2019

Plan de capacitación,
sensibilización y
comunicación de
Seguridad de
Información

OFICINA DE TECNOLOGÍA DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN Y RIESGO DIGITAL

UNIDAD DE ATENCIÓN Y REPARACIÓN A LAS VICTIMAS

INTRODUCCION:
A través del plan de capacitación, sensibilización y comunicación de seguridad de la información
la Oficina de Tecnología de la Información, en apoyo del grupo de Seguridad de la Información
y riesgo informático, presenta las estrategias de capacitación, sensibilización y comunicación en
el marco del Subsistema de seguridad de la información vigencia 2019, dirigida a Directivos,
Técnicos ,Terceros y Usuarios en buenas prácticas de seguridad de la información conforme a
las políticas y lineamientos de seguridad establecidos por la Entidad.

OBJETIVO:
Diseñar una estrategia con el fin de capacitar, sensibilizar y/o comunicar a los funcionarios,
contratistas y colaboradores de la Entidad, en las políticas, lineamientos, procedimientos,
protocolos y/o buenas prácticas relacionadas con Seguridad de la Información, a través de
estrategias de publicación de contenidos audiovisuales, jornadas de sensibilización
herramientas de aprendizaje con el fin de mitigar riesgos relacionados con la afectación de la
información por acciones imprudentes de los usuarios.

OBJETIVOS ESPECÍFICOS:

 Identificar y establecer los grupos focales dentro del plan de capacitación,

sensibilización y comunicación de seguridad de la información
 Definir las actividades del plan de capacitación, sensibilización y comunicación en el
marco del Subsistema de Seguridad de la Información.
 Identificar oportunidades de mejora y propuestas de innovación, para el Sistema de
Gestión de Seguridad de la Información, en términos de sensibilización de usuarios.
 Afianzar conocimientos en seguridad de la información y digital a funcionarios,
contratistas y/o colaboradores de la Entidad.
 Capacitar a funcionarios y/o contratistas de la Entidad en seguridad de la información y
digital.
 Evaluar los conocimientos adquiridos y obtener la evidencia del proceso como parte de
la capacitación de la Entidad.
 Fortalecer la estrategia de seguridad de información y digital, cuando se presente algún
incidente de seguridad de la información.
 Fomentar buenas prácticas en seguridad de la Información en la Entidad.
ALCANCE
El plan de capacitación, sensibilización y comunicación de Seguridad de la información aplica a
nivel territorio, nivel central y centros de atención de la Unidad en el país.
El plan de comunicación, sensibilización y capacitación se realiza con base al lineamiento
otorgados de planear, hacer verificar y actuar, continuación se establecen cada una de las
actividades definidas en cada una de las etapas del modelo de gestión:

•Definir •Proyectar y
estrategias de: visibilizar la
Comunicacion, estrategia de
capacitacion y seguridad de la
Sencibilizacion . información a
nivel central y
territorial

Planear Hacer

Verificar Actuar
•Por medio de •Con base a los
evaluacion de resultados
contenidos, medir la mejorar
efectividad de la continuamente
esrategia de en la estrategia.
seguridad de la
Información.

*Partes interesadas: funcionarios, contratista y Colaboradores y víctimas del conflicto armado

de la Entidad a nivel central y territorial.

Caracterización de usuarios:1
Teniendo en cuenta la estrategia del plan de comunicación, sensibilización y capacitación al
identificar cada uno de nuestros grupos focales al interior de la Entidad se identifican:

*Funcionario de Planta2

Estratégicos:
(57) Directores y Subdirectores, profesionales con maestría con muy buen conocimiento del
entorno, capacidad de planeación a largo y mediano plazo, liderazgo, toma de decisiones y

1 http://www.secretariatransparencia.gov.co/prensa/2016/Documents/guia-de-caracterizacion
de-ciudadanos-usuarios-e-interesados_web.pdf
2 http://www.unidadvictimas.gov.co/es/direccion-de-registro-y-gestion-de-la-informacion/red

nacional-de-informacion-rni/37825
habilidades de gestión presupuestal. Aplica el conocimiento profesional en la resolución de
problemas, articula potencialidades y necesidades individuales con las de la Unidad para optimizar
la calidad de las contribuciones de los equipos de trabajo y de las personas en el cumplimiento de
las metas y objetivos de la Unidad.

Tácticos:
(714) Nivel profesional y profesional especializado, enlaces SIG a nivel territorio y central se
caracterizan porque adquiere y desarrolla permanentemente conocimientos, conoce e interpreta
la organización, establece y mantiene relaciones recíprocas con redes internas y externas, de forma
participativa, integrando esfuerzos facilitando la consecución de los objetivos de la Unidad. Asume
el rol de orientador y guía de un equipo, promoviendo la efectividad en la consecución de metas y
objetivos institucionales. Considera varias alternativas de solución a los problemas y toma acciones
concretas consecuentes con la opción escogida.

Operativos:
(86) Nivel asistencial que presenta ideas y métodos novedosos y concretas actividades para la
consecución de los objetivos institucionales, coopera con otros. Recoge únicamente la información
necesaria para cumplir con sus tareas y la maneja con respecto. Cumple con los compromisos
adquiridos y facilita la labor con sus superiores y compañeros. Transmite información oportuna y
objetiva.

(930) Contratista y Operador3

Contratista Táctico: Nivel profesional y profesional especializado, se caracteriza porque adquiere y
desarrolla permanentemente conocimientos, mantiene relaciones recíprocas con redes internas y
externas, de forma participativa, integrando esfuerzos facilitando la consecución de los objetivos
de la Unidad. Promueve la efectividad en la consecución de metas y objetivos institucionales.
Considera varias alternativas de solución a los problemas y toma acciones concretas consecuentes
con la opción escogida.

Contratista y Operador Operativo: Nivel asistencial que concretas actividades para la consecución
de los objetivos institucionales, coopera con otros. Recoge únicamente la información necesaria
para cumplir con sus tareas y la maneja con respeto. Cumple con los compromisos adquiridos y
facilita la labor con sus superiores y compañeros. Transmite información oportuna y objetiva.

3 http://www.unidadvictimas.gov.co/es/oferta-institucional/294
DEFINICIONES:
Capacitación: Busca enseñar habilidades, que permitan a una persona ejecutar funciones
específicas asignadas su cargo. Un programa de entrenamiento no busca certificar (aunque
puede llegar a hacerlo), pero puede tener mucha temática relacionada con un curso de
certificación.

Difusión: La difusión implica propagar algo, una información, dato o noticia, con la misión de
hacerlo público y de ese modo ponerlo en conocimiento de una importante cantidad de
individuos que lo desconocen hasta ese momento.

Sensibilización: El objetivo será que un determinado público e incluso la sociedad cambie su

visión o creencia respecto a un determinado hecho. Sobre esta acción no he podido encontrar
ejemplos concretos porque difícilmente una única acción provocará un cambio real de
pensamiento.

Socialización: Usos recurrentes del término nos permite refiere a la enseñanza o a la promoción
del aprendizaje de pautas sociales tendientes a sumar a la hora de la integración y el desarrollo
de los individuos en una sociedad dada.

Ingeniería Social4: “Tipo de ataque de seguridad en la cual un individuo manipula al otro con el
fin de obtener información que puede ser utilizada para acceder a un sistema no autorizado,
sustraer dinero o incluso suplantar la identidad de la víctima”.
*Es la práctica de obtener información confidencial a través de la manipulación de usuarios
legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o
privilegios en sistemas de información que les permitan realizar algún acto que perjudique o
exponga la persona u organismo comprometido a riesgo o abusos*

Política: Declaraciones de alto nivel que expresan los objetivos a cumplir de la Entidad respecto
a algún tema en particular.

1. DISEÑO
En esta fase del plan se crean las estrategias de capacitación, sensibilización y comunicación
que el grupo de seguridad de la Información definidas, contado con el apoyo de los enlaces SIG
a nivel territorio y/o nivel central en la divulgación del material, considerándose este un rol
tácito en la distribución de la estrategia de seguridad de la Información.

1.1.1. Estrategia de Capacitación

Objetivo: El principal objetivo es enseñar, entrenar a los funcionarios, contratistas y
colaboradores de la Unidad en buenas prácticas de Seguridad de la información, por medio de
contenidos prácticos y ejemplos cotidianos sobre situaciones que a diario se pueden presentar.

4 Complete Guide To CISM Certification, Pág. 191.

Estrategia:

Planear -Estrategia Objetivo Hacer -Alcance Verificar-Evaluación Fecha de inicio y fin de la

Actividad
Plataforma de Por medio de la plataforma El curso de Evaluar la apropiación Mayo de 2019 a Agosto de
aprendizaje de aprendizaje Moodle, capacitación de de contenidos con 2019.
Moodle-Educación donde se tienen Moodle, va a ser respecto a los
no Formal. configurado el curso de dirigido a contenidos del curso.
“Seguridad de la funcionarios,
Información”, el usuario contratistas y/o Certificación de
deberá realizar el curso de colaboradores de la participación: Una
capacitación, el objetivo es Entidad a nivel central vez el estudiante
llegar a los funcionarios, y territorial, estará haya culminado de las
colaboradores y/o disponible una vez Unidades del curso,
contratistas, hacia buenas este plan de además de la
prácticas en seguridad de encuentre en estado realización de las
información y digital aprobado adicional la evaluaciones de las
partición y unidades que
culminación del curso disponen de ella, se
se hará de manera otorgará un
obligatoria a los certificado de
funcionarios que sean participación del
candidatos para curso.
realizar el curso,
adicional la Oficina de
Tecnología de la
Información una vez
cerrado el curso
gestionara un informe
de las personas que
 culminaros o no el
curso
Jornadas de Con el apoyo de Oficina de Funcionarios, Teniendo en cuenta el Mayo de 2019, depende del
Inducción Talento humano, tomando contratistas y/o tiempo establecido cronograma de talento
como escenario las jornadas colaboradores de la poder realizar la humano establecido para
de inducción que se realizan Entidad a Nivel evaluación de las jornadas de inducción.
a los funcionarios, Territorial y central. contenidos.
contratistas y colaboradores
de la Entidad, llegar a ellos
por medio de una
presentación de Buenas
prácticas de Seguridad de la
Información, dichas
jornadas dependen del
alcance y del cronograma
destinado por la Oficina de
Talento Humano.
1.1.1 Contenido del Curso Seguridad de la Información
1.2 ¿Qué es la seguridad de la información?
En este módulo se presentan una introducción sobre seguridad de la información

1.3 Concepto de Seguridad

En este módulo se presentan los conceptos básicos de la seguridad de la información

1.4 Sistema de seguridad de la Información SGSI.

En este módulo se presentan los conceptos básicos sobre el sistema de seguridad de la
Información SGSI.
1.5 Hábitos y aspectos claves de seguridad de la Información.
En este módulo se presentan los conceptos hábitos y aspectos claves de la seguridad de la
información.

1.6 Certificación
En este módulo se presenta la verificación de la participación del curdo (curso) de
seguridad de la información.
2 Estrategia de Sensibilización

Dando cumplimiento al Decreto 1413 del 2017, articulo 2.2.17.6.6. seguridad de la información,
donde indica que se deberán adoptar medidas apropiadas, efectivas y verificables de seguridad
que le permitan demostrar el correcto cumplimiento de las buenas prácticas consignadas en el
Modelo de Seguridad y privacidad de la información MSPI -emitido por el Ministerio de
Tecnologías de la Información y las Comunicaciones MINTIC, y adoptando el modelo de
seguridad y privacidad de la información. Dicho modelo incluye la guía 14, plan de capacitación,
sensibilización y comunicación de seguridad de la información, que establece el numeral 9.1.
métodos para identificación de necesidades, que plantea implementar métodos de ingeniería
social que permitan generar métricas de cultura organizacional.

Por lo anterior, abordando el desarrollo y cumplimiento de esta actividad de Procedimientos

de ingeniería social en diferentes niveles, se proponen las siguientes estrategias para su
aplicabilidad en la unidad, generando una línea base que permita implementar priorizada
mente actividades orientadas a la sensibilización de los funcionarios de planta, contratistas o
terceros de la Unidad para la Atención y Reparación Integral a las Víctimas.

2.1 Ingeniería Social

Generar actividades de sensibilización medibles, con métricas que permitan identificar el
desarrollo de los ataques de ingeniería social dentro de la Unidad para la Atención y Reparación
Integral a las Víctimas. Los ataques de ingeniería social van dirigidos a obtener acceso directo,
ya sea de forma física o digital a los sistemas de información, afectando de forma financiera,
legal o reputacional la organización.

2.2 Phishing (Medios Digital)

Desplegar de manera controlada y selectiva por medio del correo electrónico corporativo a los
funcionarios de planta, contratistas o terceros un acceso digital (link) a una url (página web),
donde se soliciten datos sensibles de los sistemas de información de la organización.
2.3 Vishing (Telecomunicaciones)
Con un recurso humano de la unidad, se contactará por medio llamadas telefónicas de forma
encubierta a los funcionarios de planta, contratistas o terceros, tratando de aplicar alguna
influencia, persuasión y/o sugestión, donde se soliciten datos sensibles de los sistemas de
información de la organización.

2.4 Quid Pro Quo (Factor humano)

Desarrollar una situación real, en la cual, se simule un ataque técnico, de simpatía, de ego o de
intimidación a nivel interno de la organización con los funcionarios de planta, contratistas o
terceros, en la cual se pueda acceder a cualquier tipo de información que esté al alcance del
funcionario seleccionado para esta actividad.

2.5 Alcance
Estas actividades estarán dirigidas a los funcionarios de planta, contratistas o terceros que
laboren para la Unidad para la Atención y Reparación Integral a las Víctimas en las sedes
centrales y territoriales de acuerdo a los recursos y herramientas que sean habilitadas para
desarrollo de dichas actividades, estará disponible una vez este plan sea aprobado adicional la
Oficina de las tecnologías de la información un vez culminada estrategia gestionara un informe
con métricas de los resultados .

2.6 Tiempos de ejecución

Posterior a la aprobación de dicho plan de trabajo, en el transcurso de 60 días siguientes se
realizará el desarrollo de la actividad escogida

2.7 Resultados del ejercicio:

Los resultados que se obtengan después podrían ser comparados con una nueva medición en
la etapa de desempeño que permitan generar a su vez un indicador del desempeño del plan de
capacitación, los métodos para identificación de necesidades son los siguientes.

2.8 Conclusiones del ejercicio desarrollado.

Recomendaciones para mejorar los protocolos en caso de que se evidencia una deficiencia.

2.9 Actividades En el marco del Sistema de Gestión

Planear - Objetivo Hacer -Alcance Verificar- Fecha de inicio y

Estrategia Evaluación fin de la
Actividad
Encuentros Sig. Teniendo en Sensibilizar a los De acuerdo con Febrero de 2019
cuenta los enlaces Sig en el seguimiento a a Diciembre de
encuentro SIG, temas de las actividades 2019.
que son seguridad de la en el maco del
espacios Información. Plan de acción
definidos para
 socializar temas
de seguridad de
la información,
con los Encales
Sig.
Talleres de Sensibilizar a los Enlaces Sig Evaluar el Mayo de 2019
(presentación enlaces Sig. en central y contenido hasta 31 de
de encuentro temas de territorio aprendido por diciembre de
Sig) importancia en medio de 2019.
seguridad de la evaluación de
Información. contenido.

3 Estrategia de Comunicación

3.1 Objetivo: En el marco del plan de actividades del Sistema Integrado de Gestión – SIG, la
Oficina de Tecnologías de la Información suministrará a los Enlaces SIG, material para
replicación en sus correspondientes, con temas de sensibilización en seguridad de la
información, A continuación, el material que se manejará en esta actividad:

o Flash informativos
o Presentaciones (Eventualmente)

3.2 Medios utilizados para la Divulgación del Plan de Capacitación, sensibilización y

comunicación en el marco del Subsistema de Seguridad de la Información:

La Unidad para las Víctimas cuenta con diversos canales que facilitaran la estrategia de
capacitación, sensibilización y/o comunicación para el año 2019 en temas de seguridad de la
información.
A continuación, se relacionan los medios por los cuales se transmite buenas prácticas de
seguridad:
• Página Web Unidad para las Víctimas - (Externo)
• Intranet
 SUMA (Interno) o boletines informativos
 Canal de Stream.
• Eventos: Jornadas de sensibilización- Sistema Integrado de Gestión
 Plataforma Moodle.
 Jornadas de Seguridad Digital.
 Plóter con campaña de seguridad de la Información.
 Campaña a colaboradores del Operador y Unidad de Víctimas.

*Es importante resaltar que todas las actividades planteadas en el presente documento se
realizan en articulación con la Oficina Asesora de Comunicaciones en temas de
difusión/comunicación.
3.3 Estrategia: La Oficina de Tecnología de la Información, a través del grupo Seguridad y
Riesgo informático, en articulación con la Oficina Asesora de Comunicaciones, gestionará
la publicación del contenido relacionado con seguridad de la información expuesto en los
encuentros SIG, en el canal de Stream dispuesto para tal fin, lo cual permitirá la
construcción del repositorio de Gestión del Conocimiento en seguridad digital.

3.4 Cronograma de temas De seguridad De La Información A Socializar En Vigencia 2019

A continuación, se describen las temáticas relacionadas con Seguridad de la información a
sensibilizar durante el año 2019, con los procesos estratégicos, misionales y de apoyo de la
Unidad para las Víctimas que hacen parte del alcance del sistema Integrado de gestión.

No Actividad Responsable A Quien Va Fecha

Dirigido
1 Buenas prácticas en el uso Generar material: Funcionarios, Marzo
de activos de información y Oficina de Contratistas Y
tecnológicos asignados a Tecnologías de Colaboradores
funcionarios contratistas y la Información Contratados a
colaboradores de la Entidad, través de
Afianzar los conocimientos Operador
en las Políticas de seguridad
de la Entidad.
2 Riesgos de la factura Generar material: Funcionarios, Marzo
electrónica. Oficina de Contratistas Y
Tecnologías de Colaboradores
la Información Contratados a
través de
Operador
3 Que debo hacer en caso de Generar material: Funcionarios, Abril
requerir instalación de Oficina de Contratistas Y
software que apoya la Tecnologías de Colaboradores
gestión dentro de mi la Información Contratados a
proceso. través de
Operador
4 Buenas prácticas sobre el Generar material: Funcionarios, Mayo
manejo de los datos de Oficina de Contratistas Y
carácter personal, menores Tecnologías de Colaboradores
de edad y población la Información Contratados a
vulnerable. través de
Operador
5 Identificar riesgos de Generar material: Funcionarios, Junio
seguridad Información y Oficina de Contratistas Y
Colaboradores
 seguridad digital en la Tecnologías de Contratados a
Entidad. la Información través de
Operador
6 Conozca acerca de Generar material: Funcionarios, Julio
ciberseguridad. Oficina de Contratistas Y
Tecnologías de Colaboradores
la Información Contratados a
través de
Operador
7 Buenas prácticas en Generar material: Funcionarios, Agosto
seguridad de la Información Oficina de Contratistas Y
en el momento de la Tecnologías de Colaboradores
celebración de contratos la Información Contratados a
con proveedores. través de
Operador
8 Ley de transparencia y Generar material: Funcionarios, Septiembre
acceso a la información e Oficina de Contratistas Y
instrumentos de activos de Tecnologías de Colaboradores
información. la Información Contratados a
través de
Operador
9 Modalidades de Malware. Generar material: Funcionarios, Octubre
Oficina de Contratistas Y
Tecnologías de Colaboradores
la Información Contratados a
través de
Operador
10 Buenas prácticas en la Generar material: Funcionarios, Noviembre
transferencia, transmisión y Oficina de Contratistas Y
resguardo de Información Tecnologías de Colaboradores
sensible de la Entidad. la Información Contratados a
través de
Operador
11 Inactivación de usuarios a Generar material: Inactivación de Diciembre
herramientas tecnológicas Oficina de usuarios a
de la entidad. Tecnologías de herramientas
la Información tecnológicas de la
entidad.
4. Mejoramiento
Cada una de las estrategias contenidas en este Plan de comunicación, sensibilización y
capacitación, por parte del Subsistema de seguridad de la Información, se realizará la medición
de cada unos de las estrategias esta con el fin del mejoramiento continua de la estrategia al
Interior de la Entidad.
CONTROL DE CAMBIOS

Versión Fecha del cambio Descripción de la modificación

Creación del plan de capacitación, sensibilización
1 25/04/2019
y comunicación de seguridad de la Información.