PETIC integración digital 2016-2020intranetsdis.integracionsocial.gov.co/anexos/documentos/... · Web viewDe esta manera, la SDIS en el cumplimiento de su misión y de las metas

PETIC INTEGRACIÓN DIGITAL 2016-2020

Plan Estratégico de Tecnologías de la Información y las comunicaciones para la SDIS

Descripción breve Este documento se desarrolla como la carta de navegación para la

implementación del Plan Integración Digital 2016-2020, que permitirá hacer a la SDIS una entidad más eficiente y ofrecer un mejor servicio a los

beneficiarios mediante el uso de las TIC. Su alcance incluye la optimización de los servicios de TI y el fortalecimiento de la

infraestructura tecnológica de la SDIS, definiendo los objetivos estratégicos de cada componente TIC y los proyectos para alcanzarlos

Contenido1. Antecedentes...........................................................................................................................4

2. Propósito del Documento........................................................................................................4

3. Metodología para la realización del PETIC...............................................................................5

4. Diagnóstico por Componentes.................................................................................................6

4.1 Infraestructura TIC...............................................................................................................64.1.1 Data Center.....................................................................................................................64.1.2 Redes..............................................................................................................................84.1.3 Servidores.......................................................................................................................94.1.4 Almacenamiento...........................................................................................................104.1.5 Bases de Datos y Aplicaciones......................................................................................114.1.6 Backup..........................................................................................................................134.1.7 Directorio Activo...........................................................................................................144.1.8 Seguridad Perimetral....................................................................................................154.1.9 Conclusiones del diagnóstico de Infraestructura Tecnológica.......................................164.1.10 Consecuencias.............................................................................................................16

4.2 Desarrollo y Sistemas de Información...............................................................................164.2.1 Resumen resultado SIRBE.............................................................................................174.2.2 Sistemas de Información de Apoyo...............................................................................204.2.3 Conclusiones del diagnóstico de Sistemas de información y Desarrollo........................23

4.3 Análisis de Información.....................................................................................................234.3.1 Resumen resultados......................................................................................................244.3.2 Conclusiones del diagnóstico de Análisis de Información..............................................26

4.4 Mesa de Servicio y Soporte...............................................................................................264.4.1 Resumen resultados Mesa de Servicio y soporte...........................................................264.4.2 Resumen resultados Parque computacional.................................................................274.4.3 Resumen resultados Licenciamiento.............................................................................284.4.4 Conclusiones Mesa de Servicio y Soporte en Sitio.........................................................29

4.5 Grupo de Calidad y Soporte de aplicaciones.....................................................................294.5.1 Resumen resultados......................................................................................................29

4.6 Grupo de Información Geográfica.....................................................................................304.6.1 Resumen resultados......................................................................................................30

4.7 Riesgos legales...................................................................................................................304.7.1 Consideraciones para el diagnóstico legal....................................................................304.7.2 Resumen resultados......................................................................................................31

5. Misión de la SDIS...................................................................................................................31

6. Visión de la SDIS.....................................................................................................................31

7. Principios sobre los que se desarrolla el PETIC .....................................................................32

8. Metodología para la Implementación del plan......................................................................32

9. Objetivos PETIC......................................................................................................................33

9.1. Objetivo Estratégico .........................................................................................................339.2. Objetivos Específicos.........................................................................................................33

9.3. Objetivos Plan de Informática 2017...................................................................................3410. Lineamientos de MINTIC...................................................................................................34

11. Mapa Estratégico de la SII en el Marco de los Dominios de MINTIC..................................35

12. Arquitectura Sistema de Información................................................................................36

13. Plan de informática vigencia 2017.....................................................................................37

14. Presupuesto.......................................................................................................................38

15. Conclusiones......................................................................................................................38

13. Recomendaciones.............................................................................................................39

1. Antecedentes

Ilustración 1. Marco sobre el cual se desarrolla el Plan Estratégico de Tecnologías de la Información – PETIC

Partiendo de las funciones designadas a la Subdirección de Investigación e Información con el decreto 607 de Diciembre de 2007 y en concordancia con el decreto 1078 de 2015, el cual dispone que la entidades que conforman la administración pública serán sujetos obligados para el cumplimiento de las política y los lineamientos de la Estrategia de Gobierno en Línea, así como en el marco del decreto 2573 de 2014 que establece los lineamientos generales de Gobierno en Línea y demás normatividad vigente y aplicable, se resuelve elaborar el Plan Estratégico de Tecnologías de la Información y las Comunicaciones – PETIC para la Secretaría Distrital de Integración Social – SDIS.

2. Propósito del Documento La Subdirección de Investigación e Información ha venido realizando un trabajo arduo, para evaluar la infraestructura de TIC existente, el modelo de operación, los procesos misionales y en general para identificar todas las necesidades de la Secretaría de Integración Social - SDIS, para generar un plan estratégico de las TIC que se alinee a las necesidades de la Secretaría y el mapa estratégico, trazados por el Alcalde y la Secretaria de Integración Social en el plan de desarrollo de la entidad?. En este proceso se llevó a cabo un levantamiento de información que incluye un diagnóstico preliminar, reuniones de empalme, revisión del plan de desarrollo, implementación de herramientas TI de monitoreo, reuniones con la áreas misionales y de apoyo y los lineamientos dados por la Secretaría y la Directora de la Dirección de Análisis y Diseño Estratégico – DADE, que han permitido obtener los insumos necesarios para tener una visión general de la situación actual y de donde queremos llegar, para proponer el Plan Estratégico de Tecnologías de la Información y

las Comunicaciones – PETIC 2016-2020 del cual se expondrán los puntos más relevantes a lo largo de este documento, como marco fundamental para comprender el Plan de Informática 2017. EL PETIC se fundamenta en determinar las necesidades y generar modelos costo – beneficio que alineados al mapa estratégico de la SDIS y en el marco de los dominios de TI propuestos por el Ministerio de Tecnologías de la Información – MINTIC, estén dirigidos a los usuarios y beneficiarios de la SDIS, potenciando lo bueno que se ha implementado, corrigiendo los problemas encontrados e implementado todos aquellos componentes estratégicos, metodológicos y técnicos que hagan que la tecnología genere valor a la Secretaría, disminuyan Costos de Adquisición y Costos de Propiedad – TCO y se ajusten a normas legales, mejores prácticas y requerimientos de seguridad de la información. De esta manera, la SDIS en el cumplimiento de su misión y de las metas trazadas en el Plan de Desarrollo Bogotá Mejor para Todos 2016-2020, para cumplir y hacer seguimiento de forma eficiente a los objetivos trazados, ha propuesto un revolución digital expresada en el proyecto 1168 “Integración Digital y de Conocimiento para la Inclusión Social.”, en cuyo marco se propone el PETIC que busca hacer de la Secretaría Distrital de Integración Social, una entidad modelo de productividad y eficiencia mediante la implementación y apropiación de las TIC.

3. Metodología para la realización del PETIC

Ilustración 2. Metodología para la formulación del PETIC

La metodología para el diseño y formulación del PETIC, se desarrolla en tres fases, que permitirán entre otras, mediante un diagnóstico preliminar, identificar los problemas críticos y necesidades

prioritarias a resolver en corto tiempo, para luego concentrarse en las necesidades estratégicas de la entidad con las cuales se definirán los objetivos para formular el PETIC.

4. Diagnóstico por Componentes El diagnóstico tiene como objetivo identificar el estado actual de la Subdirección de Investigación e Información - SII en cada uno de sus componentes para identificar las necesidades críticas, problemas y riesgos que requieren tomar medidas de corto plazo y al mismo tiempo identificar las necesidades de la entidad para conseguir los objetivos trazados a mediano y largo plazo. Si bien el diagnóstico parte de la SII como el administrador actual y responsable del proceso TIC, el análisis de necesidades se realiza a nivel de toda la SDIS para el cumplimiento de los objetivos misionales, como se enunció en el propósito del documento. En este capítulo se expondrán las conclusiones del diagnóstico por cada componente y en algunos casos se hará referencia a documentos soporte que se incluirán como anexo.

4.1 Infraestructura TIC Teniendo en cuenta la importancia del componente de infraestructura tecnológica como cimiento de todos los servicios de Tecnología de la Información (TI), se hace necesario para conseguir los objetivos trazados, determinar las necesidades en cada uno de sus componentes para garantizar la operación de la entidad a corto plazo y la implementación de los nuevos servicios y proyectos a futuro.

4.1.1 Data Center El Data Center o Centro de procesamiento de datos, es el lugar donde se concentran todos los recursos necesarios para el procesamiento de la información de una organización. Teniendo en cuenta que el Data Center alberga las bases de datos, servidores, sistemas de comunicación, equipos de seguridad perimetral y demás componentes críticos para la operación, es necesario que dicha ubicación cuente con las características necesarias para proteger los activos de información que allí se encuentran y garantizar su operación. El diagnóstico se inicia con el Data Center, teniendo en cuenta que una falla en este, afecta todos los servicios de TIC ofrecidos por la Secretaría, poniendo en riesgo no solo la disponibilidad de la información sino la integridad y conservación de la misma.

4.1.1.1 Consideraciones para el diagnóstico del Data Center Si bien para la evaluación del Data Center se tuvieron en cuenta algunos de los requerimientos técnicos de la Norma TIA 942, la situación general del Data Center de la Secretaría presenta riesgos, dada su dependencia de la administración del Edificio que entre otras al 31 de mayo no

cuenta con una planta eléctrica de respaldo poniendo en riesgo la operación de la entidad y la integridad de la información por un simple corte de energía.

Ilustración 3. Evaluación de cumplimiento de algunos requerimientos técnicos

En la ilustración 3 se muestran los requisitos mínimos de un Datacenter, el cumplimiento actual de la Entidad frente a los mismos y lo que nos ofrecería un Datacenter externo, ofrecidos por los operadores y especialistas de este tipo de servicios.

4.1.1.2 Resumen resultados

Ítem Resultados del Diagnóstico 1. Se encontraron deficiencias en el cableado del Datacenter

2. El Data Center tiene limitaciones para el crecimiento de la infraestructura

3. No se cumple el estándar TIA 942 PARA Datacenter

4. Gran parte de los equipos centrales se encuentran sin soporte del fabricante

5. No existe Datacenter alterno

6. No hay redundancia para UPS y demás componente eléctricos

7. No existe planta eléctrica que respalde la UPS del Datacenter y el edificio

8. No existe documentación de ningún componente del Datacenter

9. No se cumplen los protocolos de acceso al Datacenter

10. El espacio del Datacenter es reducido Como información complementaria al diagnóstico de Data Center, se anexa el documento:

• Anexo 5. Modelo de Contingencia Data Center SDIS

4.1.2Redes

Las redes de datos son las encargadas de transportar la información de los servicios de TIC ofrecidos (Internet, Telefonía IP, aplicaciones de apoyo, aplicaciones misionales, correo electrónico, herramientas de colaboración y en general todos los servicios de tecnología), por tal razón para que cualquiera de los servicios funcione adecuadamente, se hace necesario que los diversos componentes de red que incluyen el Core de la Red, el borde de la red, los canales de comunicación y la infraestructura de cableado estructurado en todas las sedes, se ajusten a los requerimientos de capacidad, seguridad, gestión, monitoreo y desempeño.

4.1.2.1 Consideraciones de diagnóstico de Red

Para realizar el diagnóstico de red se evaluaron los componentes que se describen a continuación:

• Core de la red: Para cuyo diagnóstico se tuvo en cuenta la conectividad del switch de Core, el Firewall, Internet, el MPLS (Que conecta todas las sedes externas a la entidad que cuentan con canal dedicado), enclosure HP C7000, enclosure Cisco UCSB-5108, el backbone y demás equipos y servicios que acceden directamente al Core de la red. Esta evaluación es muy importante pues dicha infraestructura es la responsable de distribuir los datos a todos los usuarios de la SDIS y su indisponibilidad o bajo desempeño, afectará toda la entidad y la prestación de todos los servicios TIC.

• Firewall: Teniendo en cuenta que el firewall está recibiendo gran parte de la conectividad de la SDIS (MPLS, Internet, Servidores, Switch Core, etc) el definir su estado y funcionalidad es imprescindible para la optimización del Core de la red.

• Cableado Estructurado Subdirecciones Locales: Teniendo en cuenta que las subdirecciones locales son quienes ofrecen los servicios sociales, junto con las unidades operativas a los usuarios y beneficiarios, es necesario que estos cuenten con la infraestructura de tecnología mínima para acceder a los servicios de TIC actuales y futuros. De esta manera, se definió realizar un análisis detallado de todo el componente de cableado estructurado de dichas subdirecciones para definir su estado actual y el plan para su estandarización.

• Red Wifi: Teniendo en cuenta la importancia de contar con capacidad de movilidad en la sede central y acceso seguro inalámbrico, en el diagnostico se incluyó el componente de acceso Wireless. Si bien se considera necesario la implementación a futuro de redes WiFi en las diferentes sedes, no se hará un análisis especifico en las subdirecciones locales y unidades operativas.

• Switches de SAN: Es indispensable para garantizar el desempeño de los sistemas de información y aplicaciones, el garantizar el mayor número de IOPS y velocidad de acceso al almacenamiento, por lo cual es necesario realizar el diagnostico correspondiente que permita diseñar el plan de optimización de la arquitectura y conectividad de los switches SAN.


Ítem Resultados del Diagnóstico de la Red

1. Problemas en el diseño y arquitectura del CORE de la red que causan latencias y cuellos de botella

2. Cuellos de botella causados por el enrutamiento de todo el tráfico a través de todo del Firewall Fortinet

3. Firewall al tope de su capacidad afectando el desempeño de dela red y la seguridad

4. Access Point para wifi de diversas marcas no gestionados ni administrados a pesar de que se cuenta con una controladora central

5. Cableados y red eléctrica de las subdirecciones no estandarizados y deficientes

6. Carencia de una herramienta de monitoreo implementada y configurada que permita hacer análisis de tráfico de la red

7. El CORE de la red está a 1 GB causando posibles cuellos de botella con la conexión con los enclosure HP C7000 y UCS 5108

8. Los canales de internet se encuentran divididos, generando un punto de fallo adicional y haciendo más compleja la administración de las políticas de seguridad del Firewall

9. No existe Spaning Tree implementado, poniendo en riesgo la disponibilidad de la red por causa de loops

10. No existe documentación clara y actualizada del servicio

11. La conectividad de las SAN se debe optimizar para incrementar desempeño y mitigar riesgos de desconexión o perdida de información

Como información complementaria al diagnóstico de la red, se anexarán los documentos: • Anexo 1. Diagnóstico de red LAN Subdirecciones Locales. • Anexo 2. Diagnóstico Core Red y LAN Sede Central

4.1.3 Servidores

Los servidores suministran la capacidad de procesamiento necesaria para los servicios, aplicaciones y aplicaciones de la SDIS, por tal razón es necesario contar con una infraestructura de servidores con la capacidad necesaria para cubrir los requerimientos de corto, mediano y largo plazo. Teniendo en cuenta la importancia de los servidores para la operación de los servicios de TI, se hace necesario además de garantizar la capacidad y contar con servicio de soporte del fabricante que permita mitigar los riesgos de indisponibilidad.

4.1.3.1 Consideraciones diagnóstico de servidores

Para el diagnóstico de servidores se evaluaron:

• Chasis de servidores HP C7000, Cisco UCSB-5108 y Dell Power Edge 1955.• Servidores de Rack HP DL 380 y Cisco C240 M4.• Servidores de torre.4.1.3.2 Resumen resultados

Ítem Resultados del Diagnóstico de Servidores 1. La mayoría de servidores no cuenta con servicio de soporte

2. Un 70% de la plataforma es obsoleta

3. Problemas de seguridad por publicación de segmento de red de servidores en la zona desmilitarizada. No existe zona militarizada.

4. Los únicos servidores con soporte y capacidad (CISCO) no se están usando

5. No se monitorean los servidores, la virtualización y aplicaciones en consecuencia no hay información oportuna que permita gestionar la capacidad e identificar problemas.

6. No se cuenta con una data center alterno para un DRP

7. Teniendo en cuenta que la mayoría de la plataforma esta sin soporte, la capacidad de procesamiento es limitada

8. No existe documentación clara y actualizada sobre servidores y virtualización

9. Existe un número importante de servicios y aplicaciones sobre Windows 2003 lo cual es un riesgo seguridad, pues esta versión es obsoleta y ya no cuenta con soporte de Microsoft

10. La virtualización esta sobre versiones obsoletas de VMWARE y no existe un modelo de virtualización administrable y escalable

11. Los servidores no cuentan con las actualizaciones y parches de seguridad requeridos

12. No existe estandarización en el versionamiento de los Linux, dificultando la administración y el soporte

4.1.4 Almacenamiento

Una SAN (Storage Area Network) o red de área de almacenamiento tiene por objeto almacenar la información de forma segura en arreglos de discos, conectada generalmente mediante tecnología Fiber Channel, para ser accedida desde diferentes servidores, garantizando una alta velocidad de acceso. Teniendo en cuenta que dicho almacenamiento contiene la mayor parte de información de la Secretaría (bases de datos, máquinas virtualizadas, file server, etc) es necesario verificar el estado actual para determinar los posibles riesgos y necesidades para mitigar los riesgos de información y garantizar un desempeño adecuado de los sistemas de información.

4.1.4.1 Consideraciones Diagnóstico de Almacenamiento Para el diagnóstico se tuvieron en cuenta:

• Características HP MSA 2000• Características HP P2000• Capacidad Instalada y capacidad requerida. • Servicio de Soporte de la solución.

MSA 2000 FC

Ilustración 4. Solución de Almacenamiento de la SDIS a Mayo 31 de 2016


Ítem Resultados del Diagnóstico del Almacenamiento 1 Si bien la capacidad de almacenamiento de la SDIS se incrementó paulatinamente,

no se tuvo en cuenta el actualizar los servicios de soporte (ServicePack) de los arreglos anteriores, dando como resultado que la mayor parte del almacenamiento con que cuenta la Secretaría, no tiene soporte por parte del fabricante y su adquisición puede ser más costosa que la compra de equipos nuevos.

2. Si bien la SAN con la que cuenta la Secretaría permitió crecer significativamente el almacenamiento, esta es una solución de rango medio que no está diseñada para cubrir necesidades de alta capacidad y altos requerimientos de IOPS como los requiere la Entidad

3 El almacenamiento es obsoleto y no cuenta con soporte del fabricante

4. Dadas las características y la carencia de soporte, existen riesgos muy altos de perdida de información y tiempos indeterminados de restablecimiento de la operación ante fallas

5. El tipo de almacenamiento y sus características afectan el desempeño y disponibilidad de los sistemas de información

6. Falta de documentación de las LUN presentadas a la infraestructura lo cual implica riesgos de seguridad y dificultad en la administración

7. La conectividad del almacenamiento para los servidores CISCO de muy limitada 4.1.5 Bases de Datos y Aplicaciones

Las bases de datos guardan la información tanto misional como de apoyo de la Secretaría y las aplicaciones suministran la interfaz para alimentar, procesar y consultar dicha información. Por tal razón es indispensable realizar una evaluación de la administración, gestión y seguridad de estas, para diseñar un plan que permita realizar las tareas correspondientes para incrementar la confidencialidad, integridad y disponibilidad de la información en el marco de las buenas prácticas.

P2000

4.1.5.1 Consideraciones diagnóstico bases de datos

Si bien a la fecha del diagnóstico las bases de datos y aplicaciones se encontraban administradas por el equipo de desarrollo, en el presente documento se incluye dentro de la infraestructura de TI en concordancia con las mejores prácticas de TIC para mitigar los riesgos que afecten la seguridad y disponibilidad de las mismas.


Ítem Resultados del Diagnóstico de Bases de Datos 1. Los desarrolladores cuentan con administración de las bases de datos y aplicaciones de

producción 2. Los desarrolladores realizan también las tareas de despliegue de aplicaciones

3. No existe el rol de administrador único de ambientes de producción para bases de datos y aplicaciones

4. No existen políticas de backup claras y definidas para bases de datos y aplicaciones

5. No existe un control de versiones

6. Gran parte de las aplicaciones no cuentan con documentación

7. Diversidad de usuarios con privilegios de administración que comprometen la seguridad de la información

8. Los cambios sobre aplicaciones y bases de datos en producción se realizan sin ningún control

4.1.5.3 Telefonía IP

Si bien la tendencia se dirige a las comunicaciones unificadas, hoy la telefonía IP presta un servicio esencial a la Secretaría Distrital de Integración Social, comunicando por voz la sede central y 5 subdirecciones locales con 464 extensiones instaladas. Teniendo en cuenta que esta solución funciona sobre la infraestructura de red de la Secretaría sin costos adicionales, es necesario estabilizar el funcionamiento de dicha solución e incrementar su alcance si es posible.

4.1.5.4 Consideraciones del diagnóstico de telefonía IP

Para el diagnóstico de telefonía IP se tuvo en cuenta: • El software utilizado central de telefónica IP: xxxxx.• Los dispositivos telefónicos.• La configuración actual.• Configuración del módulo de Call Center.• Necesidades de la SDIS.• Otras posibles soluciones de Central Telefónica.

Resumen resultados

Ítem Resultados del Diagnóstico de Telefonía IP 1. Solo se cuenta con cobertura en la Sede Central y cinco Subdirecciones con 544

extensiones habilitadas en la plataforma

2. De los 444 teléfonos instalados 149 son obsoletos y presentan problemas de conexión

3. El software de la plataforma de telefonía (Asterisk) está en versión de 32 bits, limitando la capacidad y crecimiento de la solución para llegar a las 80 sedes que cuentan con conectividad

4. Los paquetes principales de la plataforma de telefonía se encuentran desactualizados, generando problemas en su funcionamiento y seguridad

5. No existe una base de datos actualizada de extensiones y sus respectivos usuarios, generando extensiones fantasma e inconsistencias en la información

6. El Call Center de telefonía IP (Entidad), está desactualizado y presenta fallas en la configuración, generando inconsistencias en la comunicación interna y externa de la SDIS.

7. La solución de Telefonía IP no es confiable, presenta fallas frecuentes y tiene una cobertura muy baja

Como información complementaria al diagnóstico de Telefonía IP, se anexa el documento:

• Anexo 3. Presentación Telefonía IP.

4.1.6Backup

El servicio de Backup debe mitigar los riesgos de perdida de información en caso de desastres o afectación de la integridad de la información utilizada en producción, por tal razón, es un servicio crítico y debe diseñarse un modelo que permita cumplir su objetivo con la menor intervención humana para mitigar el riego de errores y para que la información de la Secretaría esté respaldada acorde a las mejores prácticas.

4.1.6.1. Consideraciones del diagnóstico de backup

Para el diagnóstico de backup se tuvo en cuenta:

• Procedimiento y Plan de backup.• Software y herramienta de backup.• Custodia de los medios de backup.• Plan de Recuperación de desastres.


Ítem Resultados del Diagnóstico de Backups 1. No hay documento de políticas o plan de Backup

2. No existe custodia externa de medios

3. No se está utilizando la librería de cintas LTO5 de reciente adquisición

4. No se realizan backup en caliente de las bases de datos de Oracle

5. No existe especialista en gestión de backup

6. No se realizan Backups diarios a toda la infraestructura tecnológica 4.1.7 Directorio Activo

El directorio activo es la herramienta fundamental para la administración y gestión de la seguridad y acceso a los recursos de TIC, razón por la cual, el contar con un modelo de directorio que se ajuste a las necesidades de la SDIS con todas las funcionalidades en modo nativo, configurado de forma segura y que se mantenga actualizado continuamente, es imprescindible para la seguridad y disponibilidad de la plataforma de TIC.

4.1.7.1. Consideraciones para el diagnóstico de Directorio Activo

Para el diagnóstico de directorio activo se tuvo en cuenta:

• Diseño y estructura actual.• Existencia de controladores de dominio adicionales y replicación.• Nivel funcional.• Usuarios y privilegios.

4.1.7.2. Resumen Resultado

Ítem Resultados del Diagnóstico de Directorio Activo 1. Carencia de modelo de gestión de directorio activo, usuarios, grupos, equipos y

políticas 2. Usuarios de unidades operativas que no están en directorio activo

3. No existen pruebas de funcionamiento de alta disponibilidad para directorio activo

4. No se encuentra en modo nativo el directorio activo

5. Problemas de aplicación de políticas y pérdida de confianza en varios equipos

6. No existe una estructura adecuada para la SDIS

7. Usuarios con privilegios que deben ser depurados

8. No existe un procedimiento para notificación por parte de la Subdirección de Talento Humano y Contratación de finalizaciones de contratos, retiros y demás novedades que deben tenerse en cuenta por seguridad para activación e inactivación de servicios informáticos a los usuarios

9. No se ha realizado un análisis de integridad y funcionalidad del directorio activo 4.1.8 Seguridad Perimetral

Seguridad perimetral hace referencia a todos los dispositivos que permiten mitigar los riesgos sobre la plataforma TIC, de intrusión, amenazas, ataques de denegación de servicios, virus, malware y demás provenientes de fuentes tanto externas como internas. Teniendo en cuenta que los riesgos de seguridad de la información se están incrementado día a día, el contar con un modelo de seguridad que permita proteger la información de la Secretaría, controlar el acceso de los usuarios a internet y aportar a administrar los recursos de red, es indispensable para la SDIS; por tal razón el diagnóstico de este componente es de vital importancia.

4.1.8.1 Consideraciones para el diagnóstico de seguridad perimetral

Para el diagnóstico de seguridad perimetral se tuvo en cuenta:

• Capacidad del equipo y capacidad requerida.• Políticas implementadas.• Necesidades de seguridad perimetral de la SDIS.• Arquitectura de la solución.

4.1.8.2 Resumen de resultados

Ítem Resultados del Diagnóstico de Seguridad Perimetral 10. Todos los servidores se encuentran publicados en la DMZ (Zona Desmilitarizada)

lo cual implica altos riesgos de seguridad 1. El Firewall Fortinet no se encuentra en configuración de alta disponibilidad

2. Los módulos de seguridad no están activos en la mayoría de políticas críticas

3. El Firewall está permanentemente por encima del 72% de su capacidad lo que impide activar todos los módulos de seguridad necesarios. Su capacidad fue mal dimensionada y no corresponde al tamaño de la Entidad.

4. La configuración actual no permite optimizar el uso del canal y mitigar adecuadamente los riesgos de seguridad

5. No se cuenta con un dispositivo que mitigue los ataques de día 0

6. No se están monitoreando todas las políticas

7. Las políticas no tienen la granularidad suficiente para controlar el tráfico de las subdirecciones locales y unidades operativas con conectividad (Las 80 sedes conectadas)

8. Las políticas actualmente se aplican a nivel de dirección IP y no de usuarios, haciendo muy difícil la administración

9. No se cuenta con Firewall para aplicaciones

10. El Firewall no fue dimensionado para los requerimientos de la entidad por lo cual no está en capacidad de soportar la operación de la SDIS

11. No se cuenta con un experto en la administración y configuración de Firewall en la Entidad

Como información complementaria al diagnóstico de seguridad perimetral, se anexarán los documentos:

• Anexo 4. Modelo preliminar de seguridad perimetral SDIS.

4.1.9 Conclusiones del diagnóstico de Infraestructura Tecnológica

Ilustración 5. Consolidado de conclusiones de Diagnóstico de Infraestructura de TIC

4.1.10 Consecuencias

Como consecuencia de las falencias enumeradas anteriormente se generan riesgos importantes en la disponibilidad y desempeño de los servicios TIC y en la seguridad de la información, los cuales no están siendo mitigados ni previstos en el plan de adquisiciones inicial del año 2016.

Lo anterior se ve reflejado en la inconformidad de los servicios TIC por parte de los usuarios, los cuales no son adecuados para soportar los procesos y operación de la SDIS de manera oportuna, segura e integral.

4.2 Desarrollo y Sistemas de Información

Si bien la SDIS no cuenta con sistemas de información como tal, sino con un conjunto de aplicaciones que cubren parcialmente necesidades de los procesos misionales y los procesos de apoyo, es necesario hacer un análisis profundo para definir las necesidades a corto, mediano y largo plazo, en pro de incorporar en el plan estratégico de TIC una ruta clara para conseguir que la tecnología genere el valor esperado para la SDIS.

A continuación, se presenta el resumen de los resultados obtenidos del diagnóstico de sistema de información misionales y de apoyo.

4.2.1 Resumen resultado SIRBE

El Sistema de Información Registro de Beneficiarios - SIRBE es el aplicativo misional de la SDIS, para el registro de los participantes con su grupo familiar en los diferentes proyectos y servicios sociales que atiende. Está concebido como un sistema transaccional que contiene toda su trazabilidad histórica en el tiempo a través de los diferentes Planes de Desarrollo.

Ilustración 6. Componentes de SIRBE y aplicativos satélites para cubrir otras necesidades misionales

4.2.1.1 Características generales del SIRBE

Como parte importante del diagnóstico, se identificaron las características del SIRBE en su proceso de madurez durante los últimos 15 años de existencia y evolución:

• PARAMETRIZACIÓN: o Permite administrar los proyectos con sus variables,

modalidades, cursos, beneficios, periodos de administración, entre otros.

• MADUREZ:

o 15 años de desarrollo y evolución que aporta conocimiento e información para

el diseño del nuevo sistema

o Registro de información de beneficiarios acorde a la actual ficha SIRBE

o Contiene grandes volúmenes de información histórica del proceso misional (más

de 120 millones de registros).

• SEGURIDAD:

o Control de Seguridad a nivel de objetos de pantalla o Auditoría a nivel de base

de datos

• CONVENIOS: Permite cargues y cruces de información externa remitida periódicamente por entidades externas.

• PLANEACIÓN NACIONAL - SISBEN• SEC. SALUD – CRUCE DIFUNTOS• PRESIDENCIA – PROYECTO SUR, DESPLAZADOS• REGISTRADURÍA NAL. – VALIDACIÓN DOCUMENTOS.

4.2.1.2 Características Técnicas

Es importante en el diagnóstico determinar la plataforma y características técnicas sobre la que se desarrolló y opera actualmente el SIRBE para determinar las posibilidades de evolución y posibles limitaciones técnicas para cumplir con las necesidades asociadas al cumplimiento de los objetivos estratégicos y misionales de la SDIS.

Ilustración 7. Características técnicas de SIRBE

Las características técnicas presentadas anteriormente, indican que la herramienta de desarrollo del SIRBE es totalmente obsoleta y no permite evolucionar ni migrar a herramientas modernas. Adicionalmente al ser una herramienta cliente/servidor, la administración y soporte de usuarios es muy compleja, dado que deben realizarse instalaciones y configuraciones en cada computador donde opere el sistema.

Es importante también resaltar que para su funcionamiento en sedes por fuera de las 80 conectadas, se requiere para su funcionamiento una herramienta simuladora cliente/servidor - Web (Go-Global), generando gastos adicionales en licenciamiento y servidores y mayor lentitud de la herramienta.

comedoresel proyecto de

conexión remota en Go-Global para

conexión remotaaplicación para servidores de Cuenta con

Servidor)escritorio (Cliente

Aplicación de

Oracle 12cBase de Datos

DBGridComponente True

Visual 6.0 Desarrollado en

4.2.1.3 Limitaciones funcionales

Parte del análisis implica determinar las posibles limitaciones funcionales asociadas a su arquitectura y demás características técnicas.

4.2.1.4 Limitaciones técnicas

Ilustración 9. Limitaciones técnicas del SIRBE

y dispendiososistema es muy complejo

información en el El ingreso de

atenciónparticipante ya en información de un actualización de la Es muy compleja la

actualizadosLos datos no están

Lentitud en el sistema

sistemapapel y luego en el

diligenciar la ficha en asociado a Retrabajo

equipos móviles)(No existe acceso en

información en campo No es posible registrar

servicios socialesactividades de los seguimiento a las

No permite realizar

atención a familiasestructura para

No tiene una

lustración 8. Algunas limitaciones funcionales del SIRBE I

4.2.2 Sistemas de Información de Apoyo

La entidad no cuenta con sistemas de información de apoyo que soporten de forma integral y óptima los procesos financieros y administrativos. Carece de un ERP (Enterprise Resource Planning). Solo tiene algunos aplicativos no integrados (algunos obsoletos y con fallas) que soportan de forma parcial e ineficiente estos procesos. Algunos procesos y procedimientos de la Entidad, se desarrollan de forma manual con formatos impresos y/o en Excel. Entre los aplicativos existentes tenemos los siguientes:

1) Nómina SIAP: Sistema desarrollado en la Secretaría de Gobierno, se encuentra construido en JAVA y se adquirió por medio de un convenio interadministrativo, sin embargo, el código fuente fue desarrollado por una persona natural quien es la única que posee el conocimiento técnico y funcional para realizar los ajustes requeridos por la entidad, adicionalmente presenta los siguientes inconvenientes:

a) No posee una arquitectura clara y estandarizada.b) Dependencia de la persona natural que desarrolló el software para los ajustes

requeridos.c) Es poco escalable debido a la estructura de desarrollo que posee.d) No se encuentra integrado con el software contable (aplicativo en COBOL) ni con la

herramienta presupuestal.

2) HEFI: Herramienta Financiera de la Secretaría Distrital de Integración Social, software desarrollado en lenguaje Visual Basic 6, maneja la información financiera y presupuestal de la SDIS, para el control y administración de los recursos de la entidad. Esta herramienta se encuentra desarrollada en un lenguaje de programación obsoleto, depreciado y ya no soportado por su fabricante (Microsoft), limitando las funcionalidades que se pueden ofrecer al usuario. Dentro de los principales problemas del software se tiene: a) Aplicación cliente servidor.b) No tiene controles de auditoría detallados.c) No maneja adecuadamente los históricos.d) No posee transacciones que controlen los errores en las diferentes funcionalidades.e) Realiza cargas masivas de datos a través de archivos planos generados desde la

herramienta presupuestal del distrito, lo que da cabida a modificaciones y alteraciones de la información.

f) No se encuentra integrado con el sistema de contratación y la herramienta liquidadora de la entidad.

g) No cuenta con esquema de seguridad mediante logueo que garantice la seguridad de la información.

h) La liquidación para el pago de los contratistas no lleva control detallado contra la herramienta financiera del distrito, lo que puede generar dobles pagos.

3) INVENTARIOS: Sistema desarrollado internamente en la entidad, administra y controla los bienes adquiridos por la SDIS. Actualmente tiene una versión cliente servidor desarrollada en FOX PRO (herramienta obsoleta y ya no soportada por el fabricante) y

una de consulta desarrollada en PHP lo que genera re-trabajos en las actualizaciones que deben realizarse, además de esto, posee los siguientes problemas:

a) Aplicación cliente servidor.b) Desarrollada en un lenguaje obsoleto y deprecado.c) No posee transacciones para controlar los errores en base de datos.d) No se encuentra integrado con el sistema contable.

4) ORDENES DE PAGO: Sistema encargado de generar la planilla de relación de giro para

los pagos de los contratistas y proveedores de la Secretaria Distrital de Integración

Social, desarrollada en FOX PRO 2 (herramienta obsoleta y ya no soportada por el

fabricante), posee los siguientes inconvenientes: a) Aplicación cliente servidor

b) Maneja un recurso compartido (archivo compartido entre los usuarios) donde se almacena la información lo que genera bloqueos y lentitud al no administrar adecuadamente las conexiones concurrentes.

c) No maneja una base de datos transaccional que pueda ser administrada y custodiada desde la plataforma central.

d) La aplicación no posee una codificación organizada ni una metodología de desarrollo definida.

5) ESTRUCTURA DE COSTOS: Aplicación desarrollada en PHP que se encarga de permitir la creación y administración de las estructuras de costos para los procesos de contratación de la SDIS, aunque es un sistema web, presenta problemas de rendimiento debido a:

a) Base de datos de software libre que genera lentitud en el procesamiento de grandes cantidades de datos.

b) Uso de herramientas de software libre incorrectamente dimensionadas para el volumen de información que se maneja.

6) SOFTWARE DE CONTRATACIÓN: Sistema adquirido por medio de un proveedor. Este

software Administra los procesos contractuales de la entidad, sin embargo, el sistema

cuenta con las siguientes limitantes: a) Aplicación Cliente Servidor

b) Desarrollada en un lenguaje deprecado (Visual Fox Pro, actualmente no soportado por el fabricante)

c) Poca capacidad de respuesta del proveedor ante eventos de soporte y/o ajustes requeridos por la entidad (empresa unipersonal).

d) No tiene log de auditoría detallada.e) No maneja transacciones para controlar errores en la base de datos.f) Limitación de funcionalidades de soporte que implica requerir en todo momento al

proveedor.g) No se encuentra integrado con el sistema presupuestal de la entidad.h) El software presenta continuas fallas que no son solucionadas de raíz por el

proveedor.

7) SOFTWARE CONTABLE DATASIXX: Aplicación adquirida a un tercero que apoya el área contable de la entidad, es un sistema anticuado que debido a su lenguaje de programación (COBOL) presenta limitantes para los usuarios tales como:

8) Aplicación cliente servidor9) Lenguaje obsoleto y deprecado (no soportado por el fabricante)10) No posee reportes personalizables11) Alta dependencia del proveedor para realizar los ajustes requeridos debido a sus pocas

funcionalidades.12) No se encuentra integrado con las demás aplicaciones de la entidad.13) El ingreso de transacciones contables se realiza totalmente manual, dada la

imposibilidad de integración con otros aplicativos.14) No soporta las normas internacionales de contabilidad y no permite su actualización

para el cumplimiento de las mismas. Este software debe reemplazarse para dar cumplimiento a las normas contables internacionales de carácter obligatorio en el País.

15) SOFTWARE DE CORRESPONDENCIA SICO: Aplicación adquirida a un tercero que apoya el área de gestión documental de la Entidad, es un aplicativo limitado únicamente al manejo de la correspondencia de la Entidad, bajo un modelo totalmente manual e ineficiente que implica la impresión de todo tipo de correspondencia y su gestión y seguimiento es engorroso. Presenta limitantes para los usuarios tales como:

a) Solo tiene habilitada la funcionalidad de correspondenciab) Existen versiones del proveedor más completas, pero no han sido implementadas en

la Entidad.c) El proveedor del software presenta limitantes en el oportuno soporte y

mantenimiento de la herramienta. d) No maneja flujos de trabajo ni alertas.e) Alta dependencia del proveedor para realizar los ajustes requeridos.f) No se encuentra integrado con las demás aplicaciones de la entidad.g) No soporta el componente archivístico.

Adicionalmente, otros aplicativos que actualmente no se utilizan, pero si ocupan espacio y capacidad de la infraestructura tecnológica de la Entidad. De otro lado existen aplicativos desarrollados en las misionales y de apoyo, no controlados ni administrados por la SII, generando riesgos en seguridad y salvaguarda de la información. Aplicativos que no cumplen con los estándares de desarrollo de software. En algunos casos, solo se conocen estos aplicativos, cuando las áreas tienen algún problema y requieren apoyo de la SII.

Dado que existen procesos y procedimientos no soportados en un software que permita optimizar su operación, se encuentran grandes volúmenes de datos e información almacenada en archivos Excel en los computadores de los usuarios, generando un riesgo algo en seguridad e integridad de la información.

También existen grandes volúmenes de información impresa en poder de los funcionarios y/o archivada de forma inadecuada en el archivo de gestión y central de la Entidad. Según estadísticas de la Dirección Corporativa, existen 17 km lineales de archivo por organizar de acuerdo a las normas y estándares del Archivo General de la Nación.

4.2.3 Conclusiones del diagnóstico de Sistemas de información y Desarrollo

Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. Diversidad y proliferación de aplicaciones no integradas y sin arquitecturas

definidas 2. Desarrollos no controlados realizados por las diferentes áreas de la Entidad

3. Compras no articuladas de licencias y software realizadas por las diferentes áreas

4. Diversidad de lenguajes de programación, herramientas y ausencia de metodologías de desarrollo y mejores prácticas

5. Aplicaciones obsoletas, cliente servidor, con tecnologías descontinuadas, difíciles de administrar y sin soporte por parte de sus fabricantes

6. Desarrollos no documentados y sin manuales técnicos y de usuario o desactualizados

7. Los aplicativos actuales no cumplen con las necesidades de los procesos de apoyo y misionales

8. Procesos misionales y de apoyo sin sistemas de información integrales

9. Proliferación de diferentes motores de bases de datos y aplicativos no integrados e información no estructurada

0. No existe una arquitectura de información definida que soporte los aplicativos actuales Ilustración 4. Consolidado de conclusiones de Diagnóstico de Sistemas

de información Como información complementaria al diagnóstico del SIRBE, se

anexarán los siguientes documentos:

• Anexo 6. Nuevo Sistema de Información Misional.

4.3 Análisis de Información

El componente de análisis de información es fundamental para la entrega de información, toma de decisiones, seguimiento y definición políticas sociales de la Secretaría, por tal razón, es indispensable hacer un diagnóstico de la situación actual de dicho componente, para tomar las medidas necesarias que permitan generar información fiable y oportuna.

4.3.1 Resumen resultados

4.3.1.1 Consideraciones para el diagnóstico de

Análisis de Información Para el diagnóstico de

análisis de información se tuvieron en cuenta:

• Criterios para la solicitud y entrega de información• Procedimiento de solicitud de información.• Calidad del Dato.• Carga del equipo de análisis de información.• Herramientas para el análisis de información. 4.3.1.2 El Problema

Ilustración 10. Problemas identificados en la generación de información

4.3.1.2 Posibles causas Identificadas de los problemas

Ilustración 11. Posibles causas de los problemas

Ilustración 15. Posibles causas de los problemas

4.3.2 Conclusiones del diagnóstico de Análisis de Información

Ilustración 13. Resumen evaluación de Análisis de Información

Como información complementaria al diagnóstico de Análisis de Información, se anexará el siguiente documento:

• Anexo 7. Diagnóstico Análisis de Datos.

4.4 Mesa de Servicio y Soporte

El diagnóstico de mesa de servicio y soporte en sitio que actualmente se presta desde la Subdirección de Investigación e Información a la toda la entidad, es muy limitado, alejado de las mejores prácticas y el recurso humano asignado es insuficiente y no cuenta con la capacitación, perfil y herramientas necesarias para una adecuada percepción del servicio.

En una encuesta realizada por la SII, este fue el servicio con mayor grado de insatisfacción por parte de los usuarios y es lógico pensar que con el modelo actual con las limitaciones indicadas anteriormente, se pueda cubrir la totalidad de la Entidad (805 sedes) en temas de soporte ofimático y de aplicaciones, virtual y presencial.

4.4.1 Resumen resultados Mesa de Servicio y soporte

Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. Bajo nivel de reporte de incidentes y requerimientos a mesa por mala

percepción del servicio 2. Carencia de un modelo de mesa que refleje las necesidades de servicio de la

entidad 3. Bajo porcentaje de ticket resueltos en la primera llamada. El primer nivel no está

operando adecuadamente, generando un alto porcentaje de escalamiento a segundo nivel.

4. Discovery montado sobre un PC lo cual causa problemas en el funcionamiento de la herramienta

5. Problemas con el Call Center de telefonía IP que causan perdida de llamadas

6. Tiempos de respuesta muy largos para subdirecciones locales, ausencia de ANS

7. Subdirecciones locales desarticuladas de mesa de servicio y soporte

8. No existe autoservicio para solución de incidentes frecuentes

9. No existe catálogo de servicios

10. No existe gestión de problemas Como información complementaria al diagnóstico de Mesa y Soporte, se anexa el siguiente documento:

• Anexo 8. Diagnóstico mesa y soporte

4.4.2 Resumen resultados Parque computacional

Otro de los componentes claves de TI y punto cero de partida es el parque computacional, donde el problema no es inferior a los anteriormente mencionados en otros componentes. Aquí encontramos al corte del presente diagnóstico 4.093 computadores y 680 impresoras asignadas a los usuarios con un porcentaje muy alto de obsolescencia e inexistencia de un control adecuado. Estos equipos carecen además de un contrato de mantenimiento, el cual es realizado en la actualidad in house por los mismos técnicos del grupo de mesa y soporte en sitio, con las limitaciones de cantidad, perfil y capacidad, indicadas anteriormente.

Adicionalmente se evidenció que no se están aplicando medidas de seguridad adecuadas de control de acceso a las sedes para prevenir la pérdida y hurto de los equipos, ni un control procedimental de la administración, tenencia y devolución de los equipos por parte de los servidores públicos, generando pérdidas y dificultando la ubicación e inventario de los mismos.

Otro aspecto importante es que tampoco existe una herramienta informática que permita monitorear la ubicación y estado de los equipos, aspecto que se vuelve más crítico por la inexistencia de canales de conectividad dedicados en la mayoría de las sedes (la red administrada de la entidad solo tiene 80 sedes con canal dedicado de 805).

En el caso de las impresoras, existe gran proliferación de marcas (actualmente existen 13 marcas), no existe un software de administración centralizado que permita controlar el estado de cada impresora y el consumo por usuario para poder proyectar y controlar estas variables. El costo actual de la Entidad de mantener estas impresoras operando es muy alto por diferentes razones: Alto grado de obsolescencia (50%), altos costos de consumibles (tóner, unidad de imagen, kit de mantenimiento), inexistencia política de cero papel, inexistencia de firma electrónica o digital, baja cultura digital en la Entidad, bajo uso y apropiación del correo electrónico y gran diversidad de marcas.

A continuación, se resumen los resultados más relevantes:

Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. Obsolescencia de más del 35% (1.405) de los computadores y 50% de impresoras

2. Problemas de seguridad, soporte y licenciamiento debido a uso de administrador local

3. Aproximadamente 1.127 máquinas con Windows XP el cual además de ser obsoleto ya no cuenta con soporte de Microsoft

4. Modelo ineficiente de adquisición de repuestos e insumos de impresión y gran diversidad de marcas.

5. No existen protocolos de disposición de equipos recibidos y aprovisionamiento de equipos nuevos (no hay definición de software base)

6. Se encuentran configurados usuarios administrativos en las máquinas, lo cual implica un riesgo de seguridad

7. Software no autorizado y en algunos casos sin licencias instalado en las maquinas

8. Equipos sin actualizaciones de parches de seguridad

9. Carencia de un control de inventarios de equipos efectivo

10. Inexistencia de servicios tercerizados en soporte e impresión que permitirá optimizar el servicio acorde a las mejores prácticas al colocarlo en manos de empresas expertas y especializadas

Como información complementaria al diagnóstico de Mesa y Soporte, se anexa el siguiente documento:

• Anexo 9. Obsolescencia parque computacional • Anexo 10. Inventario Impresoras SDIS

4.4.3 Resumen resultados Licenciamiento

Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. No existe control de licenciamiento en los equipos de los usuarios e infraestructura central

2. Compras dispersas y carencia de manejo centralizado de licenciamiento

3. No existe un modelo de licenciamiento, lo que causa adquisiciones costosas, licenciamiento inadecuado o sin uso

4. Problemas de software e instalaciones no autorizadas

5. Proceso en curso por reclamación de Microsoft de 1 millón de dólares por software no autorizado o licenciado

6. No hay profesional asignado para la administración del licenciamiento de software en la Entidad

7. Se identificó software licenciado no utilizado y software obsoleto que no ha sido dado de baja

4.4.4 Conclusiones Mesa de Servicio y Soporte en Sitio

Ilustración 14. Consolidado diagnóstico de Mesa de Servicio y Soporte

4.5 Grupo de Calidad y Soporte de aplicaciones

Si bien este grupo no estaba conformado y fue creado recientemente a la llegada del nuevo subdirector, se incluye en el presente análisis dada la necesidad de contar con un equipo especializado en pruebas y calidad de aplicaciones que permita garantizar el correcto funcionamiento de los desarrollos o ajustes a los aplicativos existentes o nuevos de la SDIS. Esta especialización en soporte de aplicaciones debe estar orientada a soporte de nivel 2, dado que el nivel 1 debe ser resuelto en la Mesa de Servicios Informáticos.

Este grupo se crea con los recursos humanos y técnicos disponibles que son muy limitados en la actualidad y deben fortalecerse para garantizar el objetivo central que es la calidad de software aplicativo de la SDIS.


Ítem Resultados del Diagnóstico de Calidad y Soporte de aplicaciones 1. No existen procedimientos de pruebas definidos

2. Dado que el equipo está recién conformado se requiere de capacitación

3. No se cuentan con herramientas para automatizar pruebas y/o para realizar pruebas de estrés

4. No se ha estructurado el modelo para soporte delos sistemas de información

5. No se replica entre los miembros del equipo el conocimiento de los diferentes colaboradores del equipo de soporte

6. El recurso humano de este grupo es muy limitado y no cuenta con el perfil, capacitación

y herramientas requeridas para la correcta prestación del servicio 7. Un alto porcentaje de los requerimientos y solicitudes recibidas las atienden sin

registrar un ticket que permita tener seguimiento y trazabilidad de la calidad del servicio y del número de solicitudes recibidas, atendidas y pendiente. Esto impide la realización de análisis posteriores sobre dichos servicios.

4.6 Grupo de Información Geográfica

El equipo GIS es el responsable de mantener y soportar la herramienta tecnológica de la entidad relacionada con el manejo de Sistemas de Información Geográfica, así como evaluar e implementar nuevas tecnologías que permitan agregar valor a la gestión con la incorporación del componente territorial en la política social del Distrito Capital, por tal razón es indispensable incluir dicho componente en el diagnóstico realizado.


Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. Este grupo cuenta con herramientas GIS que le permiten a la SDIS contar con grupos de

información georeferenciada y que se procesa con superposición de diferentes capas. 2. Licenciamiento de las herramientas actuales es limitado

3. Es necesario fortalecer este componente tanto en herramientas como nuevos desarrollos que le permitan integrarse con los aplicativos existentes y futuros.

4. Es necesario diseñar el modelo del componente geográfico para que se ajuste a las necesidades de la SDIS (territorializar, georreferenciar, en tiempo real)

5. Debe integrarse con la arquitectura única de información

6. Debe integrarse con el modelo de inteligencia institucional (BI) Como información complementaria al diagnóstico de GIS, se anexa el siguiente documento:

• Anexo 11. Diagnóstico GIS

4.7 Riesgos legales

Este componente del diagnóstico pretende definir los riesgos y requerimientos legales que necesiten atención inmediata por parte de la Subdirección. Estos riesgos están orientados a licenciamiento de software y contratos en ejecución y los no liquidados.

4.7.1 Consideraciones para el diagnóstico legal

Para el diagnostico legal se tuvieron en cuenta:

• Contratos en ejecución.• Requerimientos legales vigentes.


Ítem Resultados del Diagnóstico de Seguridad Perimetral 1. Requerimiento de Microsoft por supuesto incumplimiento en licenciamiento por parte

de la SDIS con una reclamación por un millón de dólares aproximadamente. 2. Contrato de Carvajal suspendido por solicitud del Proveedor.

3. Pagos a contratos en ejecución que deben ser revisados.

4. Contratos sin liquidar

5. Derechos de autor sobre diseños y desarrollos componentes de TI.

5. Misión de la SDIS La Secretaría Distrital de Integración Social, es una entidad pública de nivel central de la ciudad de Bogotá, líder del sector social, responsable de la formulación e implementación de políticas públicas poblacionales orientadas al ejercicio de derechos, ofrece servicios sociales y promueve de forma articulada, la inclusión social, el desarrollo de capacidades y la mejora en la calidad de vida de la población en mayor condición de vulnerabilidad, con un enfoque territorial.

6. Visión de la SDIS La Secretaría Distrital de Integración Social, será en el 2030 una entidad líder y un referente en política poblacional y en la promoción de derechos, a nivel nacional, por contribuir a la inclusión social, al desarrollo de capacidades y a la innovación en la prestación de servicios de alta calidad, a través de un talento humano calificado, cercano a la ciudadanía y con un modelo de gestión flexible a las dinámicas del territorio. Lo anterior para alcanzar un Bogotá equitativa, con oportunidades y mejor para todos.

7. Principios sobre los que se desarrolla el PETIC

Ilustración 15. Principios sobre los que se desarrolla el plan y se estructuran los proyectos

El PETIC, será la guía para la Subdirección de Investigación e Información y para la Secretaría de Integración Social en el componente de tecnología por los próximos cuatro años, razón por la cual, se debe estar ajustando a las necesidades de la SDIS, contar con unos principios claros que garanticen que cada peso que se invierta en TIC efectivamente generen valor a la entidad, que cada proyecto que se ejecute es innovador y aporte al cumplimiento de los objetivos misionales trazados, que la tecnología llegue a quienes la necesitan y que haya un gobierno de TI que se refleje cada día en un mejor servicio.

8. Metodología para la Implementación del plan Teniendo en cuenta, que el cumplir los objetivos trazados requiere un periodo de tiempo que se distribuye en el tiempo de la presente administración y un presupuesto significativamente mayor al actual, se hizo necesario implementar una metodología que permitiera mediante el desarrollo de fases la realización de las tareas críticas para garantizar el funcionamiento y estabilidad de la plataforma a corto plazo y garantizar a mediano plazo la infraestructura necesaria para la implementación de los nuevos servicios.

Por tal razón el Plan Estratégico de Tecnologías de la Información y las Comunicaciones - PETIC incluye una Primera Fase de Diagnóstico y Estabilización de todos los componentes de TI, que se viene realizando durante el año 2016 y permitirá identificar prioridades y definir la estrategia para mitigar los riesgos de seguridad, funcionamiento y disponibilidad de los sistemas de información, servicios de tecnología, canales de comunicación y demás componentes indispensables para garantizar la operación de la SDIS. Desarrollada esta fase se procederá a las Fases de Fortalecimiento y Transición y la fase final de nuevos servicios. Como parte del Plan de

Informática 2017 aún se realizarán actividades tendientes a la estabilización, pero la mayor parte del trabajo se concentrará en el fortalecimiento y transición.

Ilustración 16. Estrategia implementada para cumplir con los objetivos de la DTIT

9. Objetivos PETIC El presente PETIC se enmarca en el proyecto de inversión “Integración Digital y del Conocimiento para la Inclusión Social” de la Dirección de Análisis y Diseño Estratégico de la Secretaría de Integración Social de Bogotá.

9.1. Objetivo Estratégico

Fortalecer las tecnologías de la información y las comunicaciones para la optimización de procesos, incremento de la productividad y el seguimiento y control de la gestión de la entidad.

9.2. Objetivos Específicos

• Desarrollar e implementar servicios y sistemas de información que respondan a las necesidades de la SDIS.

• Fortalecer la infraestructura de TI y poner la tecnología al alcance de las subdirecciones locales y unidades operativas, para brindar mejores servicios a usuarios y beneficiarios.

• Optimizar los servicios de TI y su percepción por parte de los usuarios.• Implementar una estrategia de uso y apropiación de las TIC que permita a los servidores

potenciar sus capacidades para convertir a la SDIS en una entidad moderna y eficiente.

Ilustración 17. Objetivos específicos del PETIC

9.3. Objetivos Plan de Informática 2017

El reto propuesto en el Plan de Informática 2017 se concentra en cinco elementos fundamentales asociados a las deficiencias identificadas en el diagnóstico realizado por la Subdirección de Investigación e Información.

• Finalizar la fase de estabilización de la Infraestructura de TI.• Implementar el nuevo modelo de Seguridad Perimetral.• Avanzar en la implementación del Subsistema de Gestión de Seguridad de la

Información.• Implementar sistemas de información para procesos de apoyo críticos.• Definir arquitectura, realizar diseño e iniciar desarrollo en el modelo que se defina

del nuevo sistema de información misional

10. Lineamientos de MINTIC Teniendo en cuenta que el PETIC además de estar alineado al Plan de Desarrollo de Bogotá 2016 – 2020, el proyecto 1168 “Integración Digital y de Conocimiento para la Inclusión Social.”, debe estar alineado con la Estrategia de Gobierno en Línea y requerimientos de ley; es así como los lineamientos emitidos por MINTIC harán parte del marco de estructuración y ejecución del Plan estratégico de tecnologías de la información y las comunicaciones de las SDIS.

De esta manera incluiremos en este documento los lineamientos y dominios del marco de referencia del Ministerio de las Tecnologías de la Información y las Comunicaciones para enmarcar los proyectos que la SDIS en cabeza de la SII y el DADE, desarrollarán en concordancia.

Ilustración 18. Dominios Marco de Referencia de MINTIC

11. Mapa Estratégico de la SII en el Marco de los Dominios de MINTIC

Es necesario que el mapa de proyectos estratégicos del PETIC, esté alineado a cada uno de los dominios indicados por MINTIC para dar cumplimiento al decreto 1078 de 2015, donde se oficializa el marco de referencia como se muestra en el siguiente mapa conceptual.

Cada dominio debe contemplar los proyectos relacionados que permitan reducir la brecha tecnológica en cada una de éstos, siempre a lineados a la misión y visión, cubriendo todos los procesos y trámites y servicios de la Entidad.

Es importante resaltar que, dado el diagnóstico anteriormente presentado, donde se evidencia una brecha tecnológica muy crítica, tanto en infraestructura tecnológica como en sistemas de información y, las limitaciones presupuestales, no es posible en esta primera versión del PETIC 2016-2020, incluir la totalidad de los proyectos. Por esto se dio prioridad a lo más crítico y estratégico acorde al as necesidades de la Entidad.

Dado lo anterior, el PETIC 2016-2020, debe ser actualizado en la medida de nuevas necesidades, cambios en el plan estratégico de la Entidad o ante la apropiación de nuevos recursos que permitan formular y disparar proyectos adicionales que apoyen la misión y visión.

Ilustración 19. Mapa Estratégico 2016-2020

El mapa estratégico recoge los proyectos más importantes a desarrollar durante el periodo 2016 – 2020, en el marco de los 6 dominios marco de referencia de MINTIC, para cumplir con los objetivos estratégicos planteados en el PETIC. Dichos proyectos se ajustarán y programarán para su desarrollo de acuerdo al Plan de Acción anual realizado por la SDIS.

12. Arquitectura Sistema de Información Como se mencionaba en los antecedentes y el propósito del documento, la SDIS hace una apuesta por una transformación digital para crear una entidad más eficiente y productiva en el cumplimiento de su misión y objetivos estratégicos; razón por la cual el diseño y desarrollo del sistema de información misional será uno de los proyectos más importantes a realizar. Por esta razón se incluye en este PETIC, la arquitectura propuesta para el Sistema de Información de la SDIS que si bien en el periodo 2016-2020 no se podrá desarrollar en su totalidad, se espera avanzar significativamente en dicho proyecto.

La arquitectura del sistema de información misional, debe contemplar el modelo actual, junto con los procesos misionales, la transición al nuevo sistema y el componente de interoperabilidad con todos los procesos de apoyo y transversales de la Entidad y entidades externas u operadores como se muestra a continuación:

Ilustración 20. Arquitectura única de información propuesta

13. Plan de informática vigencia 2017 La Secretaria de Integración Social dando respuesta al eje transversal número 7 Gobierno Legítimo del Plan de Desarrollo Bogotá Mejor para Todos 2016-2020, cuenta con el proyecto de inversión número 1168 - Integración Digital y de Conocimiento para la Inclusión Social, el cual tiene como objetivo “Generar y fortalecer la capacidad institucional para lograr una adecuada gestión pública que permita apoyar los procesos misionales desde la planeación, la gestión de la información y el conocimiento, el monitoreo y la evaluación de los servicios sociales de la SDIS con el apoyo de unas Tecnologías de la Información y las Comunicaciones - TIC actualizadas y alineadas a los postulados misionales. Lo anterior con el fin de generar información de calidad, orientadora para la formulación de políticas públicas sociales y fuente efectiva para la retroalimentación y toma de decisiones acertadas para la entidad en el ciclo virtuoso PHVA (planear, hacer, verificar y actuar).”

En respuesta al proyecto de inversión y el PETIC se genera para el año 2017 el plan de informática anual, articulado con el Plan Estratégico de la SDIS en donde se indican los objetivos estratégicos, actividades, tareas, responsables y cronograma a ejecutar durante la vigencia 2017.

Como información complementaria al PETIC, se anexará el siguiente documento:

• Anexo 12. Presentación SDIS Digital

14. Presupuesto Se resalta que a raíz de la presentación del PETIC 2016-2020 y como resultado de las gestiones realizadas por la Directora del DADE – Dra. Liliana Pulido Villamil y el Subdirector de Investigación e Información Ing. Henry Díaz Dussán se logró el respaldo de la alta gerencia de la Entidad Dra. Ma. Consuelo Araujo y la aprobación del PETIC en consejo directivo. Adicionalmente se logró una asignación presupuestal inicial de más de 29.000 millones para el cuatrienio versus 8.000 antes del PETIC (incremento del 363%), de los cuales para el año 2017, se apropiaron más de 13.000 millones que se destinarán a los proyectos prioritarios y se reflejan en el Plan de Adquisiciones 2017 (Plan de Acción), entre los cuales se encuentran 2 de los proyectos estratégicos de TIC (Outsourcing de Conectividad y Outsourcing de impresión), donde se logró aprobación de vigencias futuras por 3 años, permitiendo economías de escala, disminución de la carga operativa en los proceso de contratación y un proceso de madurez importante en los servicios TIC de la Entidad.

• Anexo 13. Plan de Informática 2017 (plan de acción) • Anexo 14. Plan de Adquisiciones 2017

15. Conclusiones

La Secretaría de Integración Social presenta una brecha de obsolescencia tecnológica de más de 15 años en la mayoría de sus componentes.

Los procesos, trámites y servicios no se encuentran soportados adecuadamente en las TIC, limitando la capacidad institucional, frente a la eficiencia y oportunidad.

No existen mejores prácticas en la prestación de los servicios TIC de la Entidad La información procesada y generada por la entidad presenta deficiencias de calidad,

integridad y oportunidad No existe especialización ni tercerización de servicios informáticos que permita la

prestación de los mismos de forma adecuada y acorde a las mejores prácticas. La información almacenada en la infraestructura tecnológica central no se encuentra

adecuadamente salvaguardada y se han materializado incidentes de seguridad donde se ha perdido información valiosa para la entidad y se ha afectado la operación de los servicios.

No existe un plan de recuperación de desastres que permita a la Entidad recuperas rápidamente su operación sin pérdida de información, riesgos que se han materializado en 2 eventos presentados en 2016.

Hay una mala percepción de los servicios informáticos y recursos tecnológicos de la SDIS por parte de los usuarios.

La implementación del PETIC 2016-2020 propuesto en el presente documento le permitirá a la Entidad reducir la brecha tecnológica y fue diseño de forma articulada con misión institucional.

El nivel de apropiación y cultura digital de la Entidad es muy bajo. El componente de seguridad de la información se encuentra en un nivel crítico de avance

22% El área responsable del proceso TIC de la Entidad, no se encuentra ubicado de forma

estratégica como lo solicita el decreto 415 de 2016.

16. Recomendaciones Se requiere una intervención de alto impacto que permita reducir la brecha tecnológica y

alinear a las TIC a la misión y visión de la Entidad. Es de vital importancia seguir la línea del PETIC y ejecutar los proyectos planteados para

hacer que las TIC generen el valor requerido a la SDIS y de esta forma lograr la eficiencia y oportunidad en la prestación de los servicios misionales.

Se recomienda la implementación de mejores prácticas en la prestación de los servicios TIC para garantizar su correcta prestación y los mismos se traduzcan en mejores resultados para la Entidad en todos sus procesos, trámites y servicios.

El fortalecimiento del recurso humano de la Subdirección de Investigación e Información es determinante para el logro de los objetivos estratégicos planteados en el PETIC.

Es muy importante cumplir con el decreto 415 de 2016, donde se le dé la ubicación estratégica al proceso TIC de la Entidad, creando la Dirección de Información Tecnología, dependiendo directamente al representante legal de la SDIS.

Garantizar los recursos financieros definidos para el cuatrienio y gestionar recursos adicionales necesarios que permitan la implementación del 100% del PETIC.

Se requiere un diagnóstico de seguridad integral de la Entidad para a partir de éste realizar los correctivos requeridos para proteger a la Entidad de todos los riesgos en materia de seguridad de la información, alineado al Sistema de Gestión de Seguridad de la Información SGSI, el cual se encuentra actualmente en estado crítico 22%.

Aprovechar el gran potencial de las TIC y hacer que estas faciliten se coloquen al servicio y optimización y modernización de la Secretaría de Integración Social

Documents

PETIC integración digital 2016-2020intranetsdis.integracionsocial.gov.co/anexos/documentos/... · Web viewDe esta manera, la SDIS en el cumplimiento de su misión y de las metas