comité institucional del sistema de control interno

Dirección: Calle. 6 N° 6 - 24, Alcaldía Fusagasugá - Cundinamarca

www.fusagasuga-cundinamarca.gov.co

[email protected] Teléfonos: 886 81 81 – Fax: 886 81 86

Línea gratuita: 01 8000 12 7070 Código Postal: 252211

Página 1 de 6

COMITÉ INSTITUCIONAL DEL SISTEMA DE CONTROL INTERNO

ACTA No 1020-01.06 DE 2021

LUGAR: FECHA: Fusagasugá, Junio 21 de 2021 HORA: 2:30 pm ASISTENTES: Miembros del Comité:

JHON JAIRO HORTUA VILLALBA, Presidente JESSICA OSORIO – Secretaria Administrativa MARLON JONNATAN RODRÍGUEZ GUTIÉRREZ - Secretario de Hacienda HÉCTOR ARMANDO BARÓN RODRÍGUEZ Jefe Oficina de Desarrollo Institucional -LIDER MECI-MIPG OLGA PATRICIA CASTILLO RANGEL, Jefe de Control Interno, secretaria Técnica del comité INVITADOS: DIRECTOR DE PLANIFICACION DEL DESARROLLO Y

FINANZAS PUBLICAS DIRECTOR DE TALENTO HUMANO

DIRECTOR DE PRESUPUESTO Modalidad de la Reunión: virtual: https://meet.google.com/wzh-qiiw-sjw

ORDEN DEL DÍA:

1. Llamado a lista y verificación del quórum 2. Lectura y aprobación del orden del día 3. Seguimiento a avance cuarto componente MIPG:

http://www.fusagasuga-cundinamarca.gov.co/

mailto:[email protected]

https://meet.google.com/wzh-qiiw-sjw





Página 2 de 6

3.1 Seguimiento

y evaluación del desempeño institucional

a. Avance en Cumplimiento a metas de Plan de

Desarrollo 2021

PLANIFICACION DEL TERRITORIO

DIRECCION DE PLANIFICACION DEL DESARROLLO Y

FINANZAS PUBLICAS

Evaluación de la alta

dirección del desempeño institucional que

permite generar lineamientos claros para la mejora

y Análisis de la información y evaluación de los

datos que surgen por el seguimiento y la evaluación para

mejorar los productos y servicios y la satisfacción de los

grupos de valor - Toma de decisiones basada en el análisis

de los resultados de los seguimientos y evaluaciones, para

lograr los resultados, gestionar más eficiente y

eficazmente los recursos y facilitar la rendición de cuentas

a los ciudadanos y organismos de control

b. Ejecución presupuestal 2021

por sectores y dependencias

HACIENDA PUBLICA SECRETARIO DE

HACIENDA

c. Resultado del INDICE DE DESEMPEÑO

institucional a través del FURAG

DIRECCIONAMIENTO ESTRATEGICO

JEFE DE DESARROLLO

INSTITUCIONAL

Indicadores validados que brindan la

información suficiente y pertinente para

establecer el grado de avance o el logro de los objetivos y resultados esperados

d. Cumplimiento matriz de gestión y

plan de acción 2021

DIRECCIONAMIENTO

ESTRATEGICO

JEFE DE DESARROLLO

INSTITUCIONAL

e. Estado de avance

de las Políticas MIPG


JEFE DE DESARROLLO INSTITUCIONAL -

COMITÉ INSTITUCIONAL DE GESTION Y

PLANEACION

f. Resultados de la evaluación del

Sistema de Control

CONTROL Y SEGUIMIENTO JEFE CONTROL INTERNO







Página 3 de 6

Interno a través del

FURAG

g. Estadística de la

evaluación del desempeño funcionarios y si esta

ha sido tenido en cuenta en los programas de

capacitación 2021

GESTION DEL TALENTO

HUMANO

DIRECTOR DE

GESTION HUMANA

Seguimiento y evaluación

efectuados por los servidores que tienen a su cargo cada

proyecto, plan, programa o estrategia, en sus

diferentes etapas de desarrollo

h. estado del Sistema de Control Interno 2021

CONTROL Y SEGUIMIENTO JEFE DE CONTROL INTERNO

Desviaciones

detectadas en los avances de gestión e indicadores que

permitan establecer las acciones preventivas,

correctivas o de mejora, de manera inmediata

y Seguimiento a los riesgos identificados de acuerdo con la

política de administración de riesgos establecida

por la entidad

Seguimiento y evaluación del

desempeño institucional

evaluación del

Riesgo y sus Controles

Desviaciones detectadas en los

avances de gestión e indicadores que permitan establecer

las acciones preventivas, correctivas o de

mejora, de manera inmediata - Seguimiento a los

riesgos identificados de acuerdo con la política de

administración de riesgos establecida por la entidad

4. Seguimiento a pendientes







Página 4 de 6

TEMA RESPONSABL

E LINEA DE DEFENSA /

PROCESO COMITÉ

RESPONSABLE

1. Decreto 600 de 2018 oficina de desarrollo

institucional

estratégica- líder MECI-MIPG - proceso

direccionamiento estratégico

institucional de gestión y desempeño

2. Implementación de las políticas a través de actos administrativos

oficina de desarrollo

institucional




3. Guías de implementación y actos administrativos de implementación de las políticas de gestión y desempeño institucional


institucional




4. Ajuste a la política de administración de riesgos


institucional




5. Informe de auditorías 2021 y replanteo de auditorías en los programas de la entidad. 6. Proposiciones y Varios 7. Aprobación de Acta No. 06 de 2021 8. Finalización

DESARROLLO

1. El presidente del comité, cede la palabra a la secretaria Técnica para que proceda a hacer el llamado a lista y se verifica que hay quorum decisorio.

2. El presidente del comité, cede la palabra a la secretaria Técnica para que proceda a dar lectura al orden del día. El presidente del comité somete a aprobación el orden del día el cual es aprobado por unanimidad.

3. El presidente del Comité cede la palabra al Director de Planificación del Desarrollo y Finanzas Publicas para que presente el avance en cumplimiento a metas de Plan de Desarrollo 2021.Se anexa presentación.







Página 5 de 6

El Presidente del Comité cede la palabra al Director de Presupuesto para que presente la Ejecución presupuestal 2021 por sectores y dependencias. Se anexa presentación







Página 6 de 6

El secretario de hacienda recuerda los tiempos cortos de este año atípico y que es necesario ejecutar al máximo al mes de agosto.

El Jefe de desarrollo institucional pregunta al secretario de Hacienda cuál es el impacto en los ingresos del catastro multipropósito a lo que responde el secretario de hacienda responde que es muy mínimo el impacto. Pregunta el jefe de desarrollo institucional al secretario de Hacienda si es posible una reunión con catastro para revisar este impacto y generar estrategias. El secretario de hacienda recuerda los tiempos cortos de este año atípico y que es necesario ejecutar al máximo al mes de agosto.

El presidente del comité cede la palabra al jefe de desarrollo institucional para que presente el Resultado del INDICE DE DESEMPEÑO institucional a través del FURAG; Cumplimiento matriz de gestión y plan de acción 2021 y el estado de avance de las Políticas MIPG. El jefe de desarrollo institucional indica que el plan de mejoramiento estará acompañado por la función pública y que su presentación se realizara el día de mañana en comité institucional de gestión y desempeño.Se anexa presentación.

El Presidente del comité cede la palabra a la Jefe de Control Interno quien presenta los rresultados de la evaluación del Sistema de Control Interno a través del FURAG indicando que con radicado I-2021-19053 ID: 98760 se envió el informe de resultados de la medición del desempeño institucional de la Alcaldía de Fusagasugá vigencia 2020 a través del formulario único de reporte y avance de gestión-FURAG. Desde la pág. 123 a 135 se encuentra el resultado del SCI y las 89 recomendaciones sobre las que debe trabajar la administración. Es necesario revisar la evaluación independiente con la evaluación efectuada por la entidad en lo que respecta al Sistema de Control Interno dadas las diferencias marcadas en los resultados.







Página 7 de 6

68,0

77,9

66,3

71,8

68,9

66,2

66,0

55,0 60,0 65,0 70,0 75,0 80,0

D1 Talento Humano

D2DireccionamientoEstratégico y Planeación

D3 Gestión para Resultadoscon Valores

D4 Evaluación deResultados

D5 Información yComunicación

D6 Gestión delConocimiento

D7 Control Interno







Página 8 de 6

68,077,9

66,371,868,966,266,065,3

72,177,7

67,459,1

77,4

61,2

48,7

68,062,159,0

79,471,8

65,766,266,061,0

81,2

0,010,020,030,040,050,060,070,080,090,0

ALCALDIA DE FUSAGASUGA RESULTADO DE LAS POLITICAS DE DESEMPEÑO

INSTITUCIONAL VIGENCIA 2020







Página 9 de 6







Página 10 de 6

Las recomendaciones serán incluidas en el plan de fortalecimiento del SCI con el que se cuenta actualmente.

El presidente del comité cede la palabra al Director de Talento humano para que presente la eestadística de la evaluación del desempeño funcionarios y si esta ha sido tenido en cuenta en los programas de capacitación 2021. Se anexa presentación.

El presidente del comité cede la palabra a la Jefe de Control Interno quien presenta el estado del Sistema de Control Interno 2021. La Jefe de Control Interno indica que el informe semestral del que trata el Decreto 2106 de 2019. Artículo 156 y la Circular Externa No. 100 – 006 de 2019 de Función Pública para el segundo semestre de 2020 fue del 76% sobre 100. (ver radicado I-2021-00850 Id: 71117 Folios: 76 Fecha: 2021-01-19 17). Así mismo el resultado a través del formulario único de reporte y avance de gestión-FURAG para la vigencia 2020 en la evaluación independiente arrojo un 79,7%. El Plan de fortalecimiento del SCI presenta un avance del 50% en actividades en mantenimiento de control es decir presente y funcionando y se espera que para el primer semestre de 2021 esta evaluación arroje resultados cercanos al 80%.







Página 11 de 6

La Jefe de Control Interno indica que revisados los resultados del FURAG en los aspectos evaluados por la entidad es necesario revisar las evidencias aportadas a las preguntas respecto al Sistema de Control Interno, Política, componentes de la 7ma dimensión y líneas de defensa.

El presidente del comité cede la palabra a la Jefe de Control Interno quien presenta la evaluación del Riesgo y sus Controles. En este punto la Jefe de Control Interno informa que el seguimiento al componente de gestión de riesgos del plan anticorrupción 2021 se encontró lo siguiente:

RESULTADO DEL COMPONENTE: Gestión del Riesgo de Corrupción - Mapa

de Riesgos Corrupción

En este componente se tienen identificadas 6 actividades programadas a iniciar en el primer cuatrimestre y de estas, 4 actividades están definidas para ser cumplidas en este primer periodo y según lo reportado por las dependencias y lo evidenciado por la Oficina de Control Interno, se cumplió con el 100% de las actividades programadas así:

ACTIVIDAD INICIO FIN OBSERVACIONES RESPONSABLE

Actualización de la política de

administración de riesgos de la Alcaldía de Fusagasugá

15/12/2020 31/01/2021

Se evidencia mediante acta aprobada en el comité institucional de control interno que

para la vigencia 2021 se formuló la política de administración de riesgos

Oficina de

Desarrollo Institucional

Implementar la estrategia de "Facilitadores" en todas las

dependencias de la Administración.

28/01/2021 28/02/2021

Se evidencia que la Oficina de Desarrollo Institucional generó el directorio de enlaces con cada

una de las dependencias de la Administración Municipal

Oficina de Desarrollo

Institucional

Realizar una divulgación sobre la metodología de levantamiento, análisis, valoración y evaluación

del riesgo a los líderes de procesos y facilitadores.

20/04/2021 23/04/2021

Se evidencia que la Oficina de Desarrollo Institucional durante la vigencia 2021 realiza la

divulgación de la metodología para el levantamiento de riesgos.


Institucional

Elaborar cronograma para la construcción o actualización de los mapas de riesgos por

procesos y dependencias

26/04/2021 27/04/2021

Se evidencia que la Oficina de

Desarrollo Institucional presenta el cronograma de actividades para la actualización, ajuste y

construcción de las matrices de riesgos de la Administración Municipal.


Institucional







Página 12 de 6

En el seguimiento a los mapas de riesgos se ha identificado lo siguiente:

No se cuenta con el mapa de riesgos institucional.

Los mapas de riesgos se identificaron por dependencias y se requiere ajustar a los procesos de la entidad.

Los mapas de riesgos no incluyen los riesgos de seguridad de la información.

Los mapas de riesgos deben ser ajustados a la nueva metodología expedida por la función pública.

Los controles con que se cuentan en la actualidad no se encuentran adecuadamente diseñados. Se deben revisar y diseñar acorde a la guía para la administración de riesgos y diseño de controles en entidades públicas versión 5.

Con respecto a la Política de administración de riesgos, la oficina de control Interno realizo las siguientes observaciones a través de la consulta por correo electrónico institucional el 22 de mayo de 2021 las cuales se espera sean tenidas en cuenta por la entidad:

La Política de administración del riesgo debe establecer la declaración de

la entidad por ejemplo: “la Alcaldía de Fusagasugá se compromete a administrar adecuadamente los riesgos de gestión, de corrupción y de Seguridad Digital, asociados a los objetivos estratégicos, planes, proyectos y procesos institucionales, acatando la metodología propia para su gestión, determinando las acciones de control detectivas y preventivas oportunas para evitar la materialización y la actuación correctiva inmediata ante las eventualidades para mitigar las posibles consecuencias a fin de mantener los niveles de riesgo aceptables” .

El alcance debe establecer que para los riesgos de seguridad de la

información la metodología será acorde con el Modelo de Privacidad y Seguridad de Información, el Marco de Transformación Digital y lineamientos del Ministerio de Tecnologías de la Información y las Comunicaciones MINTIC. Para ello puede consultar el Anexo 4 “Lineamientos para la Gestión del Riesgo de Seguridad Digital en Entidades Públicas - Guía riesgos 2018.pdf” en el micro sitio de la función pública







Página 13 de 6

https://www.funcionpublica.gov.co/web/eva/biblioteca-virtual/-/document_library/bGsp2IjUBdeu/view_file/34316352?_com_liferay_document_library_web_portlet_DLPortlet_INSTANCE_bGsp2IjUBdeu_redirect=https%3A%2F%2Fwww.funcionpublica.gov.co%2Fweb%2Feva%2Fbiblioteca-virtual%2F-%2Fdocument_library%2FbGsp2IjUBdeu%2Fview%2F34316316%3F_com_liferay_document_library_web_portlet_DLPortlet_INSTANCE_bGsp2IjUBdeu_displayStyle%3Ddescriptive%26_com_liferay_document_library_web_portlet_DLPortlet_INSTANCE_bGsp2IjUBdeu_navigation%3Dhome

Los responsables:

En el rol de la tercera línea dice: " Llevar a cabo el seguimiento a los riesgos y estrategia de continuidad negocio consolidados en los mapas de riesgos y plan de continuidad de conformidad con el Plan Anual de Auditoria y reportar los resultados al CICI."

o ¿Cuál es la estrategia de continuidad de negocio consolidada en los mapas de riesgos?

o ¿dónde está consignado el plan de continuidad?

Es necesario establecer en el documento los escenarios de riesgo estandarizados para el diseño de la estrategia de continuidad de negocio y su tratamiento.

No se visualiza la responsabilidad del Comité Institucional de Coordinación de Control Interno ni del Comité Institucional de Gestión y Desempeño.

Además de las líneas de defensa y las responsabilidades designadas en la “Guía para la Administración del Riesgo en la Gestión, Corrupción y Seguridad Digital. Diseño de Controles en Entidades Públicas” del DAFP, es necesario indicar o profundizar en las responsabilidades que deberá tener designadas el Responsable de Seguridad Digital quien debe a su vez

definir el procedimiento para la Identificación y Valoración de Activos; Adoptar o adecuar el procedimiento formal para la gestión de riesgos de seguridad digital (Identificación, Análisis, Evaluación y Tratamiento). ; Asesorar y acompañar a la primera línea de defensa en la realización de la gestión de riesgos de seguridad digital y en la recomendación de controles para mitigar
















Página 14 de 6

los riesgos; Apoyar en el seguimiento a los planes de tratamiento de riesgo definidos.; Informar a la línea estratégica sobre cualquier variación importante en los niveles o valoraciones de los riesgos de seguridad digital.

Esta labor es esencial dado que la Resolución 500 de 2021 expedida por Mintic establece tareas asociadas a la gestión de riesgos de seguridad digital que necesariamente estarán integradas en el Modelo de Seguridad y privacidad de la información MSPI de la entidad.

No se encuentra en el documento y es necesario que la entidad determine: el apetito de riesgo: relaciona la metodología no obstante no indica cual

será el valor máximo deseable del nivel de riesgo que podría permitir el logro de los objetivos institucionales en condiciones normales de operación del modelo integrado de planeación y gestión en la entidad. (15, 20 cuál?)

La tolerancia al riesgo: no indica cual será el valor máximo deseable

valor que debe ser superior al apetito de riesgo y menor a la capacidad de riesgo.

la capacidad del riesgo no indica cual será el valor teniendo en cuenta qué es el valor máximo al combinar la escala de probabilidad e impacto.

Definir si gestionará los riesgos en todos los activos del inventario o solo

en aquellos que tengan un nivel de criticidad Alto, Esta decisión debe estar debidamente formalizada en el procedimiento de gestión de activos que solicita el Modelo de Seguridad y Privacidad de la Información. Adicionalmente, debe quedar explícita en la Política de Administración de Riesgos de la entidad, debidamente aprobada por el Comité Institucional de Coordinación de Control Interno.

Si la entidad decide mitigar o tratar el riesgo de seguridad digital mediante la selección de controles que permitan disminuir la probabilidad o el impacto del riesgo, deberá tener en cuenta la Sección 4. OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA, basados en la norma ISO/IEC 27001:2013 en su Anexo A, como un insumo base para mitigar los riesgos de seguridad digital, sin embargo, la entidad







Página 15 de 6

puede implementar nuevos controles de seguridad que no estén incluidos dentro del Anexo, siempre y cuando sean efectivos y eficaces para disminuir la probabilidad o el impacto del riesgo.

En el monitoreo por los dueños de proceso: Es necesario indicar cuál es

la metodología del monitoreo y que se monitorea ya sea a través de instructivo o cualquier otro documento y que este para su consulta. El documento puede ser la política de operación de administración de riesgos el cual debería señalar cual es el procedimiento a seguir en el monitoreo : por ejemplo que Los riesgos de gestión, corrupción y seguridad digital que se encuentren en zona de riesgo BAJO, que soporten documentación de sus controles en procedimientos, se evidencie la implementación de sus controles existentes y no presenten materialización durante la vigencia, pueden ser considerados para su eliminación, que instancia analizara los riesgos, si todos los mas de 190 riesgos con que cuenta la entidad se monitorearan , que estrategia y tratamiento se dará a los Riesgos con nivel crítico, Amenazas críticas, Vulnerabilidades críticas, Tipos de Activos afectados por los riesgos críticos (incluyendo servicios digitales o que delimitan con internet), Planes de tratamiento propuestos para la mitigación y si han sido ejecutados, Servicios digitales críticos en la entidad pública (Servicios o trámites para los ciudadanos o sistemas de información críticos para la entidad).

El monitoreo mensual por los dueños de proceso (secretarios, Jefes y Directores) solicitamos revisarlo dado que se debe establecerse un periodo que esté acorde con la planeación de la entidad, que se describa que instancia analizara el reporte respectivo respecto a Riesgos con nivel crítico

Incluir las acciones ante los riesgos materializados: No se establece

que actividades se deben realizar en caso de materialización de riesgos en cada una de sus tipologías.

el periodo de REVISIÓN RIESGOS INSTITUCIONALES debe replantearse toda vez que es muy general y no describe las instancias que realizan su análisis y fijación de estrategias







Página 16 de 6

Como sugerencias expresamos:

La divulgación y capacitación tanto de la Política, la metodología para

la gestión del riesgo debe realizarse a través de talleres prácticos, constructivos y constar en un plan de comunicaciones que permita verificar su correcta implementación, seguimiento, monitoreo y evaluación.

La entidad debe disponer de los recursos suficientes para el desarrollo de la gestión de riesgos de seguridad digital, (capital, tiempo, personal,

procesos, sistemas y tecnologías), con el fin de apoyar a los responsables en la implementación de controles y seguimiento de los riesgos de seguridad digital. La línea estratégica o alta dirección debe asignar entre otros, recursos

tales como: Personal capacitado e idóneo para la gestión del riesgo de

seguridad digital. Recursos económicos para la implementación de controles de mitigación de riesgos (con base al análisis de riesgo

realizado). Recursos para los aspectos de mejora continua, monitoreo y auditorías. Para el monitoreo o auditoria se requiere de personal capacitado en ISO 27001, gestión de incidentes 27035 y demás normas que permitan contar con personal idóneo para la realización de las auditorias. Puede solicitarse acompañamiento y orientación en el MinTIc a través del oficial de seguridad de la Información Jefe TIc de la entidad.

Es importante indicar que la construcción de la Política de Administración de riesgos debe construirse en el Comité Institucional de Gestión y desempeño y su aprobación deberá llevarse a Comité Institucional de Control Interno

4. En este punto, el presidente del comité cede la palabra al Jefe de Desarrollo

Institucional para que presente los pendientes así:

Modificación del Decreto 600 de 2021. Se anexa borrador. Una vez presentado, El jefe de Desarrollo Institucional informa que se encuentra en revisión y se presentara una vez se haya terminado. Interviene el jefe de Planificación del Desarrollo y finanzas públicas quien solicita aclaración sobre las políticas a su cargo teniendo en cuenta que él ya había realizado observaciones que la Planificación del territorio está a cargo de su dirección pero que la planificación institucional está a cargo de desarrollo institucional.







Página 17 de 6

Después de deliberar el tema el Jefe de Desarrollo Institucional indica que se tratara en comité de Gestión y desempeño Institucional para definir los líderes de Política.

Implementación de las políticas a través de actos administrativos; Actividad en proceso una vez se apruebe la actualización del Decreto 600 de 2017.

Guías de implementación y actos administrativos de implementación de las políticas de gestión y desempeño institucional. Se cuenta con el borrador de 9 guías. El jefe de Desarrollo Institucional realiza la presentacion de una de ellas como ejemplo de cómo será su construcción.

Ajuste a la política de administración de riesgos: se presenta el borrador y se traerá al próximo comité.

5. El presidente del comité cede la palabra a la Jefe de Control Interno quien inicia

su presentación indicando que para la vigencia 2021 la entidad programo 12 auditorías internas basada en riesgos las cuales se ejecutan acorde al Plan Institucional aprobado. El proceso de control y seguimiento del que hace parte la oficina de control Interno no se incluyó teniendo en cuenta que no podemos auditar nuestro propio trabajo. Para evaluar la gestión de la Oficina de Control Interno, la Contraloría de Cundinamarca en sus auditorías gubernamentales con enfoque integral auditan las oficinas de Control Interno y para este año revisara la conformidad de esta oficina de Control Interno. A la fecha de este informe se han realizado 3 auditorías internas basadas en riesgos las cuales arrojan 82 acciones de mejora tratadas en planes de mejora por los 3 procesos. Del total de mejora participan otros procesos en un 20% siendo reiterativo la desarticulación de las actividades por trabajarse por dependencias y no por procesos situación que afecta negativamente la gestión de los mismos.

PROCESO NC OB TOTAL COMPARTIDAS 20%


GESTION ADMINISTRATIVA

GESTION JURIDICA







Página 18 de 6

Proceso de convivencia y seguridad ciudadana

33 11 44 7 1 0

Gestión rural ambiental y del riesgo

8 6 14 1 0 1

Proceso de Gestión Tic

16 8 24 6 1 0

Los componentes de la 7ma dimensión que se incumplen recurrentemente es el

Ambiente de Control que es el conjunto de directrices y condiciones mínimas que

brinda la alta dirección de las organizaciones con el fin de implementar y fortalecer

su sistema de control interno: las actividades de control que son acciones

determinadas por la entidad generalmente expresadas a través de políticas de

operación, procesos y procedimientos que contribuyan al desarrollo de las

directrices impartidas por la alta dirección para el logro de sus objetivos.

Las líneas de defensa que se deben fortalecer son la estratégica: Alcalde y su gabinete, Comité de Gestión y desempeño Institucional; primera línea: Dueños de Proceso y sus equipos de trabajo y segunda línea: oficina de Dllo Institucional. El riesgo más recurrente a la que se enfrenta el proceso es ejecución y

administración de procesos que son las pérdidas derivadas de errores en la

ejecución y administración de procesos.

La Jefe de Control Interno indica que para las AUDITORIAS A LOS SISTEMAS DE GESTION DE LA ENTIDAD es necesario contar con auditores formados en las normas. Si revisamos la pregunta 471 del FURAG respecto al plan anual de auditoría de la entidad, se desarrollan las siguientes acciones: Evaluación al final de la vigencia de su nivel de cumplimiento Desarrollo de auditorías al modelo de seguridad y privacidad de la información (MSPI) Desarrollo de auditorías de accesibilidad web, conforme a la norma técnica NTC 5854 Desarrollo de auditorías de gestión conforme a la norma técnica NTC 6047 de infraestructura. Es importante







Página 19 de 6

indicar que los responsables de los sistemas (MIPG, MSPI, y SST) son quienes tienen a cargo coordinar las auditorias con el Jefe de Control Interno y presentarlos antes este comité. En el desarrollo de las actividades de auditoria de la presente vigencia, nos hemos encontrado al interior de los Planes y programas actividades en las que comprometen a la oficina de Control Interno como responsable de las auditorias. Como se ha manifestado en diferentes escenarios para realizar auditorías como las enunciadas al modelo de seguridad y privacidad de la información (MSPI) Desarrollo de auditorías de accesibilidad web, conforme a la norma técnica NTC 5854 Desarrollo de auditorías de gestión conforme a la norma técnica NTC 6047 de infraestructura la entidad debe formar auditores en estas normas y proveer los recursos (humanos, tecnológicos, presupuesto etc.) encaminadas a ello. La oficina de Control Interno como coordinador estará atenta a colaborar en todo el proceso pero no es quien define actividades de auditoria. Esto lo debe definir la entidad que en últimas es quien aprueba a través de este comité que auditorias se realizan. Por esta razón se insta al comité de Gestión y desempeño Institucional para que cuando se lleven a aprobación los documentos en próximas vigencias se exija la socialización de los planes y programas que involucren dependencias para su realización y se monitoree a través de este comité su realización para evitar incumplimientos en los mismos. SOLICITUD DE MODIFICACION O REPLANTEO AUDITORIA AL PROCESO DE GESTION ADMINISTRATIVA:

PARA LAS AUDITORÍAS AL PROGRAMA DE GESTIÓN DOCUMENTAL versión

2, se encuentra incluida como unidad auditable en la auditoria basada en riesgos al proceso de gestión administrativa que se llevara a cabo del 22 de septiembre al 10 de octubre de 2021. Para esta unidad auditable se presenta solicitud para ampliar el alcance en esta unidad auditable a las secretarias, dependencias u oficinas para

identificar las debilidades que permitan la toma de acciones correctivas y preventivas e incluir en esta revisión a las funcionarias de la unidad de archivo

para dar cumplimiento al numeral 4.5 programa de auditoría y control contenido







Página 20 de 6

en el Programa de Gestión documental versión 2 aprobado para los años 2019 al 2022.

Es importante indicar que la oficina de Control Interno realiza seguimiento al plan de Mejora Archivístico con el AGN, (radicado 1-2017-09396 del 1 de noviembre de 2017), contiene 16 actividades para 8 hallazgos que expiraron en tiempo el 13 de diciembre de 2019 con un cumplimiento del 80%. El 25 de noviembre de 2020 a







Página 21 de 6

través de reunión virtual se realizó visita de seguimiento por parte del AGN en la cual se evaluó el plan Archivístico. Una vez realizado el respectivo análisis y la verificación de la información entregada por la entidad y de conformidad con lo establecido en el artículo 2.8.8.4.5 del Decreto 1080 de 2015. La fecha de inicio del PMA en la etapa de inspección no debe ser modificada, solamente podrá ser modificada la fecha final. Se deben tener en cuenta las responsabilidades determinadas en la Ley 594 de 2000 en el artículo 11 sobre la obligatoriedad de la conformación de los archivos públicos, que están dadas para la creación, organización, preservación y control de los archivos, teniendo en cuenta los principios de procedencia y orden original, el ciclo vital de los documentos y la normatividad archivística y la responsabilidad que recae en los secretarios generales o los funcionarios administrativos de igual o superior jerarquía, pertenecientes a las entidades públicas, a cuyo cargo estén los archivos públicos, que tendrán la obligación de velar por la integridad, autenticidad, veracidad y fidelidad de la información de los documentos de archivo y serán responsables de su organización y conservación, así como de la prestación de los servicios archivísticos (artículo 16). De conformidad con lo establecido en el parágrafo 2º del artículo 2.8.8.4.6, la oficina de Control Interno presenta informes semestrales de seguimiento sobre cumplimiento del respectivo PMA, al Grupo de Inspección y Vigilancia del AGN. El incumplimiento de las acciones y actividades que se establezcan en el PMA, en los tiempos previstos, dará lugar a traslado a la oficina asesora jurídica del Archivo General de la Nación con el fin que se de inicio al procedimiento administrativo de carácter sancionatorio, de conformidad con el artículo 35 de la Ley 594 del 2000 y el Título VIII del Decreto 1080. UNIDAD AUDITABLE: POLÍTICA DE SEGURIDAD DIGITAL (RESOLUCIÓN 500 DE 2021- MSPI - PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN - MODELO DE GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL.- PAN DE ACCIÓN DE SEGUIMIENTO PAS CONPES 3854 DE 2016.RIESGOS Y GESTIÓN DE INCIDENTES DE SEGURIDAD DIGITAL) En la auditoria al proceso de Gestión TIC se incluyó como unidad auditable el Modelo de seguridad de la información. El resultado de la gestión del riesgo de seguridad digital para la vigencia 2020 la cual arrojo 11 No conformidades y 3







Página 22 de 6

observaciones para esta unidad auditable sobre los cuales el proceso deberá dar tratamiento a través de Plan de mejora por proceso. El detalle es el siguiente:

La Alcaldía de Fusagasugá, a través de Decreto Municipal 139 de 2018 adopto el Modelo de seguridad y privacidad de la información (MSPI) y delego como responsable de la implementación del MSPI y oficial de seguridad de la Información al Jefe TIC. En los documentos aportados por el proceso y los consultados por los auditores en la página web de la entidad se revisaron los siguientes documentos: MA-GT-002 v1 Manual de Seguridad y Privacidad La Alcaldía Del Municipio De Fusagasugá , PR-GT-003 v1 Procedimiento de Clasificación y etiquetado de la Información, PR-GT-004 Gestión de Medios Removibles , PT-GT-001 Protocolo de servicios informáticos y compromiso de confidencialidad sobre tratamiento de datos, FO-GT-013 v2 Inventario de activos de la información, FO-GT-014 v2 Matriz de riesgos, FO-GT-015 v1 declaración de aplicabilidad del modelo de seguridad y privacidad de la información y FO-GT-016 etiquetado y clasificación de la información v1 No se evidencia que se haya efectuado una revisión al Modelo de seguridad y privacidad de la información en todos sus componentes y documentos asociados como tampoco se encontraron en detalle los principales aspectos de la revisión 2020 como insumo para actualizar el MSPI en la vigencia 2021. No se encontró evidencia de la ejecución y avance de las actividades que hacen parte del MSPI (aproximadamente 60), se revisó la evidencia aportada denominada instrumento de evaluación del modelo del MSPI el cual mide la madurez pero no es preciso para medir el grado de ejecución de las actividades propuestas del MSPI. No se encontró evidencia de la evaluación de la efectividad del MSPI y su presentación a la alta dirección, se revisó la evidencia presentada denominada instrumento de evaluación del modelo del MSPI el cual como se señala en el numeral anterior el instrumento aportado solo esta diligenciado hasta las pruebas







Página 23 de 6

administrativas sin diligenciar las pruebas técnicas situación que no permite obtener una evaluación integral y precisa del MSPI. No se encontró evidencia de la programación y ejecución de las revisiones por parte del encargado de seguridad y privacidad de la información al MSPI. Vigencia 2020. No se encontró evidencia de la evaluación de los indicadores del MSPI se revisó la evidencia presentada denominada instrumento de evaluación del modelo del MSPI el cual como se señala en el numeral anterior el instrumento aportado solo esta diligenciado hasta las pruebas administrativas sin diligenciar las pruebas técnicas situación que no permite obtener una evaluación integral y precisa del MSPI. No se encontró evidencia con respecto al monitoreo sobre el cumplimiento de las 10 políticas que hacen parte del MSPI: 1. POLÍTICA DE CONTROL DE ACCESO 2. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIA 3. POLÍTICA DE USO ACEPTABLE DE LOS ACTIVOS 4. POLÍTICA DE DESARROLLO SEGURO DE SOFTWARE 5. POLÍTICA DE CONSTRUCCIÓN DE SISTEMAS SEGUROS 6. POLÍTICA DE GENERACIÓN Y RESTAURACIÓN DE COPIAS DE RESPALDO 7. POLÍTICA DE USO DE DISPOSITIVOS MÓVILES 8. POLÍTICA DE TRASFERENCIA DE LA INFORMACIÓN 9. POLÍTICA DE SEGURIDAD PROVEEDORES 10. POLÍTICA DE LEGISLACIÓN APLICABLE Y REQUISITOS CONTRACTUALES

No se encontraron registros que evidencien la asignación de roles y responsabilidades frente al acceso a la centro de datos o data center en el que la administración municipal tiene infraestructura tecnológica que debe protegerse y asegurar el control, seguimiento y acceso. No se hayo registro de acceso por parte de los responsables, así como tampoco un procedimiento claro para el mismo que garantice la trazabilidad y actividades, entendiendo que estos equipos contienen información crítica de la entidad. Con las anteriores no conformidades se incumple lo establecido en el numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información







Página 24 de 6

del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01.

En cuanto a la seguridad y protección de los datos personales en La Política de tratamiento de datos personales de la Alcaldía de Fusagasugá Vr. 3, establece en el numeral 5, literal c “la Secretaría administrativa realizará el control y seguimiento de respuestas a las PQRSD relacionados con la ley de protección de datos personales que los titulares realicen, de acuerdo a la competencia de las dependencias” “Los funcionarios, responsables del tratamiento de la información de los titulares corresponden a los que sean definidos como el propietario en el inventario de activos de información.”

Se evidencia contrato de compraventa No. 2020-0364 con objeto “compra de la actualización de html5 y licencias, para el software SGDEA ControlDoc.”, con lo cual se mejora el sistema de información mejorando el acceso a la carpeta ciudadana y el envío de notificaciones electrónicas Se realizaron capacitaciones a través de la plataforma Moodle con 122 ciudadanos inscritos. La identificación digital de los ciudadanos se realiza mediante usuario y contraseñas personales.

En el marco de la estrategia de máxima velocidad para el circuito de verano del MINTIC del 2020, la oficina tic realizó la actualización en el formato dispuesto para la identificación de los sistemas de información en el Catálogo de Sistemas de Información. Teniendo en cuenta el FO-GT-013 Inventario activos de información, se identifica los responsables y custodios de la información en el que se evidencia que corresponde al líder de cada proceso.

Se cuenta en el sitio web de la Alcaldía con un espacio para la Política de privacidad y condiciones de uso. En la página salud.fusagasuga.gov.co y https://observatorio.fusagasuga.gov.co/ se encuentra un vínculo que dice política de privacidad y condiciones de uso, sin embargo, redirecciona a la página de la alcaldía.



https://observatorio.fusagasuga.gov.co/





Página 25 de 6

Se encontró en el manual de seguridad de la información que el liderazgo para asegurar el cumplimiento de la Ley de transparencia está a cargo del jefe de la Oficina TIC.

No se encuentra actualizado el inventario de activos de información en la vigencia 2020.

Se encontraron vínculos en las páginas que direccionan a lugares sin contenido:

Link de PQRSD en la parte inferior de la página de la alcaldía direcciona a una página que no existe.

En la pestaña de conectividad al seleccionar capacitación no se encuentra información relacionada.

En la pestaña de proyectos aparece proyectos vigentes pero al dar clic en el botón de proyectos vigentes redirecciona a la página de inicio.

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. MAPA DE RIESGOS DEL PROCESO Y SUS CONTROLES CRONOGRAMA PLAN DE MANTENIMIENTO: Revisado el cronograma aportado por el proceso no se evidencio la actividad de mantenimiento a realizar como tampoco la persona responsable. INVERSION PLAN DE MANTENIMIENTO: Dentro de las evidencias suministradas se observó una matriz en donde se describe el personal de apoyo para el servicio de incidentes, diagnósticos técnicos, inventario de equipos tecnológicos, mantenimiento correctivo y preventivo de equipos tecnológicos el cual consta de un profesional de planta, un contratista, 4 pasantes del SENA y 3 pasantes de la Universidad de Cundinamarca. Sin embargo, no se evidenció una descripción de la inversión en cuanto a mantenimiento de los equipos para el año 2020 Se solicitó una descripción detallada de la inversión realizada en la vigencia 2020 para ejecutar el plan de mantenimiento preventivo, SOCIALIZACION DEL PLAN DE MANTENIMIENTO VIGENCIA 2020. No se presentaron las evidencias de socialización a los funcionarios de la Administración Municipal del plan de mantenimiento preventivo de la vigencia 2020.







Página 26 de 6

EVALUACION Y SEGUIMIENTO dentro de los registros aportados No se evidenció una metodología, ni un plan de trabajo que permita realizar la evaluación y seguimiento al plan de mantenimiento correspondiente a la vigencia 2020. CUMPLIMIENTO AL CRONOGRAMA Revisado el cronograma del plan de mantenimiento se evidenció que no se dio cumplimiento, toda vez que de 648 equipos estimados en el plan para mantenimiento preventivo, solo se realizaron 6 correspondientes a los servidores del centro de datos ubicados en el tercer piso, sin embargo todas las solicitudes de mantenimiento correctivo recibidas telefónicamente y por control doc en el año 2020 se atendieron. SOLICITUD DE MANTENIMIENTO CORRECTIVO DE SOFTWARE Y HARDWARE, por lo tanto Se deben actualizar, los procedimientos, formatos y demás que sean necesarios para el proceso, toda vez que los existentes ya no corresponden con la operación o los cambios en la forma de desempeñar las actividades el proceso. MAPA DE RIESGOS DEL PROCESO: no cumple la metodología señalada en la

guía DAFP y estos se identificaron por dependencia y no por proceso como indica la Política de Administración de riesgos de la Alcaldía de Fusagasugá vigencia 2020 que establece que los riesgos se manejarán y administrarán por proceso. Revisado los CONTROLES: el diseño de 4 de ellos requieren revisar el tratamiento de

transferencias de riesgos. Es necesario que el proceso ajuste el mapa de riesgos con los de seguridad de la información y demás sistemas en coordinación con el proceso de Direccionamiento Estratégico. Es importante indicar que con radicado I-2020-15598 Id: 64457 del 3 de diciembre de 2020 la Oficina de Control Interno presento informe de evaluación la Política de riesgos, mapa de riesgos y controles vigencia 2020 en el cual informo entre otros aspectos que la entidad no ha identificado los riesgos de seguridad digital: se deben generar indicadores para medir la gestión realizada en cuanto a la eficacia y la efectividad de los planes de tratamiento implementados. La entidad debería definir como mínimo 2 indicadores POR PROCESO de la siguiente manera: 1 indicador de eficacia que indique el cumplimiento de las actividades para la gestión del riesgo de seguridad digital en cada PROCESO de la entidad.







Página 27 de 6

■ 1 indicador de efectividad para cada riesgo o la suma de todos los riesgos de seguridad digital (pérdida de confidencialidad, de integridad, de disponibilidad). CONTINUIDAD DE LA OPERACIÓN : El Plan de Continuidad de Negocio definido en el MSPI como procedimientos documentados que guían orientan a las organizaciones para responder, recuperar, reanudar y restaurar la operación a un nivel pre-definido de operación debido una vez presentada / tras la interrupción. La implementación de la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de incidentes disruptivos y, en caso de producirse, la organización estará preparada para responder en forma adecuada y oportuna, de esa manera se reduce de manera significativa un daño potencial que pueda ser ocasionado por de ese incidente. No se aportó el PLAN DE CONTINUIDAD DEL NEGOCIO Para la información o las aplicaciones que se respalda como parte de una estrategia de continuidad del negocio, se deben tener en cuenta las ubicaciones físicas de las copias y el medio de respaldo más conveniente. Se deben tener en cuenta los resultados del BIA (Bussines Impact Analisis, por sus siglas en inglés) para definir lo que se va respaldar y la manera en se va a hacer. 11.6.4. ESTRATEGIA DE RESPALDO Se debe definir una estrategia de respaldo para los diferentes tipos de activos de información, la cual debe contemplar los requerimientos surgidos de las necesidades puntuales, de los diferentes escenarios de respaldo, y de las consideraciones de seguridad de la información, entre otros aspectos. aspectos de seguridad de la información de la gestión de la continuidad del negocio Continuidad de la seguridad de la información Planificación de la continuidad de la seguridad de la información, Política de seguridad Digital, Implementación de la continuidad de la seguridad de la información, Verificación, revisión y evaluación de la continuidad de la seguridad de la información Redundancias, Disponibilidad de instalaciones de procesamiento de información. La Oficina de Control Interno genera ALERTA a la entidad para que de manera inmediata adelante las acciones para el cumplimiento de los lineamientos y estándares para la estrategia de seguridad digital, revisar y actualizar el modelo de seguridad y privacidad de la información MSPI como habilitador de







Página 28 de 6

la política de Gobierno Digital establecida en la Resolución 500 de marzo 10

DE 2021 expedida por MInTIC. Es necesario que la entidad a través del proceso de Gestión TIC establezca la interacción del Modelo de seguridad y privacidad de la información (MSPI) con el Modelo Nacional de gestión de riesgos de seguridad digital (MGRSD) Conforme lo indica el ámbito de aplicación del Decreto 1078 de 2015 respecto a la estrategia de Gobierno Digital –GD para ello puede consultar el Anexo 4 “Lineamientos para la Gestión del Riesgo de Seguridad Digital en Entidades Públicas - Guía riesgos 2018.pdf” en el micro sitio de la función pública o Mintic. Se hace relevante la alerta toda vez que las entidades públicas deben realizar la implementación del Modelo de Seguridad y Privacidad de la Información -MSPI- con el objetivo de conformar un Sistema de Gestión de Seguridad de la Información al interior de la entidad. El MSPI integra en cada una de sus fases tareas asociadas a la gestión de riesgos de seguridad digital, ya que esta práctica constituye su base fundamental. La interacción entre ambos modelos requiere: 1. Las actividades de identificación de activos, identificación, análisis, evaluación y tratamiento de los riesgos se alinean con la fase de PLANIFICACIÓN del MSPI. 2. Las actividades de implementación de los planes de tratamiento de riesgos se alinean con la fase de IMPLEMENTACIÓN del MSPI. 3. Las actividades de monitoreo y revisión, revisión de los riesgos residuales, efectividad de los planes de tratamiento o los controles implementados y auditorías se alinean con la fase de MEDICIÓN DEL DESEMPEÑO del MSPI. 4. Las actividades de MEJORAMIENTO CONTINUO en ambos modelos son similares y trabajan simultáneamente, ya que dependerán de las fases de Medición del Desempeño para identificar aspectos a mejorar en la aplicación de ambos Modelos. Por su parte la estrategia de seguridad digital debe:

1. Ser aprobada a través de un acto administrativo de carácter general.







Página 29 de 6

2. Contar con un análisis y tratamiento de riesgos de seguridad digital e implementar controles que permitan gestionarlos. 3. Establecer los roles y responsabilidades al interior de la entidad asociados a la seguridad digital. 4. Establecer e implementar los principios, lineamientos y estrategias para promover una cultura para la seguridad digital y de la información que incluya actividades de difusión, capacitación y concientización tanto al interior de la entidad como frente a usuarios y terceros que ésta considere relevantes para mejorar habilidades y promover conciencia en la seguridad de la información. Estas actividades deben realizarse anualmente y pueden incluirse, adicionalmente, en el Plan Institucional de Capacitaciones PIC, o el que haga sus veces. 5. La estrategia debe incluir todas las tecnologías de la información y las comunicaciones que utiliza la organización, incluida la adopción de nuevas tecnologías o tecnologías emergentes.

El artículo 3 de la citada resolución 500 de 2021 establece como lineamientos generales. adoptar medidas técnicas, administrativas y de talento humano para garantizar que la seguridad digital se incorpore al plan de seguridad y privacidad de la información y así mitigar riesgos relacionados con la protección y la privacidad de la información e incidentes de seguridad digital. Las entidades deben contar con políticas, procesos, procedimientos, guías, manuales y formatos para garantizar el cumplimiento al ciclo PHVA del MSPI. En ese sentido, deben adoptar los lineamientos del MSPI, guía de riesgos y gestión de incidentes de seguridad digital que se relacionan en el Anexo 1 de la presente resolución. Para todos los procesos, trámites, sistemas de información, infraestructura tecnológica e infraestructura crítica de los sujetos obligados, se deben adoptar medidas de seguridad eficientes alienadas al MSPI, para prestar servicios de confianza, generando protección de la información de los ciudadanos, gestionando los riesgos y los incidentes de seguridad digital. Aspectos que se advierten: El Plan de Seguridad y Privacidad de la Información contempla la protección de la información digital, medios impresos y físicos digitales y no digitales lo que implica su articulación con el programa de Gestión documental de la entidad y las Políticas con las que interactúa entre ellas la política de Gestión documental.







Página 30 de 6

La estrategia de seguridad digital debe definirse en la implementación del Modelo de Seguridad y Privacidad de la Información -MSPI, así como de la guía de gestión de riesgos de seguridad de la información y del procedimiento de gestión de incidentes de seguridad digital, incorporadas en el Anexo 1 de la resolución 500 de 2021 y estar debidamente articulada al habilitador de seguridad y privacidad de la Política de Gobierno Digital. NC: REVISIÓN MSPI : no se evidencia que se haya efectuado una revisión al Modelo de seguridad y privacidad de la información en todos sus componentes y documentos asociados como tampoco se encontraron en detalle los principales aspectos de la revisión 2020 como insumo para actualizar el MSPI en la vigencia 2021. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control,

actividades de control: autoevaluación Línea de defensa que se debe fortalecer: Línea Estratégica, primera y Segunda

Línea de defensa Posible riesgo a la que se enfrenta el proceso

Ejecución y administración de procesos

NC: ACTIVIDADES MSPI: No se encontró evidencia de la ejecución y avance de

las actividades que hacen parte del MSPI (aproximadamente 60), se revisó la evidencia aportada denominada instrumento de evaluación del modelo del MSPI el cual mide la madurez pero no es preciso para medir el grado de ejecución de las actividades propuestas del MSPI. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control, actividades de control: autoevaluación Línea de defensa que se debe fortalecer: Línea Estratégica, primera y Segunda Línea de defensa







Página 31 de 6

Posible riesgo a la que se enfrenta el proceso


NC: EVALUACIÓN DE LA EFECTIVIDAD DEL MSPI Y SU PRESENTACIÓN A LA ALTA DIRECCIÓN: No se encontró evidencia de la evaluación de la efectividad del MSPI y su presentación a la alta dirección, se revisó la evidencia presentada denominada instrumento de evaluación del modelo del MSPI el cual como se señala en el numeral anterior el instrumento aportado solo esta diligenciado hasta las pruebas administrativas sin diligenciar las pruebas técnicas situación que no permite obtener una evaluación integral y precisa del MSPI. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control, actividades de control: autoevaluación Línea de defensa que se debe fortalecer: Línea Estratégica, primera y Segunda Línea de defensa Posible riesgo a la que se enfrenta el proceso


NC: OFICIAL DE SEGURIDAD DE LA INFORMACION: No se encontró evidencia

de la programación y ejecución de las revisiones por parte del encargado de seguridad y privacidad de la información al MSPI. Vigencia 2020. Criterio que incumple: Decreto 139 de 2018 art 3, numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control,










Página 32 de 6

NC: INDICADORES DEL MSPI No se encontró evidencia de la evaluación de los

indicadores del MSPI se revisó la evidencia presentada denominada instrumento de evaluación del modelo del MSPI el cual como se señala en el numeral anterior el instrumento aportado solo esta diligenciado hasta las pruebas administrativas sin diligenciar las pruebas técnicas situación que no permite obtener una evaluación integral y precisa del MSPI. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control,




NC: MONITOREO CUMPLIMIENTO 10 POLÍTICAS MSPI: No se encontró

evidencia con respecto al monitoreo sobre el cumplimiento de las 10 políticas que hacen parte del MSPI: 1. POLÍTICA DE CONTROL DE ACCESO 2. POLÍTICA DE ESCRITORIO Y PANTALLA LIMPIA 3. POLÍTICA DE USO ACEPTABLE DE LOS ACTIVOS 4. POLÍTICA DE DESARROLLO SEGURO DE SOFTWARE 5. POLÍTICA DE CONSTRUCCIÓN DE SISTEMAS SEGUROS 6. POLÍTICA DE GENERACIÓN Y RESTAURACIÓN DE COPIAS DE RESPALDO 7. POLÍTICA DE USO DE DISPOSITIVOS MÓVILES 8. POLÍTICA DE TRASFERENCIA DE LA INFORMACIÓN 9. POLÍTICA DE SEGURIDAD PROVEEDORES 10. POLÍTICA DE LEGISLACIÓN APLICABLE Y REQUISITOS CONTRACTUALES Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01.







Página 33 de 6

Componente de la séptima dimensión que incumple: Ambiente de Control,




NC: DATA CENTER: No se encontraron registros que evidencien la asignación de

roles y responsabilidades frente al acceso a la centro de datos o data center en el que la administración municipal tiene infraestructura tecnológica que debe protegerse y asegurar el control, seguimiento y acceso. No HAY registro de acceso por parte de los responsables, así como tampoco un procedimiento claro para el mismo que garantice la trazabilidad y actividades, entendiendo que estos equipos contienen información crítica de la entidad. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control, actividades de control: autoevaluación Línea de defensa que se debe fortalecer: Línea Estratégica, primera y Segunda Línea de defensa Posible riesgo a la que se enfrenta el proceso


NC: SOCIALIZACION DEL PLAN DE MANTENIMIENTO VIGENCIA 2020. No se

presentaron las evidencias de socialización a los funcionarios de la Administración Municipal del plan de mantenimiento preventivo de la vigencia 2020. Criterio que incumple: Procedimiento servicio de soporte técnico PR-GT-001 Componente de la séptima dimensión que incumple: Información y

Comunicación. Línea de defensa que se debe fortalecer: Segunda Línea de Defensa Posibles riesgos a los que se enfrenta el proceso: Ejecución y Administración de procesos NC EVALUACION Y SEGUIMIENTO dentro de los registros aportados No se evidenció una metodología, ni un plan de trabajo que permita realizar la evaluación y seguimiento al plan de mantenimiento correspondiente a la vigencia 2020.







Página 34 de 6

Criterio que incumple: Procedimiento servicio de soporte técnico PR-GT-001 Componente de la séptima dimensión que incumple: Actividades de Monitoreo. Línea de defensa que se debe fortalecer: Primera y Segunda línea de defensas Posibles riesgos a los que se enfrenta el proceso: Ejecución y Administración de procesos. NC: CUMPLIMIENTO AL CRONOGRAMA Revisado el cronograma del plan de mantenimiento se evidenció que no se dio cumplimiento, toda vez que de 648 equipos estimados en el plan para mantenimiento preventivo, solo se realizaron 6 correspondientes a los servidores del centro de datos ubicados en el tercer piso, sin embargo todas las solicitudes de mantenimiento correctivo recibidas telefónicamente y por control doc en el año 2020 se atendieron. Criterio que incumple: Procedimiento servicio de soporte técnico PR-GT-001 Componente de la séptima dimensión que incumple: Actividades de control Línea de defensa que se debe fortalecer: Primera y segunda línea de defensa Posibles riesgos a los que se enfrenta el proceso: Ejecución y Administración

de procesos. NC: No se aportó el PLAN DE CONTINUIDAD DEL NEGOCIO Para la información

o las aplicaciones que se respalda como parte de una estrategia de continuidad del negocio, se deben tener en cuenta las ubicaciones físicas de las copias y el medio de respaldo más conveniente. Se deben tener en cuenta los resultados del BIA (Bussines Impact Analisis, por sus siglas en inglés) para definir lo que se va respaldar y la manera en se va a hacer. 11.6.4. ESTRATEGIA DE RESPALDO Se debe definir una estrategia de respaldo para los diferentes tipos de activos de información, la cual debe contemplar los requerimientos surgidos de las necesidades puntuales, de los diferentes escenarios de respaldo, y de las consideraciones de seguridad de la información, entre otros aspectos. Aspectos de seguridad de la información de la gestión de la continuidad del negocio Continuidad de la seguridad de la información Planificación de la continuidad de la seguridad de la información, Política de seguridad Digital, Implementación de la continuidad de la seguridad de la información, Verificación, revisión y evaluación de la continuidad de la seguridad de la información Redundancias, Disponibilidad de instalaciones de procesamiento de información. Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad







Página 35 de 6

y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control,




NC MAPA DE RIESGOS DEL PROCESO: no cumple la metodología señalada en

la guía dafp Revisado los controles: su diseño 4 de ellos requieren revisar el tratamiento de transferencias de riesgos compartida con proceso de DIRECCIONAMIENTO ESTRATEGICO

Criterio que incumple: numeral 10.3 Verificación, Evaluación de Desempeño, el numeral 10.4 Mejora Continua y el Numeral 7. Directrices de la Política de Seguridad y Privacidad de la Información del MANUAL DE SEGURIDAD Y PRIVACIDAD LA ALCALDÍA DEL MUNICIPIO DE FUSAGASUGÁ VERSION 01. Componente de la séptima dimensión que incumple: Ambiente de Control, actividades de control : autoevaluación Línea de defensa que se debe fortalecer: Línea Estratégica, primera y Segunda Línea de defensa Posible riesgo a la que se enfrenta el proceso


OBS : Política de privacidad y condiciones de uso. Se cuenta en el sitio web de la Alcaldía con un espacio para la Política de privacidad y condiciones de uso No se encontró en otras páginas de la alcaldía con los términos y condiciones:

1. https://fusagasugadigital.gov.co 2. https://controldoc.fusagasugadigital.gov.co 3. https://aula.fusagasuga.gov.co 4. https://intranet.fusagasuga.gov.co 5. https://observatorio.fusagasuga.gov.co/ 6. https://saat.fusagasuga.gov.co 7. https://salud.fusagasuga.gov.co 8. https://tic.fusagasuga.gov.co 9. https://solidaridad.fusagasuga.gov.co







Página 36 de 6

En la página salud.fusagasuga.gov.co y https://observatorio.fusagasuga.gov.co/ se encuentra un vínculo que dice política de privacidad y condiciones de uso, sin embargo, redirecciona a la página de la alcaldía.

Criterio que Incumple: Ley de transparencia. Guía para la Gestión y Clasificación

de Activos de Información de MinTic numeral 6.1. ...Es recomendable que la definición del inventario se lleve a cabo por lo menos una vez al año.”

Componente de la séptima dimensión que incumple: : ambiente de control Línea de defensa que se debe fortalecer: primera y segunda línea de defensa; Posible riesgo a la que se enfrenta el proceso: usuarios, productos y prácticas: OBS CRONOGRAMA PLAN DE MANTENIMIENTO: Revisado el cronograma

aportado por el proceso no se evidencio la actividad de mantenimiento a realizar como tampoco la persona responsable. Criterio que incumple: procedimiento servicio de soporte técnico pr-gt-001 Componente de la séptima dimensión que incumple: actividades de control Línea de defensa que se debe fortalecer: segunda línea de defensa Posibles riesgos a los que se enfrenta el proceso: ejecución y administración de

procesos. OBS: INVERSION PLAN DE MANTENIMIENTO: Dentro de las evidencias

suministradas se observó una matriz en donde se describe el personal de apoyo para el servicio de incidentes, diagnósticos técnicos, inventario de equipos tecnológicos, mantenimiento correctivo y preventivo de equipos tecnológicos el cual consta de un profesional de planta, un contratista, 4 pasantes del SENA y 3 pasantes de la Universidad de Cundinamarca. Sin embargo, no se evidenció una descripción de la inversión en cuanto a mantenimiento de los equipos para el año 2020. Criterio que incumple: procedimiento servicio de soporte técnico pr-gt-001 Componente de la séptima dimensión que incumple: actividades de control Línea de defensa que se debe fortalecer: direccionamiento estratégico, primera

línea de defensa y segunda línea de defensa Posibles riesgos a los que se enfrenta el proceso: ejecución y administración de

procesos



https://observatorio.fusagasuga.gov.co/





Página 37 de 6

AUDITORIAS AL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION MA-GT-002 Para este tema la Jefe de Control Interno relaciona que acorde a la guía 15 del MSPI las auditorias se deben realizar al menos una vez en el año, aunque esta periodicidad depende de las necesidades de la entidad. La Planificación de las auditorías a los sistemas de información en cada vigencia debe programarse por el oficial de la Información y líder de Política Institucional siguiendo los lineamientos de la guía de auditoria del MSPI , previa coordinación con el Jefe de Control Interno y presentarse por el oficial de la información al Comité Institucional del Sistema de Control Interno para su aprobación a comienzo de cada vigencia. (Radicado I-2021-17915 Id: 94699 del 13 de mayo de 2021 la Jefe de Control Interno en respuesta a requerimiento de la Oficina TIC respecto a las actividades adelantadas del plan de tratamiento de riesgos de la vigencia 2020 ) La Planificación debe contemplar los recursos: Humanos (verificar que se cuente con auditores formados en normas ISO27001, 27035 y NTC 5854). físicos y presupuestales determinando su alcance :si es :AUDITORIA INFORMATICA : actividad de recolectar, consolidar y evaluar evidencia para comprobar si la entidad ha avanzado en la implementación de controles, protección de los activos, mantenimiento de la integridad de los datos, si tiene claro los objetivos de seguridad de la entidad y si utiliza bien los recursos. y/o AUDITORIA DE SISTEMAS como aquella actividad donde se evalúa el manejo y la protección de la información residente en los sistemas de información, también califica la aptitud del recurso humano que gestiona estas plataformas y la eficiencia del recurso informático; METRICAS DE SEGURIDAD: Son las mediciones de los procesos que determinan que tan bien se cumplen los procesos de seguridad en la entidad, si los procesos cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la entidad. Para la vigencia 2021, El oficial de la información no ha presentado programación de auditorías a los sistemas anteriormente indicados. Para auditar los Sistemas de seguridad de la información que para las entidades territoriales se implementa a través del MSPI se requiere auditores formados en







Página 38 de 6

estos sistemas. Por ello la Jefe de Control Interno con Radicado I-2021-05976 Id: 87605 del 7 de abril de 2021 solicito a la Dirección de gestión humana en calidad de Coordinadora de auditorías de la entidad, incluir en el plan de capacitación de la vigencia 2021 la formación de auditores para los siguientes Sistemas: 1. Auditor del Sistema de Seguridad y Salud en el trabajo 2. Auditor del Modelo Integrado de Planeación y Gestión MIPG 3. Auditor del sistema de seguridad de la información. El número mínimo para esta formación deberá ser de 10 funcionarios que pueden ser diferentes para cada norma. Lo anterior con el fin de programar auditorías a dichos sistemas. La entidad cuenta con por lo menos 3 auditores en ISO27001, 2 en control Interno y 1 en las TIC. Es de resaltar que los auditores de la oficina TIC no podrán auditar su propio trabajo Es necesario que la entidad defina el tipo de auditoria (Sistemas de Información ISO27001, gestión de incidencias ISO27035, auditoria de sistemas, métricas de seguridad que realizara al MSPI, su alcance y competencia de los auditores para que de esta manera se programe y se ejecute en cada anualidad. El manual de seguridad de la información de la entidad MA-GT-002 versión 1 que

como se evidencio en la auditoria al proceso de Gestión TIC arrojo 11 No conformidades y 3 observaciones para esta unidad auditable sobre los cuales el proceso deberá dar tratamiento a través de Plan de mejora por proceso, establece en la AUDITORÍA INTERNA que este proceso se encuentra descrito en la

documentación del MSPI y debe ejecutarse anualmente por el Programa Anual de Auditorías Internas. El Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información de la entidad de la vigencia 2020 y 2021 establece en el punto 4.3 actividad 3 responsable del proceso de control y seguimiento (oficina de control Interno)” Incluir dentro del programa de auditora al área financiera, la evaluación frente a la aplicación de políticas, procedimientos y demás del Modelo de seguridad y privacidad de la información (MSPI), así como, verificar las acciones que realiza







Página 39 de 6

cada proceso según las actividades sugeridas en estos aspectos en el plan anticorrupción “ Con radicado I-2021-17827 Id: 94422 del 12 de mayo de 2021, la oficina de control Interno solicito ante el Comité de Gestión y desempeño Institucional la revisión y modificación y/o retiro de las actividades relacionadas en el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información, versión 3.0 de 2021 en las actividades en donde se encuentra relacionada la Oficina de Control Interno por las siguientes razones: Numeral 4.3 planificación - actividad 3: “Incluir dentro del programa de auditora

al área financiera, la evaluación frente a la aplicación de políticas, procedimientos y demás del Modelo de seguridad y privacidad de la información (MSPI), así como, verificar las acciones que realiza cada proceso según las actividades sugeridas en estos aspectos en el plan anticorrupción.” Responsable: Oficina de Control Interno (Proceso: Control y seguimiento). Fecha o periodo de ejecución: 1 vez al año Actividad realizada por la oficina de Control Interno: La oficina de control interno realiza seguimiento al Plan Anti corrupción con corte abril, agosto y diciembre en las actividades determinadas por la entidad en cada componente para cada vigencia situación que deberá ser tenida en cuenta. Numeral 4.7 Políticas de seguridad de la información – actividad 2:

Actividad: “Identificar en los procesos de auditoría interna 2021 el conocimiento y

aplicación de los funcionarios y contratista sobre sus responsabilidades y aplicación del MSPI, lo que implica el conocimiento de los conceptos de seguridad de la información, políticas, buenas prácticas, entre otros que se consideren pertinentes, en cumplimiento de lo indicado por la Contraloría de Cundinamarca, a través de las circulares emitidas el 21 de enero de 2019, Circular No. 001 cuyo asunto es: ACCIONES PARA EVITA EL FRAUDE Y LOS DELITOS ELECTRÓNICOS y Circular No. 002 con asunto: MEDIDAS DE PROTECCIÓN EN MATERIA DE DELITOS INFORMÁTICOS.”







Página 40 de 6

Responsable: Oficina de Control Interno (Proceso: Control y seguimiento). Fecha o periodo de ejecución: 1 vez al año Se solicita modificar o retirar como responsable de las anteriores actividades a la Oficina de Control Interno, teniendo en cuenta que el Comité Institucional de Control Interno, dentro del Plan de Auditoría para la vigencia 2021 aprobó realizar 12 auditorías basada en riesgos a los procesos, en donde no se encuentra contemplado realizar auditoría al proceso de Hacienda Pública ni a los sistemas de seguridad de la información, Modelo de seguridad y privacidad de la Información MSPI Para el ajuste de estas actividades se solicita seguir lo parámetros establecidos por el Ministerio de las Tecnologías de la Información de conformidad con la Guía No 15 del Modelo de seguridad y privacidad de la Información MSPI - Guía de Auditoría, la cual brinda información relacionada para poder llevar a cabo la Programación, Planeación y ejecución de auditoria al MSPI. Se informa al Comité Institucional del sistema de Control Interno que con Resolución 139 de 2018 la entidad adopto el MSPI y en Manual de seguridad de la información está indicado la realización de auditoria. Estas no se han realizado. En el año 2018 la entidad formo 10 auditores en la ISO 27001, no obstante para la vigencia 2019 7 de ellos se fueron de la administración municipal. Respecto a la auditorias 2018 y 2019 que se debieron realizar en la vigencia 2019 y 2020 respectivamente, el oficial de la seguridad de la Información no programo auditorias para dichas vigencias como tampoco para el año 2021 por la razón expuesta. En acta No 1 del Sistema de control Interno del 10 de enero de 2018 se consigna lo siguiente: Auditorías al SGSI : En cuanto a las auditorias del Sistema de Información estas no se presentan por cuanto no se ha integrado al Sistema de Gestión y a la fecha no se implementado. Acta No 2 del 25 de julio de 2018 se aprueba auditar a los siguientes procesos. a. Proceso de Transporte y Movilidad

b. Proceso de Convivencia y seguridad ciudadana

c. Proceso Jurídico y Contractual Posterior a ello los procesos solicitaron se cancelaron las auditorías a los procesos de Convivencia y seguridad ciudadana y Jurídico y Contractual por cambio de agenda en sus programas. Finalmente se audito el proceso de Movilidad.







Página 41 de 6

Para la vigencia 2019 no se programó auditoria al SGSI teniendo en cuenta que se habían formado 10 auditores en ISO27001 de los cuales solo quedaron 3 y los demás se fueron de la entidad ya que no pasaron el concurso SIMO. Para la vigencia 2020 se cuenta con la auditoria basada en riesgos al proceso Tic en el cual se incluyó como unidad auditable el MSPI el cual arrojo 11 NC y conformidades y 3 observaciones para esta unidad auditable sobre los cuales el proceso deberá dar tratamiento a través de Plan de mejora por proceso. Para la vigencia 2021, El oficial de la información no ha presentado programación de auditorías a los sistemas anteriormente indicados. El presidente del Comité somete a aprobación la ampliación del alcance de la auditoria al proceso de Gestión administrativa en los aspectos expuestos por la Jefe de Control Interno la cual es a probada por unanimidad. El presidente del Comité somete a aprobación de la modificación de las actividades de auditoria en la que se encuentra como responsable la oficina de Control Interno para que los responsables de los sistemas sean quienes programen las auditorias en cada anualidad en coordinación con el Jefe de Control Interno y COPASST en el caso de las auditorías al sistema de seguridad y salud en el trabajo. La oficina de Control Interno como tercera línea de defensa catalogara como unidad auditable el MSPI dentro de su Universo de Auditoría, conforme al Plan Anual de Auditoría aprobado por el Comité Institucional de Coordinación de Control Interno de la entidad. Este punto es aprobado por unanimidad 6. En este punto la Jefe de Control Interno Informa que las actas de comité se

encuentran publicadas en el botón de transparencia 7.1. reportes de control Interno. Interviene desarrollo institucional quien solicita a la Jefe de Control Interno que pueda ser invitado a las reuniones de cierre de auditoria a lo cual la Jefe de Control Interno indica que será invitado sin voz y sin voto. Interviene el Ingeniero Daniel Jefe Tic, solicitando que las auditorias no se realicen por dependencias sino a los procesos porque cuando se elaboran los planes de mejora en el caso de las Tic debe responder por actividades de otras dependencias de las cuales el no es responsable. Interviene la Jefe de Control Interno indicando que las auditorias basadas en riesgos se realizan por procesos no por dependencias y que cuando se audita es normal que se encuentre no conformidades de otros procesos precisamente



comité institucional del sistema de control interno

Documents

Transcript of comité institucional del sistema de control interno