superintendencia nacional de salud oficina de … · tic para la sociedad: tiene como objetivo...

SUPERINTENDENCIA NACIONAL DE SALUD

OFICINA DE CONTROL INTERNO

INFORME I AVANCE IMPLEMENTACION DE

POLITICA DE GOBIERNO DIGITAL Y POLITICA DE SEGURIDAD DE LA

INFORMACION

MAYO DE 2019

Bogotá D.C.

Sede Administrativa: Avenida Ciudad de Cali No. 51 - 66 (571) 481 7000 • Bogotá www.supersalud.gov.co

2

TABLA DE CONTENIDO

1. INTRODUCCION ...................................................................................................................................................... 3

2. OBJETIVO ................................................................................................................................................................. 4

3. ALCANCE .................................................................................................................................................................. 4

4. METODO ................................................................................................................................................................... 4

5. JUSTIFICACION ....................................................................................................................................................... 4

6. LIMITANTES.............................................................................................................................................................. 4

7. INFORME ................................................................................................................................................................... 4

7.1 Modelo Integrado de planeación y Gestión-MIPG .......................................................................................... 4

7.2 Avances en la implementación de las Políticas de Gobierno Digital y de Seguridad Digital .................... 6

7.2.1 Política de Gobierno Digital ........................................................................................................................... 8

7.2.2 Política de Seguridad de la Información .................................................................................................... 24

7.3 Herramienta de autodiagnóstico ...................................................................................................................... 25

8. CONCLUSIONES ................................................................................................................................................... 27

9. RECOMENDACIONES .......................................................................................................................................... 28


3

1. INTRODUCCION

Con la expedición del Decreto 2573 de 2014, Colombia materializa una de las recomendaciones

de la Corporación para la Cooperación y el Desarrollo Económico (OCDE), en adoptar estrategias

de Gobierno Digital, que permita al gobierno adoptar enfoques estratégicos para el uso de la

tecnología que los impulse a ser más abiertos, participativos e innovadores, a través de acciones

tales como el diseño de lineamientos para orientar y permitir el uso y el re–uso de la información

pública, aumentar la apertura y la transparencia, incentivar la participación del público en la

elaboración de políticas, proporcionar datos oficiales oportunos y confiables y, gestionar riesgos

en debida forma.

Con el Decreto 1078 de 2015, se expide el Decreto Único Reglamentario del sector de Tecnologías

de la Información y las Comunicaciones, en el Título 9 Políticas y lineamientos de Tecnologías de

la información, Capítulo 1 Estrategia de Gobierno en línea Artículos 2.2.9.1.1.1 a 2.2.9.1.4.3.

A través del Decreto 1414 del 25-08-2017 se modificó la estructura del Ministerio de Tecnologías

de la Información y las Comunicaciones (MINTIC), asignando a la Dirección de Gobierno Digital,

antes "Dirección de Gobierno en Línea", entre otras funciones, la de formular políticas, programas

y planes de adopción y apropiación de Tecnologías de la Información en las entidades del Estado,

así como la de formular políticas, lineamientos, estrategias y prácticas de Gobierno en Línea que

soporten la gestión del Estado en orden al ejercicio efectivo de sus funciones y la prestación

eficiente de sus servicios.

El Departamento Administrativo de la Función Pública (DAFP) mediante Decreto 1499 del 11-09-

2017 “modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo

relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015”, con el cual

integró los sistemas de Desarrollo Administrativo y de Calidad y los articuló con el de Control

Interno, definiéndolo como el Nuevo Modelo Integrado de Planeación y Gestión MIPG.

El MINTIC sometió a consideración del Consejo de Gestión y Desempeño Institucional los

lineamientos generales de política de Gobierno Digital, instancia que, en sesión de diciembre de

2017, recomendó al Gobierno Nacional su adopción.

De acuerdo con lo anterior, se definieron los lineamientos que permitieron la evolución de la

"Estrategia de Gobierno en Línea" a la "Política de Gobierno Digital", a través del Decreto 1008

del 14 de junio de 2018 por el cual se sustituyeron las disposiciones que sobre la materia están

actualmente contenidas en el capítulo 1 del título 9, del libro 2, de la parte 2 del Decreto 1078 de

2015, Decreto Único Reglamentario del Sector de Tecnologías de la Información y las

Comunicaciones.

La Presidencia de la República el 02-04-2019 emitió la Directiva Presidencia No. 2 con la impartió

directrices para la “Simplificación de la Interacción Digital entre los Ciudadanos y el Estado” con el

propósito de avanzar en la transformación digital del Estado e impactar positivamente en la calidad

de vida de los ciudadanos generando valor público en cada una de las interacciones digitales entre

ciudadano y estado, y mejorar la provisión de servicios digitales de confianza y calidad.

Motivado por la Directiva Presidencial No. 2 de 2019, MINTIC el 16-04-2019 publicó la Versión No.

7 del Manual de Gobierno Digital, en el cual se incorporan los lineamientos para la integración al

Portal Único del Estado Colombiano.


4

2. OBJETIVO

Evaluar el estado de avance en la implementación de las Políticas de Gobierno Digital y Política

de Seguridad de la Información, como parte de la Dimensión de Gestión con Valores para

Resultados que hacen parte del modelo MIPG – Decreto 1499 de 2017.

3. ALCANCE

El alcance de este informe es la verificación de las acciones adelantadas por la Superintendencia

Nacional de Salud en la implementación de las Políticas de Gobierno Digital y de Seguridad de la

Información, en el periodo comprendido entre el 1º de noviembre de 2018 y el 30 de abril de 2019.

4. METODO

La metodología aplicada correspondió a la solicitud de información a la Oficina de Tecnologías de

la Información y recopilación de soportes y demás actuaciones a que hubiera lugar.

5. JUSTIFICACION

La Oficina de Control Interno, en desarrollo del control posterior establecido en la Constitución

Nacional, en la Ley 87 de 1993, los Decretos que la reglamentan y, en cumplimiento a las

actividades programadas para el mes de mayo de 2019 en el Plan anual de Gestión (PAG), efectuó

seguimiento a las actividades desarrolladas por la entidad en la implementación de la Política de

Gobierno Digital y la Política de Seguridad de la Información.

6. LIMITANTES

Para el desarrollo del presente informe, no se presentaron limitantes.

7. INFORME

7.1 Modelo Integrado de planeación y Gestión-MIPG

El Decreto 1499 de 2017 “modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector

Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753

de 2015”, nuevo Modelo Integrado de Planeación y Gestión - MIPG, el cual se concentra en las

prácticas y procesos que adelantan las entidades públicas para transformar insumos en resultados

que produzcan los impactos deseados, esto es, una gestión y un desempeño institucional que

generan valor público1 a través de la puesta en marcha de siete (7) dimensiones.

1. Talento Humano.

2. Direccionamiento Estratégico y Planeación.

3. Gestión con Valores para el Resultado.

4. Evaluación para el Resultado.

5. Control Interno.

6. Información y Comunicación.

7. Gestión del Conocimiento y la Innovación.

1 Manual Operativo Modelo Integrado de Planeación y Gestión, Versión 1.


5

Estas dimensiones se entienden como el conjunto de políticas, prácticas, herramientas o

instrumentos con un propósito común que, puestas en marcha de manera articulada e

intercomunicada, permitirán que MIPG logre sus objetivos.

En el MIPG también se incluye y se definen lineamientos para el cumplimiento de la Política de

Gobierno Digital, el cual, en la dimensión 3 “Gestión con Valores para Resultados”, agrupa un

conjunto de políticas o prácticas e instrumentos que tienen como propósito permitir que la entidad

realice las actividades que sean necesarias para el logro de sus objetivos, en el marco de los

valores del servicio público.

Para ello, esta dimensión tiene dos perspectivas: la primera, asociada a los aspectos relevantes

para una adecuada operación de la organización “de la ventanilla hacia adentro”; y la segunda,

hace referencia a la relación Estado-Ciudadano “de la ventanilla hacia afuera”.

a. De la ventanilla hacia afuera – relación Estado-Ciudadano

En esta perspectiva se encuentran las políticas y los elementos que debe tener en cuenta la

entidad para operar, para lo cual se deben contemplar las políticas de Fortalecimiento

organizacional y simplificación de procesos que abarcan, las siguientes:

Transparencia, acceso a la información pública y lucha contra la corrupción.

Servicio al ciudadano.

Racionalización de Trámites.

Participación ciudadana en la gestión.

Gobierno Digital-TIC para el Estado (TIC para Servicios y TIC para Gobierno Abierto).

b. De la ventanilla hacia adentro

En esta perspectiva se encuentran las políticas y los elementos que debe tener en cuenta la

entidad, para operar internamente, para lo cual se deben contemplar las políticas de

Fortalecimiento organizacional y simplificación de procesos que abarcan, las siguientes:

Fortalecimiento organizacional y simplificación de procesos.

Gestión Presupuestal y eficiencia del Gasto público.

Gobierno Digital, antes GEL: TIC para la Gestión.

Seguridad Digital.

Defensa jurídica.

Mejora Normativa.

El objetivo de la Política de Gobierno Digital es: “Promover el uso y aprovechamiento de las TIC

para consolidar un Estado y ciudadanos competitivos, proactivos, e innovadores, que generen

valor público en un entorno de confianza digital”.

Esta política actúa de forma trasversal desde las dos perspectivas de la dimensión (ventanilla

hacia adentro y relación estado-ciudadano), haciendo uso de las TIC´s como herramientas que

permitan optimizar la gestión de las entidades, interactuar de manera ágil y coordinada y dar

solución a problemáticas y necesidades de interés público2.

2 MIPG, Presentación Dimensión 3-Gestión con Valores para Resultados. Consultado en: http://www.funcionpublica.gov.co/web/mipg/como-opera-mipg

http://www.funcionpublica.gov.co/web/mipg/como-opera-mipg


6

Para la implementación de la Política de Gobierno Digital, se han definido varios elementos que

brindan orientaciones generales y específicas que deben ser acogidas por las entidades, a fin de

alcanzar los propósitos de la política. Estos elementos son los siguientes:

a. Dos (2) COMPONENTES, que son las líneas de acción que orientan el desarrollo y la

implementación de la política:

“TIC para el Estado: Tiene como objetivo mejorar el funcionamiento de las entidades públicas y su

relación con otras entidades públicas, a través del uso de las TIC. Así mismo, busca fortalecer las

competencias T.I. de los servidores públicos, como parte fundamental de la capacidad institucional.

TIC para la Sociedad: tiene como objetivo fortalecer la sociedad y su relación con el Estado en un

entorno confiable que permita la apertura y el aprovechamiento de los datos públicos, la

colaboración en el desarrollo de productos y servicios de valor público, el diseño conjunto de

servicios, políticas y normas, y la identificación de soluciones a problemáticas de interés común”.

b. Tres (3) HABILITADORES TRANSVERSALES: son los elementos de base que permiten el

desarrollo de los componentes de la política.

“Arquitectura: Busca fortalecer las capacidades de gestión de T.I. de las entidades públicas, a

través de la definición de lineamientos, estándares y mejores prácticas contenidos en el Marco de

Referencia de Arquitectura Empresarial del Estado.

Seguridad y Privacidad: Busca preservar la confidencialidad, integridad y disponibilidad de los

activos de información de las entidades del Estado, garantizando su buen uso y la privacidad de los

datos, a través de un Modelo de Seguridad y Privacidad de la Información.

Servicios Ciudadanos Digitales: Busca facilitar y brindar un adecuado acceso a los servicios de

la administración pública haciendo uso de medios digitales, para lograr la autenticación electrónica,

interoperabilidad y carpeta ciudadana, esto será posible a través de la implementación del Modelo

de Servicios Ciudadanos Digitales´”.

El esquema muestra una lógica de engranaje, sobre la base de tres elementos que posibilitan su

funcionamiento, por ello, tanto los 2 componentes como los 3 habilitadores transversales, cuentan

con lineamientos que se desarrollan a través de estándares, guías, recomendaciones y buenas

prácticas, que las entidades deben implementar con la finalidad de alcanzar los propósitos de la

política de Gobierno Digital.

7.2 Avances en la implementación de las Políticas de Gobierno Digital y de Seguridad

Digital

Con el fin de implementar la Política de Gobierno Digital planteada por el MINTIC, la Oficina de

Tecnologías de la Información suscribió el contrato de prestación de servicios No. 087 de 2019

que tiene como objeto “prestar los servicios profesionales a la Oficina de Tecnologías de la Información,

para la implementación del portafolio de proyectos establecidos en la Política de Gobierno Digital planteada

por el MINTIC”; como resultado de la ejecución del citado contrato, se han llevado a cabo las

actividades con las cuales se logrará la implementación de las políticas de gobierno digital y de

seguridad de la información, de acuerdo con los lineamientos definidos en el Decreto 1499 de

2017 (MIPG).


7

En el manual Operativo del MIPG3 (numeral 3.2.1.3 Política Gobierno Digital: TIC para la gestión)

se especifica que “las tecnologías de la información y las comunicaciones (TIC) deben ser concebidas en

el marco de la gestión de la organización, de manera que su uso sea coherente y acorde con las

características y necesidades institucionales.

Por tal motivo, es importante que desde la dimensión de Direccionamiento Estratégico y Planeación se tenga

en cuenta la tecnología para apoyar la ejecución de los procesos, el manejo y seguridad de la información

y de los sistemas de información, los servicios de soporte tecnológico y, en general, el uso de medios

electrónicos para una gestión efectiva de la entidad”.

Es importante mencionar que esta política debe atender los lineamientos que estaban definidos

en la Estrategia GEL, en el componente “TIC para la Gestión”, que se indican a continuación:

“Estrategia de TI: Por medio de la comprensión de su situación actual y con base en su contexto frente al

uso de las tecnologías, la entidad formula una estrategia de TI alineada con su misión, metas y objetivos

institucionales, con el fin de apalancarse en las TI para generar valor público.

Gobierno de TI: Conformado por políticas, procesos, recursos, proveedores, compras de TI, instancias de

decisión e indicadores de la operación de TI, entre otros, que permite la gestión integral de los proyectos de

TI y su alineación con los procesos y procedimientos de la entidad.

Información: La entidad debe desarrollar procesos que permitan el consumo, análisis, uso y

aprovechamiento, así como definir mecanismos que contribuyan a alcanzar niveles óptimos de calidad,

seguridad, privacidad y trazabilidad de los siguientes cuatro componentes: datos, información, servicios y

flujos de información.

Sistemas de información: La entidad debe gestionar adecuadamente sus sistemas de información

estratégicos, misionales, administrativos y de apoyo, de manera que sean estandarizados, interoperables,

usables y, en esta medida, se logren potenciar sus procesos y servicios.

Servicios tecnológicos: Gestionar la infraestructura tecnológica con base en una estrategia que contemple

la evolución de sus sistemas de información, la disponibilidad y continuidad de los servicios tecnológicos,

su soporte y mantenimiento, así como la implementación de controles para alcanzar los niveles requeridos

de calidad, seguridad y trazabilidad.

Uso y apropiación: Desarrollar competencias para el uso y aprovechamiento de las TI que vinculan a

usuarios internos y externos y grupos de interés en el desarrollo de las iniciativas de TI.

Capacidades institucionales: Este ámbito busca potenciar temas como el uso eficiente del papel, la

gestión de los documentos electrónicos y la automatización de procesos y procedimientos, vinculados a las

políticas de gestión documental y racionalización administrativa”.

En este mismo numeral (3.2.1.3), MIPG indica que, en materia de Seguridad de la información,

se deben “implantar en todos los procesos de la entidad, políticas, controles y procedimientos con el fin de

aumentar los niveles de protección y adecuada salvaguarda de la información, preservando su

confidencialidad, integridad y disponibilidad, mediante la aplicación de un proceso de gestión del riesgo de

tal manera que se brinde confianza a las partes interesadas.

Las entidades deben seguir cada uno de los componentes del Marco de Seguridad y Privacidad de la

Información, así como las siguientes actividades para su correcta gestión:

3 Modelo Integrado de Planeación y Gestión-MIPG, Versión 1.


8

Identificar el estado de la organización frente a los requerimientos del Modelo de Seguridad y Privacidad

de la Información. Una vez se tenga el resultado del diagnóstico inicial y determinado el nivel de madurez

de la entidad se procede a la definición del marco de seguridad (aplicar herramienta de diagnóstico).

Establecer dentro de las políticas de operación de la entidad, la política, los objetivos, procesos y

procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la

información, con el fin de entregar resultados acordes con las políticas y objetivos globales de la entidad

(Modelo de Seguridad y Privacidad de la Información).

Implementar y operar la política, los controles, procesos y procedimientos del modelo de seguridad y

privacidad de la información Modelo de Seguridad y Privacidad de la Información).

Evaluar y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de

seguridad y la experiencia práctica, y reportar los resultados a la dirección para su revisión en el Modelo

de Seguridad y Privacidad de la Información).

Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna en

seguridad de la información y la revisión por la dirección, para lograr la mejora continua del Modelo

(Modelo de Seguridad y Privacidad de la Información)”.

La Oficina de Tecnologías de la Información mediante NURC 3-2019-7571 del 09-05-2019, informó

las actividades que se han venido desarrollando para la implementación de estas políticas, las

cuales se detallan a continuación:

7.2.1 Política de Gobierno Digital

Con respecto a la implementación de esta política, las actividades realizadas, son:

• Medición de Criterios de calidad del Marco de Referencia de Arquitectura TI, con corte vigencia

2018.

En noviembre de 2018, la Oficina de Tecnologías de la Información hizo un análisis

comparativo de medición sobre los criterios de calidad, con el fin de determinar el estado de

implementación de la Estrategia de Gobierno en Línea componente TIC para la Gestión, donde

se contemplaron los lineamientos: Estrategia de TI (13 lineamientos), Gobierno de TI (15

lineamientos), Información (15 lineamientos), Sistemas de Información (24 lineamientos),

Servicios Tecnológicos (16 lineamientos), Uso y Apropiación (10 lineamientos), para un total

de 93 lineamientos para este componente; dicho comparativo abarcó las vigencias 2017 y

2018, estableciendo las brechas presentadas y definir un punto de partida para establecer los

criterios que son la línea base para la implementación de la Política de Gobierno Digital,

durante la vigencia 2019 y subsiguientes.

Ese comparativo es un primer diagnóstico, el cual fue realizado antes que MINTIC diera los

lineamientos finales para realizar la medición integral para la implementación de las dos

políticas, cuyas instrucciones comenzaron a ser impartidas desde diciembre de 2018.

Con base en esa evaluación, se creó la necesidad de contratar un profesional que fuera

especialista en materia de gobierno digital, para apoyar la implementación de las iniciativas en

esta materia para la vigencia 2019.


9

• Medición de los Indicadores de cumplimiento correspondientes a los habilitadores de

Arquitectura de TI, Seguridad y Privacidad de la Información, y los Indicadores de Transición

para el Empoderamiento de los ciudadanos y para la Provisión en línea de trámites y servicios,

con corte 30-03-2019.

Durante el mes de marzo de 2019, el contratista que tiene a cargo la gestión para la

implementación de la política de gobierno digital, presentó un informe sobre el estado y avance

en el índice de gobierno digital, donde hizo análisis y evaluación a los indicadores de

cumplimiento y de transición:

La Política de Gobierno Digital define estos indicadores de la siguiente manera:

Indicadores de Cumplimiento: Son aquellos enfocados en medir el avance sobre la implementación

de los habilitadores transversales Arquitectura TI y Seguridad de la Información. Estos han sido

categorizados como “de cumplimiento”, ya que para ellos existen instrumentos base que apoyan su

medición desde el año 2014, como son el Marco de Referencia de Arquitectura y el Modelo de Seguridad

y Privacidad de la Información, los cuales establecen de manera concreta las evidencias y criterios

exigidos para demostrar su aplicación.

El habilitador transversal de Servicios Ciudadanos Digitales, aún no cuenta con Indicadores

definidos por la Política de Gobierno Digital.

Indicadores de Transición: Son aquellos que no corresponden a habilitadores transversales de la

Política de Gobierno Digital, sino que miden la evolución de lo que anteriormente se conocía como “TIC

para Servicios” y “TIC para Gobierno Abierto”, al componente que ahora se denomina “TIC para la

Sociedad”.

Con base en estos lineamientos definidos por MINTIC, se aplicó el modelo de formulación

propuesto en el Manual de la Política de Gobierno Digital, para realizar la medición de los

indicadores de Arquitectura de TI, Seguridad de la Información, Empoderamiento y Provisión

de Trámites y Servicios, el cual arrojó los siguientes resultados:

Arquitectura de TI

El resultado de la aplicación de la medición con base a los criterios de cumplimiento del Marco

de Referencia de Arquitectura de TI, se obtuvo el siguiente resultado:

Fuente: Informe_Estado_y_Avance_Índice_Gobierno_Digital. Contrato 087-2019

Seguridad de la Información




10


Empoderamiento




Provisión de Trámites y Servicios




El resultado consolidado de la medición a estos 4 indicadores, es el que se refleja en la

siguiente imagen, y éste se convierte en la línea base para programar las actividades que

serán ejecutadas a partir de la vigencia 2019, para la implementación de la política de gobierno

digital:


11

Fuente: Evolución de la medición de Gobierno Digital. Contrato 087-2019

• Informe del análisis del estado actual de la política de Gobierno Digital implementada por la

entidad, con corte 30-04-2019.

Del informe presentado por el contratista a cargo de la implementación de la Política de

Gobierno Digital, se extrae el resultado reportado:

Componente TIC para la sociedad:

Para analizar la situación actual de este componente se revisaron dos aspectos de acuerdo

con los indicadores de transición provistos por la Herramienta de Autodiagnóstico de Política

de Gobierno Digital provista por MINTIC a las entidades, de la siguiente manera:

Transparencia: En la revisión realizada sobre la página web institucional

(www.supersalud.gov.co) y sus diferentes micrositios, se encontró que se cumple con los

requisitos establecidos para la información publicada en línea, establecida por la política de

gobierno digital; es decir se cuenta con las secciones de:

http://www.supersalud.gov.co/


12

• Nuestra entidad: Esta pestaña, permite visualizar lo siguiente:

• Normatividad: Esta pestaña, permite consultar información sobre:

• Atención al ciudadano: Esta pestaña, permite consultar información sobre:


13

• Micrositios: Se tienen íconos que permiten ingresar a

Datos Abiertos: En la revisión realizada sobre la página web institucional, sobre el sitio

www.datos.gov.co y sobre lo reportado en el Formulario Único Reporte de Avances de la

Gestión (FURAG) 2018, se encontraron los siguientes 10 conjuntos de datos abiertos

publicados, actualizados y difundidos por Supersalud:

• Base de datos PQRD 2018.

• Datos generales de compañías SOAT.

• Datos generales de IPS privadas.

• Datos generales de entidades territoriales.

• Datos generales de entidades en liquidación.

• Datos generales de entidades en intervención.

• Entidades administradoras de planes de beneficios – EAPB.

• Índice información clasificada y reservada.

• Base de datos PQRD 2017.

Aplicaciones o publicaciones generadas a partir de datos abiertos: No se evidencia que

existan aplicaciones que se hayan desarrollado a partir de estos, ni publicaciones (papers,

artículos, noticias, libros, etc.) que hayan usado los conjuntos de datos abiertos de la Entidad.

Ejercicios de rendición de cuentas soportados en medios electrónicos: Según las

verificaciones sobre lo reportado en el Formulario Único Reporte de Avances de la Gestión

(FURAG) 2018, en el último año se realizaron 3 ejercicios de rendición de cuentas por parte

de la entidad, de los cuales uno (1) de ellos (Audiencia Pública de Rendición de Cuentas

Vigencia 2017 y enero a julio de 2018 de la Superintendencia Nacional de Salud, realizada el

05-12-2018), se apoyó en medios electrónicos, el cual se puede consultar en el siguiente

enlace https://www.supersalud.gov.co/es-co/Paginas/Oficina%20de%20Comunicaciones/campa%C3%B1as/rendicion-

de-cuentas-2017-2018/index.html.

Participación: Uso de medios electrónicos en la formulación participativa de los planes de

acción: Según las verificaciones sobre lo reportado en el Formulario Único Reporte de

Avances de la Gestión (FURAG) 2018, de las actividades formuladas en la estrategia de

participación ciudadana (https://www.supersalud.gov.co/es-co/atencion-ciudadano/participacion-

ciudadana), se han apoyado en medios electrónicos las siguientes:

http://www.datos.gov.co/

https://www.supersalud.gov.co/es-co/Paginas/Oficina%20de%20Comunicaciones/campa%C3%B1as/rendicion-de-cuentas-2017-2018/index.html

https://www.supersalud.gov.co/es-co/Paginas/Oficina%20de%20Comunicaciones/campa%C3%B1as/rendicion-de-cuentas-2017-2018/index.html

https://www.supersalud.gov.co/es-co/atencion-ciudadano/participacion-ciudadana

https://www.supersalud.gov.co/es-co/atencion-ciudadano/participacion-ciudadana


14

• Elaboración de normatividad

• Formulación de la planeación

• Formulación de políticas, programas y proyectos

• Rendición de cuentas

• Promoción del control social y veedurías ciudadanas

Ejercicios de consulta o toma de decisiones en los que se hizo uso de medios

electrónicos: Según las verificaciones sobre lo reportado en el Formulario Único Reporte de

Avances de la Gestión (FURAG) 2018, con respecto a los ejercicios, iniciativas o acciones de

participación realizados por la Supersalud con sus grupos de valor para la consulta o toma de

decisiones, durante la vigencia anterior, se realizaron 12 ejercicios, pero ninguno de ellos se

apoyó en medios electrónicos.

Trámites y servicios en línea: La entidad en la actualidad cuenta con 8 trámites inscritos en

el DAFP, los cuales los puedes consultar en la siguiente dirección electrónica

https://www.supersalud.gov.co/es-co/atencion-ciudadano/tramites-y-servicios

De los anteriores trámites, solo dos (2) de ellos se encuentran habilitados parcial o totalmente

en línea:

• Registro de interventores y liquidadores o contralores de la Superintendencia Nacional de

Salud, dirigido a los Ciudadanos. https://rilco.supersalud.gov.co/

• En cumplimiento de la Circular 008 de 2018 (modificatoria de la Circular Única) se tiene

habilitado un módulo de autorización de funcionamiento como entidades promotoras de

salud, empresa de medicina prepagada o servicio de ambulancia prepagada, dirigido a la

Entidades Vigiladas. https://www.supersalud.gov.co/vigilados/Noticias/listanoticias/conozca-el-

modulo-de-autorizacion-habilitacion-y-modificacion-de-capacidad-de-afiliacion

https://www.supersalud.gov.co/es-co/atencion-ciudadano/tramites-y-servicios

https://rilco.supersalud.gov.co/

https://www.supersalud.gov.co/vigilados/Noticias/listanoticias/conozca-el-modulo-de-autorizacion-habilitacion-y-modificacion-de-capacidad-de-afiliacion

https://www.supersalud.gov.co/vigilados/Noticias/listanoticias/conozca-el-modulo-de-autorizacion-habilitacion-y-modificacion-de-capacidad-de-afiliacion


15

En relación con los otros trámites, las actividades para su automatización se encuentran

programadas para ser ejecutadas durante la vigencia 2019, con fecha de finalización en

noviembre de 2019; aspecto que fue contemplado en el informe de seguimiento al “Plan

Anticorrupción y Atención al Ciudadano-Anexo 2”, presentado por la Oficina de Control Interno

mediante NURC 3-2019-7867 del 14-05-2019.

Aún así, en la consulta efectuada en la página web de la entidad, esos trámites se direccionan

a la página https://www.nomasfilas.gov.co/memoficha-tramite/-/tramite, donde se pueden

visualizar los documentos requeridos, punto de contacto para seguimiento, y normatividad que

le aplica al trámite. Aún no se tiene aplicativo habilitado para realizar desde allí los trámites.

Servicios centrados en el usuario: Este aspecto contempla lo siguiente:

Caracterización de usuarios: De los dos (2) trámites en línea que tiene dispuestos las

Entidad, ninguno cuenta con caracterización de los usuarios, bajo los lineamientos que exigen

MINTIC y Gobierno Digital. En este punto, es importante señalar que en el portafolio de

iniciativas propuesto por el contratista que tiene a cargo la implementación de la Política de

Gobierno Digital, se tiene previsto que esta actividad debe concluirse el 30-08-2019.

Accesibilidad y Usabilidad: Los 2 trámites en línea dispuestos por la Supersalud cumplen

desde su diseño con los criterios de accesibilidad web bajo los lineamientos que exigen

MINTIC y Gobierno Digital. En este punto, es importante señalar que en el portafolio de

iniciativas propuesto por el contratista que tiene a cargo la implementación de la Política de

Gobierno Digital, se tiene previsto que durante la vigencia 2019 se “elaborará propuesta de

checklist con los requerimientos de accesibilidad y usabilidad para sistemas de información,

los cuales serán diligenciados con los dos trámites en línea dispuestos por Supersalud”; esta

actividad debe concluirse el 30-08-2019.

Promoción: Los 2 trámites en línea dispuestos por la Supersalud fueron promocionados para

incrementar su uso. Dicha promoción se realizó en el momento de su lanzamiento en redes

sociales de la Entidad y en el portal web institucional. En este punto, es importante señalar

que en el portafolio de iniciativas propuesto por el contratista que tiene a cargo la

implementación de la Política de Gobierno Digital, se tiene previsto que durante la vigencia

2019, se va a “elaborar un informe sobre la promoción que se viene haciendo de los tramites

en línea de la Supersalud”, esta actividad debe concluirse el 30-08-2019.

Del informe presentado por el contratista a cargo de la implementación de la Política de

gobierno digital, se extrae que “Para apoyar el desarrollo del componente de TIC para la Sociedad,

se ha definido la Directiva Presidencial 02 de 2019 para la Simplificación de la Interacción Digital entre

los Ciudadanos y el Estado”, la cual plantea una serie de actividades a realizar por parte de las

entidades”, que garanticen la accesibilidad y usabilidad de los aplicativos, ajustados a la

norma NTC-5458, aspecto que es evidenciado en la misma configuración de estos.

Arquitectura de TI (habilitador)

Para analizar la situación actual de este habilitador transversal, el contratista a cargo de esta

implementación, indicó que “se aplica el indicador de cumplimiento provisto por la Política de

Gobierno Digital, en el cual se han establecido aspectos a medir (equivalentes a los dominios Marco

https://www.nomasfilas.gov.co/memoficha-tramite/-/tramite


16

de Referencia de Arquitectura)”, y que para cada aspecto hay temas específicos, los cuales

representan la especificidad y detalle que conlleva este análisis:

Estrategia de TI

TEMA SITUACION ACTUAL

Planeación Estrategia de TI

• Actualmente se encuentra en proceso de formulación el Plan Estratégico de Tecnologías de la Información para el cuatrienio 2019-2022. Cumplimiento de la

implementación de la Estrategia de TI

Arquitectura Empresarial

• La entidad hace uso de una metodología de Arquitectura de TI para el diseño y planeación de las iniciativas de Tecnologías de Información, sin embargo aún no ha emprendido la definición de su Arquitectura Empresarial, que incluya la descripción de la Arquitectura Misional (de negocio) con los componentes mínimos establecidos por el Marco de Referencia de Arquitectura Empresarial.

• Adicionalmente, no se cuenta con un Grupo de Arquitectura Empresarial que gobierne y tome decisiones frente al impacto o evolución de la arquitectura empresarial.

Documentación de los Servicios de TI y la Arquitectura Empresarial

• Frente a la documentación de los servicios de TI y la Arquitectura Empresarial en la Supersalud, aún no cuenta con la documentación formal correspondiente.

• Por otro lado está en proceso de actualización y formalización del catálogo de servicios de TI.

Gobierno de TI


Esquema de gobierno de TI

• La OTI tiene definido el macroproceso de Gestión de TI establecido y documentado dentro del sistema integrado de gestión, con dos (2) procesos y siete (7) procedimientos; sin embargo, hay oportunidades de mejora las cuales ya están en curso de ser aplicadas para optimizar la cadena de valor de la Gestión de TI.

• La OTI cuenta con la estructura organizacional definida, la cual está publicada en el portal web institucional.

• La OTI cuenta con indicadores para medir el desempeño de su gestión.

• Aún no se cuenta con una Política Integral de TI documentada y definida

Inversiones/Compras de TI

• Desde la OTI se utilizan Acuerdos Marco de Precios para bienes y servicios de TI y se han utilizado los mecanismos o contratos de agregación de demanda para bienes y servicios de TI.

• Aunque la OTI aplica criterios de evaluación y selección en los contratos de proyectos que involucran TI, con estudios de mercado, anexos técnicos y estudios previos que soportan las inversiones, no se cuenta con documentos formales con la metodología y criterios de evaluación tipo, para aplicar en evaluación de alternativas de solución e inversión en materia de TI.

• No se cuenta con un repositorio único en custodia de la OTI donde repose la historia de los entregables resultantes de los contratos hechos por terceros, esto como parte de la gestión de conocimiento y transparencia.

Gestión de proyectos

• Frente a la gestión integral de proyectos de TI, la OTI no ha formalizado la aplicación de una metodología para la Gestión integral de Proyectos de TI que facilite:

• Garantizar que toda iniciativa o proyecto de la Supersalud que incorpore TI, sea liderada en conjunto entre las áreas misionales y la OTI, de una manera formal, organizada, bajo un modelo de roles, con responsabilidades y compromisos.

• Realizar una gestión integral de la documentación y de la transferencia de conocimiento sobre los entregables o resultados de todo proyecto de TI ejecutado por la Supersalud.

Información


Gobierno de Información

En relación con el gobierno de información, la Supersalud aún no cuenta con documentos sobre:

• Política Integral de TI que contenga políticas de segundo nivel, referentes al dominio de información.


17


• Modelo o esquema de gobierno de información, roles y responsabilidades, bajo los aspectos definidos por las guías técnicas de MINTIC.

• Proceso de gestión del ciclo de vida de los componentes de información bajo los aspectos definidos en la guía G.INF.03 Guía Técnica - Ciclo de vida del dato.

• Definiciones de responsabilidad y gestión de Componentes de información, con los acuerdos (tipo ANS) bajo los aspectos definidos en las guías técnicas de MINTIC.

• Directorio o Catálogo de componentes de Información que cumpla con lo establecido en las guías técnicas de MINTIC.

• Estrategia de calidad de la información institucional y que incorpore los aspectos definidos en las guías técnicas establecidas por MINTIC.

• Artefacto con la definición y caracterización de la información georreferenciada de la entidad, bajo la normatividad técnica vigente de la Infraestructura Colombiana de Datos Espaciales (ICDE)

• Aun no se han implementado servicios de la Supersalud en la plataforma de interoperabilidad del estado colombiano, ni se ha aplicado el Lenguaje común de Intercambio.

Calidad, uso y aprovechamientos de la información

En relación con este ítem, la Supersalud aún no cuenta con documentos sobre:

• Mecanismos que impulsen el uso de los servicios de información dispuestos por Supersalud, para así recibir retroalimentación sobre la calidad y oportunidad de la información.

• Acuerdos de nivel de servicio (ANS) para el intercambio de información, firmados y aprobados por las áreas y/o entidades que participen en dicho intercambio.

• Guía o procedimiento de gestión de hallazgos sobre los servicios de información dispuestos por Supersalud.

• Mecanismo definido para que los usuarios reporten hallazgos sobre los servicios de información.

• Definiciones e instrumentos formales para realizar la medición de la calidad de la información.

• Definición formal del plan de calidad de la información.

Sistemas de información


Planeación y gestión de los Sistemas de Información

• La OTI cuenta con un catálogo de sistemas de información que brinda una descripción base sobre cada uno de los sistemas de información actualizado hasta agosto de 2018. Sin embargo, este catálogo aún no cuenta con las características para cumplir a cabalidad los criterios definidos por MINTIC en este sentido.

• La OTI no ha establecido aún una Arquitectura de Referencia para sistemas de información, a pesar de contar con artefactos como la arquitectura de software base.

• Aunque se han realizado ejercicios de arquitectura de TI para soluciones, no se cuenta con el documento oficial que describa las Arquitecturas de Solución aplicables a los proyectos de sistemas de información que implemente Supersalud.

Soporte de los sistemas de información

• Existe un documento formal que define el procedimiento de mantenimiento y gestión de cambios sobre sistemas de información, sin embargo este no tiene elementos claves exigidos en los criterios de calidad del marco de referencia de arquitectura de MINTIC.

• No se cuenta con un modelo adecuado de acuerdos de niveles de servicio (ANS) para la prestación del servicio de mantenimiento de los sistemas de información, que aplique tanto para las implementaciones a cargo de terceros, como aquellas a cargo de la Supersalud.

Ciclo de vida de los sistemas de información

• La OTI cuenta con dos guías (Desarrollo e Implantación) relacionadas al procedimiento de Gestión de Aplicaciones de TI, pero estas no cumplen aún con los criterios y nivel de madurez requerido por la arquitectura de TI.

• La OTI ha incorporado dentro de los contratos de desarrollo de sus sistemas de información, cláusulas que obliguen a realizar transferencia de derechos de autor a su favor.

• Adicionalmente la OTI, no cuenta con documentos, como:

• Guía de estilo y usabilidad que describa y detalle los lineamientos para incorporar en el desarrollo de sistemas de información en la Supersalud.

• Guía para Apertura de datos, construido bajo los criterios de calidad de la guía de apertura de datos de gobierno digital.

• Artefacto que contenga una matriz de correlación entre los componentes de información y los sistemas de información de la Supersalud.

• Caracterización actualizada de usuarios para todos los sistemas de información.

• Documento maestro que defina los requerimientos y esquema de pruebas con criterios de aceptación sobre Accesibilidad.


18


• Documento que mapee los ambientes disponibles para cada uno de los sistemas de información de la Supersalud.

• Gestión de requerimientos que se aplique de manera integral y estándar, para dar cumpliendo con todos los criterios establecidos por el marco de referencia de arquitectura de MINTIC.

• Modelo estándar de plan de pruebas para aplicar el ciclo de vida de los sistemas de información.

• Modelo estándar y una estrategia para definir planes de capacitación y entrenamiento.

• Los manuales de usuario, técnicos, y de operación, no se encuentran completos, ni estandarizados para todos los sistemas de información de Supersalud.

• Pese a que en la OTI hubo un acercamiento a un procedimiento de gestión de cambios para sistemas de información, no se puso en práctica, y debe retomarse este esfuerzo.

• Algunas implementaciones de sistemas de información hechas por terceros cuentan con planes de calidad, sin embargo no hay un modelo estándar aplicado en todos los sistemas implementados, y varían en contenido y profundidad.

• No se cuenta con repositorios estandarizados donde se pueda encontrar los documentos, artefactos e informes de la ejecución del plan de calidad.

• Aunque en algunas implementaciones de sistemas de información contratadas con terceros cuentan con el listado de requerimientos funcionales y no funcionales, no se cuenta con un documento maestro de requerimientos funcionales y/o técnicas que deriven de las arquitecturas de referencia y solución que se definan.

• La entidad está en un nivel INICIAL de madurez en la implementación del modelo de seguridad y privacidad de la información, el cual incluye aspectos de seguridad para sistemas de información

• Los sistemas de información desarrollados al interior y por terceros cuentan con logs de auditoria y trazabilidad, sin embargo no se evidencia un documento maestro que indique las características mínimas que define la OTI para logs en cualquier sistema implementado

Servicios tecnológicos


Operación de servicios tecnológicos

• Se cuenta con un directorio de servicios tecnológicos, sin embargo no cumple con la totalidad de los criterios exigidos por el marco de referencia de arquitectura de MINTIC.

• No se cuenta con un documento que contenga los elementos para el intercambio de información con las características y criterios exigidos por el marco de referencia de arquitectura de MINTIC.

• Se cuenta con la documentación de un Análisis de Impacto de Negocio (BIA por su sigla en inglés) pero no se actualiza desde 2017.

• Se cuenta con la documentación que describe lo avanzado en Supersalud en lo que respecta a la Arquitectura de nube que ya está implementada. Esta información está en el documento “Propuesta diseño arquitectura servicios Tecnológicos Supersalud”

• No se cuenta con un documento asociado el análisis de factibilidad técnica, jurídica y de recursos económicos de la prestación de los servicios tecnológicos haciendo uso de la nube.

• Se cuenta con el procedimiento de disposición de residuos tecnológicos.

• Aunque se cuenta con plataformas de monitoreo de los servicios tecnológicos e informes respectivos, no se encontró documentación que referente a planes, procedimientos y políticas para garantizar la continuidad de los servicios tecnológicos.

• Aunque la Supersalud cuenta con sistemas de respaldo y controles implementados para garantizar la continuidad de los servicios tecnológicos, no se cuenta con un modelo documentado en este sentido.

• Aunque se cuenta con plataformas de monitoreo de los servicios tecnológicos e informes respectivos, no se evidencia la existencia de un documento que corresponda al plan de gestión de la disponibilidad.

• No se cuenta con un plan de gestión de la Capacidad actualizado, el más reciente fue realizado en el año 2015.

• No se evidencia la existencia de un procedimiento para gestionar el plan de gestión de la capacidad de capacidad de los servicios tecnológicos.

• Se cuenta con monitoreo de recursos tecnológicos con alertas configuradas, ya que en los diferentes contratos como Mesa de Servicio, Nube Privada, y Conectividad se solicitan reportes periódicos en este sentido.

• La Supersalud cuenta con el Subsistema de Seguridad de la Información que busca preservar la confidencialidad, integridad y disponibilidad de la información a todas las partes interesadas de la Entidad; este contiene políticas, procedimientos y guías.

• Aunque la Supersalud cuenta con un Plan Seguridad y Privacidad de la Información, y un Plan de Tratamiento de riesgos seguridad y privacidad estos dan cumplimiento a los objetivos para el


19


cumplimiento de las directrices definidas en la Política del Subsistema en Seguridad de la Información, sin embargo deben ser actualizados para cumplir lo establecido en el Modelo de Seguridad y Privacidad de la Información de MINTIC

Soporte a los servicios de TI

• La OTI ya ha definido un esquema de soporte con niveles de atención (primer, segundo y tercer nivel) a través de un punto único de contacto que es la Mesa de Servicio y soportado por una herramienta tecnológica como es CA Service Desk.

• La Supersalud cuenta con un conjunto de procedimientos de gestión de solicitudes, incidentes y problemas con sus respectivos ANS definidos. Adicionalmente algunos contratos de servicios como nube privada, canales de comunicación y mesa de servicios cuentan con ANS particulares. Sin embargo, se deben actualizar los procedimientos ya que datan de 2015. Dichos procedimientos son: ▪ GSPD01- Gestión de Incidentes ▪ GSPD02- Gestión de Cambios ▪ GSPD03- Gestión de Problemas ▪ GSPD04- Gestión de Requerimientos ▪ GSPD05- Control de Software Misionales de la entidad

• Se cuenta con un plan de mantenimiento preventivo de la infraestructura y los servicios tecnológicos, realizado a través de Mesa de Servicios (tercerizado).

• Aunque la OTI cuenta con el mecanismo de monitoreo de consumo de recursos compartidos de servicios tecnológicos, no se evidencia un procedimiento documentado al respecto

Avance en la adopción de IPV6

La Supersalud con el apoyo de una consultoría externa, adelantó las siguientes actividades:

• Elaboración de metodología para la adopción protocolo IPV6

• Diagnóstico de compatibilidad con protocolo ipv6: activos de información SNS 2017 y compatibilidad CISCO MERAKI.

• Elaboración de plan de direccionamiento IPV6

• Análisis de riesgos para la implementación del protocolo IPV6

• Elaboración de plan de contingencia de implementación de IPV6

• Informe de resultados de pruebas piloto y recomendaciones para la entidad

• Entrenamientos de capacitación y sensibilización a usuarios de Supersalud sobre Adopción IPV6 Sin embargo, aún no cuenta con la adopción total de IPV6 dando cubrimiento a las fases de Planeación, Implementación y Pruebas de funcionalidad, como los exigen el MINTIC y la política de Gobierno Digital según las guías: Transición de IPv4 a IPv6 en Colombia y Aseguramiento del Protocolo IPv6. En la revisión hecha, no se evidencia la existencia de la siguiente documentación:

• Plan de Diagnóstico para la Transición de IPv4 a IPv6

• Plan detallado del proceso de Transición de IPv4 a IPv6

• Diseño detallado de la implementación de IPv6

• Informe de activación de políticas de seguridad en IPv6

• Documento de pruebas de funcionalidad en IPv6

• Acta de cumplimiento a satisfacción de la entidad sobre el funcionamiento de los elementos intervenidos en la fase de implementación.

De otra parte, se ha avanzado en otro grupo de documentos, pero aún no cumplen a cabalidad lo exigidos por las guías de MINTIC y tienen más de un año de elaborados por lo cual deben ser actualizados:

• Plan de direccionamiento IPv6

• Plan de contingencias para IPv6

• Informe de pruebas piloto realizadas

Uso y apropiación de TI


Estrategia de uso y apropiación de TI

• Se cuenta con un documento que propone la estrategia de Uso y apropiación de TI para Supersalud elaborado por la OTI, el cual ya contempla todos los elementos requeridos por las guías de MINTIC. Sin embargo, este documento está pendiente de socializar, formalizar y publicar.

• Se cuenta con una propuesta de modelo de Gestión y Asimilación del Cambio elaborado por la OTI, pero este no está definido como procedimiento formal en términos de actividades, entradas y salidas de información, herramientas y recursos necesarios.

• Al no tener formalizados los artefactos anteriores, que son la base para el dominio de Uso y Apropiación, no se ha podido avanzar en los siguientes elementos de este dominio: ▪ Caracterización de los grupos de interés internos y externos. ▪ Definición de Plan de formación para el desarrollo de competencias requeridas para el

desarrollo de sus funciones y hacer un uso adecuado de los servicios de TI.


20


▪ Divulgación y comunicación interna de los proyectos de TI ▪ Seguimiento mediante indicadores para la medición del impacto del uso y apropiación de TI

en la entidad.

• Definición de acciones de mejora o transformación a partir de los resultados obtenidos en el seguimiento y teniendo en cuenta la estrategia de gestión del cambio.

Seguridad y Privacidad de la Información (habilitador)

Para analizar la situación actual de este habilitador transversal el contratista a cargo de esta

implementación, indicó que, en el indicador de cumplimiento provisto por la Política de

Gobierno Digital, se han establecido aspectos a medir, y para cada aspecto hay temas

específicos, los cuales representan la especificidad y detalle que conlleva del análisis del

habilitador transversal Seguridad y Privacidad de la Información.

A continuación se indica el resultado del análisis de indicadores para este ítem, y en el numeral

7.2.2 de este informe se relacionarán las acciones que se han adelantado para la

implementación de esta política, así:

➢ Evaluación y planificación de la seguridad de la información

• Diagnostico Seguridad y Privacidad de la Información: La entidad realizó en

octubre de 2018 un diagnóstico de seguridad de la información, el cual arrojó los

siguientes resultados:

Y sobre el avance en el ciclo de funcionamiento del modelo de operación (PHVA), el

resultado fue:

Estos resultados se formulan como línea base para la gestión que se proyecta

adelantar durante las vigencias 2019 y 2020, en la implementación de la política para

la de Seguridad de la Información.


21

• Política del Modelo de Seguridad y Privacidad de la Información (MSPI): La entidad

cuenta con políticas de seguridad de la información, códigos ASPD05, ASPD09.

• Roles y responsabilidades del MSPI: La entidad tiene definida la Matriz de Roles y

Responsabilidades (ASFT14), que contiene lo relacionado al Subsistema de

Seguridad de la Información.

• Procedimientos del MSPI: La entidad cuenta con procedimientos como

Procedimiento de Administración de Riesgos (ASPD03) y la guía metodológica para el

análisis de riesgos de seguridad y privacidad de la información (ASGU05).

• Gestión de activos de seguridad de la información: En la vigencia 2018, se levantó

inventario de activos para 13 procesos, cuyas matrices fueron aportadas para el

seguimiento que ahora se efectúa; para la vigencia 2019, se han llevado a cabo estas

actividades desde el mes de abril y se tiene cronograma establecido para el primer

semestre de 2019; al verificar la información sobre “registro de activos de información”

que se encuentra publicada en el portal web de la entidad, se observó que ella se

encuentra desactualizada (última modificación realizada el 01-11-2017), tal como se

aprecia en la siguiente imagen:

Fuente: https://www.supersalud.gov.co/es-co/atencion-ciudadano/transparencia-y-acceso-a-la-informacion-publica

• Gestión de riesgos de seguridad y privacidad de la información: La entidad tiene

definido el mapa de riesgos el cual contiene lo relacionado con seguridad de la

información (ASFT22); aún está en proceso el Plan de Tratamiento de riesgos

seguridad y privacidad de la información.

• Plan de comunicación, sensibilización y capacitación en seguridad de la

información, a través de campañas y capacitaciones-socializaciones. Para el presente

seguimiento se aportó la presentación utilizada en la jornada de socialización del

subsistema de seguridad de la información realizada durante el mes de abril de 2019,

así como el cronograma de las campañas a realizar mediante correos electrónicos,

fondos de pantalla e intranet, para toda la vigencia 2019.

➢ Implementación de la seguridad de la información

• Implementación del plan de tratamiento de riesgos de seguridad de la información:

La Oficina de Tecnologías de la Información está trabajando en el plan de tratamiento

de riesgos de seguridad de la información para el proceso Gobierno y Gestión de la

Información.

https://www.supersalud.gov.co/es-co/atencion-ciudadano/transparencia-y-acceso-a-la-informacion-publica


22

• Plan de control operacional: La Oficina de Tecnologías de la Información está

trabajando en el plan de control operacional de seguridad de la información, para

efectuar el monitoreo y seguimiento a los controles de seguridad definidos para los

procesos Gobierno y Gestión de la Información y Gestión de Servicios Tecnológicos.

• Indicadores de Gestión de Seguridad de la Información: La Oficina de Tecnologías

de la Información está trabajando en la revisión y actualización de la formulación de

indicadores de gestión de la seguridad de la información.

➢ Seguimiento, evaluación y mejora de la seguridad de la información

• Seguimiento y evaluación del desempeño de la seguridad de la información: La Oficina

de Tecnologías de la Información está trabajando en definir un plan de seguimiento y

evaluación a la implementación de seguridad de la información.

• Como elemento de seguimiento y mejora en cada vigencia se han establecido planes

de auditoria de seguridad de la información, en los cuales la Oficina de Tecnologías

de la Información ha solicitado a la Oficina de Control Interno las auditorías propuestas

al subsistema de seguridad de la información, bajo los criterios de la norma ISO-

27001:2013 y los controles definidos en el Anexo A; para la vigencia 2019 en la

auditoría al sistema integrado de gestión, también se incluyó este subsistema.

• Plan de mejoramiento continuo de seguridad de la información: La Oficina de

Tecnologías de la Información está definiendo el plan de mejoramiento continuo de

seguridad de la información.

Servicios Ciudadanos Digitales (habilitador)

El contratista a cargo de esta implementación indicó que la versión vigente del manual de

Gobierno Digital no plantea de manera explícita una batería de indicadores específicos para

el componente de TIC para el Estado, pero da a entender que su implementación

corresponderá a implementar los servicios digitales, que se clasifican en servicios básicos, los

cuales posteriormente serán de obligatorio uso y adopción por parte de las Entidades.

• Autenticación electrónica

• Carpeta ciudadana

• Interoperabilidad

Servicio de Autenticación

Electrónica Servicio de Carpeta Ciudadana Servicio de Interoperabilidad

La Supersalud aún no ha adelantado iniciativas para definir las obligaciones, requerimientos jurídicos, financieros, administrativos, y los lineamientos técnicos necesarios para la implementación y prestación del servicio ciudadano digital de autenticación electrónica, en articulación y coordinación con la Agencia Nacional Digital (entidad adscrita al MINTIC).

La Supersalud aún no ha adelantado iniciativas para establecer los criterios y condiciones para el servicio de Carpeta Ciudadana, a través del cual los usuarios, que pueden ser personas naturales y jurídicas, pueden recibir, custodiar y compartir de manera segura y confiable documentos e información digital generada en su interacción con la Entidad, esto en articulación y coordinación con la Agencia Nacional Digital y otras entidades de sector salud.

La Supersalud aún no ha adelantado iniciativas para establecer los criterios técnicos, condiciones y lineamientos para el servicio de Interoperabilidad, cuyo objetivo es cubrir dos frentes: 1. alineación del modelo de interoperabilidad como servicio y el marco de interoperabilidad, y 2. el modelo de interoperabilidad como servicio. Lo anterior en articulación y coordinación con la Agencia Nacional Digital y otras entidades de sector salud.


23

• Recomendaciones derivadas del informe del análisis del estado actual de la política de

Gobierno Digital implementada por la entidad, con corte 30-04-2019.

En este mismo informe, se presenta resultado del análisis por parte del contratista a cargo de

ese tema, donde se formulan conclusiones y recomendaciones orientadas a desarrollar o

fortalecer los puntos que son objeto de intervención, con el fin de identificar oportunidades de

mejora y/o de soluciones potenciales para implementar las políticas objeto de seguimiento en

este informe.

De manera general, los temas objeto de recomendaciones, son:

▪ Simplificación de la interacción digital entre los ciudadanos y el estado.

▪ Conjuntos de datos abiertos publicados, actualizados y difundidos.

▪ Aplicaciones o publicaciones generadas a partir de datos abiertos.

▪ Ejercicios de rendición de cuentas soportados en medios electrónicos.

▪ Uso de medios electrónicos en la formulación participativa de los planes de acción.

▪ Ejercicios de consulta o toma de decisiones en los que se hizo uso de medios electrónicos.

▪ Trámites y servicios disponibles en línea que cumplan con: caracterización de los usuarios,

criterios de accesibilidad y usabilidad, trámites y servicios en línea que fueron

promocionados.

▪ Planeación Estrategia de TI.

▪ Arquitectura Empresarial.

▪ Documentación de los Servicios de TI y la Arquitectura Empresarial.

▪ Esquema de gobierno de TI.

▪ Inversiones/Compras de TI.

▪ Gestión de proyectos de TI.

▪ Gobierno de Información.

▪ Calidad, uso y aprovechamientos de la información.

▪ Planeación y gestión de los Sistemas de Información.

▪ Soporte de los sistemas de información.

▪ Ciclo de vida de los sistemas de información.

▪ Operación de servicios tecnológicos.

▪ Soporte a los servicios de TI.

▪ Estrategia de uso y apropiación de TI.

▪ Avance en la adopción de IPV6.

▪ Diagnostico Seguridad y Privacidad de la Información.

▪ Política del Modelo de Seguridad y Privacidad de la Información (MSPI).

▪ Roles y responsabilidades del MSPI.

▪ Procedimientos del MSPI.

▪ Gestión de activos de seguridad de la información.

▪ Gestión de riesgos de seguridad y privacidad de la información.

▪ Plan de comunicación, sensibilización y capacitación en seguridad de la información.

▪ Plan de control operacional.

▪ Indicadores de Gestión de Seguridad de la Información.

▪ Seguimiento y evaluación del desempeño de la seguridad de la información.

▪ Plan de mejoramiento continuo de seguridad de la información.

▪ Servicios al ciudadano: autenticación electrónica, Carpeta Ciudadana, e Interoperabilidad.

Las recomendaciones fueron formuladas en un “portafolio de iniciativas (en total 114)”, sobre

el cual se tiene establecido un cronograma que se ejecutará durante las vigencias 2019 y

2020, con el fin de incrementar y/o mantener los indicadores de arquitectura de TI,


24

empoderamiento, integración portal único del estado (gov.co), provisión de trámites y

servicios, seguridad y privacidad de la información y servicios ciudadanos digitales.

Inicialmente, el cronograma establecido ha sido distribuido de la siguiente manera:

INDICADOR CANTIDAD

DE ACTIVIDADES

PERIODO DE EJECUCIÓN

Arquitectura de TI 77 Junio, agosto y diciembre de 2019 Junio y diciembre de 2020

Empoderamiento 9 Junio y diciembre de 2019 Diciembre de 2020

Integración portal único del estado (gov.co)

4 Mayo y diciembre de 2019 Junio y diciembre de 2020

Provisión de trámites y servicios 7 Agosto y diciembre de 2019 Diciembre de 2020

Seguridad y privacidad de la información

14 Agosto y diciembre de 2019 Junio de 2020

Servicios ciudadanos digitales 3 Diciembre de 2020

Así mismo se indica que en la medida que se dé cumplimiento a estas actividades, se

espera que finalizada la vigencia 2019, la implementación de la política de gobierno digital

se encuentre por lo menos en los siguientes porcentajes:

Fuente: Evolución de la medición de Gobierno Digital. Contrato 087-2019

7.2.2 Política de Seguridad de la Información

Con respecto a la implementación de esta política, adicionalmente a lo ya expuesto en el ítem

“Seguridad y Privacidad de la Información (habilitador)” donde se hizo relación al análisis de

indicadores, se han realizado las siguientes actividades:


25

• Diagnostico Seguridad y Privacidad de la Información: La entidad realizó en octubre de

2018 un diagnóstico de seguridad de la información, el cual arrojó los siguientes resultados:

en la evaluación de efectividad de los controles fue de 56%, y en el avance en el ciclo de

funcionamiento del modelo de operación (PHVA), el resultado fue de 60%, como se indicó en

el numeral 7.2.1 de este informe; los resultados derivados del análisis de indicadores se

formularon acciones para ser ejecutadas durante las vigencias 2019 y 2020.

• En cuanto a la implementación de la seguridad de la información y al Seguimiento,

evaluación y mejora de la seguridad de la información, estos quedaron registrados en el

numeral 7.2.1 de este informe.

• Inicio de la administración y afinamiento de las herramientas de Seguridad de la Información

de la entidad (Suite Fortinet, Suite Trend Micro, Suite EMS, y Meraki), incluyendo los procesos

contractuales para actualizar el Licenciamiento de éstas.

Actualmente se tiene suscritos contratos de licenciamiento y soporte de las herramientas

mencionadas, así:

▪ TREND MICRO: Contrato 290 de 2017 con fecha de vencimiento 29-12-2017 (para pagos),

suscrito con BHA SAS cuyo objeto fue "Renovación y actualización de protección Antivirus Suite

Trend Micro Smart Protection Complete conforme a lo especificado en el Anexo Técnico".

El soporte y mantenimiento es por 3 años (hasta 27-12-2020).

▪ EMS: Contrato 235 de 2019 (orden de compra No. 37735).

▪ Cisco-Meraki, Contrato 052 de 2014 adquisición inicial de toda la plataforma Cisco,

contrato 152 de 2015 y contrato 183 de 2016, todos con periodo de garantía y soporte de

5 años.

▪ Fortinet no se ha realizado la contratación; actualmente se encuentra con estudios previos

aprobados y publicados en portal SECOP II.

• Se iniciaron las actividades de implementación del Plan de Seguridad de la Información,

generando la actualización a las políticas de Control de Acceso, Instalación de Software y

Backup de Información que están contenidas en el documento “Políticas de Tercer Nivel del

Subsistema de Seguridad de la Información - ASPO09”, así como la definición de un

procedimiento para control de accesos a bases de datos.

Estos documentos fueron remitidos a la Oficina Asesora de Planeación mediante NURC 3-

2019-6076 del 11-04-2019, para su aprobación e inclusión en el sistema de gestión de la

calidad; a raíz de la solicitud se han llevado a cabo mesas de trabajo para realizar los ajustes

solicitados por la OAP. Aún no ha sido aprobado el requerimiento, el cual se verá reflejado en

la actualización del documento ASPD09.

7.3 Herramienta de autodiagnóstico

Desde el mes de febrero de 2019 y con base en las capacitaciones, socializaciones y lineamientos

impartidos por MINTIC durante el último trimestre de 2018, la Oficina de Tecnologías de la

Información ha liderado la implementación de la política de gobierno digital, para lo cual ha llevado

a cabo reuniones con la Oficina Asesora de Planeación y la Oficina de Control Interno, con el fin

de articular los equipos de trabajo y definir los usuarios que estarán interactuando con la nueva

herramienta de autodiagnóstico fijada por MINTIC.


26

En la primera sesión realizada, la OTI hizo la socialización de conceptos y guías para la

implementación de la Política de Gobierno Digital y la formulación del PETI, bajo los lineamientos

de MINTIC, informando además cual será el enfoque de su implementación, en la cual se

presentarían cortes cuatrimestrales (abril, agosto y diciembre de 2019).

Para lo anterior, MINTIC indicó que toda la gestión, el cargue de evidencias y las actividades de

seguimiento y control, deben quedar registradas en la “Herramienta de Autodiagnóstico” que se

encuentra en el micrositio de ese Ministerio determinado para tal fin, de acuerdo a unos roles y

responsabilidades que deben definirse al interior de la SNS, para las dependencias que deben

cumplir con dichas actividades

El objetivo del autodiagnóstico es registrar periódicamente los resultados de la implementación

gradual de Gobierno Digital, con el fin de analizar en tiempo real el avance de los indicadores e

identificar oportunidades de mejora en el direccionamiento de planes de acción adecuados a las

realidades institucionales.

La herramienta dispuesta por MINTIC puede ser utilizada (cargue de información, seguimiento y

control) y consultada cada que la entidad lo determine pertinente, sin que ello implique reporte

alguno a la Función Pública, a otras instancias del gobierno o a organismos de control, atendiendo

los cortes ya indicados por la OTI (abril, agosto y diciembre de 2019).

Esta herramienta provee las siguientes características:

• Asignación de roles y responsabilidades.

• Fortalecimiento de trabajo articulado.

• Seguimiento a la gestión de los responsables.

• Repositorio de evidencias.

• Generación de indicadores.

• Acceso a instancias de validación y control interno.

• Trazabilidad de la gestión.

Los pasos a seguir dentro de la herramienta, de acuerdo con los perfiles definidos, son:

• Logística con MINTIC

• Distribución de roles

• Modelo de Operación

• Ejecutar poblamiento en herramienta y cargue de evidencias

• Validar cargue de información

• Tiempos de reporte

• Periodicidad del seguimiento

En relación con todas las actividades propuestas, es importante mencionar que durante el mes de

abril se recibió el usuario y contraseña para el ingreso a la herramienta, cuyo primer paso es crear

los usuarios requeridos por MINTIC, en seguida se debe realizar el cargue del autodiagnóstico,

actividad que se espera terminar en mayo de 2019.

En seguida, los diferentes roles definidos comenzarán el poblamiento de información y cargue de

evidencias, para finalizar con las actividades de seguimiento y control; todo lo anterior se llevará a

cabo, después de recibir una socialización para conocer la nueva herramienta.


27

8. CONCLUSIONES

❖ MIPG incluye y define lineamientos para el cumplimiento de la Política de Gobierno Digital, el

cual, en la dimensión 3 “Gestión con Valores para Resultados”, agrupa un conjunto de

políticas o prácticas e instrumentos, que son necesarios para la implementación de las

Políticas de Gobierno Digital y de Seguridad de la Información; para lo cual se deben tener en

cuenta las dos perspectivas definidas por MIPG: “de la ventanilla hacia adentro” asociada a

los aspectos relevantes para una adecuada operación de la organización, “de la ventanilla

hacia afuera” relación Estado-Ciudadano.

❖ Para el cumplimiento de los lineamientos definidos por MINTIC y el MIPG, la entidad suscribió

el contrato de prestación de servicios profesionales No. 087 de 2019, para que un profesional

especializado en la materia, llevara a cabo la implementación del portafolio de proyectos

establecidos en la Política de Gobierno Digital planteada por el MINTIC; producto del cual se

han realizado los diagnósticos que sirven de línea base para la definición de actividades y

cronogramas a ejecutarse durante las vigencias 2019 y 2020.

❖ Con base en estos lineamientos definidos por MINTIC, se aplicó el modelo de formulación

propuesto en el Manual de la Política de Gobierno Digital para realizar la medición de los

indicadores con corte 31-12-2018, los cuales arrojaron los siguientes resultados:

Arquitectura de TI = 7%

Seguridad de la Información = 66.7%

Empoderamiento = 44.75%

Provisión de Trámites y Servicios = 50%

❖ De acuerdo con las recomendaciones planeadas por el contratista que tiene a cargo la

implementación de la política de gobierno digital, se proyecta que al finalizar la vigencia 2019,

los resultados de la aplicación de los lineamientos, se encuentre por lo menos en:

Arquitectura de TI = 21.3%

Seguridad de la Información = 80.5%

Empoderamiento = 44.75%

Provisión de Trámites y Servicios = 56.0%

❖ Del análisis realizado por el contratista que tiene a cargo la implementación de la Política de

Gobierno Digita, sobre el estado actual de la política de Gobierno Digital se determinaron las

situaciones que se han cumplido, las debilidades detectadas y las opciones de mejora, así

como la formulación de recomendaciones (en total fueron 114), sobre las cuales la Oficina de

Tecnologías de la Información, ha generado un cronograma que será ejecutado durante las

vigencias 2019 y 2020.


28

Inicialmente, el cronograma establecido ha sido distribuido de la siguiente manera:

INDICADOR CANTIDAD

DE ACTIVIDADES

PERIODO DE EJECUCIÓN

Arquitectura de TI 77 Junio, agosto y diciembre de 2019 Junio y diciembre de 2020

Empoderamiento 9 Junio y diciembre de 2019 Diciembre de 2020

Integración portal único del estado (gov.co)

4 Mayo y diciembre de 2019 Junio y diciembre de 2020

Provisión de trámites y servicios 7 Agosto y diciembre de 2019 Diciembre de 2020

Seguridad y privacidad de la información

14 Agosto y diciembre de 2019 Junio de 2020

Servicios ciudadanos digitales 3 Diciembre de 2020

❖ Durante el primer cuatrimestre de la vigencia 2019, la OTI ha liderado las actividades de

implementación de la política de gobierno digital, de acuerdo con los lineamientos definidos

por MINTIC, para lo cual se han realizado las siguientes actividades:

• Reuniones de socialización de las nuevas directrices impartidas por MINTIC para la

implementación de la Política de Gobierno Digital.

• Presentación del enfoque de la implementación y fechas de corte para el cumplimiento de

actividades.

• Explicación de la definición y alcance de roles y responsabilidades asignados a cada área

participante.

• Explicación sobre la herramienta de autodiagnóstico dispuesta por MINTIC.

• En abril de 2019 se recibió el usuario y clave asignado por MINTIC para la alimentación de

la herramienta, con la cual se realiza la definición de roles y responsabilidades.

• Se espera que en mayo de 2019 se realice el cargue del autodiagnóstico.

9. RECOMENDACIONES GENERALES

❖ De acuerdo con todo lo reportado en este informe, la Oficina de Control Interno recomienda

que desde el marco de lo establecido en la Dimensión del Direccionamiento Estratégico y

Planeación del Modelo MIPG, se apoye a nivel institucional a la Oficina de Tecnologías de la

Información y demás áreas involucradas en la ejecución de las actividades que se derivaron

de las recomendaciones surgidas como producto del contrato 087 de 2019, con las cuales se

busca dar cumplimiento a lo definido en la dimensión 3 del MIPG “Gestión con valores para

resultados”, en la implementación de las políticas de Gobierno Digital y Seguridad de la

Información.

❖ Se recomienda tanto a la Oficina de Tecnologías de la Información como a las demás áreas

que tienen injerencia en la implementación y mantenimiento de la política de gobierno digital,

que se realice un trabajo coordinado y armónico, para finalizar con éxito las actividades que

se deban realizar, lo cual redundará en beneficio institucional al cumplir los objetivos y metas

de la entidad, situación que adicionalmente se verá reflejada en el mejoramiento de los índices

del desempeño institucional que se reporta en el FURAG.

❖ Se recomienda tanto a la Oficina de Tecnologías de la Información, como a las demás áreas

que hacen parte de esta implementación, continuar aplicando de manera constante los

ejercicios de autodiagnóstico en cada fase de reporte, así como analizar continuamente la


29

evolución de los indicadores, aspectos definidos en el modelo MIPG y en el Manual de

Gobierno Digital.

❖ Se recomienda a las áreas involucradas en la implementación de la Política de Gobierno

Digital, hacer seguimiento a la ejecución de las acciones formuladas (cronogramas) para las

vigencias 2019 y 2020, atendiendo lo definido en MIPG, el Manual de Gobierno Digital y el

Decreto 1008 de 2018, en relación con los dos (2) Componentes, tres (3) Habilitadores

Transversales y los cinco (5) Propósitos u Objetivos de la Política de Gobierno Digital.

❖ En la revisión de la página web institucional, se evidenció que, la información relacionada con

“registro de activos de información”, se encuentra desactualizada, por lo que se recomienda a

las áreas pertinentes, ejercer autocontrol en el monitoreo de los servicios tecnológicos con que

cuenta la entidad; la presente recomendación se hace extensiva a que este autocontrol sea

aplicado a todos los aspectos y contenidos del portal web, ya que en su verificación se

evidencia el cumplimiento de los aspectos relacionados para el cumplimiento de los

componentes TIC para el Estado (en la estrategia GEL se denominaban TIC para Servicios y

TIC para Gobierno Abierto) y TIC para la sociedad (en GEL denominado TIC para la gestión).

Cordialmente,

ROSEMARY CHAVEZ RODRIGUEZ

Jefe Oficina de Control Interno

Equipo Auditor: Eddna Dueñas Monsalve, profesional especializado

superintendencia nacional de salud oficina de … · tic para la sociedad: tiene como objetivo...

Documents