· Web view2020. 9. 24. · Es importante resaltar que este rol debe desarrollarse de manera...

INSTITUTO DISTRITAL DE RECREACION Y DEPORTE – IDRD

OFICINA DE CONTROL INTERNO

INFORME FINAL DE AUDITORIA AL PROCESO DE GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES –

FASE II GOBIERNO DIGITAL Y PROYECTOS DE TECNOLOGÍA

Período AuditadoEnero 1 de 2019 a Abril 30 de 2020

JULIO DE 2020

CONTROL EVALUACIÓN Y SEGUIMIENTO V2

TABLA DE CONTENIDO

PRESENTACION..................................................................................................................41. GENERALIDADES...........................................................................................................4

1.1. OBJETIVO GENERAL.....................................................................................................51.2. OBJETIVO ESPECÍFICO................................................................................................51.3. CRITERIOS DE AUDITORIA / DE SEGUIMIENTO....................................................51.4. ALCANCE DE LA AUDITORIA......................................................................................61.5. LIMITACIONES DEL PROCESO AUDITOR................................................................6

2. INFORME EJECUTIVO....................................................................................................62.1 FORTALEZAS................................................................................................................62.2 OPORTUNIDADES DE MEJORA..................................................................................62.3 ASPECTOS LOGRADOS...............................................................................................72.4 HALLAZGOS..................................................................................................................82.5 CONCLUSION................................................................................................................83. INFORME DETALLADO DE AUDITORIA.......................................................................8

3.1. Objetivo Específico 1 – Habilitador Transversal Arquitectura Empresarial..............83.1.1 Resultados de la Prueba y Análisis.............................................................................8

3.1.2 Conclusiones................................................................................................................19

3.1.3 Aspectos logrados.......................................................................................................20

3.1.4 Fortalezas.....................................................................................................................20

3.1.5 Oportunidades de mejora...........................................................................................21

3.1.6 Hallazgos......................................................................................................................21

3.2. Objetivo Específico 1 – Habilitador Transversal Seguridad de la Información......213.2.1 Resultados de la Prueba y Análisis...........................................................................21

3.2.2 Conclusiones................................................................................................................30


3.2.4 Fortalezas.....................................................................................................................31


3.2.6 Hallazgos......................................................................................................................31

3.3. Objetivo Específico 1 – Habilitador Transversal Servicios Ciudadanos Digitales.32

3.3.1 Resultados de la Prueba y Análisis...........................................................................32

3.3.2 Conclusiones................................................................................................................38



3.3.4 Fortalezas.....................................................................................................................39


3.3.6 Hallazgos......................................................................................................................39

4. CONCLUSION GENERAL.............................................................................................46


PRESENTACION

La Oficina de Control Interno en cumplimiento de su rol de “Evaluación y Seguimiento1” debe desarrollar sus actividades de evaluación de manera planeada, documentada, organizada y sistemática, en el marco del Sistema de Control Interno.

Es importante resaltar que este rol debe desarrollarse de manera objetiva e independiente, pues su propósito es realizar la evaluación y emitir un concepto acerca del funcionamiento del Sistema de Control Interno, de la gestión desarrollada y de los resultados alcanzados por el IDRD; que permita generar recomendaciones y sugerencias que contribuyan al fortalecimiento de su gestión y desempeño.

En virtud de lo anterior y dando cumplimiento al Plan Anual de Auditoría del 2020, la Oficina de Control Interno desarrolló auditoría al Proceso de Gestión de Tecnología de la Información y las comunicaciones – Fase II Gobierno Digital y Proyectos de Tecnología, para lo cual se recopilo la información aportada por el líder del proceso evaluado.

El presente informe contiene los resultados finales de la auditoría mencionada, incluyendo:

1) Los aspectos satisfactorios en relación con los criterios de auditoría definidos y/o aspectos positivos que se resaltan para que sean mantenidos.

2) Las oportunidades de mejora identificadas cuya implementación contribuiría a optimizar la gestión y/o el desempeño.

3) Los hallazgos correspondientes a aquellas situaciones que se alejaron del deber ser considerado en los criterios de auditoría.

1 Decreto 648 de 2017 “Por el cual se modifica y adiciona el Decreto 1083 de 2015, Reglamentario Único del Sector de la Función Pública”, artículo 17.


1. GENERALIDADES

1.1. OBJETIVO GENERAL Verificar el cumplimiento e implementación de la Política de Gobierno Digital por parte del Instituto Distrital de Recreación y Deporte - IDRD, así como el seguimiento realizado a su debida implementación.

1.2. OBJETIVO ESPECÍFICO

Evaluar si los resultados del autodiagnóstico reflejan la realidad del estado de implementación de la política de gobierno digital en el IDRD.

1.3. CRITERIOS DE AUDITORIA / DE SEGUIMIENTO

EL IDRD debe aplicar y desarrollar los lineamientos y estándares definidos para los habilitadores transversales de: (i) Arquitectura; (ii) Seguridad de la información y (iii) Servicios Ciudadanos Digitales; establecidos en el Manual de Gobierno Digital para la implementación de la política de Gobierno Digital. Así mismo, medir dicha aplicación.

A efectos de hacer seguimiento al estado de avance y cumplimiento de los habilitadores transversales mencionados, la entidad debe definir indicadores de seguimiento para medir y evaluar el avance del Plan Estratégico de Tecnología – PETI y efectuar el autodiagnóstico para determinar el cumplimiento de estos habilitadores, de acuerdo con el anexo 5 del Manual de Gobierno Digital.

EL IDRD debe incorporar los principios de diseño de servicios digitales: (i) Interoperabilidad; (ii) Seguridad y privacidad de la información; (iii) Accesibilidad y usabilidad, para sus trámites, procesos y servicios; en el habilitador transversal de Servicios Ciudadanos Digitales, definidos en el Manual de Gobierno Digital.

El IDRD debe aplicar las disposiciones establecidas en la Ley 1712 de 2014, su Decreto Reglamentario 103 de 2015, la Resolución 3564 de 2015 del Ministerio de Tecnologías de la Información y las Comunicaciones MINTIC, sobre transparencia y acceso a la información pública.

El IDRD debe aplicar metodologías de caracterización de usuarios, para lo cual cuenta con la Guía para la caracterización de usuarios de las entidades públicas de MINTIC y la Guía metodológica para la caracterización de ciudadanos, usuarios y grupos de interés del DNP.

El IDRD debe aplicar los lineamientos para la prestación de servicios ciudadanos digitales, establecidos en los artículos 2.2.17.1.1 y 2.2.17.2.1.1. del Decreto 1413 de 2017.

Fuentes de criterio:


a. Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital (MINTIC) en cumplimiento del Decreto 1008 de 2018 (Compilado en el Decreto 1078 de 2015, capítulo 1, título 9, parte 2, libro 2).

b. Marco de Referencia de Arquitectura v. 2.0 - MINTIC, 2018.c. Plan de acción para la implementación de Servicios Ciudadanos Digitales.d. Plan Estratégico de las Tecnologías de la Información y Comunicaciones (PETI)

del IDRD.

1.4. ALCANCE DE LA AUDITORIA

La evaluación se desarrolló para determinar el grado de cumplimiento e implementación de la Política de Gobierno Digital, a partir de los habilitadores transversales Arquitectura de TI, Seguridad de la información y Servicios ciudadanos digitales, durante el periodo comprendido entre el 1 de enero de 2019 y el 30 de abril de 2020.

1.5. LIMITACIONES DEL PROCESO AUDITOR

La información que fue suministrada por el auditado para el desarrollo de la auditoría presentó fallas en la calidad de su contenido y organización, toda vez que incluyó documentos:

Que no fueron requeridos por la Oficina de Control Interno tales como información personal de los contratistas que prestan sus servicios en el área de sistemas de la Entidad.

Que no guardaban relación con los aspectos sujetos a evaluación. Que no correspondían al periodo auditado Que tenían contenido idéntico aunque fueron denominados con nombres diferentes

de acuerdo con lo requerido por la Oficina de Control Interno

Esta información fue voluminosa y al presentarse junto con aquella que si correspondía a insumo para evaluación, generó desgaste del equipo auditor que se vio en la necesidad de revisar cada archivo con el fin de determinar lo útil para desarrollar el proceso auditor; ocasionando pérdida de recursos de auditoría (tiempo, personal, herramientas tecnológicas) que incidió directamente en el análisis y verificación.


2. INFORME EJECUTIVO

2.1 FORTALEZAS

No se observaron situaciones que generen valor agregado a la gestión del proceso

2.2 OPORTUNIDADES DE MEJORA

Se identificaron 10 oportunidades de mejora que contribuirán a dar cumplimiento e implementación de los habilitadores transversales de la Política de Gobierno Digital:

Arquitectura.

Para la implementación del habilitador transversal de arquitectura de TI de la Políti-ca Digital, es necesario que el IDRD se alinee con la metodología establecida por MINTIC, de acuerdo con el Manual de Gobierno Digital y el Marco de Referencia de Arquitectura v. 2.0.

Actualizar el PETI, el Catálogo de Componentes de Información y el Catálogo de Sistemas de Información, ya que no cumplen con los nuevos lineamientos genera-dos por MINTIC.

Adoptar una metodología de manejo de proyectos de TI o alinearse con la generada por MINTIC.

Seguridad de la información.

Actualizar el Manual de Políticas de Seguridad Digital y de la Información, específi-camente los roles y responsabilidades del Responsable de Seguridad Digital.

Actualizar el inventario de activos de información, alineándolo con la metodología establecida en el Plan de tratamiento de riesgo y seguridad de la información IDRD V.1 y la generada por el DAFP y la Alta Consejería Distrital para las TIC.

Actualizar el mapa de riesgos del proceso Gestión TIC con los riesgos de integridad, confidencialidad o disponibilidad de la información, identificados a partir de la valora-ción de los activos críticos de información del IDRD.

Establecer la declaración de aplicabilidad de los controles, con el fin de identificar cuáles de los referidos en el anexo A ISO/IEC 27001:2013 están siendo gestionados y son efectivos frente a los riesgos de seguridad de información del MPSI.

Documentar los resultados sobre la evaluación de la efectividad y pertinencia de los controles implementados frente a los riesgos digitales definidos para los activos de información.


Servicios digitales ciudadanos.

Generar el Plan de acción para la Implementación de Servicios Ciudadanos Digitales, de acuerdo con la metodología generada por MINTIC.

Definir indicadores de mediciones internas para realizar seguimiento al uso y aprovechamiento de las TIC tanto en la gestión interna del IDRD como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés.

2.3 ASPECTOS LOGRADOS

No se identificaron

2.4 HALLAZGOS

Se identificaron tres (3) hallazgos relacionados con los proyectos de TI asociados a los habilitadores transversales de Arquitectura, Seguridad de la información y Servicios ciudadanos digitales, los cuales se unificaron para para ser presentados en uno solo:

H1: No se evidenció la ejecución y entrega de 18 de los 39 hitos de los proyectos de TI, entre el 01 de enero al 31 de diciembre de 2019 y del 01 de enero al 30 de abril de 2020, tal como fueron contemplados en el Plan Estratégico de Tecnologías de la Información y las Comunicaciones (PETI), materializándose el riesgo del proceso Gestión de Tecnologías de la Información y las Comunicaciones 005. Retrasos en la ejecución de proyectos de TI.

Aplicando el indicador anual de gestión 1472 (No. de hitos en proyectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100, se evidencia que el porcentaje de avance en proyectos de TI relacionados con arquitectura es del 53.84%, en seguridad de la información es 63% y para servicios ciudadanos digitales es 0%; para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%, debido a que se cumplió con la entrega de 21 hitos de los 39 programados.

2.5 CONCLUSION

De acuerdo con la obligatoriedad establecida en el Decreto 1008 de 2018, el IDRD no evidencia que en la realización de los ejercicios de Arquitectura Empresarial, de acuer-do con el tiempo y recursos que dispone, aborde o se encuentre aplicando los domi-nios definidos en el Marco de Referencia de Arquitectura v. 2.0, para implementar la Política de Gobierno Digital.

El PETI que ha publicado el IDRD requiere ser actualizado pues no cumple con los nuevos lineamientos generados por MINTIC, en la Guía G.ES.06 Para la construcción del PETI Versión 2 de Julio 2019.


El Catálogo de Componentes de Información y el Catálogo de Sistemas de Información deben actualizarse de acuerdo con las Guías MINTIC.

El Manual de Políticas de Seguridad Digital y de la Información se encuentra desactua-lizado en la sección 4.2.1. Roles y Responsabilidades, específicamente las correspon-dientes al responsable de seguridad digital, que se encuentran definidas en la Guía riesgos 2018 del DAFP.

El inventario de activos de información se encuentra desactualizado y por lo tanto no está alineado con la metodología definida en el Plan de tratamiento de riesgo y seguri-dad de la información del IDRD, así como la establecida por el DAFP; en consecuen-cia, los activos de información críticos del IDRD no han sido valorados para identificar los riesgos de seguridad de la información; no se tienen incluidas las “aplicaciones e in-formación física o digital” de los objetivos estratégicos y “bases de datos o archivos” de los objetivos de proceso.

La estructura de los activos de información del IDRD no se encuentra alineada con la metodología generada por la Alta Consejería Distrital para las TIC, que incluye ítems adicionales de evaluación.

No se han actualizado los riesgos de integridad, confidencialidad o disponibilidad de la información, identificados producto de la valoración de los activos críticos de informa-ción de acuerdo con las vulnerabilidades y amenazas que le aplican al contexto del IDRD.

No se ha establecido la declaración de aplicabilidad de controles con el fin de identifi-car cuáles de los referidos en el anexo A ISO/IEC 27001:2013 están siendo gestiona-dos por el IDRD, de acuerdo con el resultado de la efectividad del control en los ejerci-cios efectuados sobre el estado del nivel de madurez (calificación actual y calificación objetivo) del habilitador de seguridad de información del MPSI.

No se han documentado los resultados de la evaluación y monitoreo de los controles implementados, en relación con su efectividad y pertinencia frente a los riesgos digita-les definidos para los activos de información.

El IDRD no ha formulado el Plan de acción para la Implementación de Servicios Ciuda-danos Digitales, de acuerdo con la metodología presentada en el Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019 y en el Decreto 1413 de 2017, generados por MINTIC.

El IDRD no cuenta con la definición de indicadores de mediciones internas para reali-zar seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés, de acuerdo con la metodología presentada por MINTIC.

En 18 de los 39 hitos evaluados correspondientes a los 9 proyectos de TI auditados, no se suministraron evidencias que den cuenta de su cumplimiento de acuerdo con el cro-nograma definido en el PETI. Aplicando el indicador anual de gestión 1472 (No. de hi-


tos en proyectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100”, se evidencia que el porcentaje de avance en proyectos de TI relacio-nados con arquitectura es del 53% para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%.

3. INFORME DETALLADO DE AUDITORIA

3.1. Objetivo Específico 1 – Habilitador Transversal Arquitectura Empresarial

“Evaluar si los resultados del autodiagnóstico reflejan la realidad del estado de implementación de la política de gobierno digital en el IDRD.”

3.1.1 Resultados de la Prueba y Análisis.

En desarrollo del objetivo específico, se practicó prueba de auditoría con el fin de verificar el estado de implementación de cada uno de los ítems del autodiagnóstico correspondientes al habilitador transversal de Arquitectura de TI. De acuerdo con la información suministrada por el líder del proceso auditado, el estado de implementación de los 18 ítems de este habilitador es el siguiente:

Tabla 1. Reporte Autodiagnóstico Habilitador Arquitectura EmpresarialAspecto Ítems Valor

otorgadoEstado tarea

Rango asociado

Estado y avance del PETI Esquema de gobierno de TI Optimización de compras de TI Gestión de proyectos de TI Gestión y planeación de componentes de

información y de sistemas de información Soportes de sistemas de información Soporte de servicios tecnológicos Operación de servicios tecnológicos (ID 01-02-06-

07-08-09-11-12-14-15

01030607080911121415

100 Completada

ALTO

Documentación de servicios de TI y Arquitectura empresarial 05

1318

80En curso Ciclo de vida de sistemas de información

Estrategia para uso y apropiación de TI 83,33 Componentes del PETI 02 70 Completada MEDIO

ALTO Implementación Ipv6 16 En curso Documentación de la adopción de Ipv6 17 45 En curso MEDIO Ejercicios de Arquitectura Empresarial 04 25

En curso MEDIO BAJO Calidad componentes de información 10 33.33

(*) El análisis detallado de este habilitador se encuentra en el Anexo 1 de este informe

A partir de la anterior información, se verificaron los resultados del autodiagnóstico mediante las siguientes revisiones:

1. Plan Estratégico de las Tecnologías de la Información (PETI) 2019-2020 V1 de Julio de 2019


Se consultó el PETI que se encuentra publicado en la página web del IDRD como herramienta para expresar la Estrategia de TI, la cual incluye los siguientes aspectos:

Sistemas de información: que apoyan la gestión en la organización Servicios tecnológicos: catálogo general Conectividad: que presenta estrategias para propósitos misionales y para optimizar

los procesos administrativos y de control Proyectos de TI: para mejorar la eficiencia y eficacia en el desarrollo de cada uno

de los procesos institucionales. Plan maestro o mapa de ruta: con estrategias para implementar los seis dominios

de arquitectura de la entidad. Plan de comunicaciones: para identificar grupos de interés y estrategia de comuni-

cación.

Como resultado de la revisión al PETI se evidenció que no se encuentra alineado con la Guía G.ES.06 Para la construcción del PETI. Versión 2 emitida por MINTIC en Julio de 2019, la cual reúne la descripción de la metodología, estructura, técnicas y herramientas que debe contener este tipo de Plan, de tal forma que se asegure su alineación con la Política de Gobierno Digital.

Esta guía incluye el Anexo 1 – Herramienta para la construcción del PETI y el Anexo 2 – Lienzo para la construcción del PETI, las cuales requieren ser aplicadas para actualizar el Plan Estratégico de TI del IDRD.

2. Indicadores de seguimiento y evaluación del PETI - IDRD

Se corroboro que en Isolución se ha realizado el seguimiento y se tienen los registros semestrales de medición para 2019 y 2020, correspondientes al indicador de Gestión 1472 “Porcentaje de avance en proyectos de TI”, que toma como fuente el cronograma de proyectos de TI del PETI.

Al respecto, dado que MINTIC generó la versión 2 de la Guía G.ES.06 Para la construcción del PETI, en la cual se define la construcción de los indicadores que permiten hacer seguimiento y control sobre las iniciativas de inversión, los gastos de operación y las metas de la estrategia de TI; para que sean integrados al tablero de indicadores que permitan evaluar la gestión de TI y presentados en el documento final del PETI (numeral 8.1. Sesión 20), es necesario que el IDRD alinee este indicador de acuerdo con las nuevas directrices de MINTIC.

3. Catálogo de servicios de TI

Se han definido los catálogos para los siguientes servicios, que incluyen atributos como: Contacto, objetivo del servicio, alcance del servicio, canal de suministro, a quién va dirigido e indicador:

Tabla 2. Catálogo de Servicios


Versión Fecha Nombre del servicio Descripción

1 21/05/2018 INTERNETServicio de conectividad utilizado para la conexión con el exterior (Navegación, Correo Electrónico, Pagina WEB y demás servicios de la entidad)

1 21/05/2018 CORREO ELECTRÓNICO

Servicio que permite a los usuarios de IDRD enviar y recibir mensajes por medio de una cuenta de correo electrónico institucional que termina en.gov.co

1 21/05/2018CONEXIÓN

INALAMBRICA WIFI

Servicio de conectividad inalámbrica para utilizar recursos de la LAN y navegación en internet para los funcionarios y visitantes de IDRD.

1 21/05/2018 VPN Servicio que permite la conexión segura y confiable a la red interna a través de internet.

1 21/05/2018 SOPORTE TÉCNICO

Servicio de atención y gestión de incidentes técnicos incidentes técnicos y/o de software que se puedan presentar en la Entidad reportados por GLPI.

1 21/05/2018 SIM Servicios del sistema de información misional del IDRD

1 21/05/2018 ORFEO Servicios de atención y de incidencias en el gestor documental ORFEO

1 21/05/2018 ISOLUCION Servicios de atención al gestor de calidad Isolucion

1 21/05/2018 KACTUS Y SEVEN

Servicios brindados a los sistemas administrativos de Kactus y Seven

De su revisión con la estructura del contenido del catálogo de servicios de TI sugerida por MINTIC en la “G.ES.04 Guía del dominio de Estrategia TI Definición del catálogo de servicios de TI”, Versión 1.1. de julio 2019, se evidenció su cumplimiento.

4. Catálogo de componentes de información

Este catálogo identifica y documenta la información que produce el IDRD de acuerdo con los siguientes 9 atributos:

Tabla 3. Catálogo de Componentes de información IDRD

Atributo Descripción

Código Consecutivo o código interno asignado por la entidad al registro de información.

Información Nombre de la información o activo de información.

Descripción Es una breve descripción que hace referencia el activo de información o la información.



Área Responsable Corresponde al área, dependencia o unidad de la entidad responsable de la custodia o control de la información, para efectos de permitir su acceso.

Productor (fuente oficial) Nombre de la entidad externa o área interna que tiene como responsabilidad oficial, generar o producir dicha información.

Clasificación Clasificación de acuerdo a la Ley 1712 de 2014. Esta puede ser pública, publica clasificada, pública reservada.

Tipo de Información Se refiere a si la unidad de información está disponible en formato estructurado, semiestructurado y no estructurado.

Frecuencia de Generación Identifica la frecuencia con que se genera la información, de acuerdo a su naturaleza y a la normativa aplicable.

Soporte Establece el mecanismo en el cual está soportado la información: documento físico, medio electrónico o por algún otro tipo de formato audio visual entre otros. (Físico- análogo o digital- electrónico).

Una vez revisado el catálogo y comparado con la estructura de contenido definida por MINTIC en su guía G.INF.07 Guía Cómo construir el catálogo de componentes de información, Versión 1.1. de octubre de 2019, actualizada a los nuevos lineamientos sobre Gobierno Digital; se observa que plantea de manera metodológica 40 atributos que no se encuentran incluidos en el catálogo del IDRD, para los siguientes numerales:

Tabla 4. Nuevos atributos MINTIC para el Catálogo de Componentes de información

Numeral Atributo Descripción

3.1 Identificar la información que produce

la entidad

FormatoIdentifica la forma, tamaño o modo en la que se presenta la información o se permite su visualización o consulta, tales como: hoja de cálculo, imagen, audio, video, documento de texto, etc.

Datos Abiertos Se coloca SI o No, según SI la fuente de información son datos abiertos.

Tipo de datos

Este atributo sólo es utilizado si la respuesta en el atributo de Datos Abiertos es SI. Corresponde al tipo de clasificación temática, tales como: Agrícola y pesquera, Ambiental, Científica, Cultural, Económica y Comercial, Geográfica, Política, Sistema Legal, Social, Transporte y Tráfico y demás que sean identificados.

URL de publicación

Este atributo sólo es utilizado si la respuesta en el atributo de Datos Abiertos es SI. Dirección electrónica del lugar donde se encuentra disponibles los datos abiertos y dispuestos para su descarga.

Cobertura Geográfica

Este atributo sólo es utilizado si la respuesta en el atributo de Datos Abiertos es SI. Hace referencia a la zona o área geográfica a la que corresponden los datos. Por ejemplo, Cundinamarca, el municipio de Soacha, Bogotá, Región amazónica.

3.2 Identificar los datos que

Código de dato En caso en que la entidad exista el código de dato este debe ser: un consecutivo o código interno asignado por la oficina de TI o área



conforman la información

encargada de la gestión y administración de los datos.

Dato Nombre del dato

Descripción Breve definición de lo que significa el término dentro del contexto de la entidad.

Dato Georreferenciad

oSe coloca SI o No, según SI es un dato georreferenciado.

Área responsable de la gestión del

dato

Área de la entidad responsable de la gestión (actualización, intercambio, entre otros) del dato georreferenciado.

Área responsable de

la custodiaÁrea de la entidad responsable de la seguridad y custodia del dato.

Áreas internas consumidoras Áreas internas de la entidad que consumen o utilizan el dato.

Entidades consumidoras Entidades que consumen o usan el dato.

Ubicación física del dato

georreferenciado

Este atributo sólo es utilizado si la respuesta en el atributo de Dato Georreferenciado es SI. Ubicación física (servidor) donde se encuentra almacenada la fuente oficial del dato geográfico en la entidad

Sigla Abreviatura o sigla que puede tener el concepto o término que define el dato.

Dominio

Es el conjunto de valores posibles que puede tomar un dato. Por ejemplo, entidad puede tener como dominio (pública, privada, economía mixta) o el campo sexo puede tener como dominio femenino o masculino.

Formato (máscara)

Corresponde al tipo de dato (texto, fecha, numérico, XML, entre otros). En algunos casos como la fecha puede tener un formato de máscara para indicar por ejemplo si es yyyy/mm/dd o dd/mm/yyyy.

3.3 Identificar los flujos de información

CódigoEn caso en que la entidad exista el código este debe ser: un consecutivo o código interno asignado por la entidad el flujo de información.

Información Hace referencia a la información identificada en el paso 3.1 de identificación de información que produce la entidad.

Área o Entidad que produce la

informaciónÁrea o entidad la que pertenece la información que se produce.

Orden de la Entidad

Se refiere, si es del orden nacional o territorial.



productora

Área o entidad que consume la

informaciónÁrea o entidad la que pertenece la información que se consume.

Orden de la entidad

consumidoraSe refiere, si es del orden nacional o territorial.

Tipo de flujo de información del área o entidad consumidora

Se refiere, si es un flujo de información interno o externo.

Frecuencia de intercambio

Periodicidad o intervalo de tiempo con que se intercambia la información entre las entidades.

FormatoTipo de formato en que se suministra la información. Por ejemplo, en PDF, documento de Word, Excel, XML, texto, entreotros.

Medio de Intercambio

Medio empleado para intercambiar la información. Por ejemplo: correo electrónico, web service, conexión ODBC, entre otros.

Normatividad que respalda el

intercambio

Hace referencia a leyes, decretos, resoluciones y demás actos administrativos que definan la necesidad u obligatoriedad del intercambio de información.

3.4 Identificar qué servicios soportan la información

Código servicio Consecutivo o código interno asignado por la entidad al servicio de información. (si existe)

Nombre del servicio Nombre del servicio de información

Descripción del servicio

Es una breve descripción que describe que hace u ofrece el servicio de información.

Ruta de acceso Dirección electrónica mediante la cual puede ser accedida.

Versión del servicio

Corresponde a la última versión estable y disponible del servicio de información.

Ubicación física del servicio

Corresponder con un componente tecnológico identificado en el catálogo de servicios tecnológicos de la entidad. Si el servicio está en la nube indicar el proveedor.

Estado Hace referencia a si está activo (disponible) o desactivado.

Tipo de Automatización.

Se refiere si el servicio esta automatizado o no y que tipo de automatización (web service, transferencia ftp, demonios entre otros)

Incorporación del Lenguaje común de Intercambio

Se coloca SI o No, según SI utiliza el lenguaje común de intercambio en su estructura de datos.

Disponible en Se coloca SI o No, según si se encuentra disponible y publicado en la



PDI Plataforma de Interoperabilidad del Estado.

Consumidores internos

Corresponde a áreas o dependencias internas de la entidad que hacen uso del servicio de información.

Consumidores externos

Corresponde a los grupos de interés (ciudadanos, entidades) externas que hacen uso del servicio de información.

5. Catálogo de sistemas de información

Este catálogo identifica y documenta las características de los sistemas de información del IDRD de acuerdo con los siguientes 20 atributos:

Tabla 5. Catálogo de Sistemas de Información IDRD


Nombre del sistema de información Nombre completo del sistema de información.

Versión Versión actual y en producción del sistema de información

Responsable Área, proveedor o persona responsable de atender los incidentes técnicos del sistema y datos de contacto.

Descripción del sistema Descripción funcional del sistema y los servicios que presta.

Categoría

Categoría del sistema, de acuerdo con la clasificación del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI en el Estado:• Sistema misional• Sistema de apoyo.• Portales digitales.

Tipo

Web Server con base de datos centralCliente - ServidorBD y scriptshoja de cálculo entre otros.

Proveedor Nombre y contacto de la empresa que brinda soporte al sistema de información (correo electrónico, teléfono).

Estado• Activo (El sistema se encuentra en producción)• Inactivo (El sistema ya no está en uso)• En desarrollo (El sistema está siendo construido o modificado)

Licenciamiento Características o modelo del licenciamiento del software, indicando por lo menos el tipo, número y vigencia del licenciamiento asignado.

Fecha vencimiento de la licencia Fecha, N/A

Plataforma de aplicaciones Stand Alone, web, cliente servidor, app móvil, software as a service (nube), etc…

Ubicación del servidor de

aplicacionesUbicación

Lenguaje de programación

Lenguajes de programación y frameworks sobre los cuales fue construido el sistema de información. Ejemplos: Java 7, C#.Net framework 4.5, php 5.3, etc.

Plataforma de base de datos Ejemplo: Oracle, SQL server, Postgres, MySQL, entre otros.

Ubicación del Ubicación



servidor de base de datos

Nombre de la interface

WEB, Servicio, Sistema de ficheros, FTPSOA, REST

Tipo de integración WEBSERVICE, Archivos Planos, Servicios.Sistemas que

consumen o usan el servicio

Sistemas relacionados

Entidades que consumen Interoperabilidad

Áreas que consumen el servicio Datos abiertos internos

Una vez revisado el catálogo y comparado con la estructura de contenido definida por MINTIC en su guía G.SIS.03 Guía para la construcción del catálogo de Sistemas de Información. Versión v1.1. de octubre de 2019, actualizada a los nuevos lineamientos sobre Gobierno Digital; se observa que plantea de manera metodológica los siguientes 3 atributos que no se encuentran incluidos en el catálogo del IDRD:

Tabla 6. Nuevos atributos MINTIC para el Catálogo de Sistemas de información


Tipo de desarrollo

• Desarrollo interno • Desarrollo externo • Adquirido sin modificaciones • Adquirido con modificaciones • Software como servicio

Fecha de vencimiento del soporte Indica la fecha hasta la cual se tiene el contrato de mantenimiento o soporte del sistema con el proveedor.

Documentación técnica y funcional

Indica la ubicación (URL) de la documentación detallada técnica y funcional del sistema (Arquitectura, manuales, diseños, etc.)

6. Soluciones tecnológicas implementadas sobre la política de cero papel

La Política de Cero Papel se implementa, entre otros, a través de uno de los proyectos de TI que busca mejorar la nueva versión del Sistema de Gestión Documental ORFEO Jade, en relación con los envíos, la integración del Sistema Distrital Bogotá Te Escucha y la radicación por correos electrónicos.

7. Desarrollo de software

El IDRD vinculó a 8 personas mediante contratos de prestación de servicios, para desarrollar actividades durante el periodo auditado, las cuales están relacionadas con:

Diseño / mockups, diagramación, desarrollo y programación de piezas publicitarias para dispositivos móviles / app, contenidos web, presentaciones institucionales y so-porte.


Análisis, implementación, reprogramación, actualización, mantenimiento y soporte a los aplicativos.

Creación y formulación de aplicaciones software para móviles compatibles con siste-ma operativo Android y iOS.

Análisis, revisión de información, optimización, configuración, instalación, manejo de base de datos, creación de reportes, soporte técnico, capacitación e integración de las nuevas funcionalidades del Sistema de Gestión Documental ORFEO.

Administración técnica del sistema de información administrativo, financiero y de ta-lento humano, atención de sus requerimientos funcionales y creación de reportes.

Levantamiento de requerimientos, soporte, documentación e implementación de apli-cativos.

En dichos contratos se establecieron obligaciones específicas relacionadas con la cesión de acuerdos de licenciamiento, propiedad de códigos fuentes y derechos de propiedad intelectual relacionados con el contenido de los aplicativos desarrollados para el IDRD; realización de capacitaciones; entrega de documentos, manuales, informes técnicos y/o datos estadísticos; y documentación de mejores prácticas de desarrollo y calidad de acuerdo con el estándar ISO 25000 para requerimientos de aplicativos móviles.

8. Implementación programa de disposición final residuos tecnológicos

El IDRD cuenta con el Plan de Gestión Integral de Residuos Peligrosos PGIRESPEL, que incluye los residuos tecnológicos, así:

Tabla 7. Residuos tecnológicos contemplados en el PGIRESPEL

Tipo de residuo Fuente

Cartuchos de impresoras y toners Uso de toners para impresión de documentos en la sede administrativa.

Raaes con componentes peligrosos (computadores portátiles, monitores, pantallas, televisores, partes de periféricos, cables, tapas, CPU, fuentes de poder, carcasas de computadores)

Mantenimiento preventivo y correctivo de equipos de cómputo y periféricos

9. Servicios de información dispuestos en la Plataforma de Interoperabilidad del Estado Colombiano.

El IDRD ha dispuesto la Ventanilla Única de la Construcción VUC en la plataforma de interoperabilidad del Estado Colombiano, la cual cuenta con el trámite de aprobación virtual, así:

Tabla 8. Servicio dispuesto en la plataforma de interoperabilidad

Evidencia Verificación OCICorreo VUC - 8 Marzo - Plan Sensibilización.png Año 2019Evidencia Funcionamiento VUC.jpg Trámite de aprobación virtualHábitat Sensibilización VUC.pngIDRD-IMP-003 - Informe de la evaluación de seguridad y Fase III


Evidencia Verificación OCIphishing.docProyección Actividades VUC - IDRD v2.0.xls Cronograma desarrollo Proyecto

Ventanilla Única Construcción IDRDVUC IDRD Proyección Actividades v2.0.mpp

10. Sistemas de información con módulos de auditorías activos y su parametrización (opciones de auditoría)

Los sistemas de información ORFEO, SIM, KACTUS y SEVEN cuentan con módulos de auditoría activos, así:

Tabla 9. Sistemas de información - Módulos de auditorías activos

Evidencia Verificación OCI14-LOG AUDITORIA.docx Guía log de auditoría ORFEO JADE v1 de 2019Manual de Usuario Modulo Auditoría.pdf.Acta de entrega.pdfImagen Auditoría I.png & II.png & III.png & IV.png & V.png & VI.png & VII.png & VIII.png & IX.png

SIM

I-KAC-004 -GN_Administracion_y_Seguridad.pdf Instructivo administración y seguridad KACTUS Versión 1 del 10/12/2014

Manual de usuario seguridad y control de acceso SEVEN ERP

11. Ambientes de pruebas y producción independientes, establecidos para asegurar la correcta funcionalidad de los sistemas de información.

De acuerdo con la información suministrada por el auditado, el IDRD cuenta con dos su-bredes configuradas (infraestructura de servidores) para separar los ambientes de produc-ción y de pruebas; sin embargo, estos ambientes en los servidores vmware (virtualizados) a nivel VLAN (red de área local virtual) no se tienen separados. Esto también ocurre en los ambientes de producción y pruebas del aplicativo Isolución.

12. Metodología utilizada para gestionar programas y proyectos asociados a TI

En relación con esta metodología, el auditado no suministró información y por lo tanto no fue posible evaluar cómo se gestionan los programas y proyectos asociados a TI en el IDRD.

13. Transferencia de conocimiento por proveedores y contratistas

En relación con los contratos de prestación de servicios personales, se evidenció que in-cluyen una obligación relacionada con la realización de capacitaciones y/o transferencias de conocimiento al personal del IDRD. Frente a los proveedores de bienes y servicios TIC, se observó lo siguiente:


Tabla 10. Cláusula transferencia de información proveedores

Proveedor Capacitación Documentación

TEKHNE - Curso CIO Vesta Presup sesion1 2da edición.- Curso CIO Vesta Presup sesion2 2da edición. Virtual

ORFEOIng. Néstor Velázquez

- Acta de socialización botón PQRDS.pdf- CAPACI- ORFEO - 2019.pdf- INSTRUCTIVO PARA RADICACION DE ORFEO A

SDQS.pdf- Registro capacitación Orfeo radicación Masiva

2019-01-30.pdf.- Registro capacitación Orfeo Consulta y Radicacion.-

pdf (Varias áreas y diferentes días)

- INSTRUCCIONES DE INSTALACIÓN.doc

- INSTRUCCIONES.doc

ISOLUCIONIng. Alfredo Daza Personalizada Manual de

instalación.pdfDIGITALWARE

SEVENIng. Roger Matta

No evidencia Instructivo - Instalación Seven Clientes(V2)

DIGITAL WAREKACTUS

Ing. Roger MattaNo evidencia No evidencia

SIMIng. Daniel Feo

Capacitaciones trimestrales del 2019 y primer trimestre 2020 (Módulo pasaporte vital, Recreovía, recreación y rendimiento deportivo y gestión social, aplicativo Bogotá corre mejor para todos, IDECA y app eventos IDRD

Informe entregas de desarrollos trimestral año 2019 y primer trimestre 2020.

VUC Ayuda en línea Virtual

14. Cumplimiento de hitos para proyectos de TI relacionados con el habilitador de Arquitectura

Para la verificación del cumplimiento de 29 hitos correspondientes a 9 proyectos de TI, se revisó la información suministrada por el auditado observando que para 13 hitos no se entregaron evidencias de su ejecución a pesar de haber finalizado el plazo programado para su desarrollo.

Tabla 11. Cronograma de Proyectos de TI - PETI

Proyecto Hitos Evidencia Información suministrada

1. Implementación, estabilización y mejora de la nueva versión del sistema de gestión documental ORFEO jade mejora envíos integración envíos, integración con SDQS y radicación por correos electrónicos

Servicios de interoperabilidad con ventanilla Única de

Construcciones Mar/2019

No entrega información

Registros de capacitación sobre ORFEOMemorandos sobre auditoría Bogotá Te Escucha realizadas por la OCIInstructivo para radicación de ORFEO a SDQSDocumento “Gestión de Documentos Electrónicos de Archivo en el Distrito Capital”Matriz de requisitos con cumplimiento parcialActa de socialización y presentación de análisis de requerimientos S.G.D.E.A.

Diagnóstico SDQS May / 2019


Integración SDQS Dic / 2019




Nro. 2. Actualización del sistema de información Isolución para la administración de la información del sistema de gestión de calidad de la entidad

Aplicación de parches cuando aplique May/2019

a Ene/2020

Se actualiza la versión a

4.8.19.12.09.09 Versión 4.8.19.12.09.09 Isolucion Actualización

Actualización versión 4.8 Jul/2019

Se actualiza la versión a

4.8.19.12.09.09Nro. 4. Desarrollar y mantener el plan de renovación y mejoramiento de infraestructura tecnológica del IDRD, que permita garantizar la cobertura, disponibilidad y uso de herramientas actualizadas de TI.

Mantenimiento y/o actualización servidores centro de datos Dic/2019


Renovación 53 estaciones de cómputo de la UCAD. Actualización del cableado eléctrico y de datos de las sedes UCAD y PRD. Anexo XXII con la Empresa de Telecomunicaciones de Bogotá ETB.Acta de inicio sin firma para el contrato 3886 de 2019 RedcomputoPlan de mantenimiento preventivo software y hardware del 27/07/2019

Compra equipos de cómputo Jun/2019

Actualización.png53 estaciones de cómputo UCAD y

PRD

Nro. 5. Implementación y administración de herramientas tecnológicas basadas en código abierto.

Capacitación usuarios - Sep/2019


Listados de asistencia a capacitacionesFormatos gestión de cambios

Actualización últimas versiones GLPI, OTRS –

Dic/2019

Actualización GLPI y migración con

otras aplicaciones a un nuevo servi-dor por actualiza-

ción del SO 23/08/2019.

Actualización de versión sistema

OTRS 24/12/2019Documentación del Proceso Dic/2019


Gestión del cambio (Capacitación y

socialización) Ene/2020


Nro. 6. Analizar, diseñar, desarrollar, actualizar e implementar los sistemas de información administrativos y financieros Seven – Kactus.

Actualización normas NIIF - Ene/2019

Módulo en producción

Acta sobre implementación e importación de Presupuesto, en ambiente de pruebaActa de Fenecimiento, de recibo a satisfacciónActa de reunión para el seguimiento al módulo de carteraFormato entrega a satisfacción Conciliación Bancaria

Capacitación usuarios - Feb/2019


Implementación módulo cartera Dic/2019


Actualización de Seven y Kactus a la versión Web

Ophelia Dic/2019

Versión en producción

Implementación servicios SEVEN - SAP para conectividad SHD

Ene/2020


Desarrollo proyección implementación SAP

Ene/2020


Nro. 8. Actualización del sistema de información misional SIM en su versión 1.0.0

Implementación servicios alquiler canchas Dic/2019 Liquidador de

parques SIM – link seguimiento

proyectos Isolución

Informe entregas de desarrollos trimestral y capacitaciones de años 2019 y primer trimestre 2020Documento liquidador de parques SIM – link seguimiento proyectos

Implementación aplicación deportistas Mar/2020

Formularios en línea S/F



Isolución

Actualización tiempo es-colar complementario S/F

Mantenimiento de SIM S/F

SUMA S/FMantenimiento apps S/F

Virtualización parques S/F

Nro. 10. Ventanilla única de la construcción VUC.

Entrega Fase II – Jun/2019

Trámite de aprobación virtual – En producción

Imagen de acceso al portal – 2019Imagen trámite de aprobación virtualRecomendaciones y mejores prácticas relacionadas sobre las aplicaciones G SuiteCronograma desarrollo Proyecto Ventanilla Única Construcción IDRDSensibilización al interior del IDRD. - Informe de evaluación y proyección de actividades.

Entrega Fase III - Dic/2019

Trámite de aprobación virtual – En producción

Nro. 12. Arquitectura empresarial

ASIS - TOBE - Jun/2019 Informe TOBE y ASIS Informe de TOBE y ASIS v1.0.docAnálisis de brecha y plan

Dic/2019No entrega información

Nro. 14. Gestión de la información y documentación del modelo para el manejo, acceso y calidad de la información.

Elaboración informe de seguimiento y control de

bases de datos May/2019.


Catálogo de componentes de InformaciónDiagnóstico de las causas y efectos en las fuentes de informaciónCatálogo bases de datos Isolución, KACTUS, ORFEO y SEVEN

Elaboración del plan de Trabajo – May/2019


Elaboración del diagnóstico de la

información de la entidad. Ago/2019

Diagnóstico de causas y efectos

en fuentes de información, soportado en catálogo de

componentes de información.

Elaboración del catálogo de bases de datos -

Sep/2019

Catálogo de componentes de

Información, documentado solo para los atributos de información.

El levantamiento del inventario de bases de datos de la entidad -

Oct/2019.

ISOLUCION, KACTUS, ORFEO

SEVEN

Implementación - Mar/2020


3.1.2 Conclusiones

De acuerdo con la obligatoriedad establecida en el Decreto 1008 de 2018, el IDRD no evidencia que en la realización de los ejercicios de Arquitectura Empresarial, de acuer-do con el tiempo y recursos que dispone, aborde o se encuentre aplicando los domi-nios definidos en el Marco de Referencia de Arquitectura v. 2.0, mediante el cual MIN-TIC define el conjunto de instrumentos claves para implementar la Política de Gobierno


Digital. Los instrumentos del marco de arquitectura2 con los cuales el IDRD debe ali-nearse son:

a. MAE.G.GEN.01 - Documento Maestro del Modelo de Arquitectura Empresarial. Ver-sión 1.0 del 31/10/2019. Instrumento para implementar el habilitador de Arquitectura de la Política de gobierno Digital. Establece componentes, dominios, habilitadores, lineamientos, guías, estándares y propósitos de la estructura conceptual del Marco de Referencia.

Los siete dominios que debe considerar el IDRD para realizar los ejercicios de Arquitectura Empresarial son: (i) Planeación de la Arquitectura; (ii) Arquitectura Misional; (iii) Arquitectura de Información; (iv) Arquitectura de Sistemas de Información; (v) Arquitectura de Infraestructura Tecnológica; (vi) Arquitectura de Seguridad y (vii) Uso y Apropiación de la Arquitectura.

b. MGGTI.G.GEN.01 - Documento Maestro del Modelo de Gestión y Gobierno de TI. Versión 1.0 del 31/10/2019, que describe la estructura, dominios, lineamientos, guías que componen el modelo, las evidencias que se deben generar y los procesos que permiten gestionar las TI.

c. MGPTI.G.GEN.01 - Documento Maestro del Modelo de Gestión de Proyectos TI. Versión 1.0 del 31/10/2019. para administrar los proyectos de tecnologías de la in-formación y servicios a los ciudadanos cumpliendo con la política de gobierno digi-tal.

Los cuatro dominios que deben ser evaluados en el Modelo son (i) Legal; (ii) Planeación; (iii) Ejecución y (iv) Control

El PETI que ha publicado el IDRD requiere ser actualizado pues no cumple con los nuevos lineamientos generados por MINTIC, en la Guía G.ES.06 Para la construcción del PETI Versión 2 de Julio 2019.

El Catálogo de Componentes de Información y el Catálogo de Sistemas de Información deben actualizarse de acuerdo con las Guías MINTIC G.INF.07 Cómo construir el catá-logo de componentes de información, Versión 1.1. y G.SIS.03 Guía para la construc-ción del catálogo de Sistemas de Información v1.1, expedidas en octubre de 2019.

En 13 de los 29 hitos evaluados correspondientes a los 9 proyectos de TI auditados, no se suministraron evidencias que den cuenta de su cumplimiento de acuerdo con el cro-nograma definido en el PETI. Aplicando el indicador anual de gestión 1472 (No. de hi-tos en proyectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100”, se evidencia que el porcentaje de avance en proyectos de TI relacio-nados con arquitectura es del 53% para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%.

2 https://www.mintic.gov.co/arquitecturati/630/w3-channel.html


3.1.3 Aspectos logrados

No se identificaron

3.1.4 Fortalezas No se observaron situaciones que generen valor agregado a la gestión del proceso

3.1.5 Oportunidades de mejora.

OM 1: Para la implementación del habilitador transversal de arquitectura de TI de la Políti-ca Digital, es necesario que el IDRD se alinee con la metodología establecida por MINTIC, de acuerdo con el Manual de Gobierno Digital y el Marco de Referencia de Arquitectura v. 2.0.

OM 2: Actualizar el PETI, el Catálogo de Componentes de Información y el Catálogo de Sistemas de Información, ya que no cumple con los nuevos lineamientos generados por MINTIC en sus guías G.ES.06 para la construcción del PETI Versión 2 de Julio 2019; G.INF.07 Cómo construir el catálogo de componentes de información, Versión 1.1. y G.-SIS.03 Guía para la construcción del catálogo de Sistemas de Información v1.1, expedi-das en octubre de 2019.

OM 3: Es importante adoptar una metodología de manejo de proyectos de TI o alinearse con la generada por MINTIC; MGPTI.G.GEN.01 - Documento Maestro del Modelo de Gestión de Proyectos TI. Versión 1.0 de octubre de 2019; toda vez que el avance en su ejecución es tan solo del 53%.

3.1.6 Hallazgos

El hallazgo sobre el nivel de ejecución de los proyectos de TI incluidos en el PETI relacio-nados con el habilitador transversal de Arquitectura, se unifica y presenta en el numeral 3.3.6. del presente informe.

3.2. Objetivo Específico 1 – Habilitador Transversal Seguridad de la Información



En desarrollo del objetivo específico, se practicó prueba de auditoría con el fin de verificar el estado de implementación de cada uno de los ítems del autodiagnóstico correspondientes al habilitador transversal de Seguridad de la Información. De acuerdo


con la información suministrada por el líder del proceso auditado, el estado de implementación de los 13 ítems de este habilitador es el siguiente:

Tabla 12. Reporte Autodiagnóstico Habilitador Seguridad de la InformaciónAspecto Ítems Valor


Rango asociado

Adopción de la Política de seguridad de la información MSPI (a)

Definición de roles y responsabilidades de seguridad de la información MSPI (a)

Definición y apropiación de procedimientos de seguridad de la información (a)

Gestión de activos de seguridad de la información (a)

Gestión de riesgos de seguridad de la información (a)

Definición de indicadores de gestión de seguridad de la información (b)

020304050610

100

Completada

ALTO

Realización de campañas de sensibilización y toma de conciencia en seguridad (a)

Implementación del plan de tratamiento de riesgos (b)

Existencia del plan de control operacional de seguridad de la información (b)

Definición del plan de mejoramiento continuo de seguridad de la información (c)

07080913

En curso

Realización del diagnóstico de seguridad de la información (a)

Definición del plan de seguimiento y evaluación a la implementación de seguridad de la información (c)

0111 50 En curso MEDIO

Definición del plan de auditoria de seguridad de la información (c) 12 0 En curso BAJO


Los 13 ítems anteriores se implementan en 3 fases así: (a) Evaluación y planificación de la seguridad de la información; (b) Implementación de la seguridad de la información y (c) Seguimiento, evaluación y mejora de la seguridad de la información.


1. Roles y responsabilidades

De acuerdo con la información suministrada por el auditado, los roles y responsabilidades se encuentran definidos en el Manual de Políticas de Seguridad Digital y de la Información, así:

“4.2.1. Roles y responsabilidades

Todo aquel que tenga acceso a la información del lDRD, será responsable de velar por la seguridad digital y de la información a la que tiene acceso y de cumplir las políticas descritas en este documento; entre ellos están: funcionarios, contratistas, proveedores y visitantes.


El Oficial de Seguridad de la Información (OSI), asume la responsabilidad por el desarrollo e implementación de la seguridad digital y de la información, comprueba el cumplimiento de las políticas, en caso de requerirse presta asesoría a todo aquel que maneje información de la entidad, coordina las actividades de la gestión de riesgos de la seguridad digital y de la información, apoya la identificación de controles y reportará al Comité Institucional de Gestión y Desempeño del Instituto Distrital de Recreación y Deporte.”

Teniendo en cuenta que la metodología del Departamento Administrativo de la Función Pública – DAFP definió en su anexo 4 los lineamientos para la gestión del riesgo de Seguridad Digital, se procedió a comparar el Manual de Políticas de Seguridad Digital y de la Información del IDRD con dichos parámetros, evidenciando que el manual no incluye los siguientes roles y responsabilidades definidos por el ente rector para el Responsable de la Seguridad Digital, así:

“4.1.4 Definición de roles y responsabilidades.

Definir el procedimiento para la Identificación y Valoración de Activos. Adoptar o adecuar el procedimiento formal para la gestión de riesgos de seguridad

digital (Identificación, Análisis, Evaluación y Tratamiento). Asesorar y acompañar a la primera línea de defensa en la realización de la gestión

de riesgos de seguridad digital y en la recomendación de controles para mitigar los riesgos.

Apoyar en el seguimiento a los planes de tratamiento de riesgo definidos. Informar a la línea estratégica sobre cualquier variación importante en los niveles o

valoraciones de los riesgos de seguridad digital”.

Por lo anterior, es necesario que se actualicen y complementen los roles y responsabilidades en materia de seguridad digital y de la información, de acuerdo con los lineamientos vigentes aplicables al IDRD.

2. Plan de Comunicación Seguridad de la Información

De la revisión del plan de sensibilización, comunicación y capacitación en seguridad de la información, con actualización al 31 enero de 2020, dirigido a todo el personal IDRD, se observó:

Define los siguientes objetivos: (i) Mejorar el conocimiento de los funcionarios y contratis-tas del IDRD en temas relacionados con el SGSI; (ii) Fortalecer la cultura respecto de la protección de la información en características propias como la integridad, confidenciali-dad y disponibilidad de la información y (iii) Fortalecer las capacidades institucionales en-caminadas a orientar, prevenir, mitigar riesgos de seguridad y dar respuesta a eventos de seguridad.

Incluye los siguientes temas de sensibilización: (i) Concepto de seguridad de la informa-ción; (ii) Qué es un riesgo de seguridad de la información; (iii) Qué es la norma ISO27001


de gestión de seguridad de la información; (iv) Explicación de las políticas de seguridad de la información con ejemplos de aplicación; (v) Amenazas informáticas; (vi) Ley de tras-parencia y acceso a la información; (vii) Protección de datos personales y (viii) Estrategia de gobierno digital.

3. Presupuesto destinado al Sistema de Gestión de Seguridad de la Información

De acuerdo con lo informado por el auditado, en 2020 se destinaron recursos para la contratación de servicios profesionales relacionados con la implementación, monitoreo, seguimiento, configuración de políticas, procedimientos y mantenimiento del Sistema de Gestión de Seguridad de la Información SGSI, en cuantía de $53.370.000.

4. Plan de tratamiento de riesgos

El Plan de tratamiento de riesgos de seguridad y privacidad de la información vigencia 2018 – 2019, suministrado por el auditado, indica que fue formulado para “Identificar las medidas de protección y remediación que contribuyan al correcto tratamiento de los riesgos a través de una adecuada selección y relación de controles contenidos en el Anexo A de la Norma Técnica Colombiana NTC- ISO/IEC 27001:2013 y los cuales apoyen al cumplimiento de los objetivos estratégicos de la entidad apoyando la confidencialidad, integridad y disponibilidad de los sistemas de información propios de la entidad”. Dentro de sus aspectos más relevantes se encuentran:

Numeral 7.1. Riesgos de seguridad digital: Fuga o pérdida de la información, pérdida de la confidencialidad, pérdida de la integridad o pérdida de Disponibilidad

Numeral 7.2. Riesgo de Privacidad: Inadecuado tratamiento de datos personales.

Numeral 8. Análisis de riesgos de seguridad y privacidad de la información para el IDRD. En este numeral se estableció que en el Instituto “Se identifican los activos de informa-ción, con el objetivo de valorarlos e identificar los riesgos de seguridad y privacidad de la información asociados, así como el apetito de riesgo de la entidad” y se define la valora-ción de dichos activos según las siguientes categorías:

Tabla 13. Valoración de los activos de información


Activos Descripción

ActivosEsenciales

Datos importantes o vitales para la Administración de la Entidad: Aquellos que son esenciales, imprescindibles para la continuidad de la entidad; es decir que su ca-rencia o daño afectaría directamente a la entidad, permitiría reconstruir las misiones críticas o que sustancian la naturaleza legal de la organización o de sus usuarios.

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Los datos de carácter personal están regulados por le-yes y reglamentos en cuanto afectan a las libertades públicas y los derechos funda-mentales de las personas físicas, y especialmente su intimidad personal y familiar (Ley 1581 de 2012).

Datos Clasificados o Calificados: Aquellos sometidos a normativa específica de control de acceso y distribución o cuya confidencialidad es tipificada por normativa in-terna o legislación nacional (Ley 1712 de 2014).

Datos / Informa-ción

Que es almacenado en equipos o soportes de información (normalmente agru-pado como ficheros o bases de datos) o será transferido de un lugar a otro por los medios de transmisión de datos.Ejemplo: Copias de Respaldo, Datos de Configuración, Contraseñas, Datos de Con-trol de Acceso, Registros de Actividad, Código Fuente,

Hardware / Infraes-tructura

Medios físicos, destinados a soportar directa o indirectamente los servicios que presta la entidad, siendo depositarios temporales o permanentes de los datos, soporte de ejecución de las aplicaciones informáticas o responsables del pro-cesado o la transmisión de datos.Ejemplo: Servidores (host), Equipos de Escritorio (Pc), Equipos Portátiles (Laptop), Equipos de Respaldo, Periféricos, Dispositivos Biométricos, Impresoras, Escáneres, Equipos Soporte de la Red, IP interconectados con tecnología Grandstream, IP y 4 NVR para los registros y administración, Lector de huellas biométrico IP para control de acceso, arquitectura Ethernet Router Board Mikrotic RB1100Ahx2.

Software / Aplica-ciones Informáti-

cas

Que gestionan, analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicios.Ejemplo: Estándar, Navegador, Servidor, Correo Electrónico, Servidor de Correo Electrónico, Sistemas de Gestión de Bases de Datos, Software SOUL GT, Ofimática, Antivirus, Sistema Operativo, Backup o Respaldo.

Servicios

Funciones que permiten suplir una necesidad de los usuarios (del servicio).Ejemplo: Página Web, Correo Electrónico, Acceso Remoto, almacenamiento de fiche-ros, transferencia de ficheros, intercambio electrónico de datos, Gestión de Identida-des (altas y bajas de usuarios del sistema)

PersonasUsuarios Internos, Usuarios Externos, Operadores, Administradores de Sistemas, Ad-ministradores de Comunicaciones, Administradores de Bases de Datos, Administra-dores de Seguridad, Contratistas, Proveedores.

Soportes de Infor-mación

Dispositivos físicos electrónicos que permiten almacenar información de forma permanente o durante largos periodos de tiempo.Ejemplo: Discos, Discos Virtuales, Almacenamiento en Red, Memorias USB, CDROM, DVD, Cinta Magnética, Tarjetas de Memoria, Tarjetas Inteligentes, Material Impreso.

Redes de Comuni-caciones

Instalaciones dedicadas como servicios de comunicaciones contratados a ter-ceros o medios de transporte de datos de un sitio a otro.Ejemplo: Red Telefónica, Red Inalámbrica.

EquiposAuxiliares

Otros equipos que sirven de soporte a los sistemas de información, sin estar di-rectamente relacionados con datos.Ejemplo: Fuentes de alimentación, generadores eléctricos, sistemas de alimentación ininterrumpida (UPS), cableado, cable eléctrico, paneles solares fibra óptica,

Instalaciones Lugares donde residen los sistemas de información y comunicaciones.


Al consultar el inventario de activos de información que se encuentra publicado en la pági-na web del IDRD, se observó que no incluye la totalidad de activos de la Entidad, pues solo describe información sobre la producción documental de cada uno de los procesos y funciones que desarrolla una unidad administrativa; los componentes de hardware, so-ftware y servicios; el personal encargado de los activos; y la referencia a la asignación de activos documentales a determinados procesos.

Esto evidencia que no se aplica la metodología sobre el tratamiento de riesgo y seguridad de la información, establecida en este numeral del Plan de tratamiento de riesgo y seguri-dad de la información IDRD V.1 2019, para todos los activos de IDRD que deben ser obje-to de valoración (Tabla 13) así como tampoco la posterior identificación de los riesgos de seguridad y privacidad de la información a los cuales se encuentran expuestos.

De otra parte, este Plan no ha sido formalizado en la estructura documental del IDRD ni se encuentra publicado en su página web.

5. Riesgos de Gestión TIC

Dentro de los riesgos en administración por el proceso Gestión de Tecnologías de la Información y las Comunicaciones, se encuentra el No. 4. “Ataques informáticos de agentes externos e internos”, para el cual se definió que su materialización puede ocasionar la afectación de la confidencialidad, integridad o disponibilidad de la información del IDRD.

Al respecto y con base en lo expuesto en el numeral anterior, es necesario que dicho riesgo se actualice de acuerdo con los lineamientos establecidos en el Plan de Tratamiento de Riesgo y Seguridad de la Información IDRD V1 suministrado por el auditado, específicamente el numeral 8 sobre el Análisis de riesgos de seguridad y privacidad de la información. Así mismo, se debe tener en cuenta que este riesgo requiere alinearse con el Modelo de Seguridad y privacidad de la información. V 3.0.1 marzo 2016, de MINTIC, sección Fase - Planeación, en el cual se definen 5 fases para la aplicación de un proceso de gestión del riesgo.

6. Aplicabilidad de controles sobre los riesgos

Según lo informado por el auditado, la entidad no cuenta con un documento que formalice la aplicabilidad de controles relacionados con los riesgos de seguridad digital y de la información; sin embargo, el IDRD, ha contemplado la aplicabilidad de los controles en los siguientes documentos:

Plan Estratégico de las Tecnologías de la Información (PETI) 2019-2020 V1 de Julio de 2019, incluye en el numeral 14.4 Estrategias para garantizar la continuidad opera-tiva, que contempla la Estrategia 8: “Desarrollar las etapas de i mplementación de un SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) para el IDRD. El término sistema de gestión de seguridad de la i nformación: SGSI - ISMS: Según [ISO/IEC 27001] es la parte de un sistema global de


gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información”.

Informe de Gestión 2019 V. 1.5 (Agosto 2019) e Informe de TOBE y ASIS v1.0 (Mayo 2020), en los cuales se indica el estado en que se encuentra la implementación del habilitador de seguridad de la información, de acuerdo con los 6 niveles de madurez de MSPI, soportado en los controles del Anexo A de la ISO/IEC 27001:2013. Dentro de estos informes se menciona en relación con el avance en la implementación del MSPI: “Como insumo para el desarrollo del avance de implementación, se realizó el diligenciamiento del instrumento de validación de cumplimiento del MSPI suministra-do por el MINTIC. De acuerdo a la información registrada el nivel de madurez en que se encuentra del IDRD es “Repetible” y el porcentaje de avance del ciclo de funciona-miento del modelo de operación (PHVA) es de 48%.”

Gráfica 1. Resultado evaluación efectividad de controles

Calificación Actual

Calificación Objetivo

EVALUACIÓN DE EFECTIVIDAD DE

CONTROLA.5 40 100 REPETIBLEA.6 49 100 EFECTIVOA.7 26 100 REPETIBLEA.8 33 100 REPETIBLEA.9 51 100 EFECTIVO

A.10 40 100 REPETIBLEA.11 35 100 REPETIBLEA.12 49 100 EFECTIVOA.13 52 100 EFECTIVOA.14 26 100 REPETIBLEA.15 20 100 INICIALA.16 57 100 EFECTIVO

A.17 14 100 INICIAL

A.18 47,5 100 EFECTIVO

39 100 REPETIBLE

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

RELACIONES CON LOS PROVEEDORES

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

CUMPLIMIENTO

PROMEDIO EVALUACIÓN DE CONTROLES

CONTROL DE ACCESO

CRIPTOGRAFÍA

SEGURIDAD FÍSICA Y DEL ENTORNO

SEGURIDAD DE LAS OPERACIONES

SEGURIDAD DE LAS COMUNICACIONES

No.Evaluación de Efectividad de controles

DOMINIO

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LOS RECURSOS HUMANOS

GESTIÓN DE ACTIVOS

Gráfica 2. Brecha frente al Anexo A ISO 27001:2013


De acuerdo con la información recolectada y con base en la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas emitida por el DAFP, que en su Numeral 3.2. Evaluación de riesgos, concluye “Para mitigar/tratar los riesgos de seguridad digital se deben emplear como mínimo los controles del anexo A de la ISO/IEC 27001:2013, estos también se encuentran en el anexo 4. “Lineamientos para la gestión del riesgo de seguridad digital de la presente guía”; se evidencia la falta de diligenciamiento y generación del documento de declaración de aplicabilidad del ANEXO A: Objetivos de control y controles de referencia de la NTC-ISO-IEC 27001:2013 en el IDRD, de acuerdo con el formato C4_P2_Declaracion_aplicabilidad_SOA.xls, generado por la Alta Consejería Distrital TIC - Seguridad.

7. Evaluación y monitoreo de controles a los riesgos

Sobre este aspecto, el auditado informó que dentro de cada riesgo identificado en el proceso GTIC, se definen los controles relacionados con seguridad digital y de la información de acuerdo con la caracterización del proceso. En relación con las evidencias sobre la aplicación de los controles, indicó que no se encuentran consolidadas en un solo documento ya que a algunos se les realiza seguimiento a través de herramientas tecnológicas.

Las evidencias aportadas fueron:

Controles, relacionados con mantenimiento y seguridad Evidencias de monitoreo de Servidores, Access Point, Switches, Usuarios, Grupos,

Servicios, Escenarios web Manual de entrega de contraseñas Política de Gestión y preservación de correos electrónicos Riesgos de gestión TIC. Para el seguimiento se identifican los relacionados con segu-

ridad y privacidad de la información. Documento VPN IDRD


Una vez revisadas dichas evidencias, se constató que el IDRD no ha construido el documento de evaluación de controles, desatendiendo lo establecido en el Modelo de Seguridad y Privacidad de la Información de MINTIC V. 3.0.1 de marzo 2016, que lo definió en la fase de implementación, como un plan de control operacional para efectuar el monitoreo y seguimiento a los controles de seguridad existentes en la entidad.

Adicionalmente, la entidad tampoco aplica integralmente la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas del DAFP, que en su numeral 3.3. Monitoreo y revisión, sección Indicadores - gestión del riesgo de seguridad digital, dispuso que “En el caso de los riesgos de seguridad digital se deben generar indicadores para medir la gestión realizada en cuanto a la eficacia y la efectividad de los planes de tratamiento implementados. La entidad debería definir como mínimo 2 indicadores POR PROCESO de la siguiente manera: 1 indicador de eficacia que indique el cumplimiento de las actividades para la gestión del riesgo de seguridad digital en cada PROCESO de la entidad. 1 indicador de efectividad para cada riesgo o la suma de todos los riesgos de seguridad digital (pérdida de confidencialidad, de integridad, de disponibilidad)”.

8. Auditoría de gestión de seguridad de la información

No se ha realizado esta auditoría, situación que se sustenta en la no presupuestación de recursos para su ejecución en la vigencia 2020.

9. Cumplimiento de hitos para proyectos de TI relacionados con el habilitador de Seguridad de la Información

Para la verificación del cumplimiento de 8 hitos correspondientes a 2 proyectos de TI, se revisó la información suministrada por el auditado observando que para 3 hitos no se entregaron evidencias de su ejecución a pesar de haber finalizado el plazo programado para su desarrollo.

Tabla 14. Cronograma de Proyectos de TI - PETI


7 Plan de contingencia y manual de políticas de uso, administración y seguridad de tecnologías de la información y comunicaciones para el instituto distrital de recreación y deporte.

Informe diagnóstico de vulnerabilidade

s - Dic/2019

Informe de la evaluación de seguridad y phishing.docx

IDRD-IMP-003: Hallazgos y recomendaciones identificados durante el proceso de evaluación de seguridad del panel de G Suite - Xertica. Riesgos asociados a seguridad de la información en relación a su plataforma de comunicación y colaboración.

Lista de chequeo a los numerales de la Políticas de seguridad de la información. De su revisión se evidencia que no se incluyen los numerales 6.19.3 Redundancias, 6.20 Cumplimiento de requisitos legales y contractuales, 6.21

Mecanismos de control -

Mar/2020

Lista chequeo política de seguridad.xlsx



Revisiones de seguridad de la información y 7. Notificación de incidentes.

Documento con Gestiones necesarias para que las principales funciones de los procesos de Tecnología continúen desarrollándose a pesar de la imposibilidad de acceso a la IDRD o ante un incidente importante que deje la plataforma

Proyección de las políticas de contingencia

Mar/2020

políticas de contingencia.docx

Diseño de la estrategia de

recuperación de desastres – Mar/2020

IDRD - Gestión de drp.docx

9 Implementación del modelo de seguridad y privacidad de la información MSPI

Creación del plan de

seguridad May/2019

El documento entregado PLAN DE SEGURIDAD DE LA INFORMACION

2020.docx, internamente se denomina Plan para

alcanzar los objetivos del sistema de gestión de

seguridad de la información (SGSI) y se

viene desarrollando en la vigencia del 2020, a

partir del mes de abril.

Plan para alcanzar los objetivos del sistema de gestión de seguridad de la información (SGSI) y se viene desarrollando en la vigencia del 2020, a partir del mes de abril

20191218AprobacionCICCI.pdf Acta No 5. Presentación de propuesta correspondiente a la segunda versión de la Política para la Gestión del Riesgo.20191231PoliticaGestionRiesgos.pdfRiesgos de gestion tic.xlsx Matriz de riesgos. Publicada en Isolución

“Debido a la armonización presupuestal por cambio del plan de desarrollo de Bogotá D.C., y a los cambios generados en el presupuesto para el año 2020 en el IDRD, aún no se cuentan con los recursos económicos para la contratación de la auditoría externa para auditoria de seguridad de la información contemplada dentro del PETI proyecto 09 Implementación del modelo de seguridad y privacidad de la información MSPI en el hito Auditoría MSPI con fecha de cumplimiento en marzo de 2020.Por lo anterior esta actividad no se ha podido realizar dentro del tiempo previsto”.“Debido a la armonización presupuestal por cambio del plan de desarrollo de Bogotá D.C., y a los cambios generados en el presupuesto para el año 2020 en el IDRD, aún no se cuentan con los recursos económicos para la contratación de la auditoría externa para auditoria de seguridad de la información contemplada dentro del PETI proyecto 09 Implementación del modelo de seguridad y privacidad de la información MSPI en el hito Auditoría MSPI con fecha de cumplimiento en marzo de 2020.Por lo anterior esta actividad no se ha podido realizar dentro del tiempo previsto”

Definición de riesgos del proceso de

gestión de TI May/2019

2.2.2 Definición de riesgos del proceso de

gestión de TI

Contratación consultoría –

Dic/2019

No se efectúo. Entrega documento con nota

aclaratoria.

Auditoría MSPI Mar/2020

No se efectúo. Entrega documento con nota

aclaratoria.


En 3 de los 8 hitos evaluados correspondientes a los 2 proyectos de TI auditados, no se suministraron evidencias que den cuenta de su cumplimiento de acuerdo con el cronogra-ma definido en el PETI. Aplicando el indicador anual de gestión 1472 (No. de hitos en pro-yectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100”, se evidencia que el porcentaje de avance en proyectos de TI relacionados con se-guridad de la información es del 63% para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%.

3.2.2 Conclusiones

El Manual de Políticas de Seguridad Digital y de la Información se encuentra desac-tualizado en la sección 4.2.1. Roles y Responsabilidades, específicamente las corres-pondientes al responsable de seguridad digital, que se encuentran definidas en el nu-meral 4.1.4. Definición de Roles y Responsabilidades del Anexo 4 Lineamientos para la Gestión del Riesgo de Seguridad Digital en Entidades Públicas - Guía riesgos 2018 del DAFP.

El inventario de activos de información se encuentra desactualizado y por lo tanto no está alineado con la metodología definida en el Plan de tratamiento de riesgo y segu-ridad de la información del IDRD, así como la establecida por el DAFP; en conse-cuencia, los activos de información críticos del IDRD no han sido valorados para iden-tificar los riesgos de seguridad de la información; no se tienen incluidas las “aplicacio-nes e información física o digital” de los objetivos estratégicos y “bases de datos o ar-chivos” de los objetivos de proceso.

La estructura de los activos de información del IDRD no se encuentra alineada con la metodología generada por la Alta Consejería Distrital para las TIC, que incluye ítems adicionales de evaluación.

No se han actualizado los riesgos de integridad, confidencialidad o disponibilidad de la información, identificados producto de la valoración de los activos críticos de infor-mación de acuerdo con las vulnerabilidades y amenazas que le aplican al contexto del IDRD.

No se ha establecido la declaración de aplicabilidad de controles con el fin de identifi-car cuáles de los referidos en el anexo A ISO/IEC 27001:2013 están siendo gestiona-dos por el IDRD, de acuerdo con el resultado de la efectividad del control en los ejer-cicios efectuados sobre el estado del nivel de madurez (calificación actual y califica-ción objetivo) del habilitador de seguridad de información del MPSI.

No se han documentado los resultados de la evaluación y monitoreo de los controles implementados, en relación con su efectividad y pertinencia frente a los riesgos digita-les definidos para los activos de información.


No se identificaron


3.2.4 Fortalezas

No se observaron situaciones que generen valor agregado a la gestión del proceso

3.2.5 Oportunidades de mejora

OM 4: Actualizar el Manual de Políticas de Seguridad Digital y de la Información, específi-camente los roles y responsabilidades del Responsable de Seguridad Digital.

OM 5: Actualizar el inventario de activos de información, alineándolo con la metodología establecida en el Plan de tratamiento de riesgo y seguridad de la información IDRD V.1 y la generada por el DAFP y la Alta Consejería Distrital para las TIC.

OM 6: Actualizar el mapa de riesgos del proceso Gestión TIC con los riesgos de integri-dad, confidencialidad o disponibilidad de la información, identificados a partir de la valora-ción de los activos críticos de información del IDRD.

OM 7: Establecer la declaración de aplicabilidad de los controles, con el fin de identificar cuáles de los referidos en el anexo A ISO/IEC 27001:2013 están siendo gestionados y son efectivos frente a los riesgos de seguridad de información del MPSI.

OM 8: Documentar los resultados sobre la evaluación de la efectividad y pertinencia de los controles implementados frente a los riesgos digitales definidos para los activos de in-formación.

3.2.6 Hallazgos

El hallazgo sobre el nivel de ejecución de los proyectos de TI incluidos en el PETI relacio-nados con el habilitador transversal de Seguridad de la información, se unifica y presenta en el numeral 3.3.6. del presente informe.

3.3. Objetivo Específico 1 – Habilitador Transversal Servicios Ciudadanos Digitales



En desarrollo del objetivo específico, se practicó prueba de auditoría con el fin de verificar el estado de implementación de cada uno de los ítems del autodiagnóstico correspondientes al habilitador transversal de Servicios Ciudadanos Digitales. De acuerdo con la información suministrada por el líder del proceso auditado, el estado de implementación de los 17 ítems de este habilitador es el siguiente:


Tabla 15. Reporte Autodiagnóstico Habilitador Servicios Ciudadanos DigitalesAspecto Ítems Valor


Rango asociado

Tramites y servicios en línea o parcialmente en línea

Trámites parcial y totalmente en línea que cuentan con caracterización de usuarios

Otros procedimientos administrativos parcial y totalmente en línea que cuentan con caracterización de usuarios

Trámites parcial y totalmente en línea que cumplen con criterios de accesibilidad web

Otros procedimientos administrativos parcial y totalmente en línea que cumplen criterios de accesibilidad web

Trámites parcial y totalmente en línea que cumplen criterios de usabilidad

Otros procedimientos administrativos parcial y totalmente en línea que cumplen criterios de usabilidad

Trámites parcial y totalmente en línea que son promocionados para incrementar su uso

Otros procedimientos administrativos parcial y totalmente en línea que son promocionados para incrementar su uso

0405060708091011

100 Completada

ALTO

Empoderamiento de los ciudadanos a través de un Estado Abierto

Publicación de información requerida según la Ley de Transparencia y acceso a la información pública, en la página web del IDRD

01 97,14 En curso


Medio a través del cual se pueden realizar los otros procedimientos administrativos que tiene la entidad (presencialmente, totalmente en línea o parcialmente en línea)

03 50 En curso MEDIO


Medio a través del cual se pueden realizar los trámites que tiene la entidad (presencialmente, totalmente en línea o parcialmente en línea)

02 33,33 En curso MEDIO BAJO


Trámites y otros procedimientos administrativos con los que cuenta la entidad

01 No aplica Completada

BAJO


Actividades formuladas en la estrategia de participación ciudadana realizadas por medios electrónicos

05 0 En curso

Empoderamiento de los ciudadanos a través de 02 0 Pendiente


Aspecto Ítems Valor otorgado

Estado tarea

Rango asociado

un Estado Abierto

3 aspectos sin identificar por el auditado en información suministrada sobre el autodiagnóstico (PR02-PR03 y PR04)

Ejercicios, iniciativas o acciones de participación realizados por la entidad con sus grupos de valor para la consulta o toma de decisiones

030406


Los 17 ítems anteriores se agrupan en 2 categorías así: (a) Empoderamiento de los ciudadanos a través de un Estado Abierto y (b) Trámites y servicios en línea o parcialmente en línea.


1. Plan de acción para la implementación de servicios ciudadanos digitales

De acuerdo con lo informado por el delegado del proceso auditado, este plan se encuentra “embebido” en el proceso institucional Planeación de la Gestión, dentro del cual se tiene el procedimiento Para la elaboración y seguimiento del plan de participación ciudadana publicado en Isolución, soportado en los formatos Plan de participación ciudadana y Reporte seguimiento y evaluación plan de participación ciudadana. Al revisar la documentación indicada, se observa que esta no contempla el Plan de Acción para la Implementación de Servicios Ciudadanos Digitales.

De acuerdo con lo anterior, el IDRD no ha formulado dicho Plan de acción y por lo tanto no aplica el Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, generado por MINTIC y los lineamientos dispuestos en los Artículos 2.2.17.1.1., 2.2.17.1.1. y 2.2.17.1.1., del Decreto 1413 de 2017, que establecen:

Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, MINTIC,

2.1.3. Planeación de los habilitadores de la política: “Revisar las condiciones de la entidad para la implementación de Servicios Ciudadanos Digitales (Título 17, Parte 2, libro 2 del DUR-TIC): Identifique la situación de la entidad frente a la implementación del Decreto 1413 de 2017 sobre servicios ciudadanos digitales y priorice o establezca un plan de ac-ción para la implementación de este decreto. Tenga en cuenta la gradualidad de la imple-mentación establecida en el artículo 2.2.17.8.1 del DUR-TIC, así como los lineamientos definidos en el anexo No. 4 del presente manual”.


3.1. ¿Cómo iniciar la ejecución de la política?: “Una vez la entidad cuente con el PETI, el plan de seguridad y privacidad de la información y el plan de acción para la implementa-ción de Servicios Ciudadanos Digitales, ésta debe desarrollarlos y aplicar los lineamientos que corresponden a los componentes TIC para el Estado y TIC para la Sociedad, que se presentan a continuación…”

3.2. Lineamientos TIC para el Estado y TIC para la Sociedad, sección Diseñe Integral-mente su Proyecto: “Todo proyecto que haga uso de TIC debe incorporar a los usuarios en todas sus etapas, así como garantizar que desde su diseño sean concebidos digital-mente y a lo largo de su ejecución, cumplir permanentemente con los requisitos de intero-perabilidad, seguridad, accesibilidad y usabilidad, apertura, acceso a través de diferentes dispositivos y un esquema de conocimiento, uso y apropiación para un óptimo funciona-miento digital.”

5.4. Anexo 4 – Lineamientos Generales Servicios Ciudadanos Digitales: “Los Servicios Ciudadanos Digitales son el conjunto de servicios que brindan capacidades y eficiencias a las entidades para mejorar, optimizar y facilitar el adecuado acceso de los usuarios por canales digitales a los servicios ofrecidos por la administración pública. Para la imple-mentación del habilitador de Servicios Ciudadanos Digitales es importante que las entida-des realicen un alistamiento técnico y administrativo a fin de facilitar el adecuado acceso de los ciudadanos y empresas a los servicios ofrecidos por la administración pública por canales digitales.”

Decreto 1413 de 2017 Por el cual se adiciona el título 17 a la parte 2 del libro 2 del Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015, el cual establece lineamientos generales en el uso y operación de los servicios ciudadanos digitales para consulta de las siguientes secciones:

Artículo 2.2.17.1.1. Objeto. Establece lineamientos que se deben cumplir para la presta-ción de servicios ciudadanos digitales y para permitir a los usuarios el acceso a la admi-nistración pública a través de medios electrónicos.

Artículo 2.2.17.2.1.1. Descripción de los servicios ciudadanos digitales. Los servicios ciu-dadanos digitales se clasifican en básicos y especiales.

2. Plan de participación ciudadana – Actividades por medios electrónicos

En el Plan de Participación Ciudadana se encuentran formuladas algunas actividades con componente tecnológico virtual, cuya revisión evidenció que (i) no se registra ninguna para los Trámites, Otros Procedimientos Administrativos o productos asociados para el primer trimestre de 2020 y (ii) No se evidencian ejercicios, iniciativas o acciones de


participación realizados por la entidad con sus grupos de valor para la consulta o toma de decisiones sobre este tema; tal como se observa en la siguiente tabla:

Tabla 16. Plan Institucional de Participación Ciudadana Vigencia 2020

Actividad a realizar Canal de

comunicación y/o mecanismo a

utilizar

Nombre del trámite, servicio, opa o producto

asociadoPrimer trimestre

Publicar a través de la página web la invitación a la ciudadanía en general para la formulación participativa del PAAC

Página webRedes sociales No aplica

La Oficina Asesora de Planeación publicó la información en la página web de la entidad. (10, 27 y 30 de enero del 2020)

Realizar un sondeo en aquellos procesos licitatorios y concursos de méritos que hubieren tenido proponentes y que finalmente no se llegó a habilitar ninguno para identificar oportunidades de mejora

VirtualContratación de

bienes, servicios y obra pública

Durante el primer trimestre no se han realizado procesos de selección de ningún tipo.

Realizar 2 sondeos a los ciudadanos respecto a la claridad y accesibilidad de la información en la página web.

Virtual (página, redes, entre otros)

Presencial

Información de la gestión del IDRD

No se realizaron durante el primer trimestre sondeos

3. Inventario de Servicios, Trámites y Otros Procedimientos Administrativos que tiene la entidad indicando si se realizan parcial o totalmente en línea

Consultada la información en la página web del IDRD y en el SUIT, se evidenció el siguiente inventario de servicios, trámites y otros procedimientos administrativos (opas):

Servicios – acceso presencial

Centro de Documentación Visitas guiadas Estadio Nemesio Camacho El Campin Programa Recreovía Programa Recreación para personas Mayores Programa Recreación para la Juventud Programa Recreación para la Infancia Programa Recreación Incluyente Programa Recreación Comunitaria Programa Muévete Bogotá Programa Escuela de la Bicicleta


Programa Ciclovía Eventos Metropolitanos

Tabla 17. Trámites – acceso en línea y presencial

TRAMITES LINEA SITIO

Aprobación proyecto específico de zonas de cesión para parques y equipamientos producto de un desarrollo urbanístico Si https://vucapp.habitatbogota.gov.co/vuc/

login.seam

Permiso de uso y/o aprovechamiento económico de parques o escenarios No Ver puntos de atención

Tarjeta de recreación y espectáculos públicos para adultos mayores No Ver puntos de atención

Liquidación y recaudo pago fondo compensatorio de cesiones públicas para parques y equipamientos Si https://vucapp.habitatbogota.gov.co/vuc/

login.seam

Otorgamiento, renovación o actualización del reconocimiento deportivo a clubes deportivos, clubes promotores y clubes pertenecientes a entidades no deportivas

No Ver puntos de atención

Aval deportivo de las escuelas de formación deportiva No Ver puntos de atención

Tabla 18. Otros Procedimientos Administrativos – acceso presencial

OPAS LINEA SITIOUso de piscinas práctica libre No Ver puntos de atención

Inscripción programa nuevas tendencias deportivas No Ver puntos de atención

Permiso para uso temporal del salón presidente del IDRD No Ver puntos de atención

4. Caracterización de usuarios para los trámites que se realizan en línea

Revisada la caracterización de usuarios del IDRD elaborada en diciembre de 2018, se observó que incluye los asociados a los 2 trámites que se realizan en línea.

5. Procedimiento de análisis y obtención de resultados consolidados del uso y apropiación de trámites y Otros Procedimientos Administrativos realizados parcial y totalmente en línea

No se evidencia, que el IDRD cuente con la definición de indicadores de mediciones


https://vucapp.habitatbogota.gov.co/vuc/login.seam




internas para realizar el seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés; por lo que no se está dando aplicación al Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, generado por MINTIC, de acuerdo con el numeral 4.1. Seguimiento y Evaluación por parte de la Entidad, que establece:

“Definir indicadores de seguimiento para medir y evaluar el avance del Plan de seguridad y privacidad de la información, el Plan Estratégico de Tecnología -PETI y la implementa-ción de servicios ciudadanos digitales. Adicionalmente, la entidad debe realizar medicio-nes internas para realizar seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés”.

6. Cumplimiento de hitos para proyectos de TI relacionados con el habilitador de Servicios Ciudadanos Digitales

Para la verificación del cumplimiento de 2 hitos correspondientes al proyecto de TI No. 11 “Gobierno Abierto - Datos Abiertos”, relacionados con (i) la publicación de 5 conjuntos de datos prevista para noviembre de 2019 y (ii) la revisión de consultas y efectividad de los datos programada para diciembre de 2019; se revisó la información publicada en el portal de datos abiertos (www.datos.gov.co) evidenciando que la última publicación del conjunto de datos del IDRD efectuada en este sitio web, tiene fecha 27 de diciembre de 2018, tal como se muestra a continuación:

Imagen 1. Consulta Esquema de Publicación IDRD www.datos.gov.co

Imagen 2. Información conjunto de datos Esquema de Publicación del IDRD


Aplicando el indicador anual de gestión 1472 (No. de hitos en proyectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100”, se evidencia que el porcentaje de avance en proyectos de TI relacionados con servicios ciudadanos digitales es del 0% para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%.

3.3.2 Conclusiones

El IDRD no ha formulado el Plan de acción para la Implementación de Servicios Ciu-dadanos Digitales, de acuerdo con la metodología presentada en el Manual de Go-bierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019 y en el Decreto 1413 de 2017, generados por MINTIC.


El IDRD no cuenta con la definición de indicadores de mediciones internas para reali-zar seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés, de acuerdo con la metodología presentada en el Manual de Gobierno Digital Imple-mentación de la Política de Gobierno Digital V. 7, de abril de 2019, por MINTIC, que define en el numeral 4.1. Seguimiento y Evaluación por parte de la Entidad.

Los hitos del proyecto de TI No. 11 relacionado con Gobierno Abierto – Datos Abier-tos, presentan un 0% de avance, de acuerdo con la información publicada en el Portal Único del Estado Colombiano www.datos.gov.co.


No se identificaron

3.3.4 Fortalezas

No se observaron situaciones que generen valor agregado a la gestión del proceso.

3.3.5 Oportunidades de mejora.

OM 9: Generar el Plan de acción para la Implementación de Servicios Ciudadanos Digitales, de acuerdo con la metodología presentada en el Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital V. 7, de abril de 2019 y en el Decreto 1413 de 2017, generados por MINTIC.

OM 10: Definir indicadores de mediciones internas para realizar seguimiento al uso y aprovechamiento de las TIC tanto en la gestión interna del IDRD como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés; de acuerdo con la metodología presentada en el Manual de Gobierno Digital Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, por MINTIC, que define en el numeral 4.1. Seguimiento y Evaluación por parte de la Entidad.

3.3.6 Hallazgos

H1 – Nivel de ejecución de los proyectos de TI incluidos en el PETI, asociados con los habilitadores transversales de Arquitectura, Seguridad de la Información y Ser-vicios Ciudadanos Digitales.

No se evidenció la ejecución y entrega de 18 de los 39 hitos de los proyectos de TI, entre el 01 de enero al 31 de diciembre de 2019 y del 01 de enero al 30 de abril de 2020, tal como fueron contemplados en el Plan estratégico de tecnologías de información y de las comunicaciones (PETI):


http://www.datos.gov.co/

Nro. 1. Implementación, estabilización y mejora de la nueva versión del sistema de gestión documental ORFEO jade mejora envíos integración envíos, integración con SDQS y radicación por correos electrónicos: Servicios de interoperabilidad con ven-tanilla Única de Construcciones Mar/2019, Diagnóstico SDQS May / 2019 e Integra-ción SDQS Dic / 2019.

Nro. 4. Desarrollar y mantener el plan de renovación y mejoramiento de infraestruc-tura tecnológica del IDRD, que permita garantizar la cobertura, disponibilidad y uso de herramientas actualizadas de TI: Mantenimiento y/o actualización servidores cen-tro de datos Dic/2019

Nro. 5. Implementación y administración de herramientas tecnológicas basadas en código abierto: Capacitación usuarios - Sep/2019, Documentación del Proceso Dic/2019 y Gestión del cambio (Capacitación y socialización) Ene/2020

Nro. 6. Analizar, diseñar, desarrollar, actualizar e implementar los sistemas de infor-mación administrativos y financieros Seven – Kactus: Implementación servicios SE-VEN - SAP para conectividad SHD Ene/2020 y Desarrollo proyección implementa-ción SAP Ene/2020

Nro. 9. Implementación del modelo de seguridad y privacidad de la información MSPI: Creación del plan de seguridad - May/2019, Contratación consultoría – Dic/2019 y Auditoría MSPI - Mar/2020.

Nro. 11. Gobierno Abierto - Datos Abiertos: Publicación de 5 conjuntos de datos - Nov/2019 y la revisión de consultas y efectividad de los datos - Dic/2019.

Nro. 12. Arquitectura empresarial: Análisis de brecha y plan de transición Dic/2019

Nro. 14. Gestión de la información y documentación del modelo para el manejo, ac-ceso y calidad de la información: Elaboración informe de seguimiento y control de bases de datos May/2019, Elaboración del plan de Trabajo – May/2019 e Implemen-tación - Mar/2020.

Lo anterior debido a falencias de control sobre el avance de cada uno de los proyectos de TI, donde para cada proyecto por hitos se debió verificar su estricto cumplimiento de acuerdo con lo proyectado en el cronograma de ejecución del PETI. Así las cosas, el IDRD no está atendiendo o atiende parcialmente las actividades de uno o más usuarios, materializándose el riesgo del proceso Gestión de Tecnologías de la Información y las Comunicaciones 005. Retrasos en la ejecución de proyectos de TI.

Aplicando el indicador anual de gestión 1472 (No. de hitos en proyectos de TI alcanzados / Total de hitos en proyectos de TI programados en la vigencia) *100, se evidencia que el porcentaje de avance en proyectos de TI relacionados con arquitectura es del 53.84%, en seguridad de la información es 63% y para servicios ciudadanos digitales es 0%; para el periodo de evaluación (1-ene-19 a 30 -abr-20), sin cumplirse la meta establecida del 100%, debido a que se cumplió con la entrega de 21 hitos de los 39 programados.


Respuesta Subdirección Administrativa y Financiera

“Nro. 1. En relación con lo observado por el proceso auditor, identificamos que hay varios elementos para tener en cuenta que permiten identificar que las acciones fueron realizadas de manera adecuada para la entidad:

1. En el momento la versión implementada del gestor documental es efectivamente Orfeo Jade la cual viene funcionando y está en ambiente productivo por lo cual a la presente respuesta adjuntamos el soporte respectivo donde consta que la versión es la mencionada (Evidencia 1. Imagen Orfeo Actual).

2. Las mejoras presentadas envíos integración envíos efectivamente fueron desarrolladas, están documentadas y son actualmente usadas por los usuarios del Área de Gestión Documental de lo cual se adjunta evidencia (Evidencia 2. Informe módulo envíos actualizado).

3. Los servicios que fueron generados con interacción con la VUC efectivamente son funciónales y evidencia de ello es la finalización del proyecto VUC satisfactoriamente de ello adjuntamos evidencias (Evidencia 3,4 terminación proyecto VUC exitosamente).

4. El diagnostico e integración con SDQS esta implementado en la entidad y depende su uso del ajuste del procedimiento de gestión documental de ello se cuenta con documento que identifica la acción realizada (Evidencia 5, 6 documentos soporte entrega desarrollo tecnológico radicado No 20193000506033)”

Análisis de la respuesta

La respuesta entregada por la SAF no suministra la evidencia del cumplimiento de los hitos que conduzca a soportar que los servicios de interoperabilidad con ventanilla Única de Construcciones Mar/2019, Diagnóstico SDQS May / 2019 y la Integración SDQS Dic / 2019 con ORFEO jade, se entregaron en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.

Por lo anterior, el incumplimiento de la entrega de los hitos en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto, se mantiene tal y como se presentó en el informe preliminar.

“Nro. 4. En relación con lo observado por el proceso auditor, se adjunta informe que muestra el proceso realizado en el segundo semestre de 2019 que da cuenta al mantenimiento realizado en el centro de datos del IDRD con evidencia gráfica y documental del proceso realizado por los responsables de infraestructura. (Evidencia 1 informe de mantenimiento y documentación del proceso).”


La respuesta entregada por la SAF no suministra la evidencia del cumplimiento para este hito, donde soporte que se realizó el mantenimiento y/o actualización de los servidores del centro de datos Dic/2019, en la fecha programada, de acuerdo con el cronograma del


PETI para este proyecto. Por lo anterior, el incumplimiento de la entrega del hito en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto, se mantiene tal y como se presentó en el informe preliminar.

“Nro. 5. De acuerdo con lo mencionado en los hitos se presentan las siguientes precisiones de las cuales hay evidencias del cumplimiento en el Área de Sistemas:

1. Si se realizaron las capacitaciones de las herramientas tecnológicas de código abierto en el caso particular Orfeo del cual se presenta los correspondientes soportes de las actas de asistencia y firmas de los participantes (Evidencia 1, 2, 3, 4, 5 Actas y documentos de capacitación).

2. Se adjunta formato de aprobación de la gestión del cambio para las herramientas tecnológicas basadas en código abierto (Evidencia 6 documento formal del proceso realizado de gestión del cambio).”


La respuesta entregada por la SAF, no suministra la evidencia del cumplimiento para estos hitos, donde soporte que se realizó la capacitación de usuarios Sep/2019, la documentación del proceso Dic/2019 y la gestión de cambio (capacitación y socialización) Ene/2020, de la implementación y administración de herramientas tecnológicas basadas en código abierto, en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.

Sin embargo reiteramos, que la información entregada por el área de sistemas en el proceso de ejecución de la auditoría para la evaluación de este tema, los cinco documentos de capacitación de usuarios, corresponde al primer semestre de 2019 y la dos gestiones de cambio hacen referencia a cambios de seguridad "Se requiere la actualización de la aplicación de mesa de ayuda GLPI y su migración incluyendo las aplicaciones OTRS, MRBS, Syslog-FW, Monit, Postfix y Bases de datos a un nuevo servidor para actualizar el sistema operativo a la última versión LTS" y "Actualización del sistema OTRS versión 6.0.16 a 6.0.24", no de capacitación y socialización.


“Nro 6. En esta recomendación en particular hay que hacer una aclaración pertinente ya que dicha implementación está en cabeza de otra entidad en este caso la Secretaría de Hacienda Distrital SDH; razón por la cual los retrasos o reprogramaciones que tenga la entidad van a afectar el desarrollo del proyecto y esto son causas ajenas a la entidad.

Para el caso particular del cumplimiento de los hitos es la SDH la que ha retrasado y reprogramado todas las actividades razón por la cual se afectó el cumplimiento de los hitos (Evidencia 1 Nueva planeación por parte de la Secretaría de Hacienda Distrital SDH tal como se informa en la Circular SDH No 000013 del 22 julio de 2020)”

Análisis de la respuestaCONTROL EVALUACIÓN Y SEGUIMIENTO V2

La respuesta entregada por la SAF no suministra la evidencia del cumplimiento para estos hitos, donde soporte que se realizó la implementación de servicios SEVEN - SAP para conectividad SHD y desarrollo, proyección e implementación SAP Ene/2020, en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.

La SAF aclara “Para el caso particular del cumplimiento de los hitos es la SDH la que ha retrasado y reprogramado todas las actividades razón por la cual se afectó el cumplimiento de los hitos (Evidencia 1 Nueva planeación por parte de la Secretaría de Hacienda Distrital SDH tal como se informa en la Circular SDH No 000013 del 22 julio de 2020)”.

De la consulta a esta Circular SDH No 000013 del 22 julio de 2020, se observó el siguiente contenido:

“ - Con motivo de la entrada en operación de la plataforma BogData, programada a partir de agosto de 2020, se modificó el calendario de fechas de la operación tesoral y presupuestal con las demás entidades del Distrito para el mes de julio. - Consulte las actividades y servicios programados para la integración e interconexión tecnológica entre la SDH y las Entidades del Distrito Capital en la Circular Externa No. SDH-000012 del 3 de julio de 2020”.

Evidenciando que lo anterior, no tiene relación con las fechas de entrega de los hitos, las cuales debieron cumplirse en el mes de enero de 2020.


“Nro. 9. En la proyección del hallazgo se aclara que para el día 9 de enero del año 2020 el Área de Sistemas realizó el seguimiento a los proyectos del PETI el cual fue documentado en el Sistema de Información Isolucion de esta manera se evidencia que se hace un estricto control del avance de los proyectos. Adicionalmente, la actividad principal de este proyecto específicamente es la consultoría; que si bien estuvo proyectada no fue posible realizarla por reducción presupuestal en inversión, es por eso que el Área de Sistemas reprogramó la actividad, la cual tiene fecha de cumplimiento para 2021.

En cuanto a las evidencias del plan de seguridad informamos este fue tenido en cuenta para el año 2019 y se anexa como (Evidencia 1 Plan de Seguridad).”


La respuesta entregada por la SAF no suministra la evidencia del cumplimiento para este hito, donde soporte que se realizó la creación del plan de seguridad May/2019, en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.

Se aclara que como evidencia del plan de seguridad, el área de sistemas en la ejecución de la auditoría entrego el documento “PLAN DE SEGURIDAD DE LA INFORMACION 2020.docx”, para ser ejecutado en la vigencia de 2020.


De otra parte, de la consulta a la página WEB del IDRD se tiene publicado el documento 2019-plan-seguridad-privacidad-informacion.xls 2017 – 2020, que requiere ser gestionado y actualizado.

Respecto del estricto control del avance de los proyectos, que manifiesta realiza el área de sistemas, se efectuó la consulta en Isolución de la documentación que soporta el seguimiento al proyecto No. 9, recibiendo el siguiente mensaje:

Por lo anterior, el incumplimiento de la entrega del hito en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto, se mantiene tal y como se presentó en el informe preliminar.

“Nro. 11. El área de Sistemas ha realizado la publicación de datos abiertos de acuerdo a la circular 006 de marzo de 2019 de la alcaldía mayor de Bogotá, en el portal distrital https://datosabiertos.bogota.gov.co/dataset?q=idrd estos han sido federados y replicados al portal datos.gov.co. Por lo anterior expuesto solicitamos el levantamiento del hallazgo ya que además fueron publicados 5 conjuntos de datos en el periodo en mención.

También es claro que los datos han sido vistos y de interés para la comunidad, donde se muestra que incluso han sido vistos en el portal distrital https://datosabiertos.bogota.gov.co/ más de 300 veces por los ciudadanos y pueden ser consultados directamente en el sitio.”


Se revisó la información publicada en el portal de datos abiertos (www.datos.gov.co) evidenciando que la última publicación del conjunto de datos del IDRD efectuada en este sitio web, tiene fecha 27 de diciembre de 2018.

La respuesta entregada por la SAF es que el área de sistemas ha realizado la publicación de datos abiertos de acuerdo a la circular 006 de marzo de 2019 de la Alcaldía Mayor de Bogotá, en el portal Distrital. De la consulta a la Circular 006 de 2019, se observa que trata sobre el tema de “PRIMER CONTINGENTE JUDICIAL 2019 Y ACTUALIZACIÓN DE LA INFORMACIÓN REGISTRADA EN SIPROJ”.


https://www.google.com/search?q=circular+006+de+marzo+de+2019+de+la+alcald%C3%ADa+mayor+de+Bogot%C3%A1&sxsrf=ALeKk00Eh7UHTwsDFfDF9kDPNIsoQLyznw:1596119021718&ei=7dciX96uK4nu_Qa324bYCA&start=0&sa=N&ved=2ahUKEwie2bvalvXqAhUJd98KHbetAYs4KBDy0wN6BAgMEC8&biw=1366&bih=625

Por lo anterior, el incumplimiento de la entrega de los hitos Publicación de 5 conjuntos de datos Nov/2019 y Revisión de consultas y efectividad de los datos Dic/2019 en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto, se mantiene tal y como se presentó en el informe preliminar.

“Nro. 12. Efectivamente estos hitos no se cumplieron por la falta de presupuesto de inversión para la contratación de la consultoría; sin embargo, si se tuvo en cuenta en el seguimiento que realizó el área en enero de 2020 como consta documento anexo (Evidencia 1 Documentación de Implementación).”


La no contratación de la consultoría – Dic/2019, fue ratificada en la respuesta emitida por la SAF “Adicionalmente, la actividad principal de este proyecto específicamente es la consultoría; que si bien estuvo proyectada no fue posible realizarla por reducción presupuestal en inversión, es por eso que el Área de Sistemas reprogramó la actividad, la cual tiene fecha de cumplimiento para 2021”.

La respuesta entregada por la SAF no suministra la evidencia del cumplimiento para este hito, donde soporte que se realizó Auditoría MSPI Mar/2020, en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.


“Nro. 14. Estas acciones de cumplimiento se realizaron de manera suficiente y están documentadas como consta en el anexo “Plan de trabajo Seguimiento y diagnostico” (Evidencia 1, 2)”


La respuesta entregada por la SAF no suministra la evidencia del cumplimiento para estos hitos, donde soporte la elaboración informe de seguimiento y control de bases de datos May/2019, la elaboración del plan de Trabajo – May/2019 y la implementación - Mar/2020, del modelo para el manejo, acceso y calidad de la información, en la fecha programada, de acuerdo con el cronograma del PETI para este proyecto.

Sin embargo, reiteramos que la información entregada por el área de sistemas en el proceso de ejecución de la auditoría para la evaluación de este tema, Catalogo de componentes de Información.xls y el informe_diagnostico_información_IDRD _2019.doc., no corresponde a los entregables por cuanto son actividades previas de los hitos a ser entregados para el proyecto.






Resultado del análisis de la información entregada, no se encontró evidencia para desvirtuar el Hallazgo, por lo tanto, este se mantiene tal y como se presentó en el informe preliminar, para los tres habilitadores transversales.

4. CONCLUSION GENERAL

De conformidad con los objetivos general y específico planteados para esta auditoría, el IDRD presenta un rezago importante en la implementación de la Política de Gobierno Di-gital, en todos sus habilitadores transversales 53.48% (Arquitectura empresarial 53%, Se-guridad de la información 63% y Servicios ciudadanos digitales 0%) y no ha dado cumpli-miento integral a los lineamientos emitidos por MINTIC para la implementación de esta política3 y por el DAFP para la administración de riesgos de seguridad digital4.

Dado lo anterior, el Plan Estratégico de Tecnologías de la Información y Comunicaciones – PETI y los roles y responsabilidades del Enlace o Responsable de seguridad de la infor-mación están desactualizados; los catálogos de componentes de información y de siste-mas de información del IDRD, así como el inventario de activos de información publicado en la página web de la Entidad se hallan incompletos; y el indicador que mide el avance de los proyectos de TI no se alinea con las nuevas directrices de MINTIC.

A su vez, no se cuenta con (i) el Plan de acción para la Implementación de Servicios Ciu-dadanos Digitales, (ii) el documento que formaliza la aplicabilidad de controles relaciona-dos con los riesgos de seguridad digital y de la información y (iii) la trazabilidad de evalua-ción de dichos controles. Tampoco se han definido indicadores para realizar seguimiento al uso y aprovechamiento de las TIC, tanto en la gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés; y no se ha realizado audito-ría al Sistema de Gestión de Seguridad de la Información.

Cordialmente,

ROSALBA GUZMÁN GUZMÁN Jefe de la Oficina de Control Interno

Elaboró: Edgar Ovidio Caro Páez – Contratista Oficina de Control Interno

3 Manual de Gobierno Digital - Implementación de la Política de Gobierno Digital (En cumplimiento del Decreto 1008 de 2018 (Compilado en el Decreto 1078 de 2015, capítulo 1, título 9, parte 2, libro 2)) - Marco de Referencia de Arquitectura v. 2.0 / 2018 - Guía G.ES.06 Para la construcción del PETI. Versión 2 / 2019 - Guía G.INF.07 Cómo construir el catálogo de componentes de información, Versión 1.1. / 2019 - Guía G.SIS.03 Para la construcción del catálogo de Sistemas de Información Versión 1.1. / 2019 - Modelo de Seguridad y Privacidad de la Información Versión 3.0.1 / 2016 -

4 Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas


Este documento (para efecto de publicación) es una copia del original, el cual reposa en la Oficina de Control Interno y obra con las firmas correspondientes; puede ser solicitado en la Oficina de Control Interno del IDRD.

ORFEO – Rad 262903 y 262933 del 10/08/2020


ANEXO 1. EVALUACION OCI A LA IMPLEMENTACION DE LA POLITICA DE GOBIERNO DIGITAL - HABILITADOR ARQUITECTURA EMPRESARIAL

ID Pregunta RespuestaValoración SAF Valoración OCI

Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final

Rango Asociado Observaciones

PR01

¿Cuál es el estado del Plan Estratégico De TI (PETI)?

Está integrado al Plan de acción institucional y publicado en la página web Completada 100 ALTO 70 70 MEDIO

ALTO

Está integrado al Plan de acción institucional y publicado en la página web, pero no se encuentra actualizado de acuerdo con los lineamientos de la guía G.ES.06 de MINTIC para la construcción del PETI Versión 2 de Julio 2019

PR02

El Plan Estratégico de TI (PETI) incluye:

El portafolio o mapa de ruta de los proyectos

Completada 70 MEDIO ALTO 60 60 MEDIO

ALTO

Incluye el portafolio o mapa de ruta de los proyectos

El entendimiento estratégico Si lo incluye en el PETI

El análisis de la situación actual Incluye el entendimiento estratégico de la situación actual de la institución, el contexto organizacional y el entorno

El plan de comunicaciones del PETI Incluye el plan de comunicaciones del PETI

Diagnóstico Interoperabilidad Debe ser actualizado con la metodología de MINTIC - Marco de interoperabilidad para Gobierno Digital versión 2 de Agosto de 2019

PR03

Con respecto a lo planeado, indique un valor promedio del avance de las iniciativas/proyectos del PETI, para la vigencia evaluada

60 Completada 100 ALTO 60 60 MEDIOALTO

El porcentaje de avance en proyectos de TI relacionados con arquitectura, de acuerdo con la medición del indicador anual de gestión 1472 es del 53%

PR04

Con respecto a la Arquitectura Empresarial la entidad:

Desarrolló o se encuentra en ejecución de uno o más ejercicios de Arquitectura Empresarial

En Curso 25 MEDIO BAJO 40 40 BAJO Realizó el ejercicio de arquitectura evidenciando el TO-BE

PR05

Frente a la documentación de los servicios de TI y la Arquitectura Empresarial en la entidad

Tiene documentado un catálogo de servicios de TI actualizado

En Curso 80 ALTO

25

62,5 MEDIOALTO

De su revisión con la estructura sugerida del contenido del catálogo de servicios de TI de MinTIC, de acuerdo con la “G.ES.04 Guía del dominio de Estrategia TI Definición del catálogo de servicios de TI”, de fecha 11 de julio de 2017, se evidencia su cumplimiento.

Documentó la Arquitectura de Información 12,5 Debe alinearse con MINTIC con la implementación del MAE.G.GEN.01 - Documento Maestro del Modelo de Arquitectura Empresarial, para mejorar las capacidades institucionales mediante el uso adecuado de las TIC y su alineamiento con las necesidades de la entidad. Versión 1.0 del 31/10/2019.

Documentó la Arquitectura de Sistemas de Información 12,5

Documentó la Arquitectura de servicios tecnológicos 12,5

PR06

Señale los aspectos incorporados en el esquema de gobierno de TI de la entidad:

Políticas de TI

Completada 100 ALTO

0

70 MEDIOALTO

Refiere Políticas de tecnologías de la información y las comunicaciones – TIC (Numeral 8.5. PETI) que se encuentran en el sistema de información Isolución., Seguridad. De su verificación en Isolución solo se encuentran la política de seguridad digital y de la información y la de Tratamiento de datos personales

Proceso de Gestión de TI claramente definido y documentado. 15 Debe alinearse con MINTIC con la implementación del MGGTI.G.GEN.01 -

Documento Maestro del Modelo de Gestión y Gobierno de TI, compuesto por seis dominios que permiten alinear las necesidades del IDRD mediante Instancias o grupos de decisión de TI 15



Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final


definidas el uso adecuado de las TIC. (Estrategia de TI, Gobierno de TI, Sistemas de Información, Infraestructura de TI y Uso y Apropiación de TI) V 1 DEL

Estructura organizacional del área de TI 20Se registra en el documento PETI y se encuentra publicado en el sitio web de la entidadhttps://www.idrd.gov.co/sites/default/files/documentos/peti_2019-2020.pdf

Indicadores para medir El desempeño de la Gestión de TI 20 Se encuentran publicados en Publicados en ISOLUCION

PR07

Con respecto a la optimización de las compras de TI, la entidad:

Utilizó Acuerdos Marco de Precios para bienes y servicios de TI (Aplica a entidades de la rama ejecutiva del poder y del Orden Nacional)

Completada 100 ALTO

35

35 MEDIOBAJO

Acuerdos Marco de Precios para bienes y servicios de TI

Utilizó mecanismos o contratos de agregación de demanda para bienes y servicios de TI

0 No entrega evidencia

Aplicó metodologías, casos de negocio y criterios documentados para la selección y/o evaluación de soluciones de TI

0 No entrega evidencia

PR08

Frente a la gestión integral de proyectos de TI, la entidad:

Aplicó una metodología para la Gestión integral de Proyectos de TI.

Completada 100 ALTO

0

75 MEDIOALTO

No entrega evidencia

Garantizó que cualquier iniciativa, proyecto o plan de la entidad que incorpora TI, es liderado en conjunto entre las áreas misionales y el área de TI de la entidad

25 Actas de reunión con líderes funcionales de los sistemas de información sobre las necesidades y avances de los requerimientos tecnológicos.

Utiliza el principio de incorporar desde la planeación la visión de los usuarios y la atención de las necesidades de los grupos de interés

25 Estudio realizado de uso y apropiación de la tecnología para el personal de planta y contratistas del IDRD

Realiza la documentación y transferencia de conocimiento a proveedores, contratistas y/o responsables de TI, sobre los entregables o resultados de los proyectos ejecutados en la vigencia evaluada

25

Para los contratos celebrados en el 2019, en las obligaciones específicas, se incluye y se da cumplimiento a la cláusula: Realizar capacitaciones y/o transferencias de conocimiento con el fin de apoyar al desarrollo documento de procesos, procedimientos y la entrega de manuales, informes técnicos y/o datos estadísticos que sean requeridos por el supervisor del contrato.Con los proveedores mediante capacitación y entrega de documentación técnica y de usuario

PR09

Con relación a la gestión y planeación de los componentes de

Documentó El catálogo de componentes de Información

Completada 100 ALTO 1 30 MEDIOBAJO

Debe ser actualizada con la estructura sugerida del contenido del catálogo de componentes de información de MinTIC, G.INF.07 Guía Cómo construir el catálogo de componentes de información, Versión 1.1., de octubre de Definió un esquema de gobierno de los



Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final


información, la entidad:

componentes de Información

2019, que se actualizo por el tema de Gobierno Digital, ya que plantea de manera metodológica inclusiones de atributos, que no se encuentran incluidos en la definición del IDRD

Implementó exitosamente un esquema para El gobierno de los componentes de InformaciónDefinió un esquema de roles y responsabilidades sobre los componentes de Información

PR10

Frente a la calidad de los componentes de información, la entidad realizó:

Definió y Documentó un plan de calidad de la Información

En Curso 33,33 MEDIO BAJO

0

25 MEDIOBAJO

No entrega información- Proyecto Nro. 14. Gestión de la información y documentación del modelo para el manejo, acceso y calidad de la información, presenta un diagnóstico de las fuentes de información – IDRD sin fecha.- Informe de Gestión | Área Sistemas 2016 Ene –2019 Ago, Informa que se proyectó la elaboración de un proceso para generar calidad de la información en Avances en temas de seguridad.

Fomentó El uso y aprovechamiento de los componentes de Información por parte de los grupos de interés

25 Estudio de uso y apropiación de TI documentado en el PETI al personal Interno del IDRD

PR11

Frente a la planeación y gestión de los sistemas de información, la entidad: Tiene actualizado el catálogo de sistemas

de información

Completada 100 ALTO

7,1

85,2 ALTO Debe ser actualizada con los tres atributos adicionales sugeridos por MINTIC “G.SIS.03 Guía para la construcción del catálogo de Sistemas de Información” V1.1., de octubre de 2019, actualizada por el tema de Gobierno Digital, los cuales no se encuentran incluidos en la definición del IDRD.

Definió e implementó una metodología de referencia para el desarrollo de software o sistemas de información

14,2 Se tiene publicado en Isolución el procedimiento gestionar el desarrollo y/o actualización de software V1

Incluyó características en sus sistemas de información que permitan la apertura de sus datos de forma automática y segura

14,2 Proyecto Nro. 11. Gobierno abierto – datos abiertos del PETI Datos abiertos y transparencia

Documentó o actualizó la arquitectura de sus sistemas de información o de soluciones de toda la Entidad

7,1

El catálogo de sistemas de información debe ser actualizado con la estructura sugerida del contenido del catálogo, de MinTIC G.SIS.03 Guía para la construcción del catálogo de Sistemas de Información v1.1., de octubre de 2019, que se modificó por el tema de Gobierno Digital, con los tres atributos sugeridos “Tipo de desarrollo, Fecha de vencimiento del soporte y Documentación técnica y funcional”.

Incorporó dentro de los contratos de desarrollo de sus sistemas de información, cláusulas que obliguen a realizar transferencia de derechos de autor a su favor

14,2 Los contratos suscritos de desarrollo de software del periodo de evaluación de la auditoría, en las obligaciones específicas se incluye clausula: Ceder los acuerdos de licenciamiento, propiedad de los códigos fuentes y derechos de propiedad intelectual relacionados con el contenido de los aplicativos desarrollados para el IDRD. Listas de asistencia de



Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final


capacitaciones recibidas por parte de proveedores y contratistas como desarrolladores de Orfeo, Kactus, Seven

Implementó funcionalidades de trazabilidad, auditoría de transacciones o acciones para el registro de eventos de creación, actualización, modificación o borrado de información

14,2De acuerdo con la información entregada por el área de sistemas, se evidencia que se tienen activos los módulos de auditoría para los sistemas de información ORFEO, SIM, KACTUS y SEVEN. Isolución no referencia.

Cuenta con la documentación técnica y funcional debidamente actualizada, para cada uno de los sistemas de información

14,2

Los contratos suscritos de desarrollo de software del periodo de evaluación de la auditoría, en las obligaciones específicas se incluye clausula: Entrega de manuales – informes técnicos y/o Documentar y aplicar las mejores prácticas de desarrollo y calidad que se encuentran evidenciadas en el estándar ISO 25000.

PR12

Frente al soporte de los Sistemas de Información

Definió un esquema de mantenimiento/soporte a los Sistemas de Información incluyendo si estos son mantenidos por terceros

Completada 100 ALTO

25

100 ALTO

Se tiene publicado en Isolución el procedimiento gestionar el desarrollo y/o actualización de software V1

Implementó un esquema de mantenimiento/soporte a los Sistemas de Información incluyendo si estos son mantenidos por terceros

25 Plan mantenimiento preventivo Plan operativo

Estableció criterios de aceptación y Definió Acuerdos de Nivel de Servicio (ANS) para El soporte y mantenimiento de los Sistemas de Información contratado con terceros

25 Indicador 1082 - Porcentaje de solicitudes de servicio tecnológico atendidas dentro de los tiempos establecidos.

Tiene documentado y aplica un procedimiento para el mantenimiento preventivo de los sistemas de información

25 Cuenta con el procedimiento realizar el mantenimiento de infraestructura tecnológica v4, publicado en Isolución

PR13

Frente al Ciclo de vida de los Sistemas de Información

Definió un proceso de construcción de software que incluya planeación, diseño, desarrollo, pruebas, puesta en producción y mantenimiento

En Curso 80 ALTO

33,3

66,66 MEDIOALTO Se tiene publicado en Isolución el procedimiento gestionar el desarrollo y/o

actualización de software V1

Implementó un plan de aseguramiento de la calidad durante El ciclo de vida de los Sistemas de Información que incluya criterios funcionales y no funcionales

0 No entrega información- Proyecto Nro. 14. Gestión de la información y documentación del modelo para el manejo, acceso y calidad de la información, presenta un diagnóstico de las fuentes de información – IDRD sin fecha.- Informe de Gestión | Área Sistemas 2016 Ene –2019 Ago, Informa que se proyectó la elaboración de un proceso para generar calidad de la información en Avances en temas de seguridad.



Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final


Tienen las funcionalidades de accesibilidad que indica la Política de gobierno Digital, en los sistemas de información de acuerdo con la caracterización de usuarios

33,3De acuerdo con la información entregada por el área de sistemas, se evidencia que se tienen manual de usuarios que incluyen seguridad y acceso. ORFEO, SIM, KACTUS, ISOLUCIÓN y SEVEN.

PR14

Frente al soporte de los servicios tecnológicos

Definió un proceso para atender los requerimientos de soporte de los servicios de TI

Completada 100 ALTO

20

100 ALTO

Se tiene publicado en Isolución el procedimiento realizar soporte técnico de software y hardware

Definió un esquema de soporte con niveles de atención (primer, segundo y tercer nivel) a través de un punto único de contacto y soportado por una herramienta tecnológica

20

Se cuenta con una herramienta GLPI (mesa de ayuda que asigna automáticamente un ID numérico al requerimiento de soporte. El administrador de la aplicación verificara la categoría a la que pertenece para asignarle un ANS (Acuerdo de nivel de servicio) y lo asigna al técnico de soporte de acuerdo con el nivel de servicio.

Implementó un plan de mantenimiento preventivo y evolutivo sobre los servicios tecnológicos

20 Cuenta con el procedimiento realizar el mantenimiento de infraestructura tecnológica v4, publicado en Isolución

Evaluó El cumplimiento de ANS para los servicios tecnológicos que presta la Entidad

20 Indicador 1082 - Porcentaje de solicitudes de servicio tecnológico atendidas dentro de los tiempos establecidos.

Implementó un programa de correcta disposición final de los residuos tecnológicos de acuerdo con la normatividad del gobierno Nacional

20Como tal existe un programa para disposición de residuos lo lidera PIGA y se cuenta con un Proceso gestión de recursos físicos v 2. Plan de gestión integral de residuos peligrosos

PR15

Frente a la operación de servicios tecnológicos Posee un catálogo actualizado de la

infraestructura tecnológica

Completada 100 ALTO

16,6

83,18 ALTO De su revisión con la estructura sugerida del contenido del catálogo de servicios de TI de MinTIC, de acuerdo con la “G.ES.04 Guía del dominio de Estrategia TI Definición del catálogo de servicios de TI”, de fecha 11 de julio de 2017, se evidencia su cumplimiento.

Documentó e Implementó un plan de continuidad de los servicios tecnológicos mediante pruebas y verificaciones acordes a las necesidades de la organización

Prueba2

Implementó mecanismos de disponibilidad de los servicios tecnológicos de tal forma que se asegure El cumplimiento de los ANS establecidos

16,6Sí se requieren repuestos por fallas de hardware se verificará la existencia de la pieza en el Almacén. En el caso de la no existencia de la pieza, esta debe ser solicitada por el contrato de repuestos.

Realiza monitoreo del consumo de recursos asociados a los servicios tecnológicos

16,66 Inventario almacén



Estado tarea

Valor final

Rango asociado

Valor parcial

Valor final


Implementó controles de seguridad Digital para los servicios tecnológicos 16,66 Matriz de riesgos Seguridad digital

Gestionó y Documentó los riesgos asociados a su infraestructura tecnológica y servicios tecnológicos

16,66 Matriz de riesgos Gestión, Seguridad digital y Seguridad de la información

PR16

¿La entidad en qué fases de la adopción de IPv6 se encuentra trabajando?

Fase de Implementación En Curso 70 MEDIO ALTO 1 33,3 MEDIO

BAJOEfectúo un diagnostico para la adopción de IPV6 y elaboró un cronograma de implementación para 6 meses.

PR17

¿Qué documentación ha adelantado la entidad en la adopción de IPV6?

plan de Diagnóstico (Fase planeación)

En Curso 45 MEDIO 1 33,3MEDIOBAJO

Efectúo un diagnostico para la adopción de IPV6 y elaboró un cronograma de implementación para 6 meses.

plan detallado del Proceso de transición (Fase planeación) No entrega evidencia

plan de direccionamiento IPV6 (Fase planeación) No entrega evidencia

PR18

Frente a la Estrategia para el Uso y Apropiación de TI

Ejecutó una estrategia de uso y apropiación para todos los proyectos de TI que se realizan en la institución, teniendo en cuenta el planteamiento de estrategias de gestión del cambio

En Curso 83,33 ALTO

16,66

59,98 MEDIO

En el desarrollo de los proyectos de TI se ha efectuado la capacitación, uso y apropiación de TI y la gestión del cambio con los usuarios.

Realizó la caracterización de los grupos de interés internos y externos

Prueba3

Ejecutó un plan de formación para el desarrollo de competencias requeridas para el desarrollo de sus funciones y hacer un uso adecuado de los servicios de TI

Prueba3

Realizó divulgación y comunicación interna de los proyectos de TI 16,66 Plan de comunicaciones y hoja de ruta del PETI

Implementó estrategias de gestión del cambio para los proyectos de TI 10

En el proyecto Nro. 5. Implementación y administración de herramientas tecnológicas basadas en código abierto no evidenció: Capacitación usuarios - Sep/2019, la documentación del Proceso Dic/2019 y la gestión del cambio (Capacitación y socialización) Ene/2020

Realiza seguimiento mediante indicadores para la medición del impacto del uso y apropiación de TI en la entidad

16,66 Estudio de uso y apropiación de TI documentado en el PETI al personal Interno del IDRD


ANEXO 2. EVALUACION OCI A LA IMPLEMENTACION DE LA POLITICA DE GOBIERNO DIGITAL - HABILITADOR SEGURIDAD DE LA INFORMACIÓN

Fase ID PreguntaValoración Sistemas Valoración OCI

Respuesta Estado tarea

Valor final

Rango asociado Respuesta Estado

tareaValor final


1

PR01

¿La entidad realiza un diagnóstico de seguridad de la información? a En Construcción. b Cuenta con el diagnostico. c No se Tiene

En Construcción En Curso 50 MEDIO En

Construcción En Curso 50 MEDIO

La SAF entrega el autodiagnóstico de la implementación de Política de Gobierno Digital, en dos archivos “Preguntas asignadasGobierno Digital” y “Reporte de PreguntasGobierno Digital”, que ha realizado el IDRD, mediante correo electrónico de fecha 6 de mayo de 2020

PR02

¿La entidad adopta una política de seguridad de la información? MSPI a En Construcción. b Adoptada. c No se Tiene

Adoptada Completada 100 ALTO Adoptada Completada 100 ALTO

El área de sistemas entrega el documento manual_de_politicas_de_seguridad_digital_y_de_la informacion.pdf. Este se encuentra publicado en la página del IDRD

PR03

¿La entidad define roles y responsabilidades de seguridad de la información en entidad? MSPI a En Construcción. b Están definidos. c No se Tiene

Están definidos Completada 100 ALTO En

Construcción En curso 50 MEDIO

No se tienen incluidas las del Anexo 4 Lineamientos para la Gestión del Riesgo de Seguridad Digital en Entidades Públicas - Guía riesgos 2018. Numeral 4.1.4 Definición de roles y responsabilidades

PR04

¿La entidad define y apropia procedimientos de seguridad de la información? MSPI a En Construcción. b Están definidos. c No se Tiene

Están definidos Completada 100 ALTO Están definidos Completada 100 ALTO

Procedimientos en Isolución- Controlar los activos información del IDRD. V.1. - Gestionar incidentes de seguridad de la información. V. 2.

20/11/2017.- Gestionar cambios de la información V.1. 6/10/2017.Mantener las herramientas tecnológicas del IDRD.

PR05

¿La entidad realiza gestión de activos de seguridad de la información? a En Construcción. b los gestiona. c No los gestiona

Los gestiona Completada 100 ALTO Los gestiona En Curso 50 MEDIO Del resultado del análisis y revisión de su aplicación y alineación, relacionada con el inventario de activos de información, se evidencia:- Que no todos los activos de información críticos del IDRD,

han sido valorados para identificar los riesgos de seguridad de la información, de acuerdo con el documento plan-de-tra-tamiento-de-riesgo-y-seguridad-de-la-informacion IDRD V.1 2019.doc, que establece en el numeral 8 Análisis de riesgos de seguridad y privacidad de la información para el IDRD.

- No se tienen incluidas las aplicaciones e información física o digital de los objetivos estratégicos y bases de datos o archi-vos de los objetivos de proceso, en el inventario de los acti-vos de información del IDRD, de acuerdo con lo registrado en el Paso 2. Identificación de riesgos, numeral 2.1.4. Identifica-ción de activos de seguridad de la información de Guía para la administración del riesgo y el diseño de controles en enti-dades públicas - Riesgos de gestión, corrupción y seguridad




Valor final


tareaValor final


digital - Versión 4 - Octubre de 2018 y en su Anexo 4. Nume-ral 4.1.6 Identificación de activos de seguridad digital, sección paso 4. Clasificar la información.

La estructura de los activos de información del IDRD no se encuentra alineada con la metodología generada por la Alta Consejería Distrital para las TIC, ya que esta metodología incluye item´s adicionales de evaluación, en la estructura del inventario de activos de información en el documento C3_A_HS_ Gestion_activos.xls, que el IDRD no tiene incluida en la estructura del inventario de activos de información.

PR06

¿La entidad realiza gestión de riesgos de seguridad de la información? a En Construcción. b Los gestiona y cuenta con un plan de tratamiento de riesgos. c No los gestiona

Los gestiona y cuenta con un plan de tratamiento de riesgos

Completada 100 ALTO Implementación En Curso 50 MEDIO

El área de sistemas entrega el documento plan-de-tratamiento-de-riesgo-y-seguridad-de-la-información IDRD V.1 2019.doc, pero se encuentra aplicando en el IDRD, parcialmente la metodología definida para los siguientes numerales:- Numeral 8. Análisis de riesgos de seguridad y privacidad de

la información para el IDRD.- Numeral 9. Plan de Tratamiento de Riesgos de Seguridad y

Privacidad de la Información. - Numeral 10. Seguimiento, medición, análisis y evaluación.Este documento no ha sido formalizado, ni se encuentra publicado en la página del IDRD, tal y como lo establece el Artículo 74. de la LEY 1474 del 2011. “Plan de acción de las entidades públicas…”.

PR 07

¿La entidad realiza campañas de sensibilización y toma de conciencia en seguridad? a Si las realiza. b No las realiza.

Si las realiza En Curso 100 ALTO Si las realiza En Curso 100 ALTO

El área de sistemas entrega el documento Plan de comunicación seguridad de la informacion.docx, con actualización 31 enero de 2020. para el seguimiento y mejoramiento del sistema de seguridad de la información, dirigido a todo el personal IDRD, donde se observa que se definen los objetivos y se incluyen los temas de sensibilización.

2

PR08

¿La entidad Implementa el plan de tratamiento de riesgos? a Está en proceso de a implementación. b Lo implementa. c no lo implementa

Lo implementa En Curso 100 ALTO No lo

implementa En Curso 0 BAJO

El documento 2019-plan-seguridad-privacidad-informacion.xls, Plan de Seguridad y Privacidad de la Información 2017 – 2020, de la página del IDRD, en la FASE 2. Implementación, Operación y Seguimiento, registra “Aprobación del plan de tratamiento de riesgos por parte del IDRD” en agosto de 2019.

PR09

¿La entidad cuenta con un plan de control operacional de seguridad de la información? a En Construcción b Lo tiene y realiza seguimiento c No lo tiene

Lo tiene y realiza

seguimiento

En Curso 100 ALTO No lo tiene En Curso 0 BAJO De acuerdo con el modelo de Seguridad y privacidad de la información de MINTIC V. 3.0.1 del 11/03/2016, en la sección Fase- Implementación define: “Plan de control operacional: Es el plan que debe construir la entidad para efectuar el monitoreo y seguimiento a los




Valor final


tareaValor final


controles de seguridad definidos para los procesos.

Los entregables asociados a las metas en la Fase de Implementación deben ser revisados y aprobados por la alta Dirección.”

PR10

¿La entidad define indicadores de gestión de la seguridad de la información? a En Construcción. b Están definidos. c No se tienen

Están definidos Completada 100 ALTO Implementación En Curso 50 MEDIO

No se alinea con la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión, corrupción y seguridad digital - Versión 4 - Octubre de 2018 del DAFP, numeral 3.3 Monitoreo y revisión, sección Indicadores - gestión del riesgo de seguridad digital.

“La entidad debería definir como mínimo 2 indicadores POR PROCESO de la siguiente manera: 1 indicador de eficacia que indique el cumplimiento de las actividades para la gestión del riesgo de seguridad digital en cada PROCESO de la entidad.

1 indicador de efectividad para cada riesgo o la suma de todos los riesgos de seguridad digital (pérdida de confidencialidad, de integridad, de disponibilidad)”.

3

PR11

¿La entidad define un plan de seguimiento y evaluación a la implementación de seguridad de la información? a En Construcción. b Definido. c No se Tiene

En Construcción En Curso 50 MEDIO En

Construcción En Curso 50 MEDIO

El área de sistemas entrega el documento plan-de-tratamiento-de-riesgo-y-seguridad-de-la-información IDRD V.1 2019.doc, pero se encuentra aplicando en el IDRD, parcialmente la metodología definida para los siguientes numerales:- Numeral 8. Análisis de riesgos de seguridad y privacidad de


Privacidad de la Información. - Numeral 10. Seguimiento, medición, análisis y evaluación.Llamado de atenciónEste documento no ha sido formalizado, ni se encuentra publicado en la página del IDRD, tal y como lo establece el Artículo 74. de la LEY 1474 del 2011. “Plan de acción de las entidades públicas…”.

PR12

Respecto al plan de auditoria de seguridad de la información, la entidad:a Lo tiene definido b Lo tiene definido y lo ejecuta. c No se Tiene

En Curso No se Tiene 0 BAJO En Curso No se Tiene 0 BAJO No se tiene

PR13

¿La entidad define un plan de mejoramiento continuo de seguridad de la información?

En Curso Está definido

100 ALTO Implementación En Curso 50 MEDIO El área de sistemas entrega el documento plan-de-tratamiento-de-riesgo-y-seguridad-de-la-información IDRD V.1 2019.doc, pero se encuentra aplicando en el IDRD, parcialmente la




Valor final


tareaValor final


a En Construcción. b Esta definido. c No se Tiene

metodología definida para los siguientes numerales:- Numeral 8. Análisis de riesgos de seguridad y privacidad de


Privacidad de la Información. - Numeral 10. Seguimiento, medición, análisis y evaluación.Llamado de atenciónEste documento no ha sido formalizado, ni se encuentra publicado en la página del IDRD, tal y como lo establece el Artículo 74. de la LEY 1474 del 2011. “Plan de acción de las entidades públicas…”.

1. Evaluación y planificación de la seguridad de la información2. Implementación de la seguridad de la información3. Seguimiento, evaluación y mejora de la seguridad de la información.


ANEXO 3. EVALUACION OCI A LA IMPLEMENTACION DE LA POLITICA DE GOBIERNO DIGITAL - HABILITADOR SERVICIOS CIUDADANOS DIGITALESEmpoderamiento de los ciudadanos a través de un Estado Abierto

Id. PreguntaValoración Sistemas Valoración OCI


Valor final

Rango Asociado Respuesta Estado

tareaValor final


PR01

La entidad pública en la sección "transparencia y acceso a la información pública" de su sitio web oficial:

- Mecanismos para interponer PQRSD - Localización física, sucursales o regionales, horarios y días de atención al público - Funciones y deberes de la entidad - Organigrama de la entidad - Directorio de información de servidores públicos, empleados y contratistas o enlace al SIGEP - Normatividad general y reglamentaria- Presupuesto vigente asignado- Ejecución presupuestal histórica anual - Plan Estratégico Institucional y Plan de Acción anual - Políticas y lineamientos o manuales - Planes estratégicos, sectoriales e institucionales según sea el caso - Plan anticorrupción y de atención al ciudadano - Plan de gasto público - Proyectos de inversión en ejecución - Mecanismos para la participación de los ciudadanos, grupos de valor o grupos de interés en la formulación de políticas - Informes de gestión, evaluación y auditoría - Entes de control que vigilan la entidad - Planes de Mejoramiento (de organismos de control, internos y derivados de ejercicios de rendición de cuentas) - Publicación de la información contractual (o enlace SECOP) - Plan Anual de Adquisiciones (PAA) - Oferta de la entidad (Programas, servicios, trámites y otros procedimientos administrativos inscritos en el SUIT) - Registro de Activos de Información - Índice de Información Clasificada y Reservada - Esquema de Publicación de Información- Programa de Gestión Documental - Tablas de Retención Documental - Políticas de seguridad de la información del sitio web y protección de datos personales - Respuestas de la entidad a las solicitudes de información - Directorio de agremiaciones, asociaciones, entidades del sector, grupos étnicos y otros grupos de interés - Calendario de actividades - Informes de Rendición de Cuentas - Ofertas de empleo - Informes de empalme - Preguntas y respuestas frecuentes

En Curso 97,14 ALTO

20202400031783 Memorando directiva para directrices para el cumplimiento a ley 1712. Guía Matriz de Cumplimiento V.4 Ley 1712 de 2014, Decreto 103 de 2015, compilado en el Decreto 1081 de 2015 y Resolución MinTIC 3564 de 2015(Tipo de formulario: Sujeto Obligado Tradicional)

En Curso - ALTO

El IDRD publica en la página principal de su sitio web www.idrd.gov.co, en la sección identificada con el nombre de “Transparencia y acceso a información pública”, la información mínima requerida a publicar de que tratan los artículos 9°, 10 y 11 de la Ley 1712 de 2014.

PR02 Indique: Pendiente Bajo No definePR03 Indique: Pendiente Bajo No definePR04 Indique: Pendiente Bajo No define

PR05

De las actividades formuladas en la estrategia de participación ciudadana, señale cuáles se realizaron por medios electrónicos:

- Ninguna de las anteriores En Curso 0 BAJO No define





Valor final

Rango Asociado Respuesta Estado

tareaValor final


PR06

Con respecto a los ejercicios, iniciativas o acciones de participación realizados por la entidad con sus grupos de valor para la consulta o toma de decisiones, en lo corrido del año:

Pendiente Bajo




Valor final

Rango Asociado Respuesta Estado tarea Valor

finalRango

Asociado Observaciones

PR01

¿Cuántos trámites / otros Procedimientos administrativos tiene la entidad?

TrámitesOtros procedimientos administrativos

Completada No Aplica BAJO 6Trámites

3 OPAS En Curso BAJOEl documento publicado en la página del IDRD presenta 6 tramitesEl documento publicado en la página del IDRD presenta 12 serviciosEl documento publicado en la página del IDRD presenta 3 OPAS

PR02

Del total de trámites que tiene la entidad cuántos pueden realizarse:

Presencialmente Totalmente en líneaParcialmente en línea

En Curso 33,33 MEDIO BAJO

42 En Curso BAJO El documento publicado en la página del IDRD presenta 6 tramites

El documento publicado en la página del IDRD presenta 12 servicios

PR03

Del total de otros procedimientos administrativos que tiene la entidad cuántos pueden realizarse:

Presencialmente Totalmente en líneaParcialmente en línea

En Curso 50 MEDIO 2 En curso BAJO

La información entregada por el área de sistemas registra 2 Presenciales.Permiso para uso temporal del salón Presidente del IDRD.Uso de piscinas práctica libreEl documento publicado en la página del IDRD adicional a 2 una más. Para un total de 3 OPAS

PR04 Del total de trámites parcial y totalmente en línea, ¿cuántos contaron con caracterización de los usuarios?

Totalmente en línea Parcialmente en línea

Completada 100 ALTO 2No define

Completado BAJO La información entregada por el área de sistemas registra 2 totalmente en línea: Aprobación proyecto específico de zonas de cesión para parques y equipamientos producto de un desarrollo urbanístico y Liqui-dación y recaudo pago fondo compensatorio de cesiones públicas para par-ques y equipamientos4 Presenciales.Aplicar la metodología de caracterización de usuarios de acuerdo con la Guía para la caracterización de usuarios de las entidades públicas de MINTIC y la





Valor final


finalRango


Guía metodológica para la caracterización de ciudadanos, usuarios y grupos de interés del DNP

PR05

Del total de otros procedimientos administrativos parcial y totalmente en línea, ¿cuántos contaron con caracterización de los usuarios?


Completada 100 ALTO 3 Completada ALTO

La información entregada por el área de sistemas registra Presenciales 2 “Permiso para uso temporal del salón Presidente del IDRD y “Uso de piscinas práctica libre”.No define 1. “Inscripción programa nuevas tendencias deportivas”.Aplicar la metodología de caracterización de usuarios de acuerdo con la Guía para la caracterización de usuarios de las entidades públicas de MINTIC y la Guía metodológica para la caracterización de ciudadanos, usuarios y grupos de interés del DNP

PR06

Del total de trámites parcial y totalmente en línea, ¿cuántos cumplieron criterios de accesibilidad web?


Completada 100 ALTO 2No define Completada MEDIO

De los 6 reportados por el área de sistemas. En SUIT 1 presento error Renovación del reconocimiento deportivo a clubes deportivos, clubes promotores y clubes pertenecientes a entidades no deportivasError consultando el trámiteOcurrió un error en la consulta del trámite 17934: No se encontró información del trámite

PR 07

Del total de otros procedimientos administrativos parcial y totalmente en línea, ¿cuántos cumplieron criterios de accesibilidad web?


Completada 100 ALTO 2 En curso MEDIO

De la consulta en SUIT para las 3 Opas, una presento error Inscripción programa nuevas tendencias deportivasError consultando el trámiteOcurrió un error en la consulta del trámite 46989: No se encontró información del trámite

PR 08

Del total de trámites parcial y totalmente en línea, ¿cuántos cumplieron criterios de usabilidad?


Completada 100 ALTO 23 En curso MEDIO

De los 6 reportados por el área de sistemas 1 presento error Renovación del reconocimiento deportivo a clubes deportivos, clubes promotores y clubes pertenecientes a entidades no deportivasError consultando el trámiteOcurrió un error en la consulta del trámite 17934: No se encontró información del trámite

PR 09

Del total de otros procedimientos administrativos parcial y totalmente en línea, ¿cuántos cumplieron criterios de usabilidad?


Completada 100 ALTO 5 En curso Medio

De la consulta en SUIT presento uno presento error Inscripción programa nuevas tendencias deportivasError consultando el trámiteOcurrió un error en la consulta del trámite 46989: No se encontró información del trámite

PR 10 Del total de trámites Totalmente en línea Completada 100 ALTO No define El IDRD no cuenta con la definición de indicadores de mediciones internas





Valor final


finalRango


parcial y totalmente en línea, ¿cuántos fueron promocionados para incrementar su uso?

Parcialmente en línea

para realizar seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés, de acuerdo con la metodología presentada en el Manual de Gobierno Digital Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, por MINTIC, que define en el numeral 4.1. Seguimiento y Evaluación por parte de la Entidad.

PR 11

Del total de otros procedimientos administrativos parcial y totalmente en línea, ¿cuántos fueron promocionados para incrementar su uso?


Completada 100 ALTO No define

El IDRD no cuenta con la definición de indicadores de mediciones internas para realizar seguimiento al uso y aprovechamiento de las TIC tanto en su gestión interna como en la entrega de servicios digitales a usuarios, ciudadanos y grupos de interés, de acuerdo con la metodología presentada en el Manual de Gobierno Digital Implementación de la Política de Gobierno Digital V. 7, de abril de 2019, por MINTIC, que define en el numeral 4.1. Seguimiento y Evaluación por parte de la Entidad.


· Web view2020. 9. 24. · Es importante resaltar que este rol debe desarrollarse de manera...

Documents

Transcript of · Web view2020. 9. 24. · Es importante resaltar que este rol debe desarrollarse de manera...