2. METHODOLOGY AND METHOD
3.2 Interpersonal Barriers
3.2.2 The Hidden Self
En este capítulo se describe los conceptos relacionados con la descripción del servicio, características, Ruta para aplicación de la Gestión de Datos en la SNS, identificación de los
activos de información, identificación de datos abiertos, integración de datos, preparación para la apertura de datos, análisis de la información, características de los datos abiertos, publicación de los datos abiertos. Igualmente describe las herramientas tecnológicas requeridas para el proceso de modelación del negocio con sus distintos componentes.
Descripción del Servicio:
Partiendo de la definición de Datos Abierto, que son todos aquellos datos primarios, sin procesar, en formatos estándar, estructurados e interoperables que facilitan su acceso y permiten su reutilización, los cuales están bajo la custodia de las entidades públicas y que pueden ser obtenidos y ofrecidos sin reserva alguna, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos.
1. Características.
Los datos son considerados abiertos si son publicados siguiendo las siguientes características:
Completos: Los datos públicos no deben estar sujetos a privacidad u otras limitaciones. Además, deben estar electrónicamente almacenados.
Primarios: Los datos deben ser recolectados en la fuente de origen, con el nivel de granularidad más alto posible.
Oportunos: Los datos deben estar disponibles tan rápido como sea necesario para garantizar el valor de los mismos.
Accesibles: Los datos deben estar disponibles para el rango más amplio de usuarios y para el rango más amplio de propósitos.
Procesables por máquinas: Los datos deben estar estructurados razonablemente para permitir un procesamiento automático.
No discriminatorios: Los datos deben estar disponibles para cualquiera persona, sin requerir un registro.
No propietarios: Los datos deben estar disponibles en un formato sobre el cual ninguna entidad tiene un control exclusivo.
Libres de licencias: Los datos no deben estar sujetos a ningún derecho de autor, patente, marca registrada o regulaciones de acuerdo de secreto. Se podrán permitir restricciones razonables de privacidad, seguridad o privilegios.
A mediados de 2010, (Berners-Lee, 2009) estableció una clasificación de cinco categorías para puntuar la calidad de los datos abiertos. Esta categorización se ha convertido en un principio técnico a partir del cual diseñar una primera ruta de trabajo en la construcción progresiva de plataformas de datos abiertos. La Figura 3 resume los mencionados 5 niveles de estrellas:
Publicar los Datos en la web, independientemente de su formato, bajo licencia abierta
Publicar datos estructurados y en formatos procesables (Excel en lugar de imágenes, p.e.)
Ibídem anterior + datos en formato no propietario (csv en lugar de Excel, p.e.)
Ibídem anterior + usar estándares abiertos de W3C (RDF y SPARQL)
Ibídem anteriores + enlaza los datos con otras fuentes de datos para proveer contexto (LOD)
2. Ruta para aplicación de la Gestión de Datos en la SNS:
Figura 4. Aplicación de la Gestión de Datos en la SNS
1) Identificar problemas de Datos 2) Entender los datos
3) Realizar una evaluación de madurez 4) Definir una visión para la gestión de datos 5) Definir caso de Negocio
6) Aplicar estrategias funcionales 6.1) Gestión de Gobierno de Datos
No se evidencian actividades o registros relacionados con la planeación, seguimiento o control del uso de datos generados por la gestión de PQRD. No hay definidas políticas formales para la gestión de datos. No se disponen de instrumentos que permitan conocer en forma anticipada el comportamiento de la gestión y los resultados de la misma tales como tableros de control y notificaciones de control.
6.2) Gestión de Calidad de Datos
No se evidencian actividades para la planificación, seguimiento y control en la aplicación de las técnicas de gestión de calidad de datos para medir, evaluar, mejorar y asegurar la idoneidad de los datos para su uso. Solo existen actividades de análisis de datos que pueden originar mejoras en los mismos, sin embargo son procesos reactivos y no preventivos.
6.3) Gestión de Arquitectura de Datos
Según TOGAF Versión 9.1, es una estructura de datos lógicos y físicos que posee una organización y sus recursos de gestión de datos.
En la entidad actualmente no existen definiciones de arquitecturas empresariales de datos, sin embargo actualmente se están desarrollando ejercicios de arquitectura empresarial que implicarán arquitectura de datos empresariales para los servicios de negocio relacionados con la gestión de PQRD.
6.4) Gestión para el desarrollo de Datos
Las actividades de datos centrada en el ciclo de vida de desarrollo de sistemas incluyendo el modelado de datos y el análisis de los requisitos de datos, diseño, implementación y mantenimiento de bases de datos de componentes de las soluciones de gestión de PQRD y SUPQR, se desarrollan actualmente como parte de los procesos de mantenimiento a dichas soluciones.
Por otra parte lo relacionado con la planificación, seguimiento y control de datos estructurados relacionados con el ciclo de vida desde la creación hasta la purga de datos no se lleva en su totalidad, sin embargo si se tienen procedimientos y políticas para el respaldo de información.
6.5) Gestión de Metadatos
Actualmente se identifica dispersión de fuentes de datos con las mismas características y por lo tanto duplicación de datos, más aún cuando se tienen dos aplicativos para atender PQRD y otras aplicaciones internas que mantienen fuentes de datos similares en diferentes repositorios, como es el caso de una de las entidades de información clave como lo son los vigilados. Por lo anterior se evidencia que la entidad no presenta una gestión de datos maestros que permita asegurar en forma técnica la fiabilidad de los datos en el entorno institucional.
7) Inteligencia de Negocios – BI
Actualmente el análisis de información se está llevando mediante la extracción de datos planos desde la aplicación del proveedor de Centro de Contacto, que son ingresadas en Excel y en el software STATA. No hay disponibilidad de estructuras en cubos en una plataforma de BI, pese a que la entidad posee el licenciamiento de MicroEstategy que es un software especializado para el tratamiento de bodegas de datos y generación de información analítica.
8) Medir los resultados
Criterios de valorización considerados en el análisis de los diferentes componentes, entre ellos encontramos: nivel de satisfacción, generación de valor, porcentaje de implementación según la política de Gobierno Digital, cumplimiento de la norma.
3. Modelo de Madurez de Datos Abiertos
El modelo de datos abiertos en Colombia busca cumplir los siguientes objetivos generales (Min TIC, 2017):
Generar progreso económico en el país por medio de la información suministrada de forma masiva, permanente y fiable, a ciudadanos y empresas, para que sea utilizada o transformada para la generación de servicios de gobierno a la sociedad en general.
Fomentar la transparencia del Estado por medio de la información y los datos puestos al alcance del ciudadano y las empresas.
Figura 5. Modelo de Datos abiertos – Resumen Ejecutivo Datos abiertos, 2017
4. Apertura de Datos
Identificación de la información: En esta fase se busca identificar y caracterizar la información con que cuentan las entidades.
Análisis de información publicable: En esta fase se clasifica la información que es publicable y la que no lo es, de acuerdo con el marco Jurídico establecido.
Priorización de los datos: En esta fase se definen aquellos datos con los cuales se implementará el proceso de apertura, de acuerdo con un análisis estratégico. Al finalizar se realiza la definición del inventario a publicar.
Documentación: En esta fase se describen los datos a publicar, con el fin de hacerlos comprensibles y facilitar su búsqueda y uso.
Estructuración, cargue y publicación: En esta fase se identifican los diferentes procesos de cargue y publicación de los datos en la plataforma tecnológica que permitirá el posterior acceso a los datos abiertos a los ciudadanos y a la sociedad en general.
5. Proceso de identificación de Información de la entidad.
Conocer la criticidad de los activos información que cada funcionario manipula a fin de darle el trato adecuado, de esta manera mitigando los riesgos de seguridad de la información que se puedan presentar en los mismos.
A través del registro activos de información podemos identificar si los sistemas de información objeto de estudio tiene una clasificación de información pública, información pública reservada o información pública clasificada. Asi mismo, se identifica si la información es sensible o no. la matriz de identificación de activos, se hace un análisis detallado
La Ley 1712 de 2014 de Transparencia y Acceso a la Información, establece que la entidad debe contar con un Registro de Activos de Información, que es el inventario de la información pública que genera, obtiene, adquiere, transforma o controla la entidad.
La Ley también establece la realización de un Índice de Información Clasificada y Reservada, en donde la entidad identifica qué información se debe ser clasificada como tal por motivos de protección de datos personales o por motivos de defensa, seguridad nacional o estabilidad económica del País.
Los datos abiertos no son contrarios a la protección de datos personales: si existe información asociada a datos personales pero que puede ser valiosa como dato abierto, adelante acciones de anonimización para eliminar aquella información sensible que afecta
a personas u organizaciones y cuya identidad debe protegerse legalmente. Antes de publicar cualquier información que sea sensible, considere otras fuentes de información disponibles y evalúe si la combinación de éstas puede presentar algún riesgo. Con esto puede prevenir el efecto mosaico, que ocurre cuando la información de una base de datos por sí sola, no genera un riesgo para la identificación de individuos, pero al combinarse con otra información disponible, puede generar tal riesgo.
En materia de datos abiertos, específicamente la Ley 1712 establece que las entidades deben “publicar datos abiertos”, teniendo en cuenta las excepciones de publicar información pública clasificada o información pública reservada (Min TIC, 2016).
En lineamiento con lo anterior, y con el fin de definir qué información se puede publicar, se tiene definido la matriz de identificación de activos en la cual los campos identificados son INFORMACIÓN PÚBLICA
CLASIFICADA
Pone en riesgo la intimidad de las personas
Pone en riesgo la vida, salud o seguridad de las personas
INFORMACIÓN PÚBLICA RESERVADA
Afecta los secretos
comerciales, industriales, profesionales
Afecta los derechos
estipulados en el parágrafo del Art. 77/1474 de 2011 profesionales Defensa y seguridad Nacional y Pública Relaciones Internacionales
Debido proceso en los procesos Judiciales
Derechos de la Infancia y la adolescencia
Estabilidad macroeconómica y financiera del país
Salud Pública
INFORMACIÓN PÚBLICA CUYO ACCESO LIBRE PUEDE CAUSAR DAÑO DE DERECHOS A PERSONAS NATURALES O JURÍDICAS
INFORMACIÓN PÚBLICA CUYO ACCESO LIBRE PUEDE CAUSAR DAÑO A LOS INTERESES PÚBLICOS
los siguientes (SNS, Guía metodológica de análisis de Riesgos de seguridad y Privacidad de la Información, 2018):
Tabla 6. Matriz de Identificación de Activos SNS
Sección Nombre Campo Descripción Información del Proceso Tipo de Proceso
Tipo de proceso al cual se le identificará y/o actualizará el inventario de activos de información.
Macroproceso Macroproceso al cual se le identificará y/o actualizará el inventario de activos de información.
Proceso Seleccione de la lista el Proceso al cual se le identificará y/o actualizará el inventario de activos de información.
Identificación del Activo de Información
ID Consecutivo asignado a cada Activo de Información identificado (nomenclatura AI-XXX).
Nombre o Título de la
Información
Nombre del activo de información identificado.
Descripción Descripción del activo de información.
Tipo Tipo al que pertenece el activo de información: Hardware, Software, Servicio, Otro.
Idioma Idioma en el que se encuentra el activo de información identificado.
Medio de Conservación y/o Soporte
Soporte en el que se encuentra el activo de
información: Documento Físico,
Documento Electrónico, Documento Digital, Documento Físico y Electrónico o si es un Documento Físico y Digital.
Formato Formato en el que se presenta el activo de información o se permite su visualización o consulta, tales como: Animación (.swf), Audio, Correo Electrónico, Compresión (.zip, .rar), Base de Datos (.mdb, .SQL), Documento de Texto, Hoja de Cálculo, Imagen, Presentaciones, Video, Web u Otro.
Ubicación del
Activo de
Información
Físico Ubicación física del activo de información.
Electrónico o Digital
Ubicación (ruta) electrónica del activo de información.
Información Publicada o Disponible
Corresponde a si la información del activo está publicada o disponible para ser solicitada o ambas.
Lugar de Consulta
Indica dónde está publicada la información que contiene el activo y/o dónde se puede consultar o solicitar.
Frecuencia de Actualización
Periodicidad o el segmento de tiempo en el que actualiza la información, de acuerdo con su naturaleza y con la normativa aplicable.
Responsables Asociados al
Responsable de producción de la
Nombre de la Delegada u oficina que crea o produce la información.
Activo de Información Información o Propietario Responsable de la Información o Custodio
Nombre de la delegada u oficina encargada de la custodia o control de la información para efectos de permitir su acceso.
Usuario Delegada u Oficina con sus correspondientes grupos o coordinaciones que tienen acceso al activo de información. Clasificación y Etiquetado de Información Tiene datos personales
Seleccione de la lista las siguientes opciones: Si, No,
Dato Sensible.
Teniendo en cuenta la siguiente información: Si o No: si la información del activo de incluye datos personales.
Dato Sensible: si la información del activo contiene datos personales que afecten la intimidad del titular o cuyo uso indebido pueda generar su discriminación, tales como origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Clasificación Información del activo donde se indica si es Información Pública, Información Pública Clasificada o
Información Pública Reservada, de acuerdo con la ley 1712 de 2014.
Etiquetado Etiquetado del activo de información de acuerdo con el nivel de clasificación seleccionado en el campo anterior, de la siguiente manera: Pública, Clasificada, Reservada. Valoración del Activo de Información Confidencialida d
Dato generado automáticamente, el formato indica la valoración de la confidencialidad del activo de información dependiendo del nivel de clasificación seleccionado, si es Información Pública, el nivel de confidencialidad es Baja, si es Información Pública Clasificada el nivel de confidencialidad es media, si es Información Pública Reservada el nivel de confidencialidad es Alta.
Integridad Indica el impacto: Alto, Medio o Bajo que puede generar en la Entidad que la información del activo identificado no esté disponible para los usuarios, áreas y/o procesos autorizados en el momento que la requieran.
Disponibilidad Seleccione de la lista Alta, Media o Baja, dependiendo del impacto que puede generar en la Entidad la pérdida de la exactitud y completitud de la información del activo identificado.
Criticidad Criticidad del activo de información, teniendo en cuenta la clasificación de los principios de seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de la siguiente manera: Alta: cuando dos (2) o todos los principios son altas.
Media: cuando es alta en uno (1) de sus principios o al menos una de ellas es de nivel medio. Baja: cuando la clasificación de los principios en todos sus niveles es baja.
Observaciones Aspectos más relevantes de los activos de información, que considere se deben resaltar.
Calificación Documental del Activo de Información S / Serie (Tema)
Codificación de la Serie Documental acorde con las Tablas de Retención Documental (TRD).
Nombre o Título de la
Categoría/Serie de la
Información
Categoría o Serie Documental acorde con las Tablas de Retención Documental (TRD).
Sb / Subserie (Subtema)
Codificación de la Subserie Documental acorde con las Tablas de Retención Documental (TRD).
Nombre o Título de la Categoría/Subs erie de la Información Tiempo de Conservación Archivo de Gestión y/o Archivo Central
Ttiempo de conservación del activo de información acorde con las Tablas de Retención Documental (TRD).
SIG / Código Documento o Formato en Sistema Integrado de Gestión
Registre (Si aplica) el documento o formato en el Sistema Integrado de Gestión que soporta el activo de información.
Sistema de Información
Sistema de información donde se guarda información del activo.
Fuente: (SNS, Guía metodológica de análisis de Riesgos de seguridad y Privacidad de la
Información, 2018)
En la matriz de activos, se encuentra el Inventario de los Sistemas de Información, en el cual se detalla el nombre de la aplicación, descripción y tipo de aplicación. -para este proyecto se han tomado como referencia aplicaciones de tipo misional, como lo es: RVCC CIRCULAR UNICA -RVCC-Recepción, Validación y Cargue, PQRD, BI - Análisis de información y toma de decisiones. Se puede evidenciar estos sistemas dentro del mapa de procesos, (SNS, Subsistema de Gestión de Calidad, 2018) en el cual se encuentran los macroprocesos de Protección al Usuario y Participación Ciudadana, Inspección a Sujetos Vigilados del SGSSS, Vigilancia a sujetos vigilados del SGSSS, Control a sujetos vigilados del SGSSS Y Administración de Justicia y Resolución de conflictos del SGSSS.
Fuente: (SNS, Subsistema de Gestión de Calidad, 2018)
A continuación, se da una breve descripción de algunos sistemas de Información de tipo misional sobre los cuales se pretende identificar, consolidar y publicar información.
Tabla 7. Sistemas de Información Misionales SNS
ID NOMBRE APLICACIÓN DESCRIPCIÓN TIPO APLICACIÓN
(Misional/Apoyo) 1 Sistemas de información Corporativos- CIRCULAR UNICA - RVCC-Recepción, Validación y Cargue "Sistema de recepción, validación y cargue de la circular RVCC que permite a las áreas misionales consultar la oportunidad de envió de la información Controla el ingreso de la entidad vigilada a través del portal web para la validación y cargue de los archivos planos, Word, Excel y pdf, solicitados en la Circular Única. El sistema realiza validaciones de estructura, referencia y contenido a los archivos planos, verifica validez de la firma digital y almacena los datos en la base de datos transaccional. " Misional 2 Sistema gerencial BI (Análisis de información y toma de decisiones) (MicroStrategy Salud Pública App)
"Este sistema realiza procesos de extracción, transformación y cargue de datos desde la base de datos transaccional y dispone la información en informes multidimensionales y tableros de control gerenciales. Consulta de la información reportada por los
vigilados por medio de circular única"
3 Sistema Jurisdiccional y Conciliación- SJC(FJC)
Sistema que permite registrar y hacer seguimiento a las demandas jurisdiccionales y procesos de conciliación Misional 4 Nuevo Sistemas de información Corporativos- CIRCULAR UNICA - RVCC-Recepción, Validación y Cargue- acorde a los Grupos y fechas para aplicar las
NIIF en Colombia
(GRUPO 1, GRUPO 2, GRUPO 3)
"Sistema de recepción, validación y cargue de la circular RVCC que permite a las áreas misionales consultar la oportunidad de envió de la información Controla el ingreso de la entidad vigilada a través del portal web para la validación y cargue de los archivos planos, Word, Excel y pdf, solicitados en la Circular Única. El sistema realiza validaciones de estructura, referencia y contenido a los archivos planos, verifica validez de la firma digital y almacena los datos en la base de datos transaccional. "
Misional
5 FENIX Sistema que permite hacer el
seguimiento en línea a la gestión de los agentes interventores, liquidadores y contralores como también a los gerentes
administración de la Entidad en medida especial. La herramienta fue socializada de manera oficial con las entidades sujetas a Medida Especial por parte de la Superintendencia Nacional de Salud el día 24 de febrero de 2017.
Misional
6 Gestión de PQR "Sistema a través del cual se registran, administran, gestionan todas las PQR que se presentan sobre los vigilados. Apoya el proceso de registro de
una PQR atendida en ventanilla(presencial) por funcionarios de la Delegada de Protección al Usuario" Misional/ Servicios de terceros-SAAS
Fuente: Superintendencia Nacional de Salud 2018
5.2 Análisis de Información publicable.
Para este análisis se contempla el modelado a través de ArchiMate, un lenguaje de modelado para apoyar la descripción, el análisis y la visualización de la arquitectura dentro