estrategias de implementacion...

EENNTTRREEGGAABBLLEE 1144:: EESSTTRRAATTEEGGIIAASS DDEE IIMMPPLLEEMMEENNTTAACCIIÓÓNN -- MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA DDEE

GGOOBBIIEERRNNOO EENN LLÍÍNNEEAA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008

de 41

ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA

ESTRATEGIA DE GOBIERNO EN LÍNEA

FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO

Título: ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Fecha elaboración aaaa-mm-dd:

17 – Diciembre – 2008

Sumario: CORRESPONDE AL ENTREGABLE 14: ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Palabras Claves: Fases de implementación, costos, recursos, cronogramas, incentivos, mecanismos de seguimiento

Formato: Lenguaje: Castellano

Dependencia: Investigación y Planeación

Código: Versión: 1 Estado:

Documento para revisión por parte del Supervisor del contrato

Categoría:

Autor (es): Equipo consultoría Digiware

Revisó: Juan Carlos Alarcon

Aprobó: Ing. Hugo Sin Triana

Firmas:

Información Adicional:

Ubicación:

de 41



CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 17/12/2008 Ing. Jairo Pantoja M. Elaboración del documento 1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware

de 41



TTAABBLLAA DDEE CCOONNTTEENNIIDDOO

1. AUDIENCIA ..................................................................................................................................................................... 7

2. INTRODUCCIÓN ............................................................................................................................................................ 8

3. GRUPOS OBJETIVO ....................................................................................................................................................... 9

4. FASES DE IMPLEMENTACIÓN .................................................................................................................................. 17

4.1. FASE 1: APROBACIÓN DE MECANISMOS NORMATIVOS..................................................................................................................... 17

4.2. FASE 2: CREACIÓN DEL SANSI –SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ............................................ 18

4.2.1. FASE 2, ETAPA 1: CREACIÓN DE LA COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 19

4.2.2. FASE 2, ETAPA 2: CREACIÓN DEL GRUPO TÉCNICO DE APOYO.......................................................................................................... 20

4.3. FASE 3: CREACIÓN DEL CSIRT ...................................................................................................................................................... 21

4.4. FASE 4: PLAN DE SENSIBILIZACIÓN ................................................................................................................................................ 22

4.4.1. FASE 4, ETAPA 1: CAMPAÑA DE SENSIBILIZACIÓN A LAS ENTIDADES PÚBLICAS Y PRIVADAS ..................................................................... 23

4.4.2. FASE 4, ETAPA 2: PLAN DE CAPACITACIÓN PARA LAS ENTIDADES PÚBLICAS ......................................................................................... 23

4.4.3. FASE 4, ETAPA 3: CAMPAÑA DE SENSIBILIZACIÓN MASIVA............................................................................................................... 23

4.5. FASE 5: IMPLEMENTACIÓN DE HERRAMIENTA DE AUTO-EVALUACIÓN .................................................................................................. 24

4.5.1. INSTALACIÓN EN LA RED DE DATOS INTRANET GUBERNAMENTAL –GOBIERNO EN LÍNEA........................................................................ 24

4.5.2. INSTALACIÓN EN LAS ENTIDADES OBJETIVO ................................................................................................................................... 24

4.6. FASE 6: IMPLEMENTACIÓN DEL MODELO EN ENTIDADES OBJETIVO...................................................................................................... 25

4.7. FASE 7: SEGUIMIENTO AL MODELO IMPLEMENTADO EN LAS ENTIDADES .............................................................................................. 26

4.7.1. AUDITORÍAS INTERNAS ............................................................................................................................................................. 26

4.7.2. AUDITORÍAS EXTERNAS ............................................................................................................................................................ 26

4.8. FASE 8: PRESENTACIÓN DE RESULTADOS Y MEJORAS PROPUESTAS PARA EL SANSI ................................................................................ 27

4.8.1. FASE 8, ETAPA 1: RECOLECCIÓN DE RESULTADOS E INDICADORES DEL MODELO Y DEL SANSI................................................................. 27

4.8.2. FASE 8, ETAPA 2: PRESENTACIÓN EJECUTIVA ANTE LA COMISIÓN...................................................................................................... 27

4.8.3. FASE 8, ETAPA 3: ESTUDIO Y APROBACIÓN DE LOS AJUSTES PROPUESTOS AL MODELO.......................................................................... 27

5. MECANISMOS DE SEGUIMIENTO............................................................................................................................ 29

6. INCENTIVOS OTORGADOS POR EL SISTEMA SANSI ......................................................................................... 31

6.1. MODELO Y SOPORTE CSIRT GRATIS PARA LAS ENTIDADES GRADUADAS EN RSI GRADO 1 ....................................................................... 31

6.2. CERTIFICACIONES DE CUMPLIMIENTO PARA ENTIDADES Y ESTABLECIMIENTOS ........................................................................................ 31

6.3. MANEJO ADECUADO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A TRAVÉS DEL CSIRT COLOMBIANO ........................................... 32

7. CRONOGRAMAS ........................................................................................................................................................... 33

7.1. ESTRATEGIA 1: PARALELA............................................................................................................................................................. 34

7.1.1. DESCRIPCIÓN DE LA ESTRATEGIA 1 .............................................................................................................................................. 34

de 41



7.1.2. CRONOGRAMA DE LA ESTRATEGIA 1............................................................................................................................................ 34

CRONOGRAMA ESTRATEGIA PARALELA DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN ...................................................... 34

7.2. ESTRATEGIA 2: SECUENCIAL.......................................................................................................................................................... 34

7.2.1. DESCRIPCIÓN DE LA ESTRATEGIA 2 .............................................................................................................................................. 34

7.2.2. CRONOGRAMA DE LA ESTRATEGIA 2............................................................................................................................................ 34

CRONOGRAMA ESTRATEGIA SECUENCIAL DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN ................................................... 34

8. MECANISMOS E INSTRUMENTOS DE ANÁLISIS DE IMPACTO ....................................................................... 34

de 41



LLIISSTTAA DDEE FFIIGGUURRAASS ILUSTRACIÓN 1: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................... 12

ILUSTRACIÓN 1: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI ................................................... 18

ILUSTRACIÓN 2: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ......................................................................................... 19

ILUSTRACIÓN 3: ESTRUCTURA GRUPO TÉCNICO DE APOYO ......................................................................................................................... 20

ILUSTRACIÓN 4: CSIRT COMO ÓRGANO FUNDAMENTAL DEL MODELO DE SEGURIDAD ........................................................................................ 21

ILUSTRACIÓN 5: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES ................. 29

ILUSTRACIÓN 6: ESTRATEGIA PARALELA DE IMPLEMENTACIÓN DEL MODELO...................................................................................................... 34

ILUSTRACIÓN 8: ESTRATEGIA SECUENCIAL DE IMPLEMENTACIÓN DEL MODELO................................................................................................... 34

de 41



1. AUDIENCIA

La Dirección del Proyecto, que tomará las recomendaciones y estrategias para la implementación del Modelo de Seguridad de la información para la Estrategia de Gobierno en Línea, de forma que se pueda viabilizar e implementar este Modelo en las entidades públicas y privadas que intervienen y usan los servicios de Gobierno en Línea

de 41



2. INTRODUCCIÓN

Se define y establece el Plan de Acción detallando y especificando las actividades a realizar tanto por parte de Gobierno en Línea, como por las entidades públicas, IPS y Telecentros para implementar los mecanismos y el modelo de seguridad propuesto y convertirlo en un sistema de gestión SGSI que le de continuidad (incluyendo su mantenimiento y actualización).

En este plan de acción, se detalla el cronograma recomendado con cada una de las fases y etapas propuestas. Para cada una de las actividades planeadas, Digiware establecerá un estimado de tiempo, ientificación y evaluación de costos, responsables y su dedicación, tanto para el personal de Gobierno en Línea como de las entidades participantes.

2.1. Acompañamiento – Implementación del Plan

Digiware realizará una visita trimestral durante el año siguiente al cierre del proyecto, a Gobierno en Línea y emitirá el informe respectivo con el avance y recomendaciones del caso.

de 41



3. GRUPOS OBJETIVO

Las estrategias de implementación del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, dependen fundamentalmente de los grupos objetivo que deben implementar el modelo.

El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la entidad.

Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del servicio:

GRUPO 1 Cafés Internet, Telecentros y Compartel

GRUPO 2 Entidades públicas de orden nacional y territorial

GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP).

Tabla 1: Clasificación de grupos según la naturaleza de la entidad.

El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su

de 41



implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos mas controles adicionales, y las del grupo 3, controles avanzados, asi:

GRUPO 1

Cafés Internet, Telecentros y Compartel

Controles básicos

GRUPO 2

Entidades públicas de orden nacional y territorial

Controles medios

GRUPO 3

Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP).

Controles avanzados

Tabla 2: Clasificación de controles según el grupo al que pertenezca la entidad.

3.1. Niveles de madurez de los controles de seguridad recomendados

Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver mayor información relacionada con los registros RSI en el numeral 6.5.3. del documento Modelo de Seguridad SANSI - SGSI.

de 41



Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo SGSI, son adaptados del Modelo CMM de CobIT versión 4.01, que los clasifican en los siguientes niveles:

� Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende la necesidad de su tratamiento.

� Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o controles particulares aplicados a casos individuales.

� Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la seguridad de la información recae en el sentido común de los empleados. Hay una excesiva confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la información son comunes.

� Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son sofisticados pero se formalizan las prácticas existentes.

� Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los procedimientos en seguridad de la información. Los procedimientos están bajo constante mejoramiento y proveen buenas practicas. Normalmente requiere de herramientas automatizadas para la medición.

� Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los modelos de madurez de otras empresas. Normalmente se cuenta con herramientas automatizadas que apoyan a la gestión de la seguridad de la información.

La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados para el Modelo de Seguridad:

1 Ver mayor información en www.isaca.org

http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm

de 41



Ilustración 1: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.

3.2. Registro de Seguridad de la Información RSI - Graduación

El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir, independiente del grupo al que pertenezcan las entidades, podrán ser graduadas2 con registros de seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se encuentren implementados sus controles, así:

• Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1, • Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2, • Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3.

2 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3.

Graduación”.

de 41



La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o superior. También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente. En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el grado RSI de la entidad:

� ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1:

� Se identifican en forma general los activos de la organización.

� Se observan eventos que atentan contra la seguridad de la información, los activos y la continuidad del negocio, pero no se le da la debida importancia.

� Los empleados no tienen conciencia de la seguridad de la información (prestan sus claves, dejan sus equipos sin cerrar sesión, etc.).

� Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de información.


� Se genera un inventario del hardware y software que hay en la organización a partir de la identificación de los activos.

� Se identifican riesgos asociados con la información, los equipos de cómputo y las aplicaciones, así mismo, se identifican vulnerabilidades por medio de trabajos no periódicos en seguridad informática (pruebas de vulnerabilidad).

� Se empiezan a elaborar informes de los incidentes de seguridad ocurridos.

� Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej. creación de contraseñas seguras, administración segura de usuarios, clasificación de la información, desarrollo seguro de software, etc.) pero aún no se han formalizado en los sistemas de gestión documental o de calidad de la organización.

de 41



� Se empieza a observar en los empleados una conciencia de la seguridad de la información, pero aún no demuestran un compromiso con ella.

� Se diseña e implementa el sistema de gestión de seguridad de la información SGSI.

� Se definen las Políticas de Seguridad de la Información de la organización basadas en la Norma ISO27001 debido a que se incrementa el interés por buscar las causas que originaron la ocurrencia de los eventos que atentaron contra la información, los activos y la continuidad del negocio.

� Se divulgan las Políticas de Seguridad de la Información en toda la organización.

� Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema SGSI.

� Se realiza la clasificación de los activos y de la información de la entidad los equipos y aplicaciones, para así poder dar protección adecuada a cada uno de ellos.

� Se cuentan con Planes de continuidad del negocio enfocados únicamente a la infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante, se dejan de lado los procesos críticos de la organización.

� Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de cumplimiento.

� Se incluyen dentro de los procesos de negocio de la organización, las normas de seguridad de la información (por ej. mejores prácticas en centros de cómputo).

� Se empieza a observar un compromiso de los empleados con la seguridad de la información.

� Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su ocurrencia en el futuro.

� Se cuenta con procedimientos que enseñan a los empleados a manejar la información y los equipos de cómputo en forma segura.

� Se monitorea la red de la organización, como una medida preventiva contra intrusiones, o infecciones de virus.


de 41



� Se realizan periódicamente auditorias internas al sistema SGSI.

� Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas de Seguridad de la Información que sean de interés para la organización.

� Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con relación a las normas internacionales en seguridad de la información para establecer si las Políticas de Seguridad de la organización (incluyendo los contratos con empleados y terceros), están siendo acatadas correctamente.

� Los roles del área de Seguridad de la información están bien definidos y se lleva un registro de las actividades que realiza cada rol.

� Se cuenta con Planes de continuidad del negocio (BCP) que contemplan solo los procesos críticos del negocio (los que garantizan la continuidad del mismo), no obstante se dejan otros procesos de la organización por fuera.

� Se implementan los controles de seguridad técnicos y no técnicos recomendados en los planes de acción.

� Se monitorean periódicamente los activos de la organización.

� Se realizan de manera sistemática pruebas a los controles, para determinar si están funcionando correctamente.

� Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los planes BCP – DRP y de respuesta a incidentes.

� Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los requisitos de seguridad definidos en las políticas y controles de seguridad de la organización.

� Se hacen pruebas de intrusión periódicas a los equipos críticos de la organización, para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por usuarios no autorizados.

� El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evidencia la implementación de planes de mitigación del riesgo con la puesta en producción de controles recomendados y realiza auditorias periódicas de cumplimiento.

� Los empleados apoyan y contribuyen al mejoramiento de la seguridad de la información en la organización.

� La organización aprende continuamente sobre los incidentes de seguridad presentados.

de 41



� Se analizan las recomendaciones arrojadas por las auditorias y consultorías de seguridad de la información para que se puedan definir acciones preventivas más efectivas.

� Se incluyen todas las áreas y procesos de la organización (críticos y no críticos), en los planes de continuidad y de respuesta a incidentes.

de 41



4. FASES DE IMPLEMENTACIÓN

Debido a que el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea se apoya en los mecanismos normativos que garantizan su implementación y mejoramiento en las entidades públicas de orden nacional y de orden territorial, y en las entidades privadas que proveen servicios de Gobierno en Línea, las siguientes son las fases recomendadas para la implementación del Modelo:

• Fase 1: Aprobación de mecanismos normativos

• Fase 2: Creación del SANSI –Sistema Administrativo Nacional de Seguridad de la Información.

• Fase 3: Creación del CSIRT

• Fase 4: Plan de sensibilización

• Fase 5: Implementación de herramienta de Auto-evaluación

• Fase 6: Implementación del Modelo en entidades objetivo

• Fase 7: Seguimiento al Modelo implementado en las entidades

• Fase 8: Presentación de resultados y mejoras propuestas para el SANSI

4.1. Fase 1: Aprobación de Mecanismos Normativos

Objetivo: El Gobierno Nacional, a través de los entes competentes, analizará los mecanismos normativos entregados al proyecto del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, y en consecuencia, sesionará y aprobará nuevos decretos o leyes que sustenten dicho Modelo para dar viabilidad en su implementación y mejoramiento continuo.

• Tiempo estimado de duración de la Fase 1: dependiendo del mecanismo normativo aprobado, si es una ley, puede tomar hasta 18 meses, si es un decreto, puede ser aprobado en un día. Todo depende del presupuesto y al impulso de los mecanismos normativos.

• Identificación y evaluación de costos: Voluntad política, aprobación del presupuesto.

de 41



4.2. Fase 2: Creación del SANSI –Sistema Administrativo Nacional de Seguridad de la Información

Objetivo: El Gobierno Nacional, a través de los nuevos mecanismos normativos aprobados, creará el Sistema Administrativo Nacional de Seguridad de la Información –SANSI, que consistirá de los siguientes órganos:

Ilustración 2: Sistema Administrativo Nacional de Seguridad de la Información -SANSI

Para la creación del SANSI la Fase 2 deberá subdividirse en las siguientes dos etapas:

de 41



4.2.1. Fase 2, Etapa 1: Creación de la Comisión Nacional de Seguridad de la Información

La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno Nacional y de concertación entre éste, las entidades objetivo y la sociedad civil en temas relacionados con la seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y confianza en Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La Comisión apoyará al Presidente de la República en la dirección del SANSI.

Tal como se observa en la ilustración 2, al interior del SANSI se creó La Comisión Nacional de Seguridad de la Información como un espacio de encuentro de todos los actores involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento:

Ilustración 3: Comisión Nacional de Seguridad de la Información

Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.3.

de 41



4.2.2. Fase 2, Etapa 2: Creación del Grupo Técnico de Apoyo

La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo, cuya función principal es definir el Modelo de Seguridad de la información a nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean implementados por cada una de las entidades objetivo. El Grupo Técnico de Apoyo, somete a consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, servirá a las entidades que no han implementado aún un Sistema de Gestión en Seguridad de la información –SGSI basado en las mejores prácticas y estándares internacionales; y como referente para aquellas entidades que ya cuentan con un SGSI implementado y que necesitará ser ajustado para apoyar los servicios de la Estrategia de Gobierno en Línea.

Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos, estándares y recomendaciones que son avalados por la Comisión. Asesora a las Entidades en su implementación, certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del modelo. Además coordina las actividades de capacitación, concienciación, gestión y control realizadas por el grupo CSIRT (ver entregable 12 - 13: Diseño de un CSIRT Colombiano):

Ilustración 4: Estructura Grupo Técnico de Apoyo

de 41



Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.4.

• Tiempo estimado de duración de la Fase 2: Depende del presupuesto y al impulso otorgado a los mecanismos normativos.

• Identificación y evaluación de costos: Voluntad política, aprobación del presupuesto.

4.3. Fase 3: Creación del CSIRT

Objetivo: El Gobierno Nacional crea el CSIRT (Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática) que entra a apoyar el Modelo de Seguridad de la Información definido para la Estrategia de Gobierno en Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su implementación, certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del modelo.

Ilustración 5: CSIRT como Órgano fundamental del Modelo de Seguridad

de 41



Para mayor información, remitirse al documento Diseño de un CSIRT Colombiano.

La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:

2.3.1. Fase 3, Etapa 1 – Alistamiento: Se definirán todos los procesos, procedimientos, roles y responsabilidades necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se llevaría a cabo el alistamiento tecnológico, logístico y estratégico para la definición de los alcances visibles e indicadores de gestión del CSIRT.

2.3.2. Fase 3, Etapa 2 – Capacitación y Entrenamiento: Involucra la capacitación y entrenamiento necesarios para iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de la cooperación nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la capacitación o entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.

2.3.3. Fase 3, Etapa 3 – Generación de Alertas e Investigación: Se busca un servicio de alertas tempranas e investigación y desarrollo en laboratorio, para comenzar a prestar un servicio informativo a las entidades de tanto públicas como privadas.

2.3.4. Fase 3, Etapa 4 - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone una madurez suficiente en procesos, procedimientos, capacitación, entrenamiento e información de amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes y apoyar las investigaciones informáticas adelantadas por las autoridades competentes.

2.3.5. Fase 3, Etapa 5 – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión constante de los procesos, procedimientos, indicadores de gestión y genera la retroalimentación interna para el mejoramiento continuo.

• Tiempo estimado de duración de la Fase 2: Aproximadamente 6 meses.

• Identificación y evaluación de costos: De acuerdo al impulso de los mecanismos normativos aprobados, aproximadamente 370 millones de pesos COP de inversión y aproximadamente 2 mil 800 millones de pesos COP de funcionamiento 1 año. Ver mayor información en documento CSIRT, capítulo 10.

4.4. Fase 4: Plan de Sensibilización

Objetivo: Sensibilizar a las entidades tanto públicas y privadas como al ciudadano Colombiano en la utilización y provecho del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, capacitar al funcionario público encargado de gestionar la seguridad de la información al interior de su entidad y alinearla con los objetivos de seguridad para la Estrategia de Gobierno en Línea.

de 41



Para la realización de la Fase 4 de sensibilización, se sugiere la ejecución de las siguientes etapas:

4.4.1. Fase 4, Etapa 1: Campaña de Sensibilización a las entidades públicas y privadas:

En esta etapa, se realizará la divulgación y sensibilización masiva pero solo a las entidades objetivo públicas y privadas que tienen que acogerse al Modelo de Seguridad, de forma que estas entidades conozcan sus nuevas responsabilidades, cómo alinearse y armonizar sus avances con los sistemas de calidad (como NTC-GP1000 o ISO9001), control interno (MECI) y seguridad (como ISO27001).

El plan de divulgación y sensibilización hará uso de los siguientes medios:

• Medios impresos: Afiches, folletos y elementos de recordación que contendrán información resumida pero importante acerca del nuevo Modelo, en qué consiste, cuáles son sus objetivos principales y cuál es la responsabilidad de las entidades, funcionarios y empleados dentro del modelo de seguridad. También mostrará información sobre el nuevo CSIRT Colombiano y la herramienta de Auto-evaluación y como estos pueden ayudar a la entidad tanto en la implementación y mejora del Modelo como a la respuesta oportuna y adecuada de los incidentes informáticos.

• Medios interactivos: Fondos de escritorio para los computadores de las entidades, salva pantallas, videos, con información relacionada a las principales políticas en seguridad de la información, sobre el nuevo Modelo de seguridad, el CSIRT y la herramienta de auto-evaluación.

• A través de Internet: Presentación de información completa y detallada en la Intranet Gubernamental de Gobierno en Línea, documentos de trabajo, diagramación de procesos y servicios relacionados con el Modelo de seguridad, el CSIRT y la herramienta de auto-evaluación.

4.4.2. Fase 4, Etapa 2: Plan de capacitación para las entidades públicas:

Cursos de capacitación en seguridad de la información, en el modelo de seguridad y en el uso de la herramienta de auto-evaluación para los funcionarios públicos responsables por la implementación y gestión del Modelo de seguridad de la información al interior de sus entidades. Información adicional sobre cómo usar los servicios del CSIRT Colombiano. Los contenidos de los cursos podrán descargarse de la Internet Gubernamental y estarán accesibles online. El detalle de los cursos en seguridad de la información, se encuentra en el documento Capacitación. Se espera que los cursos de capacitación sean dictados periódicamente a través del año.

4.4.3. Fase 4, Etapa 3: Campaña de Sensibilización masiva:

Campaña similar a la de la Etapa 1 pero en esta se involucra al ciudadano, el objetivo principal es lograr que el ciudadano tenga mayor confianza y credibilidad en el estado Colombiano al momento de realizar sus trámites y transacciones por medios electrónicos y cuando haga uso de los servicios de Gobierno en Línea. Los medios de divulgación principalmente serán: televisión, radio, medios impresos y publicación en el sitio www.gobiernoenlinea.gov.co. Se espera que el ciudadano haga uso seguro de Telecentros, Compartel y cafés internet de forma más frecuente.

de 41



• Tiempo estimado de duración de la Fase 4:

Etapa 1: Sensibilización entidades: 6 meses.

Etapa 2: Capacitación entidades privadas: periódica, programa a 1 año.

Etapa 3: Sensibilización masiva con ciudadanos: 1 año.

• Identificación y evaluación de costos: Depende de la cantidad de impresión para los medios impresos para las campañas de sensibilización y del costo de los comerciales en radio y televisión.

Nota: Para las anteriores actividades, la consultoría entrega como parte de los productos del presente proyecto, el material y contenidos de los cursos de capacitación y entrenamiento recomendados (para mayor información, ver documento “Capacitación y sensibilización para el Modelo de Seguridad”). De igual forma, se entregan las recomendaciones principales en cuanto a Higiene en Seguridad para que sean tomadas en cuenta como insumos a la hora de realizar la sensibilización masiva a los ciudadanos (para mayor información, ver documento Modelo de Seguridad SANSI – SGSI capítulo 5.7.).

4.5. Fase 5: Implementación de herramienta de Auto-evaluación

Objetivo: La herramienta de autoevaluación se usa por parte de las entidades tanto públicas como privadas para facilitar la implementación del Modelo de seguridad al interior de la entidad, medir su cumplimiento y generar indicadores. La herramienta se basa fundamentalmente en mostrar al usuario encargado de la entidad, las políticas, objetivos de control y controles recomendados para que sean implementados. La entidad, con los resultados generados y usando la herramienta, puede ver su nivel actual de cumplimiento del modelo y compararse con otras entidades del mismo sector.

La implementación de la Fase 5, se divide en dos etapas:

4.5.1. Instalación en la Red de datos Intranet Gubernamental –Gobierno en Línea

Se instala la interface general, la base de datos y el componente administrativo de la herramienta, el SANSI hará la administración de la herramienta, actualizará el contenido del modelo, recibirá y emitirá información desde y hacia las entidades, genera resultados e indicadores que serán usados por el SANSI para realimentar el sistema, publicar reportes de seguridad de la información en Colombia, entre otras funciones, a través del Grupo Técnico de Apoyo.

4.5.2. Instalación en las entidades objetivo

Se instalará el componente usuario en cada entidad y se verificará el acceso a la aplicación principal en el centro de datos de la Intranet Gubernamental. Esta parte de la herramienta es usada por la

de 41



entidad para ingresar información relacionada con el Modelo de seguridad, determinar qué políticas y controles tienen actualmente y cuáles les hace falta para cumplir con el Modelo, permitiendo establecer fechas y responsables de implementación de los controles recomendados. La herramienta le permitirá a la entidad identificar su estado actual de cumplimiento con el Modelo y compararse con otras entidades similares.

• Tiempo estimado de duración de la Fase: 5: 6 meses.

• Identificación y evaluación de costos: La herramienta es gratis y de código abierto, por lo que no tiene ningún costo. El centro de datos debe dedicar recursos para alojar esta aplicación. Las entidades deben contar con internet o estar conectadas a la RAVEC para envío y recepción de información.

4.6. Fase 6: Implementación del Modelo en entidades objetivo

Objetivo: Las entidades tanto públicas como privadas deben implementar el Modelo de seguridad de la información para la Estrategia de Gobierno en Línea al interior de su organización de forma que esté alineado y armonizado con sus propios sistemas actuales ya sea de calidad (NTC-GP1000), de control interno (MECI) o de seguridad de la información (ISO27001).

Las entidades deben usar parte del trabajo realizado con otras regulaciones para cumplir con las recomendaciones dadas por el Modelo de Seguridad de forma que la entidad no tenga reprocesos.

Esta fase de debe implementar en las entidades a través de las siguientes etapas:

4.6.1.1. Fase 6, Etapa 1: Identificar necesidades

4.6.1.2. Fase 6, Etapa 2: Prever la solución (SGSI)

4.6.1.3. Fase 6, Etapa 3: Planear la solución

4.6.1.4. Fase 6, Etapa 4: Implementar la solución

4.6.1.5. Fase 6, Etapa 5: Volver operativa la solución

Para mayor información, remitirse al documento Modelo de Seguridad SANSI -SGSI.

• Tiempo estimado de duración de la Fase 6: de 1 año a 2 años en cada entidad, dependiendo del Grado RSI al que apliquen. Ver mayor información en el documento Modelo de Seguridad SGSI, capítulo 6.

de 41



• Identificación y evaluación de costos: La implementación depende de las entidades objetivo.

4.7. Fase 7: Seguimiento al Modelo implementado en las entidades

Objetivo: Se debe realizar seguimiento y auditoría a la implementación del Modelo de seguridad por parte de las entidades objetivo, se realizan hallazgos y se generan recomendaciones de mejora para que sean implementadas por las entidades.

La implementación de esta fase se divide en las siguientes etapas:

4.7.1. Auditorías Internas

Las entidades realizan auditorias de seguimiento internas para reportar hallazgos y plantear acciones de mejora. Funciones principales de las auditorías internas:

o Realizar periódicamente auditorías y verificaciones internas de cumplimiento del Modelo de Seguridad.

o Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de Seguridad (opcional).

o Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control.

4.7.2. Auditorías Externas

Las Autoridades de Vigilancia y Control tanto para el sector público como para el sector privado, (Superintendencias, la Fiscalía, la Contraloría, la Procuraduría, entre otras), ejercerán las labores de vigilancia (auditoría) y validación de la implantación de las disposiciones, lineamientos, políticas y controles relacionados con seguridad de la información plasmada en el Modelo.

Estas Autoridades tendrán las siguientes funciones:

o Realizar auditorías a las entidades para medir el nivel de cumplimiento del Modelo de Seguridad de la información en la entidad auditada.

o Informar no conformidades y observaciones relacionadas con el cumplimiento del Modelo de Seguridad de la Información en la entidad auditada.


o Auditorías Internas: 5 días

de 41



o Auditorías Externas: de 3 a 5 días

• Identificación y evaluación de costos:

o Las auditorías internas dependen de la misma entidad objetivo.

o Las auditorías externas son deber de las autoridades de vigilancia y control.

4.8. Fase 8: Presentación de resultados y mejoras propuestas para el SANSI

Objetivo: El Sistema SANSI, a través del Grupo Técnico de Apoyo, debe tomar los resultados de los indicadores de los modelos de seguridad implementados en las diferentes entidades objetivo y preparar una presentación ante la Comisión Nacional de Seguridad de la Información para que determine nuevos ajustes al Modelo de forma que sean introducidos en el nuevo ciclo, los ajustes tienen que ver con lineamientos estratégicos y políticas de alto nivel que serán estudiadas y aprobadas por la Comisión.

Esta fase se divide en las siguientes etapas:

4.8.1. Fase 8, Etapa 1: Recolección de resultados e indicadores del Modelo y del SANSI

El Grupo Técnico de Apoyo monitorea el sistema y recopila la información a nivel de indicadores y métricas de seguridad del Modelo implementado en las entidades

4.8.2. Fase 8, Etapa 2: Presentación ejecutiva ante la Comisión

El Grupo Técnico de Apoyo, prepara un informe ejecutivo con los principales resultados obtenidos del Modelo implementado en las entidades y del propio sistema SANSI y lo presenta ante la Comisión.

4.8.3. Fase 8, Etapa 3: Estudio y Aprobación de los ajustes propuestos al Modelo

La comisión estudia la información entregada por el Grupo Técnico de Apoyo, y aprueba ajustes a realizar en el Modelo para el siguiente ciclo de vida (o versión) del Modelo de Seguridad.


o Recopilación de información y preparación de informe anual: a lo largo de la operación del Modelo y del SANSI.

o Estudio y aprobación por parte de la Comisión: 3 días.

de 41



• Identificación y evaluación de costos: Recursos propios del SANSI.

de 41



5. MECANISMOS DE SEGUIMIENTO

Tal como se ha diseñado, el Sistema Administrativo Nacional de Seguridad de la Información, es un conjunto sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y promueven la puesta en marcha, supervisión y control de un modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea.

El Sistema Administrativo Nacional de Seguridad de la Información, adopta un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una organización en particular sino a todos los actores y entidades involucradas:

Ilustración 6: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y sus Actores

de 41



En el proceso VERIFICAR del ciclo PHVA propuesto, se realiza la revisión y seguimiento de la implementación y cumplimiento del Modelo de Seguridad, en el que tomarán parte:

• Las entidades Públicas y Privadas que realizarán su auto-evaluación del nivel de cumplimiento del modelo a través de la herramienta de auto-evaluación provista por el proyecto,

• El Grupo Técnico de Apoyo, que realizará auditorias de cumplimiento y mejoramiento a través del CSIRT,

• Las autoridades de vigilancia y control como la Fiscalía, la Procuraduría, la Contraloría, así como también las Superintendencias para auditar y revisar el cumplimiento del modelo de seguridad por parte de las entidades y,

• Los Organismos de certificación que promoverán el cumplimiento del modelo otorgando certificaciones para incentivar a las entidades que evidencien una gestión efectiva del modelo de seguridad, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo.

Finalmente, los mecanismos normativos aprobados por el Gobierno Nacional, se encargarán de designar las entidades competentes y sus nuevas funciones para verificar la mejora continua del SANSI y del Modelo de Seguridad, así como también las actividades realizadas y su cumplimiento por parte de los órganos que constituyen el sistema SANSI.

de 41



6. INCENTIVOS OTORGADOS POR EL SISTEMA SANSI

El Modelo de seguridad de la información diseñado para la Estrategia de Gobierno en Línea, implementado a través del Sistema Nacional de Seguridad de la Información –SANSI, ha contemplado una serie de incentivos para las entidades que se acojan al cumplimiento de dicho modelo y que lo usen como referente, en concreto los siguientes son los incentivos:

6.1. Modelo y soporte CSIRT gratis para las entidades graduadas en RSI Grado 1

Aunque el cumplimiento para todas las entidades que inicien en el Modelo de Seguridad de la Información es obligatorio para el RSI Grado 1, el incentivo consiste en que el Sistema otorga a las entidades que se acojan a él 2 años gratis de gracia para que la entidad implemente el Modelo, lo mejore y avance al siguiente grado. La entidad en Grado 1, tendrá algunos de los productos y servicios del CSIRT Colombiano sin ningún costo.

6.2. Certificaciones de cumplimiento para entidades y establecimientos

El SANSI a través del CSIRT podrá facultar a terceros para que actúen como empresas certificadoras basándose en sus competencias, conocimiento, características técnicas, de infraestructura y know how en torno a la seguridad de la información, para que certifiquen de manera directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca de certificación para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de seguridad en la información a las empresas premiadas, esto actuará como un incentivo para fomentar la participación de las entidades en el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuación, se detallan los tipos de certificación otorgadas por los terceros facultados:

o Certificación de entidades: Certificación otorgada a las entidades públicas y privadas que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de

de 41



gestión en seguridad de la información SGSI. Esta certificación se otorga teniendo en cuenta los siguientes criterios:

� La certificación es renovada anualmente.

� La certificación provee un sello que puede ser usado tanto en la página web de la Entidad como en las firmas de sus empleados.

� La certificación no es renovada cuando la Entidad no evidencie el mejoramiento de su sistema de gestión en seguridad de la información SGSI o cuando una auditoría encuentre no conformidades mayores con el Modelo.

o Certificación de establecimientos: Otorgada a los establecimientos que pertenezcan a la cadena de prestación de servicios para la Estrategia de Gobierno en Línea (ISP, Telecentros, Compartel, centros de acceso comunitario, cafés Internet, entre otros), que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando la implementación de sus controles y recomendaciones. Estas certificaciones se otorgan con los siguientes periodos de renovación para los establecimientos:

� Certificación renovada anualmente para los ISP.

� Certificación renovada bi-anualmente para los Telecentros, Compartels y centros de acceso comunitario.

� Certificación renovada tri-anualmente para los cafés internet / otros.

6.3. Manejo adecuado de incidentes de seguridad de la información a través del CSIRT Colombiano

Las entidades que se acojan al Modelo de Seguridad de la Información contarán con los servicios y productos del CSIRT Colombiano las veces que lo necesiten, podrán recibir asistencia telefónica o en sitio para dar respuesta adecuada a incidentes informáticos manteniendo la evidencia y la cadena de custodia.

Para mayor información, remitirse al documento CSIRT Colombiano, capítulo 4. “portafolio de servicios”.

de 41



7. CRONOGRAMAS

El plan de implementación del Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea, consiste en dos estrategias basadas en el ordenamiento de las fases planteadas en el capítulo 4 de este documento.

Las estrategias planteadas, contiene cada una de las fases y sus diferentes actividades para llegar a la puesta en marcha del Modelo de Seguridad en el país, la elección de una de estas estrategias se cree, depende de la voluntad política y del impulso que se de a los mecanismos normativos proyectados recomendados en el documento “Instrumentos Normativos Proyectados”.

Las estrategias planteadas para la implementación del Modelo de Seguridad, se resumen en:

• Estrategia número 1: Implementación Paralela

• Estrategia número 2: Implementación Secuencial.

A continuación, se detalla cada una de las estrategias sugeridas:

de 41



7.1. Estrategia 1: Paralela:

Ilustración 7: Estrategia paralela de Implementación del Modelo

• Tiempo estimado de implementación: 18 meses

• Hitos de implementación: Aprobación de los mecanismos normativos, plan de sensibilización paralelo a toda la estrategia, CSIRT como un importante apoyo para la implementación y mejora del Modelo, voluntad por parte de las entidades objetivo, el SANSI es vital para la mejora continua del Modelo.

de 41



7.1.1. Descripción de la estrategia 1:

Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes fases en paralelo:

• Las Fases 1, 2, 3, 4 y 5, se realizan en paralelo al inicio de la implementación

• Las Fases 6 y 7 se realizan en paralelo una vez el Modelo de Seguridad inicie su ciclo de vida en las diferentes entidades objetivo.

• La Fase 4: Plan de Sensibilización, es paralela a toda la ejecución del plan, una vez los mecanismos normativos sean aprobados.

En esta estrategia, se puede trabajar en paralelo en la creación de los mecanismos normativos, la sensibilización, la creación del SANSI, la creación del CSIRT y la instalación de la herramienta de auto-evaluación, desde que se cuente con la voluntad política y los recursos del caso para optimizar el tiempo de implementación total.

Una vez estas fases iniciales en paralelo estén implementadas y la “Herramienta de Auto-evaluación” se encuentre instalada en las diferentes entidades objetivo, se dará pasó a la implementación del Modelo de Seguridad SGSI en cada una de las entidades (Fase 6).

La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará en paralelo a la Fase 6, donde las autoridades de vigilancia y control competentes, realizarán la verificación del modelo implementado en las entidades objetivo y retroalimentarán a dichas entidades y al SANSI, los hallazgos realizados en dichas verificaciones.

El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y estadísticas de seguridad para que sean analizados por el SANSI.

Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el siguiente ciclo.

Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios para la mejora continua del Modelo de Seguridad.

de 41



7.1.2. Cronograma de la estrategia 1:

Cronograma Estrategia paralela de Implementación del Modelo de Seguridad de la Información

de 41



7.2. Estrategia 2: Secuencial:

Ilustración 8: Estrategia secuencial de Implementación del Modelo

• Tiempo estimado de implementación: 30 meses

• Hitos de implementación: Aprobación de los mecanismos normativos, plan de sensibilización paralelo a toda la estrategia, la fase 7 “Seguimiento a la implementación del Modelo” se lleva a cabo una vez se ha completado un ciclo de vida del modelo implementado en las entidades objetivo, CSIRT como un importante apoyo para la implementación y mejora del Modelo, el SANSI es vital para la mejora continua del Modelo.

7.2.1. Descripción de la estrategia 2:

Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes fases.

de 41



En esta estrategia, la primera actividad es la Fase 1: Aprobación de los mecanismos normativos y una vez esta se de, la fase 2 “Creación del SANSI” iniciará.

Finalizada la creación del SANSI, se iniciará la implementación en paralelo de la Fase 3 “Creación del CSIRT”, la Fase 4 “Plan de Sensibilización” y la Fase 5 “Herramienta de Auto-evaluación”.

Una vez se haya implementado la herramienta de auto-evaluación (Fase 5) en las diferentes entidades objetivo, se dará pasó a la implementación del Modelo de Seguridad SGSI en cada una de las entidades (Fase 6).

La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará una vez la Fase 6, haya cumplido un ciclo de vida (tiempo aproximado: 12 meses), donde las autoridades de vigilancia y control competentes, realizarán la verificación del modelo implementado en las entidades objetivo y retroalimentarán a dichas entidades y al SANSI, los hallazgos realizados en dichas verificaciones.

El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y estadísticas de seguridad para que sean analizados por el SANSI.

Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el siguiente ciclo.

Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios para la mejora continua del Modelo de Seguridad.

de 41



7.2.2. Cronograma de la estrategia 2:

Cronograma Estrategia secuencial de Implementación del Modelo de Seguridad de la Información

de 41



de 41



8. MECANISMOS E INSTRUMENTOS DE ANÁLISIS DE IMPACTO

El Sistema SANSI tiene previsto realizar seguimiento sobre la evolución y mejora del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea en la medida en que sea implantado por las entidades objetivo.

El Grupo Técnico de Apoyo tiene entre sus funciones, monitorear el Modelo y las entidades, analizar los indicadores y métricas de las entidades, evaluar los impactos y de acuerdo con la información recopilada, plantear ajustes al Modelo que estarán acorde con estos resultados e impactos para lograr un mejor y más adecuado funcionamiento del Modelo en las entidades.

El Grupo Técnico de Apoyo recopilará la información para los análisis a realizar usando mecanismos como los indicadores y métricas generadas por la herramienta de Auto-evaluación implementada en cada una de las entidades y la generación de estadísticas de seguridad de la información recopiladas por el CSIRT Colombiano, lo anterior, para plantear ajustes y mejoras al Modelo acordes con la evolución de la seguridad de la información en las entidades Colombianas.

estrategias de implementacion...

Documents