1. modelo de seguridad y privacidad de la información

8/20/2019 1. Modelo de Seguridad y Privacidad de La Información

1/32

Modelo de Seguridad y

Privacidad de la Información

Model


2/32

HISTORIAVERSIÓN FECHA CAMBIOS INTRODUCIDOS

1.0.0 15/12/2010 Versión inicial del documento

2.0.0 30/09/2011 Restructuración de forma

2.0.1 30/11/2011 Actualización del documento

3.0.0 03/03/2015 Revisión del documento


3/32

TABLA DE CONTENIDOPÁG.

DERECHOS DE AUTOR ................................................................................................................. 4

AUDIENCIA ........................................................................................................................................... 5

INTRODUCCIÓN ................................................................................................................................ 6

JUSTIFICACIÓN ................................................................................................................................. 9

GLOSARIO ......................................................................................................................................... 10

OBJETIVOS ....................................................................................................................................... 13

MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN .......................... 14

Capítulo I - DESCRIPCIÓN DETALLADA DEL MODELO DE OPERACIÓN........... 15

COMPONENTE - PLANIFICACIÓN ......................................................................................... 17

COMPONENTE - IMPLEMENTACIÓN ................................................................................... 18

COMPONENTE – EVALUACIÓN DE DESEMPEÑO ........................................................ 19

COMPONENTE – MEJORA CONTINUA ............................................................................... 20

Capítulo II - MODELO DE MADUREZ ..................................................................................... 21

Capítulo III - PLAZOS ..................................................................................................................... 26

- ........................................................................................................................... 31


4/32

DERECHOS DE AUTOR

A menos que se indique de forma contraria, el copyright (traducido literalmentecomo derecho de copia y que, por lo general, comprende la parte patrimonial de losderechos de autor) del texto incluido en este documento es del Ministerio deTecnologías de la Información y las Comunicaciones. Se puede reproducirgratuitamente en cualquier formato o medio sin requerir un permiso expreso paraello, bajo las siguientes condiciones:

El texto particular no se ha indicado como excluido y por lo tanto no puedeser copiado o distribuido.

La copia no se hace con el fin de ser distribuida comercialmente.

Los materiales se deben reproducir exactamente y no se deben utilizar en uncontexto engañoso.

Las copias serán acompañadas por las palabras "copiado/distribuido conpermiso del Ministerio de Tecnologías de la Información y lasComunicaciones de Colombia. Todos los derechos reservados”.

El título del documento debe ser incluido al ser reproducido como parte deotra publicación o servicio.

Si se desea copiar o distribuir el documento con otros propósitos, debe solicitar el

permiso entrando en contacto con la Dirección de Estándares y Arquitectura de TIdel Ministerio de Tecnologías de la Información y las Comunicaciones de laRepública de Colombia.

Todas las referencias a las políticas, definiciones o contenido relacionado,publicadas en la norma técnica colombiana NTC ISO/IEC 27001 vigente, así comoa los anexos con derechos reservados por parte de ISO/ICONTEC.


5/32

AUDIENCIA

Entidades públicas de orden nacional y entidades públicas del orden territorial, asícomo proveedores de servicios de Gobierno en Línea, y terceros que deseenadoptar el Modelo de Seguridad y Privacidad de la información en el marco de laEstrategia de Gobierno en Línea.


6/32

INTRODUCCIÓN

En lo referente a seguridad de la información, la Ley 1341 de 2009 “por la cual sedefinen principios y conceptos sobre la sociedad de la información y la organizaciónde las tecnologías de la información y las comunicaciones –TIC-se crea la agencianacional de espectro y se dictan otras disposiciones”, señala en su artículo dos (2),como principios orientadores y aspectos fundamentales para la promoción de la librecompetencia y el comercio electrónico, lo siguiente: la protección a los derechos delos usuarios de las TIC, el acceso y uso de las TIC, la garantía de los derechos delos ciudadanos y la masificación del Gobierno en Línea.

Adicional a lo expuesto, el Gobierno Nacional, a través del documento CONPES3701 del 14 de julio de 2011, estableció la Estrategia Nacional de Ciberseguridad yCiberdefensa, con el fin de desarrollar medidas que aseguren la información de losciudadanos frente a las amenazas informáticas, estableciendo compromisos acargo del Ministerio de las TIC, entre otras entidades relacionados con el diseño eimplementación de planes, políticas, estrategias, gestión, capacitación ysensibilización en lo referente a seguridad de la información.

Con la expedición del decreto 2618 del 2012, se modifica la estructura del Ministeriode las TIC, se crea la Subdirección de Seguridad y Privacidad de TI, la cual tiene

las siguientes funciones: Liderar la implementación en el Estado de plataformas con estándares de

seguridad y privacidad de la información en coordinación con las autoridadespertinentes.

Definir, conjuntamente con las autoridades competentes, una estrategia deseguridad y privacidad de la información desde la perspectiva de latecnología en las dimensiones de la protección de bienes, activos, servicios,derechos y libertades dependientes del Estado y que coordine las agenciasy entidades público - privadas relacionadas con este fin.

Elaborar una estrategia de seguridad de la información que soporte un marconormativo específico para las entidades del orden nacional y en coordinacióncon las entidades del orden territorial respetando la autonomíaadministrativa.

Definir los lineamientos de política y estándares de protección de lainformación pública, para su preservación en situaciones de desastre.


7/32

Identificar los activos dependientes del ciberespacio así como su regulacióny definir el marco funcional y de responsabilidades en la materia, centrándoseen la defensa de las infraestructuras críticas, el tejido empresarial y las

libertades y derechos individuales, conforme a la ley vigente. Fomentar y reforzar la cooperación internacional en materia de

ciberseguridad a través de alianzas multinacionales y bilaterales en lamateria.

Promover en la dinámica del Estado una cultura de la ciberresponsabilidad,basada en la concientización y formación continua en ciberseguridad, através de planes de estudio que desarrollen teoría práctica aplicable en lasorganizaciones y provean empleo cualificado.

Promover la investigación, el desarrollo y la innovación del Sector en materia

de la ciberseguridad, que proporcione soluciones de tecnologías de lainformación requeridas por el Estado.

Formular y liderar proyectos para identificar fortalezas y debilidadesrelacionadas con la estructura de la información tales como la innovación,adaptación y obsolescencia tecnológica para garantizar estándares decalidad y seguridad de la información en coordinación con la Subdirección deGestión Pública de Tecnologías de la Información.

Le da facultades al Ministerio de las TIC, para generar estrategias de

implementación y evaluación del modelo de seguridad y privacidad de lainformación, en las entidades del Estado.

Que el 12 de diciembre del año 2014, fue expedido el Decreto 2573, “Por el cual se

establecen los lineamientos generales de la Estrategia de Gobierno en Línea, sereglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones”. ElDecreto tiene como objeto “Definir los lineamientos, instrumentos y plazos de la

estrategia de Gobierno en línea para garantizar el máximo aprovechamiento de lasTecnologías de la Información y las Comunicaciones, con el fin de contribuir con laconstrucción de un Estado abierto, más eficiente, más transparente y más

participativo y que preste mejores servicios con la colaboración de toda la sociedad”.

En el marco de la política, lineamientos y ejes de acción contenidos en el “Plan ViveDigital 2”, que se desarrollarán en el periodo de gobierno 2014-2018, se encuentranpriorizados el impulso en la masificación de las tecnologías, la consolidación de unecosistema de desarrollo de aplicaciones sociales en el país, y la obtención de unGobierno más eficiente y transparente a través del uso de tecnologías, para lo cual


8/32

le corresponde a la Dirección de Estándares y Arquitectura de TI abordar laejecución de las iniciativas que estén a su cargo en el marco de desarrollo del Plan.Se plantea la necesidad de un marco de seguridad y privacidad de la información

para las entidades del Estado colombiano, la prestación de servicios a losciudadanos a través de las tecnologías de la información, que deberá serrespaldado por la gestión, políticas y procedimientos adecuados, que resalten elpapel de las personas como el primer eslabón de una compleja cadena deresponsabilidades en la protección de los activos de información, que esté orientadoa preservar los pilares fundamentales de la seguridad de la información:

CONFIDENCIALIDAD: la información debe ser accesible sólo a aquellaspersonas autorizadas.

INTEGRIDAD: la información y sus métodos de procesamiento deben sercompletos y exactos.

DISPONIBILIDAD: la información y los servicios debe estar disponible cuandose le requiera.

Para el logro de estos objetivos, es fundamental contar con el acuerdo ycompromiso de todos los involucrados, el respaldo del nivel directivo dentro de laentidad, siendo conscientes con los beneficios que se pueden obtener, con unacultura enfocada a la seguridad y privacidad, pero también del impacto que se puedeafrontar por la materialización de riesgos que no se controlan y que se asocian altema de seguridad y privacidad de la información.

El Modelo de Seguridad y Privacidad de la Información reúne el conjunto delineamientos, políticas, normas, procesos e instituciones que proveen y promuevenla puesta en marcha, supervisión, mejora y control de la implementación del modelo,así como a la implementación de la Estrategia de Gobierno en Línea, establecidaen manual GEL.

Los capítulos del modelo de seguridad y privacidad de la Información, presentan laalineación con el Marco de Referencia de Arquitectura Empresarial para la Gestión

de TI y la Estrategia de Gobierno en línea.


9/32

JUSTIFICACIÓN

La estrategia de la Dirección de Estándares y Arquitectura de TI a través de laSubdirección de Seguridad y Privacidad de TI, es dar cumplimiento a sus funcionesacorde a la Estrategia de Gobierno en línea, a través de las cuales se contribuye,con la construcción de un Estado más eficiente, más transparente y participativo,que preste los mejores servicios con la colaboración de toda la sociedad, medianteel aprovechamiento de las TIC, así mismo, trabajando en el fortalecimiento de laprotección de la privacidad de los usuarios como parte de una estrategia deseguridad y privacidad en el país y apoyando las actividades que permitan el ingresoa los diferentes organismos nacionales e internacionales, tales como Organización

de Estados Americanos (OEA), Unión Internacional de Comunicaciones (UTI),Convenio de Budapest, entre otros.

El modelo expuesto en este documento, incluye la actualización del modelo deseguridad de la información para gobierno en línea, “versión 2.0”, plan de operación,modelo de madurez, entre otros.


10/32

GLOSARIO

ActivoEn relación con la seguridad de la información, se refiere a cualquier informacióno elemento relacionado con el tratamiento de la misma (sistemas, soportes,edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000).

AmenazasCausa potencial de un incidente no deseado, que puede provocar daños a unsistema o a la organización. (ISO/IEC 27000).

Análisis de RiesgoProceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.(ISO/IEC 27000).

AuditoríaProceso sistemático, independiente y documentado para obtener evidencias deauditoria y obviamente para determinar el grado en el que se cumplen loscriterios de auditoria. (ISO/IEC 27000).

CiberseguridadCapacidad del Estado para minimizar el nivel de riesgo al que están expuestoslos ciudadanos, ante amenazas o incidentes de naturaleza cibernética.(CONPES 3701).

Ciberespacio Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos enla civilización electrónica, la informática y la cibernética. (CONPES 3701,Tomado de la Academia de la lengua Española).

ControlLas políticas, los procedimientos, las prácticas y las estructuras organizativasconcebidas para mantener los riesgos de seguridad de la información por debajodel nivel de riesgo asumido. Control es también utilizado como sinónimo desalvaguarda o contramedida. En una definición más simple, es una medida quemodifica el riesgo.


11/32

Declaración de aplicabilidadDocumento que enumera los controles aplicados por el Sistema de Gestión de

Seguridad de la Información – SGSI, de la organización tras el resultado de losprocesos de evaluación y tratamiento de riesgos y su justificación, así como la

justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC27000).

Gestión de incidentes de seguridad de la informaciónProcesos para detectar, reportar, evaluar, responder, tratar y aprender de losincidentes de seguridad de la información. (ISO/IEC 27000).

Plan de continuidad del negocioPlan orientado a permitir la continuación de las principales funciones misionaleso del negocio en el caso de un evento imprevisto que las ponga en peligro.(ISO/IEC 27000).

Plan de tratamiento de riesgosDocumento que define las acciones para gestionar los riesgos de seguridad dela información inaceptables e implantar los controles necesarios para proteger lamisma. (ISO/IEC 27000).

RiesgoPosibilidad de que una amenaza concreta pueda explotar una vulnerabilidadpara causar una pérdida o daño en un activo de información. Suele considerarsecomo una combinación de la probabilidad de un evento y sus consecuencias.(ISO/IEC 27000).

Seguridad de la informaciónPreservación de la confidencialidad, integridad, y disponibilidad de lainformación. (ISO/IEC 27000).

Sistema de Gestión de Seguridad de la Información SGSIConjunto de elementos interrelacionados o interactuantes (estructuraorganizativa, políticas, planificación de actividades, responsabilidades,procesos, procedimientos y recursos) que utiliza una organización paraestablecer una política y unos objetivos de seguridad de la información y


12/32

alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejoracontinua. (ISO/IEC 27000).

TrazabilidadCualidad que permite que todas las acciones realizadas sobre la información oun sistema de tratamiento de la información sean asociadas de modo inequívocoa un individuo o entidad. (ISO/IEC 27000).

VulnerabilidadDebilidad de un activo o control que puede ser explotada por una o másamenazas. (ISO/IEC 27000).

Parte interesada (Stakeholder)Persona u organización que puede afectar a, ser afectada por o percibirse a símisma como afectada por una decisión o actividad.


13/32

OBJETIVOS

Para lograr esta visión se han adoptado los siguientes objetivos:

Contribuir al incremento de la transparencia en la gestión pública.

Dar lineamiento para la implementación de la gestión de la seguridad yprivacidad de la información, en las entidades del estado.

Promover el uso de mejores prácticas de seguridad de la información, para serla base de aplicación del concepto de ciberseguridad en la entidad.

Alinear el marco de referencia de arquitectura empresarial con los principios deseguridad y privacidad de la información.


14/32

MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

El modelo de operación del Modelo de Seguridad y Privacidad de la Información,contempla su implementación en un ciclo de cinco (5) fases, las cuales permitenque las entidades puedan gestionar la seguridad y privacidad de la información, conel fin de fortalecer la protección de los datos y dar cumplimiento a lo establecido enla Estrategia de Gobierno en Línea, cubriendo de una manera integral cada uno desus componentes.

Esta gestión se aplica a todas las fases del desarrollo del modelo, de manera queconserven las expectativas de los grupos de interés de la Entidad, tanto internoscomo externos. Los insumos para la gestión del modelo están dados por losresultados de las actividades de cada fase, en especial los requeridos por lasEntidades, vistos en el marco de seguridad y privacidad de la información.

Dentro del Modelo de Seguridad y Privacidad de la Información se contemplanniveles de madurez, para la evolución permanente de la seguridad y privacidad dela información al interior de la entidad. Estos requerimientos, se identifican, seclasifican y se priorizan, como parte del proceso de la gestión de la seguridad yprivacidad de la información.


15/32

Capítulo I - DESCRIPCIÓN DETALLADA DEL MODELO DE OPERACIÓN

En el presente capitulo se explica el ciclo de funcionamiento del modelo deoperación, a través de la descripción detallada de cada una de las fases. Las cinco(5) componentes que comprenden el modelo de operación contienen objetivos,metas y herramientas que permiten que la seguridad y privacidad de la informaciónsea un sistema de gestión sostenible dentro de las entidades.

Ilustración 1 – Marco de Seguridad y Privacidad de la Información

Diagnóstico

Planificación

Implementación

Gestión

Mejora continua


16/32

COMPONENTE - DIAGNÓSTICO

En este componente se pretende identificar el estado de la organización conrespecto a los requerimientos del Modelo de Seguridad y Privacidad de laInformación, que de ahora en adelante se denominara MSPI, el cual se encuentraen la Estrategia de Gobierno en Línea.

El resultado de la aplicación de la herramienta de autoevaluación, encuesta yestratificación (ver guía autoevaluación, encuesta y estratificación), permitirádeterminar el nivel de madurez de seguridad y privacidad de la información en laentidad y establecer la brecha con los objetivos a alcanzar.

Ilustración 3 – Diagnóstico

Metas Entregable Determinar el estado actual de la gestión de

seguridad y privacidad de la información al interiorde la Entidad, teniendo en cuenta la infraestructurade red de comunicaciones (IPv4/IPv6). (Ver, guíapara el aseguramiento del protocolo IPv6)

Identificar el nivel de madurez de seguridad yprivacidad de la información en la Entidad.

Realizar pruebas que permitan a la Entidad medir laefectividad de los controles existentes.

Documento con el resultado de la autoevaluaciónrealizada a la Entidad, de la gestión de seguridad yprivacidad de la información e infraestructura de redde comunicaciones (IPv4/IPv6), revisado y aprobadopor la alta dirección.Documento con el resultado de la herramienta de laencuesta, revisado, aprobado y aceptado por la altadirección.Documento con el resultado de la estratificación de laentidad, aceptado y aprobado por la dirección.

Una vez se tenga el resultado del diagnóstico inicial y determinado el nivel de

madurez de la entidad se procede a la definición del marco de seguridad yprivacidad de la entidad que contemplan los siguientes componentes:

Estado actual de la entidad

Identificar el nivel de madurez

Pruebas de efectividad

Diagnóstico


17/32

COMPONENTE - PLANIFICACIÓN

En este componente, se debe definir la estrategia metodológica, que permitaestablecer el alcance, objetivos, procesos y procedimientos, pertinentes a la gestióndel riesgo y mejora de seguridad de la información, en procura de los resultadosque permitan dar cumplimiento con las metas propuestas del MSPI.

Ilustración 4 – Componente de planificación

Metas Entregables Nivel Objetivos, alcance y limites del MSPI. Políticas de seguridad y privacidad de la

información. (Ver, guía de políticas de seguridady privacidad de la información)

Procedimientos de control documental del MSPI Asignación de recurso humano, comunicación de

roles y responsabilidades de seguridad yprivacidad de la información.

Inventario de activos de información. (Ver, Guíade clasificación de activos de información)

Acciones para tratar riesgos y oportunidades deseguridad de la información. (Ver, guía degestión del riesgo)

o Identificación y valoración de riesgos

de (Metodología, Reportes).o Tratamiento de riesgos (Selección de

controles). Toma de conciencia. Plan y estrategia de transición de IPv4 a

IPv6.(Ver, Guía de transición de IPV4 a IPv6para Colombia, circular 0002 del 6 de julio 2011).

Documento con el alcance y limites de laseguridad de la información,debidamente aprobado y socializado alinterior de la Entidad, por la altadirección.

Acto administrativo a través del cual secrea o se modifica las funciones delcomité gestión institucional (ó el quehaga sus veces), en donde se incluyanlos temas de seguridad de la informaciónen la entidad, revisado y aprobado por laalta Dirección.Documento con las políticas deseguridad y privacidad de la información,

debidamente aprobadas y socializadas alinterior de la Entidad, por la altaDirección.Formatos de procesos y procedimientos,debidamente definidos, establecidos yaprobados por el comité que integre lossistemas de gestión institucional.Documento de inventario de activo deinformación, revisado y aprobado por laalta Dirección.

Inicial/Gestionado

Contexto

Organizacional

Liderazgo

Planificación

Soporte

Objetivos, alcance y limites del MSPI.

Políticas de seguridad y privacidad de l a información. Procedimientos de control documental del MSPI Asignación de recurso humano, comunicación de roles y

responsabilidades de seguridad y privacidad de la información. Inventario de activos de información. Acciones para tratar riesgos y oportunidades de seguridad de la

información. Identificación y valoración de riesgos de

(Metodología, Reportes). Tratamiento de riesgos (Selección de controles).

Toma de conciencia. Plan y estrategia de transición de IPv4 a IPv6.

http://www.mintic.gov.co/portal/604/articles-5932_documento.pdfhttp://www.mintic.gov.co/portal/604/articles-5932_documento.pdf


18/32

Documento con el informe de análisis deriesgos, matriz de riesgos, plan detratamiento de riesgos y declaración deaplicabilidad, revisado y aprobado por laalta Dirección.

Documento con el plan de comunicación,sensibilización y capacitación, con losrespectivos soportes, revisado yaprobado por la alta Dirección.Documento con el plan y estrategia detransición de IPv4 a IPv6, revisado yaprobado por la alta Dirección.

COMPONENTE - IMPLEMENTACIÓN

Este componente le permitirá a la Entidad llevar acabo la implementación delcomponente de planificación del MSPI, teniendo en cuenta los aspectos másrelevantes en los procesos de implementación del MSPI.

Una vez terminada la definición del Modelo de Operación de Seguridad y Privacidadde la Información (MOSPI), y de acuerdo con la identificación de las necesidadesde la Entidad, se procede con la elaboración del plan de Implementación del MSPI.Este componente del Modelo, busca diseñar y ejecutar de manera específica laestrategia del sistema de gestión.

En dicha estrategia se deben ejecutar las actividades necesarias para elcumplimiento de las metas definidas, para lograr la implementación y puesta enmarcha del MSPI en la Entidad, con el fin de abarcar dentro de esta gestión losprocesos de la Entidad de manera organizada y planificada teniendo en cuenta elcontexto de la Entidad identificado en el primer componente.

Ilustración 5 – Componente de implementación

Implementación

Planificación y controloperacional.

Implementación de controles. Implementación del plan de

tratamiento de riesgos.

Implementación del plan yestrategia de transición deIPv4 a IPv6.


19/32

Metas Entregables Nivel Planificación y control operacional. Implementación de controles. (Ver, Guía de

Controles) Implementación del plan de tratamiento de

riesgos. (Ver, Guía de gestión del riesgo) Implementación del plan y estrategia detransición de IPv4 a IPv6.(Ver, Guía detransición de IPV4 a IPv6 para Colombia, circular0002 del 6 de julio 2011).

Documento con la estrategia deplanificación y control operacional,revisado y aprobado por la alta Dirección.Documento con el informe del plan de

tratamiento de riesgos, que incluya laimplementación de controles de acuerdocon lo definido en la declaración deaplicabilidad, revisado y aprobado por laalta Dirección.Indicadores de gestión del MSPI,revisado y aprobado por la alta Dirección.Documento con el informe de laimplementación del plan y la estrategiade transición de IPv4 a IPv6, revisado yaprobado por la alta Dirección.

Definido

COMPONENTE – EVALUACIÓN DE DESEMPEÑO

Este componente le permitirá a la Entidad, debe evaluar el desempeño y la eficaciadel MSPI, a través de instrumentos que permita determinar la efectividad de laimplantación del MSPI.

Para la medición de la efectividad de los procesos y controles del MSPI, se debentomar los indicadores definidos en el componente de implementación para llevar acabo el plan de seguimiento, evaluación y análisis del MSPI.

Ilustración 5 – Componente de Evaluación de desempeño

Metas Entregables Nivel

Plan de seguimiento, evaluación y análisisdel MSPI. Auditoria Interna. Evaluación del plan de tratamiento de

riesgos.

Documento con el plan de seguimiento,evaluación, análisis y resultados delMSPI, revisado y aprobado por la altaDirección.Documento con el plan de auditoríasinternas y resultados, de acuerdo a loestablecido en el plan de auditorías,revisado y aprobado por la alta Dirección.Resultado del seguimiento, evaluación yanálisis del plan de tratamiento de

Gestionadocuantitativamente

Evaluación de

desempeño

Plan de seguimiento, evaluacióny análisis del MSPI.

Auditoria Interna. Evaluación del plan de

tratamiento de riesgos.

http://www.mintic.gov.co/portal/604/articles-5932_documento.pdfhttp://www.mintic.gov.co/portal/604/articles-5932_documento.pdfhttp://www.mintic.gov.co/portal/604/articles-5932_documento.pdfhttp://www.mintic.gov.co/portal/604/articles-5932_documento.pdf


20/32

riesgos, revisado y aprobado por la altaDirección.

COMPONENTE – MEJORA CONTINUA

Este componente le permitirá a la Entidad, consolidar los resultados obtenidos delcomponente de evaluación de desempeño, para diseñar el plan de mejoramientocontinuo de seguridad y privacidad de la información, que permita realizar el plande implementación de las acciones correctivas identificadas para el MSPI.

Ilustración 5 – Componente de mejoramiento continuo

Metas Entregables Nivel Plan de seguimiento, evaluación y análisis para el

MSPI. Auditoria Interna.

Comunicación de resultados y plan demejoramiento.

Revisión y aprobación por la alta Dirección.

Documento con el plan de seguimiento,evaluación y análisis para el MSPI,revisado y aprobado por la alta Dirección.

Documento con el consolidado de lasauditorías realizadas de acuerdo con elplan de auditorías, revisado y aprobadopor la alta Dirección.

Optimizado

Mejora

continua

Plan de seguimiento, evaluacióny análisis para el MSPI.

Auditoria Interna. Comunicación de resultados y

plan de mejoramiento. Revisión y aprobación por la alta

Dirección.


21/32

Capítulo II - MODELO DE MADUREZ

Este modelo permite identificar el nivel de madurez en la implementación del MSPIen el que se encuentran las Entidades, identificando la brecha existente entre elnivel inicial y el optimizado, permitiendo establecer un plan de trabajo que le permitadar cumplimiento a las metas establecidas en cada uno de sus niveles.

A continuación la ilustración 6, muestra los diferentes niveles que hacen parte delmodelo de madurez.

Ilustración 6 – Niveles de Madurez

El modelo de madurez del MSPI, busca establece unos criterios de valoración a

través de los cuales se determina el estado actual de la seguridad y privacidad dela información de las entidades.

Nivel 1

Inicial

Nivel 2

Gestionado

Nivel 3

Definido

Nivel 4

Gestionado cuantitativamente

Nivel 5

Optimizado


22/32

A continuación se presentan los requerimientos de cada uno de los niveles demadurez con sus respectivas metas.

Nivel Requerimientos Meta

Inicial

Se identifican en forma general los activosde información de la Entidad.

Se clasifican los activos de informaciónlógicos y físicos de la Entidad.

Los funcionarios de la Entidad no tienenconciencia de la seguridad y privacidad dela información.

Existe la necesidad de implementar elModelo de Seguridad y Privacidad de laInformación, para definir políticas, procesosy procedimientos claros para dar unarespuesta proactiva a las amenazas que sepresenten en la Entidad.

Se tratan temas de seguridad y privacidadde la información en los comités del modelointegrado de gestión.

Se empiezan a definir las políticas deseguridad y privacidad de la informaciónbasada en el Modelo de Seguridad yPrivacidad de la Información.

Establecer y documentar elalcance, limites, política,procedimientos, roles yresponsabilidades y del Modelo de

Seguridad y Privacidad de laInformación. Determinar el impacto que generan

los eventos que atenten contra laintegridad, disponibilidad yconfidencialidad de la informaciónde la Entidad.

Diseñar programas para losfuncionarios, de toma deconciencia y comunicación, de laspolíticas de seguridad y privacidadde la información.

Gestionado

Los temas de seguridad de la información setratan en los comités directivosinterdisciplinarios de la Entidad, conregularidad.

Con base en el inventario de activos deinformación clasificado, se establece lacaracterización de cada uno de los sistemasde información.

Aprobación de la alta dirección,documentada y firmada, para laImplementación del Modelo deSeguridad y Privacidad de laInformación.

Tener un inventario de activos deinformación física y lógica de todala entidad, documentado y firmada,por la alta Dirección.

Nivel Descripción

Inicial

En este nivel se encuentran las Entidades, que aún no cuentan con una identificación deactivos y gestión de riesgos, que les permita determinar el grado de criticidad de lainformación, respecto a la seguridad y privacidad de la misma, por lo tanto los controles noestán alineados con la preservación de la confidencialidad, integridad, disponibilidad yprivacidad de la información.

Gestionado

En este nivel se encuentran las Entidades, en las cuales existen procesos básicos degestión de la seguridad y privacidad de la información. De igual forma existen controles quepermiten detectar posibles incidentes de seguridad, pero no se encuentran gestionadosdentro del componente de planificación del MSPI.

Definido

En este nivel se encuentran las Entidades que tiene documentado, estandarizado yaprobado por la dirección, el modelo seguridad y privacidad de la información. Todos loscontroles se encuentran debidamente documentados, aprobados, implementados,probados y actualizados.


En este nivel se encuentran las Entidades, que cuenten con métricas, indicadores y realizanauditorías al modelo de seguridad y privacidad de la información, recolectando informaciónpara establecer la efectividad de los controles.

OptimizadoEn este Nivel se encuentran las Entidades, en donde existe un mejoramiento continuo delmodelo de seguridad y privacidad de la información, retroalimentación cualitativa delmodelo.


23/32

Identificar los riesgos asicados con lainformación, físicos, lógicos, identificandosus vulnerabilidades y amenazas.

Elaborar un informe de los incidentes deseguridad de la información, estos deben

ser documentados e incluidos en el plan demejoramiento continuo. Se cuentan con procedimientos que indican

a los funcionarios como manejar lainformación y los activos de información enforma segura.

Existen planes de continuidad del negocioque contemplen los procesos críticos de laEntidad que garanticen la continuidad de losmismos.

Los roles de seguridad y privacidad de lainformación están bien definidos y se llevaun registro de las actividades de cada uno.

Se observa en los funcionarios unaconciencia de seguridad y privacidad de lainformación.

Se revisan y se aprueban las políticas deseguridad y privacidad de la información. Se definen los controles y medidas

necesarias para disminuir los incidentes yprevenir su ocurrencia en el futuro.

Documentar todos los incidentesde seguridad y privacidad de lainformación.

Documentar y protegeradecuadamente los planes de

continuidad del negocio de laEntidad, este de estardocumentado y firmado, por la altaDirección.

Los planes de toma de concienciay comunicación, de las políticas deseguridad y privacidad de lainformación, deben estaraprobados y documentados, por laalta Dirección.

Documentar los controles físicos ylógicos que se han definido en laEntidad, con los cuales se buscapreservar la seguridad y privacidadde la información, aprobado por laalta Dirección.

Definido

Se Divulgan las políticas de seguridad yprivacidad de la información.

El comité directivo divulga, las medidas deseguridad y privacidad de la información quedeberán ser tomadas para la conservaciónde la información.

Se observa el compromiso de losfuncionarios con la seguridad y privacidadde la información.

Se reconoce la importancia de ampliar losplanes de continuidad del negocio a otros

procesos, pero aun no se pueden incluir nitrabajar con ellos. Se implementan los controles y medidas

necesarias para disminuir los incidentes yprevenir su ocurrencia en el futuro.

Se implementa el plan de tratamiento deriesgos y las medidas necesarias paramitigar la materialización de las amenazas.

Ejecutar los planes de toma deconciencia, comunicación ydivulgación, de las políticas deseguridad y privacidad de lainformación, aprobados por la altaDirección.

Implementar los controles físicos ylógicos que se han definido en laEntidad, con los cuales se buscapreservar la seguridad y privacidadde la información.


Se revisa y monitorea periódicamente losactivos de información de la Entidad.

Se utilizan indicadores de cumplimientopara establecer si las políticas de seguridady privacidad de la información y lasclausulas establecidas por la organizaciónen los contratos de trabajo, son acatadascorrectamente.

Se realizan pruebas de manera sistemáticaa los controles, para determinar si estánfuncionando de manera adecuada.

Se realizan pruebas y ventanas demantenimiento (simulacro), para determinarla efectividad de los planes de respuesta deincidentes.

Se realizan pruebas a las aplicaciones osoftware desarrollado “in house” paradeterminar que cumplen con los requisitosde seguridad y privacidad de la información

Informe del desempeño de laoperación del modelo de seguridady privacidad de la información, elcual debe contener como mínimo:

o La revisión y verificacióncontinúa de los controlesimplementados.

o Revisión y elaboraciónde riesgos.

o Medición de losindicadores de gestión.

o Informes de auditoríasde acuerdo con loestablecido en el plan deauditorías de la entidad.

o Registro de actividadesen seguridad (bitácoraoperativa).


24/32

definidos en la metodología de desarrollo desoftware de la Entidad.

Se evalúa la efectividad los controles ymedidas necesarias para disminuir losincidentes y prevenir su ocurrencia en el

futuro. Se realizan pruebas de efectividad en la

Entidad, para detectar vulnerabilidades(físicas, lógicas y humanas) y accesos noautorizados a activos de informacióncríticos.

o Elaboración de planes demejora.

Optimizado

Los funcionarios apoyan y contribuyen almejoramiento de la seguridad y privacidadde la información en la Entidad.

La Entidad aprende continuamente sobrelos incidentes de seguridad presentados.

Se analizan los datos arrojados por elinforme de desempeño en seguridad yprivacidad de la información para definiracciones correctivas más claras.

Se implementan las acciones correctivas y

planes de mejora. Se incluyen todas las áreas de la Entidad,

en los planes de respuesta de incidentes.

Lograr que la seguridad yprivacidad de la información esteen toda la Entidad de maneraimplícita, para que ningúnfuncionario o Directivo sean ajenos,sino que por el contrario, que ellosapoyen y contribuyan a laconservación de la seguridad yprivacidad de la información entoda la organización.

De conformidad con lo establecido en el modelo de madurez, a continuación sepresenta un paralelo entre los niveles y los controles del modelo de seguridad yprivacidad de la información.

NIVEL Controles Modelo de Seguridad y Privacidad de la Información

Inicial8. GESTI N DE ACTIVOS8.2 Clasificación de la Información

Gestionado

5. POLITICA DE SEGURIDAD5.1 Directrices de la Dirección en seguridad de la información.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN6.1 Organización interna.6.2 Dispositivos para movilidad y teletrabajo.8. GESTIÓN DE ACTIVOS8.1 Responsabilidad sobre los activos.12. SEGURIDAD EN LA OPERATIVA.12.2 Protección contra código malicioso.12.3 Copias de seguridad.12.6 Gestión de la vulnerabilidad técnica.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.16.1 Responsabilidades y procedimientos.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DELA CONTINUIDAD DEL NEGOCIO.17.1.1 Planificación de la continuidad de la seguridad de la información.

Definido

7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.7.1 Antes de la contratación.

7.2 Durante la contratación.7.3 Cese o cambio de puesto de trabajo.9. CONTROL DE ACCESOS.9.1 Requisitos de negocio para el control de accesos.9.3 Responsabilidades del usuario.11. SEGURIDAD FÍSICA Y AMBIENTAL11.1 Áreas seguras11.2 Seguridad de los equipos.12. SEGURIDAD EN LA OPERATIVA.12.1 Responsabilidades y procedimientos de operación.


25/32

12.5 Control del software en explotación.13. SEGURIDAD EN LAS TELECOMUNICACIONES.13.1 Gestión de la seguridad en las redes.13.2 Intercambio de información con partes externas.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

DE INFORMACIÓN.14.1 Requisitos de seguridad de los sistemas de información.14.2 Seguridad en los procesos de desarrollo y soporte.14.3 Datos de prueba.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.16.2 Notificación de los eventos de seguridad de la información.16.1.3 Notificación de puntos débiles de la seguridad.16.1.7 Recopilación de evidencias.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DELA CONTINUIDAD DEL NEGOCIO.17.1.2 Implantación de la continuidad de la seguridad de la información.15. RELACIONES CON SUMINISTRADORES15.1 Seguridad de la información en las relaciones con suministradores.15.2 Gestión de la prestación del servicio por suministradores.

GestionadoCuantitativamente

9. CONTROL DE ACCESOS.9.2 Gestión de acceso de usuario.9.4 Control de acceso a sistemas y aplicaciones

10. CIFRADO10.1 Controles Criptográficos12. SEGURIDAD EN LA OPERATIVA.12.7 Consideraciones de las auditorías de los sistemas de información.12.4 Registro de actividad y supervisión.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.16.1.5 Respuesta a los incidentes de seguridad.18. CUMPLIMIENTO.18.1 Cumplimiento de los requisitos legales y contractuales.

Optimizado

18. CUMPLIMIENTO18.2 Revisiones de la seguridad de la información.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.16.1.6 Aprendizaje de los incidentes de seguridad de la información.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DELA CONTINUIDAD DEL NEGOCIO.

Verificación, revisión y evaluación de la continuidad de la seguridad de la información.


26/32

Capítulo III - PLAZOS

Los plazos para la implementación de las actividades se establecieron para elManual de Gobierno en Línea, y a través del Decreto 2573 de 2014, en el Articulo10. “Plazos. Los sujetos obligados deberán implementar las actividadesestablecidas en el Manual de Gobierno en Línea dentro de los siguientes plazos:

Sujetos Obligados del Orden Nacional

Componente/Año 2015 2016 2017 2018 2019 2020TIC para ser servicios 90% 100% Mantener

100%Mantener

100%Mantener

100%Mantener

100%TIC para Gobierno abierto 90% 100% Mantener

100%Mantener

100%Mantener

100%Mantener

100%TIC para la Gestión 25% 50% 80% 100% Mantener

100%Mantener

100%

Seguridad y Privacidad de la Información 40% 60% 80% 100% Mantener100% Mantener100%

Ilustración 7 – Cumplimiento para Entidades del Orden Nacional

Diagnostico

Contexto

Organizacional

Liderazgo

Planificación

Soporte

Operación

Evaluación de

desempeño

Mejora

40%

60%

80%

100%

Planificación


27/32

Sujetos Obligados del Orden Territorial

A. Gobernaciones de categoría Especial y Primera; alcaldías de categoría Especial,y demás sujetos obligados de la administración publica en el mismo nivel.

B. Gobernaciones de categoría segunda, tercera y cuarta; alcaldías de categoríaprimera, segunda y tercera y demás sujetos obligados de la AdministraciónPública en el mismo nivel.

C. Alcaldías de categoría cuarta, quinta y sexta y demás sujetos obligados de la Administración Pública en el mismo nivel.

Para las entidades agrupadas en A, B y C los plazos serán los siguientes:

Componente/Año

Entidades A (%)

2015

2016

2017

2018

2019

2020

TIC para ser servicios 70% 90% 100%Mantener

100%Mantener

100%Mantener

100%

TIC para Gobierno abierto 80% 95% 100%Mantener

100%Mantener

100%Mantener

100%

TIC para la Gestión 20% 45% 80% 100% Mantener100%

Mantener100%

Seguridad y Privacidad de la Información 35% 50% 80% 100%Mantener

100%Mantener

100%


28/32

Ilustración 8 – Cumplimiento para Entidades del Orden Territorial A

Componente/Año

Entidades B (%)

2015

2016

2017

2018

2019

2020

TIC para ser servicios 45% 70% 100%Mantener

100%Mantener

100%Mantener

100%


100%Mantener

100%Mantener

100%TIC para la Gestión 10% 30% 50% 65% 80% 100%

Seguridad y Privacidad de laInformación

10% 30% 50% 65% 80% 100%

Diagnostico

Contexto

Organizacional

Liderazgo

Planificación

Soporte

Operación

Evaluación de

desempeño

Mejora

35%

50%

80% 100%

Planificación

Evaluación de

desempeño


29/32

Componente/Año

Entidades C (%)

2015

2016

2017

2018

2019

2020

TIC para ser servicios 45% 70% 100% Mantener100% Mantener100% Mantener100%


100%Mantener

100%Mantener

100%TIC para la Gestión 10% 30% 50% 65% 80% 100%Seguridad y Privacidad de laInformación

10% 30% 50% 65% 80% 100%

Ilustración 7 – Cumplimiento para Entidades del Orden Territorial A y B

Diagnostico

Contexto

Organizacional

Liderazgo

Planificación

Soporte

Operación

Evaluación de

desempeño

Mejora

30%

65% 80%

100%

Planificación

Evaluación de

desempeño

10% 50%


30/32

Parágrafo. Las obligaciones a cargo de los sujetos obligados indicadas en la ley1712 de 2014 que sean incorporadas en los componentes, contarán con los plazosde cumplimiento señalados por la ley.

a. Evaluación de SeguridadLa entidad debe verificar la eficacia, eficiencia y efectividad del modelo se seguridady privacidad de la información. Estableciendo las acciones pertinentes para lamejora continua del sistema, mitigando los riesgos identificados y cumpliendo conlos objetivos del modelo.


31/32

-

Los siguientes documentos se diseñados para un mejor entendimiento de las entidades enla implementación el Modelo de Seguridad y Privacidad de la Información.

Guía No. 1 - Encuesta y auto evaluación de seguridad y privacidad de la información.

Este documento presenta un conjunto de preguntas que ayuda al levantamiento de lainformación de la infraestructura física, lógica y metodológica de seguridad de las entidades,como parte del estudio de la situación actual de cada una de ellas.

Guía No. 2 - Elaboración e implementación de políticas de seguridad y privacidad dela información.

Este documento contiene una plantilla de política de seguridad de la información que lasentidades pueden adaptar según sus objetivos estratégicos.

Guía No. 3 - Gestión del riesgo

Este documento presenta una metodología para la gestión del riesgo al interior de lasentidades del Estado en el marco del Programa de Gobierno en línea.

Guía No. 4 - Clasificación de activos de información

Este documento presenta una metodología de clasificación de activos para las entidadesdel Estado en el marco del Programa Gobierno en línea.

Guía No. 5 - Controles de seguridad

Este documento presenta el conjunto de políticas que deben ser cumplidas por lasentidades y 113 controles recomendados para que la entidad genere el documento deaplicabilidad de controles para el Sistema de Gestión de Seguridad de la Información.

Guía No. 6 - Indicadores de seguridad y privacidad de la información

Este documento presenta indicadores de seguridad y privacidad de la información, cuyopropósito es evaluar el estado de las entidades gubernamentales en materia de seguridad

de la información, alineados con la Estrategia de Gobierno en línea.Guía No. 7 - Modelo de Operación

Este documento presenta el modelo de operación del Modelo de Seguridad y Privacidad dela Información, contemplado su ciclo de cinco (5) fases, las cuales permiten que lasentidades puedan gestionar la seguridad y privacidad de la información, con el fin de


32/32

fortalecer la protección de los datos y dar cumplimiento a lo establecido en la Estrategia deGobierno en Línea, cubriendo de una manera integral cada uno de sus componentes.

Guía No. 8 - Continuidad del negocio

En este documento encontrara los conceptos y principios para la preparación tecnología deinformación y comunicaciones (TIC), para la continuidad del negocio, y provee un marco demétodos y procesos que le permita identificar y especificar todos los aspectos para mejorarla preparación de las Entidades, para garantizar la continuidad del negocio.

Guía No. 9 - Lineamientos: Terminales de áreas financieras entidades públicas

En este documento encontrará los lineamientos que las entidades deben implementar para

elevar el aseguramiento de los equipos o terminales móviles asignados por la entidad,donde se realizan las transacciones a financieras como l os son: pago de nómina, pagos

de seguridad social, pagos de contratación y transferencia as de fondos, entre otros.

Guía No. 10 - Aseguramiento del protocolo IPv6

Este documento presenta los lineamientos y consideraciones de seguridad que sonnecesarios tener en cuenta al momento de aplicar el protocolo IPv6 en cada una de lasEntidades que entren a utilizar este nuevo protocolo.

Guía No. 11 - Transición de IPV4 a IPv6 para Colombia

Este documento presenta la guía de acompañamiento para las entidades del EstadoColombiano, orientado a diagnosticar, desarrollar y aplicar la técnicas de transición de IPv4

a IPv6, mostrando las directrices en materia de equipamiento de computación y decomunicaciones necesarias para adoptar el protocolo IPv6, teniendo en cuenta losestándares que apoyan la transición del nuevo protocolo sobre las infraestructurasinformáticas de TI, de las Entidades del Estado.

Guía No. 12 - Gestión de incidentes

En este documento encontrara procesos de la gestión de incidentes, con el fin de mejorarla gestión de incidentes al interior de la Entidad.

1. modelo de seguridad y privacidad de la información

Documents