evaluación al sistema de información datamart y al proyecto tic
TRANSCRIPT
DEPARTAMENTO NACIONAL DE PLANEACION
OFICINA DE CONTROL INTERNO
EVALUACION AL SISTEMA DE INFORMACIÓN DATAMART Y AL PROYECTO TIC SISFUT
INFORME DEFINITVO
BOGOTA, NOVIEMBRE DE 2014
2
TABLA DE CONTENIDO
INTRODUCCIÓN ...........................................................................................................................................3
OBJETIVO GENERAL ...................................................................................................................................4
OBJETIVOS ESPECÍFICOS ............................................................................................................................4
MARCO LEGAL ............................................................................................................................................5
ALCANCE ...................................................................................................................................................6
METODOLOGÍA ...........................................................................................................................................6
EJECUCIÓN DE LA EVALUACIÓN ..................................................................................................................7
1. DESCRIPCIÓN DEL SISTEMA DATAMART ...............................................................................................7
2. ESTADO ACTUAL DEL SISTEMA DE INFORMACIÓN DATAMART. ..............................................................8
3. DESCRIPCIÓN DEL PROYECTO TIC SISFUT ..........................................................................................10
4. ESTADO ACTUAL DEL PROYECTO TIC SISFUT .....................................................................................12
5. ANALISIS DE LA DOCUMENTACIÓN DEL SISTEMA DE INFORMACIÓN .....................................................14
6. ANALISIS DEL CUMPLIMIENTO DE LAS POLITICAS DE SEGURIDAD DE LA INFORMACIÓN DEL DNP. .........19
7. CONCLUSIÓN ....................................................................................................................................24
3
INTRODUCCIÓN
La Oficina de Control Interno, en desarrollo del plan operativo aprobado para la vigencia 2014 programó
efectuar la evaluación al sistema de Información DATAMART y al PROYECTO TIC SISFUT, actividad que se
desarrolló como parte de sus funciones en el marco de la Ley 87 de 1993.
La evaluación estuvo orientada al fortalecimiento del Control Interno como mecanismo de apoyo al logro de los
objetivos propuestos por las áreas responsables de los sistemas de información objeto de la evaluación, en
cumplimiento de lo establecido en el artículo 2 de la Ley 87 de 1993, el cual establece la función de la Oficina de
Control Interno en cuanto a planear, dirigir y organizar, la verificación.
Esta evaluación se realizó con base en las normas de auditoría interna de general aceptación, las cuales
incluyeron la planeación de la evaluación, ejecución del trabajo y generación de informe. Para la ejecución de la
evaluación se emplearon, entre otras, técnicas de muestreo que se aplicaron a las operaciones, registros y
controles asociados al Sistema de Información.
Para el logro de los objetivos propuestos fue de vital importancia la participación de los responsables del
Sistema de Información y del proyecto TIC SISFUT, así como el suministro de la información soporte y
complementaria generada a partir del funcionamiento de los mismos.
El proceso de evaluación involucró la solicitud, análisis y verificación de la información relacionada con la
seguridad del sistema DATAMART y del PROYECTO TIC SISFUT.
4
OBJETIVO GENERAL
Evaluar el estado actual y la seguridad de la información del Sistema DATAMART y del Proyecto TIC SISFUT,
verificando el cumplimiento de las políticas de seguridad de la información a partir de los requisitos normativos y
de los lineamientos definidos por la Oficina de Informática del DNP.
OBJETIVOS ESPECÍFICOS
Establecer el estado Actual del Sistema de Información de DATAMART y del Proyecto TIC SISFUT.
Verificar la aplicación de los lineamientos técnicos establecidos para la seguridad de la información de la
Oficina de Informática para los sistemas de información.
Evaluar y verificar las características de confiabilidad, seguridad, efectividad y eficiencia de las
funcionalidades y procedimientos utilizados por la aplicación.
Identificar y analizar las debilidades, deficiencias y aspectos mejorables en el funcionamiento de las
aplicaciones.
5
MARCO LEGAL
Para la evaluación se tuvieron en cuenta entre otros, los siguientes aspectos legales que regulan los
procedimientos relacionados con el Sistema DATAMAR – y el PROYECTO TIC SISFUT:
Ley 715 de 2001
Ley 1176 de 2007
Decreto 159 de 2002
Decreto 72 de 2005
Decreto 3402 del 7 de septiembre de 2007
Art. 2. Decreto 777 de 2011
Art. 19. Ley 1450 de 2011
Norma ISO 27000 -27001. Marco de referencia de estándares internacionales, una mejor práctica en
Seguridad de la Información
Norma ISO 27002 “Tecnología de la Información” – Técnicas de Seguridad - Código para la Práctica
de la Gestión de la Seguridad de la Información. Marco de referencia de estándares internacionales,
una mejor práctica en Seguridad de la Información
Manual y Políticas de Seguridad de la Información del Departamento Nacional de Planeación.
Lineamientos y directrices definidos en la Intranet del DNP.
.
6
ALCANCE
La evaluación se efectuó bajo el marco del Sistema de Gestión de la Seguridad de la Información, en donde se
revisó del estado actual del Sistema de Información DATAMART y del Proyecto de TIC SISFUT, así como del
cumplimiento de las Políticas de Seguridad de la Información del DNP. La revisión de la información,
procedimientos y registros que dan cuenta del avance de los sistemas de información y de la aplicación de las
políticas definidas en este alcance, se realizó para el periodo establecido entre el primero (1) de enero de 2013
hasta el treinta y uno (31) de Julio de 2014.
METODOLOGÍA
La Oficina de Control Interno tuvo como marco de referencia las normas de auditoria de aceptación general
sobre las cuales orientó su labor con el propósito de determinar el estado del sistema de control interno en cada
uno de sus componentes así como la oportunidad y nivel de servicio prestado al usuario.
Para el análisis de los aspectos antes mencionados se revisó la información suministrada por la Coordinación
del Sistema de Información DATAMART y del Proyecto de TIC SISFUT, para lo cual se emplearon diferentes
medios como: solicitud y recopilación de información, realización de entrevistas a los funcionarios del área
respectiva, verificación, confrontación y análisis de la información obtenida y de las herramientas soporte del
servicio ofrecido al usuario.
Como complemento de la metodología se adelantaron las siguientes actividades:
1. Revisión y análisis de la información suministrada por la coordinación o líderes funcionales del Sistema de
Información y del proyecto TIC.
2. Revisión del sistema de información DATAMART y del PROYECTO TIC SISFUT identificando y
determinando aspectos de cumplimiento de política de seguridad de la información definida por la Oficina
de Informática.
3. Análisis de la gestión de incidentes de seguridad y el seguimiento a los mismos por parte de las personas
responsables del Sistema de Información en la Dirección Técnica (DDTS) y en la Oficina de informática.
4. Análisis de los niveles de seguridad implementados por el sistema.
5. Identificación de fortalezas, hallazgos y oportunidades de mejora una vez revisada y analizada la
documentación del Sistema definida en el alcance de la evaluación.
Las actividades anteriormente relacionadas constituyeron una guía general de procedimientos y acciones
diseñadas con el fin de alcanzar los objetivos propuestos.
7
EJECUCIÓN DE LA EVALUACIÓN
1. DESCRIPCIÓN DEL SISTEMA DATAMART
De acuerdo con la información remitida por la Dirección de Desarrollo Territorial en su radicado No.
20144220086183, en la que se realiza una descripción de los antecedentes de los aplicativos evaluados, la cual
ha sido corroborada de acuerdo con las entrevistas, documentos y comunicaciones intercambiadas con el
equipo responsable del Sistema, se tiene la siguiente información remitida a la Oficina de Control Interno, que
explica el ciclo de vida que ha tenido el aplicativo:
“El Sistema DATAMART surgió en el año 2005 como una respuesta a la necesidad de la DDTS de centralizar la
información territorial requerida para la distribución de las transferencias de la nación a los departamentos,
distritos y municipios y demás información relevante para efectos de la definición de políticas y de seguimiento y
evaluación de la gestión pública territorial. Por lo cual, se adelantó la respectiva contratación de su diseño en la
Oficina de Informática.
Para el año 2007, la pertinencia y utilidad del DATAMART se vio afectada a partir de la entrada en
funcionamiento del Formulario Único Territorial- FUT (Instrumento unificado de reportes presupuestales de las
entidades territoriales al Gobierno Nacional, creada por el Decreto 3402 de 2007). El desarrollo e
implementación del FUT generó el ajuste constante de las clasificaciones y denominaciones de rubros
presupuestales (ingresos, funcionamiento, inversión, deuda, etc.) para atender las necesidades particulares de
los ministerios y demás entidades que intervienen en la elaboración del plan de cuentas del FUT; situación que
generó dificultades en el cargue de las ejecuciones presupuestales en la Bodega de Datos, así como en la
generación de reportes; esto debido a que se presentaron restricciones conceptuales y técnicas en la
homologación de la información fiscal y financiera de las vigencias 1993 a 2004, cargada inicialmente en el
DATAMART, con la información reportada por los municipios en el SICEP y en el FUT en los años siguientes.
Así las cosas, se requirió de la creación e implementación de procesos adicionales por fuera del sistema,
mediante el uso de hojas en Excel para el alistamiento previo de la información y luego de poder cargarla a la
bodega de datos del sistema. Por lo anterior, se planteó a la Oficina de Informática la necesidad de contratar a
la firma que elaboró el DATAMART, para efectos de adoptar las medidas pertinentes orientadas a optimizar el
cargue de la información reportada por los departamentos y municipios en el SICEP y en el FUT y la elaboración
de los reportes. Sin embargo, en ese momento se informó que la Oficina de Informática conjuntamente con la
8
Dirección de Inversiones y Finanzas Públicas – DIFP- había contratado a la firma que elaboró el DATAMART,
para el desarrollo de la aplicación específica de esa dependencia, y en el marco de dicho contrato se asignaron
unas horas para determinar la manera como se podrían superar las dificultades para el cargue de la información
del DATAMART. Sin embargo, esta estrategia no funcionó…”.
2. ESTADO ACTUAL DEL SISTEMA DE INFORMACIÓN DATAMART.
Con base en el memorando 20144220086183, se informó que por las razones arriba expuestas, el Sistema
DATAMART no se encuentra en producción y que, en consecuencia, la DDTS procederá a solicitar su
eliminación del inventario de Sistemas de Información con que cuenta el DNP.
La información que se gestionó por medio de éste sistema de información correspondiente a las ejecuciones
presupuestales de 1993 a 2004, siguen siendo consultadas pero no a través del aplicativo DATAMART; se
extrajo dicha información -datos históricos- en un archivo Excel y en éste se hacen las consultas de información
para apoyo del ejercicio de las funciones de la DDTS. De acuerdo a la documentación entregada por la OI el 18
de septiembre de 2014, en el documento cuyo archivo es "PLAN DEL PROYECTO DATAMART.doc" se informa
que el desarrollo de la solución se realizó mediante el contrato DNP-058-05; adicionalmente en el documento
"Proyecto Datamart.doc", "TERMINOS DE REFERENCIA PARA DATAMAR. 2004.doc" y en los documentos de
casos de uso y requerimientos se especifican los requerimientos y necesidades de negocio –incluyendo los
requerimientos de seguridad- que se deben apoyar mediante la solución que se desarrolló; igualmente en el
documento cuyo archivo es “Doc. Guía de Usuario Final.doc” se describe la funcionalidad de la solución
entregada. Cabe resaltar que el proyecto cuenta con la documentación completa en cuanto a documentos de
especificación de requerimientos, documentos de análisis y diseño, manuales técnico y de usuario, y otros
documentos propios de la gerencia de proyectos tal y como se menciona en los documentos de la fase de
“Iniciación” del sistema DATAMART.
Del análisis realizado a la información anteriormente descrita, que fue la suministrada por la dependencia en
cuanto al Sistema, surgen las siguientes situaciones que contribuyen a fortalecer no sólo el ciclo de vida del
Sistema de Información DATAMART, sino también, a fortalecer los controles implementados para el seguimiento
a los sistemas de información en la Entidad por parte de la Oficina de Informática:
9
Oportunidad de Mejora No. 1
Durante la revisión realizada al estado actual del Sistema de Información DATAMART, se observó que la
continuidad del Sistema se vió afectada desde el 2007 por la nueva necesidad (Decreto 3402 de 2007) y las
nuevas estructuras de información requeridas para su procesamiento, ya que se presentaron restricciones
conceptuales y técnicas en la homologación de la información fiscal y financiera cargada inicialmente en el
DATAMART y desde esa fecha el aplicativo dejó de ser útil teniendo en cuenta las nuevas necesidades, sin que
a la fecha de la auditoría (Octubre de 2014) se haya formalizado ante la Oficina de Informática, solicitud de
deshabilitación o cierre del Sistema de Información, con su correspondiente justificación y concepto técnico que
la sustente. Lo anterior, genera el riesgo de inexactitud en el inventario de aplicativos de la entidad.
De acuerdo con el memorando Rad. 20144280117113 del 7 de noviembre de 2014, la dependencia a cargo del
Sistema de Información respondió:
“Consideramos pertinente conocer de forma detallada el procedimiento a seguir para el cumplimiento de esta
recomendación, de tal manera que pueda cumplirse de manera eficaz y se retire definitivamente DATAMART de
la base de aplicativos del DNP”.
Consideraciones de la Oficina de Control Interno: En consideración a que la Oficina de Informática define
los lineamientos del ciclo de vida de un Sistema de Información, es importante que el equipo de Datamart
consulte a ésta dependencia, el trámite y la documentación requeridos para el cierre –deshabilitar o dar de baja-
de dicho sistema. Al respecto se resalta el interés mostrado por parte del equipo coordinador de adelantar las
actividades que correspondan al cierre.
Recomendación
Formalizar y conservar el registro mediante el cual se solicita con la debida justificación y concepto técnico, ante
la Oficina de Informática, la salida del DATAMART del inventario de aplicativos del DNP.
10
Oportunidad de Mejora No. 2
Durante la auditoría realizada al Sistema DATAMART se observó que la OI no tiene contemplados una política y
un procedimiento/instructivo que por causas tecnológicas, cambio del modelo de negocio u otras causas que se
manifiesten explícitamente, permitan eliminar y/o dar de baja aplicativos desarrollados In House, ni los requisitos
o criterios necesarios para justificar o conceptuar esta operación, lo anterior genera debilidades de control en el
seguimiento al ciclo de vida de los aplicativos por ausencia de procedimientos formales para el retiro de estos,
una vez se presenten las razones o circunstancias que lo justifiquen.
Recomendación
Establecer políticas y procedimientos/instructivos para el monitoreo del ciclo de vida de aplicativos en
producción desarrollados In House, que definan las actividades a realizar para formalizar su retiro del inventario
de aplicativos y dejar trazabilidad para la entidad de las causas que llevaron a su desuso.
3. DESCRIPCIÓN DEL PROYECTO TIC SISFUT
De acuerdo con la información establecida en el Plan de Administración de Proyecto, el proyecto TIC SISFUT
tiene como propósito el diseño, desarrollo e implementación de una herramienta de software que permita
procesar y validar de manera rápida y fácil, la información registrada en el FUT (Formulario Único Territorial)
por las diferentes entidades territoriales, generando de manera automática y/o por demanda, y con el nivel de
consolidación que se requiera (nacional, departamental o municipal), los reportes necesarios para apoyar el
proceso de toma de decisiones relacionadas con la distribución, evaluación y monitoreo de los recursos del SGP
y la evaluación del desempeño territorial.
Con la firma del Decreto 3402 del 7 de septiembre de 2007, se definen las orientaciones generales para la
aplicación del FUT, en él se establece para dicho mecanismo de recolección de información, las fechas para la
presentación de los reportes por parte de los organismos obligados y se crea la Comisión Intersectorial del FUT,
la cual es la responsable de coordinar, evaluar y actualizar el FUT de acuerdo con las necesidades de
información de naturaleza financiera, económica, geográfica, social y ambiental, que los usuarios estratégicos
requieran (Ministerio de Hacienda y Crédito Público, DANE, CGN, Federación de Municipios, etc.) que sea
reportada por parte de las entidades territoriales.
11
La información que ingresa a cada una de las categorías del FUT proviene de las diferentes entidades
territoriales de los órdenes departamental, distrital y municipal, ésta se consolida en el CHIP (Consolidador de
Hacienda e Información Pública - CHIP) al que accede cada entidad territorial y en el cual se captura la
información de forma directa.
El SISFUT, se constituye así, en una herramienta consolidadora de la información financiera reportada en el
FUT, por los municipios y departamentos; permite ofrecer entre otros servicios, a las Secretarias
Departamentales como uno de sus clientes, la consolidación de información por Departamento, ya que el CHIP
si bien recolecta la información que reporta cada municipio, distrito o gobernación, esta se mantiene por
separado, mientras que el SISFUT la consolida actualmente a nivel departamental. La información procesada
en el SISFUT sirve de insumo para el análisis del desempeño de los municipios y para la toma de decisiones del
Sistema General de Participaciones en materia de Distribución. Su ruta de ubicación o URL es:
http://sisfut.dnp.gov.co/Sisfut.
EQUIPO ACTUAL DEL SISFUT
El equipo responsable de la ejecución del proyecto de TIC está conformado por la Directora de Desarrollo
Territorial Sostenible como responsable del Sistema; un ingeniero de sistemas que desempeña los roles de líder
tecnológico, ingeniero de requerimientos, arquitecto, analista diseñador y desarrollador y atención de
requerimientos; un contratista que desempeña el rol de probador y líder funcional y un funcionario que
desempeña el rol de líder de desarrollo territorial. De acuerdo con las entrevistas realizadas se observó que se
tiene contacto permanente con los Ingenieros de la Oficina de Informática.
De la caracterización del proyecto realizada se observaron las siguientes situaciones que pueden contribuir para
la mejora del Sistema de Información:
Buena Práctica No. 1
De acuerdo con la información analizada sobre los integrantes y roles del equipo del Proyecto de TIC SISFUT
se observó la importancia, como buena práctica, de identificar mediante un análisis de cargas de trabajo y la
aplicación de la Guía para la Administración de Riesgos de Seguridad de la Información de la OI, los riesgos del
aplicativo que puedan estar asociados a la concentración en un solo ingeniero el desempeño de múltiples roles
12
(líder tecnológico, ingeniero de requerimientos, arquitecto, analista, diseñador, desarrollador y mesa de ayuda
del aplicativo); esto con el fin de apoyar la gestión de la persona responsable de éstos roles y documentar y
administrar los controles que se hacen necesarios para evitar la materialización de los riesgos que sean
identificados.
Recomendación
Analizar durante la documentación o revisión del mapa de riesgos que sea realizada, la pertinencia de involucrar
riesgos asociados a la concentración de responsabilidades en una sola persona.
4. ESTADO ACTUAL DEL PROYECTO TIC SISFUT
Frente al Sistema de Información, se tiene que actualmente está operando en un ambiente de producción, es
consultado por usuarios externos e internos a la entidad y su información está siendo empleada como insumo
para la ejecución de los procesos relacionados con el SGP y la Evaluación Integral de las Entidades
Territoriales, por lo que se concluye, de conformidad con la información proporcionada por el equipo
Coordinador del SISFUT, que la etapa de desarrollo fue culminada al entrar en producción y actualmente se
encuentran en una fase de mantenimiento y cargue en el SISFUT de la información del FUT generada por la
Contaduría General de la Nación y reportada por las entidades territoriales, de conformidad con lo establecido
en los planes de Acción de la vigencia 2013 y 2014.
Teniendo en cuenta que el sistema continúa proporcionando los insumos de información para el análisis del
desempeño de los municipios y para la toma de decisiones del Sistema General de Participaciones en materia
de Distribución, en el Plan de Administración del Proyecto de TIC Sisfut, numeral 2 “Alcance Funcional”, se
articula el Sistema SISFUT al Sistema de Gestión de Calidad, al señalar que apoya los procesos “Seguimiento
al Sistema General de Participaciones” Código SE-SP y “Evaluación Integral de las Entidades Territoriales”, sin
embargo el Sistema de información no se menciona como tal en los descriptores de éstos procesos con los
cuales el SISFUT interactúa, aspecto que en próximas actualizaciones podría ser tenido en cuenta con el fin de
evidenciar de una manera más precisa su articulación.
De otro lado, se observa que actualmente el FUT está recolectando información de ejecución presupuestal del
Sistema General de Regalías y por lo tanto, esta información ya es procesada actualmente por el SISFUT.
13
Uno de los aspectos sobre los cuales se está trabajando en el Sistema es sobre la calidad de la información
reportada y los procesos de validación de la información, para tal fin se han implementaron mallas de validación
de la información con el fin de hacer cruces de datos, pero en búsqueda de la mejora continua del sistema y
para tratar éstos temas de calidad y otros relacionados con las necesidades de los usuarios se decidió adelantar
la contratación de un Diagnóstico que permita fortalecerlo.
Actualmente se está realizando un diagnóstico con el apoyo de la Cooperación SUIZA; para ello, se firmó el
contrato con la Unión Temporal Dinámica Gerencial, con el que se pretende obtener instrumentos o información
útil para mejorar el sistema SISFUT, esto a partir de una encuesta en los territorios en los cuales pueda
identificarse insumos útiles para fortalecer reportes de información requerida por éstos o el funcionamiento
mismo del sistema.
Por otra parte, se está analizando el alcance del sistema, para lograr en el futuro una interoperabilidad entre el
CHIP de la Contaduría y el SISFUT del DNP, de tal forma que exista un envío automático o transferencia de
información directa. Adicionalmente, se espera que en el futuro se contemple su integración con otros sistemas
de la Entidad como el SICEP Gestión, con el cual se captura información que se utilizará para la evaluación de
los componentes de eficiencia y capacidad administrativa de la metodología de evaluación y análisis del
desempeño integral municipal, así como información relacionada con planeación estratégica, rendición de
cuentas entre otras; o el SIEE, Sistema de Información de Evaluación de Eficacia, con el cual se reporta
información requerida para la evaluación del componente de eficacia, relacionada con el cumplimiento de las
metas de producto de los planes de desarrollo 2012-2105, programadas y ejecutadas. Todos ellos aplicativos
que contribuirían con su integración, a aportar información Integral para calcular los componentes de eficiencia y
capacidad administrativa de los municipios.
De acuerdo con lo anterior se observaron las siguientes situaciones que podrían contribuir a mejorar el cierre
del Proyecto TIC del SISFUT:
Oportunidad de mejora No. 3
De acuerdo a las pruebas y entrevistas realizadas se confirmó que el aplicativo SISFUT se encuentra en
producción, por lo tanto se evidencia un producto terminado que está siendo utilizado en un ambiente oficial por
usuarios internos y externos. La anterior situación, permite establecer que el proyecto de TIC del SISFUT ya
concluyó y que por lo tanto debe existir un acta de cierre de dicho proyecto y el registro de derechos de autor de
14
dicho aplicativo –de acuerdo a la actividad 4.”Cierre del proyecto”- del proceso “Proyectos de TIC” del SGC, lo
cual no se encontró en la documentación provista por la DDTS. Adicionalmente se observó que los nuevos
requerimientos planteados para la vigencia 2014 se presentan de acuerdo a la documentación suministrada por
la DDTS, como mantenimiento de la solución y que a pesar de corresponder a actividades dentro del ciclo de
vida de los aplicativos informáticos según la estrategia definida por la OI, no son actividades de control de
cambios como está definido por la actividad No. 3 del descriptor del proceso “Proyectos de TIC” y su
documentación relacionada. De no tener en cuenta lo anterior se podría materializar los riesgos del Proceso de
Proyectos de TIC “decisiones erróneas en el desarrollo de las fases del proyecto”, ya que el cierre y las
actividades conexas a éste, consideradas como la última fase del desarrollo no se han adelantado aún e
“Inexactitud en la identificación de requerimientos durante el desarrollo del proyecto” dada la no aplicación de
los criterios establecidos para la gestión del cambio.
Recomendación
Se sugiere analizar las actividades establecidas en el proceso del SGC “Proyectos de TIC” del Sistema de
Gestión de Calidad, con el fin de determinar los aspectos que faltan para dar por cerrado el proyecto de TIC
SISFUT.
5. ANALISIS DE LA DOCUMENTACIÓN DEL PROYECTO DE TIC SISFUT
Pruebas realizadas
Con el fin de validar la documentación del aplicativo se adelantaron pruebas de cumplimiento mediante la
revisión de los documentos suministrados por el equipo coordinador del proyecto TIC SISFUT comparándolos
con las guías y lineamientos definidos por la Oficina de Informática para los desarrollos de aplicativos In House
en el DNP; es así como se efectuó revisión del Plan de Administración de Proyecto, de los Planes de Acción
suministrados, Documento Visión y Administración del Riesgo.
De la revisión adelantada se tiene que:
15
El Plan de Administración de Proyecto y Documento Visión:
Como parte de la documentación que soporta la estructura y desarrollo del sistema de información fueron
solicitados al equipo Coordinador del SISFUT, el plan de administración de proyecto y el documento visión; con
el suministro de ésta información, se observó que éstos se encuentran elaborados desde la vigencia 2012.
El plan de administración de proyecto consta de una descripción general del proyecto que incluye problemática
tratada, propósito, alcance, objetivos, antecedentes y situación actual. En cuanto al entorno y condiciones
técnicas, se tienen definidas suposiciones y restricciones, roles y responsabilidades. El documento contiene
características generales del proyecto, participantes y un plan de capacitaciones, sobre el cual se establece
más adelante una oportunidad para la mejora. En lo relacionado con la administración del riesgo se ha definido
una estrategia de manejo del riesgo y una lista de posibles riesgos que afectan el proyecto. Finalmente se tiene
un capítulo de Gestión de Configuración y Manejo del Cambio en el cual se menciona que se aplicará lo
establecido en los documentos, políticas y lineamientos que hayan sido publicados por la Oficina de Informática.
De acuerdo con lo anterior, si bien se observó cumplimiento de las instrucciones establecidas en los formatos
para la elaboración de un Plan de Administración de Proyecto y del Documento Visión, de la revisión adelantada
surgen las siguientes situaciones a tener en cuenta que contribuyen con el fortalecimiento del sistema:
Oportunidad de Mejora No. 4
De acuerdo con el documento de VISION entregado por la DDTS en el numeral 3.2 “Estadísticas y volúmenes”
se menciona: “…los usuarios de la solución tecnológica del Proyecto SISFUT, serán las diferentes áreas del
DNP, centralizando la administración y carga de archivos planos en la DDTS…” lo anterior hace referencia a
actividades que deberían pertenecer al proceso del SGC “Evaluación Integral de las Entidades Territoriales” que
realiza la DDTS y que se hacen a través de la solución desarrollada, mostrando la validez del aplicativo y no a
las actividades propias de un proyecto de construcción de Software, situación que también se encuentra en el
documento Plan de Acción de SISFUT; por lo tanto el cargue de archivos planos no es parte de una actividad de
un Proyecto de TIC sino del quehacer del proceso “Evaluación Integral de las Entidades Territoriales” que la
DDTS realiza, teniendo como referencia la actividad No. 2 de dicho proceso que señala en forma expresa
acerca de la disponibilidad de la información del SICEP. La anterior situación puede generar la materialización
de un riesgo similar al de “Inexactitud en la identificación de requerimientos durante el desarrollo del proyecto”
16
que se encuentra identificado en el mapa de riesgo del Proceso de Proyectos de TIC del Sistema de Gestión de
Calidad.
De acuerdo con el memorando Rad. 20144280117113 del 7 de noviembre de 2014, la dependencia a cargo del
Sistema de Información respondió:
“Se revisará la pertinencia de incluir formalmente el SISFUT en el proceso de “Evaluación Integral de
las Entidades Territoriales” teniendo en cuenta que se requiere articular detalladamente con la parte
funcional, operativa y metodológica de dicho proceso”.
Consideraciones de la Oficina de Control Interno: Teniendo en cuenta la propuesta de revisar la vinculación
del Sisfut al proceso de Evaluación Integral de las Entidades Territoriales, la oportunidad de mejora continua con
el fin de documentar aquellas acciones que se adelanten para el análisis del proceso.
Recomendación
Se sugiere analizar la pertinencia de incluir las actividades de cargue de información dentro del descriptor de los
proceso de “Evaluación Integral de las Entidades Territoriales”, así como revisar las actividades definidas para el
plan de acción del SISFUT relacionadas con el cargue.
Oportunidad de Mejora No. 5
De acuerdo a las entrevistas realizadas a la DDTS y la revisión de los procesos asociados, se observó que en el
mapa de riesgos del proceso “Evaluación Integral de las Entidades Territoriales” del SGC, no se tienen
identificados riesgos asociados a la actividad del cargue de información o de archivos planos realizada en el
SISFUT, ya que esta actividad puede afectar el proceso mencionado. La anterior situación podría generar el
incumplimiento de la norma NTC-GP 1000:2009, que en el numeral 4.2.3 establece en el literal b) “Revisar y
actualizar los documentos cuando sea necesarios y aprobarlos nuevamente”.
Frente al tema, de acuerdo con el memorando Rad. 20144280117113 del 7 de noviembre de 2014, la
dependencia a cargo del Sistema de Información respondió:
17
“Al igual que el punto anterior, se revisará la pertinencia de incluir formalmente el SISFUT en el
proceso de “Evaluación Integral de las Entidades Territoriales” puesto que se deben identificar los
riesgos asociados a los cambios y/o ajustes que se requieran en la parte funcional, operativa y
metodológica de dicho proceso, ya que éste se alimenta de varias fuentes de información, no sólo de la
información del FUT”.
Consideraciones de la Oficina de Control Interno: Teniendo en cuenta la propuesta de identificar los riesgos
asociados a los cambios y/o ajustes que se requieran en la parte funcional, operativa y metodológica del
proceso, la oportunidad de mejora continua con el fin de documentar aquellas acciones que se adelanten para
el análisis correspondiente.
Recomendación
Se recomienda realizar una revisión del mapa de riesgos del proceso de “Evaluación Integral de las Entidades
Territoriales” que realiza la DDTS, con el fin de identificar los riesgos asociados a las actividades de cargue, así
como actualizar los documentos del SGC que correspondan de acuerdo a los resultados obtenidos.
Planes de Acción
De acuerdo con la información reportada por el equipo coordinador del proyecto de TIC, se observó un plan de
acción para la vigencia 2014 que presenta un alcance y objetivos que no tienen relación directa con el proyecto
TIC SISFUT en cuanto a su ciclo de vida como proyecto, su contenido infiere un proyecto de TIC relacionado en
forma expresa con el mantenimiento del aplicativo; por lo que una vez revisado el contenido del plan surgen
observaciones al mismo que son susceptibles de mejora por su coherencia con el propósito principal del
proyecto TIC SISFUT establecido en el Plan de Administración del Proyecto, adicionalmente porque el Proceso
de Proyectos de TIC del SGC, establece la formulación de un único plan de acción para la vida del proyecto, el
cual se formula de manera articulada con los demás entregables definidos para éste. Dichas situaciones se
presentan a continuación para la mejora de la Documentación del Sistema de Información:
Hallazgo No. 1
Con base en la revisión hecha a la documentación entregada por la DDTS, no se cuenta con el documento “Plan
de acción Proyectos de TIC” que da cuenta del ciclo de vida del proyecto de desarrollo, realizado entre las
18
vigencias 2012 y 2013. Lo anterior, genera un incumplimiento a lo definido en el descriptor del proceso
“Proyectos de TIC” en la actividad 1. “Elaborar y aprobar el plan de acción específico del proyecto”.
Recomendación
Se recomienda establecer los controles necesarios y suficientes que permitan garantizar la elaboración de la
documentación definida en el proceso “Proyectos de TIC” para los actuales y futuros proyectos con componente
tecnológico que la DDTS desarrolle.
Documento Esquema de Seguridad
Revisado el documento Esquema de Seguridad de la Información se observó que éste documento describe la
administración de usuarios del sistema, define el esquema del control de acceso, administración de contraseñas
y copias de seguridad de la información; frente a su estructura se encontraron aspectos que requieren ser
ajustados, tal y como se presenta a continuación:
Oportunidad de Mejora No.6
Una vez revisado el documento “Esquema de Seguridad de la Información”, se observó que el nombre del
documento no es coherente, ya que al revisarlo se observó que en la portada el nombre del documento es
“Esquema de Seguridad, Sistematización de Información del FUT SISFUT y a partir de la tercera página del
documento, en el encabezado, se indica que el documento se denomina “Plan de Administración del Proyecto
Sistematización del FUT, SISFUT”. Adicionalmente el índice del documento no corresponde al tema tratado por
éste en materia de administración de usuarios y contiene textos que indican error de los marcadores. Lo
anterior, podría generar la materialización del riesgo de “inexactitud” en la documentación del Proyecto TIC” y
“Debilidades en la usabilidad del documento”.
Recomendación
Se sugiere el ajuste de la descripción del documento “Esquema de Seguridad de la Información”, de tal manera
que denote la calidad del mismo y facilite su utilización.
19
6. ANALISIS DEL CUMPLIMIENTO DE LAS POLITICAS DE SEGURIDAD DE LA INFORMACIÓN DEL DNP.
Pruebas Realizadas
Con el propósito de verificar el cumplimiento de los lineamientos de seguridad del aplicativo SISFUT
del DNP, se revisó la documentación entregada por parte de la DDTS y se realizaron pruebas técnicas
y funcionales validando el cumplimiento del producto (aplicativo SISFUT) en tres grandes aspectos de
seguridad de la información que son: El método de autenticación, la gestión de usuarios y la gestión de
incidentes.
MÉTODO DE AUTENTICACIÓN
Para la revisión de autenticación se realizaron pruebas de inicio de sesión en el aplicativo, se solicitó
información sobre la tecnología utilizada en dicho método de autenticación y la documentación
generada por el equipo coordinador del Sistema de Información para el aplicativo.
A la fecha se encuentran registrados en el Aplicativo SISFUT 187 usuarios. Los usuarios se crean en
el Sistema de acuerdo con solicitudes realizadas por correo electrónico a la DDTS, quienes en Comité
toman las decisiones de aceptar o no la solicitud; cuando se acepta la solicitud se envía un correo
electrónico al nuevo usuario como mecanismo de control y notificación por parte del administrador del
SISFUT; adicionalmente se evidenció que las contraseñas de los usuarios se almacenan de forma
cifrada y existen reglas de intentos fallidos de autenticación lo cual fortalece dicho mecanismo; sin
embargo se comprobó que no se tiene implementado el método de autenticación como lo establece la
Oficina de Informática en sus lineamientos de seguridad publicados en la Intranet La Rebeca. Dado lo
anterior surge la siguiente situación susceptible de mejora:
Oportunidad de Mejora No. 7
Durante la revisión realizada al aplicativo SISFUT, se observó al iniciar sesión con un usuario del DNP
y de acuerdo a lo informado por la DDTS en reunión de revisión del informe preliminar, que el método
20
de autenticación empleado por el Sistema de Información no integra al Directorio Activo de la Entidad.
Sin embargo, se observó que para el caso particular del aplicativo, se puede exceptuar la aplicación de
dicha política, debido al tipo de información gestionada por el SISFUT (información pública de
consulta) y los argumentos de sustentación presentados por el equipo coordinador del Sistema de
Información, situación que genera el riesgo de inexactitud en la definición de exclusiones desde la
concepción del proyecto en los documentos Plan de Administración de Proyecto y Documento Visión,
ya que se deben documentar aquellas políticas o criterios que no son condición vital para el aplicativo y
que por tanto se exceptúan.
Recomendación
Se recomienda a los responsables técnicos de la DDTS y la OI, analizar la pertinencia de incorporar e
integrar al aplicativo el mecanismo de autenticación del Directorio Activo para los usuarios internos del
DNP o efectuar el análisis que corresponda para la exclusión en cuanto a la aplicación de la política
relacionada con la autenticación para usuarios internos del DNP; como sea que el resultado del
análisis defina la aplicación o no de la política en cuestión, se sugiere documentar la decisión.
ADMINISTRACIÓN DEL RIESGO
Durante la evaluación realizada a los documentos del Sistema de Información se observó que se tiene definida
una estrategia general de riesgos, se adelantó una identificación de riesgos y su correspondiente valoración y
estrategias de mitigación. De igual forma se observaron aspectos que articulan los riesgos del Sistema de
Información con los mapas de riesgo de los procesos del Sistema de Gestión de Calidad que éste aplicativo
apoya, tal es el caso del Proceso de Evaluación Integral de las Entidades Territoriales y Seguimiento al Sistema
General de Participaciones, en lo relacionado con la actividad del cargue de la información de la bodega FTP en
el SISFUT, situación sobre la cual se plantea, más adelante, una oportunidad para la mejora
En la revisión de la documentación, se evidenció que hay elementos que forman parte constitutiva de la
administración de riesgos del aplicativo que aún no se han documentado y que son objeto de igual forma de una
situación susceptible de mejora.
21
Por otro lado se encontró que el sistema de información no cuenta con un mecanismo de control y seguimiento
que permita hacer trazabilidad de transacciones (consultas), aspecto que es relevante en los Sistemas de
Información que administran información de carácter presupuestal.
Del anterior análisis surgen las siguientes situaciones que pueden mejorar para el Sistema de Información:
Hallazgo No. 2
Durante la revisión de la documentación del Sistema de Información SISFUT, se observó que no se tiene
documentado el mapa de riesgos correspondiente al aplicativo de acuerdo con lo establecido en la Guía para la
Administración de Riesgos de Seguridad de la Información de la OI.
Recomendación
Efectuar la correspondiente documentación del mapa de riesgos que evidencie la administración de riesgos
realizada sobre el Sistema de Información.
Oportunidad de mejora No. 8
De acuerdo a las entrevistas realizadas a la DDTS, se identifica que la actividad del cargue de la información de
la bodega FTP en el SISFUT, cuya responsabilidad y ejecución es del administrador del SISFUT, no se
encuentra incorporada en el descriptor del proceso “Evaluación Integral de las Entidades Territoriales” que
realiza la DDTS y para el cual el aplicativo apoya el proceso. Adicionalmente, como consecuencia de la
situación anterior, no se tienen identificados riesgos asociados a la actividad del cargue de información. La
anterior situación podría generar el incumplimiento de la norma NTC-GP 1000:2009, que en el numeral 4.2.3
establece en el literal b) “Revisar y actualizar los documentos cuando sea necesarios y aprobarlos nuevamente”.
Frente al tema, de acuerdo con el memorando Rad. 20144280117113 del 7 de noviembre de 2014, la
dependencia a cargo del Sistema de Información respondió:
“Se analizaran los diferentes aspectos y fuentes que participen de forma activa en el cargue de la
información necesaria para ejecutar el proceso de “Evaluación Integral de las Entidades Territoriales” y
en su momento se solicitará el acompañamiento de la Oficina de Planeación para ajustar y/o modificar
el proceso.”
22
Consideraciones de la Oficina de Control Interno: Teniendo en cuenta la propuesta de analizar los diferentes
aspectos y fuentes que intervienen para el cargue de información en el proceso de Evaluación Integral de la
Entidades Territoriales, la oportunidad de mejora continua con el fin de documentar aquellas acciones que se
adelanten en el marco del análisis o posible actualización del proceso.
Recomendación
Se recomienda realizar una revisión al proceso “Evaluación Integral de las Entidades Territoriales” de la DDTS y
su mapa de riesgos con el fin de identificar las actividades relacionadas con el uso del aplicativo SISFUT y
solicitar con ello la actualización de los documentos del SGC que correspondan de acuerdo a los resultados
obtenidos.
ANALISIS DE LA GESTIÓN DE INCIDENTES DE SEGURIDAD
De acuerdo con las entrevistas realizadas y la documentación suministrada por la DDTS, el servicio de soporte
técnico tiene baja demanda y es atendido por el profesional que realizó el desarrollo de la solución,
evidenciando como fortaleza el conocimiento y la rápida identificación de las soluciones a los incidentes y/o
solicitudes que presentan los usuarios del aplicativo.
De otro lado, se identificó durante la auditoría que la gestión de incidentes utiliza como herramienta documental
un archivo en Excel para el registro de los soportes técnicos atendidos, evidenciando que no se está adoptando
la política 09 de Gestión de Incidentes que indica que éstos se gestionan a través del centro de servicios
(Altiris), ésta situación por falta de conocimiento y socialización de la política mencionada.
Es así como se identificó la siguiente Buena Práctica:
Buena Práctica No. 2
Con el fin de fortalecer el conocimiento de las políticas de Seguridad de la Información, se sugiere establecer en
coordinación con la Oficina de Informática una reinducción al equipo coordinador del proyecto TIC SISFUT,
acerca de todos los procedimientos e instructivos que deben ser aplicados en el DNP para Gestión de
Incidentes.
23
COMUNICACIONES SEGURAS
En este aspecto se analizó la gestión de comunicaciones en donde se revisó el protocolo empleado para la
transmisión de la información desde la máquina del usuario final hasta los servidores y viceversa, con el fin de
establecer la seguridad de comunicación de la solución.
Pruebas
Para analizar lo anterior, se realizó la verificación de comunicación segura del aplicativo, mediante la realización
de inicio de sesión en SISFUT y se copió la ruta de la URL una vez se tenía la sesión de usuario activa,
encontrando la siguiente cadena de texto http://sisfut.dnp.gov.co/Sisfut/.
Frente al tema se genera la siguiente situación susceptible de mejora:
Hallazgo No. 3
Durante la verificación del protocolo de comunicación utilizado por el aplicativo, se identificó que este no utiliza
un protocolo que establezca una comunicación segura, se encontró que el protocolo utilizado es http el cual no
implementa un nivel de seguridad en la comunicación mediante la transmisión de información cifrada entre los
nodos extremos. Lo anterior, evidencia el incumplimiento de la política de seguridad informática de aplicativos y
plataforma web No. 4 publicada en la Intranet la Rebeca en la ruta:
http://larebeca/Gesti%C3%B3ndeTIC/Pol%C3%ADticasyLineamientosT%C3%A9cnicosdeTIC/AplicativosInform
%C3%A1ticos/Pol%C3%ADticasdeSeguridad.aspx, la cual señala: “Comunicaciones seguras a fin de proteger
las transferencias de datos entre componentes y servicios remotos”.
Recomendación
Se recomienda a los responsables técnicos incorporar el uso de comunicaciones seguras en la operación del
aplicativo con el fin de dar cumplimiento a la política No. 4 para aplicativos y portales web.
24
7. CONCLUSIÓN
De acuerdo con las actividades previstas en el plan operativo del año 2014, la Oficina de Control Interno evaluó
en forma independiente, con sujeción a las normas generales de auditoría integral, el sistema de control interno
inherente al Sistema de Información DATAMART y al Proyecto TIC SISFUT en lo relacionado con la aplicación
de las políticas de seguridad de la información.
Los resultados de las pruebas practicadas y la evidencia obtenida de acuerdo con los criterios definidos en la
planeación del trabajo se refieren sólo a los registros y/o documentos examinados, no se hacen extensibles
como conclusión general del estado de los Sistemas de Información, teniendo en cuenta que fue revisada la
información enmarcada en el alcance de la evaluación.
El análisis de los resultados de esta evaluación permite concluir que el sistema de control interno vinculado con
el Sistema de Información DATAMART y al Proyecto TIC SISFUT son susceptibles de mejoramiento de acuerdo
con los Hallazgos y/o Oportunidades de Mejora identificados para cada uno de los aspectos evaluados, sobre
los cuales se presentan recomendaciones con el fin de contribuir al fortalecimiento de los mecanismos de
control interno asociados al proceso.
Frente al hallazgo No. 4 y la Oportunidad de Mejora No. 4 del informe preliminar, una vez analizados los
argumentos proporcionados por la dependencia mediante respuesta Rad. 20144280117113, se aceptan y se
retiran del informe en consideración a los nuevos soportes suministrados.
Con el propósito de contribuir al fortalecimiento del Sistema de Control Interno Institucional, se requerirá de la
formulación de acciones para los hallazgos y oportunidades de mejora identificados en el presente informe. En
el caso de las buenas prácticas que fueron presentadas, quedará a potestad de la dependencia la formulación
de acciones de mejora.
El conjunto de acciones generadas será objeto de seguimiento por parte de la OCI.