informe seguimiento y evaluaciÓn oficina de … · cofl02 página 1 de 22 superintendencia...
TRANSCRIPT
COFL02 Página 1 de 22
SUPERINTENDENCIA NACIONAL DE SALUD
INFORME SEGUIMIENTO Y EVALUACIÓN
OFICINA DE TECNOLOGIAS DE LA INFORMACION
OFICINA DE CONTROL INTERNO
Bogotá, Marzo de 2017
COFL02 Página 2 de 22
CONTENIDO
1. OBJETIVO .......................................................................................................................................................................... 3
2. ALCANCE .......................................................................................................................................................................... 3
3. MÉTODOLOGÍA ................................................................................................................................................................ 3
4. JUSTIFICACIÓN ............................................................................................................................................................... 4
5. INFORME ........................................................................................................................................................................... 4
5.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS ........................................... 4
5.2 EVALUACION MAPA DE RIESGOS DEL PROCESO ............................................................................................. 8
5.2.1 Riesgos Operacionales ................................................................................................................................................. 8
5.2.2 Riesgos de Corrupción ............................................................................................................................................... 10
5.2.3 Riesgos asociados al Subsistema de Seguridad de la Información ................................................................... 12
5.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO ...................................... 14
5.3.1 De Informes de Seguimiento ..................................................................................................................................... 14
5.3.2 De Auditorias al Sistema Integrado de Gestión ....................................................................................................... 17
5.3.3 De Auditorias al Subsistema de Seguridad de la Información (Auditoría de Certificación)............................... 19
6. CONCLUSIONES Y RECOMENDACIONES .............................................................................................................. 22
COFL02 Página 3 de 22
1. OBJETIVO
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones y en atención al Plan Anual de Gestión – Plan Anual de Auditorías y Seguimientos
(PAAS), aprobado para la vigencia 2017 el cual fue aprobado por la Alta Dirección Institucional
mediante Resolución No. 4130 del 15 de Diciembre de 2.016, realizó seguimiento y evaluación
a la gestión de la Oficina de Tecnologías de la Información, cuyos procesos y procedimientos
fueron aprobados mediante resolución 4086 del 19 de Diciembre de 2014, y por Resolución 1110
de 2015, se definen los Grupos Internos de Trabajo y se definen funciones para los mismos.
2. ALCANCE
La Oficina de Control Interno de la Superintendencia Nacional de Salud, en cumplimiento de sus
funciones legalmente asignadas, concentrará su atención en los tópicos que a continuación se
relacionan:
a. Seguimiento a los procesos: Gestión de Incidentes, Gestión de Cambios y Gestión de
Problemas, que hacen parte del Proceso Gestión de Servicios Tecnológicos, de la
Oficina de Tecnologías de la Información.
b. Revisión de riesgos asociados a los procesos (institucional y de corrupción), y de tres (3)
riesgos asociados al Subsistema de Seguridad de la Información
c. Seguimiento a recomendaciones presentadas por la Oficina de Control Interno, en informes
anteriores.
3. MÉTODOLOGÍA
La metodología a seguir es la siguiente:
3.1 Programación del Seguimiento a la Gestión.
La programación del seguimiento a la gestión y del Sistema Integrado de Gestión (SIG), se
encuentran incorporadas en el PAAS – “Programa Anual de Auditoría y Seguimiento”, de la
Oficina de Control Interno para la vigencia de 2.017, el cual fue aprobado por la Alta Dirección
Institucional mediante Resolución No. 4130 del 15 de Diciembre de 2.016 “Por la cual se aprueba
el Plan Anual de Gestión de la Superintendencia Nacional de Salud para la vigencia 2.017 y se
hace una delegación y las que la modifiquen o adicionen.”
3.2 Planeación del Seguimiento a la Gestión
Con el objeto de realizar la planificación del seguimiento a la gestión a realizarse durante el mes
de Marzo de 2017, la funcionaria asignada como “Madrina” de la Oficina de Tecnologías de la
Información, programó las actividades a ejecutar, estableciendo las temáticas a abordar y que
fueron enunciadas en el “numeral 2. Alcance”, de este documento.
3.3 Anuncio del seguimiento
El anuncio del Seguimiento y solicitud de información, se presentó a la Oficina de Tecnologías
de la Información, mediante NURC 3-2017-002923 del 24 de Febrero de 2017.
COFL02 Página 4 de 22
3.4 Ejecución del seguimiento
Análisis de la información enviada por la Oficina de Tecnologías de la Información mediante
NURC 3-2017-003995 del 13 de Marzo de 2017, la que además, fue debidamente publicada por
la dependencia objeto de seguimiento, en el micro-sitio de la Oficina de Control Interno
denominado BANCO DE EVIDENCIAS.
3.5 Elaboración y revisión Informe de seguimiento.
Una vez revisada y analizada la información, se elabora el informe de seguimiento y se pone a
consideración y aprobación del mismo, al Jefe de la Oficina de Control Interno, quien lo presenta
al Despacho del Señor Superintendente Nacional de Salud, durante el mismo mes de ejecución
del seguimiento.
3.6 Reporte de la actividad y publicación del informe en la página Web.
La Oficina de Control Interno en ejercicio de su autocontrol y su autorregulación, tiene definidas
herramientas en las cuales cada funcionario debe reportar sus actividades mensuales;
información que es insumo para presentar a la Oficina Asesora de Planeación, los avances a la
Gestión del P.A.G.; y, de acuerdo con la normativa vigente, los informes generados por esta
dependencia, son publicados en el portal web de la Entidad.
4. JUSTIFICACIÓN
De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011 y los
Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de
Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro
de la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los
cargos; así como también, verificar que los controles asociados con todas y cada una de las
actividades de la organización estén adecuadamente definidos, sean apropiados y se mejoren
permanentemente, de acuerdo con la evolución de la Entidad.
5. INFORME
5.1 EVALUACION DEL CUMPLIMIENTO DE LAS FUNCIONES Y PROCEDIMIENTOS
De acuerdo con el rediseño Institucional formalizado mediante el Artículo 11 del Decreto 2462
del 7 de Noviembre 2013, la Oficina de Tecnologías de la Información tiene asignadas 22
funciones, las cuales se orientan al cumplimiento de los procesos definidos mediante Resolución
4086 del 19 de Diciembre de 2014, que se visualizan en el mapa de procesos, como sigue:
COFL02 Página 5 de 22
Para el presente seguimiento se evaluarán los procedimientos Gestión de Incidentes, Gestión
de Cambios y Gestión de Problemas, que hacen parte del Proceso Gestión de Servicios
Tecnológicos, de la Oficina de Tecnologías de la Información.
Adicionalmente, la Oficina de Tecnologías de la Información es el líder operativo del Subsistema
de Seguridad de la Información, aprobado mediante Resolución No. 0678 del 10 de Abril de 2014,
por el cual se adopta el Sistema Integrado de Gestión (SIG), modificada por Resolución No. 2116
del 25 de Septiembre de 2014.
En el mapa de procesos se encuentra definido dentro del macroproceso Estratégico, un proceso
definido como Gobierno y Gestión de la Información, con dos (2) procedimientos asociados,
debidamente aprobado por la Alta Dirección mediante Resolución 2189 del 28 de Julio de 2016
y que se visualiza como sigue:
COFL02 Página 6 de 22
En el portal Web de la Entidad, se encuentra el micro-sitio donde se pueden identificar todos los
documentos y registros que permiten verificar que el Subsistema de Seguridad de la Información
se ajusta a lo requerido por la norma ISO 27001 de 2013, y los controles definidos en el Anexo
A de la misma norma, y que puede ser consultado en el siguiente enlace: https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-
informacion
COFL02 Página 7 de 22
OBSERVACIONES OFICINA DE CONTROL INTERNO
Con base en los soportes aportados por la Oficina de Tecnologías de la Información, los cuales
se encuentran en la Oficina de Control Interno como papeles de trabajo, se pudo evidenciar que
la dependencia a la que se le hace seguimiento, ha realizado las actividades establecidas en los
procedimientos Gestión de Incidentes (GSPD01), Gestión de Cambios (GSPD02) y Gestión
de Problemas (GSPD03), que hacen parte del Proceso Gestión de Servicios Tecnológicos.
No obstante lo anterior, en la revisión a los documentos que contienen los procedimientos
enunciados, se pueden detectar algunos ajustes que, muy respetuosamente la Oficina de Control
Interno, recomienda sean tenidos en cuenta y se incluyan en la próxima modificación y/o ajuste
que se realice sobre ellos:
a. Para los tres procedimientos, en NORMAS, es conveniente que se incluya la Resolución 1110
de 2015, que derogó la 1621 de 2014 “por la cual se conforman los grupos internos de trabajo en
la Oficina de Tecnologías de la Información de la Superintendencia Nacional de Salud, y se asignan
funciones y coordinador.”; así como las demás normas que sean necesarias incluir.
b. En DEFINICIONES, es pertinente eliminar las definiciones repetidas.
c. En todos los documentos, es pertinente revisar y ajustar aspectos, como ortografía,
redacción, combinación de plurales y singulares, entre otros.
d. En todos los documentos es conveniente definir y unificar: Mesa de Servicios, Mesa de
Servicio, Mesa de Ayuda; lo mismo aplica para CA Service Desk, AC Service Desk, Service
Desk CA.
COFL02 Página 8 de 22
e. Para el procedimiento GESTION DE INCIDENTES:
Política de Operación 2: es posible complementarla, ya que la atención de un caso,
puede ser por “presencia directa” o “remotamente”, o ambos.
Política de Operación 5: es posible complementarla, ya que en la Mesa de Servicios no
solo se reciben “cuestiones técnicas”, sino también incidencias que tienen relación con
“Seguridad de la Información” y otros temas.
Política de Operación 9: Se puede complementar o modificar, ya que en la práctica todo
incidente que se presente, debe ser reportado por Mesa de Servicios.
Política de Operación 11: Se puede complementar o modificar, ya que en la práctica
todo requerimiento sobre “movimiento o traslado de equipos”, es reportado a Recursos
Físicos.
En Descripción del Procedimiento, actividad número 7: se puede complementar o
modificar que “se debe notificar mediante un correo electrónico”, ya que el citado correo
sale en forma automática del aplicativo CA.
f. Para el procedimiento GESTION DE PROBLEMAS:
En Descripción del Procedimiento, actividad número 1: se puede complementar o
modificar ya que los canales por los cuales se pueden radicar incidencias en Mesa de
Servicios son: a través de la Extensión 40123, correo electrónico
[email protected], Intranet y, de manera personal.
En Descripción del Procedimiento, actividad número 3: se debe modificar el código de
la guía, ya que el código correcto es GSGU03.
En los puntos de control la tercera actividad hace referencia a la No. 13, pero al verificar
debe ser la 12. Esto se puede verificar y modificar.
Aunque los anteriores ajustes son de forma; y no afectan la evaluación del cumplimiento a los
procedimientos, sí hacen parte del autocontrol que debe tener la dependencia, en cuanto a la
verificación de su documentación, y que ésta pueda mantenerse actualizada.
Cabe señalar, que en informes presentados durante la vigencia 2016, se hizo referencia a ajustes
similares, por lo cual se reitera recomendación formulada en el sentido de hacer la
correspondiente validación, verificación y ajustes, en ejercicio del principio de autocontrol que
establece el modelo estándar de control interno, situación que permite lograr un mejoramiento
continuo en todas las actividades y procesos y procedimientos de la dependencia que ahora
ocupa este informe de seguimiento.
5.2 EVALUACION MAPA DE RIESGOS DEL PROCESO
En el seguimiento objeto de este informe, se revisará un (1) riesgo operacional, los riesgos de
corrupción y tres (3) riesgos asociados al Subsistema de Seguridad de la Información.
5.2.1 Riesgos Operacionales
Dentro de los seguimientos que se realizarán durante la vigencia 2017 a la Oficina de
Tecnologías de la Información, se incluirá riesgos institucionales en cada una de ellas, con el fin
de verificar si esta dependencia tiene plenamente identificados los riesgos asociados a sus
procesos, y recoger evidencias de las acciones de mejora que se han implementado con el fin
de mitigarlos.
COFL02 Página 9 de 22
Del mapa de riesgos institucional, para el proceso de “Gestión de Servicios Tecnológicos”, se
escogió el siguiente:
PROCESO RIESGO DESCRIPCIÓN CAUSAS CONSECUENCIAS/EFECTOS
POTENCIALES
Gestión de Servicios Tecnológicos
No Apropiación de los recursos tecnológicos por parte de los usuarios.
La falta de claridad en los requerimientos funcionales puede producir proyectos de software deficientes causando insatisfacciones a las expectativas del cliente.
*No existen líderes funcionales que definan claramente la operación por parte de las áreas que solicitan apoyo. *Falta de apropiación de los recursos tecnológicos por parte de los usuarios finales.
Implementar metodologías para la Gestión de Proyectos de IT, que ayuden a garantizar la usabilidad y el cumplimiento de requerimientos y expectativas por parte de los usuarios plasmadas en los sistemas de información diseñados
Para el tema de riesgos, la Oficina de Tecnologías de la Información da respuesta mediante
NURC 3-2017-003995 del 13 de Marzo de 2017, en los siguientes términos:
“En el segundo semestre de la vigencia 2016, la Entidad a través de la Oficina de Tecnología de la
Información atendiendo lo establecido en el artículo 11 del Decreto 2462 de 2015[[1] Mediante el cual se
faculta a esta Oficina para definir las acciones que garanticen la aplicación de los estándares, buenas
prácticas y principios para el uso y manejo de la información estatal, alineado a las políticas y lineamiento
del Sector de las Tecnologías de la Información y las Comunicaciones.1], en aras de fortalecer y promover
las competencias laborales del talento humano al servicio de la entidad, dar un uso más eficiente a los
recursos, y mantener una actualización del conocimiento en el uso de los mencionados recursos
tecnológicos, procedió a contratar mediante el Acuerdo Marco de Precios N° 8409 de 2016 el servicio de
“Capacitación a usuario final hasta diez (10) personas- Presencial” para realizar entrenamientos en sitio
de trabajo, dando así inicio al fortalecimiento en los conocimientos y habilidades en el uso de las
herramientas del producto Oficce365 (Excel, Word, PowerPoint, Access, OneDrive, Outlook, SharePoint)
a los funcionarios de la entidad con el fin de sacar su mayor provecho y así mismo facilitar las tareas diarias
de los funcionarios.
Es de aclarar que en el Plan Institucional de Capacitación General de la Entidad 2016, estuvieron
contempladas las capacitaciones (entrenamientos en puesto de trabajo) en los productos de Oficce365 de
la compañía Microsoft, y que de manera coordinada la OTI con el Grupo de Talento Humano determinaron
el uso de las horas contratadas para el entrenamiento del producto Oficce365 (Excel, Word, PowerPoint,
Access, OneDrive, Outlook) a los funcionarios de la entidad.
Entrenamientos en Excel finalizados en la vigencia 2016
Oficinas Grupo Nivel Sesiones
Mixta G-1 Básico 1
Planeación G-2 Básico 1
Subdirección Financiera G-3 Intermedio 2
Mixta G-4 Intermedio 2
Mixta G-4 Avanzado 3
Mixta G-5 Avanzado 3
Subdirección Financiera G-6 Financiero 1
Procesos Administrativos G-7 Básico 1
Procesos Administrativos G-8 Básico 1
Planeación G-2 Intermedio 2
TOTAL 17
COFL02 Página 10 de 22
Adicional se realizaron 4 entrenamientos en la herramienta Project de Microsoft
A continuación, se detalla la cantidad de las sesiones que se realizarán en la vigencia 2017 con el
entrenamiento como Word, PowerPoint, OneDrive, SharePoint y Access a través de la orden de compra
14557 contrato interno 112 de 2017:
Entrenamientos en Excel requeridos en la vigencia 2017
Oficinas Grupo Nivel Sesiones
Mixta G-1 Intermedio y avanzado 2
Planeación G-2 avanzado 1
Subdirección Financiera G-3 avanzado 1
Mixta G-4 Intermedio 1
Mixta G-4 Avanzado 1
Mixta G-5 Avanzado 1
Subdirección Financiera G-6 Avanzado 1
Procesos Administrativos G-7 Intermedio y avanzado 2
Procesos Administrativos G-8 Intermedio y avanzado 2
Nuevo Mixto 1 G-9 Básico, Intermedio y avanzado 3
Nuevo Mixto 2 G-10 Básico, Intermedio y avanzado 3
TOTAL 19
Entrenamientos requeridos en la vigencia 2017
Oficinas Grupo Nivel Sesiones
Mixta G-1 Word 1
Mixta G-2 Word 1
Mixta G-3 Word 1
Mixta G-4 Power Point 1
Mixta G-5 Power Point 1
Mixta G-6 Power Point 1
Mixta G-7 Access 1
Mixta G-8 Access 1
Mixta G-9 OneDrive y SharePoint 1
Mixta G-10 OneDrive y SharePoint 1
Mixta G-11 OneDrive y SharePoint 1
TOTAL 11
OBSERVACIONES OFICINA DE CONTROL INTERNO
Con ocasión de la modernización tecnológica que está implementando la Entidad, la Oficina de
Tecnologías de la Información durante la vigencia 2016 llevó a cabo capacitaciones relacionadas
con Office 365, de acuerdo con los cronogramas presentados por la Oficina de Tecnologías de
la Información.
5.2.2 Riesgos de Corrupción
La Oficina de Control Interno realizó seguimiento al Mapa de Riesgos de Corrupción de la
Entidad, evidenciando que en la última versión publicada en el portal web y cuya actualización
corresponde al 25 de Enero de 2017, se tienen definidos 32 riesgos de corrupción.
COFL02 Página 11 de 22
Dentro de los mencionados riesgos, para la Oficina de Tecnologías de la Información no se tienen
asociados riesgos de corrupción.
OBSERVACIONES OFICINA DE CONTROL INTERNO
En informe presentado con NURC 3-2016-021666 del 23 de Noviembre de 2016, en el numeral
5.3 Seguimiento Mapa de Riesgos de Corrupción del Proceso, la Oficina de Control Interno
indicó que: “Se evidenció por parte de la Oficina de Control Interno que los Procesos y procedimientos a
cargo de la Oficina de Tecnologías de la Información, no tienen identificados Riesgos de Corrupción; lo
cual se pudo establecer de la revisión del Mapa de Riesgos, que se encuentra aprobado y publicado en la
Página Web de la Entidad con el código ASFT12, y que tiene identificados diez (10) Riesgos de corrupción;
por lo que esta Oficina recomienda que se revise en conjunto con la Oficina Asesora de Planeación, la
pertinencia de incorporar en el Mapa de Riesgos, riesgos de corrupción para los procesos y procedimientos
de la Oficina de Tecnologías de la Información, con el fin de evitar que se lleguen a materializar riesgos
que no se han contemplado hasta la fecha.”; por lo que se solicitó a la Oficina de Tecnologías de la
Información, el aporte de las evidencias que dieran cuenta de las reuniones sostenidas con la
Oficina Asesora de Planeación, las conclusiones o acuerdos logrados en ellas, y el avance de la
gestión realizada.
Por lo anterior, la Oficina de Tecnologías de la Información mediante NURC 3-2017-003995 del
13 de Marzo de 2017, indicó que: “En la actual vigencia se adelantaron reuniones con la Oficina
Asesora de Planeación el día 20 de Enero de 2017, de la cual se obtuvo la matriz que se anexa (…)“,
aportando los correspondientes soportes donde se evidencia que se crearon tres (3) riesgos
asociados a los procesos de la dependencia que ahora ocupa este informe.
Sin embargo, en la actual matriz de riesgos institucional que a la fecha se encuentra publicada
en el portal web, no están incluidos los mencionados riesgos, por lo que la Oficina de Control
Interno reitera recomendación, de manera respetuosa y comedida, en el sentido que cuando se
soliciten este tipo de requerimientos a la Oficina Asesora de Planeación, se haga la
correspondiente validación y verificación, en ejercicio del principio de autocontrol que establece
el modelo estándar de control interno, situación que permite lograr un mejoramiento continuo en
todas las actividades, procesos y procedimientos de la Oficina de Tecnologías de la Información.
COFL02 Página 12 de 22
5.2.3 Riesgos asociados al Subsistema de Seguridad de la Información
Dentro de los seguimientos que se realizarán durante la vigencia 2017 a esta dependencia, se
Incluirán riesgos incluidos en el Plan de Tratamiento de Riesgos de Seguridad de la Información
con el fin recoger evidencias de las acciones que se han implementado con el fin de mitigarlos.
Para el presente ejercicio se escogieron los siguientes:
La Oficina de Tecnologías de la Información, mediante NURC 3-2017-003995 del 13 de Marzo
de 2017, informa que se han realizado las siguientes acciones para cada uno de los riesgos
señalados anteriormente:
DAÑO DE LA INFORMACION:
“Se realizaron sesiones de capacitación donde se expuso cada una de las políticas del subsistema de
Seguridad de la Información y aplicabilidad en las actividades diarias de la Entidad, los pilares de
seguridad de la Información, los métodos que representan una violación a la seguridad y
representación de incidentes que vulneran la información.
Se definió un conjunto de políticas para la seguridad de la información, aprobada por la dirección,
publicada y comunicada a los empleados y a las partes externas pertinentes.
Se definieron y asignaron las responsabilidades de la seguridad de la información
Todos los empleados de la organización, y en donde sea pertinente, los contratistas, reciben la
educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las
políticas y procedimientos de la organización pertinentes.”
DENEGACION DEL SERVICIO:
“Los servicios se mantienen disponibles y los incidentes de falta de disponibilidad se tratan de acuerdo
con los procedimientos y lineamientos establecidos; si bien las faltas de disponibilidad de los servicios
incluyen componentes tecnológicos o de sistemas de información, las faltas de disponibilidad de los
servicios deben evaluarse desde la perspectiva de seguridad, identificando si se tratase de un riesgo
causado por amenazas internas o externas.
ProcesoRiesgos Seguridad de la
InformaciónDescripción del Riesgo de Seguridad Actividades de Tratamiento
GESTIÓN DE
SERVICIOS
TECNOLÓGICOS
DAÑO DE LA INFORMACIÓN
Estado de alteración que genera un
detrimento del tiempo y recursos en la
reconstrucción de la Información.
Diseñar y poner en marcha un programa de
sensibilización que permita la toma de
conciencia tanto de funcionarios como
contratistas, establecer sus
responsabilidades, usar de manera aceptable
y con acceso seguro los activos de
información de la entidad.
GESTIÓN DE
SERVICIOS
TECNOLÓGICOS
DENEGACIÓN DE SERVICIO
Riesgo de seguridad asociado a un tipo de
ataque informático especialmente dirigido a
redes de computadoras que tiene como
objetivo lograr que un servicio específico o
recurso de la red, quede completamente
inaccesible a los usuarios legítimos de la red.
Estado de interrupción de los servicios de
acceso o procesamiento de la información.
Asegurar que los servicios TI estén disponibles
y funcionen correctamente, mediante la
adecuación de mejoras en la infraestructura y
servicios TI con el objetivo de mantener los
niveles de disponibilidad.
GESTIÓN DE
SERVICIOS
TECNOLÓGICOS
DILIGENCIAMIENTO
ERRADO DE FORMATOS
Como parte de los procesos del Sistema
Integrado de Gestión, los formatos son
fundamentales en la recopilación para el
tratamiento de la información, su
diligenciamiento errado genera
inconsistencias y resultados no confiables.
Conocer y ejercer un adecuado control del
licenciamiento de software adquirido, acuerdos
de licenciamiento y uso legal, suministrando
una política para mantener las condiciones
apropiadas.
COFL02 Página 13 de 22
Función que satisface una necesidad de los usuarios frente a la disponibilidad de los servicios.
Guías y Procedimientos de Gestión y Gobierno de la Información
o GSGU08 - Guía de Gestión de Incidentes de Seguridad de la Información: 7. Relación de
actividades la Gestión de incidentes de seguridad de la información.
o GSGU05 - Guía de Acceso a redes y a servicios en red: 7. Actividades de la Gestión de Acceso a
redes y a Servicios en Red
o GSPD02 - Gestión de Cambios.
o RSPD02 - Gestión de Aplicaciones
Se definió un conjunto de políticas para la seguridad de la información, aprobada por la dirección,
publicada y comunicada a los empleados y a las partes externas pertinentes.
Se definieron y asignaron las responsabilidades de la seguridad de la información.
Como criterio en la selección de Proveedores, se contempla: Manual y/o procedimientos
implementados por la organización para Gestión de Seguridad de la Información; Fichas técnicas /
manuales, metodologías de los servicios, equipos, productos y/o materiales que suministra, según
aplique; Plan de soporte, mantenimiento, actualización y/o garantía acorde con los productos a ofertar.
Se determinan los requisitos para la seguridad de la información y la continuidad de la gestión de la
seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre,
mediante el Procedimiento que se encarga de Fortalecer la capacidad de respuesta de la
Superintendencia Nacional de Salud ante situaciones de fallas o desastres (GGPD02).”
DILIGENCIAMIENTO ERRADO DE FORMATOS:
“Si bien las actividades derivadas donde se involucra el licenciamiento de software lo contemplan la
gestión de la arquitectura y provisión de aplicaciones de la Oficina de Tecnología, en aspectos de
seguridad de la información se debe considerar aspectos de los servicios tecnológicos como:
1. Mantener los equipos de cómputo funcionando de manera óptima requiere no sólo el software
correcto, también requiere las oportunas actualizaciones y la utilización completa del software; para
ello las solicitudes de instalación, mantenimiento y soporte, deben ser debidamente diligenciadas tanto
por parte de la dependencia cliente como por los profesionales que atienden las solicitudes, siguiendo
los procedimientos y lineamientos pertinentes.
2. Adaptarse a la solución de nuevos problemas, mitigar vulnerabilidades y resolver nuevos
requerimientos.
3. El software se mantiene en constante crecimiento, no basta con realizar una instalación y esperar
que funcione por tiempo indefinido sin que necesite atención.
Los datos y la información deben mantener su integridad, evitando su modificación o alteración no
autorizada, provenir de una fuente único o confiable y no ser interceptada.
GSPD05 - Control de Software Misional de la Entidad: Confirmar la capacidad operativa de los
sistemas de información misionales mediante el monitoreo de su desempeño de conformidad con los
requisitos establecidos para garantizar la confiabilidad del funcionamiento de los Sistemas.
GSGU04 - Guía prestación del servicio para la atención de requerimientos
GSPD02 - Gestión de Cambios: Procedimiento que se encarga de Responder de manera controlada
a los requerimientos de cambios de tecnología de la información
RSFT03 - Requerimientos de Seguridad Para Aplicaciones: Formato diseñado para realizar los
Requerimientos de Seguridad para Aplicaciones
RSGU03 - Guía Gestión de Desarrollo
COFL02 Página 14 de 22
Se definió un conjunto de políticas para la seguridad de la información, aprobada por la dirección,
publicada y comunicada a los empleados y a las partes externas pertinentes.
Se estableció e implementaron las reglas para la instalación de software por parte de los usuarios:
7.14 Políticas de tercer nivel de Subsistema de seguridad de la información para la instalación de
software.
Se supervisa y hace seguimiento de la actividad de desarrollo de sistemas contratados externamente
y como criterio en la selección de proveedores: Licenciamiento vigente acorde con el producto o
servicio a suministrar
7.20 Políticas de tercer nivel de Subsistema de seguridad de la información de derechos de la
propiedad intelectual.”
OBSERVACIONES OFICINA DE CONTROL INTERNO
La Oficina de Tecnologías de la Información, como soporte a lo anteriormente explicado, aportó
copia de los documentos socializados, los cuales se conservan como papeles de trabajo en la
Oficina de Control Interno.
5.3 SEGUIMIENTO A RECOMENDACIONES DE LA OFICINA DE CONTROL INTERNO
La Oficina de Control Interno, realizó seguimiento a las recomendaciones formuladas como
resultado de informes anteriores, los cuales se relacionan a continuación:
5.3.1 De Informes de Seguimiento
a. La Oficina de Control Interno presentó informe de seguimiento a la Gestión de la Oficina
de Tecnologías de la Información, mediante NURC 3-2016-009543 del 23 de Mayo de 2016, y
NURC 3-2016-014178 del 29 de Julio de 2016, donde se revisaron las acciones adelantadas por
la Oficina objeto de este informe, sobre los hallazgos de la Auditoría de Calidad, realizada en Octubre
de 2015 y radicada con NURC 3-2015-020639, evidenciando que aún continúan sin ser resueltos los
temas evidenciados, como se transcribe a continuación:
“La Oficina de Control Interno hizo seguimiento al “Ítem 1: En la actividad 4 del procedimiento “Gestión de
arquitectura de tecnologías de la información”. No se encuentra definida la frecuencia de aplicación de los
puntos de control del procedimiento (en su lugar aparece el responsable del proceso)”, a las acciones
propuestas, verificando que:
a. En cuanto a: “No se encuentra definida la frecuencia de aplicación de los puntos de control del
procedimiento (en su lugar aparece el responsable del proceso), en el procedimiento que actualmente se
encuentra en el Mapa de Procesos, se evidencia que el cambio no se ha registrado.
COFL02 Página 15 de 22
b. Verificando el procedimiento “Gestión de arquitectura de tecnologías de la información”, con código RSPD01-Versión 2, la cual tiene fecha de modificación el “23/02/2016”, la Oficina de Control Interno pudo verificar que en la actividad No. 8 y en el punto de control de la misma actividad, se hace referencia al formato COFT02:
De acuerdo con lo anterior, la Oficina de Control Interno recomienda muy respetuosamente a la Oficina de
Tecnologías de la Información que se efectúe verificación y seguimiento, ya que al consultar el
procedimiento en el portal web (Mapa de Procesos), el procedimiento no refleja el ajuste solicitado; en
especial lo relacionado con el formato eliminado y anunciado dentro del procedimiento, así como el ajuste
al error que aparece en la “frecuencia” de los puntos de control del mismo.”
COFL02 Página 16 de 22
Al realizar seguimiento a estas recomendaciones, la Oficina de Control Interno pudo evidenciar
que el citado documento, tuvo modificaciones y actualmente la versión publicada es la número
4, pero no se tuvieron en cuenta los ajustes recomendados por la Oficina de Control Interno, en
informes de seguimiento presentados durante la vigencia 2016.
b. En informe presentado mediante NURC 3-2016-014178 del 29 de Julio de 2016, se
informó que:
“La Oficina de Control Interno hizo revisión de los documentos con código asignado, que aparecen en los
cuadros anteriores, encontrando que:
a. La actualización del documento Matriz de Roles y Responsabilidades (ASFT14) que incluye el
subsistema de seguridad de la información y que fue solicitado con NURC 3-2016-006380 del 6 de Abril
de 2016, contiene las siguientes adiciones:
Al consultar desde la intranet, se encuentra el documento en Versión 1, que no contiene los cambios
solicitados. Cabe advertir que el documento que es encuentra en el portal web, es el actualizado, en
versión 2.
COFL02 Página 17 de 22
OBSERVACIONES OFICINA DE CONTROL INTERNO
Al realizar seguimiento a estas recomendaciones, la Oficina de Control Interno pudo evidenciar
que aún sigue pendiente el tema antes enunciado, por lo que la modificación y por ende acción
correctiva, debe verse reflejado no solo en la página web de la Institución, sino también en la
Intranet, por lo que se recomienda trabajar conjuntamente con la Oficina Asesora de Planeación
para que ésta información se vea actualizada tanto en el portal web como en la intranet.
5.3.2 De Auditorias al Sistema Integrado de Gestión
La Oficina de Control Interno mediante NURC 3-2016-012672 del 1º de Julio de 2016, presentó
informe de Auditoría a los Subsistemas del Sistema Integrado de Gestión, en el cual se
establecieron No conformidades a cargo de la Oficina de Tecnologías de la Información, y que
en el Sistema Integrado de Planeación y Gestión ITS, quedaron registradas como “plan de acción
No. 92”, las cuales se transcriben a continuación:
“Proceso de Gestión de Servicios Tecnológicos”:
“Observaciones
1. Verificar integralmente los procedimientos, formatos, indicadores de gestión, matriz de riesgos y en
general toda la documentación de los cinco (5) procedimientos que hacen parte del proceso Gestión de
servicios tecnológicos.
Asimismo, trabajar conjuntamente con la Oficina Asesora de Planeación para realizar los ajustes a los
mismos y subsanar los hallazgos que se relacionan a continuación:
Procedimiento Gestión de Cambios:
En definiciones, hacer más explícita la definición del “Comité de Cambios” o el nombre que se le
haya definido, por ejemplo, quiénes (cargos) y cuántos son los miembros del “Comité”, cada cuánto se
reúnen, etc.
COFL02 Página 18 de 22
En relación con la política 3 se debe precisar para qué tipos de cambios son aplicables. Asimismo,
evaluar la pertinencia de implementar un formato para identificar de forma clara: “el objetivo, los beneficios
esperados y los ámbitos a los cuales el cambio aportará mejoras el cambio, los indicadores que se verán
favorecidos con el cambio, los recursos requeridos y los actores a quienes impacta el cambio”. Si ya está
definido, debe relacionarse dentro del documento.
En este procedimiento, la actividad No. 5 se define como “aprobar cambio según riesgos e
impacto”, pero en el mapa de riesgos, el proceso no tiene este riesgo asociado, por lo que se debe verificar
y solicitar el ajuste al mapa de riesgos.
En este procedimiento, en políticas de operación se menciona un “procedimiento de rollback”; si
se requiere como procedimiento, hace falta su definición, codificación e implementación.
Procedimiento Control de Software Misionales de la Entidad:
No Conformidad
1. En la revisión documental del proceso Gestión de Servicios Tecnológicos y sus procedimientos, se
establece una No Conformidad al numeral 4.2.3 “Control de Documentos”, enunciados en la norma NTCGP
1000:2009, la cual expresa: “revisar y actualizar los documentos cuando sea necesario y aprobarlos
nuevamente”, situaciones que se evidencian con los siguientes hallazgos:
Las definiciones no atienden a un orden lógico. Para facilitar la búsqueda de términos, y
organizarlas en orden alfabético.
Verificar las definiciones y eliminar las que se encuentren repetidas, tanto en los procedimientos
como en las guías.
Incluir otras definiciones, las cuales podrían ayudar a la interpretación de los procedimientos; por
ejemplo: herramientas tecnológicas, rollback.
Verificar la redacción, ya que en algunos casos no es comprensible la idea que se plantea.
En normas, se relaciona la Resolución 001621 de 2014, por medio de la cual se crean los grupos
internos de trabajo de la Oficina de Tecnologías de la Información, pero no se incluye la resolución 1110
de 2015, la cual deroga la Resolución 1621 de 2014.
Unificar la definición de “CA Service Desk”, ya que en algunos apartes aparece como “AC Service
Desk”
OBSERVACIONES OFICINA DE CONTROL INTERNO
La Oficina de Control Interno realizó seguimiento al avance del plan de acción No. 92 radicado
por parte de la Oficina de Tecnologías de la Información en el Sistema Integrado de Planeación
y Gestión ITS, encontrando que aún se encuentra abierta, y no se registra avance por parte de
esa dependencia.
Al realizar revisar la documentación que contiene los procedimientos antes citados, se pudo
evidenciar que la Oficina de Tecnologías de la Información, con NURC 3-2016-023522 del 21 de
Diciembre de 2016 se solicitó la modificación al procedimiento Gestión de Cambios, el cual fue
atendido (3-2016-023608 del 22 de Diciembre de 2016) por parte de la Oficina Asesora de
Planeación y se encuentra debidamente publicado en el portal web-mapa de procesos; no siendo
así para el procedimiento Control de Software Misionales de la Entidad (GSPD05).
COFL02 Página 19 de 22
Por lo anteriormente expuesto, la Oficina de Control Interno evidencia que las recomendaciones
elevadas durante la vigencia 2016, se han atendido parcialmente.
5.3.3 De Auditorias al Subsistema de Seguridad de la Información (Auditoría de
Certificación)
La Superintendencia Nacional de Salud suscribió el Contrato No. 251 de 2016 con la firma
Bureau Veritas (Ente Certificador), con el objeto de adelantar la Pre-Auditoría y Auditoría de
Certificación del Subsistema de Seguridad de la Información.
La Pre-Auditoría, se llevó a cabo entre los días 9 y 13 de Diciembre de 2016, en cuyo informe se
generaron 9 hallazgos, los cuales fueron incluidos en el Sistema Integrado de Planeación y
Gestión ITS, para que la Oficina de Tecnologías de la Información y la Superintendencia
Delegada para la Protección al Usuario, procedieran a definir los planes de acción
correspondientes.
En el aplicativo ITS, quedaron definidos los planes de acción para esos hallazgos, como se
muestra en la siguiente tabla:
No Proceso Hallazgo
171 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Al momento de revisar los indicadores este no presenta un formato formal y es nombrado como Indicadores en BD, el cual no permite identificar cambios y seguimiento. Se debe crear un documento formal, el cual permita identificar los cambios y seguimiento a los indicadores de gestión. Los requisitos correspondientes al numeral 7.5 Información documentada, menciona que la información debe estar actualizada, además de contar con identificación y descripción.
172 GESTIÓN DE SERVICIOS TECNOLÓGICOS
En el documento de POLITICAS DE TERCER NIVEL DEL SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN código ASPO09 en el numeral 7.8 denominado políticas de tercer nivel del subsistema de seguridad de la información sobre el uso de controles criptográficos en el literal d. Se debe establecer procedimientos respecto a la administración de claves y el restablecimiento de llaves dañadas con el fin de que se garantice la confidencialidad de la clave. Se solicita el procedimiento y este no se presenta como un documento formal que indique que es un procedimiento de acuerdo con lo descrito en esta política.
173 GESTIÓN DE SERVICIOS TECNOLÓGICOS
En el momento de la auditoría se observa un cable de red desatendido el cual permitió conectividad con internet, de acuerdo con el numeral A.9.1.2 Acceso a redes y a servicios en red. Sólo se debe permitir acceso a los usuarios a la red y a los servicios de red para los que haya sido autorizados específicamente.
174 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Aún cuanto se observa revisión de los eventos del sistema no existe una periodicidad o intervalos regulares para la revisión de ingreso de usuarios de acuerdo con el numeral A.9.2.5 Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.
175 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Aun cuando se evidencia solicitud de responsabilidades y de aceptación de los riesgos bajo memorandos NURC 3-2016-020414, 3-2016-020415, 3-2016-020416, no se evidencia respuesta. El numeral 6.1.1 menciona la aceptación y responsabilidades para la administración del riesgo y en particular la aceptación de riesgos residuales.
176 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Se realiza visita al centro de cableado del piso dos (2) y piso siete (7), en el piso siete (7) se evidencia rack fuera de servicio. Incumplimiento al numeral A.11.2.1 Ubicación y protección de los equipos. Los equipos deben estar ubicados y protegidos para reducir los riesgos de amenazas y peligro del entorno, y las posibilidades de acceso no autorizado.
177 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Se realiza visita al centro de monitoreo piso seis (6) en el cual se evidencia disco de grabación en una caja y estos elementos se deben salvaguardar de manera que no sufran daños de ninguna índole. Incumplimiento al numeral A.8.3.2 Disposición de los medios. Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.
178 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Se evidencia que en el centro de monitoreo el aire acondicionado no está en funcionamiento y este debe contar con condiciones aceptables. A.11.2.2 Servicios de suministro. Los servicios de suministro literal C. deben Inspeccionarse y probarse regularmente para asegurar su funcionamiento apropiado.
COFL02 Página 20 de 22
179
GESTIÓN DE LA PARTICIPACIÓN CIUDADANA EN LAS INSTITUCIONES DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Aun cuando se tienen controles y se han realizado solicitudes de avance al Plan de choque del archivo de la Delegada para la Protección del Usuario Radicado 3-2016-019630, se evidencia documentación almacenada debajo de los puestos de trabajo. La documentación debe estar protegida contra pérdida o daño por cualquier situación y tener un manejo apropiado. A.8.2.3 Manejo de activos. Se debe elaborar procedimientos para el manejo, procesamiento, almacenamiento y comunicación de información de conformidad con su clasificación.
Los anteriores hallazgos quedaron distribuidos de la siguiente manera:
PROCESO NO
CONFORMIDAD ABIERTA CERRADA RECHAZADA
Gestión de Servicios Tecnológicos 8 1 7 0
Gestión de Participación Ciudadana en el SGSSS 1 0 0 1
De esta Auditoría, la conclusión final, emitida por la firma Bureau Veritas, fue:
La auditoría de certificación fue del 19 al 23 de Diciembre de 2016, de la cual se generaron 6
hallazgos, que se relacionan en la siguiente tabla:
NO PROCESO HALLAZGO
165 GOBIERNO Y GESTIÓN DE LA INFORMACIÓN
Al bajar los documentos que son parte del SGSI de la web page https:supersalud.gov.co se valida que estos son bajados en formato editable (word). La norma ISO 27001:2003 en su numeral 7.5.3 b) Control de ola información documentada define que la información documentada por el SGSI y por la norma debe ser controlada para asegurar que: b) está debidamente protegida (por ejemplo, de pérdida de confidencialidad, uso inapropiado o pérdida de integridad)
166 GOBIERNO Y GESTIÓN DE LA INFORMACIÓN
En ASP09 se define: 7.4 Políticas de tercer nivel del Subsistema de Seguridad de la Información para el teletrabajo y trabajo remoto, sin embrago en el normograma del Sistema Integrado de Gestión ASFT03 no se encuentra la Ley 1221 de 2008 de MinTic de teletrabajo, por otro lado, la Resolución 1165 de 2015 establece el teletrabajo en la Entidad. La norma ISO 27001:20013 en su control A.18.1.1 Identificación de la legislación vigente y los requisitos contractuales, indica que todos los requisitos estatutarios, regulatorios y contractuales pertinentes y el enfoque de la organización para cumplirlos, se deben definir y documentar explícitamente y mantenerlos actualizados para cada sistema de información y para la organización.
167
GESTIÓN DE LA PARTICIPACIÓN CIUDADANA EN LAS INSTITUCIONES DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Se valida el código ASFT02, el indicador Porcentaje de cumplimiento de los hitos, meta 100% y el resultado del 50%. La meta para septiembre es del 100% sin embargo no aparece el resultado de este periodo dentro de la página web que es el repositorio de datos. La norma ISO 27001:2013 en su numeral 9.1 Monitoreo, medición, análisis y evaluación, indica que la organización debe evaluar el desempeño de la seguridad de la información y la efectividad del SGSI.
COFL02 Página 21 de 22
168
GESTIÓN DE LA PARTICIPACIÓN CIUDADANA EN LAS INSTITUCIONES DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Dentro del mapa de riesgos institucional No se evidencia el propietario del riesgo. La norma ISO 2001:2013 en su numeral 6.1.2 Evaluación de riesgos de la seguridad de la información, literal C,2) indica que la organización debe definir y aplicar un proceso de la evaluación de riesgos de la seguridad de la información que: a) establezca y mantenga los criterios de riesgos de la seguridad de la información que incluya la identificación de los propietarios del riego.
169 GESTIÓN DE SERVICIOS TECNOLÓGICOS
Dentro de la herramienta Supersalud-Mesa de Servicios de C.A Service Desk NO se encuentran los registros para la solicitud de acceso a Internet para el día lunes 19 de diciembre de 2016, para los auditores de BVQI. La norma ISO 27001:2013 en su numeral 7.5.1 General-Información Documentada-establece que el SGSI debe incluir a) Información documentada necesaria para esta norma, definida por la organización como necesaria para la efectividad del SGI.
170 GOBIERNO Y GESTIÓN DE LA INFORMACIÓN
En el documento Matriz de Valoración de Activos y Análisis de Riegos (ASFT22 versión 1) con fecha de actualización 16 de noviembre de 2016; no se observan los propietarios de activos de información identificados. Lo anterior, en relación al control A 8.1.2 que indica: Los activos mantenidos en el inventario deben tener un propietario.
Los anteriores hallazgos quedaron distribuidos de la siguiente manera:
PROCESO NO
CONFORMIDAD ABIERTA CERRADA RECHAZADA
Gestión de Servicios Tecnológicos 1 0 1
Gestión de Participación Ciudadana en el SGSSS 2 0 1 1
Gobierno y Gestión de la Información 3 0 3
OBSERVACIONES OFICINA DE CONTROL INTERNO
En verificación efectuada por la Oficina de Control Interno al líder del Subsistema de Seguridad
de la Información (Oficina de Tecnologías de la Información), relacionada con el avance de los
planes de mejoramiento (tanto de la Pre-auditoría como de la Auditoría) radicados en el Sistema
Integrado de Planeación y Gestión ITS (en total 15), encontrándose que 14 fueron atendidos y
cerrados, quedando pendiente uno (1) del Proceso Gestión de Servicios Tecnológicos.
PROCESO FINALIZADOS PENDIENTES
Gestión de Servicios Tecnológicos 8 1
Gestión de Participación Ciudadana en el SGSSS 3 0
Gobierno y Gestión de la Información 3 0
COFL02 Página 22 de 22
6. CONCLUSIONES Y RECOMENDACIONES
De acuerdo a las evidencias aportadas por la Oficina de Tecnologías de la Información, y en
concordancia con las actividades definidas en los procedimientos revisados, la Oficina de Control
Interno concluye que éstas se están realizando adecuadamente.
La Oficina de Control Interno expresa que la Oficina de Tecnologías de la Información, en la
ejecución de sus actividades y en la implementación de acciones de mejora, para lo cual tuvieron
en cuenta algunas de las recomendaciones formuladas por esta dependencia, en este
seguimiento evidenció que se han realizado actividades como:
Inclusión en el mapa de riesgos, de tres (3) riesgo de corrupción. En los seguimientos
efectuados en la vigencia 2016, no se tenían contemplados estos riesgos.
Revisión y ajuste de los procesos y procedimientos de esa dependencia y a la documentación
asociada a ellos.
No obstante lo anterior, la Oficina de Control Interno de manera muy respetuosa, recomienda
que se continúen realizando revisiones y modificaciones a los documentos formalizados y que
contienen sus procesos, procedimientos, guías, manuales, etc., y que una vez sean aprobados
por la Oficina Asesora de Planeación, se haga la correspondiente validación y verificación, en
ejercicio del principio de autocontrol que establece el modelo estándar de control interno,
situación que permite lograr un mejoramiento continuo; recomendación que ha sido reiterativa
en informes presentados durante la vigencia 2016.
La Oficina de Control Interno en próximo seguimiento a realizarse en el mes de Julio de 2.017,
volverá a revisar cada uno de los temas que se evidenciaron en este informe, esperando que
para ese momento las situaciones descritas, se hubieren subsanado.
Finalmente, la Oficina de Control Interno solicita de manera comedida, a la Oficina de
Tecnologías de la Información, que para futuros ejercicios de seguimiento y cuando se eleven
los requerimientos de información, éstos sean atendidos en los tiempos establecidos para ello,
con el fin de agilizar el proceso de análisis por parte de la profesional idónea a la que se le ha
confiado el seguimiento de esa importante dependencia de apoyo, y aquella pueda contar con el
tiempo suficiente para corroborar las evidencias aportadas y/o solicitar ampliación de las mismas,
en procura de presentar recomendaciones que puedan contribuir de manera efectiva al
mejoramiento continuo de los procesos y procedimientos que debe ejecutar la Oficina de
Tecnología de la Información.
Cordialmente,
JUAN DAVID LEMUS PACHECO
Jefe Oficina de Control Interno
Proyectó: Eddna Dueñas Monsalve, Ingeniera de Sistemas-Oficina de Control Interno