Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Privacidad de la Informacin
Modelo
HISTORIA
VERSIN
FECHA
1.0.0
2.0.0
2.0.1
3.0.0
3.0.1
3.0.2
15/12/2010
30/09/2011
30/11/2011
03/03/2015
11/03/2016
29/07/2016
CAMBIOS INTRODUCIDOS
Versin inicial del documento
Restructuracin de forma
Actualizacin del documento
Revisin documento
Actualizacin del documento
Actualizacin del documento
Contenido
1. DERECHOS DE AUTOR................................................................................... 6
2. AUDIENCIA ....................................................................................................... 7
3. INTRODUCCIN .............................................................................................. 8
4. JUSTIFICACIN ............................................................................................. 10
5. GLOSARIO...................................................................................................... 11
6. OBJETIVOS .................................................................................................... 18
6.1
6.2
8.2
FASE DE IMPLEMENTACIN..................................................................... 28
Planificacin y Control Operacional. ................................................................ 30
Implementacin del plan de tratamiento de riesgos. ....................................... 30
Indicadores De Gestin. .................................................................................. 31
Plan de Transicin de IPv4 a IPv6. ................................................................. 31
8.4
8.5
10.1
10.2
10.3
Fase de Implementacin........................................................................... 44
10.4
10.5
11.
11.1
11.2
11.3
12.
PLAZOS ....................................................................................................... 51
12.1
12.2
12.3
12.4
1. DERECHOS DE AUTOR
2. AUDIENCIA
Entidades pblicas de orden nacional y territorial, as como proveedores de
servicios de Gobierno en Lnea, y terceros que deseen adoptar el Modelo de
Seguridad y Privacidad de la informacin en el marco de la Estrategia de Gobierno
en Lnea.
3. INTRODUCCIN
Este documento se elabor con la recopilacin de las mejores prcticas,
nacionales e internacionales, para suministrar requisitos para el diagnstico,
planificacin, implementacin, gestin y mejoramiento continuo, del Modelo de
Seguridad y Privacidad de la Informacin - MSPI de la Estrategia de Gobierno en
Lnea GEL.
El Ministerio de Tecnologas de la Informacin y las Comunicaciones - MinTIC, es
la entidad encargada de disear, adoptar y promover las polticas, planes,
programas y proyectos del sector de las Tecnologas de la Informacin y las
Comunicaciones.
La estrategia de Gobierno en Lnea, liderada por el Ministerio TIC, tiene como
objetivo, garantizar el mximo aprovechamiento de las tecnologas de la
informacin y las comunicaciones, con el fin de contribuir con la construccin de
un Estado ms participativo, ms eficiente y ms transparente.
La planificacin e implementacin del Modelo de Seguridad y Privacidad de la
Informacin MSPI, en la Entidad est determinado por las necesidades y
objetivos, los requisitos de seguridad, los procesos misionales y el tamao y
estructura de la Entidad.
El Modelo de Seguridad y Privacidad de la Informacin MSPI, conduce a la
preservacin de la confidencialidad, integridad, disponibilidad de la informacin,
permitiendo garantizar la privacidad de los datos,, mediante la aplicacin de un
proceso de gestin del riesgo, brindando confianza a las partes interesadas acerca
de la adecuada gestin de riesgos.
A travs del decreto nico reglamentario 1078 de 2015, del sector de Tecnologas
de Informacin y las Comunicaciones, se define el componente de seguridad y
privacidad de la informacin, como parte integral de la estrategia GEL.
Para el desarrollo del componente de Seguridad y Privacidad de la Informacin,
se ha elaborado un conjunto de documentos asociados al Modelo de Seguridad y
Privacidad de la Informacin, los cuales a lo largo de los ltimos aos, han sido
utilizados por las diferentes entidades tanto del orden nacional como territorial,
para mejorar sus estndares de seguridad de la informacin. El Modelo de
Seguridad y Privacidad para estar acorde con las buenas prcticas de seguridad
4. JUSTIFICACIN
El Ministerio TIC a travs de la Direccin de Estndares y Arquitectura de TI y la
Subdireccin de Seguridad y Privacidad de TI, dando cumplimiento a sus
funciones, a travs de las cuales contribuye a la construccin de un Estado ms
eficiente, ms transparente y participativo, publica El Modelo de Seguridad y
Privacidad de la Informacin, para dar cumplimiento a lo establecido en el
componente de seguridad y privacidad de la informacin de la estrategia de
gobierno en lnea.
Mediante el aprovechamiento de las TIC y el modelo de seguridad y privacidad de
la informacin, se trabaja en el fortalecimiento de la seguridad de la informacin
en las entidades, con el fin de garantizar la proteccin de la misma y la privacidad
de los datos de los ciudadanos y funcionarios de la entidad, todo esto acorde con
lo expresado en la legislacin Colombiana.
5. GLOSARIO
Activo
En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas) que tenga valor para la organizacin. (ISO/IEC
27000).
Activo de Informacin:
En relacin con la privacidad de la informacin, se refiere al activo que
contiene informacin pblica que el sujeto obligado genere, obtenga, adquiera,
transforme o controle en su calidad de tal.
Archivo:
Conjunto de documentos, sea cual fuere su fecha, forma y soporte material,
acumulados en un proceso natural por una persona o entidad pblica o
privada, en el transcurso de su gestin, conservados respetando aquel orden
para servir como testimonio e informacin a la persona o institucin que los
produce y a los ciudadanos, o como fuentes de la historia. Tambin se puede
entender como la institucin que est al servicio de la gestin administrativa, la
informacin, la investigacin y la cultura. (Ley 594 de 2000, art 3)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).
Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo. (ISO/IEC 27000).
Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).
Autorizacin:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales (Ley 1581 de 2012, art 3)
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza ciberntica.
(CONPES 3701).
Ciberespacio
Es el ambiente tanto fsico como virtual compuesto por computadores,
sistemas computacionales, programas computacionales (software), redes de
telecomunicaciones, datos e informacin que es utilizado para la interaccin
entre usuarios. (Resolucin CRC 2258 de 2009).
Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por
debajo del nivel de riesgo asumido. Control es tambin utilizado como sinnimo
de salvaguarda o contramedida. En una definicin ms simple, es una medida
que modifica el riesgo.
Datos Abiertos:
Son todos aquellos datos primarios o sin procesar, que se encuentran en
formatos estndar e interoperables que facilitan su acceso y reutilizacin, los
cuales estn bajo la custodia de las entidades pblicas o privadas que cumplen
con funciones pblicas y que son puestos a disposicin de cualquier
ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art
6)
Datos Personales:
Cualquier informacin vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3).
Declaracin de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestin de
Seguridad de la Informacin SGSI, de la organizacin tras el resultado de los
procesos de evaluacin y tratamiento de riesgos y su justificacin, as como la
Derecho a la Intimidad:
Derecho fundamental cuyo ncleo esencial lo constituye la existencia y goce
de una rbita reservada en cada persona, exenta de la intervencin del poder
del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a
dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural
(Jurisprudencia Corte Constitucional).
Encargado del Tratamiento de Datos:
Persona natural o jurdica, pblica o privada, que por s misma o en asocio con
otros, realice el Tratamiento de datos personales por cuenta del Responsable
del Tratamiento. (Ley 1581 de 2012, art 3)
Privacidad:
En el contexto de este documento, por privacidad se entiende el derecho que
tienen todos los titulares de la informacin en relacin con la informacin que
involucre datos personales y la informacin clasificada que estos hayan
entregado o est en poder de la entidad en el marco de las funciones que a
ella le compete realizar y que generan en las entidades destinatarias del
Manual de GEL la correlativa obligacin de proteger dicha informacin en
observancia del marco legal vigente.
Responsabilidad Demostrada:
Conducta desplegada por los Responsables o Encargados del tratamiento de
datos personales bajo la cual a peticin de la Superintendencia de Industria y
Comercio deben estar en capacidad de demostrarle a dicho organismo de
control que han implementado medidas apropiadas y efectivas para cumplir lo
establecido en la Ley 1581 de 2012 y sus normas reglamentarias.
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Suele
considerarse como una combinacin de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la
informacin. (ISO/IEC 27000).
Titulares de la informacin:
Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley
1581 de 2012, art 3)
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o
un sistema de tratamiento de la informacin sean asociadas de modo
inequvoco a un individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).
6. OBJETIVOS
6.1
OBJETIVO GENERAL
6.2
OBJETIVOS ESPECFICOS
Planificacion
DIAGNSTICO
Mejora Continua
Implementacin
Evaluacion de
Desempeo
8.1
Identificacin el nivel de
madurez
DIAGNSTICO
Levantamiento de
informacin
Resultados
Diligenciamiento de la herramienta.
Diligenciamiento de la herramienta e
identificacin del nivel de madurez de la entidad.
Identificar vulnerabilidades
tcnicas y administrativas que
sirvan como insumo para la
fase de planificacin.
Instrumentos
MSPI
Alineacin
MRAE
Herramienta de
diagnstico.
Herramienta de
diagnstico
LI.ES.01
LI.ES.02
LI.GO.01
LI.GO.04
LI.GO.05
LI.GO.07
LI.ST.14
Herramienta de
diagnstico
Herramienta de diagnostico
Instructivo para el diligenciamiento de la herramienta
Gua No 1 - Metodologa de Pruebas de Efectividad
8.2
FASE DE PLANIFICACIN
Para el desarrollo de esta fase la entidad debe utilizar los resultados de la etapa
anterior y proceder a elaborar el plan de seguridad y privacidad de la informacin
alineado con el objetivo misional de la entidad, con el propsito de definir las
acciones a implementar a nivel de seguridad y privacidad de la informacin, a
travs de una metodologa de gestin del riesgo.
El alcance del MSPI permite a la Entidad definir los lmites sobre los cuales se
implementar la seguridad y privacidad en la Entidad. Este enfoque es por
procesos y debe extenderse a toda la Entidad.
Para desarrollar el alcance y los lmites del Modelo se deben tener en cuenta las
siguientes recomendaciones: Procesos que impactan directamente la consecucin
de objetivos misionales, procesos, servicios, sistemas de informacin, ubicaciones
fsicas, terceros relacionados, e interrelaciones del Modelo con otros procesos.
Contexto
de
Contexto de
la
la Entidad
Entidad
Liderazgo
Liderazgo
Planificacin
Planeacin
Planeacin
Liderazgo
Soporte
Entender la Entidad
Necesidades y
expectativas de las
partes interesadas
Determinar alcance del
MSPI
Liderazgo y
compromiso de la alta
direccin
Poltica de seguridad
Roles de la Entidad,
responsabilidades y
autoridad
Recursos
Competencias
Sensibilizacin
Comunicacin
Documentacin
Resultados
INSTRUMENTOS
MSPI
MRAE
Gua No 2 Poltica
General MSPI
LI.ES.02
LI.ES.06
LI.ES.07
LI.ES.08
El contenido de la figura 3 fue tomada de la Norma ISO IEC 27001 Captulos 4, 5, 6, 7, que permite orientar como se
Polticas de seguridad
y privacidad de la informacin
Procedimientos de seguridad de la
informacin.
Gua no 2 - Poltica
General MSPI
Gua No 3 Procedimientos de
Seguridad y Privacidad
de la Informacin.
Identificacin, Valoracin y
tratamiento de riesgo.
Plan de Comunicaciones.
LI.ES.09
LI.ES.10
LI.GO.01
LI.GO.04
LI.GO.07
LI.GO.08
LI.GO.09
LI.GO.10
LI.INF.01
LI.INF.02
LI.INF.09
LI.INF.10
LI.INF.11
LI.INF.14
LI.SIS.22
LI.SIS.23
LI.SIS.01
LI.ST.05
LI.ST.06
LI.ST.09
LI.ST.10
LI.ST.12
LI.ST.13
LI.ST.14
LI.UA.01
LI.UA.02
LI.UA.03
LI.UA.04
LI.UA.05
LI.UA.06
Gua No 6 - Gestion
Documental
Gua No 7 - Gestion de
Riesgos
Gua No 8 - Controles
de Seguridad
Gua No 14 - Plan de
comunicacin,
sensibilizacin y
capacitacin
Gua No 20 - Transicin
IPv4 a IPv6
Plan de Comunicaciones.
La Entidad debe definir un Plan de comunicacin, sensibilizacin y capacitacin
que incluya la estrategia para que la seguridad de la informacin se convierta en
cultura organizacional, al generar competencias y hbitos en todos los niveles
(directivos, funcionarios, terceros) de la entidad.
Este plan ser ejecutado, con el aval de la Alta Direccin, a todas las reas de la
Entidad.
Para estructurar dicho plan puede utilizar la Gua No 14 plan de comunicacin,
sensibilizacin y capacitacin.
8.3
FASE DE IMPLEMENTACIN
de la
Control y planeacin
operacional
Plan de Tratamiento de
riesgos de seguridad y
privacidad de la
informacin
Implementacin
Definicin de Indicadores
de Gestin
Resultados
Documento
con
la
estrategia
de
planificacin y control operacional, revisado
y aprobado por la alta Direccin.
Instrumentos
MSPI
MRAE
LI.ES.09
LI.ES.10
LI.GO.04
LI.GO.09
LI.GO.10
LI.GO.14
LI.GO.15
LI.INF.09
LI.INF.10
LI.INF.11
LI.INF.14
LI.INF.15
LI.SIS.22
LI.SIS.23
LI.ST.05
LI.ST.06
LI.ST.09
LI.ST.10
LI.ST.12
Documento con la
declaracin de aplicabilidad.
Documento con el plan de
tratamiento de riesgos.
Indicadores De Gestin.
Gua No 9 - Indicadores de
Gestin SI.
El contenido de la figura 4 fue tomada de la Norma ISO IEC 27001 Captulo 8, que permite orientar como se desarrolla la
LI.ST.13
LI.UA.01
Indicadores De Gestin.
La entidad deber definir indicadores que le permitan medir la efectividad, la
eficiencia y la eficacia en la gestin y las acciones implementadas en
seguridad de la informacin.
Los indicadores buscan medir:
8.4
Monitoreo, medicin,
anlisis y evaluacin
Evaluacin de
Desempeo
Auditoria interna
Metas
Instrumentos
MSPI
Plan de revisin y
Documento con el plan de seguimiento y
seguimiento, a la
revisin del MSPI revisado y aprobado por la
implementacin del
alta Direccin.
MSPI.
Plan de Ejecucin
de Auditorias
Gua No 16
Evaluacin del
desempeo.
Gua No 15 Gua de
Auditora.
MRAE
LI.ES.12
LI.ES.13
LI.GO.03
LI.GO.11
LI.GO.12
LI.INF.09
LI.INF.11
LI.INF.13
LI.INF.14
LI.INF.15
LI.SIS.23
LI.ST.05
LI.ST.06
LI.ST.08
LI.ST.15
LI.UA.07
LI.UA.08
El contenido de la figura 5 fue tomada de la Norma ISO IEC 27001 Captulo 9, que permite orientar como se desarrolla la
8.5
Acciones correctivas.
Mejoramiento
Continuo
Mejora continua
Resultados
Instrumentos
MSPI
Resultados de la ejecucin del Plan
de Revisin y Seguimiento, a la
Implementacin del MSPI.
MRAE
LI.GO.03
LI.GO.12
LI.GO.13
LI.INF.14
LI.INF.15
LI.ST.15
LI.UA.9
LI.UA.10
El contenido de la figura 6 fue tomada de la Norma ISO IEC 27001 Captulo 10, que permite orientar como se desarrolla la
Utilizando los insumos anteriores, la entidad puede efectuar los ajustes a los
entregables, controles y procedimientos dentro del MSPI. Estos insumos tendrn
como resultado un plan de mejoramiento y un plan de comunicaciones de mejora
continua, revisados y aprobados por la Alta Direccin de la entidad. La revisin por
la Alta Direccin hace referencia a las decisiones, cambios, prioridades etc.
tomadas en sus comits y que impacten el MSPI.
La gua No 17 - Mejora Continua, brinda informacin relacionada para poder llevar
a cabo la realizacin de esta actividad.
9. MODELO DE MADUREZ
El esquema que muestra los niveles de madurez del MSPI, busca establecer unos
criterios de valoracin a travs de los cuales se determina el estado actual de la
seguridad de la informacin en una entidad del Estado.
En la tabla No 6, se presentan las caractersticas de cada uno de los niveles de
madurez con una descripcin general.
Inexistente
Inicial
Repetible
Definido
Administrado
Optimizado
Descripcin
Se han implementado controles en su infraestructura de TI, seguridad
fsica, seguridad de recursos humanos entre otros, sin embargo no
estn alineados a un Modelo de Seguridad.
No se reconoce la informacin como un activo importante para su
misin y objetivos estratgicos.
No se tiene conciencia de la importancia de la seguridad de la
informacin en la entidad.
Se han identificado las debilidades en la seguridad de la informacin.
Los incidentes de seguridad de la informacin se tratan de forma
reactiva.
Se tiene la necesidad de implementar el MSPI, para definir polticas,
procesos y procedimientos que den respuesta proactiva a las amenazas
sobre seguridad de la informacin que se presentan en la Entidad.
Se identifican en forma general los activos de informacin.
Se clasifican los activos de informacin.
Los servidores pblicos de la entidad tienen conciencia sobre la
seguridad de la informacin.
Los temas de seguridad y privacidad de la informacin se tratan en los
comits del modelo integrado de gestin.
La entidad cuenta con un plan de diagnstico para IPv6.
La Entidad ha realizado un diagnstico que le permite establecer el
estado actual de la seguridad de la informacin.
La Entidad ha determinado los objetivos, alcance y lmites de la
seguridad de la informacin.
La Entidad ha establecido formalmente polticas de Seguridad de la
informacin y estas han sido divulgadas.
La Entidad tiene procedimientos formales de seguridad de la
Informacin
La Entidad tiene roles y responsabilidades asignados en seguridad y
privacidad de la informacin.
La Entidad ha realizado un inventario de activos de informacin
aplicando una metodologa.
La Entidad trata riesgos de seguridad de la informacin a travs de una
metodologa.
Se implementa el plan de tratamiento de riesgos.
La entidad cuenta con un plan de transicin de IPv4 a IPv6.
Se revisa y monitorea peridicamente los activos de informacin de la
Entidad.
Se utilizan indicadores para establecer el cumplimiento de las polticas
de seguridad y privacidad de la informacin.
Se evala la efectividad de los controles y medidas necesarias para
disminuir los incidentes y prevenir su ocurrencia en el futuro.
La entidad cuenta con ambientes de prueba para el uso del protocolo
IPv6.
En este nivel se encuentran las entidades en las cuales la seguridad es
un valor agregado para la organizacin.
Se utilizan indicadores de efectividad para establecer si la entidad
Planificacion
DIAGNSTICO
Mejora Continua
Implementacin
Evaluacion de
Desempeo
Diagnostico
Resultados
Instrumentos
MSPI
MRAE
Herramienta de diagnstico.
Diligenciamiento de la herramienta.
como para ajustar los roles del personal designado para cumplir con las
responsabilidades de seguridad y privacidad de la informacin.
Para ello deben ajustarse las polticas, los procesos y procedimientos ya definidos
en el modelo de seguridad con el fin de incorporar la privacidad con el alcance
mencionado.
Resultados
Instrumentos
MSPI
MRAE
Herramienta de diagnstico.
Gua
No
4
Roles
Responsabilidades de Seguridad
Privacidad de la Informacin.
Gua No 2 Poltica General.
y
y
Instrumentos
Resultados
Documento con los riesgos contra la
privacidad identificados y las medidas de
solucin adoptadas a partir de la
implementacin del plan de gestin de la
privacidad de la informacin
Implementacin
MSPI
MRAE
Herramienta de Diagnstico.
Gua No 7 Gestion de Riesgos.
Resultados
Instrumentos
MSPI
Evaluacin del
desempeo
MRAE
Una vez se tengan los resultados del componente de evaluacin del desempeo
se toman los resultados obtenidos y se preparan los correctivos necesarios que
permitan a la misma crecer en el nivel de responsabilidad demostrada.
Mejora Continua
Resultados
Documento con los resultados del plan de
seguimiento
Documento con los resultados del plan de
mejoramiento revisado y aprobado por el
Comit de Gestin Institucional o el que haga
sus veces.
Documento con el consolidado de las
auditorias.
Instrumentos
MSPI
Gua No 16 Evaluacin
Desempeo.
Gua No 17 - Mejora Continua.
MRAE
del
Pruebas de
funcionalidad
Planeacin
Implementacin
Instrumentos
Resultados
MSPI
MRAE
002
de
2011
del
Resultados
Implementaci
n del plan y
estrategia de
transicin de
IPv4 a IPv6.
Instrumentos
MSPI
MRAE
Resultados
Documento con los cambios
detallados de las configuraciones
realizadas, previo al anlisis de
funcionalidad realizado en la fase II
de Implementacin.
Plan de
pruebas de
Acta de cumplimiento a
funcionalidad
satisfaccin de la Entidad con
de IPv4 a
respecto al funcionamiento de los
IPv6.
servicios y aplicaciones que fueron
intervenidos durante la fase II de la
implementacin.
Instrumentos
MSPI
MRAE
12. PLAZOS
Los plazos para la implementacin de las actividades se establecieron para el
Manual de Gobierno en Lnea, y a travs del Decreto 1078 de 2015, en el Artculo
10. Plazos. Los sujetos obligados debern implementar las actividades
establecidas en el Manual de Gobierno en Lnea dentro de los siguientes plazos:
2015
90%
2016
100%
50%
2017
Mantener
100%
Mantener
100%
80%
2018
Mantener
100%
Mantener
100%
100%
90%
100%
25%
Seguridad y Privacidad
de la Informacin
40%
60%
80%
100%
2019
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
2020
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
2017
2018
2019
2020
2015
Entidades A (%)
Componente/Ao
70%
90%
100%
Mantener
100%
Mantener
100%
Mantener
100%
80%
95%
100%
Mantener
100%
20%
45%
80%
100%
Seguridad y Privacidad de la
Informacin
35%
50%
80%
100%
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
2020
2017
2019
2016
45%
70%
100%
65%
80%
100%
10%
30%
Seguridad y Privacidad de la
Informacin
10%
30%
Componente/Ao
2018
2015
Entidades B (%)
50%
Mantener
100%
Mantener
100%
65%
Mantener
100%
Mantener
100%
80%
Mantener
100%
Mantener
100%
100%
50%
65%
80%
100%
2020
2017
2019
2016
2018
2015
Entidades C (%)
45%
70%
100%
65%
80%
100%
10%
30%
10%
30%
Componente/Ao
50%
Mantener
100%
Mantener
100%
65%
Mantener
100%
Mantener
100%
80%
Mantener
100%
Mantener
100%
100%
50%
65%
80%
100%
Gua 1
Gua 2
Gua 3
Gua 4
Gua 5
Gua 6
Gua 7
Gua 8
Gua 9
Gua 10
Gua 11
Gua 12
Gua 13
Gua 14
Gua 15
Gua 16
Gua 17
Gua 18
Gua 19
Gua 20
Gua 21
LINEAMIENTO
LI.ES.01
Entendimiento
estratgico - LI.ES.01
LI.ES.02
Definicin de la
Arquitectura
Empresarial - LI.ES.02
DESCRIPCIN
Las instituciones de la administracin pblica deben contar con una
estrategia de TI que est alineada con las estrategias sectoriales, el Plan
Nacional de Desarrollo, los planes sectoriales, los planes decenales cuando existan- y los planes estratgicos institucionales. La estrategia de
TI debe estar orientada a generar valor y a contribuir al logro de los
objetivos estratgicos.
Cada sector e institucin, mediante un trabajo articulado, debe contar con
una Arquitectura Empresarial que permita materializar su visin
estratgica utilizando la tecnologa como agente de transformacin. Para
ello, debe aplicar el Marco de Referencia de Arquitectura Empresarial para
la gestin de TI del pas, teniendo en cuenta las caractersticas
especficas del sector o la institucin.
LI.ES.06
Polticas y estndares
para la gestin y
gobernabilidad de TI LI.ES.06
LI.ES.07
Plan de comunicacin
de la estrategia de TI LI.ES.07
LI.ES.08
Participacin en
proyectos con
componentes de TI LI.ES.08
LI.ES.09
Control de los
recursos financieros LI.ES.09
LI.ES.10
Gestin de proyectos
de inversin - LI.ES.10
LI.ES.12
Evaluacin de la
gestin de la
estrategia de TI LI.ES.12
LI.ES.13
Tablero de indicadores
- LI.ES.13
LI.GO.01
Alineacin del
gobierno de TI LI.GO.01
LI.GO.03
Conformidad LI.GO.03
LI.GO.04
Cadena de Valor de TI
- LI.GO.04
LI.GO.05
Capacidades y
recursos de TI LI.GO.05
LI.GO.07
Criterios de adopcin
y de compra de TI LI.GO.07
LI.GO.08
Retorno de la
inversin de TI LI.GO.08
LI.GO.09
Liderazgo de
proyectos de TI LI.GO.09
LI.GO.10
Gestin de proyectos
de TI - LI.GO.10
LI.GO.11
Indicadores de gestin
de los proyectos de TI
- LI.GO.11
LI.GO.12
Evaluacin del
desempeo de la
gestin de TI LI.GO.12
LI.GO.13
Mejoramiento de los
procesos - LI.GO.13
LI.GO.14
Gestin de
proveedores de TI LI.GO.14
LI.GO.15
Transferencia de
informacin y
conocimiento LI.GO.15
LI.INF.01
Responsabilidad y
gestin de
Componentes de
informacin - LI.INF.01
LI.INF.02
LI.INF.09
Canales de acceso a
los Componentes de
informacin - LI.INF.09
LI.INF.10
Mecanismos para el
uso de los
Componentes de
informacin - LI.INF.10
LI.INF.11
Acuerdos de
intercambio de
Informacin - LI.INF.11
LI.INF.13
Hallazgos en el acceso
a los Componentes de
informacin - LI.INF.13
LI.INF.14
Proteccin y
privacidad de
Componentes de
informacin - LI.INF.14
LI.INF.15
Auditora y
trazabilidad de
Componentes de
informacin - LI.INF.15
LI.SIS.01
Definicin estratgica
de los sistemas de
informacin - LI.SIS.01
LI.SIS.11
Ambientes
independientes en el
ciclo de vida de los
sistemas de
informacin - LI.SIS.11
LI.SIS.22
Seguridad y privacidad
de los sistemas de
informacin - LI.SIS.22
LI.SIS.23
Auditora y
trazabilidad de los
sistemas de
informacin - LI.SIS.23
LI.ST.05
Continuidad y
disponibilidad de los
Servicios tecnolgicos
- LI.ST.05
LI.ST.06
Alta disponibilidad de
los Servicios
tecnolgicos - LI.ST.06
LI.ST.08
Acuerdos de Nivel de
Servicios - LI.ST.08
LI.ST.10
Planes de
mantenimiento LI.ST.10
LI.ST.12
Gestin preventiva de
los Servicios
tecnolgicos - LI.ST.12
LI.ST.13
Respaldo y
recuperacin de los
Servicios tecnolgicos
- LI.ST.13
LI.ST.14
Anlisis de
vulnerabilidades LI.ST.14
LI.ST.15
Monitoreo de
seguridad de
infraestructura
tecnolgica - LI.ST.15
LI.ST.16
LI.UA.01
Estrategia de Uso y
apropiacin - LI.UA.01
LI.UA.02
LI.UA.03
Involucramiento y
compromiso - LI.UA.03
LI.UA.04
Esquema de
incentivos - LI.UA.04
LI.UA.05
LI.UA.06
Preparacin para el
cambio - LI.UA.06
LI.UA.07
LI.UA.08
LI.UA.10