Upload
vuonglien
View
214
Download
0
Embed Size (px)
Citation preview
1
EVALUACIÓN A PROCESOS MISIONALES Y DE APOYO
OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN
SUPERINTENDENCIA NACIONAL DE SALUD
OFICINA DE CONTROL INTERNO
Bogotá D. C., Agosto de 2.014
2
Contenido
1. OBJETIVO ............................................................................................................................................ 3
2. ALCANCE ............................................................................................................................................. 3
3. METODOLOGÍA .................................................................................................................................. 3
4. JUSTIFICACIÓN .................................................................................................................................. 4
5. INFORME ............................................................................................................................................. 4
5.1 Marco Legal .......................................................................................................................................... 5
5.2 Funciones según Decreto 2462 de 2.013 ........................................................................................ 5
5.3 Procesos y Procedimientos ................................................................................................................ 7
5.4 Estructura .............................................................................................................................................. 7
5.5 Talento Humano ................................................................................................................................ 15
5.6 Capacitación Funcionarios y Contratistas ..................................................................................... 16
5.7 Contratos suscritos con la Oficina de Tecnologías de la Información ...................................... 18
6. PROYECTOS, PROGRAMAS Y PROYECCIÓN ......................................................................... 23
7. CONCLUSIONES .............................................................................................................................. 31
8. RECOMENDACIONES ..................................................................................................................... 32
3
1. OBJETIVO
Dentro de los Informes de Auditoria a los Procesos Misionales y de Apoyo, para el mes de Agosto
de 2.014 se realizó auditoria a la Oficina de Tecnologías de la Información, con el fin de
determinar, mediante muestreo aleatorio, el cumplimiento de las funciones establecidas mediante
el Decreto 2462 de 2.013 y verificar el estado de los procesos, procedimientos y proyectos en los
que participa, así como determinar los perfiles y roles del personal adscrito a esa Oficina.
2. ALCANCE
El alcance de la Auditoria se orienta a:
La evaluación funcional, procedimental y del recurso humano que hace parte de la Oficina de
Tecnologías de la Información, con corte al 30 de Junio 2.014, sean funcionarios o contratistas,
examinando como se distribuyen y son atendidas las actividades al interior de la Oficina de
Tecnologías de la Información.
Igualmente, se examinarán los controles establecidos por la dependencia auditada para el cabal
cumplimiento de sus procesos y procedimientos.
Teniendo en cuenta que la Oficina de Tecnologías de la Información a través del Jefe de la
dependencia, actúa como supervisor de diversos contratos suscritos por la Entidad, los auditores
tomarán un muestreo de estos, evaluándolos y presentando recomendaciones en caso que a ello
hubiere lugar y para aquellos contratos en ejecución, podrán realizarse visitas de auditoría, previo
acuerdo con el Jefe de la Oficina de Tecnologías de la Información.
Por último, los auditores solicitarán los proyectos, programas y proyección en temas de innovación
y renovación tecnológica que desarrollará la Superintendencia Nacional de Salud, presentando si
así se considera oportuno, recomendaciones a la Alta Dirección sobre el particular.
3. METODOLOGÍA
La Oficina de Control Interno, mediante visita in situ a la Oficina de Tecnologías de la Información
y por muestreo aleatorio, establecerá el cumplimiento de las funciones establecidas mediante el
Decreto 2462 de 2.013 y verificará el estado de los procesos, procedimientos y proyectos que
tiene asignados, así como también, verificará los perfiles y roles del personal adscrito a esa
Oficina.
4
La cual seguirá la siguiente metodología:
Programación de la auditoria.
Apertura y Solicitud de información.
Interpretación legal de la valoración que se haga de la información.
Emisión de conclusiones.
Formulación de Recomendaciones. (de existir la necesidad de hacerlas).
Presentación de Informe Preliminar.
Conciliación del informe preliminar en ejercicio del derecho de contradicción.
Informe Final
4. JUSTIFICACIÓN
De conformidad con las funciones contenidas en la Ley 87 de 1993, la Ley 1474 de 2011, y los
Decretos Reglamentarios 1826 de 1994 y 1537 de 2001, entre otras, corresponde a la Oficina de
Control Interno, verificar que el Sistema de Control Interno esté formalmente establecido dentro de
la organización y que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos;
así como también, verificar que los controles asociados con todas y cada una de las actividades
de la organización, estén adecuadamente definidos, sean apropiados y se mejoren
permanentemente, de acuerdo con la evolución de la entidad.
5. INFORME
El equipo auditor de la Oficina de Control Interno de la Superintendencia Nacional de Salud, con el
propósito de cumplir con el objetivo propuesto en el desarrollo de la presente auditoría, en
principio ilustrará lo relativo a los aspectos generales de la Oficina de Tecnologías de la
Información.
5
5.1 Marco Legal
El Normograma que sirve de referencia a la Oficina de Tecnologías de la Información, está
ubicado en la Intranet Link Organizacional – Sistema Integrado de Gestión (SIG) y será ajustado y
actualizado, en desarrollo de las actividades de actualización de Procesos y Procedimientos que
está adelantando la Superintendencia Nacional de Salud.
5.2 Funciones según Decreto 2462 de 2.013
Las funciones asignadas a la Oficina de Tecnologías de la Información mediante el Decreto 2462
de 2.013, en su artículo 11, son:
1. “Asesorar al Despacho del Superintendente en la definición de las políticas, planes, programas
y procedimientos relacionados con el uso de las tecnologías de la información, que
contribuyan a incrementar la eficiencia y eficacia en las diferentes dependencias de la
Superintendencia, así como garantizar la calidad en la prestación de los servicios.
2. Realizar el análisis, diseño, programación, documentación, implantación y mantenimiento de
los sistemas de información requeridos por la entidad.
3. Adelantar acciones para que los sistemas de información de inspección, vigilancia y control del
Sistema General de Seguridad Social en salud de la Superintendencia Nacional de Salud,
sean interoperables con los demás sistemas de información existentes y que se requiera para
el cumplimiento de las funciones de la entidad.
4. Diseñar y proponer la política de uso aplicación de las tecnologías estrategias y herramientas,
para el mejoramiento continuo de los procesos relacionados con las tecnologías de
información de la superintendencia.
5. Definir los protocolos tecnológicos, apoyar la capacitación y fomentar la cultura organizacional
orientada a la utilización y adaptación de tecnologías de punta.
6. Elaborar en coordinación con las diferentes áreas de la Superintendencia el plan de desarrollo
tecnológico de la entidad, ejecutarlo y realizar su control y seguimiento, en coordinación con
la Secretaría General.
6
7. Apoyar a nivel tecnológico a las dependencias involucradas en el cálculo, liquidación y
recaudo de la tasa en favor de la Superintendencia.
8. Promover e intervenir en todas las actividades y programas que tiendan a incorporar el uso de
las tecnologías de la información en el desarrollo de las actividades relacionadas con los
objetivos estratégicos de la Superintendencia como estrategia fundamental en la
administración de indicadores de resultado, aleras de gestión del riesgo y calidad de la
operación
9. Diseñar los mecanismos para aplicar, utilizar, adaptar, aprovechar y darle un buen uso a las
tecnologías de la información.
10. Evaluar la seguridad, calidad y flujo de la información de la Superintendencia a fin de permitir
su acceso entre las diferentes Superintendencias Delegadas para el cumplimiento de los
objetivos individuales e institucionales en materia de inspección, vigilancia y control.
11. Definir las acciones que garanticen la aplicación de los estándares, buenas prácticas y
principios de uso y manejo de la información estatal, alineado a las políticas y lineamiento del
sector de las tecnologías de la información y las comunicaciones.
12. Elaborar el mapa de información que permita contar de manera actualizada y completa con los
procesos de información de la superintendencia.
13. Desarrollar estrategias para lograr un flujo eficiente de la información, como parte de la
rendición de cuentas a la sociedad.
14. Diseñar e implementar estrategias, instrumentos y herramientas con aplicación de tecnologías
de punta adecuada que permita brindar de manera constante y permanente un buen servicio
al ciudadano.
15. Identificar las dificultades en la implementación de estándares y buenas prácticas en el
cumplimiento de los principios para la información estatal y proponer acciones de mejora
16. Definir las necesidades para la obtención, generación y sostenimiento de sistemas de
información confiables que requiera la Superintendencia, coordinando su adquisición con la
Secretaría General.
17. Brindar asesoría técnica para el diseño, puesta en marcha y operación de los diferentes
sistemas de información
18. Atender, proponer e implementar las políticas y acciones relativas a la seguridad dela
información y de la plataforma tecnológica de la Superintendencia.
19. Coordina con la oficina de Comunicaciones Estrategias e Imagen Institucional la incorporación
de contenidos en la página web y el óptimo aprovechamiento de las redes sociales, para la
defensa de los derechos de los usuarios.
20. Verificar que en los procesos tecnológicos de la entidad se tengas en cuenta los estándares y
lineamientos dictados por el Ministerio de las Tecnologías de la Información y las
Comunicaciones que permitan la aplicación de las políticas que en materia de información
expida el Departamento Nacional de Planeación y el Departamento Administrativo Nacional de
Estadística-DANE
21. Definir, diseñar y asegurar el óptimo funcionamiento y mantenimiento de los sistemas de
información, de la infraestructura y plataforma tecnológica y de comunicaciones de la
superintendencia
22. Las demás, que le sean asignadas y que correspondan a la naturaleza de la dependencia”.
7
5.3 Procesos y Procedimientos
La Oficina Asesora de Planeación de la Superintendencia Nacional de Salud está liderando y
apoyando las actividades tendientes al ajuste de los procesos y procedimientos de conformidad
con la nueva estructura, adoptada mediante Decreto 2462 del 7 de Noviembre de 2.013, y en tal
sentido la Oficina de Tecnologías de la información viene trabajando en la reformulación de sus
procedimientos.
Se cuenta con documentación preliminar de la actualización de los procesos y procedimientos, la
cual fue remitida a la Oficina Asesora de Planeación para la respectiva revisión, según
Memorando suscrito por el Jefe de la Oficina de Tecnologías de la Información, NURC 3-2.014-
009537.
Es importante resaltar, que según información suministrada por la OTI, derivado de los Contratos
ejecutados y adscritos a esta, se han desarrollado unos productos (procedimientos y/o protocolos
técnicos) que fortalecen el Sistema Integrado de Gestión de la Entidad, pero a 30 de junio de
2.014 no han sido incorporados a los procesos y procedimientos que adelanta la Oficina de
Tecnologías.
5.4 Estructura
De conformidad con lo establecido en el Decreto 2462 del 7 de Noviembre de 2.013, la Oficina de
Tecnologías de la Información depende directamente del Despacho del Superintendente Nacional
de Salud.
La Oficina de Tecnologías de la información, a junio 30 de 2.014 no contaba con Grupos Internos
de Trabajo constituidos por acto administrativo pero, de conformidad con las funciones y
responsabilidades asignadas, presenta la siguiente estructura funcional interna:
8
Definir lineamientos y estándares de la arquitectura
Liderar la gestión de los proyectos de tecnología
Analizar demanda y capacidades de TI
Consolidar y analizar principales indicadores y reportes sobre el desempeño de TI
(Cumplimiento ANS, Desempeño operaciones TI, Propuesta de mejoramiento, Desempeño de
proveedores, Avance de proyectos)
Además brinda apoyo en:
Planeación estratégica de la Oficina de Tecnologías de la Información
Definición del presupuesto
Plan de contratación
Control y seguimiento a estos planes
Atención de los requerimientos de los entes de control y de la Oficina de Control Interno
Actúa como enlace de la Oficina de Tecnologías de la Información para el Sistema Integrado
de Gestión de la Entidad
Representación de la entidad ante Ministerio de las Tecnologías de la Información y las
Comunicaciones, Gobierno en Línea, Ministerio de Salud, Rendición de Cuentas
Apoyo a la supervisión de contratos a cargo de la Oficina.
Cumplimiento de política de gobierno en línea y desarrollar las tareas inherentes
Desarrollo de aplicaciones
Pruebas y aprobaciones para liberaciones a producción
Actualizaciones
Identificar y levantar requerimientos
Igualmente presta soporte al funcionamiento, operación, mantenimiento y actualización de los
sistemas de información (SUPERCOR, RVCC, SUPERSIAD, SCODI, SIGTA), mediante atención
personalizada y telefónica a los vigilados.
9
Algunas actividades específicas son:
Apoyo a los vigilados en el uso del sistema de información de Recepción, Validación, Cargue
de Circular Única - RVCC, en la actualización de datos y atención de PQR de los vigilados
Apoyo a los procesos de SIIF derivados de las actividades del área financiera, presupuesto y
tesorería relacionados con Tecnología de la Información
Realizar ajustes, mejoras, mantenimiento a los aplicativos existentes, ejecución de pruebas a
las soluciones contratadas y en la implementación de nuevo software de acuerdo con los
proyectos tecnológicos establecidos
Liderar la administración técnica y soporte del sistema SUPQR
Administrar plataformas
Monitorear infraestructura y servicios de TI
Procesamiento de Interfaces
Administrar redes y telecomunicaciones
Gestión de procesos de cambios, configuración y liberaciones
Para atender estas actividades, la Superintendencia Nacional de Salud suscribió los siguientes
contratos:
Contrato Nº 362 de 2.013, UNE-EPM TELECOMUNICACIONES S.A. Objeto: “Contratar el
arrendamiento de Data Center (Collocation) para la instalación de la infraestructura computacional y de
almacenamiento de la Superintendencia Nacional de Salud, que incluya adicionalmente los servicios de:
Hosting, Conectividad Privada, Conectividad Pública (Internet), Servicio de Telefonía Voz IP, Servicios de
Virtualización, Servicio de Modem para Conexión a Internet, Servicio de Televisión por Cable y Servicio de
Soporte Especializado, de conformidad con las especificaciones técnicas señaladas en el anexo Nº01 de la
Invitación SNS Nº 001 de 2.013 y la Oferta presentada por el contratista, los cuales hacen parte integral del
contrato”.
10
En el Data Center ubicado en la Calle 76 con Carrera 9ª de Bogotá, se encuentran dos RACS, que
contienen los discos de producción donde se almacenan aplicativos de misión crítica como RVCC,
Lotus Notes, SUPERCOR, aplicaciones como SUPQR, Nómina, Mesa de Ayuda; además los
discos que soportaban el aplicativo SIVICAL, que fue entregado en Comodato a COLJUEGOS
según Convenio Interadministrativo No. 407 de 2.013.
La estructura de la Granja de Servidores que se encuentra en el Edificio World Business Center,
tiene toda la conectividad de red que soporta 1000 puntos, está el RAC de comunicaciones donde
se encuentran las conexiones con los proveedores de telefonía, internet, televisión, además se
tienen los servidores para aplicaciones en pruebas.
En la visita in situ a la Granja de Servidores, localizada en el piso 6º, del edificio World Business
Center, se evidencia que sobre los RACS que contienen los servidores y toda la red de
comunicaciones de la Entidad, se encuentra un ducto de agua, el cual representa un alto riesgo,
ya que al momento de presentarse una ruptura o por lo menos una fisura, el agua caería
directamente sobre estos armarios, generando daños graves a los equipos y conexiones de red,
allí almacenados.
11
Además, se encuentran cajas que contienen switches que van a ser instalados y que son producto
del plan de mejoramiento de las comunicaciones de la Entidad, las cuales deberían estar en
custodia en otro sitio diferente al especio al que ahora nos referimos; además que, si ocurriera un
incidente con el tubo de agua, también se verían afectado, por lo cual, al ser un riesgo latente, se
recomienda dese ya que se tomen medidas tendientes a mitigarlo o eliminarlo.
Contrato Nº 383 de 2.013, Gestión y control de tareas y actividades del Data Center. Ingeniero
Juan Carlos Bernales, cuyo objeto fue “Definir la arquitectura y la gestión para la implantación de la
infraestructura computacional y de almacenamiento para el data center externo, de acuerdo con los
proyectos tecnológicos establecido para la Oficina de Tecnología de la Información en el marco del proyecto
“Diseño, Implantación e Implementación del Sistema de Información para la Superintendencia Nacional de
Salud”.
Para la administración de redes y comunicaciones, se suscribió el Contrato N°378 de 2.013.
Ingeniero Fabio Andrés Parrado Velásquez, y objeto “Prestar los servicios profesionales para apoyar y
asistir técnicamente a la Oficina de Tecnología de la Información de Superintendencia Nacional de Salud en
la identificación de nuevas necesidades de conectividad, revisión, definición, implementación, seguimiento y
control de las redes de telecomunicaciones y los sistemas eléctricos, así como la seguridad tecnológica y
automatización de la Superintendencia Nacional de Salud, en el marco del proyecto “Diseño, Implantación e
Implementación del Sistema de Información para la Superintendencia Nacional de Salud”.
Las actividades del área de Operaciones son:
Planeación para la conectividad LAN, WLAN y WAN de las nuevas sedes de la
Superintendencia Nacional De Salud.
Definir especificaciones y revisiones técnicas, diseño lógico y físico, políticas de calidad del
servicio, seguridad de acceso a la red
Definición de políticas, actas de verificación y documentación de la nueva solución de
conectividad LAN y WLAN implementada en la sede principal y de atención al usuario de la
ciudad de Bogotá de la Entidad.
Ajustes e implementación del plan de transición para la adopción de IPV6 de conformidad con
lo establecido por MINTIC
Evaluación de nuevas tecnologías e identificación de necesidades de las diferentes
dependencias, estudios previos, resultado de visitas técnicas, conceptos técnicos y
recomendaciones correspondientes, relacionados con los nuevos proyectos de inversión y
sistemas actuales
En lo referente a sistemas eléctricos, sistema de comunicaciones: seguridad de acceso a la
red y automatización de la sede principal de la Entidad
12
Recepción, análisis y escalamiento de incidentes
Soporte a usuario final
Provisión de equipos y activos de tecnología (Software y hardware)
Soporte y mantenimiento en sitio
Provisión de accesos a usuarios
Soporte está enfocado a atender, a través de la Mesa de Ayuda, todo lo relacionado con las
solicitudes de requerimientos, reportes de incidentes en los servicios tecnológicos y la
administración y el control del buen funcionamiento y operación de la infraestructura física
tecnológica de la Entidad (equipos de cómputo de escritorio, portátiles, impresoras, escáneres,
equipos telefónicos).
Para dar cumplimiento a lo anterior, la Superintendencia Nacional de Salud suscribieron los
siguientes contratos:
Contratos Nº 525 de 2.013, Ingeniera Mónica Yamile Rivera Ordoñez; con el objeto de prestar
apoyo técnico en la planeación, ejecución y validación de actividades que contribuyan a
incrementar la disponibilidad de los recursos de infraestructura computacional local, de acuerdo
con los proyectos establecidos por la Oficina de Tecnología de la Información mejorando la
calidad de los servicios informáticos en la Superintendencia Nacional de Salud, en el marco del
proyecto "Diseño, Implantación e Implementación del Sistema de Información para la Superintendencia
Nacional de Salud".
La Ingeniera Rivera Ordoñez, es la encargada de coordinar la Mesa de Ayuda, mediante la cual se
realiza el Mantenimiento preventivo y correctivo a los equipos, se presta ayuda y asesoría a los
usuarios internos y se realizan las gestiones para solucionar todos los incidentes reportados en los
servicios.
13
Contrato Nº 573 de 2.013, SELCOMP INGENIERIA S.A.S; con el objeto de “prestar el servicio de
Mesa de Ayuda para los Servicios de Tecnologías de la Información y las Comunicaciones –TIC´s, mediante
la cual se atiendan, administren, gestionen, monitoreen y controlen los requerimientos de servicio e
incidentes de Tecnologías de la Información, el mantenimiento preventivo y correctivo con suministro de
repuestos y los inventarios de la infraestructura (Software y Hardware) de la Superintendencia Nacional de
Salud, de conformidad con el Anexo No. 1 "Requerimientos técnicos mínimos" del Pliego de Condiciones y
la propuesta presentada, documentos que hacen parte integral del contrato.
Las actividades que debe atender la Mesa de Ayuda se clasifican en 4 items:
Soporte a usuarios en temas relacionados con hardware y software en general
Mantenimiento preventivo de equipos de cómputo, impresoras, escáner, sistemas de aire
acondicionado, servidores, switches.
Mantenimiento correctivo con suministro de repuestos
Sistema de información aplicado, donde se lleva el catálogo de servicios de tecnología de la
información
Definir y actualizar políticas de seguridad
Definir lineamientos para la gestión y recuperación ante desastres de los recursos de TI
Monitorear del cumplimiento de las políticas de seguridad para la continuidad de los activos
de TI dentro de la Entidad
Definir el Modelo Operativo de Tecnologías de la Información.
Para atender estas actividades, la Superintendencia Nacional de Salud suscribió los siguientes
contratos:
Contrato Nº 524 de 2.013, Ingeniera Erika Díaz Abella. Objeto: “Prestar servicios profesionales como
Líder Tecnológico para apoyar el seguimiento a la ejecución de los proyectos de Adquisición de equipos de
cómputo, Diseño de nueva página Web para la Superintendencia Nacional de Salud y Diseño e
implementación del Modelo operativo de la función de T.I, durante la vigencia 2.013 y 2.014, en el marco del
proyecto “Diseño, Implantación e Implementación del Sistema de Información para la Superintendencia
Nacional de Salud”
Contrato Nº 528 de 2.013, Ingeniera Flor María Bernal R. Objeto: “Prestar servicios profesionales
como Líder Tecnológico para apoyar el seguimiento a la ejecución de los proyectos de Implementación del
Sistema de Gestión de Seguridad de Información-SGSI y para el proyecto del sistema de apoyo al proceso
auditor Enterprise Risk Assesor – ERA”.
14
Contrato Nº 614 de 2.013, suscrito con la Unión Temporal Password - Q&C, cuyo objeto es:
“Implementar un Sistema de Gestión de Seguridad de la Información (SGSI), para dos (2) procesos, uno
misional y otro de apoyo para la Superintendencia Nacional de Salud, de acuerdo a las especificaciones
establecidas en el anexo técnico del pliego de condiciones y en la propuesta (…)”, con el cual se busca
desarrollar todas las actividades inherentes a establecer el sistema de seguridad de la Información
en los procesos de la Entidad.
Contrato Nº 625 de 2.013, UNION TEMPORAL EY – MSL. Objeto: “Diseño, desarrollo e
implementación del modelo operativo y de gestión para la Oficina de Tecnología de la Información y
adquisición de licenciamiento, suministro, configuración e implementación de la herramienta tecnológica
para la implantación del modelo operativo de conformidad con la propuesta presentada y el Anexo No. 1
“Anexo Técnico” del Pliego de Condiciones, documentos que hacen parte integral del presente contrato”.
La Superintendencia Nacional de Salud, mediante Resolución N° 678 del 10 de Abril de 2.014,
adoptó el Sistema Integrado de Gestión conformado por seis Subsistemas dentro de los cuales se
encuentra el “Subsistema de Seguridad en la Información (SSI)”, enmarcado “dentro de los principios y
requisitos de la Norma Técnica Colombiana NTC-ISO/IEC 27001, la cual determina los requisitos de los
Sistemas de Gestión de la Seguridad de la Información (SGSI).
Además, en los artículos 8 y 9 de la Resolución N°678 de 2.014, se designa a la Oficina de
Tecnologías de la Información Líder Operativo del Subsistema de Seguridad en la Información
(SSI) y se asignan las funciones de los Líderes Operativos, respectivamente.
15
5.5 Talento Humano
Para el desempeño de las funciones asignadas, durante el primer semestre de 2.014, la Oficina de
Tecnologías de la Información contó con el personal relacionado a continuación:
L
N
R
C
A
R
-
A
P
R
O
V
C
O
N
T
APLICACIONES
OPERACIONES
TECNOLOGIAS
DE
INFORMACIÓN
SOPORTE GESTION
RIESGOS Y
SEGURIDAD
DE TI
1 Jefe de
Oficina
137 21 Edgar Alexander
Prieto Muñoz
1
1 Profesional
Especializado
2028 24 Manuel Guillermo
Acero Gutiérrez
11
1 Profesional
Especializado
2028 22 Patricia
Manosalva Peña
11 1
1 Profesional
Especializado
2028 21 Carlos Augusto
Hernández
Zambrano
1
1
Erika Díaz Abella 1 1
Juan Carlos
Bernales
Sánchez
1
1 1
Fabio Andrés
Parrado
Velásquez
1
1
1 Profesional
Especializado
2028 19 Luis Alfonso
Plazas Rincón
11 1
1 Profesional
Especializado
2028 14 Juan Carlos
Nocua Camargo
11
Sandra Yomay
Suarez Padilla
11 1
Luis Francisco
Oviedo
Hernández
1
1
Olga Lucia
Morales Nova
11 1 1 1
Tomas Carmelo
Quiroz Velásquez
11
Oscar Jaramillo
Muñoz
11
1 Técnico
Administrativo
3124 13 Claudia García
Rodriguez
11
Mónica Yamile
Rivera Ordoñez
11 1
Flor María Bernal
Rojas
11 1 1
José Edilberto
Espinosa
Cogollo
1
1 1
Miguel Ángel
Ordoñez Neira
11 1
Carlos Alberto
Otálora Portillo
11 1 1
1 7 3 9
Nº de
Cargos CARGO
CÓDICO-
GRADO
NOMBRE
COLABORADOR
TIPO DE
VINCULACION
3 Profesional
Especializado
2028 20
2 Analista de
Sistemas
3003 16
ESTRUCTURA FUNCIONAL
7 2TOTAL A JUNIO 30 DE 2.014 20
CONTRATISTAS
SUB TOTALES8 4 12
3 Analista de
sistemas
3003 18
16
A 30 de Junio de 2.014 la planta de personal de la Oficina de Tecnologías de la Información
contaba con un total de 19 colaboradores y el Jefe de la Oficina.
Adicional a lo anterior, buscando brindar mayor claridad, a continuación se clasifican los
colaboradores de la Oficina de Tecnologías de la Información por tipo de vinculación:
TIPO DE VICULACIÓN N°
Libre Nombramiento y Remoción (LNR) 1
Carrera Administrativa (CAR-A) 7
Provisional (PROV) 3
Contrato (CONT) 9
TOTAL 20
Los funcionarios vinculados a la Planta de personal de la Oficina de Tecnologías de la
Información, han sido nombrados de conformidad con el Manual Específico de Funciones,
Requisitos y de Competencias Laborales adoptado por Resolución 115 del 17 de Enero de 2.014.
5.6 Capacitación Funcionarios y Contratistas
De la revisión efectuada a los eventos de capacitación en los cuales participaron los
colaboradores de la Oficina de Tecnologías de la Información y el Plan de Capacitación de la
misma, se consideró relevante lo siguiente:
El Plan de Capacitación Institucional no contempla temas específicos que aborden los retos que
presenta la Superintendencia Nacional de Salud, en lo referente a Tecnologías de Información.
No obstante lo anterior, en desarrollo del Contrato N°625 de 2.013, suscrito con la Unión Temporal
EY-MSL, se realizó entre el 3 y el 13 de marzo de 2.014 (32 horas) el Programa de Capacitación y
Entrenamiento en puestos de trabajo Marco de Referencia ITIL Fundation V3, al cual asistieron los
siguientes colaboradores:
Patricia Manosalva Sandra Yomay Suarez Luis Alfonso Plazas
Luis Francisco Oviedo Claudia García Oscar Jaramillo
Tomas Quiroz Manuel Acero Gutiérrez Juan Carlos Nocua
El Programa de Capacitación y Entrenamiento en el “MARCO DE REFERENCIA ITIL
FUNDATION V3 (Biblioteca de Infraestructura de Tecnologías de la Información (ITIL®) y se ha
convertido en el estándar mundial de “de facto” en la Gestión de Servicios Informáticos), se define
como “como un conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios TI.
Su objetivo último es mejorar la calidad de los servicios TI ofrecidos, evitar los problemas asociados a
los mismos y en caso de que estos ocurran ofrecer un marco de actuación para que estos sean
solucionados con el menor impacto y a la mayor brevedad posible”.
17
Igualmente dentro de la ejecución del Contrato N°614 de 2.013, suscrito con la Unión Temporal
Password – Q&C, para la implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI), se realizó el curso de Análisis e Interpretación de la norma ISO 27001:2013
(20 h) en el mes de Junio, al cual asistieron los siguientes colaboradores:
Manuel Guillermo Acero
Gutiérrez
Erika Díaz Abella Luis Alfonso Plazas
Rincón
Sandra Yomay Suárez
Padilla
Luis Francisco Oviedo
Hernández
Olga Lucia Morales Nova
Mónica Yamile Rivera
Ordoñez
Flor María Bernal Juan Carlos Nocua
El Ingeniero Edgar Alexander Prieto Muñoz, Jefe de la Oficina de Tecnologías de Información,
realizó un Diplomado en Ciberseguridad y Ciberdefensa (160 horas), en el Ministerio de las
Tecnologías de la Información y las Comunicaciones, a partir del 12 de mayo de 2014 y con un
total de 160 horas. Igualmente participó en el Programa en Dirección Estratégica (160 horas), con
fecha de inicio 14 de mayo de 2.014.
CIBERSEGURIDAD Y CIBERDEFENSA: “El uso de las tecnologías de la información y las
comunicaciones trae consigo cambios y retos permanentes y se constituye como uno de los pilares del
mundo globalizado. De manera simultánea el avance de estas tecnologías ha incrementado el uso de
medios tecnológicos con fines delictivos alrededor del mundo.
La continua evolución, crecimiento y sofisticación de los ataques cibernéticos, al igual que la convergencia
tecnológica, ponen de manifiesto la necesidad de adoptar las medidas y controles que permitan proteger al
Estado ante estas nuevas amenazas
El aumento de la capacidad delincuencial en el ciberespacio, así como la utilización de nuevas tecnologías
para generar amenazas informáticas, constituyen una preocupación común a todos los países, dado que
impactan de manera significativa la seguridad de la información, en los ámbitos tanto público como privado
e incluyendo a la sociedad civil”. (Fuente: Documento CONPES 3701: Lineamientos de Política para
Ciberseguridad y Ciberdefensa).
De otra parte, la Oficina de Tecnologías de Información previendo los requerimientos de
capacitación específicos, ha determinado que en cada uno de los Contratos que se han de
suscribir con objetivos de referentes tecnológicos, se incluya el componente de Capacitación a fin
de actualizar e ilustrar a sus colaboradores.
18
5.7 Contratos suscritos con la Oficina de Tecnologías de la Información
La Oficina de Control Interno, escogió en forma aleatoria, de un total de veintiséis (26) contratos
de ejecución de la Oficina de Tecnologías de la Información, cuatro (4), equivalente al 15%,
aclarando que se verificó el cumplimiento de las normas contractuales de los contratos escogidos
y el cumplimiento de las condiciones y características requeridas de los productos contratados.
Contrato Nº 362 del 30 de Septiembre de 2.013
Contratista UNE - EPM TELECOMUNICACIONES S. A.
Objeto Contractual
Contratar el arrendamiento de Data Center (Collocation) para la instalación de la infraestructura computacional y de almacenamiento de la Superintendencia Nacional de Salud, que incluya adicionalmente los servicios de: Hosting Conectividad Privada, Conectividad Pública (Internet),Servicio de Telefonía Voz IP, Servicios de Virtualización Servicio de Modem para Conexión a Internet, Servicio de Televisión por Cable y Servicio de Soporte Especializado, de conformidad con las especificaciones técnicas señaladas en el anexo No. 01 de la Invitación SNS No 001 de 2.013 y la Oferta presentada por el contratista, los cuales hacen parte integral del presente contrato. Expediente con 529 folios
Valor
VALOR: $628'820.790,oo, incluido IVA y todos los costos e impuestos a que haya lugar. Durante la vigencia 2.013: $108.646.237.oo. por costos fijos: la suma de cuarenta y cinco millones doscientos treinta mil quinientos ochenta y cuatro pesos ($45'230 584) m/cte., mensuales incluido IVA y todos los costos e impuestos a que haya lugar para un total de ciento treinta y cinco millones seiscientos noventa y un mil setecientos cincuenta y dos pesos ($135.691.752) incluido IVA y demás impuestos a que haya lugar. Por costos variables, acorde con los servicios efectivamente prestados hasta la suma de cincuenta y dos millones novecientos cincuenta y cuatro mil cuatrocientos ochenta y cinco pesos ($52'954.485) m/cte., incluido IVA y todos los costos e impuestos a que haya lugar bajo la denominación "de bolsa" Durante la vigencia 2.014: $440.174.553.oo. por costos fijos: la suma de cuarenta y cinco millones doscientos treinta mil quinientos ochenta y cuatro pesos ($45'230.584) m/cte., mensuales incluido IVA y todos los costos e impuestos a que haya lugar para un total de trescientos dieciséis millones seiscientos catorce mil ochenta y ocho pesos ($316.614.088) incluido IVA y todos los costos e impuestos a que haya lugar. Por costos variables acorde con los servicios efectivamente prestados hasta la suma de ciento veintitrés millones quinientos sesenta mil cuatrocientos sesenta y cinco pesos ($123'560.465) m/cte, incluido IVA y todos los costos e impuestos a que haya lugar.
Plazo Diez (10) meses, contados a partir del 1 de octubre de 2.013, previa aprobación de la garantía y expedición del Registro Presupuestal por parte de la Superintendencia Nacional de Salud; y hasta el 31 de julio de 2.014.
Inicio 01 de octubre de 2.013
Final 31 de Julio de 2.014
Prórroga
Mediante PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1. del 31 de Julio de 2.014, al Contrato Interadministrativo No 362 de 2.013, se establecieron los siguientes items: Prorrogar por cuatro (4) meses, a partir del 1° de agosto de 2.014 y hasta el 30 de noviembre de 2.014, los servicios por costos fijos que en la actualidad se vienen prestando por la firma UNE EPM Telecomunicaciones S.A.; se eliminan algunos
19
servicios que ya no los requiere la Superintendencia; se modifica la tarifación del servicio de llamadas locales y a Larga Distancia Nacional y conforme a la apertura de las cinco (5) sedes de la entidad en las ciudades de Cali, Medellín, Barranquilla, Bucaramanga y Neiva se incluyen unos nuevos servicios según se explica y soporta en el documento de Justificación. ADICIÓN TOTAL: Efectivamente se adicionó la suma de $207.998.069,oo
Conclusiones Oficina de Control Interno
Mediante oficio NURC 3-2.014-010683 del 10 de julio de 2.014 la Oficina de Tecnologías de la Información solicita a Secretaría General ordenar a quien corresponda adelantar la gestión para la Prorroga, Adición y Modificación Contrato 362 de 2.013, y soporta en el documento de Justificación que remite junto el memorando en forma física y magnética. Conforme se anotó anteriormente, la PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1, al Contrato Interadministrativo No 362 de 2.013, versó sobre lo siguiente: i) Prorrogar por cuatro (4) meses, a partir del 1° de agosto de 2.014 y hasta el 30 de noviembre de 2.014, los servicios por costos fijos que en la actualidad se vienen prestando por la firma UNE EPM Telecomunicaciones S.A.; ii) se eliminan algunos servicios que ya no los requiere la Superintendencia; iii) se modifica la tarifación del servicio de llamadas locales y a Larga Distancia Nacional y conforme a la apertura de las cinco (5) sedes de la entidad en las ciudades de Cali, Medellín, Barranquilla, Bucaramanga y Neiva se incluyen unos nuevos servicios según se explica y soporta en el documento de Justificación. iv) Se adiciona el valor del contrato. ADICIÓN TOTAL: Efectivamente se adicionó la suma de $207.998.069,oo En la Visita de Auditoría In Situ, se verificó la carpeta contentiva de la documentación que soporta el contrato y que constan en esta matriz y, además se corroboraron todos y cada uno de los Informes de Actividades de la Supervisión hecha al contrato, evidenciándose en cada uno de ellos las actividades mes a mes que soportaron los pagos respectivos. Conforme consta en el Acta No. 1.de la PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1, al Contrato Interadministrativo No 362 de 2.013, se dejó constancia del valor total pagado, así: Vigencia de 2.013: Periodo 1° de Octubre a 31 de Diciembre: $131.205.249,oo. En la Vigencia 2.014: Periodo 1° de Enero a 31 de Julio: $223.205.249.oo CONCLUSIÓN: Para efecto de la ejecución del contrato a 31 de julio de 2.014, la Oficina de Control Interno establece que una vez verificado el Contrato No. 362 de 2.013, los supervisores estimaron que los productos efectivamente fueron entregados, y una vez se surtió la verificación de estos por aquellos, se determinó igualmente que los mismos cumplieron con las condiciones y características requeridas, estableciéndose que estos se entregaron a satisfacción.
Contrato Nº 383 del 28 de octubre de 2.013
Contratista JUAN CARLOS BERNALES SÁNCHEZ
Objeto Contractual
Definir la arquitectura y la gestión para la implantación de la infraestructura computacional y de almacenamiento para el data center externo, de acuerdo con los proyectos tecnológicos establecidos por la Oficina de Tecnología de la Información en el marco del proyecto "DISEÑO, IMPLANTACIÓN E IMPLEMENTACIÓN DEL SISTEMA DE INFORMACIÓN PARA LA SUPERINTENDENCIA NACIONAL DE SALUD” Expediente con 118 folios
Valor
El valor del presente contrato es hasta por la suma de setenta y dos millones trescientos cuarenta y cinco mil pesos ($72.345.000.oo) M/TCE por concepto de honorarios, incluidos todos los impuestos y costos a que haya lugar, distribuidos de la siguiente manera: el valor de dieciséis millones seiscientos noventa y cinco mil pesos ($16.695.000.00) para la vigencia 2.013; y el valor de cincuenta y cinco
20
millones seiscientos cincuenta mil pesos ($55.650.000.00) para la vigencia 2.014. Sumas que LA SUPERINTENDENCIA pagará al CONTRATISTA, acorde con los servicios efectivamente prestados. Valor Mensual de Honorarios: $ 7.950.000.00
Plazo Nueve (9) meses y fracción de tiempo debidamente ejecutado, contados a partir de la suscripción del acta de inicio, previo perfeccionamiento del contrato, expedición del registro presupuestal y, aprobación de la Garantía única.
Inicio Octubre 28 de 2.013
Final Julio 17 de 2.014
Prórroga N/A
Estado de Liquidación
ACTA DE TERMINACIÓN ANTICIPADA Y LIQUIDACIÓN POR MUTUO ACUERDO CONTRATO DE PRESTACIÓN DESERVICIOS PROFESIONALES No. 383 de 2.013, suscrita el 17 de julio de 2.014. Plazo Final Ejecutado: 8 meses y 20 días calendario. Valor Final Ejecutado: $68.900.000.00 En los ACUERDOS DEL ACTA se liberó la suma de $3.445.000.oo de la Vigencia 2.014, teniendo en cuenta el Balance Financiero del contrato, una vez suscrita la presente Acta.
Conclusiones Oficina de Control Interno
Mediante oficio NURC 3-2.014-011192 de julio 17 de 2.014 la Oficina de Tecnologías de la Información comunica a Secretaría General que el contratista Juan Carlos Bernales Sánchez, mediante oficio del 17 de Julio de 2.014, solicitó la terminación anticipada y liquidación por mutuo acuerdo del Contrato de Prestación de Servicios No.383 de 2.013, a partir del 18 de Julio de 2.014, remitiendo la documentación para el trámite pertinente. El contrato No. 383 de 2.013, se dio por terminado por Mutuo Acuerdo el 17 de julio de 2.014, con forme la acta suscrita el mismo día, en la cual se suscribieron: 1.- Plazo Final Ejecutado: 8 meses y 20 días calendario 2.- Valor Final Ejecutado: $68.900.000.00 3.- Liberación de la suma de $3.445.000.oo de la Vigencia 2.014, teniendo en cuenta el Balance Financiero del contrato. En la Visita de Auditoría In Situ, se verificó la carpeta contentiva de la documentación que soporta el contrato y que constan en esta matriz y, además se corroboraron todos y cada uno de los Informes de Actividades de la Supervisión hecha al contrato, evidenciándose en cada uno de ellos las actividades mes a mes que soportaron los pagos respectivos. Además se verificó el documento "INFORME DE EJECUCIÓN FINANCIERA", en la que se relacionaron las órdenes de pago siguientes: 2529, 2608, 3015 -2.013- 119, 324, 543, 669, 972 y 1103. CONCLUSIÓN: La Oficina de Control Interno establece que una vez verificado el Contrato No. 383 de 2.013, se estableció que a juicio del supervisor del contrato, se cumplió con el objeto contractual del mismo, y una vez se surtió por parte del supervisor del contrato la verificación de éstos, se determinó que cumplieron con las condiciones y características requeridas.
Contrato Nº 524 del 05 de noviembre de 2.013
Contratista ERIKA DÍAZ ABELLA
Objeto Contractual
Prestar servicios profesionales como Líder Tecnológico para apoyar el seguimiento a la ejecución de los proyectos de Adquisición de equipos de cómputo, Diseño de nueva página Web para la Superintendencia Nacional de Salud y Diseño e implementación del Modelo operativo de la función de T.I., durante la vigencia 2.013 y 2.014, en el marco del proyecto "DISEÑO IMPLANTACIÓN E IMPLEMENTACIÓN DEL SISTEMA DE INFORMACIÓN PARA LA SUPERINTENDENCIA NACIONAL DE SALUD" Expediente con 157 folios.
21
Valor
El valor del presente contrato es hasta por la suma de sesenta y dos millones ciento once mil pesos ($62.111.000.00) por concepto de honorarios, incluidos todos los impuestos y costos a que haya lugar, distribuidos de la siguiente manera: el valor de trece millones setenta y seis mil pesos $13.076.000.00) para la vigencia 2.013; y el valor de cuarenta y nueve millones treinta y cinco mil pesos ($49.035.000.00) para la vigencia 2.014. Sumas que LA SUPERINTENDENCIA pagará al CONTRATISTA, acorde con los servicios efectivamente prestados.
Plazo OCHO (8) MESES Y FRACCIÓN DE TIEMPO DEBIDAMENTE EJECUTADO, contados a partir de la suscripción del acta de inicio, previo perfeccionamiento del contrato, expedición del registro presupuestal y, aprobación de la Garantía única.
Inicio Diciembre 02 de 2.014
Final Julio 17 de 2.014
Prórroga N/A
Estado de Liquidación
ACTA DE TERMINACIÓN ANTICIPADA Y LIQUIDACIÓN POR MUTUO ACUERDO CONTRATO DE PRESTACIÓN DESERVICIOS PROFESIONALES No. 524 de 2.013, suscrita el 17 de julio de 2.014. Plazo Final Ejecutado: 8 meses y 13 días calendario. Valor Final Ejecutado: $59.075.500.00 En los ACUERDOS DEL ACTA se liberó la suma de $3.035.500.oo de la Vigencia 2.014, teniendo en cuenta el Balance Financiero del contrato, una vez suscrita la presente Acta.
Conclusiones Oficina de Control Interno
Mediante oficio NURC 3-2.014-011171 de julio 17 de 2.014 la Oficina de Tecnologías de la Información comunica a Secretaría General que la contratista ERIKA DÍAZ ABELLA, mediante oficio del 17 de Julio de 2.014, solicitó la terminación anticipada y liquidación por mutuo acuerdo del Contrato de Prestación de Servicios No.524 de 2.013, a partir del 18 de Julio de 2.014, remitiendo la documentación para el trámite pertinente. El contrato No. 524 de 2.013, se dio por terminado por Mutuo Acuerdo el 17 de julio de 2.014, con forme la acta suscrita el mismo día, en la cual se suscribieron: 1.- Plazo Final Ejecutado: 8 meses y 13 días calendario. 2.- Valor Final Ejecutado: $59.075.500.00 3.- Liberación de la suma de $3.035.500.oo de la Vigencia 2.014, teniendo en cuenta el Balance Financiero del contrato. En la Visita de Auditoría In Situ, se verificó la carpeta contentiva de la documentación que soporta el contrato y que constan en esta matriz y, además se corroboraron todos y cada uno de los Informes de Actividades de la Supervisión hecha al contrato, evidenciándose en cada uno de ellos las actividades mes a mes que soportaron los pagos respectivos. Además se verificó el documento "INFORME DE EJECUCIÓN FINANCIERA", en la que se relacionaron las órdenes de pago siguientes: 2601, 2901, 120, 305, 498, 605, 868 y 1043. CONCLUSIÓN: La Oficina de Control Interno establece que una vez verificado el Contrato No. 524 de 2.013, se estableció que a juicio del supervisor del contrato, se cumplió con el objeto contractual del mismo, y una vez se surtió por parte del supervisor del contrato la verificación de éstos, se determinó que cumplieron con las condiciones y características requeridas.
Contrato Nº Licitación Pública No. 02 de 2.013. Contrato 573 del 21 de noviembre de 2.013
Contratista SELCOMP INGENIERÍA - S.A.S.
Objeto Contractual
Prestación del servicio de Mesa de Ayuda para los Servicios de Tecnologías de la Información y las Comunicaciones - TICs -, mediante la cual se atiendan, administren, gestionen, monitoreen y controlen los requerimientos de servicio e incidentes de Tecnologías de la Información, el mantenimiento preventivo y correctivo con suministro de repuestos y los inventarios de la infraestructura
22
(Software y Hardware) de la Superintendencia Nacional de Salud, de conformidad con el Anexo No. 1"Requerimientos técnicos mínimos" del Pliego de Condiciones y la propuesta presentada, documentos que hacen parte integral del presente contrato. Expediente con 1022 folios.
Valor
Doscientos setenta y cinco millones novecientos veintiún mil cuatrocientos cuarenta pesos m/cte ($275.921.440,00) incluido IVA, y todos los impuestos y costos a que hubiere lugar, discriminado de la siguiente forma: a) Para la vigencia 2.013: La suma de hasta $80.607.426 incluido IVA y todos los costos e impuestos a que haya lugar. b) Para la vigencia 2.014: La suma de hasta $195.314.014 incluido IVA y todos los costos e impuestos a que haya lugar.
Plazo El plazo de ejecución del Contrato será a partir de la suscripción del acta de inicio, previo perfeccionamiento del contrato, aprobación de la garantía única y expedición del Registro Presupuestal, sin que exceda el 30 de julio de 2.014.
Inicio Diciembre 02 de 2.013
Final 31 de Julio de 2.014
Prórroga
Mediante PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1. del 30 de Julio de 2.014, al Contrato Interadministrativo No 573 de 2.013, se establecieron los siguientes items: Adición al valor del contrato en $85.331.704.oo; Se adiciona un Parágrafo al Numeral 20 de la Cláusula Segunda "OBLIGACIONES DEL CONTRATISTA", que consiste en adicionar un (1) Técnico; Suprime a partir del 31 de Julio de 2.014, la obligación a cargo del contratista, establecida en el numeral 8 de la Cláusula Segunda; Incluye a partir del 31 de Julio de 2.014, la obligación a cargo del contratista, establecida en la Cláusula Segunda, "OBLIGACIONES DEL CONTRATISTA-ESPECÍFICAS", la de utilizar como herramienta denominada "CA" como apoyo a la Mesa de Ayuda, la cual es de propiedad de la Superintendencia Nacional de Salud. ADICIÓN TOTAL: Se adicionó la suma de $85.331.704.oo.
Conclusiones Oficina de Control Interno
Mediante oficio NURC 3-2.014-006251 del 05 de mayo de 2.014 la Oficina de Tecnologías de la Información solicita a Secretaría General ordenar a quien corresponda adelantar la gestión para la Prorroga, Adición y Modificación Contrato 573 de 2.013, y soporta en el documento de Justificación que remite en forma magnética. Conforme se anotó anteriormente, la PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1, al Contrato Interadministrativo No 573 de 2.013, consideró lo siguiente: i) Adición al valor del contrato en $85.331.704.oo; ii) Se adiciona un Parágrafo al Numeral 20 de la Cláusula Segunda "OBLIGACIONES DEL CONTRATISTA", que consiste en adicionar un (1) Técnico; iii) Suprime a partir del 31 de Julio de 2.014, la obligación a cargo del contratista, establecida en el numeral 8 de la Cláusula Segunda; iii) Incluye a partir del 31 de Julio de 2.014, la obligación a cargo del contratista, establecida en la Cláusula Segunda, "OBLIGACIONES DEL CONTRATISTA-ESPECÍFICAS", la de utilizar como herramienta denominada "CA" como apoyo a la Mesa de Ayuda, la cual es de propiedad de la Superintendencia Nacional de Salud. ADICIÓN TOTAL: Se adicionó la suma de $85.331.704.oo. En la Visita de Auditoría In Situ, se verificó la carpeta contentiva de la documentación que soporta el contrato y que constan en esta matriz y, además se corroboraron todos y cada uno de los Informes de Actividades de la Supervisión hecha al contrato, evidenciándose en cada uno de ellos las actividades mes a mes que soportaron los pagos respectivos. Conforme consta en el Acta No. 1.de la PRÓRROGA, ADICIÓN Y MODIFICACIÓN No. 1, al Contrato Interadministrativo No 573 de 2.013, se dejó constancia que el valor total del Contrato es la suma de $336.807.421.oo, incluido IVA, discriminado de la siguiente manera: Vigencia de 2.013: $56.161.703.oo. En la Vigencia 2.014: Periodo 1° de Enero a 30 de noviembre: $280.645.718.oo.
23
CONCLUSIÓN: Para efecto de la ejecución del contrato a 30 de julio de 2.014, la Oficina de Control Interno establece que una vez verificado el Contrato No. 573 de 2.013, se estableció que a juicio del supervisor del contrato, se cumplió con el objeto contractual del mismo, y una vez se surtió por parte del supervisor del contrato la verificación de éstos, se determinó que cumplieron con las condiciones y características requeridas.
La Oficina de Control Interno establece que una vez verificados IN SITU los Contratos escogidos
en la muestra aleatoria, estableció que conforme a lo certificado oportunamente por los
supervisores de los contratos, hubo cumplimiento por parte de los contratistas.
6. PROYECTOS, PROGRAMAS Y PROYECCIÓN
De conformidad con la información y documentación suministrada por la Oficina de Tecnologías
de la Información, la Superintendencia Nacional de Salud debe contar con una herramienta que
satisfaga la necesidad de lograr una pronta y efectiva comunicación y productividad, optimizando
la eficiencia y operación a nivel nacional de sus funcionarios, para que sus esfuerzos estén
encaminados en buscar un servicio que mejore la calidad y oportunidad de la información y por
ende, la prestación del servicio a los ciudadanos y operadores, bajo el esquema de computación
en la nube, que permita incrementar las capacidades actuales y optimizar los recursos de
operación de Tecnologías de la Información.
Para tal efecto, la Oficina de Tecnologías de la Información considera importante priorizar las
siguientes acciones:
Adquisición de licenciamiento para infraestructura, correo electrónico, mensajería
instantánea, conferencias, herramientas de productividad y de desarrollo de software y,
normalización de plataforma de colaboración de la Entidad
Dentro de las necesidades de modernización de la Oficina de Tecnologías de la Información y del
posicionamiento como líder tecnológico dentro del gobierno, este proyecto ofrece todos los
beneficios de renovación de licenciamiento, opciones de implementación del correo en la nube,
mejoramiento de productividad para usuarios internos y mejoramiento de la eficiencia en las
comunicaciones, optimización de recursos de tecnología a nivel de operación y administración de
la plataforma.
A través de los productos en línea, los funcionarios de la Superintendencia Nacional de Salud
podrán tener acceso a todos sus niveles de productividad desde Internet bajo un esquema de
protocolos seguros, que permitirán ofrecer movilidad y mejores tiempos de respuesta a las
necesidades de la Entidad.
Adicionalmente todos los productos deben operar bajo los estándares de seguridad
internacionales, tales como SAS70 e ISO 27001 y contar con niveles de disponibilidad y respaldo
para la operación del correo y su productividad.
24
Actualmente la Superintendencia Nacional de Salud utiliza una plataforma tecnológica de
servidores y equipos de escritorio, que operan con los productos de Microsoft, tales como Sistema
Operativo Server y Desktop, Base de Datos y Software Ofimático.
Para apoyar la integración entre los usuarios y los productos en línea, la Entidad requiere la
actualización del software de ofimática (Microsoft Office Profesional).
Esta herramienta permitirá el acceso de los funcionarios al correo a través de Outlook y el
desarrollo de los trabajos de Oficina con herramientas como Word, Excel y PowerPoint.
Adicionalmente Office Profesional permite a los usuarios realizar integración con los niveles de
colaboración del correo en la nube con productos de Microsoft, tales como niveles de cooperación,
documentos compartidos y colaboración en sitios web internos.
La Oficina de Tecnologías de la Información propone contar con el servicio Modelo de
Computación en la Nube, el cual brinda un servicio confiable y seguro permitiendo una
escalabilidad dinámica, capaz de atender cambios inesperados en la demanda del servicio, no
previsibles dentro de la planeación general de servicios tecnológicos, sin que esto suponga
incrementos significativos en los costos de operación.
Esta solución está orientada a potenciar la prestación de los servicios propios del negocio
mejorando la eficiencia, incrementando la calidad y la cobertura, reduciendo significativamente los
costos adicionales de operación, como por ejemplo infraestructura, licenciamiento adicional,
elementos de seguridad, entre otros, contando con niveles de disponibilidad y respaldo para su
operación.
Valores agregados que aporta el Modelo de Computación en la Nube:
Mejora en la productividad
Crecimiento corporativo (a nivel regional y nacional)
Conserva actualizada la plataforma de comunicaciones y colaboración, sin costo adicional
Brinda servicio de Tecnologías de Información de primera categoría
Ofrece un mejor uso de los recursos de TI
Disminuye costos: de infraestructura, de hardware y operativos, costos de personal y costos
administrativos
Rápida elasticidad: habilidad para escalar recursos
Medición del servicio: los diferentes aspectos de la nube son controlados y monitoreados por
el proveedor de la nube.
Por demanda y autoservicio: el consumidor usa los servicios a medida que los requiera sin
necesidad de una interacción humana con el proveedor de la nube.
Acceso universal a través de las redes
25
Agrupación de recursos y Aumento de la flexibilidad: permite al proveedor de la nube asignar y
reasignar los recursos de acuerdo con la demanda de los clientes.
Mayor portabilidad de las aplicaciones: por la utilización de estándares, se facilita la
portabilidad
Calidad del servicio: servicios seguros, gran capacidad de almacenamiento y de cómputo, y
servicios 7/24.
Factores estratégicos: optimización, respuesta más rápida a las necesidades de los usuarios,
permite enfocarse más en la efectividad de los programas y en proveer mejores servicios a los
ciudadanos y menos en la administración de TI
Servicios de asesoría estratégica y apoyo especializado para la definición del plan
estratégico de tecnologías de la información–PETIC y del modelo de gestión de ti para la
Superintendencia Nacional de Salud
El Ministerio de Salud y Protección Social ha establecido un Plan Estratégico de la Información y
las Comunicaciones–PETIC, donde se establecieron las necesidades de información y las
comunicaciones del citado Ministerio y del Sector Salud.
Dicho PETIC fue elaborado según contrato No 555 del 2.013 entre el Ministerio de Salud y
Protección Social y la “Corporación Colombia Digital”. En el mencionado contrato en la cláusula
sexta Derechos y obligaciones del/la contratista, se enuncian obligaciones específicas en el
numeral 2, viñeta 3, 4 y 5, los cuales establecen:
“ …
-Dar recomendaciones para la redefinición o actualización del plan estratégico de TIC (PETIC), llevando a
cabo la alineación con el plan estratégico sectorial e institucional del Ministerio y basándose en la
implementación de un modelo integral de gestión de TI, que responda a las necesidades tecnológicas de la
Entidad y del Sector
-Realizar un estudio costo/ beneficio del plan estratégico de TI propuesto y sustentar la viabilidad de su
implementación o ejecución.
-Elaborar un plan de mantenimiento de sostenibilidad de PETIC“
En este orden de ideas, resulta claro que para el cumplimiento de los objetivos y funciones de la
Superintendencia Nacional de Salud se requiere de un Plan Estratégico de Tecnologías de la
Información y las Comunicaciones-PETIC-, que estudie las necesidades de la Superintendencia
y que las encuadre con el PETIC de Ministerio de Salud y Protección Social.
Adicionalmente, se debe definir la ruta de desarrollo y crecimiento por medio de planes y
proyectos para cada una de las áreas específicas, tales como infraestructura, telecomunicaciones,
sistemas de información y servicios de tecnología de la Superintendencia Nacional de Salud
26
Elaborar y ejecutar el plan de Optimización del Modelo de Operación de Tecnologías de la Información y Comunicaciones, Implementado de acuerdo al nivel de madurez alcanzado
Según la información y documentación suministrada por la Oficina de Tecnologías de la
Información, los productos derivados del Contrato Nº 625 de 2.013 relacionan a continuación:
Propuesta del Diseño del Modelo Operativo de la Oficina de Tecnologías de la Información
Alineación estratégica y
Planeación
Construcción de soluciones
de TI
Operación de
TI
Gestión de TI
► Establecer un Gobierno de TI eficaz y alineado estratégicamente con la SNS ► Alineación estratégica con los objetivos de la Entidad ► Estructurar un modelo de información que responda a las necesidades de la
Entidad ► Soportar a la Entidad a través de roles y funciones estratégicas como “Socio de
Negocio” Administrar de forma consolidada el Portafolio de proyectos de TI, con herramientas y políticas claras de gestión establecidas
► Promover la adherencia a los estándares de arquitectura ► Implementar aplicaciones que faciliten el uso de la información para el análisis
y toma de decisiones por parte de la Entidad ► Establecer una infraestructura tecnológica que responda a las perspectivas de
crecimiento de la SNS
► Monitorear Niveles de Servicio con Proveedores ► Gestionar y controlar el cumplimiento de la promesa de valor de servicios,
proveedores, proyectos y operación. ► Controlar y fortalecer la Seguridad de la Información
Gestionar la demanda de los servicios de TI por parte de los diferentes grupos de la SNS Establecer un catálogo de servicios orientado al cliente y con una propuesta de valor clara Aumentar la flexibilidad y agilidad en la operación a través de terceros.
27
Elementos del Modelo Operativo de la Oficina de Tecnologías de la Información
Estructura Organizacional del Modelo Operativo de la Oficina de Tecnologías de la Información
Dirección de la OTI
Líder de Aplicaciones
Líder de Soporte y Provisión
Líder de Operaciones de TI
Líder Gestión y Arquitectura de
TI
Líder Gestión de Riesgos y Seguridad
de TI
Grupo Aplicacione
s
Grupo Soporte y
Provisión
Grupo Operaciones
de TI
Grupo Gestión de Riesgos y
Seguridad de
Grupo Gestión de
TI
NIVEL 1
NIVEL 2
NIVEL 3
Líder de Gestión Administrativa
Modelo de Operación de
TI
3.1 Gobierno de TI
3.4 Gestión y Desempeño
3.3 Gente y Organización
3.2 Servicios y Operación
3.5 Herramientas Tecnológicas
Estructura Organizacional
Funciones Clave
► Perfil de la herramienta tecnológica a implementar
Principales métricas para el desempeño
► Instancias de Gobierno
Catálogo de Servicios
Procesos Políticas y
Procedimientos Potenciales
funciones a tercerizar
28
Funciones y roles clave del Modelo Operativo de la Oficina de Tecnologías de la Información
Impactos de la puesta en marcha del Modelo Operativo de la Oficina de Tecnologías de la
Información
Tipo Impacto
Estratégicos y de
gobierno
Percepción de la OTI como consecuencia de la alineación de las
iniciativas y servicios con las necesidades y expectativas de la SNS.
Organizacionales
Necesidad de nuevas habilidades y competencias del personal de la
OTI.
Cambios en los roles y responsabilidades de los funcionarios de la
OTI.
Resistencia al cambio.
Procesos y Gestión
Cumplimiento de la promesa de valor de la OTI, dado el enfoque de
gestión por procesos planteado.
Información clara y oportuna respecto a las actividades planeadas
y/o ejecutadas por la OTI.
Tecnológicos Optimización de la infraestructura tecnológica da la SNS, por
mejoramiento de la visión de su arquitectura de TI
Regulatorios Eventual solicitud de modificación a los decretos 2462 y 2463 para
ajustar las directrices del mismo al nuevo modelo operativo de TI.
Dirección de la
OTI
Líder de
Aplicaciones
Líder de
Operaciones de TI
Líder de Soporte y
Provisión
Dirigir el modelo de operación de la Oficina de Tecnología de Información (OTI) a través de procesos estandarizados y competitivos, bajo parámetros de calidad, oportunidad y costo,
aumentando el valor para los grupos de interés de la OTI.
Lidera la apropiada gestión del mapa de aplicaciones y verifica la integralidad de la arquitectura de aplicaciones. Responsable del direccionamiento de la gestión de los requerimientos de desarrollo, mejoramiento y sostenibilidad de las distintas aplicaciones para que apoyen de manera efectiva
los procesos de negocio de la Entidad.
Ofrecer a la Entidad recursos de infraestructura tecnológica procurando un continuo, adecuado y óptimo funcionamiento a las áreas de la Entidad, gestionando la integridad, capacidad y disponibilidad de los mismos. Adicionalmente, es el encargado de gestionar y sostener el mapa de infraestructura tecnológica (ej. Bases de Datos, almacenamiento, procesamiento, telecomunicaciones)
Encargado de gestionar el soporte y provisión centralizado a los usuarios, fortaleciendo la calidad del servicio de atención a requerimientos de TI. Realizar un control y seguimiento de los requerimientos de provisión e incidentes de las diferentes áreas de la Entidad relacionados con los
sistemas de información, dando atención y solución oportunas.
Líder Gestión y
Arquitectura de TI
Líder Gestión de Riesgos y
Seguridad de TI
Encargado del monitoreo y actualización de políticas de seguridad para gestionar la protección y cumplimiento de los objetivos de TI, privacidad de activos, seguridad digital, gestión de riesgos y plan
de recuperación de desastres, para la continuidad de la operación de la organización.
Encargado de liderar la estructuración de la arquitectura de TI y su alineación con los objetivos estratégicos a través de la gestión de proyectos y monitoreo a la operación de TI frente a las metas de desempeño trazados en la Dirección de TI.
29
Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
Según la documentación suministrada por la Oficina de Tecnologías de la Información, la Unión
Temporal Password–Q&C, mediante la ejecución del contrato N° 614 de 2.013, realizó un
“Diagnóstico sobre Gestión en Seguridad de la Información” de la Superintendencia Nacional de
Salud, utilizó la siguiente metodología:
Para identificar el estado actual de la Entidad en Seguridad de la Información, realizaron
entrevistas con los responsables de los procesos que se han definido en alcance del proyecto,
solicitaron información y verificaron documentación existente en cuanto a seguridad de la
información.
Además utilizaron técnicas para conocer el estado actual de la entidad en materia de seguridad de
la información, con el fin de establecer los tiempos para el diseño e implementación del Sistema
de Gestión de Seguridad de la Información según la norma ISO/ IEC 27001:2005.
Las herramientas y técnicas utilizadas por el grupo de trabajo fueron:
Diseño de lista de requisitos de la norma ISO/ IEC 27001:2.013.
Realización de entrevistas sobre seguridad de la información a los responsables de los
procesos del alcance del proyecto.
Visitas para identificación de controles de seguridad física en la entidad
Del resultado de estas pruebas, se registraron las siguientes conclusiones:
“El Diagnóstico realizado define el porcentaje máximo de cumplimiento que posee actualmente la
Entidad, aclarando que dichos cumplimientos están sujetos a acciones de mejoramiento una vez se esté
ejecutando la implementación. Dichas acciones de mejoramiento reforzaran el cumplimiento de la
norma y se enfocarán en la madurez, seguimiento y control del SGSI.
Es fundamental para el éxito de la implementación del Sistema de Gestión de Seguridad de la
Información en la entidad el compromiso de la Alta Dirección para la aprobación de la documentación
generada, la divulgación y su aplicación por parte de los funcionarios y contratistas.
Se debe atacar en el menor tiempo posible los incidentes se seguridad materializados y que aún no
reciben tratamiento formal mediante el diseño e implementación de un “procedimiento de gestión de
incidentes” para el tratamiento correcto de los mismos y que ayude a crear cultura para documentar
todo lo que sucede respecto a la seguridad que facilite la identificación de las vulnerabilidades en
seguridad de la información”.
30
Estrategia de Gobierno en línea.
De conformidad con la información y documentación suministrada por la Oficina de Tecnologías
de la Información, dentro de sus actividades se encuentra dar cumplimiento a lo dispuesto en el
Decreto 2693 de 2.012, para lo cual se han adelantado las siguientes acciones:
► Suscripción del Contrato N° 614 de 2.013, Implementar un Sistema de Gestión de Seguridad de la
Información (SGSI), para dos (2) procesos, uno misional y otro de apoyo para la Superintendencia
Nacional de Salud, de acuerdo a las especificaciones establecidas en el anexo técnico del pliego de
condiciones y en la propuesta
► Suscripción del Contrato N° 625 de 2.013, Diseño, Desarrollo e Implementación del Modelo
Operativo y de Gestión para la Oficina de Tecnología de la Información
► Suscripción del Contrato N° 611 de 2.013. (Licenciamiento del software que permita el proceso
integral de consolidación de información, cálculo, liquidación. Notificación, recaudo y cartera para la
Tasa de Inspección, Vigilancia y Control de la Superintendencia Nacional de Salud.
► Proceso de Selección N° 048 del 2.014. implementación de nuevos medios de seguridad en
las transacciones electrónicas mediante las estampas electrónicas. Suministro, instalación,
configuración, y puesta en funcionamiento de:
Certificados digitales para las transacciones que se usan en el sistema integrado de
información financiera SIIF Nación Ministerio de Hacienda y Crédito Público
Certificado digital con dispositivo criptográfico para las transacciones que requiera
adelantar la entidad.
Certificados secure sockets layer (ssl; en español «capa de conexión segura») para la
seguridad de las páginas web que utiliza la SNS.
Estampas de tiempo para la Superintendencia Nacional De Salud.
Dichas contrataciones están en su etapa de cierre y se prevé estar en producción en el segundo
semestre del 2.014 y llegar a una estabilización en el primer semestre del 2015.
Igualmente, la Oficina de Tecnologías de la Información en su lineamiento al Manual de Gobierno
En Línea, está en contratación de:
La implementación de un Plan Estratégico de las tecnologías de la información y las
comunicaciones el cual se recomienda quede alineado al Plan Estratégico de Tecnologías de
la Información-PETIC y del Modelo de Gestión de TI (Mapa de Información Sectorial) para el
Ministerio de salud y Protección Social, el cual fue ejecutado por el mismo Ministerio mediante
Contrato No MSPS-CD-555-2.013
La conversión de sus sistemas a medios colaborativos contratación en curso mediante
proceso de selección abreviada por subasta inversa electrónica No. SI-22-2.014, “Adquisición
de licenciamiento de infraestructura y usuario final para la estandarización de la plataforma de
colaboración y servicios conexos para la Superintendencia Nacional de Salud.”.
31
Adicional a lo anteriormente expuesto la oficina ha estado trabajando en la puesta en marcha
de la implementación e implantación del tema de Transformación, el cual comprende “…
establecer las pautas para que la Entidad automatice sus procesos y procedimientos internos
e incorpore la política de Cero papel”.
Otras acciones:
Dentro de las tareas realizadas por la Oficina se realizó el sondeo de mercado y estándares,
encontrando que hay una gran cantidad de sistemas y metodologías de gestión: Balanced
Scorecard, Just In Time, Gestión del Conocimiento, Gestión de la Calidad Total, Gestión de la
Productividad Total, HSEQ, SIX SIGMA, Kaizen, POM, Gestión de Riesgos, EDI, ERP, CRM, CIM,
arquitectura empresarial, entre otros.
Por esta razón, y en cumplimiento de las necesidades de la Entidad y de las directrices de
Gobierno en Línea, así como del CONPES 3248 en el cual se establece que las entidades
públicas deberán “Consolidar la información necesaria para implementar modelos de
administración de relaciones con los clientes (CRM-Costumer Relationship Management) a través
de la identificación de flujos de datos (Data Flow Charter) y administración de procesos del
negocio (BPM -Bussiness Process Management), lo que será la base de los trámites en línea “.
(Subrayado fuera de texto)”; la Oficina de Tecnologías de la Información considera necesario la
implementación del Sistema de Gestión Documental mediante la contratación de Una Herramienta
para el Sistema de Gestión Documental basado en BPM (Gestión de Procesos de Negocios),
ECM (Gestor de Documentos) y RM (Gestor de Archivos) y que contenga los Sistemas de
Contratación, Registro y Gestión de Correspondencia, PQR y Sistema para el Seguimiento de
Procesos Administrativos.
Adicionalmente, la Oficina de Tecnologías de la Información considera que la incorporación de
una metodología BPM llevaría a la Entidad a integrar todos sus procesos y procedimientos a un
solo sistema que unificaría criterios y modos de actuar.
7. CONCLUSIONES
En la visita in situ a la Granja de Servidores, localizada en el piso 6º, del edificio World Business
Centrer, se evidencia que sobre los RACKS que contienen los servidores y toda la red de
comunicaciones de la Entidad, se encuentra un ducto de agua, el cual representa es riesgo, ya
que al momento de presentarse una ruptura o por lo menos una fisura, el agua caería
directamente sobre estos armarios, generando daños graves a los equipos y conexiones de red,
allí almacenados.
Además, se encuentran cajas que contienen switches que se están adquiriendo mediante el
Contrato 048 de 2014, y que se preveen a ser instalados a mas tardar el 15 de octubre del año en
curso, las cuales deberían estar almacenados y en custodia en un sitio diferente, considerando el
riesgo antes enunciado.
32
La Oficina de Control Interno establece que una vez verificados IN SITU los Contratos escogidos
en la muestra aleatoria, estableció que los supervisores de los contratos certificaron el
cumplimiento de las obligaciones contractuales con las características requeridas.
Los funcionarios vinculados a la Planta de personal de la Oficina de Tecnologías de la
Información, han sido nombrados de conformidad con el Manual Específico de Funciones,
Requisitos y de Competencias Laborales adoptado por Resolución 115 del 17 de Enero de 2.014
La Oficina de Tecnologías de Información previendo los requerimientos de capacitación
específicos, ha determinado que en cada uno de los Contratos que se han de suscribir con
objetivos de referentes tecnológicos, se incluya el componente de Capacitación a fin de actualizar
e ilustrar a sus colaboradores
8. RECOMENDACIONES
La Oficina de Control Interno recomienda a la Oficina de Tecnologías de la Información, formular
un Plan Estratégico de Tecnologías de la Información y las Comunicaciones que recoja todas las
acciones a cumplir de conformidad con los lineamientos del Ministerio de Salud y la Protección
Social y el Ministerio de Tecnologías de la Información y las Comunicaciones.
En este sentido, la Oficina de Tecnologías de la Información considera que la incorporación de
una metodología BPM llevaría a la Entidad a integrar todos sus procesos y procedimientos a un
solo sistema que unificaría criterios y modos de actuar.
Sobre este particular, la recomendación respetuosa de la Oficina de Control Interno en procura de
alinear a la Institución con los parámetros dados por Gobierno en Línea, sustentada en las
conclusiones de informes anteriores relativos a sistemas de información, es que los aplicativos
que se encuentran dispersos por la Institución, puedan contar con la debida interoperabilidad; es
decir, que si se implementa o incorpora la metodología BPM, esto lleve implícito en la contratación
respectiva, la incorporación de la obligación contractual de lograr la comunicación entre las
diferentes herramientas tecnológicas, de manera eficiente, efectiva y eficaz, logrando un
mejoramiento de los sistemas de la Institución, lo cual redundará en beneficio de la misión
institucional ejecutada por las diferentes dependencias de la Superintendencia Nacional de Salud.
La Oficina de Control Interno recomienda que, una vez se oficialicen los productos derivados de
los contratos (como son los protocolos técnicos), se proceda a gestionar con la Oficina Asesora
de Planeación la inclusión de esta documentación técnica en los Procedimientos de la
dependencia, considerando que son de gran importancia para el Subsistema de Gestión de la
Calidad y el Subsistema de Seguridad en la Información.
33
De acuerdo con el riesgo previsto en la Granja de Servidores, relacionado con el ducto de agua, la
Oficina de Control Interno recomienda adelantar las acciones, en el menor tiempo posible, que
mitiguen o eliminen este riesgo latente, ante la posibilidad de ocurrencia de un siniestro.
Se solicita que dentro de los diez días (10) siguientes a la fecha de presentación de este informe,
se remitan a la Oficina de Control Interno las acciones de mejoramiento que se emprenderán con
el objeto de atender las recomendaciones aquí presentadas.
Cordialmente,
JUAN DAVID LEMUS PACHECO
Jefe Oficina de Control Interno