional de Salud-SSV

Evaluación integral de riesgos de sujetos vigilados – EIR”

En la revisión efectuada por la Oficina de Control Interno el 22 de Marzo de 2018, a la matriz

de riesgos institucional, se pudo evidenciar que el formato no ha sido ajustado en su versión,

ni ha sido actualizado en su contenido.

En visita in situ efectuada la el 22 de Marzo de 2018 a la Oficina de Tecnologías de la

Información, se informó a la Oficina de Control Interno que se ha realizado el trabajo de análisis

de riesgos, derivando la necesidad de modificar y actualizar la mencionada matriz, la cual

actualmente se encuentra en versión 4, la cual fue aportada como evidencia.

A lo expuesto por los funcionarios entrevistados, se les hace la observación que, a pesar de

las evidencias aportadas, se está incumpliendo un plan de mejoramiento que fue definido y

radicado por la Oficina de Tecnologías de la Información en la vigencia 2017, con fecha

propuesta de finalización 31 de Diciembre de 2017, relacionado con la actualización de la

matriz de riesgos y tratamiento de riesgos del subsistema de seguridad de la información y su

correspondiente publicación en el portal web; por lo que la Oficina de Control Interno

recomienda muy respetuosamente que se proceda a ajustar y publicar la mencionada matriz,

y que cada que se presenten ajustes relevantes se lleve a cabo esta acción, con la debida

aprobación y validación de la Oficina Asesora de Planeación.

❖ Visitas realizadas por la firma Bureau Veritas en el IV trimestre de 2017, relacionados con el

Subsistema de Seguridad de la Información.

• Visita de Seguimiento realizada entre el 22 y 24 de Noviembre de 2017

El Ente Certificador, dejó la siguiente No Conformidad Menor: “NCR1: Para el documento de

Declaración de Aplicabilidad que contiene los controles necesarios y la justificación de las

inclusiones, la justificación para las exclusiones de los controles del Anexo A; no se evidencia que

sea considerado un documento controlado”.



Sobre la atención de esta No conformidad, la Oficina de Tecnologías de la Información

mediante NURC 3-2018-003846 del 9 de Marzo de 2018, informa que:

Se gestionó la respuesta de la no conformidad menor identificada en la preauditoría realizada en el

mes de diciembre por Bureau Veritas, para lo cual se realizaron las siguientes actividades:

1. Elaboración del formato de declaración de aplicabilidad ASFT30

2. Actualización de la Guía Metodológica Gestión del Riesgo – ASGU05 actualizado a la versión 6.

3. Reunión de unificación de criterios con el funcionario José Javier Baquero de la Oficina Asesora

de Planeación.

4. Solicitud de creación del formato ASFT30 y Actualización de la guía ASGU05 mediante Nurc 3-

2018-000900 a la oficina asesora de planeación.

5. Se elaboró respuesta en el formato del ente certificador (Bureau Veritas), identificando las causas

y relacionando el plan de acción correspondiente

6. Publicación en el SIG y en el SSI de la página web del formato de declaración de aplicabilidad,

https://docs.supersalud.gov.co/PortalWeb/planeacion/AdministracionSIG/ASFT30.xlsx.

En la revisión efectuada sobre las evidencias aportadas por la Oficina de Tecnologías de

la Información, la Oficina de Control Interno pudo evidenciar que los documentos

declaración de aplicabilidad (ASFT30) y Guía Metodológica Gestión del Riesgo (ASGU05),

se encuentran debidamente aprobados por la Oficina Asesora de Planeación con su

correspondiente publicación en el portal web de la Entidad (Mapa de Procesos y micrositio

del Subsistema de Seguridad de la Información), dando cumplimiento para su cierre de la

No Conformidad Menor (NCR1) determinada por el Ente Certificador Bureau Veritas, en

Noviembre de 2017.

• Visita de Pre-Auditoría para 4 nuevos procesos, realizada entre el 29 de Noviembre de

2017 y el 15 de Diciembre de 2017:

El Ente Certificador, dejó las siguientes No Conformidades Menores, Sobre las cuales la

Oficina de Tecnologías de la Información dio respuesta mediante NURC 3-2018-003846

del 9 de Marzo de 2018, como se evidencia en el siguiente cuadro:

NO CONFORMIDAD RESPUESTA OTI FECHA FINAL

NCR 1: En la matriz de riesgos, en cuanto a los controles, es necesario indicar los controles que se siguen en la actualidad y no ha futuro. Evidencia objetiva para declarar la NC: En las auditorias forenses se tienen actividades de control alternas como: acompañamiento de auditores del área de seguridad la información, cadena de custodia, encripción de archivos, entre otros. Sin embargo en la matriz de riesgos, hoja de riesgos de seguridad de la información para estos riesgos se indica que el control a implementar es el de trabajar en un procedimiento que terminará en Febrero de 2018.

Se encuentra en elaboración el nuevo formato de Riesgos de Seguridad de la Información el cual será entregado en el mes de Abril de 2018. Sobre éste nuevo formato se hará la medición de los riesgos de los procesos definidos en el alcance y se entregará la matriz de riesgos en el mes de Julio de 2018.

Julio de 2018

NCR 2: En la matriz de riesgos no se presenta información sobre la evaluación del riesgo frente al transporte de información que realiza desde los vigilados hasta las instalaciones de la Supersalud, como resultado del proceso de auditorías forenses.

Se incluirá este riesgo en la nueva matriz y se identificarán los respectivos controles. Fecha de entrega: Julio de 2018

Julio de 2018



Evidencia objetiva para declarar la NC: Para el transporte de la información, se tienen establecidos controles alternos y éstos se llevan a cabo para el proceso de auditorías forenses, en la matriz de riesgos no se presenta información sobre la evaluación del riesgo frente a esta actividad, la cual se lleva a cabo desde los vigilados hasta las instalaciones de la Supersalud.

NCR 3: Se observa un computador personal sin bloqueo de terminal y sin uso por parte de algún usuario, lo cual incumple con lo indicado en las Políticas de Tercer Nivel del Subsistema de Gestión de Seguridad de la Información. Evidencia objetiva para declarar la NC: En las áreas: Delegada para la Supervisión de Riesgos, Delegada para las Medidas Especiales, Delegada para la Supervisión Institucional y Delegada de Procesos Administrativos, se considera la información de los expedientes como la más importante para los procesos, dichos expedientes se manejan en diferentes áreas y en oficinas abiertas, lo cual genera una alta incertidumbre en cuanto al manejo de expedientes en lo relacionado con el resguardo y la transferencia de los mismos entre áreas.

Se fortalecerán las campañas de sensibilización respecto del cumplimiento de las políticas de tercer nivel del Subsistema de Seguridad de la Información y se realizarán brigadas verificando el cumplimiento de las mismas. Adicionalmente se cuenta con la política desde el Directorio Activo que bloquea la sesión a los 5 minutos de inactividad.

Como soporte de esta acción, se aportaron las listas de asistencia de todo el personal de la Entidad, a las capacitaciones que se han realizado en el primer Trimestre de 2018, así como el plan de capacitaciones sobre el subsistema, que está programado para la vigencia 2018.

EN EJECUCION.

NCR 4: En el análisis de riesgos y en la matriz resultante, no se observó información relacionada con las actividades de mitigación de estos riesgos.

Evidencia objetiva para declarar la NC: En las áreas: Delegada para la Supervisión de Riesgos, Delegada para las Medidas Especiales, Delegada para la Supervisión Institucional y Delegada de Procesos Administrativos, se considera la información de los expedientes como la más importante para los procesos, dichos expedientes se manejan en diferentes áreas y en oficinas abiertas, lo cual genera una alta incertidumbre en cuanto al manejo de expedientes en lo relacionado con el resguardo y la transferencia de los mismos entre áreas.

Se realizará seguimiento con las Delegadas relacionadas y se incluirán los respectivos planes de tratamiento en la nueva matriz de riesgos. Fecha de entrega: Julio de 2018.

Julio de 2018.

En la revisión efectuada sobre las evidencias aportadas por la Oficina de Tecnologías de

la Información, la Oficina de Control Interno pudo evidenciar que para atender las No

Conformidades declaradas por el Ente Certificador, se vienen adelantando las acciones

pertinentes, las cuales tienen fecha de finalización Julio de 2018, a las cuales se les seguirá

haciendo seguimiento.

En cuanto a la NCR2, las capacitaciones fueron programadas para realizarse durante el

primer semestre de 2018, las cuales de acuerdo con las evidencias aportadas, se están

llevando a cabo de acuerdo con el cronograma.

OBSERVACIONES OFICINA DE CONTROL INTERNO

En el seguimiento realizado a las No Conformidades declaradas por el Ente Certificador Bureau

Veritas, en Noviembre de 2017 (visita de seguimiento a la Certificación de 2016) y en Noviembre y

Diciembre de 2017 (preauditoría a 4 nuevos procesos), la Oficina de Control Interno pudo evidenciar

que la Oficina de Tecnologías de la Información como líder operativo del Subsistema, ha adelantado

las gestiones pertinentes para dar cumplimiento a todas ellas y proceder a su cierre; por lo que a la

fecha de presentación de este informe, la No Conformidad Menor detectada en la visita de

seguimiento a la Certificación, ya fue cumplida, y las No Conformidades Menores declaradas en la

preauditoría, se encuentran en ejecución con plazo máximo de entrega en Julio de 2018.


La Oficina de Control Interno, seguirá haciendo seguimiento al cumplimiento de las

acciones propuestas por la Oficina de Tecnología de la Información, para el cierre de las

No Conformidades evaluadas.

8. CONCLUSIONES Y RECOMENDACIONES

Con base en la información aportada por la Oficina de Tecnologías de la Información y la visita in

situ realizada el 22 de Marzo de 2018, se pudo evidenciar que la dependencia a la que se le hace

seguimiento, ha realizado las actividades enunciadas en sus respuestas, en aras de atender las

funciones y actividades evaluadas; no obstante lo anterior, se determinan las siguientes

conclusiones y recomendaciones:

• Con el fin de atender los incidentes de TI que afecten la continuidad del servicio, se han

establecido los controles y planes de acción que establece la Norma ISO 27001:2013 y que

dentro de los Acuerdos de Niveles de Servicio que permiten atender estos incidentes, se

tienen establecidos los siguientes:

Nivel 1: Atención al incidente, por Mesa de Servicios

Nivel 2: Incidentes que no pueden ser solucionados por nivel 1 y requieren un tratamiento

más específico, por parte de funcionarios de la Oficina de Tecnologías de la

Información.

Nivel 3: El incidente debe ser tratado y solucionado por los proveedores.

Al tener definidos los acuerdos de niveles de servicios y estando centralizada la recepción de

todos los incidentes a través de la Mesa de Servicios, se garantiza que haya trazabilidad del

caso (tiket), que haya una adecuada valoración y escalamiento de la solución de los temas

radicados, que haya atención adecuada, dentro de los tiempos establecidos en los mismos.

De otra parte, se verificaron los documentos que hacen parte del procedimiento GGPD02-

Gestión para la Continuidad del Negocio, evidenciando algunos de ellos que se encuentran

en proceso de revisión y ajuste, y otros ya han sido ajustados.

• En relación con la integración de bases de datos, de acuerdo con lo informado y evidencias

suministradas por la Oficina de Tecnologías de la Información, es fundamental la

sincronización y armonía que se establezca entre la Oficina de Metodologías de Supervisión

y Análisis de Riesgos, Oficina Asesora de Planeación, las áreas funcionales y la Oficina de

Tecnologías de la Información como área de apoyo, para poder definir exactamente las

necesidades que se plantean desde las dependencias que utilizarán los sistemas y la

información, lo cual en ultimas redundará en la unificación de datos, a través de la integración

de datos o interoperabilidades entre sistemas de información.

Para ello es importante que cada área conozca muy bien sus procesos y procedimientos para

establecer sus necesidades, pero también lo es, que cada dependencia conozca los procesos

y procedimientos de las demás áreas de la Entidad, con el fin de que en el momento que se

haga un requerimiento se tenga previsto si la atención de esa necesidad beneficiará otro

proceso y en conjunto, entre las áreas funcionales con el apoyo técnico, se pueda definir una

solución que atienda a más de un requerimiento.


Aspecto que también puede ser reforzado con campañas de socialización y concientización a

toda la Entidad sobre los sistemas de información que se poseen, la interacción que existe

entre ellos y los procesos, y que por parte de la Alta Dirección con el decidido apoyo y asesoría

de la Oficina Asesora de Planeación, se establezcan políticas y lineamientos para el adecuado

uso tanto de sistemas de información, como de la misma información, y de la importancia de

que todas las áreas funcionales participen en la construcción de bases de datos unificadas e

interoperabilidades entre sistemas de información internos y externos.

▪ De acuerdo con la información aportada por la Oficina de Tecnologías de la Información, la

Oficina de Control Interno pudo evidenciar que se están llevando a cabo actividades que

permitan cumplir con los controles definidos en la matriz de riesgos operacionales y de

corrupción, con el fin de evitar que se materialicen los riesgos evaluados.

No obstante lo anterior, en la visita in situ realizada se pudo establecer que además de los

controles establecidos para los riesgos de corrupción, son necesarias otras medidas tanto a

nivel físico (equipos y otros dispositivos) como lógico (usuarios y contraseñas), las cuales se

vienen aplicando en cumplimiento a lo establecido en la norma ISO 27001:2013 que regula el

Subsistema de Seguridad de la Información, por lo que la recomendación muy respetuosa de

la Oficina de Control Interno, es que en trabajo conjunto con la Oficina Asesora de Planeación

se pueda analizar y determinar la viabilidad de complementar esas acciones en el mapa de

riesgos.

▪ En relación con los 5 sistemas de información que fueron objeto de seguimiento, y con base

en los soportes e información aportada tanto por la Oficina de Tecnologías de la Información y

algunas áreas funcionales, la Oficina de Control Interno pudo verificar que la dependencia

objeto de seguimiento, ha venido adelantando las gestiones pertinentes y ha realizado un

trabajo coordinado con esas áreas, con el fin de lograr que los sistemas de información que se

están implementando cumplan con los requerimientos establecidos en el anexo técnico y en

estudios previos, así como con los cronogramas definidos para sus desarrollos; por lo anterior,

la Oficina de Control Interno continuará haciéndoles seguimiento y monitoreo.

▪ En cuanto a la modificación y actualización de los documentos que hacen parte de los procesos

y procedimientos de la Oficina de Tecnologías de la Información durante la vigencia 2017 se

indicó que se encontraban en proceso de revisión y ajuste, lo cual no se pudo evidenciar en

este seguimiento; adicionalmente para el presente ejercicio se informa que no está

contemplado en esta vigencia realizar dicha acción, por lo que la Oficina de Control Interno,

recomienda muy respetuosamente que, en ejercicio del autocontrol definido en el Modelo

Estándar de Control Interno-MECI, complementado con la realización de reuniones de

autoevaluación definidas en la Resolución 2660 de 2015, la Oficina de Tecnologías de la

Información, pueda implementar la mejora continua y permanente de sus procesos y

procedimientos.


▪ En seguimiento a planes de mejoramiento producto de Auditorías Internas de Calidad y las

efectuadas por Entes Certificadores, se encontró lo siguiente:

o En relación con la No Conformidad determinada en la Auditoría al Sistema Integrado de

Gestión SIG, del cual hace parte el Subsistema de Seguridad de la Información, realizada

por la Oficina de Control Interno en Mayo de 2017, se presenta incumpliendo a un plan

de mejoramiento que fue definido y radicado por la Oficina de Tecnologías de la

Información en la vigencia 2017, con fecha propuesta de finalización 31 de Diciembre de

2017, relacionado con la actualización de la matriz de riesgos y tratamiento de riesgos del

subsistema de seguridad de la información, y su correspondiente publicación en el portal

web, acción que a la fecha de presentación de este informe, no se ha realizado; por lo

que la Oficina de Control Interno recomienda muy respetuosamente que se proceda a

ajustar y publicar la mencionada matriz, y que cada que se presenten ajustes relevantes

se lleve a cabo esta acción, con la debida aprobación y validación de la Oficina Asesora

de Planeación.

o En relación con la No Conformidad Menor (NCR1: Para el documento de Declaración de

Aplicabilidad que contiene los controles necesarios y la justificación de las inclusiones, la

justificación para las exclusiones de los controles del Anexo A; no se evidencia que sea

considerado un documento controlado”) determinada por el Ente Certificador Bureau Veritas,

en la visita de Seguimiento a la Certificación otorgada en 2016, la Oficina de Control

Interno pudo evidenciar que los documentos declaración de aplicabilidad (ASFT30) y

Guía Metodológica Gestión del Riesgo (ASGU05), se encuentran debidamente

aprobados por la Oficina Asesora de Planeación con su correspondiente publicación en

el portal web de la Entidad (Mapa de Procesos y micrositio del Subsistema de Seguridad

de la Información), dando cumplimiento para el cierre de la No Conformidad Menor

(NCR1) determinada por el Ente Certificador Bureau Veritas, en Noviembre de 2017.

o En cuanto a las No Conformidades declaradas por el Ente Certificador Bureau Veritas, en

Preauditoría realizada durante los meses de Noviembre y Diciembre de 2017 a 4 nuevos

procesos, la Oficina de Control Interno pudo evidenciar que la Oficina de Tecnologías de

la Información como líder operativo del Subsistema, ha adelantado las gestiones

pertinentes para dar cumplimiento a todas ellas y proceder a su cierre; por lo que a la

fecha de presentación de este informe, las No Conformidades Menores declaradas en la

preauditoría, se encuentran en ejecución con plazo máximo de entrega en Julio de 2018,

a las cuales la Oficina de Control Interno, les continuará haciendo seguimiento al

cumplimiento de las acciones propuestas por la Oficina de Tecnología de la Información,

para el cierre de las mismas.

Cordialmente,

JUAN DAVID LEMUS PACHECO

Jefe Oficina de Control Interno

Proyectó: Eddna Dueñas Monsalve, Profesional Especializado Oficina de Control Interno

SUPERINTENDENCIA NACIONAL DE SALUD · establece la Norma ISO 27001:2013 y que dentro de los...

Documents

Transcript of SUPERINTENDENCIA NACIONAL DE SALUD · establece la Norma ISO 27001:2013 y que dentro de los...