intranet.contraloriadecundinamarca.gov.cointranet.contraloriadecundinamarca.gov.co/attachment/007... · Web viewEl 27 de mayo de 2020 se tuvo la oportunidad de recibir una visita

Pági

na

1

CONTRALORIA DE CUNDINAMARCAPLAN ESTRATÉGICO DE LAS TECNOLOGIAS DE LA INFORMACIÓN Y

COMUNICACIONES,PETI, 2020-2021, V.3.0.

ÉDGARD SIERRA CARDOZOContralor de Cundinamarca

Bogotá D.C., 20 enero de 2021

Calle 49 No. 13 - 33 PBX 3394460www.contraloriadecundinamarca.gov.co

http://www.contraloriadecundinamarca.gov.co/

Pági

na

2

Oficina Asesora De Planeación, Sistemas e Informática

Héctor H. Villamil Bolívar Jefe Oficina Asesora de Planeación, Sistemas e Informática

Zaida D. Ortega Vaca Subdirectora de Planeación, Sistemas e InformáticaElda Lucía Álvarez Barbosa Profesional IIJairo Javier Yepes Escobar Profesional IILuis Gabriel Camacho Parra Auxiliar Administrativo



Pági

na

3

ContenidoPresentación................................................................................................................................8

Control de Versiones.................................................................................................................10

1. Diagnostico........................................................................................................................11

1.1. Armonización con el Plan Estratégico.......................................................................11

1.2. Autodiagnóstico de sistemas MIPG...........................................................................12

1.3. Eventos recientes y diagnósticos por visita de expertos...........................................14

2. Compromisos de los interesados......................................................................................15

4. Normatividad.....................................................................................................................16

5. Infraestructura tecnológica...............................................................................................18

5.1. Hardware...................................................................................................................18

5.1.1. Puesto de Trabajo..............................................................................................21

5.1.2. Computadores portátiles por marca.................................................................21

5.1.3. Computadores de Escritorio por marca.............................................................21

5.1.4. Impresoras por marca........................................................................................22

5.1.5. Vida de los equipos de cómputo.......................................................................22

5.2. Software.....................................................................................................................23

5.3. Centro de cómputo....................................................................................................24

5.3.1. Host....................................................................................................................25

5.3.2. Almacenamiento................................................................................................25

5.3.3. Complemento....................................................................................................26

5.4. Red.............................................................................................................................26

5.4.1. Topología de Red...............................................................................................26

5.4.2. Wifi y Voz...........................................................................................................27

5.5. Complemento a la operación....................................................................................28

6. Servicios Tecnológicos.......................................................................................................29

6.1. Disponibilidad............................................................................................................30

6.2. Operación...................................................................................................................30

6.3. Soporte a usuarios.....................................................................................................30

6.4. Administración...........................................................................................................31

6.5. Mantenimiento..........................................................................................................31

6.6. Mejores Prácticas.......................................................................................................31

6.7. Tercerización de los Servicios....................................................................................31

6.8. Directrices..................................................................................................................32Calle 49 No. 13 - 33 PBX 3394460

www.contraloriadecundinamarca.gov.co


Pági

na

4

7. Proyectos...........................................................................................................................34

8. Cronograma 2020-2021.....................................................................................................35

9. Presupuesto.......................................................................................................................38

10. Plan de seguridad y privacidad de la Información........................................................39

10.1. Objetivo General del Plan de seguridad y privacidad de la Información..............40

10.2. Marco normativo...................................................................................................40

10.3. Aplicación...............................................................................................................41

10.4. Obligación de los usuarios.....................................................................................41

10.5. Hardware...............................................................................................................41

10.6. Software.................................................................................................................41

10.7. En caso de pérdida de los equipos.........................................................................42

10.8. Violaciones a la seguridad de los datos.................................................................42

10.9. Procedimiento frente a un suceso de Violaciones a la seguridad de los datos.. . .42

10.10. Prohibiciones.........................................................................................................43

10.11. Área Técnica...........................................................................................................44

10.12. Unidades de Almacenamiento Extraíbles - Uso....................................................44

10.13. Derechos de Autor.................................................................................................45

10.14. Correo electrónico.................................................................................................45

10.15. Internet..................................................................................................................45

10.16. Clasificación de la Información..............................................................................45

10.17. Cuentas de Acceso.................................................................................................46

10.18. Cronograma del Plan de seguridad y privacidad de la Información.....................47

11. Plan de tratamientos de riesgos en seguridad y privacidad de la Información...........49

11.1. Objetivo..................................................................................................................49

11.2. Alcance...................................................................................................................49

11.3. El Comité Directivo y la administración del riesgo................................................49

11.4. Definición gestión del Riesgo.................................................................................49

11.5. Visión general para la administración del riesgo de seguridad de la información.50

11.5.1. Etapas para la administración del riesgo...........................................................50

11.6. Análisis Contexto Estratégico................................................................................50

11.7. Contexto Estratégico..............................................................................................50

11.8. Metodología para la Identificación de Riesgos.....................................................51

11.9. Riesgos Internos.....................................................................................................52



Pági

na

5

11.10. Riesgos Externos:...................................................................................................52

11.11. Cronograma...........................................................................................................53

12. Política de seguridad......................................................................................................53

12.1. Introducción...........................................................................................................53

12.2. Definición de Seguridad de la Información...........................................................54

12.3. Objetivo de la política de seguridad......................................................................54

12.4. Alcance...................................................................................................................54

12.5. Comité directivo como ente rector de la seguridad de la información................55

12.6. Políticas de la seguridad de la información...........................................................55

12.6.1. Inventario de Activos de Información...............................................................55

12.6.2. Gestión de activos de información....................................................................55

12.6.3. Directrices..........................................................................................................55

12.6.4. Gestión de la seguridad.....................................................................................55

12.6.5. Seguridad física..................................................................................................56

12.6.6. Gestión de incidentes........................................................................................56

12.6.7. Seguridad de terceras partes.............................................................................56

12.6.8. Copias de seguridad...........................................................................................56

12.6.9. Control de acceso...............................................................................................56

12.7. Sanciones...............................................................................................................56

13. Política en el manejo del Riesgo....................................................................................57

13.1. Introducción...........................................................................................................57

13.2. Objetivo..................................................................................................................57

13.3. Alcance...................................................................................................................57

13.4. Responsabilidades y Compromisos.......................................................................57

13.5. Metodología para su aplicación............................................................................58

13.6. Identificación del riesgo.........................................................................................58

13.7. Análisis del riesgo..................................................................................................58

13.8. Valoración del riesgo.............................................................................................59

13.9. Monitoreo y seguimiento a los mapas de riesgo por proceso..............................59

13.10. Actualización del Mapa de Riesgo Institucional....................................................60

13.11. Divulgación.............................................................................................................60

13.12. Capacitación...........................................................................................................60



Pági

na

6

Índice de TablasTabla 1. Matriz Dofa___________________________________________________________11Tabla 2. Formulación de estrategias FO, FA, DO Y DA para el ejercicio del control fiscal cundinamarqués con efectividad, generación de valor y sostenibilidad económica, social y ambiental.___________________________________________________________________11Tabla 3. Mapa de calor_________________________________________________________12Tabla 4. Compromisos de los Interesados__________________________________________15Tabla 5. Normatividad relacionada con sistemas y el PETI______________________________16Tabla 6. Hardware_____________________________________________________________18Tabla 7. Puesto de Trabajo______________________________________________________21Tabla 8. Computadores portátiles por marca________________________________________21Tabla 9. Computadores de escritorio de marca______________________________________22Tabla 10. Impresoras por marca__________________________________________________22Tabla 11. Obsolescencia de equipos de cómputo_____________________________________23Tabla 12. Software_____________________________________________________________23Tabla 13. Host________________________________________________________________26Tabla 14. Almacenamiento______________________________________________________26Tabla 15. Complemento a la Red de datos__________________________________________26Tabla 16. Wifi y Voz____________________________________________________________28Tabla 17. Red inalámbrica_______________________________________________________29Tabla 18. Complementos al puesto de trabajo_______________________________________29Tabla 19. Marco normativo, Plan de seguridad y privacidad de la Información_____________39Tabla 20. Cronograma, Plan de Seguridad y Privacidad de la Información_________________48Tabla 21. Presupuesto, Plan de seguridad y Privacidad de la Información_________________49Tabla 22. Matriz Dofa, para riesgos_______________________________________________52Tabla 23. Formato Contexto Estratégico, para el riesgo________________________________53Tabla 24. Factores externos_____________________________________________________54Tabla 21. Presupuesto, Plan de tratamientos de riesgos en seguridad y privacidad de la Información__________________________________________________________________54



Pági

na

7

Índice de Graficas Ilustración 1. Calificación Total___________________________________________________12Ilustración 2. Calificación por categorías___________________________________________13Ilustración 3. Calificación por componentes_________________________________________13Ilustración 4. Calificación por categorías___________________________________________13Ilustración 5. Categorías del componente 2, TIC para servicios__________________________14Ilustración 6. Categorías del componente 3. TIC para la gestión_________________________14Ilustración 7. Inventario de máquinas virtuales______________________________________24Ilustración 8.Virtual Tool________________________________________________________25Ilustración 9. Chasis.___________________________________________________________26Ilustración 10. Topología de Red__________________________________________________27Ilustración 11. Visión General para la Administración del riesgo_________________________51Ilustración 12.Identificación del Riesgo.____________________________________________52



Pági

na

8

Presentación En armonía con el Plan Estratégico de la Contraloría de Cundinamarca “Generando valor y sostenibilidad para Cundinamarca, 2020-2021”, el propósito de este documento es contar con el instrumento que oriente hacia una gestión eficiente, eficaz, de calidad, mitigue los riesgos informáticos, alinee los recursos para su aprovechamiento y sirva de base para emitir las políticas específicas en materia de tecnología e informática de la entidad.

La estructuración del PETI se enmarca en los siguientes escenarios: el diagnóstico, la formulación de la estrategia, la ejecución y el seguimiento. El primer escenario contiene el análisis de la situación actual, lo que permitirá identificar las brechas estratégicas en términos de infraestructura tecnológica, de procesos, políticas y cultura organizacional. En el segundo escenario, se formula y se diseña la estrategia para minimizar las brechas identificadas. En el escenario de la ejecución se materializa la estrategia en una mixtura de procesos, utilización de recursos y verificación de los resultados y el último escenario, abarca toda la fase de control y seguimiento para garantizar que los resultados se logren conforme al alcance, tiempo, costo, calidad, mitigación de riesgos y en general, satisfacción de los interesados.

El proceso de transformación digital impulsada por el gobierno nacional solo es posible si la tecnología se armoniza con los propósitos y fines de la entidad. En tal sentido cobra vida el Plan Estratégico de las tecnologías de la Información y Comunicaciones (PETI), como la herramienta que contribuye a que dicho propósito se cumpla.

Así, este documento PETI para la Contraloría de Cundinamarca (CDC), tiene vigencia para el periodo 2020 y el 2021, el cual podrá ser objeto de revisiones, actualizaciones y/o mejoras, producto de ajustar sus metas, su adecuación al presupuesto y a la redefinición frente a nuevos lineamientos del comité directivo y la administración en general.

En este orden de ideas, el PETI, como instrumento de planeación, nos permite conocer y apoyar los elementos de la gestión de los sistemas de información que soportan el cumplimiento de las funciones del Control Fiscal de la Contraloría de Cundinamarca. En términos de la aplicación de metodologías estructuradas, procedimientos eficientes, estrategias ordenadas, al igual que del conocimientos de los sistemas de información y sus integraciones con los que cuenta la entidad.

Finalmente, se resalta que el PETI 2020-2021, está contextualizado dentro del Plan Estratégico de la Contraloría de Cundinamarca “Generando valor y sostenibilidad para Cundinamarca”:

Misión:

“La Contraloría de Cundinamarca realiza la vigilancia y el control fiscal de la administración y de los particulares o entidades que manejen fondos o bienes públicos del departamento y municipios de Cundinamarca, en los órdenes central y descentralizado conforme a lo establecido en la Constitución Política de Colombia y su reglamentación legal.”

En este sentido, el PETI tiene como uno de los principales objetivos disponer de los servicios tecnológicos e informáticos para apoyar la ejecución del control fiscal y el área administrativa de la entidad.



Pági

na

9

Visión:

Al 2021 la Contraloría de Cundinamarca habrá realizado la vigilancia y el control fiscal en el marco jurídico, con criterio eminentemente técnico y un talento humano empoderado, destacados a nivel nacional por el cumplimiento de los principios constitucionales y legales, la integración de la ciudadanía, la red del sistema de control interno y el trabajo interinstitucional, los cuales previenen el daño patrimonial, el logro de su resarcimiento y formaron una cultura del respeto por lo público, el liderazgo con el ejemplo de buenas prácticas administrativas y la contribución a la generación de valor y sostenibilidad económica, social y ambiental en el Departamento.

En este sueño institucional, la disposición de la tecnología y el manejo eficiente y técnico de la información representa un aspecto fundamental, toda vez que implica garantizar mejores niveles de precisión, rapidez y oportunidad en el quehacer misional y administrativo de la entidad.

Principios y valores

La Contraloría de Cundinamarca cumple los principios constitucionales contemplados en los artículos 209 y 267 de la Constitución Política de Colombia como son los de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, así mismo otros adicionales contemplados en el 267 superior como la eficiencia, la equidad, el desarrollo sostenible y el cumplimiento del principio de valoración de costos ambientales.

Precisamente a través de la capacitación, las conferencias y conversatorios se apoya la apropiación de estos principios y valores constitucionales, pero también los relativos al Código de Ética tales como la Honestidad, Respeto, Compromiso, Justicia y Diligencia. Se trata entonces de apoyar con la tecnología y el manejo adecuado de la información el fortalecimiento del ser contemplados en los programas de gestión del talento humano y la construcción de una cultura organizacional, caracterizada por el enriquecimiento de las competencias del ser, asociadas a la capacidad del trabajo en equipo, el aprendizaje organizacional permanente, el enfoque sistémico, la comunicación asertiva, la coherencia y la congruencia entre el pensamiento, el discurso y las acciones y el liderazgo de todos el equipo directivo y asesores con el buen ejemplo.



Pági

na

10

Control de Versiones

Versión Fecha Cambios Introducidos Responsable

1.0 25/01/2019 Versión inicial Jairo Javier Yepes Escobar

2.0 23/09/2020 Actualización Héctor Hernando Villamil BolívarJairo Javier Yepes Escobar

3.0 20/01/2021 Actualización Héctor Hernando Villamil BolívarJairo Javier Yepes Escobar



Pági

na

11

1.Diagnostico

El diagnóstico de las tecnologías de la información en la Contraloría de Cundinamarca se realiza con base en el diagnóstico adelantado con ocasión de la elaboración del Plan Estratégico 2020 – 2021, el autodiagnóstico de sistemas MIPG, la normatividad relacionada, los eventos ocurridos en el transcurso de 2020 y las visitas de expertos recientemente. En este orden se presentarán para luego concretar algunos elementos estratégicos sobre los cuales se recomienda priorizar la atención.

1.1. Armonización con el Plan Estratégico

Diagnóstico de los sistemas e informática realizado en el Plan Estratégico 2020-2021, Generando Valor y Sostenibilidad para Cundinamarca.

La Tabla 1 consolida el diagnóstico sistemas e informática de la Contraloría Departamental en los actuales momentos, éste se logró del informe de la Auditoría General de la República - AGR, vigencia 2018, el informe de gestión de la Contraloría de Cundinamarca 2019 y con ocasión de la elaboración del plan estratégico 2020-2021, la participación de los servidores de la entidad y de la ciudadanía en general, representada principalmente por los personeros municipales, los sujetos de control fiscal, los diputados de la Asamblea de Cundinamarca, los concejales municipales y rectores de colegios.

Tabla 1. Matriz DofaFortalezas Debilidades

Dia

gnos

tico

Inte

rno

La gestión contractual permitió la adquisición de bienes y servicios para el adecuado desarrollo de las actividades propuestas.

La revisión de la cuenta vigencia 2018, por parte de la AGR se feneció, con una calificación de 85,93.

La percepción de los funcionarios de la contraloría sobre la disponibilidad de herramientas tecnológicas (uso y efectividad) es mala (2,5/5,0).

Dia

gnos

tico

Ext

erno

El ejercicio del control fiscal con respecto al desarrollo de sus funciones y el impacto en el desarrollo territorial es percibido en una categoría media alta (3,8/5,0) en promedio por la ciudadanía.

La ciudadanía califica como bueno el proceso de comunicación e interacción con la Contraloría (4,2/5,0).

Existencia de normatividad, programas, sistemas, planes, estrategias y modelos que le permiten a la entidad su pleno ejercicio funcional.

Existencia de ambiente interinstitucional para trabajar articuladamente con otros organismos de control, con las universidades y con la red de sistemas de control interno de los sujetos de control.

La percepción de la ciudadanía sobre la disponibilidad de herramientas tecnológicas (uso y efectividad) es regular medio (3,5/5,0).

Fuente: Contraloría de Cundinamarca



Pági

na

12

La Tabla 2 enfrenta los elementos identificados en el diagnóstico y los aprovecha para sentar las bases de los lineamientos estratégicos de la presente administración.

Tabla 2. Formulación de estrategias FO, FA, DO Y DA para el ejercicio del control fiscal cundinamarqués con efectividad, generación de valor y sostenibilidad económica, social y ambiental.

Oportunidades Amenazas

Fortalezas

Maxi-Maxi

Generar un modelo de comunicación efectivo con la ciudadanía.

Maxi – Mini

Adelantar actividades de control fiscal en la sede (control de legalidad, financiero, circularizaciones, virtualidad, uso de tecnología, informes de otros organismos públicos).

Debilidades

Mini-Max

Vincular al Gobierno Departamental y Municipal en el sostenimiento de actividades de control fiscal (Pruebas técnicas, sistemas, etc.).

Actualizar el PETI tendiente a aprovechar los recursos existentes, vincular mejoras y usos interno y externos.

Mini –Mini

Aprovechar la infraestructura tecnológica de las entidades sujetas de control, de las entidades que como la Contraloría General de la República, Auditoría General de la República, Ministerio de las Tecnologías de la Información y Comunicaciones, etc., las cuales pueden facilitar recursos informáticos, capacitación y estudios fiscales y socioeconómicos sin costo.


1.2. Autodiagnóstico de sistemas MIPG

Los componentes evaluados durante 2018 fueron TIC para gobierno abierto, TIC para servicios, TIC para la gestión y Seguridad y Privacidad de la Información. Las calificaciones se complementan con una escala de colores, así:

Tabla 3. Mapa de calorPuntaje Nivel Color0 - 20 121 - 40 241 - 60 361- 80 481- 100 5

A continuación las gráficas No.1 a 6, tomadas del autodiagnóstico al sistema MIPG, reflejan los resultados de la evaluación de los sistemas y las tecnologías en la Contraloría de Cundinamarca, al tiempo que facilitan su comprensión tanto a nivel de calificación total como por componentes y categorías por componentes.

Calificación total

Ilustración 1. Calificación Total



Pági

na

13

Ilustración 2. Calificación por categorías

Categorías del Componente 1

Ilustración 3. Calificación por componentes

Ilustración 4. Calificación por categorías

0

20

40

60

80

100

1.0

67.0

0.5

40.5



Pági

na

14

Ilustración 5. Categorías del componente 2, TIC para servicios

Ilustración 6. Categorías del componente 3. TIC para la gestión

1.3. Eventos recientes y diagnósticos por visita de expertos

Durante 2020 se tuvo oportunidad de conocer detalles del sistema de información de la Contraloría de Cundinamarca, de este amerita mención informar sobre algunas falencias de interés:

Caídas que viene reportando la página web al parecer por falta de capacidad de memoria

Deficiencia en la capacidad de memoria.

Solicitudes de algunos servidores públicos de la entidad referente al mantenimiento de equipos portátiles

Deficiencia en el número de licencias antivirus para cubrir la totalidad de los equipos activos

Revisión del acceso al aplicativo Datadoc para registro de correspondencia,



Pági

na

15

Falta de digitalización total de los documentos y del registro del flujo de la correspondencia en el aplicativo,

Solicitud de entrega de una nueva contraseña del correo,

Cambio de posición de link en la página web (17 junio de 2020),

Suplantación de cuentas de correos institucionales por parte de extraños, tal como sucedió con las cuentas de Francis Poblador (26 mayo de 2020) y M Sánchez (11 junio 2020,

Intranet que responda a una organización estructurada,

Formalización y divulgación de políticas de seguridad informática,

Migración de IPv4 a IPv6, adquisición direccionamiento IPv6 el cual resuelve el problema que plantea el agotamiento de casi 4300 millones de direcciones IPv4 de 32 bits al ofrecer una cantidad infinita, en teoría, de direcciones únicas de 128 bits, igualmente generando mayor rendimiento, mayor velocidad en transacciones por redes VPN, mayor seguridad gracias al uso de IP Security (IPsec), mejor compatibilidad con dispositivos móviles y calidad del servicio.

El 27 de mayo de 2020 se tuvo la oportunidad de recibir una visita en la Contraloría de Cundinamarca de un experto en seguridad informática, el Ing. Wilmar Díaz, representante legal de la firma Giga Source Technology de Colombia, quien recomendó:

La oportunidad de un aprovechamiento total de la infraestructura con la cual cuenta la Contraloría de Cundinamarca

Mejorar sus sistemas de seguridad

Ampliar la capacidad de almacenamiento la cual está llegando a su tope y genera como consecuencia las continuas caídas de la página web

Necesidad de implementación de un moderno sistema de gestión documental articulado y en interoperabilidad con el SIA ATC que implementará la Auditoría General de la República

Vincular actividades de asesoría, administración y monitoreo del Data Center de Entidad, correspondiente a procesos de soporte, mantenimiento y actualizaciones de software asociados a servidores, dispositivos y/o redes de almacenamiento (SAN y NAS), equipos de directorio activo, de seguridad perimetral (Firewall), CCTV (Circuito Cerrado de Televisión), de conectividad (Switch´s) y de red de voz y datos

Centralización de gestión de usuarios y permisos en la entidad (implementación active directory) mejorando en que se pueda administrar todos los equipos de la entidad de forma personalizada y entregando usuarios estándar a los usuarios finales y no usuarios administradores

Activación de HA en sistema de seguridad Perimetral Sonic Wall configuración y afinamiento de políticas. Actualmente la entidad cuenta con un sistema de seguridad perimetral que tiene equipos para estar en alta disponibilidad (HA) pero que no se ha implementado. De igual manera, se quiere implementar la característica de VPN para poder brindar a los usuarios de la entidad la opción de conexión remota de forma segura desde sus casas a los computadores de la entidad

Fortalecer la administración e implementación de Máquinas virtuales proveyendo nuevas funcionalidades a la entidad tales como una mesa de ayuda o un sistema de capacitación

Administración de Redes de Computo, generación y segmentación de redes para mejorar el rendimiento de esta.



Pági

na

16

2.Compromisos de los interesados

Tabla 4. Compromisos de los InteresadosCompromisos de los interesados con el PETI

Área Cargo Función

Despacho del Contralor

Contralor de CundinamarcaRepresentantes legal y responsable Institucional de la Política de Gobierno Digital

Orientar, instruir, aprobar y verificar el cumplimiento de la política de gobierno digital

Secretaría General

Secretaria General

Apoyar la articulación de las áreas en el cumplimiento de la política de gobierno digital, la disposición de los recursos y su aplicación efectiva.

Planeación Jefe Oficina Asesora de Planeación, Sistemas e Informática

Garantizar que las acciones y mejoras tecnológicas propuestas estén alineadas con el Plan estratégico Institucional

Tecnologías de la Información

Profesional II, Oficina Asesora de Planeación, Sistemas e Informática

Implementar las políticas de gobierno digital, seguridad y privacidad de la información que corresponda desde la Oficina Asesora de Planeación, Sistemas e Informática y apoyar a las demás áreas en la implementación y acciones de mejora.

Áreas Misionales

Líderes de las áreas que conforman la estructura de la Contraloría de Cundinamarca

Implementar en cada una de sus áreas las políticas, así como definir las oportunidades de mejora y posibles soluciones de estas.

Atención al Ciudadano

Subdirector(a) de Participación Ciudadana.

Definir las necesidades de los usuarios de la entidad y posibles soluciones a cada una

Dirección Administrativas de Gestión Humana y Carrera Administrativa y Dirección Administrativa y Financiera

Directora(e)s

Líder del proceso de gestión financiera.Líder de la gestión de cambio de cultura organizacional.

Oficina de control interno

Jefe Oficina de Control Interno

Controlar y hacer seguimiento al cumplimiento de la política de gobierno digital, gestionar y hacer seguimiento a los planes de mejora.

Áreas de apoyoSubdirectora de Planeación, Sistemas e Información

Velar por la adopción del modelo de Seguridad y Privacidad de la Información.



Pági

na

17

3. Fuente: Contraloría de Cundinamarca

4.NormatividadLa Tabla No.3 contiene el marco legal para el apoyo y la gestión tecnológica, al mismo tiempo sustenta la estructuración del PETI en la Contraloría de Cundinamarca.

Tabla 5. Normatividad relacionada con sistemas y el PETIReglamentación Descripción

Ley 1437 de 2011 Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo

Ley 527 de 1999Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación

Ley 1450 de 2011 Artículo 227 Bases de datos y seguridad de la Información en PND

Ley 1341 de 2009 Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC

Ley 57 de 1985 Por la cual se ordena la publicidad de los actos y documentos oficialesLey Estatutaria 156 Ley de transparencia y del derecho de acceso a la información pública Nacional.Ley anti trámites (Decreto-ley 19 de 2012),

Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional

Ley 1581 de 2012 Por la cual se dictan disposiciones generales para la protección de datos personales

Ley 527 de 1999Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones

Ley 1341 de 2009 Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC

Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales

Decreto 235 de 2010 Por el cual se regula el intercambio de información entre entidades para el cumplimiento de funciones públicas

Decreto 2693 de 2012Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y se dictan otras disposiciones

Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones

Decreto 103 de 2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones

Decreto 1078 de 2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones

Ley 962 de 2005Racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos

Decreto 1083 de 2015 Definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones

Decreto 2573 DE 2014

Decreto mediante el cual se dan los tiempos de implementación de la Estrategia de Gobierno en Línea y donde se establece que el modelo de seguridad y privacidad de la información pertenece al componente de Elementos Transversales

Ley 1273 de 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la



Pági

na

18

Reglamentación Descripcióninformación y las comunicaciones, entre otras disposiciones

Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones

Conpes 3854 Lineamientos de política para ciberseguridad y Ciberdefensa

Decreto 1008/2018

Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones

Decreto 1413 de 2017

Por el cual se adiciona el título 17 a la parte 2 del libro 2 del Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015, para reglamentarse parcialmente el capítulo IV del título 111 de la Ley 1437 de 2011 y el artículo 45 de la Ley 1753 de 2015, estableciendo lineamientos generales en el uso y operación de los servicios ciudadanos digitales"

Directiva 022/2011Estandarización de la información de identificación, caracterización, ubicación y contacto de los ciudadanos y ciudadanas que capturan las entidades del Departamento

Directiva Presidencial 02 de 2002

Respeto al derecho de autor y los derechos conexos, en lo referente a utilización de programas de ordenador (software)

Decreto Nacional 1151 de 2008

Manual para la implementación de la estrategia de gobierno en línea, se reglamenta parcialmente la Ley 962 de 2005

Decreto 019 de 2012 Supresión de trámites

Decreto 2609 de 2012 Decreto con el cual se suministran las directrices para los sistemas de gestión documental en las instituciones nacionales

Decreto 1377 de 2013 Protección de datos

Decreto 103 de 2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones

Decreto 235 de 2010 Por el cual se regula el intercambio de información entre entidades para el cumplimiento de funciones públicas

Decreto 2693 de 2012Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y se dictan otras disposiciones

Resolución 0212 del 2020

Por la cual se adopta el Plan Estratégico Institucional - PEI - 2020-2021 "Generando valor y sostenibilidad para Cundinamarca", los principios, valores, misión y visión de la entidad


5. Infraestructura tecnológica

5.1. HardwareA continuación se presenta el inventario relacionado con infraestructura tecnológica de la Contraloría de Cundinamarca, resaltando que no solo se incluye equipos de cómputo como tal, sino que contiene en términos generales todo lo relacionado con tecnología. Adicionalmente de la descripción del bien y para una mejor comprensión, se indica el estado del mismo (Bueno, regular, malo). La información corresponde a datos de inicio del 2020, respectivamente.

Tabla 6. Hardware

ElementoEstado

TotalBueno Malo

Regular

Acrobat plataforma Windows 1 1Altavoz de pared 1 1Amplificador 1 1



Pági

na

19

Elemento Estado TotalAmplificador de sonido 8 8Aspiradora 2 2Brújula brunton 1 1Caja de Fireworks mx español Win comme (licencia) 1 1Caja para parlantes instalados cielo raso 1 1Cajas profesionales 4 4Cámara de circuito cerrado con tv 10 10Cámara de video 2 2Cámara digital 13 1 14Cámara mini domo a color 1 1Cámara web captura foto visitante 1 1Cargador 3 2 5Casetera profesional 1 1Cinta 2 2Compact disc de 5 discos 1 1

Computador de mesa 69 6 75

Computador de mesa recibido en comodato 2 2Computador portátil 89 10 99Computador portátil recibido en comodato 59 4 2 65Consola para 6 canales 1 1Consola telefónica 1 1Diademas telefónicas 1 1Disco duro 2 2Dreamweaver mx en español 1 1Drome plegable mavic pro con accesorios DJI 1 1DVD 2 2Equipo aire acondicionado 1 1Equipo de seguridad perimetral 1 1Equipo de sonido 1 1Esclerómetro con carcaza de aluminio. 1 1Estación de trabajo 1 1Fax 2 2Firewall 2 2Flash 1 1Flash mx Macromedia 1 1Flat panel monitor 1 1Fotocopiadora 1 1Fotocopiadora impresora multifuncional 3 1 4Gabinete rack 1 1Gabinete rc 64/17 contiene banco de baterías ups 1 1Generador de efectos sonoros 1 1GPS -posicionamiento geográfico 1 1Grabadora 6 6Impresora 31 6 1 38Impresora recibida en comodato 1 1Kit herramientas para computador 1 1Lector biométrico y de proximidad 5 1 2 8Lector código de barras 4 1 5Lector de proximidad comunicación IP 6 1 7Lic. kit software módulo autoliquidación integrada 1 1Licencia 9 9Licencia software adobe acrobat 1 1



Pági

na

20

Elemento Estado TotalLicencia advanced 1 1Licencia antivirus 1 1Licencia de uso de correo electrónico g suite Basic 2 1 3Licencia kaspersky endpoint security 2 2Licencia office 4 4Licencia VMWare 1 1 2Licencia web ex 1 1Licencia Windows 1 1Manos libres 1 1Maquina destructora de papel 1 1Medidor de distancia 1 1Memoria 12 3 15Mezclador de sonido 2 2Micrófono 12 1 13Minicomponente 1 1Modulo para enrolamiento de huella 1 1Monitor 5 1 2 8Mouse 10 2 12Odómetro 2 2Pantalla de proyección de 3 metros 1 1Parlante 6 6Parlantes instalados cielo raso 1 1Pistola sopladora 1 1Ponchadora 1 1Pulidora 1 1Rack cerrado de media altura 4 4Radio teléfono 3 3Red cableado accesorios, estructurado 1 1Rediseño y actualización página web contraloría 1 1Servidor 8 8Sintonizador am-FM ken Wood 1 1Sistema de almacenamiento 2 2Sistema de audio 1 1Sistema de control de acceso 1 1Sistema inalámbrico 2 2Scanner 16 16Software 3 1 4Sopladora aspiradora 1 1Súper betamax 1 1Superficie auxiliar de 1.30 1 1Switch’s 3 3Tabla digitalizadora 2 2Tablero electrónico 1 1Taladro eléctrico 1 1Tape DAT 1 1Tarjeta electrónica 2 2Teclado 4 1 1 6Teclado numérico 2 2 4Teléfono 19 19Teléfono 2 2Teléfono celular 7 7Televisor 5 5



Pági

na

21

Elemento Estado TotalUps electrom 36 kva. Power ware 1 1Vhs 1 1Video grabadora 1 1Video proyector 4 1 5Cantidad total de elementos 514 71 11 596Fuente: Contraloría de Cundinamarca

Con base en los elementos que hacen parte de la estructura de apoyo para un puesto de trabajo en la Entidad, a continuación se muestra la tecnología que lo conforma.

5.1.1. Puesto de Trabajo

El siguiente listado contiene el inventario de equipos de cómputo disponibles y que conforman los puestos de trabajo de los funcionarios de la Entidad.

Tabla 7. Puesto de TrabajoElemento Bueno Malo Regular Cantidad

Computador de mesa 69 6 75Computador de mesa recibido en comodato 2 2Computador portátil 89 10 99Computador portátil recibido en comodato 59 4 2 65DVD 2 2Monitor 5 1 2 8Total 226 21 4 251Fuente: Contraloría de Cundinamarca

La tabla anterior muestra que en la Contraloría de Cundinamarca, predomina el uso de computadores portátiles, sobre las demás soluciones de cómputo. También se puede resaltar que en el inventario se tienen en dos modalidades, equipos propios y equipos cedidos por la Gobernación de Cundinamarca en calidad de comodato.

5.1.2. Computadores portátiles por marca.

La siguiente tabla contiene la relación de equipos de cómputo con características de portátil, discriminado por marca.

Tabla 8. Computadores portátiles por marcaMarca de los Computadores Portátiles CantidadCompaq 610 1HP 16Lenovo 101Lenovo E430 13Lenovo E431 8Lenovo ThinkPad 2Lenovo V310 8Pcsmart 1Total 150


Es visible la preferencia en la Entidad por la marca Lenovo, mezclada muy tenuemente con equipos de la marca Hewlett-Packard, Compaq y un Smart, respectivamente.



Pági

na

22

5.1.3.Computadores de Escritorio por marcaTabla 9. Computadores de escritorio de marca

Marca de los Computadores de Escritorio TotalHp 1Lenovo 46Lenovo All One 33Next 3Sin identificación 5Compaq 3Total 91


La marca preferida en computadores de escritorio en la Contraloría de Cundinamarca al igual que en portátiles es la marca Lenovo.

Como conclusión de los dos ítems previos, es la clara preferencia por el uso de computadores portátiles, ligada a la marca Lenovo. El uso de equipos portátiles frente a equipos de cómputo tipo escritorio (150 portátiles por 91 de escritorio), puede responder al hecho que la franja misional, requiere de dichos elementos para la ejecución de sus tareas de control fiscal en los municipios y sujetos de control en general.

5.1.4. Impresoras por marca

A continuación se muestra el listado de elementos de tecnología por marca que apoya la impresión de informes y demás documentos que hacen parte del ejercicio del control fiscal.

Tabla 10. Impresoras por marcaMarca de la impresora Total

Canon 2Epson 3HP 10Lexmar 7Otra 2Samsung 1Zebra 14Total 39


La tabla anterior muestra que la impresora Zebra predomina sobre las demás marcas, obedeciendo que es la maquina usada para la impresión de los sticker propios de la correspondencia que genera la Entidad. Luego de la marca Zebra, tenemos máquinas de la marca HP y lexmar, respectivamente. Tal como se hizo precisión en un apartado previo, resaltamos particularmente que la maquina lexmar es una herramienta multifunción (Impresora, Scanner, fotocopiadora).

5.1.5. Vida de los equipos de cómputoLa siguiente tabla muestra el nivel de obsolescencia o vida útil que presenta o que han ofrecido las maquinas o equipos de cómputo de la Entidad.

La información está organizada por fecha de adquisición, tipo de maquina al igual que la cantidad de ellos.

Tabla 11. Obsolescencia de equipos de cómputo



Pági

na

23

Adquisición

Elemento Cant. Años

20/12/2007 Computador portátil 13 12,04

24/12/2008 Computador de mesa 4 11,02

30/12/2009 Computador portátil 3 10,01

30/12/2010 Computador portátil 1 9,0121/12/2012 Computador de mesa 10 7,0321/12/2012 Computador portátil 2 7,0327/03/2013 Computador portátil 4 6,77

1/04/2013 Computador portátil 1 6,7517/07/2014 Computador de mesa 1 5,4630/12/2014 Computador portátil 2 5,0127/01/2014 Computador portátil 60 5,9323/11/2015 Computador de mesa 9 4,1130/12/2016 Computador de mesa 4 3,0030/12/2016 Computador portátil 19 3,0030/10/2017 Computador de mesa 1 2,1711/12/2017 Computador portátil 2 2,0522/12/2017 Computador de mesa 1 2,0227/12/2017 Computador de mesa 4 2,0130/05/2018 Computador de mesa recibido en comodato 20 1,5930/05/2018 Computador portátil recibido en comodato 76 1,5927/06/2018 Computador portátil recibido en comodato 1 1,5113/03/2019 Computador portátil recibido en comodato 1 0,8010/06/2019 Computador portátil 1 0,5620/06/2019 Computador portátil recibido en comodato 1 0,53

La tabla anterior muestra que 133 máquinas superan una vida de tres años de uso, 60 equipos los 5 años e incluso vemos que 13 de ellas tienen más de 12 años, colocando a la Entidad en un escenario de obsolescencia crítico, por lo que se recomendaría dar inicio a un proyecto de reposición de la infraestructura tecnológica.

5.2. Software

La siguiente relación contiene el software con que cuenta la contraloría de Cundinamarca.

Tabla 12. SoftwareElemento

Acrobat plataforma WindowsDreamweaver mx en españolFlashFlash mx MacromediaLicencia kit software módulo autoliquidación integradaLicencia SysmanLicencia software adobe acrobatLicencia advancedLicencia antivirusLicencia de uso de correo electrónico g suite basicLicencia kaspersky endpoint securityLicencia office



Pági

na

24

Licencia VMWareLicencia web exLicencias WindowsModulo para enrolamiento de huella digital


Se resalta que la tabla anterior, no tiene relacionado el software gratuito que algunas máquinas tienen instalado, como por ejemplo:

Software de compresión de archivos,Software de conversión de formato,Software de limpiado de registro de la máquina.

5.3. Centro de cómputo

Este apartado contiene la descripción de la plataforma de red que actualmente cuenta la Contraloría Departamental de Cundinamarca; Contiene en temimos generales la funcionalidad de sus máquinas virtuales hospedadas en el centro de cómputo.

Cabe resaltar, que todas las plataformas tecnológicas y de ambiente productivo, requieren de un mantenimiento preventivo para la continuidad del normal funcionamiento y optimización de los recursos.

El propósito de contar con un centro de datos actualizado es el de brindar una mayor calidad en los servicios que se ofrece a los usuarios de la Entidad, el área técnica se ha esforzado en buscar soluciones y servicios de TI que le permitan lograr lo anterior.

La siguiente imagen muestra el inventario de máquinas virtuales alojadas en el centro de cómputo. La imagen muestra el estado de las maquinas en el sentido si están o no encendidas.

Ilustración 7. Inventario de máquinas virtuales




Pági

na

25

Se evidencia en la imagen previa, la información detallada de cada una de las máquinas virtuales tanto en producción como fuera de este, al igual se muestra las características y performance de los servidores físicos (Host), respectivamente.

La siguiente tabla muestra el estado de las máquinas virtuales.

Ilustración 8.Virtual Tool


Maquinas. No tienen instalado las herramientas de vmware.Maquinas. Herramientas instaladas no activadas, (las dos máquinas vCenter old ya fueron eliminadas permanentemente).Maquinas. Se encuentran correctamente.Maquinas. Requieren la actualización de las herramientas.

5.3.1. Host

La siguiente tabla contiene la discriminación de los host con que cuenta la entidad en su centro de cómputo.

Tabla 13. Host

Host Ip de accesoicloud01.contraloriadecundinamarca.com

192.168.169.140icloud02.contraloriadecundinamarca.com

192.168.169.141vcenter.contraloriadecundinamarca. com 192.168.169.145vcenter appliance 192.168.169.145


5.3.2. Almacenamiento

La imagen siguiente, muestra la infraestructura actual en producción, se observa el sistema de almacenamiento libre (parte superior) que se puede ampliar de manera progresiva para solucionar espacio requerido.

Ilustración 9. Chasis.



Pági

na

26

Ahora bien, frente a la información atinente al estado del storage de las diferentes máquinas que se tienen en el centro de cómputo, tenemos:

Tabla 14. Almacenamiento


5.3.3. Complemento

La red de datos de la Contraloría de Cundinamarca, cuenta con los siguientes elementos, los cuales brinda conectividad y servicios a los usuarios de la Entidad.

Tabla 15. Complemento a la Red de datosElemento Bueno Malo

Equipo aire acondicionado 1Equipo de seguridad perimetral 1Firewall 1Gabinete rack 1Gabinete RC 64/17 contiene banco de baterías ups 1Licencia Advanced 1Licencia de uso de correo electrónico g suite Basic 1Licencia kaspersky Endpoint Security 2Licencia office 1Licencia VMWare 1Licencia Webex 1Licencia Windows 1Monitor 1Rack cerrado de media altura 4Red cableado accesorios, estructurado 1Página web contraloría 1Servidor 8Switch’s 5Teclado 1Ups Electrom 36 kva. Power Ware 1Fuente: Contraloría de Cundinamarca

5.4. Red5.4.1. Topología de RedLa contraloría de Cundinamarca, cuenta con la siguiente topología de red que brinda conectividad a toda la organización con servicios tanto de internet, impresión y aplicaciones.



Pági

na

27

Ilustración 10. Topología de Red


5.4.2. Wifi y Voz

Frente a la conectividad inalámbrica, La Contraloría de Cundinamarca, cuenta con 5 VLAN, las cuales propagan la señal por todo el edificio, mientras la VLAN de voz que se encuentra también configurada. La VLAN cuenta cada una con una interfaz IP y se utiliza el servicio de DHCP donde se configuran los clientes de forma automática. El DHCP está alojado en la maquina con IP 192.168.168.42, respectivamente.

Tabla 16. Wifi y Voz


Se resalta el aislamiento entre las red LAN y la Wifi, lo anterior en un escenario de seguridad para la Entidad, la VLAN 60 está configurada para el tráfico de usuarios visitantes, en el mismo sentido de seguridad el servicio de DHCP lo realiza el Firewall SonicWall.



Pági

na

28

La red inalámbrica está compuesta por: Wireless Controller Hp MSM710 y 8 Access Point MSM430, respectivamente.

Tabla 17. Red inalámbrica


5.5. Complemento a la operación

A continuación se muestra aquellos elementos que complementan el puesto de trabajo y que de algún modo apoyan la ejecución de actividades de la Entidad.

Tabla 18. Complementos al puesto de trabajoElemento Bueno Mal

oRegular Cantidad

Disco duro 2 2Equipo de seguridad perimetral 1 1Firewall 2 2Fotocopiadora 1 1Fotocopiadora impresora multifuncional 3 1 4Gabinete rack 1 1Gabinete RC 64/17 contiene banco de baterías ups 1 1Impresora 31 6 1 38Impresora recibida en comodato 1 1Lector código de barras 4 1 5Manos libres 1 1Maquina destructora de papel 1 1Memoria 12 3 15Monitor 5 1 2 8Mouse 10 2 12Pantalla de proyección de 3 metros 1 1Parlante 6 6Parlantes instalados cielo raso 1 1Rack cerrado de media altura 4 4Red cableado accesorios, estructurado 1 1Página web contraloría 1 1Servidor 8 8Sistema de almacenamiento 2 2Sistema de control de acceso 1 1Sistema inalámbrico 2 2Scanner 16 16Switches 3 3



Pági

na

29

Elemento Bueno Malo

Regular Cantidad

Tabla digitalizadora 2 2Tablero electrónico 1 1Tape Dat 1 1Tarjeta electrónica 2 2Teclado 4 1 1 6Teclado numérico 2 2 4Teléfono 21 21Teléfono celular 7 7Ups Electróm 36 kva. Power ware 1 1Video grabadora 1 1Video proyector 4 1 5Total 164 22 4 190Fuente: Contraloría de Cundinamarca

La anterior tabla muestra la disponibilidad de elementos que complementan el puesto de trabajo. Resaltando la disponibilidad de impresoras con que cuenta la Entidad que asciende a 39 entre buenas regulares y defectuosas; Es bueno recalcar que algunas de ellas ofrecen la posibilidad tanto de escáner como de fotocopiadora comúnmente llamadas multifuncionales.

Se resalta que un puesto de trabajo demanda de otros servicios vinculados al ambiente laboral o del quehacer cotidiano del servidor público como tal, pero que, por organización y/o distribución del espacio, no se observa estrictamente en su lugar de trabajo. Se hace referencia a esas extensiones que se ubican estratégicamente para el uso general y no individual del funcionario. Tales elementos son:

Impresoras,Lectoras código de barras,Mouse inalámbricosMultipuertos USB, Escáneres,Etc.

6.Servicios TecnológicosLa gestión de los servicios tecnológicos que brinda La Contraloría de Cundinamarca a sus usuarios tanto internos como externos, se darán en un escenario centralizado desde la Oficina Asesora de Planeación Sistemas e Informática.

Se resalta en tal sentido que la responsabilidad de la Oficina Asesora de Planeación, Sistemas e Informática con relación a la los servicios tecnológicos de la Contraloría de Cundinamarca, corresponderán a la administración, almacenamiento, custodia, backup y puesta en marcha de los mismos, como también le corresponderá entre otras, liderar actividades de actualización de licencias y la sincronización entre los servicios etc.

En el marco de lo anterior se propone la siguiente estrategia para la prestación de los servicios tecnológicos en cuanto a la continua disponibilidad y operación lo que permitirá ofrecer un oportuno soporte a usuarios y una administración y mantenimiento eficiente.



Pági

na

30

6.1. Disponibilidad

Se iniciará con el supuesto, de identificar plenamente la necesidad del servicio por parte del usuario interno o externo de la Contraloría de Cundinamarca.

La Oficina Asesora de Planeación, sistemas e Informática analizará la necesidad y la confrontará tanto con la responsabilidad de ser atendida por la oficina, como con el portafolio de soluciones con que cuenta.

En ese sentido, sí es responsabilidad de la Oficina y se cuenta con la solución, se procederá a asignársele recursos en término de: Tiempo, recurso humano y el tecnológico, respectivamente. Sin embargo, en el escenario en que a pesar de ser responsabilidad de la Oficina de dar solución a la necesidad no se contara con la solución, se procederá a la elaboración de los respectivos estudios, en procura de solicitar presupuestal y contractualmente la posible solución.

Frente a la oferta de servicios tecnológicos como tal, es importante indicar que el portafolio de Servicio de internet, Impresión, Wifi, Telefonía, Red LAN, etc., se ofrecerá en términos generales 24X365, respectivamente. Sin importar que la jornada laboral sea de 8 horas diarias de lunes a viernes.

6.2. Operación

La operación de los servicios tecnológicos en la Entidad, se dará independientemente si sí se realiza con la fuerza interna de la Oficina Asesora de Planeación, Sistemas e Informática o mediante el apoyo de terceros (Contrato). Lo importante es que los responsables en la Oficina monitoreen el comportamiento del servicio tecnológico, intentando siempre mantenerlo disponible al 100%, para los usuarios, garantizando su capacidad y eficiencia en su prestación.

6.3. Soporte a usuarios

La Oficina Asesora de Planeación, Sistemas e Informática, propone como estrategia, ofrecer un portafolio de servicios, consumible a través de dos modalidades:

Por ofertaPor demanda

El portafolio ofertado (primer ítem), estará enmarcado en ofrecer servicios como lo son: internet, Wifi, impresión, telefonía, control de acceso, salas virtuales, etc. Dichos servicios estarán disponibles y accesibles para todos los usuarios, indistintamente del momento de su consumo. Mientras que el segundo ítem, estará dado para escenarios específicos o particulares, como por ejemplo: La creación de usuarios (correo electrónico, intranet, control de acceso, etc), reparación de equipos, tratamiento de información, etc.



Pági

na

31

Ahora bien, frente al mecanismo de comunicación entre el usuario y la Oficina Asesora de Planeación, Sistemas e Informática, se plantea como estrategia que las solicitudes lleguen a esta última a través de:

Vía correo electrónico,Vía telefónica, Mensajes de texto,WhatsApp,

6.4. Administración

La administración de los servicios tecnológicos de la Contraloría de Cundinamarca se realizará haciendo uso de los paneles de control de las aplicaciones a cargo. A través de estas se suministraran los roles y permisos para que los usuarios accedan.

Dentro de la administración a los servicios tecnológicos, le corresponderá a la Oficina de Planeación, Sistemas e Informática, monitorear el comportamiento el almacenamiento, memoria y demás elementos que dichos servicios puedan demandar.

6.5. Mantenimiento

Cabe resaltar que frente al mantenimiento de los servicios tecnológicos, iniciara a partir del análisis de necesidades que se realiza con ocasión de la elaboración del presupuesto de la vigencia siguiente, espacio donde se priorizada de acuerdo al impacto que causa. Lo anterior permite la elaboración del cronograma de atención y mantenimiento respectivo.

Dentro del mantenimiento a los servicios tecnológicos con que cuenta la Entidad, es bueno resaltar la aplicabilidad que se dan en la Contraloría de Cundinamarca como lo son:

1. Preventivo programado,2. Correctivo por las circunstancias e imprevistos.

6.6. Mejores Prácticas

Dentro de las mejores prácticas para la prestación de los servicios tecnológicos en la Entidad, se plantea lo siguiente:

1. Mejorar la documentación vinculada a los procesos de tecnología,2. Divulgar los servicios que se prestan.

6.7. Tercerización de los Servicios

Dado que la Entidad no cuenta con la infraestructura suficiente como tampoco la especialidad frente a algunos aspectos, Ésta realizará esfuerzo para contar con el profesionalismo de terceros para:

Mantenimiento a Ups´s, Mantenimiento a planta telefónica,Mantenimiento a impresoras,



Pági

na

32

Mantenimiento a aire acondicionado del centro de cómputo,Mantenimiento al Software de apoyo a la gestión corresponde Sysman.

6.8. Directrices

Tanto los servicios tecnológicos como la infraestructura tecnológica de la Contraloría de Cundinamarca son para manejo exclusivo de las actividades relacionadas inherentes a la Organización.Para la Contraloría de Cundinamarca, la información es un activo fundamental y su uso externo sólo será en el marco autorizado por la ley.En dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de sistemas operativos y software con licencia de uso a nombre de la Contraloría de Cundinamarca a través de la Oficina Asesora de Planeación, Sistemas e Informática.La oficina Asesora de Planeación, Sistemas e Informática, es la responsable de brindar asesoría y supervisión para la instalación de cualquier tipo de software que se utilice en Contraloría de Cundinamarca. Por lo que ningún funcionario está autorizado para hacerlo y será de su entera responsabilidad esta extralimitación.El servidor público de la Contraloría de Cundinamarca, que se ausente de su sitio de trabajo por más de una hora (Reuniones, horas de almuerzo, salida de la jornada laboral, etc.), debe apagar el equipo de cómputo. Esta directriz sólo tendrá excepciones validadas y autorizadas por la Oficina Asesora de Planeación, Sistemas e Informática en lo atinente a servidores, computadores que generen procesamiento en bases de datos y actualizaciones de aplicaciones en forma continua. Ningún funcionario de la Contraloría de Cundinamarca, podrá hacer uso de otro equipo de cómputo diferente al asignado (Equipos propios o personales), sin la previa autorización del jefe inmediato, previa comunicación a la Oficina Asesora de Planeación, Sistemas e Informática, para hacerlo. Tampoco podrá usar de equipos de compañeros de la Contraloría, sin previa autorización tanto del compañero de trabajo como del jefe inmediato.Se prohíbe el consumo de alimentos y bebidas cerca a los equipos de cómputo. Para la salida de los equipos que hacen parte del Inventario de la Entidad, se debe informar al personal de vigilancia con oficio o correo suscrito del jefe inmediato de quien saca el equipo y remitir copia a la Oficina Asesora de Planeación, Sistemas e Informática.La Oficina Asesora de Planeación, Sistemas e Informática, informará a la administración del edificio sobre qué equipo(s) queda(n) prendido(s). Lo anterior con el ánimo que no se produzca la suspensión del fluido eléctrico, por descenso del switch de energía, situación que generaría la posibilidad de causar daños en los datos.Las infraestructura tecnológica adicional, presente en cada área como Switch’s, impresoras, antenas repetidoras de wifi, etc. Son para uso exclusivo tanto para los funcionarios públicos de la Entidad, y que soportan como apoyo para el cumplimiento de las funciones asociadas al control fiscal por lo que se prohíbe el uso para actividades diferentes a los fines de la Organización.El acceso al centro de cómputo, está reservado a personal autorizado, por lo que se prohíbe el acceso a este sin el respectivo permiso.



Pági

na

33

Ningún funcionario de la Contraloría de Cundinamarca podrá descargar o instalar software de Internet (Juegos, aplicaciones de contabilidad, Financieras, simuladores, etc.), sin autorización del área técnica de Sistemas de la Entidad.

El uso del Internet es para acceder al correo electrónico y como medio de consultas específicas, relacionadas con las funciones del cargo e inherentes a la Organización.Las cuentas de correo electrónico y el contenido del mismo es responsabilidad del cuentahabiente. Se prohíbe el tráfico para información ajena a las funciones del cargo.Se recomienda informar a la Oficina Asesora de Planeación, Sistemas e Informática sobre la conveniencia de la apertura de mensajería de en correos electrónicos, cuyo remitente sea desconocido o asuntos que generen duda o sospecha.Está prohibido suministrar información institucional o diligenciar formularios electrónicos, sin que medie la respectiva indicación por parte de la Contraloría de la Cundinamarca.Es prohibido diligenciar formularios con carácter personal a través de portales electrónicos de la Entidad.Está prohibido usar los medios de almacenamiento de la entidad como Servidores, Discos duros, Usb´s, Cd´s, DVD´s, etc. para guardar imágenes, videos, archivos, música, etc. que no correspondan al normal ejercicio de la Organización.Ningún funcionario de la Contraloría de Cundinamarca, está autorizado a suspender, anular o desinstalar, los mecanismos dispuestos para la seguridad. Tales como: Antivirus, Cámaras de seguridad, Sistemas de control biométrico, etc.Ningún funcionario de la Contraloría de Cundinamarca, podrá representar a la entidad en asuntos de tecnología, sin la previa autorización por parte de la Oficina Asesora de Planeación, Sistemas e Informática.En el mantenimiento tanto preventivo como correctivo del Data Center se deberá contar con el diagnóstico y requerimiento previo de la Oficina Asesora de Planeación, Sistemas e Informática.Está prohibido adelantar intervenciones en el hardware o Software en los equipos electrónicos asignados para el ejercicio normal por parte de los responsables de su uso. En este sentido, los requerimientos tecnológicos serán canalizados a través de la Oficina Asesora de Planeación, Sistemas e Informática. Se prohíbe el uso de herramientas informáticas para desencriptar o hacer ingeniería inversa frente a la consecución de contraseñas o frente a la consecución de información reservada.Los servicios en nube asociados a las cuentas de la entidad serán con fines netamente institucionales. Los jefes de cada dependencia, propenderán por llevar un inventario de dicha información.El uso de la conexión wifi es una alternativa de conexión y su uso es con fines corporativos, por lo se prohíbe su explotación para asuntos personales.Dado que la tecnología debe ser amigable con el medio ambiente, se prohíbe el desecho de piezas de tecnología obsoleta a la caneca de basura, ejemplo: pilas de computador, pantallas de portátil, condensadores electrónicos, etc. Dichos elementos tienen un manejo institucional y dicha acción debe estar articulado con el comité de bajas de la Contraloría.



Pági

na

34

7.Proyectos

Proyecto Objetivo

Arquitectura de redModernizar la red de datos, telefónica y Eléctrica (Incluye, Compra de servidores, Switch’s y suministros para el fluido eléctrico y de telefonía.)

Directorio ActivoAdministrar de manera centralizada de usuarios, infraestructura tecnológica y servicios tecnológicos.

Storage para ServidoresAdquirir discos duros Dell 2.4TB (o de mayor capacidad) 10K RPM Cifrado Automático SAS 12Gbps 512e 2.5" De Conexión En Marcha.

Licenciamiento

Adquirir licencias para:Mensajería Electrónica-Correo Electrónico,Antivirus,AdobeVirtualización - MVWARE,Compresores,Conversor OCR,Licenciamiento en Windows Server

Infraestructura Tecnológica

Reponer equipos como lo es:Cómputo (Portátiles Mínimo 50)Cámaras de seguridad (20)Replicadores Wifi (12)20 Discos de 2 TB mecánicos20 Memorias para portátiles de 4 y/o 8 Gb.20 Mouse’s10 teclados2 VideoBeamSwich´s (4 de 48 puertos)Un Televisor 86”

Respaldo y restauración de Información

Implementar una solución Informática automática de backup de configuración, (Involucra Software y Hardware).

Software MisionalImplementar un software integrado para la planificación, ejecución y seguimiento del control fiscal.

Mantenimiento

Mantener el equipo de:Aire acondicionadoComputadores, escáneres, videobeam, televisores, cámaras, equipos de sonido, Ap´s, Etc.Impresoras/Fotocopiadora.UPSBiométrico

Página Web Institucional Modernizar el Portal Web de la Contraloría

CorrespondenciaFortalecer a través de un software para el manejo de la información física y digital vinculada a la Entidad.

Instrucción Académica

Formar académica a funcionarios de la Oficina Asesora de Planeación, Sistemas e Informática frente a:

Configuración de chasis Dell,Administración y configuración de SQL-Server,Manejo de Swich HP y SiscoAfinamiento de Fortinet,Adiestramiento en Joomla 3.9.XRedes y Telefonía,

Intranet Modernizar el Portal Corporativo digital

Control de AccesoFortalecer el sistema Biométrico para el control de acceso a las instalaciones de la Contraloría de Cundinamarca.



8.Cronograma 2020-2021

Actividades 2020 2021 2022Modernizar la red de datos, telefónica y Eléctrica (Incluye, Compra de servidores, Switch’s y suministros para el fluido eléctrico y de telefonía.)Administrar de manera centralizada de usuarios, infraestructura tecnológica y servicios tecnológicos.Adquirir discos duros Dell 2.4TB (o de mayor capacidad) 10K RPM Cifrado Automático SAS 12Gbps 512e 2.5" De Conexión En Marcha.Adquirir licencias para:

Mensajería Electrónica-Correo Electrónico,Antivirus,AdobeVirtualización - MVWARE,Compresores,Conversor OCR,Licenciamiento en Windows Server

Reponer equipos como lo es:Ccómputo (Portátiles Mínimo 50)Cámaras de seguridad (20)Replicadores Wifi (12)20 Discos de 2 TB mecánicos20 Memorias para portátiles de 4 y/o 8 Gb.20 Mouse’s10 teclados2 VideoBeamSwich´s (4 de 48 puertos)Un Televisor 86”

Implementar una ssolución Informática automática de backup de configuración, (Involucra Software y Hardware).Implementar un ssoftware integrado para la planificación, ejecución y seguimiento del control fiscal.Mantener el equipo de:

Aire acondicionadoComputadores, escáneres, videobeam, televisores, cámaras, equipos de sonido, Ap´s, Etc.Impresoras/Fotocopiadora.UPSBiométrico

Modernizar el Portal Web de la ContraloríaFortalecer a través de un ssoftware para el manejo de la información física y digital vinculada a la Entidad.Formar académica a funcionarios de la Oficina Asesora de Planeación, Sistemas e Informática frente a:

Configuración de chasis Dell,



Administración y configuración de SQL-Server,Manejo de Swich HP y SiscoAfinamiento de Fortinet,Adiestramiento en Joomla 3.9.XRedes y Telefonía,

Modernizar el Portal Corporativo digitalFortalecer el sistema Biométrico para el control de acceso a las instalaciones de la Contraloría de Cundinamarca.



PLAN DE ACCION PETI 2021

Actividades Meta y Producto Indicadores Responsable Fecha Inicial – Fecha Final Recursos

Actualización, aprobación y divulgacióndel PETI

Actualizar e implementar el PETI 2021 Un PETI actualizado

Jefe y Profesional IIOficina Asesora dePlaneación, Sistemas e Informática

01/01/2021-31/12/2021 Recursos tecnológicos y recursos humanos

Capacitación en seguridad y privacidad de la Información

Dos jornadas de capacitación enseguridad informática

Jornadas realizadas / jornadasprogramadas



Verificación de elementos físicos deseguridad asociada a los equipos,gestionar la adquisición de licencias ysoftware que protejan la información enla Entidad

Solicitud de adquisicón, trámite eimplementación de licencias antivirus ysonic wall.

Licencias implementadas / Licenciasprogramadas



Copia de información vinculada a correoselectrónicos

Verificar semestralmente que estánquedando copias de los correoselectrónicos con el proveedor

Verificaciones ejecutadas /Verificaciones programadas



Configuración del servidor de correo parahabilitar las políticas de uso decontraseñas

Configuración del servidorUna configuración ejecutada /Configuración programadas



Elevar los casos de infracción a laseguridad o privacidad a segundo nivel

Una revisión trimestral para verificarcasos de infracción.

Revisiones ejecutadas / Revisionesprogramadas



Mantenimiento preventivo 10 jornadas de apoyo al mantenimientopreventivo de equipos

Mantenimientos preventivosejecutados / Mantenimientoprogramados



Asignación a cada funcionario de unusuario y una contraseña para el uso delcorreo e intranet

Renovación de 210 licencias de correoLicencias implementadas / Licenciasprogramadas



Informe de pérdidas y/o dañosreportados por funcionarios

Un informe semestralInformes ejecutados / Informesprogramados



Apoyo y soporte al cumplimiento de lasfunciones del Control Fiscal.

Atención de aproximadamente 100requerimientos tecnológicos de controlfiscal conforme a los recursosdisponible

Atención requerimientos/Requerimientos solicitados



Gestion de infraestructura y serviciostecnológicos que soportan los sistemas yservicios de informática para garantizareficiencia, precisión y seguridad de lainformación en la Contraloría deCundinamarca.

Gestión de aproximadamente 176requerimientos de acuerdo con losrecursos tecnológicos disponibles

Atención requerimientos/Requerimientos solicitados



Gestión con valores enfocada aresultados y sostenibilidad.

Hacer gestión en un 100% con principiosy valores que conlleven a resultados ysostenibilidad.

No. Servicios que adviertenprincipios yvalores/Requerimientos solicitados



Proyección tecnológica de la Institución,la gestión de cambio y la informaciónrequerida para las adquisiciones de losrecursos tecnológicos y la asignaciónpresupuestal.

Implementación del 100% de losrequerimientos tecnológicos conformea la dinámica y presupuesto de laentidad

Cantidad de solicitudes de apoyotécnico atendidas para estructurar eimplementar un procedimientoadministrativo sancionatorioadecuado Sobre cantidad desolicitudes



Apoyo a los servicios tecnológicosrelacionados con los sujetos de control ya participación ciudadana en el ejerciciodel control fiscal.

Alcanzar el 100% de apoyo y suministrotecnológico para capacitar a sujetos decontrol y la comunidad.

Cantidad de solicitudes de apoyotécnico atendidas para implementaracciones innovadoras deacercamiento ciudadano. Sobrecantidad de solicitudes





Pági

na

38

9.PresupuestoEste presupuesto es una referencia económica y está sujeto a la disponibilidad de la entidad.

Proyecto Descripción Valor 2020. py Valor 2021 py.

Estado

Arquitectura de red

Modernización de la red de datos, telefónica y Eléctrica (Incluye, Compra de servidores, Switch’s y suministros para el fluido eléctrico y de telefonía.)

$ 350.000.00

0

Directorio Activo

Administración centralizada de usuarios, infraestructura tecnológica y servicios tecnológicos.

$ 100.000.00

0

Storage para Servidores

Adquirir discos duros Dell 2.4TB (o de mayor capacidad) 10K RPM Cifrado Automático SAS 12Gbps 512e 2.5" De Conexión En Marcha.

$ 100.000.000Ejecutado$15.530.

700

Licencia Sonic Wall Seguridad perimetral $13.000.00

0Ejecutado $12.360.

025

Licencia para Mensajería Electrónica-Correo Electrónico $ 65.000.000 $

70.000.000Ejecutado $65.968.

307

Licencia para Antivirus $ 20.000.000 $ 21.000.000

Ejecutado $19.449.

960

Licencia para Adobe $ 10.000.000 $ 4.000.000Ejecutado $3.671.8

00

Licencia para Virtualización – MVWARE $ 35.000.000 $ 9.000.000Ejecutado $8.925.0

00Licencia para Compresores $ 1.000.000Licencia para Conversor OCR $ 3.000.000

Licenciamiento en Windows Server $ 10.000.000

Infraestructura Tecnológica

* Compra de equipos de cómputo (Portátiles Mínimo 50)* Cámaras de seguridad (20)* Replicadores Wifi (12)* 20 Discos de 2 TB mecánicos* 20 Memorias para portátiles de 4 y/o 8 Gb.* 20 Mouse’s* 10 teclados* 2 VideoBeam* Swich´s (4 de 48 puertos)* Un Televisor 86”

$280.000.000

Respaldo y restauración de Información

Solución Informática automática de backup de configuración, (Involucra Software y Hardware).

$ 30.000.000

Software Misional

Software integrado para la planificación, ejecución y seguimiento del control fiscal.

$ 400.000.00

0

Mantenimiento

Aire acondicionado $ 2.000.000Computadores, escáneres, videobeam, televisores, cámaras, equipos de sonido, Ap´s, Etc.

$ 20.000.000

Impresoras/Fotocopiadora. $ 10.000.000

UPS $ 28.000.000

Biométrico $ 3.000.000Página Web Institucional Portal Web de la Contraloría $

27.000.000Corresponden Software para el manejo de la $ 150.000.000 Ejecutado



Pági

na

39

cia información física y digital vinculada a la Entidad.

$20.000.000

Instrucción Académica

Configuración de chasis Dell, $ 20.000.000

Administración y configuración de SQL-Server,Manejo de Swich HP y SiscoAfinamiento de Fortinet,Adiestramiento en Joomla 3.9.XRedes y Telefonía,

Intranet Portal Corporativo $ 15.000.000

Control de Acceso Biométrico $

35.000.000Apoyo administración DATACENTER

$30.000.000

Total $380.000.000$

1.486.000.000

10. Plan de seguridad y privacidad de la Información

El mundo moderno apoyado en aspectos tecnológicos, plantea nuevos retos a los que en el convivimos. La Contraloría de Cundinamarca, como entidad pública que hace parte de la dinámica departamental, no es ajena a dichos planteamientos. Uno de esos desafíos radica por ejemplo en determinar posibles focos que de algún modo pueda convertirse en puntos vulnerables frente a la seguridad y privacidad de la Información que en ella se maneja.

Un escenario pesimista y sin control conducirá inevitablemente a que la información del control fiscal quedase expuesta, por lo que es imperativo la suficiente atención a la seguridad informática dentro de sus instalaciones para garantizar la continuidad y el eficiente desarrollo de las funciones constitucionales de la Contraloría de Cundinamarca.

El momento es meritorio, dado que la Información para la Contraloría de Cundinamarca es su mayor activo y con el ánimo de protegerla, salvaguardando también los elementos tecnológicos y de telecomunicaciones con que se cuenta, se hace necesario la reglamentación de las Políticas de Seguridad y Privacidad de la Información hacia el interior de la Institución.

Si bien es cierto que las políticas de seguridad y privacidad de la información hacen relación a seres inanimados (Software, maquinas, etc.), no necesariamente lo es; dado que existe una relación estrecha con quienes la rodean, y en ese sentido, se resalta que dichas políticas deban, principalmente, enfocarse a los usuarios, estableciendo sus derechos y deberes de cómo actuar frente a los recursos informáticos de la Entidad.

La Contraloría de Cundinamarca, cuenta con una infraestructura tecnológica que permite almacenar, procesar y transmitir información institucional. Esta plataforma incluye equipos de cómputo y servidores que se comunican por medio de una red de datos, permitiendo ofrecer servicios tecnológicos como lo son el internet, el correo electrónico institucional, etc.



Pági

na

40

De otro lado, y en la medida que la información institucional perteneciente al ejercicio del control fiscal al lado del recurso humano son los activos más valiosos con que cuenta la Contraloría de Cundinamarca, se hace necesario la implementación de herramientas de hardware y software de seguridad, que protejan su integridad y su confidencialidad.

Finalmente, se resalta que este apartado tiene como objetivo dar a conocer el Plan de Seguridad y privacidad de la Información de la Contraloría de Cundinamarca, los cuales son acatables por todos los usuarios tanto internos como externos, con la premisa que el buen uso la gestión, aplicación, revisión y la seguridad y la privacidad de la información es responsabilidad de todos, en armonía con los lineamientos establecidos por el gobierno Nacional a través de su directriz “Gobierno Digital y Transparencia de la Información.

10.1. Objetivo General del Plan de seguridad y privacidad de la Información.

Minimizar el impacto a los activos de información de la Contraloría de Cundinamarca en un escenario de vulnerabilidad. Mediante la implementación de estrategias, controles y procedimientos que permitan salvaguardar la integridad, confidencialidad y disponibilidad de la información.

10.2. Marco normativoTabla 19. Marco normativo, Plan de seguridad y privacidad de la Información

Norma DescripciónLey 23 de 1982 Derechos de autor.

Ley 87 de 1993Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones.

Ley 527 de 1999

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

Ley 594 de 2000

Por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones.

Ley 1266 de 2008

Por medio del cual se dictan disposiciones generales del Habeas data y se regula el manejo de la información contenida en bases de datos.

Ley 1273 de 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado de la protección de la información y de los datos- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Ley 1341 de 2009

Por la cual se definen principios y conceptos sobre la sociedad de la información y las tecnologías de la información y las telecomunicaciones TIC.

Ley 1437 de 2011

Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.



Pági

na

41

Ley 1581 de 2012

Por la cual se dictan disposiciones generales para la protección de datos personales.


Por el cual se reglamenta el Título V de la Ley 594 de 2000, parcialmente los artículos 58 y 59 de la Ley 1437 de 2011 y se dictan otras disposiciones en materia de Gestión Documental para todas las Entidades del Estado.

Resolución ____ Plan Estratégico de Tecnologías de la Información y las Comunicaciones - PETI.


Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.


10.3. Aplicación

Mediante la aplicación de este documento se busca facilitar una mayor comprensión sobre la integridad, confidencialidad y confiabilidad de la información que se maneja en la Entidad, haciendo énfasis en el adecuado uso de los datos, al igual que al eficiente manejo de los activos de tecnología tanto de hardware como de software, conducentes a minimizar los riesgos asociados a los mismos.

10.4. Obligación de los usuarios

Al hacer uso de los servicios tecnológicos y a la plataforma tecnológica, por parte de los servidores públicos que integran la Contraloría de Cundinamarca, es obligatorio ceñirse al cumplimiento de las políticas y estándares de seguridad y privacidad de la Información, definidos para la misma.

10.5. Hardware

En relación con la seguridad del hardware y la protección de los activos de tecnología a través de objetos adicionales que se le incorporan al componente tecnológico, bien sea adherido a la maquina o como un complemento a este también forman parte del hardware, dichos objetos pueden ser una guaya que sujeta el portátil a una parte fija, un circuito cerrado de televisión que vigila las maquinas o el simple hecho de ubicar el bien en un lugar seguro, como una oficina cerrada, etc., tiene por fin impedir que un intruso sustraiga o genere daño a los activos de tecnología. A este tipo de seguridad se le denomina seguridad física.

Existe otro tipo de seguridad asociada al hardware es llamado de difusión. Esta seguridad intenta proteger la vulnerabilidad dada por la emisión de señales del hardware como tal. Es el caso de las pantallas visibles a través de los vitrales de la oficina o las emisiones de Wifi que capturadas y tratadas, pueden convertirse en información. Como solución al primer escenario, se propondrá una adecuada ubicación del equipo a entornos



Pági

na

42

seguros, mientras que para el segundo, la seguridad está ligada a la protección a través de contraseñas complejas o seguras.

10.6. Software

La seguridad de software es el mecanismo utilizado para proteger tanto el mismo software como el hardware, contra ataques maliciosos de hackers y otros riesgos asociados al mundo tecnológico.

La seguridad mediante software es necesaria dado que ella proporciona integridad, autenticación y disponibilidad de la Información, garantizando que la Contraloría, continúe funcionando correctamente, a pesar de la existencia de dichos riesgos potenciales. Detrás de las estrategias de protección por software, existe un grupo significativo de desarrolladores, arquitectos de software y científicos informáticos, dedicados a estudiar sistemáticamente cómo construir software seguro. Intentan corregir las vulnerabilidades del software que son las que detectan los hackers para hacer daño. Como ejemplo de vulnerabilidades encontramos el bajo control en las ramificaciones de seguridad, errores de implementación del software, desbordamientos de buffer, defectos de diseño o el mal manejo de errores, etc.

Es importante mencionar que se debe tener un especial cuidado con las aplicaciones que tienen salida a Internet, dado que presentan un riesgo de seguridad más alto. La seguridad de software aprovecha las mejores prácticas de la ingeniería de software e intenta hacer pensar en la seguridad desde el primer momento del ciclo de vida del software.

10.7. En caso de pérdida de los equipos

El servidor público que tengan bajo su responsabilidad o asignados algún equipo de cómputo, será responsable de su uso y custodia; en consecuencia, será el primera responsable por dicho elemento de acuerdo con la normatividad vigente en los casos de robo, extravío o pérdida del mismo.

El servidor o funcionario deberán dar aviso inmediato a la Subdirección de Servicios Generales y a la Oficina Asesora de Planeación, Sistemas e Informática, de la desaparición, del robo o del extravío de equipos de cómputo, periféricos o accesorios bajo su responsabilidad.

10.8. Violaciones a la seguridad de los datos.

Es considerada una violación a la seguridad de los datos cuando la información sufre algún incidente que va en contra de confidencialidad, disponibilidad o integridad de los mismos. Tales incidentes pueden ser:

Robo de propiedad intelectual,Divulgación de información personal,Daño,Divulgación de información reservada o confidencial,



Pági

na

43

Está prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informática.

Ningún usuario o funcionario de la Contraloría de Cundinamarca debe probar o intentar probar fallas de la Seguridad Informática conocidas, a menos que estas pruebas sean controladas y aprobadas por la Oficina Asesora de Planeación, Sistemas e Informática.

No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar introducir cualquier tipo de código (programa) conocidos como virus, gusanos o caballos de Troya, diseñado para auto replicarse, dañar o afectar el desempeño o acceso a las computadoras, redes o información de la Contraloría de Cundinamarca.

10.9. Procedimiento frente a un suceso de Violaciones a la seguridad de los datos.

De presentarse un incidente de violación a la seguridad de los datos el cual coloca en riesgo los derechos y libertades de personas, se debe notificar de inmediato una vez se haya tenido constancia del incidente a la Oficina Asesora de Planeación, Sistemas e informática.

Esta área dará trámite ante la autoridad componte o de control en Colombia (Autoridad de Protección de Datos – APD), con las respectivas evidencias que soportan la presunta violación. En el mismo sentido y de considerarse que la violación de la seguridad de los datos supone un alto riesgo para las personas afectadas, estas también deberán ser informadas. Cabe resaltar que esto último operará cuando no se hayan aplicado medidas de protección efectivas, que garanticen que no existe la probabilidad de que se concretice el riesgo.

10.10. Prohibiciones

La Contraloría de Cundinamarca a través de la Oficina Asesora de Planeación, Sistemas e Informática, se reserva como única instancia para realizar actividades de:

Instalación de softwareDesinstalación de software, Configuración lógica de máquinas, Conexión a red, Instalación y desinstalación de dispositivos, Manipulación interna y reubicación de equipos de cómputo y periféricos,

Está prohibido el que un funcionario de otra área, contratista o tercero, realice cualquiera de las actividades anteriores sin la expresa autorización de la Oficina Asesora de Planeación, Sistemas e Informática y será objeto de considerarse como falta disciplinaria.

Está prohibido tanto para funcionarios, contratistas o ciudadanos interceptar datos en su origen, destino o en el interior de los aplicativos con



Pági

na

44

que cuenta la Contraloría, sin autorización o si no hacen parte de su responsabilidad o funciones.

No se permite el uso de la infraestructura tecnología y los servicios tecnológicos de la Contraloría de Cundinamarca (Equipos de cómputo, periféricos, dispositivos, internet, red de datos, correo electrónico institucional) para actividades que no estén relacionadas con las labores propias de La Entidad.

Únicamente el personal de la Oficina Asesora de Planeación, Sistemas e Informática, que dada su relación con la profesión, podrá llevar a cabo los servicios y apoyo en las reparaciones a los equipos informáticos (Mantenimiento a equipos de cómputo y elementos de tecnología en general). Los funcionarios deberán asegurarse de respaldar en copias de respaldo o backups la información que considere sensible cuando el equipo vaya a ser objeto de reparación.

Así como está prohibido la instalación de software por parte de funcionarios ajenos a la Oficina Asesora de Planeación, Sistemas e Informática. Está prohibido borrar información vinculada con el buen funcionamiento de la maquina (Archivos del sistema operativo).

Está prohibido sacar los equipos de cómputo sin la previa autorización del jefe inmediato de lo cual se dejará constancia documental física o electrónica, para la salida del equipo de las instalaciones de la Contraloría y su uso será para ejercer labores atinentes al cargo.

Es deber de los funcionarios de la Contraloría reportar de forma inmediata a la Oficina Asesora de Planeación Informática la detección de riesgos reales o potenciales sobre el riesgo en que están expuestos los equipos de cómputo o de comunicaciones de la Entidad tales como caídas de tinto, agua, gaseosa, choques eléctricos, caídas o golpes, peligro de incendio, peligro de robo, entre otros, con el fin de atender en forma oportuna su corrección o mitigación al daño.

10.11. Área Técnica

El control de los servicios tecnológicos y la infraestructura tecnológica está bajo la responsabilidad de la Oficina Asesora de Planeación, Sistemas e Informática / Área Técnica de Contraloría de Cundinamarca e incluirá:

La asignación de usuarios y recomendación sobre la ubicación física de los equiposEn términos del Software, esta área, velará por el cumplimiento de la normatividad vigente sobre propiedad intelectual de soporte lógico. Custodia de las licencias de uso de software, al igual que manuales y los medios de almacenamiento que acompañen a las versiones originales de software.Lineamientos sobre el acceso a los sistemas de información y red de datos para ser controlado por medio de usuario y contraseña, independiente del mecanismo para el control de acceso a la máquina.



Pági

na

45

Crear y asignar las cuentas de acceso y los permisos a dominio de red, sistemas de información y correo electrónico, previo cumplimiento del procedimiento establecido para tal fin.Instalación de antivirus debidamente licenciado.

10.12. Unidades de Almacenamiento Extraíbles - Uso

Es deber de los funcionarios de la Contraloría que tengan información de propiedad de la Contraloría Departamental de Cundinamarca en medios de almacenamiento extraíbles, protegerlos tanto del daño lógico como físico, lo que quiere decir que debe asegurarse que el contenido del disco duro o USB, se encuentre libre de virus y/o software malicioso, que atenten contra la integridad, confidencialidad y disponibilidad de la información de la Entidad.

Para ello, la Contraloría de Cundinamarca facilita las licencias de antivirus para el uso de los funcionarios de la Entidad, para garantizar la protección de la información contenida incluso en dichos dispositivos.

Ahora bien, el uso de las grabadoras de información (Quemadores de CD o DVD) externos será para uso exclusivo de Backups o copias de seguridad de información y para respaldos de información o para traslado de información entre áreas de la Contraloría de Cundinamarca.

10.13. Derechos de Autor

En la actualidad es común usar internet para descargar información por lo que se recomienda especial cuidado en reconocer los derechos de autor de todo aquello que tomamos de ella. En ese sentido, ningún funcionario de la Contraloría de Cundinamarca, debe descargar y/o utilizar información, archivos, imagen, sonido, software u otros que estén protegidos por derechos de autor de terceros sin la previa autorización de los mismos.

10.14. Correo electrónico El correo electrónico institucional es exclusivo para envío y recepción de mensajes de datos relacionados con las actividades de la Contraloría de Cundinamarca, está prohibido su uso para fines personales tales como registros en redes sociales, registros en sitios web o actividades particulares o comerciales que no tengan vínculo con la Entidad.

La información transmitida a través de la cuenta de correo electrónico institucional no se considera correspondencia privada.

Es prohibido utilizar el correo electrónico institucional para divulgar información confidencial, reenviar mensajes que falten al respeto o atenten contra la dignidad e intimidad de las personas, difundir propaganda política, comercial, racista, sexista o similares, reenviar contenido y anexos que atenten contra la propiedad intelectual.

Es responsabilidad del funcionario depurar su cuenta de correo periódicamente.

En caso de desvinculación del funcionario de la Entidad, es deber de este, sacar una copia completa de su correo electrónico.



Pági

na

46

10.15. Internet

No se harán descargas de archivos por internet que no provengan de páginas conocidas o relacionadas con las funciones y actividades de la Contraloría de Cundinamarca.

El Servicio de internet de la Contraloría de Cundinamarca no podrá ser usado para fines diferentes a los requeridos en el desarrollo de las actividades propias de la Entidad.

Esta restricción incluye el acceso a páginas con contenido pornográfico, terrorismo, juegos en línea, redes sociales y demás cuyo contenido no sea obligatorio para desarrollar las labores encomendadas al cargo.

No es permitido el uso de Internet para actividades ilegales o que atenten contra la ética y el buen nombre de la Contraloría de Cundinamarca o de las personas.

La Contraloría de Cundinamarca se reserva el derecho a registrar los accesos y monitorear el contenido al que el usuario puede acceder a través de Internet desde los recursos y servicios de internet de la Entidad.

10.16. Clasificación de la Información

Los documentos electrónicos y/o digitales producto de los procesos tanto misionales como de apoyo de la Contraloría de Cundinamarca, su trato será conforme a los lineamientos y parámetros establecidos en el sistema de gestión documental de la Entidad.

Los activos de información asociados a cada sistema de información serán identificados y clasificados por su tipo y uso siguiendo lo establecido en las tablas de retención documental vigentes y aplicables a la materia.

10.17. Cuentas de Acceso

Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de información son personales e intransferibles, cada funcionario es responsable por las cuentas de acceso asignadas y las transacciones que con ellas se realicen. Se permite su uso única y exclusivamente durante el tiempo que tenga vínculo con la Contraloría.

Frente a la política en el manejo de las contraseñas se deben seguir las siguientes reglas:

* Mínimo siete caracteres * Por lo menos una letra mayúscula,* Por lo menos una letra minúscula,* Por lo menos un número * Por lo menos un carácter especial (+-*/@#$%&).* Las contraseñas deben ser cambiadas por lo menos cada tres meses.



Pági

na

47

Es deber del funcionario que se desvincula de la entidad y con el fin de garantizar la continuidad de las operaciones del cargo, hacer entrega tanto de la información a su cargo como las respectivas contraseñas al jefe inmediato. Esta información hará parte del acta de entrega.



10.18. Cronograma del Plan de seguridad y privacidad de la Información Tabla 20. Cronograma, Plan de Seguridad y Privacidad de la Información

Actividades 2020 2021 2022Elaboración del PlanAprobación del planDivulgación mediante publicación del planCapacitación en seguridad y privacidad de la InformaciónVerificación de elementos físicos de seguridad asociada a los equiposCopia de información vinculada a correos electrónicosConfiguración del servidor de correo para habilitar las políticas de uso de contraseñasBrindar los medios para salvaguardar la información de los funcionariosElevar los casos de infracción a la seguridad o privacidad a segundo nivelSondeo para verificar instalación de software no autorizadoMantenimiento preventivoMantenimiento correctivoAsignación a cada funcionario de un usuario y una contraseña para el uso del correo e intranetGestionar la adquisición de licencias que protejan la información en la EntidadInstalar software de protección ante ataques de software malicioso tanto en equipos en sitios de trabajo como en servidoresInforme de pérdidas y/o daños reportados por funcionariosCaptura de huellas y datos básicos para el control de ingreso a las instalacionesImplementar mecanismo que impida la navegación a páginas web, no permitidasVerificación del cumplimiento del Manual de Políticas y Estándares de Seguridad InformáticaFuenteFuente: Contraloría de CundinamarcaNota: Las actividadesproyectadas en 2022 estarán sujetas a la actualización y prioridades de la nueva administración.



Pági

na

49



Pági

na

50

11. Plan de tratamientos de riesgos en seguridad y privacidad de la Información.

11.1. Objetivo

Implementar en la Contraloría de Cundinamarca un Plan de Tratamiento de Riesgo de Seguridad y Privacidad de la Información, que permita identificar, comprender, evaluar y mitigar los riesgos, que comprometan la Confidencialidad, Integridad y Disponibilidad, de los servicios tecnológicos como que afecten la Infraestructura tecnológica de la Entidad.

11.2. Alcance

Contar con una metodología, que permita identificar, valorar, priorizar, administrar, gestionar al igual que armonizar con actividades encaminadas a eliminar o mitigar los riesgos presentes en el entorno tecnológico; Riesgos que puedan afectar tanto a los Servicios tecnológicos como a la Infraestructura Tecnológica de la Entidad.

11.3. El Comité Directivo y la administración del riesgo.

Es fundamental que la administración del riesgo genere protección a los activos de la entidad y permita lo toma de decisiones en materia tecnológica; por ello es importante definir los roles y responsabilidades de los actores que interviene en este proceso:

La Oficina Asesora de Control Interno realiza el seguimiento al Mapa de Riesgo Institucional y a través de un oportuno acompañamiento a los Procesos orientaran la metodología a utilizar para la identificación, análisis, calificación y valoración de los riesgos.

Los responsables de Procesos realizarán el seguimiento a los controles de los riesgos de acuerdo con la periodicidad establecida y actualizarán el Mapa de Riesgos cuando en la realización de los seguimientos encuentren situaciones que requieran ser ajustadas y lo remitirán para su revisión y aprobación correspondiente.

La Oficina Asesora de Control Interno dentro de su función de evaluador independiente presentará al contralor los resultados de la evaluación a los Mapas de Riesgos, con las recomendaciones para la Mejora Continua.

11.4. Definición gestión del Riesgo

La Organización Internacional de Normalización (ISO), define de manera estandarizada que el riesgo proviene de “la posibilidad de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y por lo tanto causa daño a la organización”.



Pági

na

51

11.5. Visión general para la administración del riesgo de seguridad de la información.

11.5.1. Etapas para la administración del riesgo.

Ilustración 11. Visión General para la Administración del riesgo

Fuente: Cartilla de Administración del riesgo del DAFP

11.6. Análisis Contexto Estratégico

A partir de la misión de la Contraloría Departamental de Cundinamarca, sus objetivos y de su visión sistémica de la gestión se define el contexto estratégico para el plan de tratamientos de los riesgos en seguridad y privacidad de la información.

Es bueno resaltar que la administración del riesgo es una herramienta gerencial que apoya el aparato administrativo y misional.

En este primer momento, el documento se concentra en la identificación de los factores internos (debilidades) y externos (amenazas) que puedan generar riesgos que afecten el cumplimiento del control fiscal y a partir de este localizar las CAUSAS del riesgo.

11.7. Contexto Estratégico

Con referencia en lo anterior, cada área responsable de los procesos, deberá identificar a los funcionarios que por su competencia pueden ser considerados claves dentro de cada una de


Contexto

Contexto estrategico Organizacional

Identificacion

¿Que puede suceder?¿Como puede suceder?

Analisis

Determinar la probabilidad.Determinar la consecuencia.Determinar el nivel de riesgo.

Valoracion

Identificar controles para el riesgo.Verificar la efectivida del control.Establecer tratamiento.

Politicas

Politicas de administración del riesgo.

Comunicación y consulta

Monitoreo y Revisión


Pági

na

52

las dependencias, dado que su conocimiento y nivel de toma de decisiones sobre el proceso, será fundamental en el desarrollo de cada tarea vinculada al riesgo.

La Matriz Dofa, será la herramienta escogida para establecer los factores internos y externos que afectan el proceso.

Tabla 21. Matriz Dofa, para riesgosMatriz Dofa Para Identificación De Riesgos

Proceso:

Objetivo:

Fecha:

Debilidades Fuente Amenazas Fuente


El contenido de la Dofa, nos permitirá identificar las posibles debilidades en los diferentes procesos y procedimientos de la entidad como pueden ser:

La administración, la estructura organizacional, las funciones y las responsabilidades.Las políticas, los objetivos y las estrategias que existen para su realización.Las capacidades, entendidas en términos de recursos y de conocimiento (humanos, de capital, tiempo, personas, infraestructura, procesos, sistemas y tecnologías).Los sistemas de información y comunicación, flujos de información formales e informales y toma de decisiones.Las normas, directrices y modelos adoptados por la organización.La forma y el alcance de las relaciones contractuales.

Ejemplo:

Debilidad FuenteSistema Operativo sin

actualizarInventario de Software


11.8. Metodología para la Identificación de Riesgos

Este espacio permite conocer los eventos potenciales, que ponen en riesgo el logro de los objetivos del control fiscal, se establece el origen al igual que el impacto dado que se produzca el incidente o suceso. Adicionalmente, en esta etapa también se realiza la clasificación del riesgo.Ilustración 12.Identificación del Riesgo.



CausasSon los medios

ocircunstancias

RiesgosEvento quetendrá un impacto

Consecuencia Efecto que se

puede presentar

Clasificación De acuerdo a

las características

Identificación del Riesgo


Pági

na

53

11.9. Riesgos Internos

Algunos factores internos que pueden poner en riesgo a la organización tecnológica de la Contraloría de Cundinamarca, pueden ser:

Número de equipos de cómputo insuficientes u obsoletos.Desconocimiento de la normatividad aplicable a tecnología.Proceso manual de la información.Desmotivación de los funcionarios para aplicar la seguridad a la información.Fallas en el seguimiento a los procedimientos del proceso.Resistencia al cambio.Bajo presupuesto de inversión para tecnología.Falta de seguimiento y control

Una vez se tengan identificados los factores internos de la Entidad, se diligenciará el formato Contexto Estratégico:

Tabla 22. Formato Contexto Estratégico, para el riesgoContexto estratégico

Proceso:Objetivo:Fecha:

Factores internos Causas Factores externo Causas


Definidos los factores internos, se procede a identificar los factores externos, para ello deben ser identificadas las amenazas.

Para este caso puntual, no existe una regla específica de redacción, por lo que se tendrá la misma estrategia para el tratamiento de las debilidades, es decir afinidad por agrupación, generando como resultado un listado como:

Nueva tecnología disponible.Nuevas leyes.Demoras en la respuesta de comunicaciones enviadas por otras entidades.Incremento en el número de solicitudes por alta demanda de usuarios.Cambio de Administración.Poco conocimiento por parte de los usuarios externos.

11.10. Riesgos Externos:

InterinstitucionalPolíticoEconómicoAmbientalSocialTecnológicoCultural



Pági

na

54

LegalImagen

Con esta información, se procederá a complementar el formato Contexto Estratégico, en lo correspondiente a factores externos:

Tabla 23. Factores externosContexto Estratégico

Proceso:Objetivo:Fecha:

Factores internos Causas Factores externo Causas


11.11. Cronograma

Actividad 2020 2021 2022Identificar los activos de información de la entidad para gestionar los riesgos de seguridad de la información.Identificar las principales vulnerabilidades que puedan afectar los activos de información.Aplicar Acciones tendientes a minimizar el impacto de los Riesgos detectados, sobre los activos de información.Generar la matriz integral de riesgos, con sus respectivos análisis, evaluación y tratamiento del riesgo.Involucrar y comprometer a todos los funcionarios de la contraloría, en la formulación e implementación de controles y acciones encaminadas minimizar y administrar los riesgos.Establecer, mediante una adecuada administración del riesgo, una base confiable para la toma de decisiones y la planificación institucionalNota: En 2022 la actualización seguirá los lineamientos y prioridades de la nueva administración

12. Política de seguridad

12.1. Introducción

Para la Contraloría de Cundinamarca la información es uno de sus activos más significativos y valiosos de la Entidad, dado que le permite cumplir con sus funciones y precisamente el apoyo de las tecnologías de la Información permiten el alcance tanto de la misión como los objetivos estratégicos de la Entidad.



Pági

na

55

El Comité Directivo tiene dentro de una de sus políticas garantizar el aseguramiento de los activos tecnológicos y de la información (Infraestructura y servicios tecnológicos) e intenta mitigar el riesgo identificando vulnerabilidades y amenazas que pueden atentar contra la seguridad, confidencialidad, integridad y disponibilidad de la Información.

En ese sentido, la presente Política de Seguridad para la información contiene los criterios necesarios que permiten garantizar la gestión y la administración de la información de forma segura, basados en estándares internacionales establecidos por la ISO, convirtiéndose en una decisión estratégica de la Contraloría de Cundinamarca en busca de satisfacer las necesidades y requerimientos de seguridad de la Entidad.

12.2. Definición de Seguridad de la Información

La seguridad de la información se fundamenta en garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo los controles suficientes que permitan cumplir plenamente la misión institucional brindando confianza a la ciudadanía, generando confidencialidad, integridad y disponibilidad de la información.

La seguridad de la información en la Contraloría de Cundinamarca se ve reflejada en que:

La información de la Entidad, es confidencial, hasta que la información pasa a ser de dominio público por disposición legal.La Integridad de los datos registrados en actuaciones de los servidores públicos se mantienen y son el respaldo a plenitud de los procesos de control fiscal.No se exponen los registros de información, contenidos en los aplicativos informáticos, solamente pueden ser accedidos y modificados por los servidores de la Contraloría debidamente autorizados.Un apego al marco normativo, garantista de los derechos y deberes.

12.3. Objetivo de la política de seguridad

Definir lineamientos de seguridad de la información para garantizar la protección de los datos, registros, tablas, bases de datos y demás información tanto digital como impresa con que cuenta la Entidad, a través de un modelo de seguridad que permita minimizar el impacto, debido a la explotación de las vulnerabilidades asociadas a los activos de información.

12.4. Alcance

Lo definido en este documento al igual que los procedimientos relacionados son de obligatorio cumplimiento para todos los usuarios tanto internos como externos vinculados con la Contraloría de Cundinamarca, que de una u otra forma interactúan, manejan y conocen información de la Entidad.



Pági

na

56

12.5. Comité directivo como ente rector de la seguridad de la información.

Para realizar la gestión y administración del Sistema de Gestión de Seguridad de la Información propuestos por la Oficina Asesora de Planeación, Sistemas e Informática en la Contraloría de Cundinamarca, el Comité Directivo de la Entidad tendrá conocimiento y participación sobre los lineamientos para la revisión del Sistema de Seguridad de la Información (SGSI), particularmente en los siguientes temas:

Procesos, procedimientos y metodologías específicas de seguridad de la información para el adecuado uso y administración de los activos de información en la Entidad.Conocer sobre la gestión de la seguridad de la información al interior de la Entidad así como la aplicación de los dominios de control a que se refiere la Norma NTC- ISO/IEC 27001, que establece los requisitos del Sistema de Gestión de Seguridad de la Información, la Norma NTC-ISO/IEC 27002 y demás estándares concordantes.Coadyuvar en el soporte, administración y desarrollo de iniciativas sobre seguridad de la información.

12.6. Políticas de la seguridad de la información

Se determinan las siguientes políticas de seguridad que regirán a la Entidad, para cumplir con los principios de confidencialidad, integridad y disponibilidad de los activos de información, así como la continuidad de los servicios que se brinda.

12.6.1. Inventario de Activos de Información.En cabeza de cada servidor público de la Contraloría de Cundinamarca, recae la responsabilidad de definir, custodiar y dar un buen uso al inventario, de los activos de información.

12.6.2. Gestión de activos de informaciónLos responsables de la información deben realizar la clasificación de los activos que tengan bajo su responsabilidad, de igual manera están obligados a administrar y dar uso adecuado a los mismos, teniendo en cuenta los lineamientos establecidos.

12.6.3. Directrices Las directrices señaladas en el punto 6.8 del presente documento aplican igualmente como política de seguridad de la información.

12.6.4. Gestión de la seguridad

Como herramienta proactiva para la detección de situaciones que puedan afectar la seguridad de la información, se debe realizar el análisis de riesgos de los activos de información con una anual como máximo. Los resultados deben escalarse al Comité Directivo, para elaborar el plan



Pági

na

57

de mitigación del riesgo que propenda por el mejoramiento continuo del sistema de seguridad de la información.

12.6.5. Seguridad física

Todos los funcionarios de la Contraloría de Cundinamarca deben cumplir con los controles y procedimientos establecidos por la Entidad, tanto para el acceso a las instalaciones como los aplicativos informáticos.

12.6.6. Gestión de incidentes

Todos los funcionarios de la Contraloría de Cundinamarca, están obligados a reportar los eventos o sucesos que puedan ser incidentes de seguridad de la Información, teniendo en cuenta los lineamientos, guías y procedimientos definidos por la Entidad.

12.6.7. Seguridad de terceras partes

Las terceras partes (pasantes, judicantes contratistas y proveedores) que interactúen con la Contraloría de Cundinamarca deben acogerse a las políticas, normas, procedimientos y guías de seguridad definidas al interior de la Entidad.

12.6.8. Copias de seguridad

Los funcionarios responsables de los servidores, aplicativos, bases de datos e información que se catalogue como critica para la Entidad, deben realizar las copias de seguridad de acuerdo con los lineamientos establecidos para su almacenamiento.

12.6.9. Control de accesoLos funcionarios deben aplicar las políticas para el control de acceso utilizando medidas de autenticación para los equipos de cómputo, los sistemas de información y en general, los recursos informáticos utilizados en la Contraloría de Cundinamarca.

Las anteriores políticas se complementan en cada uno de los procedimientos, guías y manuales establecidas por la Contraloría de Cundinamarca para la gestión de la seguridad de la información.

12.7. Sanciones

La Oficina Asesora de Planeación, Sistemas e Informática conocerá y aportará con su conocimiento técnico de las violaciones a las políticas de seguridad de la información y proyectará los informes a que haya lugar.



Pági

na

58

13. Política en el manejo del Riesgo

13.1. Introducción

La Contraloría de Cundinamarca, a través del comité directivo en cabeza del señor Contralor de Cundinamarca, implementa la Política para la Administración de los Riesgos estableciendo lineamientos precisos con referencia al tratamiento, al manejo y el seguimiento de los riesgos.

La política se armoniza con lo establecido tanto por la norma NTC ISO 31000, como lo definido por la metodología emitida por el Departamento Administrativo de la Función Pública-DAFP, con el ánimo de garantizar una gestión pública eficiente, pero siempre velando por el cumplimiento de las funciones del quehacer del control fiscal.

13.2. Objetivo

Identificar estrategias que permitan establecer mecanismos adecuados frente a la administración de los riesgos. Que brinden elementos de juicio para la toma de decisiones, frente al cumplimiento de los objetivos Estratégicos.

Es menester, fortalecer el conocimiento frente al contexto estratégico del riesgo, su identificación, el análisis, su valoración, la trazabilidad, su registro, el seguimiento y evaluación de los mismos.

13.3. Alcance

En la medida que ninguna Entidad está exenta de riesgo, la política de la administración de los riesgos se implementará para toda la Entidad teniendo en cuenta tanto lo estratégico, lo misionales y de apoyo, respectivamente.

13.4. Responsabilidades y Compromisos

El Comité Directivo es el responsable de establecer la política de administración del riesgo informático y liderará el seguimiento y análisis a este componente, con el apoyo funcional de la Oficina Asesora de Planeación, Sistemas e Informática.

En la medida que la administración del riesgo, tanto por sus características como por sus beneficios son una protección al patrimonio de la entidad, deberá incluirse dentro del Plan Estratégico y los planes de acción anuales lo que lo convierte en un compromiso institucional.

Los líderes de procesos contarán con el apoyo a nivel de asesoría de la Oficina de Control Interno, el acompañamiento y orientación de la Oficina Asesora de Planeación, Sistemas e Informática para la identificación de los riesgos al igual que sus respectivos controles, a través de estas áreas se realizará el seguimientos y el análisis según periodicidad establecida y actualizarán el mapa riesgo cuando la administración del mismo lo requiera.

Estas áreas analizarán el diseño e idoneidad de los controles establecidos para los procesos y verificarán mediante el seguimiento y la evaluación a los riesgos la



Pági

na

59

consolidación en el mapa de riesgos de procesos y reportara el seguimiento a los riesgos de corrupción en caso de presentarse.

La Oficina Asesora de Planeación coordinará la consolidación del mapa de riesgos de la Entidad, a través de los mapas de riesgos por proceso mediante el uso de la herramienta informática diseñada para tal fin. En el mismo sentido, La Oficina de Planeación acompañará y orientará en la metodología para la identificación, análisis, calificación y valoración del riesgo y monitoreará el cambio de entorno y nuevas potenciales amenazas que se pueda presentar en la entidad, tomando como base los lineamientos del DAFP.

Los Líderes de procesos de la Contraloría, serán los responsables de identificar los riesgos y controles de procesos, de realizar el seguimiento y análisis según la periodicidad establecida y por ultimo actualizar el mapa de riesgos cuando la administración de los mismos lo requiera.

La Oficina de Control Interno podrá solicitar en el momento en que lo estime conveniente el resultado de la gestión adelantada con relación al Mapa de Riesgos Institucional.

13.5. Metodología para su aplicación

La contraloría de Cundinamarca, tomará como base metodológica, para la aplicación de la política de administración de riesgos de proceso y corrupción, las directrices y herramientas que para esta materia defina Departamento Administrativo de Función Pública-DAFP.

13.6. Identificación del riesgo

La Contraloría de Cundinamarca diseñará el mecanismo para identificar los riesgos en cada uno de los procesos, la cual será a través de un formato de Identificación de los Riesgos.

Para lo cual cada líder de proceso consolidará la información requerida en la herramienta diseñada para la captura de la información, contando con la participación de los funcionarios involucrados en dicho proceso, esta actividad debe ser permanente e interactiva, basada tanto en el resultado del análisis del Contexto Estratégico como en el proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos institucionales.

13.7. Análisis del riesgo

Lo que se busca a través del análisis del riesgo inherente, es establecer la probabilidad de ocurrencia al igual que la consecuencia o impacto que pueda producir en caso de su ocurrencia.

También incluye la calificación del impacto y probabilidad de ocurrencia de los mismos, las cuales serán el criterio para establecer prioridad en las acciones a tomar por cada uno



Pági

na

60

de ellos. Aunque el impacto y la probabilidad sean bajas, se realizará seguimiento permanente a los procedimientos para evitar que el riesgo crezca o que se presente.

13.8. Valoración del riesgo

La valoración del riesgo busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar el riesgo final o lo que es lo mismo, medir el riesgo residual vrs riesgo inherente, a partir de esta valoración establecer prioridades para su manejo y para la fijación de nuevas políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

La contraloría de Cundinamarca, aplicará sus acciones de analizar, valorar y controlar los riesgos en el marco de las directrices definidas en el DAFP.Acciones de Control.

Identificación de los controles existentes,Quién lleva a cabo el control (Responsable),Qué busca hacer el control (Objetivo),Cómo se lleva a cabo el control (Procedimiento),Evidencia de la ejecución del control,Tipo de Control (Manual o Automático) yCuándo se realiza el control (Periodicidad).

Mapa de Riesgos Institucional:

El panorama de riesgos de la entidad estará reflejado en el mapa de riesgos institucional. Este mapa se alimentará con el reporte de riesgos residuales Altos o Extremos de cada uno de los procesos, los cuales pueden afectar el cumplimiento de la misión institucional y objetivos de la entidad. En este mapa se deberán incluir también los riesgos identificados como posibles actos de corrupción, en cumplimiento del artículo 73 de la Ley 1474 de 2011, respectivamente.

Mapa de Riesgos por Proceso:

El mapa de riesgos por proceso, recoge los riesgos identificados para cada uno de los procesos, los cuales pueden afectar el logro de sus objetivos. Están asociados más a las áreas que componen la Entidad.

13.9. Monitoreo y seguimiento a los mapas de riesgo por proceso

Dada la priorización de los riesgos, provenientes del impacto que produzcan, se realizará un seguimiento periódico diferencial. El monitoreo es esencial para garantizar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación.

El monitoreo continuo sobre los riesgos y sus controles, permitirá evidenciar aquellas situaciones que influyen de manera directa, positivamente o negativamente frente a los resultados esperados. Se mantendrá la documentación respectiva de todas las actividades realizadas y se informará del seguimiento realizado a la Oficina Asesora de Planeación,



Pági

na

61

Sistemas e Informática para que esta consolide y entregue a la oficina de Control Interno. Todo lo anterior con el ánimo de continuar con la mitigación de los riesgos.

La Oficina de Control Interno verificara los seguimientos al mapa de riesgos institucional para analizar el avance de las acciones propuestas y evaluara la idoneidad de los controles establecidos en los procesos.

Respecto al Plan Anticorrupción y de Atención al Ciudadano y su mapa de riesgos corrupción, la Oficina de Control Interno verificará la elaboración y la publicación en la página web de la Contraloría y el seguimiento periódico

En caso que exista retraso en el cronograma del plan, la Oficina de Control interno, deberá informar al responsable para que realicen las acciones orientadas a cumplir la actividad de que se trate.

13.10. Actualización del Mapa de Riesgo Institucional

El mapa de riesgo debe ser actualizado a no ser que se mantenga las mismas condiciones en cuanto a factores de riesgo, identificación, análisis y valoración del mismo. Esa conclusión saldrá de analizar la ausencia de los siguientes escenarios:

Riesgos materializados relacionados con posibles actos de corrupción.Riesgos de gestión materializados en cualquiera de los procesos.Observaciones o hallazgos por parte de la Oficina de Control Interno o bien por parte de un ente de control, respecto de la idoneidad y efectividad de los controles.Cambios importantes en el entorno que puedan generar nuevos riesgos.

El mapa de riesgos de corrupción se revisará por lo menos una vez al año con el fin de establecer si requiere de alguna actualización, para lo cual los responsables de los procesos reportaran a la Oficina de Planeación los riesgos del proceso, con las acciones a emprender durante la vigencia, para la adecuada administración del riesgo.

13.11. Divulgación

La Política de Administración de Riesgo, Mapa de Riesgo, tanto institucional, procesos y de corrupción se socializarán y divulgarán a todos los funcionarios de la Contraloría de Cundinamarca.

13.12. Capacitación

Con base en los diagnósticos y la dinámica tecnológica, el área de sistemas definirá estrategias de acompañamiento y apoyo a la capacitación interna y externa que desarrolle la entidad que garanticen la competencia necesaria de los funcionarios para atender el tema informático de una manera adecuada.



Documents

intranet.contraloriadecundinamarca.gov.cointranet.contraloriadecundinamarca.gov.co/attachment/007... · Web viewEl 27 de mayo de 2020 se tuvo la oportunidad de recibir una visita