superintendencia nacional de salud oficina de … · tic para la sociedad: tiene como objetivo...
TRANSCRIPT
SUPERINTENDENCIA NACIONAL DE SALUD
OFICINA DE CONTROL INTERNO
INFORME I AVANCE IMPLEMENTACION DE
POLITICA DE GOBIERNO DIGITAL Y POLITICA DE SEGURIDAD DE LA
INFORMACION
MAYO DE 2019
Bogotá D.C.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
2
TABLA DE CONTENIDO
1. INTRODUCCION ...................................................................................................................................................... 3
2. OBJETIVO ................................................................................................................................................................. 4
3. ALCANCE .................................................................................................................................................................. 4
4. METODO ................................................................................................................................................................... 4
5. JUSTIFICACION ....................................................................................................................................................... 4
6. LIMITANTES.............................................................................................................................................................. 4
7. INFORME ................................................................................................................................................................... 4
7.1 Modelo Integrado de planeación y Gestión-MIPG .......................................................................................... 4
7.2 Avances en la implementación de las Políticas de Gobierno Digital y de Seguridad Digital .................... 6
7.2.1 Política de Gobierno Digital ........................................................................................................................... 8
7.2.2 Política de Seguridad de la Información .................................................................................................... 24
7.3 Herramienta de autodiagnóstico ...................................................................................................................... 25
8. CONCLUSIONES ................................................................................................................................................... 27
9. RECOMENDACIONES .......................................................................................................................................... 28
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
3
1. INTRODUCCION
Con la expedición del Decreto 2573 de 2014, Colombia materializa una de las recomendaciones
de la Corporación para la Cooperación y el Desarrollo Económico (OCDE), en adoptar estrategias
de Gobierno Digital, que permita al gobierno adoptar enfoques estratégicos para el uso de la
tecnología que los impulse a ser más abiertos, participativos e innovadores, a través de acciones
tales como el diseño de lineamientos para orientar y permitir el uso y el re–uso de la información
pública, aumentar la apertura y la transparencia, incentivar la participación del público en la
elaboración de políticas, proporcionar datos oficiales oportunos y confiables y, gestionar riesgos
en debida forma.
Con el Decreto 1078 de 2015, se expide el Decreto Único Reglamentario del sector de Tecnologías
de la Información y las Comunicaciones, en el Título 9 Políticas y lineamientos de Tecnologías de
la información, Capítulo 1 Estrategia de Gobierno en línea Artículos 2.2.9.1.1.1 a 2.2.9.1.4.3.
A través del Decreto 1414 del 25-08-2017 se modificó la estructura del Ministerio de Tecnologías
de la Información y las Comunicaciones (MINTIC), asignando a la Dirección de Gobierno Digital,
antes "Dirección de Gobierno en Línea", entre otras funciones, la de formular políticas, programas
y planes de adopción y apropiación de Tecnologías de la Información en las entidades del Estado,
así como la de formular políticas, lineamientos, estrategias y prácticas de Gobierno en Línea que
soporten la gestión del Estado en orden al ejercicio efectivo de sus funciones y la prestación
eficiente de sus servicios.
El Departamento Administrativo de la Función Pública (DAFP) mediante Decreto 1499 del 11-09-
2017 “modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo
relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015”, con el cual
integró los sistemas de Desarrollo Administrativo y de Calidad y los articuló con el de Control
Interno, definiéndolo como el Nuevo Modelo Integrado de Planeación y Gestión MIPG.
El MINTIC sometió a consideración del Consejo de Gestión y Desempeño Institucional los
lineamientos generales de política de Gobierno Digital, instancia que, en sesión de diciembre de
2017, recomendó al Gobierno Nacional su adopción.
De acuerdo con lo anterior, se definieron los lineamientos que permitieron la evolución de la
"Estrategia de Gobierno en Línea" a la "Política de Gobierno Digital", a través del Decreto 1008
del 14 de junio de 2018 por el cual se sustituyeron las disposiciones que sobre la materia están
actualmente contenidas en el capítulo 1 del título 9, del libro 2, de la parte 2 del Decreto 1078 de
2015, Decreto Único Reglamentario del Sector de Tecnologías de la Información y las
Comunicaciones.
La Presidencia de la República el 02-04-2019 emitió la Directiva Presidencia No. 2 con la impartió
directrices para la “Simplificación de la Interacción Digital entre los Ciudadanos y el Estado” con el
propósito de avanzar en la transformación digital del Estado e impactar positivamente en la calidad
de vida de los ciudadanos generando valor público en cada una de las interacciones digitales entre
ciudadano y estado, y mejorar la provisión de servicios digitales de confianza y calidad.
Motivado por la Directiva Presidencial No. 2 de 2019, MINTIC el 16-04-2019 publicó la Versión No.
7 del Manual de Gobierno Digital, en el cual se incorporan los lineamientos para la integración al
Portal Único del Estado Colombiano.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
4
2. OBJETIVO
Evaluar el estado de avance en la implementación de las Políticas de Gobierno Digital y Política
de Seguridad de la Información, como parte de la Dimensión de Gestión con Valores para
Resultados que hacen parte del modelo MIPG – Decreto 1499 de 2017.
3. ALCANCE
El alcance de este informe es la verificación de las acciones adelantadas por la Superintendencia
Nacional de Salud en la implementación de las Políticas de Gobierno Digital y de Seguridad de la
Información, en el periodo comprendido entre el 1º de noviembre de 2018 y el 30 de abril de 2019.
4. METODO
La metodología aplicada correspondió a la solicitud de información a la Oficina de Tecnologías de
la Información y recopilación de soportes y demás actuaciones a que hubiera lugar.
5. JUSTIFICACION
La Oficina de Control Interno, en desarrollo del control posterior establecido en la Constitución
Nacional, en la Ley 87 de 1993, los Decretos que la reglamentan y, en cumplimiento a las
actividades programadas para el mes de mayo de 2019 en el Plan anual de Gestión (PAG), efectuó
seguimiento a las actividades desarrolladas por la entidad en la implementación de la Política de
Gobierno Digital y la Política de Seguridad de la Información.
6. LIMITANTES
Para el desarrollo del presente informe, no se presentaron limitantes.
7. INFORME
7.1 Modelo Integrado de planeación y Gestión-MIPG
El Decreto 1499 de 2017 “modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector
Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753
de 2015”, nuevo Modelo Integrado de Planeación y Gestión - MIPG, el cual se concentra en las
prácticas y procesos que adelantan las entidades públicas para transformar insumos en resultados
que produzcan los impactos deseados, esto es, una gestión y un desempeño institucional que
generan valor público1 a través de la puesta en marcha de siete (7) dimensiones.
1. Talento Humano.
2. Direccionamiento Estratégico y Planeación.
3. Gestión con Valores para el Resultado.
4. Evaluación para el Resultado.
5. Control Interno.
6. Información y Comunicación.
7. Gestión del Conocimiento y la Innovación.
1 Manual Operativo Modelo Integrado de Planeación y Gestión, Versión 1.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
5
Estas dimensiones se entienden como el conjunto de políticas, prácticas, herramientas o
instrumentos con un propósito común que, puestas en marcha de manera articulada e
intercomunicada, permitirán que MIPG logre sus objetivos.
En el MIPG también se incluye y se definen lineamientos para el cumplimiento de la Política de
Gobierno Digital, el cual, en la dimensión 3 “Gestión con Valores para Resultados”, agrupa un
conjunto de políticas o prácticas e instrumentos que tienen como propósito permitir que la entidad
realice las actividades que sean necesarias para el logro de sus objetivos, en el marco de los
valores del servicio público.
Para ello, esta dimensión tiene dos perspectivas: la primera, asociada a los aspectos relevantes
para una adecuada operación de la organización “de la ventanilla hacia adentro”; y la segunda,
hace referencia a la relación Estado-Ciudadano “de la ventanilla hacia afuera”.
a. De la ventanilla hacia afuera – relación Estado-Ciudadano
En esta perspectiva se encuentran las políticas y los elementos que debe tener en cuenta la
entidad para operar, para lo cual se deben contemplar las políticas de Fortalecimiento
organizacional y simplificación de procesos que abarcan, las siguientes:
Transparencia, acceso a la información pública y lucha contra la corrupción.
Servicio al ciudadano.
Racionalización de Trámites.
Participación ciudadana en la gestión.
Gobierno Digital-TIC para el Estado (TIC para Servicios y TIC para Gobierno Abierto).
b. De la ventanilla hacia adentro
En esta perspectiva se encuentran las políticas y los elementos que debe tener en cuenta la
entidad, para operar internamente, para lo cual se deben contemplar las políticas de
Fortalecimiento organizacional y simplificación de procesos que abarcan, las siguientes:
Fortalecimiento organizacional y simplificación de procesos.
Gestión Presupuestal y eficiencia del Gasto público.
Gobierno Digital, antes GEL: TIC para la Gestión.
Seguridad Digital.
Defensa jurídica.
Mejora Normativa.
El objetivo de la Política de Gobierno Digital es: “Promover el uso y aprovechamiento de las TIC
para consolidar un Estado y ciudadanos competitivos, proactivos, e innovadores, que generen
valor público en un entorno de confianza digital”.
Esta política actúa de forma trasversal desde las dos perspectivas de la dimensión (ventanilla
hacia adentro y relación estado-ciudadano), haciendo uso de las TIC´s como herramientas que
permitan optimizar la gestión de las entidades, interactuar de manera ágil y coordinada y dar
solución a problemáticas y necesidades de interés público2.
2 MIPG, Presentación Dimensión 3-Gestión con Valores para Resultados. Consultado en: http://www.funcionpublica.gov.co/web/mipg/como-opera-mipg
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
6
Para la implementación de la Política de Gobierno Digital, se han definido varios elementos que
brindan orientaciones generales y específicas que deben ser acogidas por las entidades, a fin de
alcanzar los propósitos de la política. Estos elementos son los siguientes:
a. Dos (2) COMPONENTES, que son las líneas de acción que orientan el desarrollo y la
implementación de la política:
“TIC para el Estado: Tiene como objetivo mejorar el funcionamiento de las entidades públicas y su
relación con otras entidades públicas, a través del uso de las TIC. Así mismo, busca fortalecer las
competencias T.I. de los servidores públicos, como parte fundamental de la capacidad institucional.
TIC para la Sociedad: tiene como objetivo fortalecer la sociedad y su relación con el Estado en un
entorno confiable que permita la apertura y el aprovechamiento de los datos públicos, la
colaboración en el desarrollo de productos y servicios de valor público, el diseño conjunto de
servicios, políticas y normas, y la identificación de soluciones a problemáticas de interés común”.
b. Tres (3) HABILITADORES TRANSVERSALES: son los elementos de base que permiten el
desarrollo de los componentes de la política.
“Arquitectura: Busca fortalecer las capacidades de gestión de T.I. de las entidades públicas, a
través de la definición de lineamientos, estándares y mejores prácticas contenidos en el Marco de
Referencia de Arquitectura Empresarial del Estado.
Seguridad y Privacidad: Busca preservar la confidencialidad, integridad y disponibilidad de los
activos de información de las entidades del Estado, garantizando su buen uso y la privacidad de los
datos, a través de un Modelo de Seguridad y Privacidad de la Información.
Servicios Ciudadanos Digitales: Busca facilitar y brindar un adecuado acceso a los servicios de
la administración pública haciendo uso de medios digitales, para lograr la autenticación electrónica,
interoperabilidad y carpeta ciudadana, esto será posible a través de la implementación del Modelo
de Servicios Ciudadanos Digitales´”.
El esquema muestra una lógica de engranaje, sobre la base de tres elementos que posibilitan su
funcionamiento, por ello, tanto los 2 componentes como los 3 habilitadores transversales, cuentan
con lineamientos que se desarrollan a través de estándares, guías, recomendaciones y buenas
prácticas, que las entidades deben implementar con la finalidad de alcanzar los propósitos de la
política de Gobierno Digital.
7.2 Avances en la implementación de las Políticas de Gobierno Digital y de Seguridad
Digital
Con el fin de implementar la Política de Gobierno Digital planteada por el MINTIC, la Oficina de
Tecnologías de la Información suscribió el contrato de prestación de servicios No. 087 de 2019
que tiene como objeto “prestar los servicios profesionales a la Oficina de Tecnologías de la Información,
para la implementación del portafolio de proyectos establecidos en la Política de Gobierno Digital planteada
por el MINTIC”; como resultado de la ejecución del citado contrato, se han llevado a cabo las
actividades con las cuales se logrará la implementación de las políticas de gobierno digital y de
seguridad de la información, de acuerdo con los lineamientos definidos en el Decreto 1499 de
2017 (MIPG).
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
7
En el manual Operativo del MIPG3 (numeral 3.2.1.3 Política Gobierno Digital: TIC para la gestión)
se especifica que “las tecnologías de la información y las comunicaciones (TIC) deben ser concebidas en
el marco de la gestión de la organización, de manera que su uso sea coherente y acorde con las
características y necesidades institucionales.
Por tal motivo, es importante que desde la dimensión de Direccionamiento Estratégico y Planeación se tenga
en cuenta la tecnología para apoyar la ejecución de los procesos, el manejo y seguridad de la información
y de los sistemas de información, los servicios de soporte tecnológico y, en general, el uso de medios
electrónicos para una gestión efectiva de la entidad”.
Es importante mencionar que esta política debe atender los lineamientos que estaban definidos
en la Estrategia GEL, en el componente “TIC para la Gestión”, que se indican a continuación:
“Estrategia de TI: Por medio de la comprensión de su situación actual y con base en su contexto frente al
uso de las tecnologías, la entidad formula una estrategia de TI alineada con su misión, metas y objetivos
institucionales, con el fin de apalancarse en las TI para generar valor público.
Gobierno de TI: Conformado por políticas, procesos, recursos, proveedores, compras de TI, instancias de
decisión e indicadores de la operación de TI, entre otros, que permite la gestión integral de los proyectos de
TI y su alineación con los procesos y procedimientos de la entidad.
Información: La entidad debe desarrollar procesos que permitan el consumo, análisis, uso y
aprovechamiento, así como definir mecanismos que contribuyan a alcanzar niveles óptimos de calidad,
seguridad, privacidad y trazabilidad de los siguientes cuatro componentes: datos, información, servicios y
flujos de información.
Sistemas de información: La entidad debe gestionar adecuadamente sus sistemas de información
estratégicos, misionales, administrativos y de apoyo, de manera que sean estandarizados, interoperables,
usables y, en esta medida, se logren potenciar sus procesos y servicios.
Servicios tecnológicos: Gestionar la infraestructura tecnológica con base en una estrategia que contemple
la evolución de sus sistemas de información, la disponibilidad y continuidad de los servicios tecnológicos,
su soporte y mantenimiento, así como la implementación de controles para alcanzar los niveles requeridos
de calidad, seguridad y trazabilidad.
Uso y apropiación: Desarrollar competencias para el uso y aprovechamiento de las TI que vinculan a
usuarios internos y externos y grupos de interés en el desarrollo de las iniciativas de TI.
Capacidades institucionales: Este ámbito busca potenciar temas como el uso eficiente del papel, la
gestión de los documentos electrónicos y la automatización de procesos y procedimientos, vinculados a las
políticas de gestión documental y racionalización administrativa”.
En este mismo numeral (3.2.1.3), MIPG indica que, en materia de Seguridad de la información,
se deben “implantar en todos los procesos de la entidad, políticas, controles y procedimientos con el fin de
aumentar los niveles de protección y adecuada salvaguarda de la información, preservando su
confidencialidad, integridad y disponibilidad, mediante la aplicación de un proceso de gestión del riesgo de
tal manera que se brinde confianza a las partes interesadas.
Las entidades deben seguir cada uno de los componentes del Marco de Seguridad y Privacidad de la
Información, así como las siguientes actividades para su correcta gestión:
3 Modelo Integrado de Planeación y Gestión-MIPG, Versión 1.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
8
Identificar el estado de la organización frente a los requerimientos del Modelo de Seguridad y Privacidad
de la Información. Una vez se tenga el resultado del diagnóstico inicial y determinado el nivel de madurez
de la entidad se procede a la definición del marco de seguridad (aplicar herramienta de diagnóstico).
Establecer dentro de las políticas de operación de la entidad, la política, los objetivos, procesos y
procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la
información, con el fin de entregar resultados acordes con las políticas y objetivos globales de la entidad
(Modelo de Seguridad y Privacidad de la Información).
Implementar y operar la política, los controles, procesos y procedimientos del modelo de seguridad y
privacidad de la información Modelo de Seguridad y Privacidad de la Información).
Evaluar y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de
seguridad y la experiencia práctica, y reportar los resultados a la dirección para su revisión en el Modelo
de Seguridad y Privacidad de la Información).
Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna en
seguridad de la información y la revisión por la dirección, para lograr la mejora continua del Modelo
(Modelo de Seguridad y Privacidad de la Información)”.
La Oficina de Tecnologías de la Información mediante NURC 3-2019-7571 del 09-05-2019, informó
las actividades que se han venido desarrollando para la implementación de estas políticas, las
cuales se detallan a continuación:
7.2.1 Política de Gobierno Digital
Con respecto a la implementación de esta política, las actividades realizadas, son:
• Medición de Criterios de calidad del Marco de Referencia de Arquitectura TI, con corte vigencia
2018.
En noviembre de 2018, la Oficina de Tecnologías de la Información hizo un análisis
comparativo de medición sobre los criterios de calidad, con el fin de determinar el estado de
implementación de la Estrategia de Gobierno en Línea componente TIC para la Gestión, donde
se contemplaron los lineamientos: Estrategia de TI (13 lineamientos), Gobierno de TI (15
lineamientos), Información (15 lineamientos), Sistemas de Información (24 lineamientos),
Servicios Tecnológicos (16 lineamientos), Uso y Apropiación (10 lineamientos), para un total
de 93 lineamientos para este componente; dicho comparativo abarcó las vigencias 2017 y
2018, estableciendo las brechas presentadas y definir un punto de partida para establecer los
criterios que son la línea base para la implementación de la Política de Gobierno Digital,
durante la vigencia 2019 y subsiguientes.
Ese comparativo es un primer diagnóstico, el cual fue realizado antes que MINTIC diera los
lineamientos finales para realizar la medición integral para la implementación de las dos
políticas, cuyas instrucciones comenzaron a ser impartidas desde diciembre de 2018.
Con base en esa evaluación, se creó la necesidad de contratar un profesional que fuera
especialista en materia de gobierno digital, para apoyar la implementación de las iniciativas en
esta materia para la vigencia 2019.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
9
• Medición de los Indicadores de cumplimiento correspondientes a los habilitadores de
Arquitectura de TI, Seguridad y Privacidad de la Información, y los Indicadores de Transición
para el Empoderamiento de los ciudadanos y para la Provisión en línea de trámites y servicios,
con corte 30-03-2019.
Durante el mes de marzo de 2019, el contratista que tiene a cargo la gestión para la
implementación de la política de gobierno digital, presentó un informe sobre el estado y avance
en el índice de gobierno digital, donde hizo análisis y evaluación a los indicadores de
cumplimiento y de transición:
La Política de Gobierno Digital define estos indicadores de la siguiente manera:
Indicadores de Cumplimiento: Son aquellos enfocados en medir el avance sobre la implementación
de los habilitadores transversales Arquitectura TI y Seguridad de la Información. Estos han sido
categorizados como “de cumplimiento”, ya que para ellos existen instrumentos base que apoyan su
medición desde el año 2014, como son el Marco de Referencia de Arquitectura y el Modelo de Seguridad
y Privacidad de la Información, los cuales establecen de manera concreta las evidencias y criterios
exigidos para demostrar su aplicación.
El habilitador transversal de Servicios Ciudadanos Digitales, aún no cuenta con Indicadores
definidos por la Política de Gobierno Digital.
Indicadores de Transición: Son aquellos que no corresponden a habilitadores transversales de la
Política de Gobierno Digital, sino que miden la evolución de lo que anteriormente se conocía como “TIC
para Servicios” y “TIC para Gobierno Abierto”, al componente que ahora se denomina “TIC para la
Sociedad”.
Con base en estos lineamientos definidos por MINTIC, se aplicó el modelo de formulación
propuesto en el Manual de la Política de Gobierno Digital, para realizar la medición de los
indicadores de Arquitectura de TI, Seguridad de la Información, Empoderamiento y Provisión
de Trámites y Servicios, el cual arrojó los siguientes resultados:
Arquitectura de TI
El resultado de la aplicación de la medición con base a los criterios de cumplimiento del Marco
de Referencia de Arquitectura de TI, se obtuvo el siguiente resultado:
Fuente: Informe_Estado_y_Avance_Índice_Gobierno_Digital. Contrato 087-2019
Seguridad de la Información
El resultado de la aplicación de la medición con base a los criterios de cumplimiento del Marco
de Referencia de Arquitectura de TI, se obtuvo el siguiente resultado:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
10
Fuente: Informe_Estado_y_Avance_Índice_Gobierno_Digital. Contrato 087-2019
Empoderamiento
El resultado de la aplicación de la medición con base a los criterios de cumplimiento del Marco
de Referencia de Arquitectura de TI, se obtuvo el siguiente resultado:
Fuente: Informe_Estado_y_Avance_Índice_Gobierno_Digital. Contrato 087-2019
Provisión de Trámites y Servicios
El resultado de la aplicación de la medición con base a los criterios de cumplimiento del Marco
de Referencia de Arquitectura de TI, se obtuvo el siguiente resultado:
Fuente: Informe_Estado_y_Avance_Índice_Gobierno_Digital. Contrato 087-2019
El resultado consolidado de la medición a estos 4 indicadores, es el que se refleja en la
siguiente imagen, y éste se convierte en la línea base para programar las actividades que
serán ejecutadas a partir de la vigencia 2019, para la implementación de la política de gobierno
digital:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
11
Fuente: Evolución de la medición de Gobierno Digital. Contrato 087-2019
• Informe del análisis del estado actual de la política de Gobierno Digital implementada por la
entidad, con corte 30-04-2019.
Del informe presentado por el contratista a cargo de la implementación de la Política de
Gobierno Digital, se extrae el resultado reportado:
Componente TIC para la sociedad:
Para analizar la situación actual de este componente se revisaron dos aspectos de acuerdo
con los indicadores de transición provistos por la Herramienta de Autodiagnóstico de Política
de Gobierno Digital provista por MINTIC a las entidades, de la siguiente manera:
Transparencia: En la revisión realizada sobre la página web institucional
(www.supersalud.gov.co) y sus diferentes micrositios, se encontró que se cumple con los
requisitos establecidos para la información publicada en línea, establecida por la política de
gobierno digital; es decir se cuenta con las secciones de:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
12
• Nuestra entidad: Esta pestaña, permite visualizar lo siguiente:
• Normatividad: Esta pestaña, permite consultar información sobre:
• Atención al ciudadano: Esta pestaña, permite consultar información sobre:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
13
• Micrositios: Se tienen íconos que permiten ingresar a
Datos Abiertos: En la revisión realizada sobre la página web institucional, sobre el sitio
www.datos.gov.co y sobre lo reportado en el Formulario Único Reporte de Avances de la
Gestión (FURAG) 2018, se encontraron los siguientes 10 conjuntos de datos abiertos
publicados, actualizados y difundidos por Supersalud:
• Base de datos PQRD 2018.
• Datos generales de compañías SOAT.
• Datos generales de IPS privadas.
• Datos generales de entidades territoriales.
• Datos generales de entidades en liquidación.
• Datos generales de entidades en intervención.
• Entidades administradoras de planes de beneficios – EAPB.
• Índice información clasificada y reservada.
• Base de datos PQRD 2017.
Aplicaciones o publicaciones generadas a partir de datos abiertos: No se evidencia que
existan aplicaciones que se hayan desarrollado a partir de estos, ni publicaciones (papers,
artículos, noticias, libros, etc.) que hayan usado los conjuntos de datos abiertos de la Entidad.
Ejercicios de rendición de cuentas soportados en medios electrónicos: Según las
verificaciones sobre lo reportado en el Formulario Único Reporte de Avances de la Gestión
(FURAG) 2018, en el último año se realizaron 3 ejercicios de rendición de cuentas por parte
de la entidad, de los cuales uno (1) de ellos (Audiencia Pública de Rendición de Cuentas
Vigencia 2017 y enero a julio de 2018 de la Superintendencia Nacional de Salud, realizada el
05-12-2018), se apoyó en medios electrónicos, el cual se puede consultar en el siguiente
enlace https://www.supersalud.gov.co/es-co/Paginas/Oficina%20de%20Comunicaciones/campa%C3%B1as/rendicion-
de-cuentas-2017-2018/index.html.
Participación: Uso de medios electrónicos en la formulación participativa de los planes de
acción: Según las verificaciones sobre lo reportado en el Formulario Único Reporte de
Avances de la Gestión (FURAG) 2018, de las actividades formuladas en la estrategia de
participación ciudadana (https://www.supersalud.gov.co/es-co/atencion-ciudadano/participacion-
ciudadana), se han apoyado en medios electrónicos las siguientes:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
14
• Elaboración de normatividad
• Formulación de la planeación
• Formulación de políticas, programas y proyectos
• Rendición de cuentas
• Promoción del control social y veedurías ciudadanas
Ejercicios de consulta o toma de decisiones en los que se hizo uso de medios
electrónicos: Según las verificaciones sobre lo reportado en el Formulario Único Reporte de
Avances de la Gestión (FURAG) 2018, con respecto a los ejercicios, iniciativas o acciones de
participación realizados por la Supersalud con sus grupos de valor para la consulta o toma de
decisiones, durante la vigencia anterior, se realizaron 12 ejercicios, pero ninguno de ellos se
apoyó en medios electrónicos.
Trámites y servicios en línea: La entidad en la actualidad cuenta con 8 trámites inscritos en
el DAFP, los cuales los puedes consultar en la siguiente dirección electrónica
https://www.supersalud.gov.co/es-co/atencion-ciudadano/tramites-y-servicios
De los anteriores trámites, solo dos (2) de ellos se encuentran habilitados parcial o totalmente
en línea:
• Registro de interventores y liquidadores o contralores de la Superintendencia Nacional de
Salud, dirigido a los Ciudadanos. https://rilco.supersalud.gov.co/
• En cumplimiento de la Circular 008 de 2018 (modificatoria de la Circular Única) se tiene
habilitado un módulo de autorización de funcionamiento como entidades promotoras de
salud, empresa de medicina prepagada o servicio de ambulancia prepagada, dirigido a la
Entidades Vigiladas. https://www.supersalud.gov.co/vigilados/Noticias/listanoticias/conozca-el-
modulo-de-autorizacion-habilitacion-y-modificacion-de-capacidad-de-afiliacion
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
15
En relación con los otros trámites, las actividades para su automatización se encuentran
programadas para ser ejecutadas durante la vigencia 2019, con fecha de finalización en
noviembre de 2019; aspecto que fue contemplado en el informe de seguimiento al “Plan
Anticorrupción y Atención al Ciudadano-Anexo 2”, presentado por la Oficina de Control Interno
mediante NURC 3-2019-7867 del 14-05-2019.
Aún así, en la consulta efectuada en la página web de la entidad, esos trámites se direccionan
a la página https://www.nomasfilas.gov.co/memoficha-tramite/-/tramite, donde se pueden
visualizar los documentos requeridos, punto de contacto para seguimiento, y normatividad que
le aplica al trámite. Aún no se tiene aplicativo habilitado para realizar desde allí los trámites.
Servicios centrados en el usuario: Este aspecto contempla lo siguiente:
Caracterización de usuarios: De los dos (2) trámites en línea que tiene dispuestos las
Entidad, ninguno cuenta con caracterización de los usuarios, bajo los lineamientos que exigen
MINTIC y Gobierno Digital. En este punto, es importante señalar que en el portafolio de
iniciativas propuesto por el contratista que tiene a cargo la implementación de la Política de
Gobierno Digital, se tiene previsto que esta actividad debe concluirse el 30-08-2019.
Accesibilidad y Usabilidad: Los 2 trámites en línea dispuestos por la Supersalud cumplen
desde su diseño con los criterios de accesibilidad web bajo los lineamientos que exigen
MINTIC y Gobierno Digital. En este punto, es importante señalar que en el portafolio de
iniciativas propuesto por el contratista que tiene a cargo la implementación de la Política de
Gobierno Digital, se tiene previsto que durante la vigencia 2019 se “elaborará propuesta de
checklist con los requerimientos de accesibilidad y usabilidad para sistemas de información,
los cuales serán diligenciados con los dos trámites en línea dispuestos por Supersalud”; esta
actividad debe concluirse el 30-08-2019.
Promoción: Los 2 trámites en línea dispuestos por la Supersalud fueron promocionados para
incrementar su uso. Dicha promoción se realizó en el momento de su lanzamiento en redes
sociales de la Entidad y en el portal web institucional. En este punto, es importante señalar
que en el portafolio de iniciativas propuesto por el contratista que tiene a cargo la
implementación de la Política de Gobierno Digital, se tiene previsto que durante la vigencia
2019, se va a “elaborar un informe sobre la promoción que se viene haciendo de los tramites
en línea de la Supersalud”, esta actividad debe concluirse el 30-08-2019.
Del informe presentado por el contratista a cargo de la implementación de la Política de
gobierno digital, se extrae que “Para apoyar el desarrollo del componente de TIC para la Sociedad,
se ha definido la Directiva Presidencial 02 de 2019 para la Simplificación de la Interacción Digital entre
los Ciudadanos y el Estado”, la cual plantea una serie de actividades a realizar por parte de las
entidades”, que garanticen la accesibilidad y usabilidad de los aplicativos, ajustados a la
norma NTC-5458, aspecto que es evidenciado en la misma configuración de estos.
Arquitectura de TI (habilitador)
Para analizar la situación actual de este habilitador transversal, el contratista a cargo de esta
implementación, indicó que “se aplica el indicador de cumplimiento provisto por la Política de
Gobierno Digital, en el cual se han establecido aspectos a medir (equivalentes a los dominios Marco
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
16
de Referencia de Arquitectura)”, y que para cada aspecto hay temas específicos, los cuales
representan la especificidad y detalle que conlleva este análisis:
Estrategia de TI
TEMA SITUACION ACTUAL
Planeación Estrategia de TI
• Actualmente se encuentra en proceso de formulación el Plan Estratégico de Tecnologías de la Información para el cuatrienio 2019-2022. Cumplimiento de la
implementación de la Estrategia de TI
Arquitectura Empresarial
• La entidad hace uso de una metodología de Arquitectura de TI para el diseño y planeación de las iniciativas de Tecnologías de Información, sin embargo aún no ha emprendido la definición de su Arquitectura Empresarial, que incluya la descripción de la Arquitectura Misional (de negocio) con los componentes mínimos establecidos por el Marco de Referencia de Arquitectura Empresarial.
• Adicionalmente, no se cuenta con un Grupo de Arquitectura Empresarial que gobierne y tome decisiones frente al impacto o evolución de la arquitectura empresarial.
Documentación de los Servicios de TI y la Arquitectura Empresarial
• Frente a la documentación de los servicios de TI y la Arquitectura Empresarial en la Supersalud, aún no cuenta con la documentación formal correspondiente.
• Por otro lado está en proceso de actualización y formalización del catálogo de servicios de TI.
Gobierno de TI
TEMA SITUACION ACTUAL
Esquema de gobierno de TI
• La OTI tiene definido el macroproceso de Gestión de TI establecido y documentado dentro del sistema integrado de gestión, con dos (2) procesos y siete (7) procedimientos; sin embargo, hay oportunidades de mejora las cuales ya están en curso de ser aplicadas para optimizar la cadena de valor de la Gestión de TI.
• La OTI cuenta con la estructura organizacional definida, la cual está publicada en el portal web institucional.
• La OTI cuenta con indicadores para medir el desempeño de su gestión.
• Aún no se cuenta con una Política Integral de TI documentada y definida
Inversiones/Compras de TI
• Desde la OTI se utilizan Acuerdos Marco de Precios para bienes y servicios de TI y se han utilizado los mecanismos o contratos de agregación de demanda para bienes y servicios de TI.
• Aunque la OTI aplica criterios de evaluación y selección en los contratos de proyectos que involucran TI, con estudios de mercado, anexos técnicos y estudios previos que soportan las inversiones, no se cuenta con documentos formales con la metodología y criterios de evaluación tipo, para aplicar en evaluación de alternativas de solución e inversión en materia de TI.
• No se cuenta con un repositorio único en custodia de la OTI donde repose la historia de los entregables resultantes de los contratos hechos por terceros, esto como parte de la gestión de conocimiento y transparencia.
Gestión de proyectos
• Frente a la gestión integral de proyectos de TI, la OTI no ha formalizado la aplicación de una metodología para la Gestión integral de Proyectos de TI que facilite:
• Garantizar que toda iniciativa o proyecto de la Supersalud que incorpore TI, sea liderada en conjunto entre las áreas misionales y la OTI, de una manera formal, organizada, bajo un modelo de roles, con responsabilidades y compromisos.
• Realizar una gestión integral de la documentación y de la transferencia de conocimiento sobre los entregables o resultados de todo proyecto de TI ejecutado por la Supersalud.
Información
TEMA SITUACION ACTUAL
Gobierno de Información
En relación con el gobierno de información, la Supersalud aún no cuenta con documentos sobre:
• Política Integral de TI que contenga políticas de segundo nivel, referentes al dominio de información.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
17
TEMA SITUACION ACTUAL
• Modelo o esquema de gobierno de información, roles y responsabilidades, bajo los aspectos definidos por las guías técnicas de MINTIC.
• Proceso de gestión del ciclo de vida de los componentes de información bajo los aspectos definidos en la guía G.INF.03 Guía Técnica - Ciclo de vida del dato.
• Definiciones de responsabilidad y gestión de Componentes de información, con los acuerdos (tipo ANS) bajo los aspectos definidos en las guías técnicas de MINTIC.
• Directorio o Catálogo de componentes de Información que cumpla con lo establecido en las guías técnicas de MINTIC.
• Estrategia de calidad de la información institucional y que incorpore los aspectos definidos en las guías técnicas establecidas por MINTIC.
• Artefacto con la definición y caracterización de la información georreferenciada de la entidad, bajo la normatividad técnica vigente de la Infraestructura Colombiana de Datos Espaciales (ICDE)
• Aun no se han implementado servicios de la Supersalud en la plataforma de interoperabilidad del estado colombiano, ni se ha aplicado el Lenguaje común de Intercambio.
Calidad, uso y aprovechamientos de la información
En relación con este ítem, la Supersalud aún no cuenta con documentos sobre:
• Mecanismos que impulsen el uso de los servicios de información dispuestos por Supersalud, para así recibir retroalimentación sobre la calidad y oportunidad de la información.
• Acuerdos de nivel de servicio (ANS) para el intercambio de información, firmados y aprobados por las áreas y/o entidades que participen en dicho intercambio.
• Guía o procedimiento de gestión de hallazgos sobre los servicios de información dispuestos por Supersalud.
• Mecanismo definido para que los usuarios reporten hallazgos sobre los servicios de información.
• Definiciones e instrumentos formales para realizar la medición de la calidad de la información.
• Definición formal del plan de calidad de la información.
Sistemas de información
TEMA SITUACION ACTUAL
Planeación y gestión de los Sistemas de Información
• La OTI cuenta con un catálogo de sistemas de información que brinda una descripción base sobre cada uno de los sistemas de información actualizado hasta agosto de 2018. Sin embargo, este catálogo aún no cuenta con las características para cumplir a cabalidad los criterios definidos por MINTIC en este sentido.
• La OTI no ha establecido aún una Arquitectura de Referencia para sistemas de información, a pesar de contar con artefactos como la arquitectura de software base.
• Aunque se han realizado ejercicios de arquitectura de TI para soluciones, no se cuenta con el documento oficial que describa las Arquitecturas de Solución aplicables a los proyectos de sistemas de información que implemente Supersalud.
Soporte de los sistemas de información
• Existe un documento formal que define el procedimiento de mantenimiento y gestión de cambios sobre sistemas de información, sin embargo este no tiene elementos claves exigidos en los criterios de calidad del marco de referencia de arquitectura de MINTIC.
• No se cuenta con un modelo adecuado de acuerdos de niveles de servicio (ANS) para la prestación del servicio de mantenimiento de los sistemas de información, que aplique tanto para las implementaciones a cargo de terceros, como aquellas a cargo de la Supersalud.
Ciclo de vida de los sistemas de información
• La OTI cuenta con dos guías (Desarrollo e Implantación) relacionadas al procedimiento de Gestión de Aplicaciones de TI, pero estas no cumplen aún con los criterios y nivel de madurez requerido por la arquitectura de TI.
• La OTI ha incorporado dentro de los contratos de desarrollo de sus sistemas de información, cláusulas que obliguen a realizar transferencia de derechos de autor a su favor.
• Adicionalmente la OTI, no cuenta con documentos, como:
• Guía de estilo y usabilidad que describa y detalle los lineamientos para incorporar en el desarrollo de sistemas de información en la Supersalud.
• Guía para Apertura de datos, construido bajo los criterios de calidad de la guía de apertura de datos de gobierno digital.
• Artefacto que contenga una matriz de correlación entre los componentes de información y los sistemas de información de la Supersalud.
• Caracterización actualizada de usuarios para todos los sistemas de información.
• Documento maestro que defina los requerimientos y esquema de pruebas con criterios de aceptación sobre Accesibilidad.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
18
TEMA SITUACION ACTUAL
• Documento que mapee los ambientes disponibles para cada uno de los sistemas de información de la Supersalud.
• Gestión de requerimientos que se aplique de manera integral y estándar, para dar cumpliendo con todos los criterios establecidos por el marco de referencia de arquitectura de MINTIC.
• Modelo estándar de plan de pruebas para aplicar el ciclo de vida de los sistemas de información.
• Modelo estándar y una estrategia para definir planes de capacitación y entrenamiento.
• Los manuales de usuario, técnicos, y de operación, no se encuentran completos, ni estandarizados para todos los sistemas de información de Supersalud.
• Pese a que en la OTI hubo un acercamiento a un procedimiento de gestión de cambios para sistemas de información, no se puso en práctica, y debe retomarse este esfuerzo.
• Algunas implementaciones de sistemas de información hechas por terceros cuentan con planes de calidad, sin embargo no hay un modelo estándar aplicado en todos los sistemas implementados, y varían en contenido y profundidad.
• No se cuenta con repositorios estandarizados donde se pueda encontrar los documentos, artefactos e informes de la ejecución del plan de calidad.
• Aunque en algunas implementaciones de sistemas de información contratadas con terceros cuentan con el listado de requerimientos funcionales y no funcionales, no se cuenta con un documento maestro de requerimientos funcionales y/o técnicas que deriven de las arquitecturas de referencia y solución que se definan.
• La entidad está en un nivel INICIAL de madurez en la implementación del modelo de seguridad y privacidad de la información, el cual incluye aspectos de seguridad para sistemas de información
• Los sistemas de información desarrollados al interior y por terceros cuentan con logs de auditoria y trazabilidad, sin embargo no se evidencia un documento maestro que indique las características mínimas que define la OTI para logs en cualquier sistema implementado
Servicios tecnológicos
TEMA SITUACION ACTUAL
Operación de servicios tecnológicos
• Se cuenta con un directorio de servicios tecnológicos, sin embargo no cumple con la totalidad de los criterios exigidos por el marco de referencia de arquitectura de MINTIC.
• No se cuenta con un documento que contenga los elementos para el intercambio de información con las características y criterios exigidos por el marco de referencia de arquitectura de MINTIC.
• Se cuenta con la documentación de un Análisis de Impacto de Negocio (BIA por su sigla en inglés) pero no se actualiza desde 2017.
• Se cuenta con la documentación que describe lo avanzado en Supersalud en lo que respecta a la Arquitectura de nube que ya está implementada. Esta información está en el documento “Propuesta diseño arquitectura servicios Tecnológicos Supersalud”
• No se cuenta con un documento asociado el análisis de factibilidad técnica, jurídica y de recursos económicos de la prestación de los servicios tecnológicos haciendo uso de la nube.
• Se cuenta con el procedimiento de disposición de residuos tecnológicos.
• Aunque se cuenta con plataformas de monitoreo de los servicios tecnológicos e informes respectivos, no se encontró documentación que referente a planes, procedimientos y políticas para garantizar la continuidad de los servicios tecnológicos.
• Aunque la Supersalud cuenta con sistemas de respaldo y controles implementados para garantizar la continuidad de los servicios tecnológicos, no se cuenta con un modelo documentado en este sentido.
• Aunque se cuenta con plataformas de monitoreo de los servicios tecnológicos e informes respectivos, no se evidencia la existencia de un documento que corresponda al plan de gestión de la disponibilidad.
• No se cuenta con un plan de gestión de la Capacidad actualizado, el más reciente fue realizado en el año 2015.
• No se evidencia la existencia de un procedimiento para gestionar el plan de gestión de la capacidad de capacidad de los servicios tecnológicos.
• Se cuenta con monitoreo de recursos tecnológicos con alertas configuradas, ya que en los diferentes contratos como Mesa de Servicio, Nube Privada, y Conectividad se solicitan reportes periódicos en este sentido.
• La Supersalud cuenta con el Subsistema de Seguridad de la Información que busca preservar la confidencialidad, integridad y disponibilidad de la información a todas las partes interesadas de la Entidad; este contiene políticas, procedimientos y guías.
• Aunque la Supersalud cuenta con un Plan Seguridad y Privacidad de la Información, y un Plan de Tratamiento de riesgos seguridad y privacidad estos dan cumplimiento a los objetivos para el
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
19
TEMA SITUACION ACTUAL
cumplimiento de las directrices definidas en la Política del Subsistema en Seguridad de la Información, sin embargo deben ser actualizados para cumplir lo establecido en el Modelo de Seguridad y Privacidad de la Información de MINTIC
Soporte a los servicios de TI
• La OTI ya ha definido un esquema de soporte con niveles de atención (primer, segundo y tercer nivel) a través de un punto único de contacto que es la Mesa de Servicio y soportado por una herramienta tecnológica como es CA Service Desk.
• La Supersalud cuenta con un conjunto de procedimientos de gestión de solicitudes, incidentes y problemas con sus respectivos ANS definidos. Adicionalmente algunos contratos de servicios como nube privada, canales de comunicación y mesa de servicios cuentan con ANS particulares. Sin embargo, se deben actualizar los procedimientos ya que datan de 2015. Dichos procedimientos son: ▪ GSPD01- Gestión de Incidentes ▪ GSPD02- Gestión de Cambios ▪ GSPD03- Gestión de Problemas ▪ GSPD04- Gestión de Requerimientos ▪ GSPD05- Control de Software Misionales de la entidad
• Se cuenta con un plan de mantenimiento preventivo de la infraestructura y los servicios tecnológicos, realizado a través de Mesa de Servicios (tercerizado).
• Aunque la OTI cuenta con el mecanismo de monitoreo de consumo de recursos compartidos de servicios tecnológicos, no se evidencia un procedimiento documentado al respecto
Avance en la adopción de IPV6
La Supersalud con el apoyo de una consultoría externa, adelantó las siguientes actividades:
• Elaboración de metodología para la adopción protocolo IPV6
• Diagnóstico de compatibilidad con protocolo ipv6: activos de información SNS 2017 y compatibilidad CISCO MERAKI.
• Elaboración de plan de direccionamiento IPV6
• Análisis de riesgos para la implementación del protocolo IPV6
• Elaboración de plan de contingencia de implementación de IPV6
• Informe de resultados de pruebas piloto y recomendaciones para la entidad
• Entrenamientos de capacitación y sensibilización a usuarios de Supersalud sobre Adopción IPV6 Sin embargo, aún no cuenta con la adopción total de IPV6 dando cubrimiento a las fases de Planeación, Implementación y Pruebas de funcionalidad, como los exigen el MINTIC y la política de Gobierno Digital según las guías: Transición de IPv4 a IPv6 en Colombia y Aseguramiento del Protocolo IPv6. En la revisión hecha, no se evidencia la existencia de la siguiente documentación:
• Plan de Diagnóstico para la Transición de IPv4 a IPv6
• Plan detallado del proceso de Transición de IPv4 a IPv6
• Diseño detallado de la implementación de IPv6
• Informe de activación de políticas de seguridad en IPv6
• Documento de pruebas de funcionalidad en IPv6
• Acta de cumplimiento a satisfacción de la entidad sobre el funcionamiento de los elementos intervenidos en la fase de implementación.
De otra parte, se ha avanzado en otro grupo de documentos, pero aún no cumplen a cabalidad lo exigidos por las guías de MINTIC y tienen más de un año de elaborados por lo cual deben ser actualizados:
• Plan de direccionamiento IPv6
• Plan de contingencias para IPv6
• Informe de pruebas piloto realizadas
Uso y apropiación de TI
TEMA SITUACION ACTUAL
Estrategia de uso y apropiación de TI
• Se cuenta con un documento que propone la estrategia de Uso y apropiación de TI para Supersalud elaborado por la OTI, el cual ya contempla todos los elementos requeridos por las guías de MINTIC. Sin embargo, este documento está pendiente de socializar, formalizar y publicar.
• Se cuenta con una propuesta de modelo de Gestión y Asimilación del Cambio elaborado por la OTI, pero este no está definido como procedimiento formal en términos de actividades, entradas y salidas de información, herramientas y recursos necesarios.
• Al no tener formalizados los artefactos anteriores, que son la base para el dominio de Uso y Apropiación, no se ha podido avanzar en los siguientes elementos de este dominio: ▪ Caracterización de los grupos de interés internos y externos. ▪ Definición de Plan de formación para el desarrollo de competencias requeridas para el
desarrollo de sus funciones y hacer un uso adecuado de los servicios de TI.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
20
TEMA SITUACION ACTUAL
▪ Divulgación y comunicación interna de los proyectos de TI ▪ Seguimiento mediante indicadores para la medición del impacto del uso y apropiación de TI
en la entidad.
• Definición de acciones de mejora o transformación a partir de los resultados obtenidos en el seguimiento y teniendo en cuenta la estrategia de gestión del cambio.
Seguridad y Privacidad de la Información (habilitador)
Para analizar la situación actual de este habilitador transversal el contratista a cargo de esta
implementación, indicó que, en el indicador de cumplimiento provisto por la Política de
Gobierno Digital, se han establecido aspectos a medir, y para cada aspecto hay temas
específicos, los cuales representan la especificidad y detalle que conlleva del análisis del
habilitador transversal Seguridad y Privacidad de la Información.
A continuación se indica el resultado del análisis de indicadores para este ítem, y en el numeral
7.2.2 de este informe se relacionarán las acciones que se han adelantado para la
implementación de esta política, así:
➢ Evaluación y planificación de la seguridad de la información
• Diagnostico Seguridad y Privacidad de la Información: La entidad realizó en
octubre de 2018 un diagnóstico de seguridad de la información, el cual arrojó los
siguientes resultados:
Y sobre el avance en el ciclo de funcionamiento del modelo de operación (PHVA), el
resultado fue:
Estos resultados se formulan como línea base para la gestión que se proyecta
adelantar durante las vigencias 2019 y 2020, en la implementación de la política para
la de Seguridad de la Información.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
21
• Política del Modelo de Seguridad y Privacidad de la Información (MSPI): La entidad
cuenta con políticas de seguridad de la información, códigos ASPD05, ASPD09.
• Roles y responsabilidades del MSPI: La entidad tiene definida la Matriz de Roles y
Responsabilidades (ASFT14), que contiene lo relacionado al Subsistema de
Seguridad de la Información.
• Procedimientos del MSPI: La entidad cuenta con procedimientos como
Procedimiento de Administración de Riesgos (ASPD03) y la guía metodológica para el
análisis de riesgos de seguridad y privacidad de la información (ASGU05).
• Gestión de activos de seguridad de la información: En la vigencia 2018, se levantó
inventario de activos para 13 procesos, cuyas matrices fueron aportadas para el
seguimiento que ahora se efectúa; para la vigencia 2019, se han llevado a cabo estas
actividades desde el mes de abril y se tiene cronograma establecido para el primer
semestre de 2019; al verificar la información sobre “registro de activos de información”
que se encuentra publicada en el portal web de la entidad, se observó que ella se
encuentra desactualizada (última modificación realizada el 01-11-2017), tal como se
aprecia en la siguiente imagen:
Fuente: https://www.supersalud.gov.co/es-co/atencion-ciudadano/transparencia-y-acceso-a-la-informacion-publica
• Gestión de riesgos de seguridad y privacidad de la información: La entidad tiene
definido el mapa de riesgos el cual contiene lo relacionado con seguridad de la
información (ASFT22); aún está en proceso el Plan de Tratamiento de riesgos
seguridad y privacidad de la información.
• Plan de comunicación, sensibilización y capacitación en seguridad de la
información, a través de campañas y capacitaciones-socializaciones. Para el presente
seguimiento se aportó la presentación utilizada en la jornada de socialización del
subsistema de seguridad de la información realizada durante el mes de abril de 2019,
así como el cronograma de las campañas a realizar mediante correos electrónicos,
fondos de pantalla e intranet, para toda la vigencia 2019.
➢ Implementación de la seguridad de la información
• Implementación del plan de tratamiento de riesgos de seguridad de la información:
La Oficina de Tecnologías de la Información está trabajando en el plan de tratamiento
de riesgos de seguridad de la información para el proceso Gobierno y Gestión de la
Información.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
22
• Plan de control operacional: La Oficina de Tecnologías de la Información está
trabajando en el plan de control operacional de seguridad de la información, para
efectuar el monitoreo y seguimiento a los controles de seguridad definidos para los
procesos Gobierno y Gestión de la Información y Gestión de Servicios Tecnológicos.
• Indicadores de Gestión de Seguridad de la Información: La Oficina de Tecnologías
de la Información está trabajando en la revisión y actualización de la formulación de
indicadores de gestión de la seguridad de la información.
➢ Seguimiento, evaluación y mejora de la seguridad de la información
• Seguimiento y evaluación del desempeño de la seguridad de la información: La Oficina
de Tecnologías de la Información está trabajando en definir un plan de seguimiento y
evaluación a la implementación de seguridad de la información.
• Como elemento de seguimiento y mejora en cada vigencia se han establecido planes
de auditoria de seguridad de la información, en los cuales la Oficina de Tecnologías
de la Información ha solicitado a la Oficina de Control Interno las auditorías propuestas
al subsistema de seguridad de la información, bajo los criterios de la norma ISO-
27001:2013 y los controles definidos en el Anexo A; para la vigencia 2019 en la
auditoría al sistema integrado de gestión, también se incluyó este subsistema.
• Plan de mejoramiento continuo de seguridad de la información: La Oficina de
Tecnologías de la Información está definiendo el plan de mejoramiento continuo de
seguridad de la información.
Servicios Ciudadanos Digitales (habilitador)
El contratista a cargo de esta implementación indicó que la versión vigente del manual de
Gobierno Digital no plantea de manera explícita una batería de indicadores específicos para
el componente de TIC para el Estado, pero da a entender que su implementación
corresponderá a implementar los servicios digitales, que se clasifican en servicios básicos, los
cuales posteriormente serán de obligatorio uso y adopción por parte de las Entidades.
• Autenticación electrónica
• Carpeta ciudadana
• Interoperabilidad
Servicio de Autenticación
Electrónica Servicio de Carpeta Ciudadana Servicio de Interoperabilidad
La Supersalud aún no ha adelantado iniciativas para definir las obligaciones, requerimientos jurídicos, financieros, administrativos, y los lineamientos técnicos necesarios para la implementación y prestación del servicio ciudadano digital de autenticación electrónica, en articulación y coordinación con la Agencia Nacional Digital (entidad adscrita al MINTIC).
La Supersalud aún no ha adelantado iniciativas para establecer los criterios y condiciones para el servicio de Carpeta Ciudadana, a través del cual los usuarios, que pueden ser personas naturales y jurídicas, pueden recibir, custodiar y compartir de manera segura y confiable documentos e información digital generada en su interacción con la Entidad, esto en articulación y coordinación con la Agencia Nacional Digital y otras entidades de sector salud.
La Supersalud aún no ha adelantado iniciativas para establecer los criterios técnicos, condiciones y lineamientos para el servicio de Interoperabilidad, cuyo objetivo es cubrir dos frentes: 1. alineación del modelo de interoperabilidad como servicio y el marco de interoperabilidad, y 2. el modelo de interoperabilidad como servicio. Lo anterior en articulación y coordinación con la Agencia Nacional Digital y otras entidades de sector salud.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
23
• Recomendaciones derivadas del informe del análisis del estado actual de la política de
Gobierno Digital implementada por la entidad, con corte 30-04-2019.
En este mismo informe, se presenta resultado del análisis por parte del contratista a cargo de
ese tema, donde se formulan conclusiones y recomendaciones orientadas a desarrollar o
fortalecer los puntos que son objeto de intervención, con el fin de identificar oportunidades de
mejora y/o de soluciones potenciales para implementar las políticas objeto de seguimiento en
este informe.
De manera general, los temas objeto de recomendaciones, son:
▪ Simplificación de la interacción digital entre los ciudadanos y el estado.
▪ Conjuntos de datos abiertos publicados, actualizados y difundidos.
▪ Aplicaciones o publicaciones generadas a partir de datos abiertos.
▪ Ejercicios de rendición de cuentas soportados en medios electrónicos.
▪ Uso de medios electrónicos en la formulación participativa de los planes de acción.
▪ Ejercicios de consulta o toma de decisiones en los que se hizo uso de medios electrónicos.
▪ Trámites y servicios disponibles en línea que cumplan con: caracterización de los usuarios,
criterios de accesibilidad y usabilidad, trámites y servicios en línea que fueron
promocionados.
▪ Planeación Estrategia de TI.
▪ Arquitectura Empresarial.
▪ Documentación de los Servicios de TI y la Arquitectura Empresarial.
▪ Esquema de gobierno de TI.
▪ Inversiones/Compras de TI.
▪ Gestión de proyectos de TI.
▪ Gobierno de Información.
▪ Calidad, uso y aprovechamientos de la información.
▪ Planeación y gestión de los Sistemas de Información.
▪ Soporte de los sistemas de información.
▪ Ciclo de vida de los sistemas de información.
▪ Operación de servicios tecnológicos.
▪ Soporte a los servicios de TI.
▪ Estrategia de uso y apropiación de TI.
▪ Avance en la adopción de IPV6.
▪ Diagnostico Seguridad y Privacidad de la Información.
▪ Política del Modelo de Seguridad y Privacidad de la Información (MSPI).
▪ Roles y responsabilidades del MSPI.
▪ Procedimientos del MSPI.
▪ Gestión de activos de seguridad de la información.
▪ Gestión de riesgos de seguridad y privacidad de la información.
▪ Plan de comunicación, sensibilización y capacitación en seguridad de la información.
▪ Plan de control operacional.
▪ Indicadores de Gestión de Seguridad de la Información.
▪ Seguimiento y evaluación del desempeño de la seguridad de la información.
▪ Plan de mejoramiento continuo de seguridad de la información.
▪ Servicios al ciudadano: autenticación electrónica, Carpeta Ciudadana, e Interoperabilidad.
Las recomendaciones fueron formuladas en un “portafolio de iniciativas (en total 114)”, sobre
el cual se tiene establecido un cronograma que se ejecutará durante las vigencias 2019 y
2020, con el fin de incrementar y/o mantener los indicadores de arquitectura de TI,
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
24
empoderamiento, integración portal único del estado (gov.co), provisión de trámites y
servicios, seguridad y privacidad de la información y servicios ciudadanos digitales.
Inicialmente, el cronograma establecido ha sido distribuido de la siguiente manera:
INDICADOR CANTIDAD
DE ACTIVIDADES
PERIODO DE EJECUCIÓN
Arquitectura de TI 77 Junio, agosto y diciembre de 2019 Junio y diciembre de 2020
Empoderamiento 9 Junio y diciembre de 2019 Diciembre de 2020
Integración portal único del estado (gov.co)
4 Mayo y diciembre de 2019 Junio y diciembre de 2020
Provisión de trámites y servicios 7 Agosto y diciembre de 2019 Diciembre de 2020
Seguridad y privacidad de la información
14 Agosto y diciembre de 2019 Junio de 2020
Servicios ciudadanos digitales 3 Diciembre de 2020
Así mismo se indica que en la medida que se dé cumplimiento a estas actividades, se
espera que finalizada la vigencia 2019, la implementación de la política de gobierno digital
se encuentre por lo menos en los siguientes porcentajes:
Fuente: Evolución de la medición de Gobierno Digital. Contrato 087-2019
7.2.2 Política de Seguridad de la Información
Con respecto a la implementación de esta política, adicionalmente a lo ya expuesto en el ítem
“Seguridad y Privacidad de la Información (habilitador)” donde se hizo relación al análisis de
indicadores, se han realizado las siguientes actividades:
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
25
• Diagnostico Seguridad y Privacidad de la Información: La entidad realizó en octubre de
2018 un diagnóstico de seguridad de la información, el cual arrojó los siguientes resultados:
en la evaluación de efectividad de los controles fue de 56%, y en el avance en el ciclo de
funcionamiento del modelo de operación (PHVA), el resultado fue de 60%, como se indicó en
el numeral 7.2.1 de este informe; los resultados derivados del análisis de indicadores se
formularon acciones para ser ejecutadas durante las vigencias 2019 y 2020.
• En cuanto a la implementación de la seguridad de la información y al Seguimiento,
evaluación y mejora de la seguridad de la información, estos quedaron registrados en el
numeral 7.2.1 de este informe.
• Inicio de la administración y afinamiento de las herramientas de Seguridad de la Información
de la entidad (Suite Fortinet, Suite Trend Micro, Suite EMS, y Meraki), incluyendo los procesos
contractuales para actualizar el Licenciamiento de éstas.
Actualmente se tiene suscritos contratos de licenciamiento y soporte de las herramientas
mencionadas, así:
▪ TREND MICRO: Contrato 290 de 2017 con fecha de vencimiento 29-12-2017 (para pagos),
suscrito con BHA SAS cuyo objeto fue "Renovación y actualización de protección Antivirus Suite
Trend Micro Smart Protection Complete conforme a lo especificado en el Anexo Técnico".
El soporte y mantenimiento es por 3 años (hasta 27-12-2020).
▪ EMS: Contrato 235 de 2019 (orden de compra No. 37735).
▪ Cisco-Meraki, Contrato 052 de 2014 adquisición inicial de toda la plataforma Cisco,
contrato 152 de 2015 y contrato 183 de 2016, todos con periodo de garantía y soporte de
5 años.
▪ Fortinet no se ha realizado la contratación; actualmente se encuentra con estudios previos
aprobados y publicados en portal SECOP II.
• Se iniciaron las actividades de implementación del Plan de Seguridad de la Información,
generando la actualización a las políticas de Control de Acceso, Instalación de Software y
Backup de Información que están contenidas en el documento “Políticas de Tercer Nivel del
Subsistema de Seguridad de la Información - ASPO09”, así como la definición de un
procedimiento para control de accesos a bases de datos.
Estos documentos fueron remitidos a la Oficina Asesora de Planeación mediante NURC 3-
2019-6076 del 11-04-2019, para su aprobación e inclusión en el sistema de gestión de la
calidad; a raíz de la solicitud se han llevado a cabo mesas de trabajo para realizar los ajustes
solicitados por la OAP. Aún no ha sido aprobado el requerimiento, el cual se verá reflejado en
la actualización del documento ASPD09.
7.3 Herramienta de autodiagnóstico
Desde el mes de febrero de 2019 y con base en las capacitaciones, socializaciones y lineamientos
impartidos por MINTIC durante el último trimestre de 2018, la Oficina de Tecnologías de la
Información ha liderado la implementación de la política de gobierno digital, para lo cual ha llevado
a cabo reuniones con la Oficina Asesora de Planeación y la Oficina de Control Interno, con el fin
de articular los equipos de trabajo y definir los usuarios que estarán interactuando con la nueva
herramienta de autodiagnóstico fijada por MINTIC.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
26
En la primera sesión realizada, la OTI hizo la socialización de conceptos y guías para la
implementación de la Política de Gobierno Digital y la formulación del PETI, bajo los lineamientos
de MINTIC, informando además cual será el enfoque de su implementación, en la cual se
presentarían cortes cuatrimestrales (abril, agosto y diciembre de 2019).
Para lo anterior, MINTIC indicó que toda la gestión, el cargue de evidencias y las actividades de
seguimiento y control, deben quedar registradas en la “Herramienta de Autodiagnóstico” que se
encuentra en el micrositio de ese Ministerio determinado para tal fin, de acuerdo a unos roles y
responsabilidades que deben definirse al interior de la SNS, para las dependencias que deben
cumplir con dichas actividades
El objetivo del autodiagnóstico es registrar periódicamente los resultados de la implementación
gradual de Gobierno Digital, con el fin de analizar en tiempo real el avance de los indicadores e
identificar oportunidades de mejora en el direccionamiento de planes de acción adecuados a las
realidades institucionales.
La herramienta dispuesta por MINTIC puede ser utilizada (cargue de información, seguimiento y
control) y consultada cada que la entidad lo determine pertinente, sin que ello implique reporte
alguno a la Función Pública, a otras instancias del gobierno o a organismos de control, atendiendo
los cortes ya indicados por la OTI (abril, agosto y diciembre de 2019).
Esta herramienta provee las siguientes características:
• Asignación de roles y responsabilidades.
• Fortalecimiento de trabajo articulado.
• Seguimiento a la gestión de los responsables.
• Repositorio de evidencias.
• Generación de indicadores.
• Acceso a instancias de validación y control interno.
• Trazabilidad de la gestión.
Los pasos a seguir dentro de la herramienta, de acuerdo con los perfiles definidos, son:
• Logística con MINTIC
• Distribución de roles
• Modelo de Operación
• Ejecutar poblamiento en herramienta y cargue de evidencias
• Validar cargue de información
• Tiempos de reporte
• Periodicidad del seguimiento
En relación con todas las actividades propuestas, es importante mencionar que durante el mes de
abril se recibió el usuario y contraseña para el ingreso a la herramienta, cuyo primer paso es crear
los usuarios requeridos por MINTIC, en seguida se debe realizar el cargue del autodiagnóstico,
actividad que se espera terminar en mayo de 2019.
En seguida, los diferentes roles definidos comenzarán el poblamiento de información y cargue de
evidencias, para finalizar con las actividades de seguimiento y control; todo lo anterior se llevará a
cabo, después de recibir una socialización para conocer la nueva herramienta.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
27
8. CONCLUSIONES
❖ MIPG incluye y define lineamientos para el cumplimiento de la Política de Gobierno Digital, el
cual, en la dimensión 3 “Gestión con Valores para Resultados”, agrupa un conjunto de
políticas o prácticas e instrumentos, que son necesarios para la implementación de las
Políticas de Gobierno Digital y de Seguridad de la Información; para lo cual se deben tener en
cuenta las dos perspectivas definidas por MIPG: “de la ventanilla hacia adentro” asociada a
los aspectos relevantes para una adecuada operación de la organización, “de la ventanilla
hacia afuera” relación Estado-Ciudadano.
❖ Para el cumplimiento de los lineamientos definidos por MINTIC y el MIPG, la entidad suscribió
el contrato de prestación de servicios profesionales No. 087 de 2019, para que un profesional
especializado en la materia, llevara a cabo la implementación del portafolio de proyectos
establecidos en la Política de Gobierno Digital planteada por el MINTIC; producto del cual se
han realizado los diagnósticos que sirven de línea base para la definición de actividades y
cronogramas a ejecutarse durante las vigencias 2019 y 2020.
❖ Con base en estos lineamientos definidos por MINTIC, se aplicó el modelo de formulación
propuesto en el Manual de la Política de Gobierno Digital para realizar la medición de los
indicadores con corte 31-12-2018, los cuales arrojaron los siguientes resultados:
Arquitectura de TI = 7%
Seguridad de la Información = 66.7%
Empoderamiento = 44.75%
Provisión de Trámites y Servicios = 50%
❖ De acuerdo con las recomendaciones planeadas por el contratista que tiene a cargo la
implementación de la política de gobierno digital, se proyecta que al finalizar la vigencia 2019,
los resultados de la aplicación de los lineamientos, se encuentre por lo menos en:
Arquitectura de TI = 21.3%
Seguridad de la Información = 80.5%
Empoderamiento = 44.75%
Provisión de Trámites y Servicios = 56.0%
❖ Del análisis realizado por el contratista que tiene a cargo la implementación de la Política de
Gobierno Digita, sobre el estado actual de la política de Gobierno Digital se determinaron las
situaciones que se han cumplido, las debilidades detectadas y las opciones de mejora, así
como la formulación de recomendaciones (en total fueron 114), sobre las cuales la Oficina de
Tecnologías de la Información, ha generado un cronograma que será ejecutado durante las
vigencias 2019 y 2020.
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
28
Inicialmente, el cronograma establecido ha sido distribuido de la siguiente manera:
INDICADOR CANTIDAD
DE ACTIVIDADES
PERIODO DE EJECUCIÓN
Arquitectura de TI 77 Junio, agosto y diciembre de 2019 Junio y diciembre de 2020
Empoderamiento 9 Junio y diciembre de 2019 Diciembre de 2020
Integración portal único del estado (gov.co)
4 Mayo y diciembre de 2019 Junio y diciembre de 2020
Provisión de trámites y servicios 7 Agosto y diciembre de 2019 Diciembre de 2020
Seguridad y privacidad de la información
14 Agosto y diciembre de 2019 Junio de 2020
Servicios ciudadanos digitales 3 Diciembre de 2020
❖ Durante el primer cuatrimestre de la vigencia 2019, la OTI ha liderado las actividades de
implementación de la política de gobierno digital, de acuerdo con los lineamientos definidos
por MINTIC, para lo cual se han realizado las siguientes actividades:
• Reuniones de socialización de las nuevas directrices impartidas por MINTIC para la
implementación de la Política de Gobierno Digital.
• Presentación del enfoque de la implementación y fechas de corte para el cumplimiento de
actividades.
• Explicación de la definición y alcance de roles y responsabilidades asignados a cada área
participante.
• Explicación sobre la herramienta de autodiagnóstico dispuesta por MINTIC.
• En abril de 2019 se recibió el usuario y clave asignado por MINTIC para la alimentación de
la herramienta, con la cual se realiza la definición de roles y responsabilidades.
• Se espera que en mayo de 2019 se realice el cargue del autodiagnóstico.
9. RECOMENDACIONES GENERALES
❖ De acuerdo con todo lo reportado en este informe, la Oficina de Control Interno recomienda
que desde el marco de lo establecido en la Dimensión del Direccionamiento Estratégico y
Planeación del Modelo MIPG, se apoye a nivel institucional a la Oficina de Tecnologías de la
Información y demás áreas involucradas en la ejecución de las actividades que se derivaron
de las recomendaciones surgidas como producto del contrato 087 de 2019, con las cuales se
busca dar cumplimiento a lo definido en la dimensión 3 del MIPG “Gestión con valores para
resultados”, en la implementación de las políticas de Gobierno Digital y Seguridad de la
Información.
❖ Se recomienda tanto a la Oficina de Tecnologías de la Información como a las demás áreas
que tienen injerencia en la implementación y mantenimiento de la política de gobierno digital,
que se realice un trabajo coordinado y armónico, para finalizar con éxito las actividades que
se deban realizar, lo cual redundará en beneficio institucional al cumplir los objetivos y metas
de la entidad, situación que adicionalmente se verá reflejada en el mejoramiento de los índices
del desempeño institucional que se reporta en el FURAG.
❖ Se recomienda tanto a la Oficina de Tecnologías de la Información, como a las demás áreas
que hacen parte de esta implementación, continuar aplicando de manera constante los
ejercicios de autodiagnóstico en cada fase de reporte, así como analizar continuamente la
Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co
29
evolución de los indicadores, aspectos definidos en el modelo MIPG y en el Manual de
Gobierno Digital.
❖ Se recomienda a las áreas involucradas en la implementación de la Política de Gobierno
Digital, hacer seguimiento a la ejecución de las acciones formuladas (cronogramas) para las
vigencias 2019 y 2020, atendiendo lo definido en MIPG, el Manual de Gobierno Digital y el
Decreto 1008 de 2018, en relación con los dos (2) Componentes, tres (3) Habilitadores
Transversales y los cinco (5) Propósitos u Objetivos de la Política de Gobierno Digital.
❖ En la revisión de la página web institucional, se evidenció que, la información relacionada con
“registro de activos de información”, se encuentra desactualizada, por lo que se recomienda a
las áreas pertinentes, ejercer autocontrol en el monitoreo de los servicios tecnológicos con que
cuenta la entidad; la presente recomendación se hace extensiva a que este autocontrol sea
aplicado a todos los aspectos y contenidos del portal web, ya que en su verificación se
evidencia el cumplimiento de los aspectos relacionados para el cumplimiento de los
componentes TIC para el Estado (en la estrategia GEL se denominaban TIC para Servicios y
TIC para Gobierno Abierto) y TIC para la sociedad (en GEL denominado TIC para la gestión).
Cordialmente,
ROSEMARY CHAVEZ RODRIGUEZ
Jefe Oficina de Control Interno
Equipo Auditor: Eddna Dueñas Monsalve, profesional especializado