informe seguimiento y evaluaciÓn oficina de … · cofl02 página 1 de 22 superintendencia...

COFL02 Página 1 de 22

SUPERINTENDENCIA NACIONAL DE SALUD

INFORME SEGUIMIENTO Y EVALUACIÓN

OFICINA DE TECNOLOGIAS DE LA INFORMACION

OFICINA DE CONTROL INTERNO

Bogotá, Marzo de 2017


CONTENIDO

1. OBJETIVO .......................................................................................................................................................................... 3

2. ALCANCE .......................................................................................................................................................................... 3

3. MÉTODOLOGÍA ................................................................................................................................................................ 3

4. JUSTIFICACIÓN ............................................................................................................................................................... 4

5. INFORME ........................................................................................................................................................................... 4

5.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS ........................................... 4

5.2 EVALUACION MAPA DE RIESGOS DEL PROCESO ............................................................................................. 8

5.2.1 Riesgos Operacionales ................................................................................................................................................. 8

5.2.2 Riesgos de Corrupción ............................................................................................................................................... 10

5.2.3 Riesgos asociados al Subsistema de Seguridad de la Información ................................................................... 12

5.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO ...................................... 14

5.3.1 De Informes de Seguimiento ..................................................................................................................................... 14

5.3.2 De Auditorias al Sistema Integrado de Gestión ....................................................................................................... 17

5.3.3 De Auditorias al Subsistema de Seguridad de la Información (Auditoría de Certificación)............................... 19

6. CONCLUSIONES Y RECOMENDACIONES .............................................................................................................. 22


1. OBJETIVO

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos

(PAAS), aprobado para la vigencia 2017 el cual fue aprobado por la Alta Dirección Institucional

mediante Resolución No. 4130 del 15 de Diciembre de 2.016, realizó seguimiento y evaluación

a la gestión de la Oficina de Tecnologías de la Información, cuyos procesos y procedimientos

fueron aprobados mediante resolución 4086 del 19 de Diciembre de 2014, y por Resolución 1110

de 2015, se definen los Grupos Internos de Trabajo y se definen funciones para los mismos.

2. ALCANCE

La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus

funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se

relacionan:

a. Seguimiento a los procesos: Gestión de Incidentes, Gestión de Cambios y Gestión de

Problemas, que hacen parte del Proceso Gestión de Servicios Tecnológicos, de la

Oficina de Tecnologías de la Información.

b. Revisión de riesgos asociados a los procesos (institucional y de corrupción), y de tres (3)

riesgos asociados al Subsistema de Seguridad de la Información

c. Seguimiento a recomendaciones presentadas por la Oficina de Control Interno, en informes

anteriores.

3. MÉTODOLOGÍA

La metodología a seguir es la siguiente:

3.1 Programación del Seguimiento a la Gestión.

La programación del seguimiento a la gestión y del Sistema Integrado de Gestión (SIG), se

encuentran incorporadas en el PAAS – “Programa Anual de Auditoría y Seguimiento”, de la

Oficina de Control Interno para la vigencia de 2.017, el cual fue aprobado por la Alta Dirección

Institucional mediante Resolución No. 4130 del 15 de Diciembre de 2.016 “Por la cual se aprueba

el Plan Anual de Gestión de la Superintendencia Nacional de Salud para la vigencia 2.017 y se

hace una delegación y las que la modifiquen o adicionen.”

3.2 Planeación del Seguimiento a la Gestión

Con el objeto de realizar la planificación del seguimiento a la gestión a realizarse durante el mes

de Marzo de 2017, la funcionaria asignada como “Madrina” de la Oficina de Tecnologías de la

Información, programó las actividades a ejecutar, estableciendo las temáticas a abordar y que

fueron enunciadas en el “numeral 2. Alcance”, de este documento.

3.3 Anuncio del seguimiento

El anuncio del Seguimiento y solicitud de información, se presentó a la Oficina de Tecnologías

de la Información, mediante NURC 3-2017-002923 del 24 de Febrero de 2017.


3.4 Ejecución del seguimiento

Análisis de la información enviada por la Oficina de Tecnologías de la Información mediante

NURC 3-2017-003995 del 13 de Marzo de 2017, la que además, fue debidamente publicada por

la dependencia objeto de seguimiento, en el micro-sitio de la Oficina de Control Interno

denominado BANCO DE EVIDENCIAS.

3.5 Elaboración y revisión Informe de seguimiento.

Una vez revisada y analizada la información, se elabora el informe de seguimiento y se pone a

consideración y aprobación del mismo, al Jefe de la Oficina de Control Interno, quien lo presenta

al Despacho del Señor Superintendente Nacional de Salud, durante el mismo mes de ejecución

del seguimiento.

3.6 Reporte de la actividad y publicación del informe en la página Web.

La Oficina de Control Interno en ejercicio de su autocontrol y su autorregulación, tiene definidas

herramientas en las cuales cada funcionario debe reportar sus actividades mensuales;

información que es insumo para presentar a la Oficina Asesora de Planeación, los avances a la

Gestión del P.A.G.; y, de acuerdo con la normativa vigente, los informes generados por esta

dependencia, son publicados en el portal web de la Entidad.

4. JUSTIFICACIÓN

De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los

Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de

Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro

de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los

cargos; así como también, verificar que los controles asociados con todas y cada una de las

actividades de la organización estén adecuadamente definidos, sean apropiados y se mejoren

permanentemente, de acuerdo con la evolución de la Entidad.

5. INFORME

5.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS

De acuerdo con el rediseño Institucional formalizado mediante el Artículo 11 del Decreto 2462

del 7 de Noviembre 2013, la Oficina de Tecnologías de la Información tiene asignadas 22

funciones, las cuales se orientan al cumplimiento de los procesos definidos mediante Resolución

4086 del 19 de Diciembre de 2014, que se visualizan en el mapa de procesos, como sigue:


Para el presente seguimiento se evaluarán los procedimientos Gestión de Incidentes, Gestión

de Cambios y Gestión de Problemas, que hacen parte del Proceso Gestión de Servicios

Tecnológicos, de la Oficina de Tecnologías de la Información.

Adicionalmente, la Oficina de Tecnologías de la Información es el líder operativo del Subsistema

de Seguridad de la Información, aprobado mediante Resolución No. 0678 del 10 de Abril de 2014,

por el cual se adopta el Sistema Integrado de Gestión (SIG), modificada por Resolución No. 2116

del 25 de Septiembre de 2014.

En el mapa de procesos se encuentra definido dentro del macroproceso Estratégico, un proceso

definido como Gobierno y Gestión de la Información, con dos (2) procedimientos asociados,

debidamente aprobado por la Alta Dirección mediante Resolución 2189 del 28 de Julio de 2016

y que se visualiza como sigue:


En el portal Web de la Entidad, se encuentra el micro-sitio donde se pueden identificar todos los

documentos y registros que permiten verificar que el Subsistema de Seguridad de la Información

se ajusta a lo requerido por la norma ISO 27001 de 2013, y los controles definidos en el Anexo

A de la misma norma, y que puede ser consultado en el siguiente enlace: https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-

informacion

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion


OBSERVACIONES OFICINA DE CONTROL INTERNO

Con base en los soportes aportados por la Oficina de Tecnologías de la Información, los cuales

se encuentran en la Oficina de Control Interno como papeles de trabajo, se pudo evidenciar que

la dependencia a la que se le hace seguimiento, ha realizado las actividades establecidas en los

procedimientos Gestión de Incidentes (GSPD01), Gestión de Cambios (GSPD02) y Gestión

de Problemas (GSPD03), que hacen parte del Proceso Gestión de Servicios Tecnológicos.

No obstante lo anterior, en la revisión a los documentos que contienen los procedimientos

enunciados, se pueden detectar algunos ajustes que, muy respetuosamente la Oficina de Control

Interno, recomienda sean tenidos en cuenta y se incluyan en la próxima modificación y/o ajuste

que se realice sobre ellos:

a. Para los tres procedimientos, en NORMAS, es conveniente que se incluya la Resolución 1110

de 2015, que derogó la 1621 de 2014 “por la cual se conforman los grupos internos de trabajo en

la Oficina de Tecnologías de la Información de la Superintendencia Nacional de Salud, y se asignan

funciones y coordinador.”; así como las demás normas que sean necesarias incluir.

b. En DEFINICIONES, es pertinente eliminar las definiciones repetidas.

c. En todos los documentos, es pertinente revisar y ajustar aspectos, como ortografía,

redacción, combinación de plurales y singulares, entre otros.

d. En todos los documentos es conveniente definir y unificar: Mesa de Servicios, Mesa de

Servicio, Mesa de Ayuda; lo mismo aplica para CA Service Desk, AC Service Desk, Service

Desk CA.


e. Para el procedimiento GESTION DE INCIDENTES:

Política de Operación 2: es posible complementarla, ya que la atención de un caso,

puede ser por “presencia directa” o “remotamente”, o ambos.

Política de Operación 5: es posible complementarla, ya que en la Mesa de Servicios no

solo se reciben “cuestiones técnicas”, sino también incidencias que tienen relación con

“Seguridad de la Información” y otros temas.

Política de Operación 9: Se puede complementar o modificar, ya que en la práctica todo

incidente que se presente, debe ser reportado por Mesa de Servicios.

Política de Operación 11: Se puede complementar o modificar, ya que en la práctica

todo requerimiento sobre “movimiento o traslado de equipos”, es reportado a Recursos

Físicos.

En Descripción del Procedimiento, actividad número 7: se puede complementar o

modificar que “se debe notificar mediante un correo electrónico”, ya que el citado correo

sale en forma automática del aplicativo CA.

f. Para el procedimiento GESTION DE PROBLEMAS:

En Descripción del Procedimiento, actividad número 1: se puede complementar o

modificar ya que los canales por los cuales se pueden radicar incidencias en Mesa de

Servicios son: a través de la Extensión 40123, correo electrónico

[email protected], Intranet y, de manera personal.

En Descripción del Procedimiento, actividad número 3: se debe modificar el código de

la guía, ya que el código correcto es GSGU03.

En los puntos de control la tercera actividad hace referencia a la No. 13, pero al verificar

debe ser la 12. Esto se puede verificar y modificar.

Aunque los anteriores ajustes son de forma; y no afectan la evaluación del cumplimiento a los

procedimientos, sí hacen parte del autocontrol que debe tener la dependencia, en cuanto a la

verificación de su documentación, y que ésta pueda mantenerse actualizada.

Cabe señalar, que en informes presentados durante la vigencia 2016, se hizo referencia a ajustes

similares, por lo cual se reitera recomendación formulada en el sentido de hacer la

correspondiente validación, verificación y ajustes, en ejercicio del principio de autocontrol que

establece el modelo estándar de control interno, situación que permite lograr un mejoramiento

continuo en todas las actividades y procesos y procedimientos de la dependencia que ahora

ocupa este informe de seguimiento.

5.2 EVALUACION MAPA DE RIESGOS DEL PROCESO

En el seguimiento objeto de este informe, se revisará un (1) riesgo operacional, los riesgos de

corrupción y tres (3) riesgos asociados al Subsistema de Seguridad de la Información.

5.2.1 Riesgos Operacionales

Dentro de los seguimientos que se realizarán durante la vigencia 2017 a la Oficina de

Tecnologías de la Información, se incluirá riesgos institucionales en cada una de ellas, con el fin

de verificar si esta dependencia tiene plenamente identificados los riesgos asociados a sus

procesos, y recoger evidencias de las acciones de mejora que se han implementado con el fin

de mitigarlos.

mailto:[email protected]


Del mapa de riesgos institucional, para el proceso de “Gestión de Servicios Tecnológicos”, se

escogió el siguiente:

PROCESO RIESGO DESCRIPCIÓN CAUSAS CONSECUENCIAS/EFECTOS

POTENCIALES

Gestión de Servicios Tecnológicos

No Apropiación de los recursos tecnológicos por parte de los usuarios.

La falta de claridad en los requerimientos funcionales puede producir proyectos de software deficientes causando insatisfacciones a las expectativas del cliente.

*No existen líderes funcionales que definan claramente la operación por parte de las áreas que solicitan apoyo. *Falta de apropiación de los recursos tecnológicos por parte de los usuarios finales.

Implementar metodologías para la Gestión de Proyectos de IT, que ayuden a garantizar la usabilidad y el cumplimiento de requerimientos y expectativas por parte de los usuarios plasmadas en los sistemas de información diseñados

Para el tema de riesgos, la Oficina de Tecnologías de la Información da respuesta mediante

NURC 3-2017-003995 del 13 de Marzo de 2017, en los siguientes términos:

“En el segundo semestre de la vigencia 2016, la Entidad a través de la Oficina de Tecnología de la

Información atendiendo lo establecido en el artículo 11 del Decreto 2462 de 2015[[1] Mediante el cual se

faculta a esta Oficina para definir las acciones que garanticen la aplicación de los estándares, buenas

prácticas y principios para el uso y manejo de la información estatal, alineado a las políticas y lineamiento

del Sector de las Tecnologías de la Información y las Comunicaciones.1], en aras de fortalecer y promover

las competencias laborales del talento humano al servicio de la entidad, dar un uso más eficiente a los

recursos, y mantener una actualización del conocimiento en el uso de los mencionados recursos

tecnológicos, procedió a contratar mediante el Acuerdo Marco de Precios N° 8409 de 2016 el servicio de

“Capacitación a usuario final hasta diez (10) personas- Presencial” para realizar entrenamientos en sitio

de trabajo, dando así inicio al fortalecimiento en los conocimientos y habilidades en el uso de las

herramientas del producto Oficce365 (Excel, Word, PowerPoint, Access, OneDrive, Outlook, SharePoint)

a los funcionarios de la entidad con el fin de sacar su mayor provecho y así mismo facilitar las tareas diarias

de los funcionarios.

Es de aclarar que en el Plan Institucional de Capacitación General de la Entidad 2016, estuvieron

contempladas las capacitaciones (entrenamientos en puesto de trabajo) en los productos de Oficce365 de

la compañía Microsoft, y que de manera coordinada la OTI con el Grupo de Talento Humano determinaron

el uso de las horas contratadas para el entrenamiento del producto Oficce365 (Excel, Word, PowerPoint,

Access, OneDrive, Outlook) a los funcionarios de la entidad.

Entrenamientos en Excel finalizados en la vigencia 2016

Oficinas Grupo Nivel Sesiones

Mixta G-1 Básico 1

Planeación G-2 Básico 1

Subdirección Financiera G-3 Intermedio 2

Mixta G-4 Intermedio 2

Mixta G-4 Avanzado 3


Subdirección Financiera G-6 Financiero 1

Procesos Administrativos G-7 Básico 1

Procesos Administrativos G-8 Básico 1

Planeación G-2 Intermedio 2

TOTAL 17


Adicional se realizaron 4 entrenamientos en la herramienta Project de Microsoft

A continuación, se detalla la cantidad de las sesiones que se realizarán en la vigencia 2017 con el

entrenamiento como Word, PowerPoint, OneDrive, SharePoint y Access a través de la orden de compra

14557 contrato interno 112 de 2017:

Entrenamientos en Excel requeridos en la vigencia 2017


Mixta G-1 Intermedio y avanzado 2

Planeación G-2 avanzado 1

Subdirección Financiera G-3 avanzado 1

Mixta G-4 Intermedio 1



Subdirección Financiera G-6 Avanzado 1

Procesos Administrativos G-7 Intermedio y avanzado 2

Procesos Administrativos G-8 Intermedio y avanzado 2

Nuevo Mixto 1 G-9 Básico, Intermedio y avanzado 3

Nuevo Mixto 2 G-10 Básico, Intermedio y avanzado 3

TOTAL 19

Entrenamientos requeridos en la vigencia 2017


Mixta G-1 Word 1

Mixta G-2 Word 1

Mixta G-3 Word 1

Mixta G-4 Power Point 1



Mixta G-7 Access 1

Mixta G-8 Access 1

Mixta G-9 OneDrive y SharePoint 1



TOTAL 11


Con ocasión de la modernización tecnológica que está implementando la Entidad, la Oficina de

Tecnologías de la Información durante la vigencia 2016 llevó a cabo capacitaciones relacionadas

con Office 365, de acuerdo con los cronogramas presentados por la Oficina de Tecnologías de

la Información.

5.2.2 Riesgos de Corrupción

La Oficina de Control Interno realizó seguimiento al Mapa de Riesgos de Corrupción de la

Entidad, evidenciando que en la última versión publicada en el portal web y cuya actualización

corresponde al 25 de Enero de 2017, se tienen definidos 32 riesgos de corrupción.


Dentro de los mencionados riesgos, para la Oficina de Tecnologías de la Información no se tienen

asociados riesgos de corrupción.


En informe presentado con NURC 3-2016-021666 del 23 de Noviembre de 2016, en el numeral

5.3 Seguimiento Mapa de Riesgos de Corrupción del Proceso, la Oficina de Control Interno

indicó que: “Se evidenció por parte de la Oficina de Control Interno que los Procesos y procedimientos a

cargo de la Oficina de Tecnologías de la Información, no tienen identificados Riesgos de Corrupción; lo

cual se pudo establecer de la revisión del Mapa de Riesgos, que se encuentra aprobado y publicado en la

Página Web de la Entidad con el código ASFT12, y que tiene identificados diez (10) Riesgos de corrupción;

por lo que esta Oficina recomienda que se revise en conjunto con la Oficina Asesora de Planeación, la

pertinencia de incorporar en el Mapa de Riesgos, riesgos de corrupción para los procesos y procedimientos

de la Oficina de Tecnologías de la Información, con el fin de evitar que se lleguen a materializar riesgos

que no se han contemplado hasta la fecha.”; por lo que se solicitó a la Oficina de Tecnologías de la

Información, el aporte de las evidencias que dieran cuenta de las reuniones sostenidas con la

Oficina Asesora de Planeación, las conclusiones o acuerdos logrados en ellas, y el avance de la

gestión realizada.

Por lo anterior, la Oficina de Tecnologías de la Información mediante NURC 3-2017-003995 del

13 de Marzo de 2017, indicó que: “En la actual vigencia se adelantaron reuniones con la Oficina

Asesora de Planeación el día 20 de Enero de 2017, de la cual se obtuvo la matriz que se anexa (…)“,

aportando los correspondientes soportes donde se evidencia que se crearon tres (3) riesgos

asociados a los procesos de la dependencia que ahora ocupa este informe.

Sin embargo, en la actual matriz de riesgos institucional que a la fecha se encuentra publicada

en el portal web, no están incluidos los mencionados riesgos, por lo que la Oficina de Control

Interno reitera recomendación, de manera respetuosa y comedida, en el sentido que cuando se

soliciten este tipo de requerimientos a la Oficina Asesora de Planeación, se haga la

correspondiente validación y verificación, en ejercicio del principio de autocontrol que establece

el modelo estándar de control interno, situación que permite lograr un mejoramiento continuo en

todas las actividades, procesos y procedimientos de la Oficina de Tecnologías de la Información.


5.2.3 Riesgos asociados al Subsistema de Seguridad de la Información

Dentro de los seguimientos que se realizarán durante la vigencia 2017 a esta dependencia, se

Incluirán riesgos incluidos en el Plan de Tratamiento de Riesgos de Seguridad de la Información

con el fin recoger evidencias de las acciones que se han implementado con el fin de mitigarlos.

Para el presente ejercicio se escogieron los siguientes:

La Oficina de Tecnologías de la Información, mediante NURC 3-2017-003995 del 13 de Marzo

de 2017, informa que se han realizado las siguientes acciones para cada uno de los riesgos

señalados anteriormente:

DAÑO DE LA INFORMACION:

“Se realizaron sesiones de capacitación donde se expuso cada una de las políticas del subsistema de

Seguridad de la Información y aplicabilidad en las actividades diarias de la Entidad, los pilares de

seguridad de la Información, los métodos que representan una violación a la seguridad y

representación de incidentes que vulneran la información.

Se definió un conjunto de políticas para la seguridad de la información, aprobada por la dirección,

publicada y comunicada a los empleados y a las partes externas pertinentes.

Se definieron y asignaron las responsabilidades de la seguridad de la información

Todos los empleados de la organización, y en donde sea pertinente, los contratistas, reciben la

educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las

políticas y procedimientos de la organización pertinentes.”

DENEGACION DEL SERVICIO:

“Los servicios se mantienen disponibles y los incidentes de falta de disponibilidad se tratan de acuerdo

con los procedimientos y lineamientos establecidos; si bien las faltas de disponibilidad de los servicios

incluyen componentes tecnológicos o de sistemas de información, las faltas de disponibilidad de los

servicios deben evaluarse desde la perspectiva de seguridad, identificando si se tratase de un riesgo

causado por amenazas internas o externas.

ProcesoRiesgos Seguridad de la

InformaciónDescripción del Riesgo de Seguridad Actividades de Tratamiento

GESTIÓN DE

SERVICIOS

TECNOLÓGICOS

DAÑO DE LA INFORMACIÓN

Estado de alteración que genera un

detrimento del tiempo y recursos en la

reconstrucción de la Información.

Diseñar y poner en marcha un programa de

sensibilización que permita la toma de

conciencia tanto de funcionarios como

contratistas, establecer sus

responsabilidades, usar de manera aceptable

y con acceso seguro los activos de

información de la entidad.

GESTIÓN DE

SERVICIOS

TECNOLÓGICOS

DENEGACIÓN DE SERVICIO

Riesgo de seguridad asociado a un tipo de

ataque informático especialmente dirigido a

redes de computadoras que tiene como

objetivo lograr que un servicio específico o

recurso de la red, quede completamente

inaccesible a los usuarios legítimos de la red.

Estado de interrupción de los servicios de

acceso o procesamiento de la información.

Asegurar que los servicios TI estén disponibles

y funcionen correctamente, mediante la

adecuación de mejoras en la infraestructura y

servicios TI con el objetivo de mantener los

niveles de disponibilidad.

GESTIÓN DE

SERVICIOS

TECNOLÓGICOS

DILIGENCIAMIENTO

ERRADO DE FORMATOS

Como parte de los procesos del Sistema

Integrado de Gestión, los formatos son

fundamentales en la recopilación para el

tratamiento de la información, su

diligenciamiento errado genera

inconsistencias y resultados no confiables.

Conocer y ejercer un adecuado control del

licenciamiento de software adquirido, acuerdos

de licenciamiento y uso legal, suministrando

una política para mantener las condiciones

apropiadas.


Función que satisface una necesidad de los usuarios frente a la disponibilidad de los servicios.

Guías y Procedimientos de Gestión y Gobierno de la Información

o GSGU08 - Guía de Gestión de Incidentes de Seguridad de la Información: 7. Relación de

actividades la Gestión de incidentes de seguridad de la información.

o GSGU05 - Guía de Acceso a redes y a servicios en red: 7. Actividades de la Gestión de Acceso a

redes y a Servicios en Red

o GSPD02 - Gestión de Cambios.

o RSPD02 - Gestión de Aplicaciones



Se definieron y asignaron las responsabilidades de la seguridad de la información.

Como criterio en la selección de Proveedores, se contempla: Manual y/o procedimientos

implementados por la organización para Gestión de Seguridad de la Información; Fichas técnicas /

manuales, metodologías de los servicios, equipos, productos y/o materiales que suministra, según

aplique; Plan de soporte, mantenimiento, actualización y/o garantía acorde con los productos a ofertar.

Se determinan los requisitos para la seguridad de la información y la continuidad de la gestión de la

seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre,

mediante el Procedimiento que se encarga de Fortalecer la capacidad de respuesta de la

Superintendencia Nacional de Salud ante situaciones de fallas o desastres (GGPD02).”

DILIGENCIAMIENTO ERRADO DE FORMATOS:

“Si bien las actividades derivadas donde se involucra el licenciamiento de software lo contemplan la

gestión de la arquitectura y provisión de aplicaciones de la Oficina de Tecnología, en aspectos de

seguridad de la información se debe considerar aspectos de los servicios tecnológicos como:

1. Mantener los equipos de cómputo funcionando de manera óptima requiere no sólo el software

correcto, también requiere las oportunas actualizaciones y la utilización completa del software; para

ello las solicitudes de instalación, mantenimiento y soporte, deben ser debidamente diligenciadas tanto

por parte de la dependencia cliente como por los profesionales que atienden las solicitudes, siguiendo

los procedimientos y lineamientos pertinentes.

2. Adaptarse a la solución de nuevos problemas, mitigar vulnerabilidades y resolver nuevos

requerimientos.

3. El software se mantiene en constante crecimiento, no basta con realizar una instalación y esperar

que funcione por tiempo indefinido sin que necesite atención.

Los datos y la información deben mantener su integridad, evitando su modificación o alteración no

autorizada, provenir de una fuente único o confiable y no ser interceptada.

GSPD05 - Control de Software Misional de la Entidad: Confirmar la capacidad operativa de los

sistemas de información misionales mediante el monitoreo de su desempeño de conformidad con los

requisitos establecidos para garantizar la confiabilidad del funcionamiento de los Sistemas.

GSGU04 - Guía prestación del servicio para la atención de requerimientos

GSPD02 - Gestión de Cambios: Procedimiento que se encarga de Responder de manera controlada

a los requerimientos de cambios de tecnología de la información

RSFT03 - Requerimientos de Seguridad Para Aplicaciones: Formato diseñado para realizar los

Requerimientos de Seguridad para Aplicaciones

RSGU03 - Guía Gestión de Desarrollo




Se estableció e implementaron las reglas para la instalación de software por parte de los usuarios:

7.14 Políticas de tercer nivel de Subsistema de seguridad de la información para la instalación de

software.

Se supervisa y hace seguimiento de la actividad de desarrollo de sistemas contratados externamente

y como criterio en la selección de proveedores: Licenciamiento vigente acorde con el producto o

servicio a suministrar

7.20 Políticas de tercer nivel de Subsistema de seguridad de la información de derechos de la

propiedad intelectual.”


La Oficina de Tecnologías de la Información, como soporte a lo anteriormente explicado, aportó

copia de los documentos socializados, los cuales se conservan como papeles de trabajo en la

Oficina de Control Interno.

5.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO

La Oficina de Control Interno, realizó seguimiento a las recomendaciones formuladas como

resultado de informes anteriores, los cuales se relacionan a continuación:

5.3.1 De Informes de Seguimiento

a. La Oficina de Control Interno presentó informe de seguimiento a la Gestión de la Oficina

de Tecnologías de la Información, mediante NURC 3-2016-009543 del 23 de Mayo de 2016, y

NURC 3-2016-014178 del 29 de Julio de 2016, donde se revisaron las acciones adelantadas por

la Oficina objeto de este informe, sobre los hallazgos de la Auditoría de Calidad, realizada en Octubre

de 2015 y radicada con NURC 3-2015-020639, evidenciando que aún continúan sin ser resueltos los

temas evidenciados, como se transcribe a continuación:

“La Oficina de Control Interno hizo seguimiento al “Ítem 1: En la actividad 4 del procedimiento “Gestión de

arquitectura de tecnologías de la información”. No se encuentra definida la frecuencia de aplicación de los

puntos de control del procedimiento (en su lugar aparece el responsable del proceso)”, a las acciones

propuestas, verificando que:

a. En cuanto a: “No se encuentra definida la frecuencia de aplicación de los puntos de control del

procedimiento (en su lugar aparece el responsable del proceso), en el procedimiento que actualmente se

encuentra en el Mapa de Procesos, se evidencia que el cambio no se ha registrado.


b. Verificando el procedimiento “Gestión de arquitectura de tecnologías de la información”, con código RSPD01-Versión 2, la cual tiene fecha de modificación el “23/02/2016”, la Oficina de Control Interno pudo verificar que en la actividad No. 8 y en el punto de control de la misma actividad, se hace referencia al formato COFT02:

De acuerdo con lo anterior, la Oficina de Control Interno recomienda muy respetuosamente a la Oficina de

Tecnologías de la Información que se efectúe verificación y seguimiento, ya que al consultar el

procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste solicitado; en

especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento, así como el ajuste

al error que aparece en la “frecuencia” de los puntos de control del mismo.”


Al realizar seguimiento a estas recomendaciones, la Oficina de Control Interno pudo evidenciar

que el citado documento, tuvo modificaciones y actualmente la versión publicada es la número

4, pero no se tuvieron en cuenta los ajustes recomendados por la Oficina de Control Interno, en

informes de seguimiento presentados durante la vigencia 2016.

b. En informe presentado mediante NURC 3-2016-014178 del 29 de Julio de 2016, se

informó que:

“La Oficina de Control Interno hizo revisión de los documentos con código asignado, que aparecen en los

cuadros anteriores, encontrando que:

a. La actualización del documento Matriz de Roles y Responsabilidades (ASFT14) que incluye el

subsistema de seguridad de la información y que fue solicitado con NURC 3-2016-006380 del 6 de Abril

de 2016, contiene las siguientes adiciones:

Al consultar desde la intranet, se encuentra el documento en Versión 1, que no contiene los cambios

solicitados. Cabe advertir que el documento que es encuentra en el portal web, es el actualizado, en

versión 2.



Al realizar seguimiento a estas recomendaciones, la Oficina de Control Interno pudo evidenciar

que aún sigue pendiente el tema antes enunciado, por lo que la modificación y por ende acción

correctiva, debe verse reflejado no solo en la página web de la Institución, sino también en la

Intranet, por lo que se recomienda trabajar conjuntamente con la Oficina Asesora de Planeación

para que ésta información se vea actualizada tanto en el portal web como en la intranet.

5.3.2 De Auditorias al Sistema Integrado de Gestión

La Oficina de Control Interno mediante NURC 3-2016-012672 del 1º de Julio de 2016, presentó

informe de Auditoría a los Subsistemas del Sistema Integrado de Gestión, en el cual se

establecieron No conformidades a cargo de la Oficina de Tecnologías de la Información, y que

en el Sistema Integrado de Planeación y Gestión ITS, quedaron registradas como “plan de acción

No. 92”, las cuales se transcriben a continuación:

“Proceso de Gestión de Servicios Tecnológicos”:

“Observaciones

1. Verificar integralmente los procedimientos, formatos, indicadores de gestión, matriz de riesgos y en

general toda la documentación de los cinco (5) procedimientos que hacen parte del proceso Gestión de

servicios tecnológicos.

Asimismo, trabajar conjuntamente con la Oficina Asesora de Planeación para realizar los ajustes a los

mismos y subsanar los hallazgos que se relacionan a continuación:

Procedimiento Gestión de Cambios:

En definiciones, hacer más explícita la definición del “Comité de Cambios” o el nombre que se le

haya definido, por ejemplo, quiénes (cargos) y cuántos son los miembros del “Comité”, cada cuánto se

reúnen, etc.


En relación con la política 3 se debe precisar para qué tipos de cambios son aplicables. Asimismo,

evaluar la pertinencia de implementar un formato para identificar de forma clara: “el objetivo, los beneficios

esperados y los ámbitos a los cuales el cambio aportará mejoras el cambio, los indicadores que se verán

favorecidos con el cambio, los recursos requeridos y los actores a quienes impacta el cambio”. Si ya está

definido, debe relacionarse dentro del documento.

En este procedimiento, la actividad No. 5 se define como “aprobar cambio según riesgos e

impacto”, pero en el mapa de riesgos, el proceso no tiene este riesgo asociado, por lo que se debe verificar

y solicitar el ajuste al mapa de riesgos.

En este procedimiento, en políticas de operación se menciona un “procedimiento de rollback”; si

se requiere como procedimiento, hace falta su definición, codificación e implementación.

Procedimiento Control de Software Misionales de la Entidad:

No Conformidad

1. En la revisión documental del proceso Gestión de Servicios Tecnológicos y sus procedimientos, se

establece una No Conformidad al numeral 4.2.3 “Control de Documentos”, enunciados en la norma NTCGP

1000:2009, la cual expresa: “revisar y actualizar los documentos cuando sea necesario y aprobarlos

nuevamente”, situaciones que se evidencian con los siguientes hallazgos:

Las definiciones no atienden a un orden lógico. Para facilitar la búsqueda de términos, y

organizarlas en orden alfabético.

Verificar las definiciones y eliminar las que se encuentren repetidas, tanto en los procedimientos

como en las guías.

Incluir otras definiciones, las cuales podrían ayudar a la interpretación de los procedimientos; por

ejemplo: herramientas tecnológicas, rollback.

Verificar la redacción, ya que en algunos casos no es comprensible la idea que se plantea.

En normas, se relaciona la Resolución 001621 de 2014, por medio de la cual se crean los grupos

internos de trabajo de la Oficina de Tecnologías de la Información, pero no se incluye la resolución 1110

de 2015, la cual deroga la Resolución 1621 de 2014.

Unificar la definición de “CA Service Desk”, ya que en algunos apartes aparece como “AC Service

Desk”


La Oficina de Control Interno realizó seguimiento al avance del plan de acción No. 92 radicado

por parte de la Oficina de Tecnologías de la Información en el Sistema Integrado de Planeación

y Gestión ITS, encontrando que aún se encuentra abierta, y no se registra avance por parte de

esa dependencia.

Al realizar revisar la documentación que contiene los procedimientos antes citados, se pudo

evidenciar que la Oficina de Tecnologías de la Información, con NURC 3-2016-023522 del 21 de

Diciembre de 2016 se solicitó la modificación al procedimiento Gestión de Cambios, el cual fue

atendido (3-2016-023608 del 22 de Diciembre de 2016) por parte de la Oficina Asesora de

Planeación y se encuentra debidamente publicado en el portal web-mapa de procesos; no siendo

así para el procedimiento Control de Software Misionales de la Entidad (GSPD05).


Por lo anteriormente expuesto, la Oficina de Control Interno evidencia que las recomendaciones

elevadas durante la vigencia 2016, se han atendido parcialmente.

5.3.3 De Auditorias al Subsistema de Seguridad de la Información (Auditoría de

Certificación)

La Superintendencia Nacional de Salud suscribió el Contrato No. 251 de 2016 con la firma

Bureau Veritas (Ente Certificador), con el objeto de adelantar la Pre-Auditoría y Auditoría de

Certificación del Subsistema de Seguridad de la Información.

La Pre-Auditoría, se llevó a cabo entre los días 9 y 13 de Diciembre de 2016, en cuyo informe se

generaron 9 hallazgos, los cuales fueron incluidos en el Sistema Integrado de Planeación y

Gestión ITS, para que la Oficina de Tecnologías de la Información y la Superintendencia

Delegada para la Protección al Usuario, procedieran a definir los planes de acción

correspondientes.

En el aplicativo ITS, quedaron definidos los planes de acción para esos hallazgos, como se

muestra en la siguiente tabla:

No Proceso Hallazgo

171 GESTIÓN DE SERVICIOS TECNOLÓGICOS

Al momento de revisar los indicadores este no presenta un formato formal y es nombrado como Indicadores en BD, el cual no permite identificar cambios y seguimiento. Se debe crear un documento formal, el cual permita identificar los cambios y seguimiento a los indicadores de gestión. Los requisitos correspondientes al numeral 7.5 Información documentada, menciona que la información debe estar actualizada, además de contar con identificación y descripción.


En el documento de POLITICAS DE TERCER NIVEL DEL SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN código ASPO09 en el numeral 7.8 denominado políticas de tercer nivel del subsistema de seguridad de la información sobre el uso de controles criptográficos en el literal d. Se debe establecer procedimientos respecto a la administración de claves y el restablecimiento de llaves dañadas con el fin de que se garantice la confidencialidad de la clave. Se solicita el procedimiento y este no se presenta como un documento formal que indique que es un procedimiento de acuerdo con lo descrito en esta política.


En el momento de la auditoría se observa un cable de red desatendido el cual permitió conectividad con internet, de acuerdo con el numeral A.9.1.2 Acceso a redes y a servicios en red. Sólo se debe permitir acceso a los usuarios a la red y a los servicios de red para los que haya sido autorizados específicamente.


Aún cuanto se observa revisión de los eventos del sistema no existe una periodicidad o intervalos regulares para la revisión de ingreso de usuarios de acuerdo con el numeral A.9.2.5 Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.


Aun cuando se evidencia solicitud de responsabilidades y de aceptación de los riesgos bajo memorandos NURC 3-2016-020414, 3-2016-020415, 3-2016-020416, no se evidencia respuesta. El numeral 6.1.1 menciona la aceptación y responsabilidades para la administración del riesgo y en particular la aceptación de riesgos residuales.


Se realiza visita al centro de cableado del piso dos (2) y piso siete (7), en el piso siete (7) se evidencia rack fuera de servicio. Incumplimiento al numeral A.11.2.1 Ubicación y protección de los equipos. Los equipos deben estar ubicados y protegidos para reducir los riesgos de amenazas y peligro del entorno, y las posibilidades de acceso no autorizado.


Se realiza visita al centro de monitoreo piso seis (6) en el cual se evidencia disco de grabación en una caja y estos elementos se deben salvaguardar de manera que no sufran daños de ninguna índole. Incumplimiento al numeral A.8.3.2 Disposición de los medios. Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.


Se evidencia que en el centro de monitoreo el aire acondicionado no está en funcionamiento y este debe contar con condiciones aceptables. A.11.2.2 Servicios de suministro. Los servicios de suministro literal C. deben Inspeccionarse y probarse regularmente para asegurar su funcionamiento apropiado.


179

GESTIÓN DE LA PARTICIPACIÓN CIUDADANA EN LAS INSTITUCIONES DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD

Aun cuando se tienen controles y se han realizado solicitudes de avance al Plan de choque del archivo de la Delegada para la Protección del Usuario Radicado 3-2016-019630, se evidencia documentación almacenada debajo de los puestos de trabajo. La documentación debe estar protegida contra pérdida o daño por cualquier situación y tener un manejo apropiado. A.8.2.3 Manejo de activos. Se debe elaborar procedimientos para el manejo, procesamiento, almacenamiento y comunicación de información de conformidad con su clasificación.

Los anteriores hallazgos quedaron distribuidos de la siguiente manera:

PROCESO NO

CONFORMIDAD ABIERTA CERRADA RECHAZADA

Gestión de Servicios Tecnológicos 8 1 7 0

Gestión de Participación Ciudadana en el SGSSS 1 0 0 1

De esta Auditoría, la conclusión final, emitida por la firma Bureau Veritas, fue:

La auditoría de certificación fue del 19 al 23 de Diciembre de 2016, de la cual se generaron 6

hallazgos, que se relacionan en la siguiente tabla:

NO PROCESO HALLAZGO

165 GOBIERNO Y GESTIÓN DE LA INFORMACIÓN

Al bajar los documentos que son parte del SGSI de la web page https:supersalud.gov.co se valida que estos son bajados en formato editable (word). La norma ISO 27001:2003 en su numeral 7.5.3 b) Control de ola información documentada define que la información documentada por el SGSI y por la norma debe ser controlada para asegurar que: b) está debidamente protegida (por ejemplo, de pérdida de confidencialidad, uso inapropiado o pérdida de integridad)


En ASP09 se define: 7.4 Políticas de tercer nivel del Subsistema de Seguridad de la Información para el teletrabajo y trabajo remoto, sin embrago en el normograma del Sistema Integrado de Gestión ASFT03 no se encuentra la Ley 1221 de 2008 de MinTic de teletrabajo, por otro lado, la Resolución 1165 de 2015 establece el teletrabajo en la Entidad. La norma ISO 27001:20013 en su control A.18.1.1 Identificación de la legislación vigente y los requisitos contractuales, indica que todos los requisitos estatutarios, regulatorios y contractuales pertinentes y el enfoque de la organización para cumplirlos, se deben definir y documentar explícitamente y mantenerlos actualizados para cada sistema de información y para la organización.

167


Se valida el código ASFT02, el indicador Porcentaje de cumplimiento de los hitos, meta 100% y el resultado del 50%. La meta para septiembre es del 100% sin embargo no aparece el resultado de este periodo dentro de la página web que es el repositorio de datos. La norma ISO 27001:2013 en su numeral 9.1 Monitoreo, medición, análisis y evaluación, indica que la organización debe evaluar el desempeño de la seguridad de la información y la efectividad del SGSI.


168


Dentro del mapa de riesgos institucional No se evidencia el propietario del riesgo. La norma ISO 2001:2013 en su numeral 6.1.2 Evaluación de riesgos de la seguridad de la información, literal C,2) indica que la organización debe definir y aplicar un proceso de la evaluación de riesgos de la seguridad de la información que: a) establezca y mantenga los criterios de riesgos de la seguridad de la información que incluya la identificación de los propietarios del riego.


Dentro de la herramienta Supersalud-Mesa de Servicios de C.A Service Desk NO se encuentran los registros para la solicitud de acceso a Internet para el día lunes 19 de diciembre de 2016, para los auditores de BVQI. La norma ISO 27001:2013 en su numeral 7.5.1 General-Información Documentada-establece que el SGSI debe incluir a) Información documentada necesaria para esta norma, definida por la organización como necesaria para la efectividad del SGI.


En el documento Matriz de Valoración de Activos y Análisis de Riegos (ASFT22 versión 1) con fecha de actualización 16 de noviembre de 2016; no se observan los propietarios de activos de información identificados. Lo anterior, en relación al control A 8.1.2 que indica: Los activos mantenidos en el inventario deben tener un propietario.

Los anteriores hallazgos quedaron distribuidos de la siguiente manera:

PROCESO NO

CONFORMIDAD ABIERTA CERRADA RECHAZADA

Gestión de Servicios Tecnológicos 1 0 1

Gestión de Participación Ciudadana en el SGSSS 2 0 1 1

Gobierno y Gestión de la Información 3 0 3


En verificación efectuada por la Oficina de Control Interno al líder del Subsistema de Seguridad

de la Información (Oficina de Tecnologías de la Información), relacionada con el avance de los

planes de mejoramiento (tanto de la Pre-auditoría como de la Auditoría) radicados en el Sistema

Integrado de Planeación y Gestión ITS (en total 15), encontrándose que 14 fueron atendidos y

cerrados, quedando pendiente uno (1) del Proceso Gestión de Servicios Tecnológicos.

PROCESO FINALIZADOS PENDIENTES

Gestión de Servicios Tecnológicos 8 1

Gestión de Participación Ciudadana en el SGSSS 3 0

Gobierno y Gestión de la Información 3 0


6. CONCLUSIONES Y RECOMENDACIONES

De acuerdo a las evidencias aportadas por la Oficina de Tecnologías de la Información, y en

concordancia con las actividades definidas en los procedimientos revisados, la Oficina de Control

Interno concluye que éstas se están realizando adecuadamente.

La Oficina de Control Interno expresa que la Oficina de Tecnologías de la Información, en la

ejecución de sus actividades y en la implementación de acciones de mejora, para lo cual tuvieron

en cuenta algunas de las recomendaciones formuladas por esta dependencia, en este

seguimiento evidenció que se han realizado actividades como:

Inclusión en el mapa de riesgos, de tres (3) riesgo de corrupción. En los seguimientos

efectuados en la vigencia 2016, no se tenían contemplados estos riesgos.

Revisión y ajuste de los procesos y procedimientos de esa dependencia y a la documentación

asociada a ellos.

No obstante lo anterior, la Oficina de Control Interno de manera muy respetuosa, recomienda

que se continúen realizando revisiones y modificaciones a los documentos formalizados y que

contienen sus procesos, procedimientos, guías, manuales, etc., y que una vez sean aprobados

por la Oficina Asesora de Planeación, se haga la correspondiente validación y verificación, en

ejercicio del principio de autocontrol que establece el modelo estándar de control interno,

situación que permite lograr un mejoramiento continuo; recomendación que ha sido reiterativa

en informes presentados durante la vigencia 2016.

La Oficina de Control Interno en próximo seguimiento a realizarse en el mes de Julio de 2.017,

volverá a revisar cada uno de los temas que se evidenciaron en este informe, esperando que

para ese momento las situaciones descritas, se hubieren subsanado.

Finalmente, la Oficina de Control Interno solicita de manera comedida, a la Oficina de

Tecnologías de la Información, que para futuros ejercicios de seguimiento y cuando se eleven

los requerimientos de información, éstos sean atendidos en los tiempos establecidos para ello,

con el fin de agilizar el proceso de análisis por parte de la profesional idónea a la que se le ha

confiado el seguimiento de esa importante dependencia de apoyo, y aquella pueda contar con el

tiempo suficiente para corroborar las evidencias aportadas y/o solicitar ampliación de las mismas,

en procura de presentar recomendaciones que puedan contribuir de manera efectiva al

mejoramiento continuo de los procesos y procedimientos que debe ejecutar la Oficina de

Tecnología de la Información.

Cordialmente,

JUAN DAVID LEMUS PACHECO

Jefe Oficina de Control Interno

Proyectó: Eddna Dueñas Monsalve, Ingeniera de Sistemas-Oficina de Control Interno

informe seguimiento y evaluaciÓn oficina de … · cofl02 página 1 de 22 superintendencia...

Documents