Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ModeloSeguridad SANSI SGSI PDF
ModeloSeguridad SANSI SGSI PDF
Documento para
revisión por parte del
Código: Versión: 3 Estado:
Supervisor del
contrato
Categoría:
Información Adicional:
Ubicación:
Página 2 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
Página 3 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
1. AUDIENCIA ...............................................................................................................................................................10
2. INTRODUCCIÓN........................................................................................................................................................11
5. ESTRUCTURA INSTITUCIONAL..................................................................................................................................21
Página 4 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 5 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE FIGURAS
Página 6 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE TABLAS
TABLA 1: RELACIÓN DE LAS POLÍTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CON LAS
NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA. ............................................................................................................................... 67
TABLA 2: CLASIFICACIÓN DE GRUPOS SEGÚN LA NATURALEZA DE LA ENTIDAD..................................................................................................... 68
TABLA 3: CLASIFICACIÓN DE CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68
TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 1.................................................................................. 76
TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129
TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 3................................................................................ 197
Página 7 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
Página 8 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CRÉDITOS
Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del
modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto
estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los
responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en
Línea.
Página 9 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
1. AUDIENCIA
La Dirección del Proyecto, entidades públicas de orden nacional y territorial y entidades privadas,
proveedores de servicios de Gobierno en Línea y la comunidad académica en general, que contribuirán con
sus comentarios, observaciones y retro-alimentación a este documento cuyo propósito es plantear las
mejores prácticas y recomendaciones para la creación del Modelo de Seguridad de la Información acorde
con los objetivos y lineamientos de la Estrategia de Gobierno en Línea.
Página 10 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
2. INTRODUCCIÓN
En esta versión final del documento, se plantea la estructura institucional recomendada que deberá tener
el modelo de seguridad de la información para la estrategia de Gobierno en Línea respaldado por los
instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y
privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno
en Línea (ver documento “Instrumentos normativos proyectados”).
Finalmente, este documento detalla el Modelo de gestión de seguridad de la información SGSI propiamente
dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además
de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias
ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de
seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los
ciudadanos que hagan uso de sus productos y servicios.
Página 11 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos,
los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas.
La ISO es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de
157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados
de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en
cada país (entidad pública, privada).
Página 12 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La ISO desarrolla estándares requeridos por el mercado que representan un consenso de sus miembros
(previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de
productos, tecnologías, sistemas y métodos de gestión, entre otros. Estos estándares, por naturaleza, son
de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar
su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar
como parte de su legislación, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptación mundial a través de sus 3.000 grupos técnicos y más de
50.000 expertos que colaboran en el desarrollo de estándares.
3.3. Estándar
Publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones,
departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas
en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las
necesidades demandadas por la sociedad y tecnología.
3.4. Icontec2
ICONTEC, como Organismo Nacional de Normalización (ONN) representa a Colombia ante organismos de
normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la
Página 13 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de
vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras
normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).
Este estándar es certificable, es decir, cualquier organización que tenga implantado un SGSI según este
modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con éxito
la misma, recibir la certificación en ISO 27001.
El origen de la Norma ISO27001 está en el estándar británico BSI (British Standards Institution) BS7799-
Parte 2, estándar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptación
pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.
http://www.iso27000.es/download/HistoriaISO27001.pps
ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de
seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son:
Página 14 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés
(Information Security Management System). Este sistema consiste de una serie de actividades de gestión
que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o
entidad.
3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de
dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los
expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI,
asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute
(www.itgi.org) diseñó y creó esta publicación titulada COBIT® como un recurso educacional para los directores ejecutivos de información, para la dirección
general, y para los profesionales de administración y control de TI. Más información en la página www.itgi.org
4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la
productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector
comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST
tiene una división especial destinada para publicaciones relacionadas en seguridad de la información: Computer Security Division –Resource Center
http://csrc.nist.gov/
5 AS/NZ4360: Norma Australiana – Neocelandesa que suministra orientaciones genéricas para la gestión de riesgos. Puede aplicarse a una gran variedad de
actividades, decisiones u operaciones de cualquier entidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que
permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación. La aplicación de la norma AS/NZS 4360, le garantiza a
la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. Ver
más información en: http://www.riskmanagement.com.au/
Página 15 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El SGSI protege los activos de información de una organización, independientemente del medio en que se
encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes,
documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información
confidencial de trabajadores y colaboradores, entre otros.
Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al
negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control,
tratamiento y mejora continua.
Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las
inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una
evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles
desproporcionados y de un costo más elevado del necesario, por el retraso en las medidas de seguridad en
relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en
la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de
procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad
del negocio, etc.
La información, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy
importantes dentro de una organización. La confidencialidad, integridad y disponibilidad de información
sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad
legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de
amenazas que, aprovechando cualquiera de las vulnerabilidades existentes –inherentes a los activos,
pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre
otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos
comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallas técnicos.
Página 16 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insuficiente. En la gestión
efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección,
tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de
gestión de la seguridad debe contemplar políticas y procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la
eficacia de los mismos.
Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y
activos y los asume, minimiza, transfiere o controla mediante una metodología definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Página 17 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del
SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
• Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Dirección, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la
información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos
de control identificados, de los recursos disponibles, etc.
Página 18 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave
para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra.
• Control de la documentación: Para los documentos generados y que hacen parte del sistema
SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las
acciones de gestión necesarias para:
Página 19 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Garantizar que los documentos permanecen disponibles para aquellas personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los
procedimientos aplicables según su clasificación.
Garantizar que los documentos procedentes del exterior están identificados.
Garantizar que la distribución de documentos está controlada.
Prevenir la utilización de documentos obsoletos.
Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
Página 20 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5. ESTRUCTURA INSTITUCIONAL
5.1. Introducción
Gobierno en Línea es una estrategia del Ministerio de Comunicaciones de Colombia7 establecido como una
política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y
una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas
tecnologías ofrecen. La estrategia de Gobierno en Línea contribuye mediante el aprovechamiento de las
Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más eficiente,
más transparente, más participativo y en el que se presten mejores servicios a los ciudadanos y a las
empresas.
Para dar cumplimiento a sus objetivos estratégicos, la Estrategia de Gobierno en Línea está organizado por
los procesos necesarios para promover en la administración pública el aprovechamiento de las TIC, a fin de
desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la
ciudadanía, las empresas y el Estado.
Página 21 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Comunidad: Fomentar el uso de las Tecnologías de la Información para mejorar la calidad de vida de
la comunidad, ofreciendo un acceso equitativo a las oportunidades de educación, trabajo, justicia,
cultura, recreación, entre otros.
• Sector Productivo: Fomentar el uso de las tecnologías de la información y las comunicaciones como
soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo,
y como refuerzo a la política de generación de empleo.
• Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y
apoye la función de servicio al ciudadano.
A través de este programa, el Gobierno Nacional brindará en primera instancia, la información necesaria
para difundir el conocimiento e incentivar la apropiación de las tecnologías de la información hacia las
comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y
perspectivas, participen activamente en el proceso mediante la formulación de requerimientos puntuales
aplicables para su propio progreso.
9 Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el término dentro de este documento. En los capítulos 1, 2 y 3, se hace
referencia al modelo en cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como “un todo” para la estrategia de gobierno
en línea. A partir del numeral 3.2; se hace referencia al “modelo de seguridad” como un producto del sistema SANSI, entendiendo el modelo en su
definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de Gobierno en Línea; estas políticas a su vez, son
soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implementado por cada una de
las entidades objetivo, convirtiendo a este modelo en un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico,
remitirse al capítulo número 6. Modelo SGSI.
Página 22 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
servicios de Gobierno en Línea y en las entidades privadas que provean acceso a Internet a los ciudadanos
que ingresen a los servicios de Gobierno en Línea.
Gracias a mecanismos normativos que se están planteando en el marco de esta consultoría, se podrán
sentar las herramientas para la creación del Sistema Administrativo Nacional de Seguridad de la
Información, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en
la Estrategia de Gobierno en Línea que corresponden a la "Protección de la información del individuo" y la
"Credibilidad y confianza en el Gobierno en Línea".
En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de
Gobierno en Línea como la Intranet Gubernamental y las entidades que participen en la cadena de
prestación de los servicios de Gobierno en Línea cumplan con los tres elementos fundamentales de la
Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la
información y los datos; y, confidencialidad de la información. Para la correcta administración de la
Seguridad de la Información, se deben establecer y mantener programas y mecanismos que busquen
cumplir con los tres requerimientos mencionados.
Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de
Seguridad de la Información (SANSI), cuyo eje central es la Comisión Nacional de seguridad de la
Información (CNSI) (ver Ilustración 4). El SANSI surge, entonces, como un sistema institucional que reúne
a todos los actores públicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional
de la información. Así mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre
estos actores.
En este sentido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución,
seguimiento y mantenimiento de las políticas y lineamientos necesarios para fortalecer la adecuada gestión
de la seguridad de la información nacional:
Página 23 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
A continuación, se detallan cada una de las características de cada uno de los actores que componen el
sistema SANSI:
Como se puede observar en la ilustración 5, el componente principal del sistema SANSI es la Comisión
Nacional de Seguridad de la Información, la cual, provee un espacio de encuentro de todos los actores
involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de
información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su
cumplimiento y su mantenimiento:
Página 24 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión
Nacional de Seguridad de la Información, compuesta por representantes de los diferentes sectores
responsables e interesados en la seguridad nacional y cuya función es asesorar al Presidente de la
República y al Gobierno Nacional en la formulación y adopción de los lineamientos del Modelo de Seguridad
de la Información, en concordancia con los planes y programas de la Estrategia de Gobierno en Línea.
La Comisión Nacional de Seguridad de la Información, está compuesta por los siguientes miembros que
tendrán voz y voto10:
Justificación: Dado que el sistema SANSI y sus diferentes componentes son adscritos
al Ministerio de Comunicaciones, este último coordinará las actividades al interior de
la Comisión. Junto con el Director Nacional de Seguridad de la Información,
presentará los informes, las políticas, los controles y resultados del modelo de
seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a
aprobación por parte de la Comisión. Los ajustes del modelo de seguridad
aprobados por la Comisión, serán incluidos en la nueva versión del modelo a ser
implementado en el siguiente ciclo de vida del sistema SANSI.
10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparecen publicadas en las páginas Internet oficiales de cada
entidad.
Página 25 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 26 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 27 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y
tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio
o por denuncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación –
CTI, que asesora al Fiscal General en la definición de políticas y estrategias
asociadas con las funciones de Policía Judicial, en los temas de investigación
criminal, servicios forenses, de genética y en la administración de la información
técnica y judicial que sea útil para la investigación penal. Además, planea, organiza,
dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y
controla el cumplimiento de las políticas y estrategias de investigación, servicios
Página 28 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 29 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Las funciones de la Comisión Nacional de Seguridad de la información están orientadas hacia una
metodología basada en el proceso Planear – Hacer – Verificar – Actuar de un sistema de
gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral 5.6.1.1.1.
Página 30 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Las funciones del Grupo Técnico de Apoyo están orientadas hacia una metodología basada en el proceso
Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las
funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones
Actuar) del presente documento.
Encabeza el Grupo Técnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisión
Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a
nivel técnico como jurídico, los entes policivos y lo concerniente al grupo CSIRT (ver documento “Diseño de
un CSIRT Colombiano”).
Página 31 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Coordinar acuerdos de cooperación con los entes policivos competentes para la provisión de
servicios de asistencia ante incidentes de Seguridad de la Información en las entidades. Las
siguientes son las entidades policivas contempladas:
• Realizar la presentación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados
y la evolución del modelo de seguridad en las Entidades.
• Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como
privados.
• Coordinar esfuerzos y acuerdos de cooperación con las entidades de Vigilancia y Control para
realización de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de
Seguridad de la Información.
Define los lineamientos y la política de seguridad, prepara estudios técnicos, realiza presentaciones
ejecutivas ante la Comisión, prepara el documento del Modelo de Seguridad, recibe información a nivel
de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran:
Página 32 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Definir lineamientos, políticas y controles que forman parte del modelo de seguridad de la
información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico).
• Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a
la Comisión Nacional de Seguridad.
• Proveer soporte técnico - jurídico en temas relacionados con la recopilación de pruebas forenses,
primer respondiente, capacitación y entrenamiento.
5.4.1.4. CSIRT
El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Información -
SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un
completo portafolio de servicios especializados en seguridad de la información centrado en el soporte y la
asistencia a las entidades tanto públicas como privadas, así como también, recopilando estadísticas,
indicadores y métricas en seguridad de la información para su posterior análisis y toma de decisiones por
parte de la Dirección Nacional de Seguridad de la Información.
Para mayor información concerniente al CSIRT, ver documento “Diseño de un CSIRT Colombiano”.
Tanto para el sector público como para el sector privado, la Contraloría, las
Superintendencias, la Fiscalía, la Procuraduría y los entes policivos, ejercerán
Página 33 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.4.1.5.4. La Academia
Página 34 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando
visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos
altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se
colabora a impulsar la innovación del sector privado en seguridad de la información. Se da visibilidad tanto
nacional como internacional a la industria de seguridad de la información en Colombia, se analiza la
demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME
en el uso de esos servicios y productos, dinamizando de este modo la demanda.
5.6. Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA
Página 35 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y
sus Actores
Como todo Sistema de Gestión, se recomienda que el SGSI a ser diseñado e implementado por cada una
de las entidades participantes en la cadena de prestación de servicios de Gobierno en Línea se fundamente
con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear – Hacer – Verificar –
Actuar):
Página 36 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright © 2007 IsecT Ltd.
www.ISO27001security.com
A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a
alto nivel (Comisión y Grupo Técnico de Apoyo), como para las entidades destinatarias al implementar el
modelo SGSI:
Página 37 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador General,
la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la
frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo.
• Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus
políticas y controles
• Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementación del
modelo de seguridad en las entidades destinatarias
• Asesorarse de grupos técnicos de apoyo para tener una adecuada coherencia a nivel técnico de los
temas de seguridad de la información y en consecuencia, mejorar el desempeño de sus
responsabilidades.
Página 38 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Apoyar la articulación de las iniciativas y acciones que se adelanten en las diferentes entidades
públicas y privadas relacionadas con Seguridad de la Información.
• Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y
controles; la metodología de medición y seguimiento de Indicadores de seguridad; la revisión
periódica del estado de cumplimiento del Modelo.
• Aprobar los mecanismos normativos recomendados por el Grupo Técnico de Apoyo a través del
Grupo Técnico - Jurídico, los cuales permitan el cumplimiento e implementación del modelo por
parte de la Entidades.
• Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia
de Gobierno en Línea, a ser cumplido por parte de las Entidades destinatarias.
• Estudiar los temas que propongan sus miembros en relación con los objetivos de la Comisión.
• Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus
responsabilidades.
• Proponer acciones para la modernización de las entidades destinatarias y generar normas que
mejoren el estado actual de la seguridad de la información.
• Propender por el desarrollo de una cultura e higiene de seguridad de la información como factor
determinante para mejorar el estado actual de la seguridad de la información de las entidades y de
los ciudadanos.
• Las demás inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de
Seguridad de la Información.
Página 39 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes
entidades.
2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos
de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario
que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar
paulatinamente cubriendo mas procesos o áreas.
Página 40 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los
activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo
asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades,
escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a
materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y
en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso
de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente,
no hay necesidad de usar una específica, lo importante es que tenga los elementos
recomendados en la norma ISO27001. Como parte de la presente consultoría, se entrega un
documento con la metodología de evaluación del riesgo propuesta. Ver documento “Entregable
4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, existen metodologías de
gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del
instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf).
Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los
dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un
análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los
que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la
Página 41 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá
aceptar que la aplicación envíe el informe de “Declaración de Aplicabilidad” a Gobierno en Línea.
Con esta información, Gobierno en Línea o quién esta delegue, analizará la información, verificará si
las justificaciones cumplen y para cualquier inquietud, se comunicará con el encargado de cada
entidad para obtener aclaraciones con respecto a la Declaración de Aplicabilidad de la entidad. Una
vez este proceso se haya cumplido, Gobierno en Línea activará la aplicación para que el encargado
diligencie la información relacionada con los controles. El proceso de validación del SOA por parte
de Gobierno en Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no
justificadas con suficiencia. Ver mayor información de la herramienta de auto-evaluación en el
documento: “Entregable 7 –Sistema Autoevaluación”.
5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance
del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herramienta de autoevaluación,
deberá revisar los controles propuestos y responder si los tiene implementados y en que grado de
madurez. Si no los tiene implementados, a través de la herramienta, la entidad especificará las
acciones, prioridades, recursos, responsables y fecha de compromiso para la implementación de los
controles, lo que consistirá en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete
a mitigar los riesgos en seguridad de la información implementando dichos controles
recomendados. La entidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías
aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deberá dejar constancia de
la alta dirección justificando esta decisión, lo cual deberá también estar detallado en la herramienta
para que Gobierno en Línea sea notificado de esta decisión.
Página 42 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cadena de prestación
de servicios en Línea, deberán implementar y operar (fase HACER del ciclo PHVA) la política, las
recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a
los requerimientos y expectativas definidos, elementos que a su vez, les permitirán ser más
competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los
ciudadanos que hagan uso de sus servicios y productos. Deberán tener las siguientes funciones:
• Establecer comunicación con el CSIRT y los entes policivos para efectos de obtener soporte en
el manejo de incidentes de seguridad de la información.
• Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los
grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de
Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información.
Funciones Fase HACER – Entidades destinatarias – Modelo SGSI (ver ilustración 8):
Con relación a las actividades puntuales de implementación del Modelo SGSI, las entidades
destinatarias deberán:
13 La herramienta de auto-evaluación, se provee como un sub-producto de la presente consultoría. El objetivo de esta herramienta, es ayudar a las entidades a
implementar el Modelo de Seguridad, presentándoles, según el grupo en el que la entidad de clasifique, las políticas y controles recomendados para que sean
implementados en caso que no existan. Al final, la herramienta realizará cálculos de indicadores de seguridad basándose en los controles alimentados por la
entidad, permitiéndole a esta última, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo.
Para mayor información sobre la herramienta de auto-evaluación, favor remitirse a documento “Entregable 7 –Sistema de Auto-evaluación”.
Página 43 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6 y 7. Implementar el Modelo SGSI: Las entidades deberán implementar las políticas, objetivos de
control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta
dirección de cada entidad según las fechas estipuladas en el plan. Cualquier cambio o modificación
al plan, deberá ser notificado a Gobierno en Línea a través de la herramienta de autoevaluación.
8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de Gobierno en Línea,
ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por:
Es decir, la política de seguridad que apoya la Estrategia de Gobierno en Línea, es respaldada por
objetivos de control, que son las áreas de cumplimiento a las que las entidades destinatarias deben
ceñirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie
de controles asociados a cada objetivo de control para que las entidades los verifiquen e
implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su
naturaleza, por presupuesto, etc.), deberá justificar detalladamente la excepción. Ver mayor
información en el numeral 6.4. de este documento.
• A través del Grupo Técnico de Apoyo, Gobierno en Línea gestionará las operaciones del Modelo de
Seguridad SGSI a través de la interfaz de la herramienta de auto evaluación (en modo de
administración). Este administrador, apoyará a las entidades y aclarará sus dudas con respecto al
modelo y su implementación, entre otras funciones.
• Gobierno en Línea implantará procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad en las entidades a través del portafolio de servicios del
CSIRT y su modelo de negocios (ver documento “Diseño de un CSIRT Colombiano”).
Página 44 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Las autoridades de vigilancia y control como la Contraloría, así como también las
Superintendencias y comisiones auditarán y revisarán el cumplimiento del modelo de seguridad
SGSI por parte de las entidades. Estas autoridades:
o Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad, para esto se tendrá una visión orientada a niveles de
madurez.
Las siguientes son entidades con competencias para realizar las revisiones:
Contraloría General de la República, máximo órgano de control fiscal del Estado. Como tal,
tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la
Página 45 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
10. Las entidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimiento del
modelo a través de la herramienta de Autoevaluación:
• Cada entidad deberá revisar periódicamente el Modelo SGSI implementado para garantizar
que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI
son evidentes.
• Cada entidad deberá actualizar sus planes de seguridad en función de las conclusiones y
nuevos hallazgos encontrados durante las actividades de seguimiento y revisión.
Página 46 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Los porcentajes serán calculados usando métodos cuantitativos para generar el nivel
de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no
implementados de la siguiente forma:
Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarán mejoras al modelo, tomarán
parte no solo las entidades destinatarias que deberán ejecutar acciones de mejora ante la auto-
evaluación realizada y/o las auditorias externas e internas para implementar controles de seguridad
que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en
seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evidenciar
ajustes, nuevos controles, procesos, lineamientos y políticas que serán puestos a consideración y
aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean
parte de la nueva versión del Modelo a ser implementado en el siguiente ciclo de vida del sistema:
Página 47 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del
Modelo de Seguridad implementado en las entidades.
• Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e
implementación en las entidades destinatarias.
• Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas.
El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de
nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase en cuenta que no es
necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantación
que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoreen
controles que aún no están implantados en su totalidad.
Página 48 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo
SGSI mediante el uso de una política de seguridad de la información estratégica y orientada a los
servicios de Gobierno en Línea, los objetivos, los resultados de los análisis y resultados obtenidos
por medio de la herramienta de auto valoración, el análisis de los eventos e incidentes a los que les
ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Dirección.
• Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los
requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente.
• Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los
requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar
acorde con el impacto de los problemas potenciales.
El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea apoyado a alto nivel por
el Sistema Nacional de Seguridad – SANSI, servirá como referente a las entidades destinatarias (tanto
públicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el
ciudadano y la comunidad tengan mayor confianza al momento de realizar trámites y usar los servicios y
sistemas de las entidades del Estado y de Gobierno en Línea.
El plan de capacitación y sensibilización realizado como parte de esta consultoría (ver documento
Capacitación y sensibilización Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta
en una adecuada higiene en seguridad de la información centrándose en la comunidad y los ciudadanos:
Página 49 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las
organizaciones a nuevos riesgos
• Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y
otros ataques.
Página 50 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea se aplica a los
siguientes servicios y productos:
Intranet Gubernamental
o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional)
o Infraestructura tecnológica de comunicaciones (RAVEC)
o Infraestructura tecnológica de computación (Centro de Datos)
o Infraestructura tecnológica de contacto(Centro Interacción Multimedia)
Página 51 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
o Fase de Información en línea: Proveer información en línea con esquemas de búsqueda básica
(Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre
2008).
o Fase de Interacción en línea: Habilitar comunicación entre ciudadanos, empresas y servidores
públicos (EON: diciembre 2008, EOT: diciembre 2009).
o Fase de transacción en línea: Proveer transacciones electrónicas para la obtención de productos
y servicios (EON: diciembre 2009, EOT: diciembre 2010).
o Fase de transformación en línea: Organizar servicios alrededor de necesidades de ciudadanos y
empresas a través de ventanillas únicas virtuales utilizando la intranet gubernamental (EON: junio
2010, EOT: diciembre 2011)
o Fase de democracia en línea: Incentivar a la ciudadanía a participar de manera activa en la
toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC´s (EON:
diciembre 2010, EOT: diciembre 2012).
Página 52 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Establecer una guía para manejar todos los aspectos de seguridad que afecten la estrategia de
Gobierno en Línea, su estructura de operación y gestión y todos los servicios que se derivan de la
estrategia.
• Definir guías y lineamientos para asegurar que toda la información sensitiva que se pueda manejar
como parte de los servicios de Gobierno en Línea esté protegida contra el riesgo de divulgación
accidental o intencional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o
espionaje.
• Proteger al personal de exposiciones innecesarias en relación con el uso indebido de los recursos de
Gobierno en Línea durante el desempeño de sus funciones.
• Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Línea de posibles
demandas o sanciones ante un evento que comprometa la seguridad de los activos de información
o ante un desastre.
La Estrategia de Gobierno en Línea requiere que la información que se gestiona a través de los servicios y
trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté
adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la
Página 53 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se enfoca a la protección de la
confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que
ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008.
El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de
servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de
seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El
nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la
Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos.
La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades
públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema
de gestión de la calidad NTC GP 1000:2004 para las entidades públicas.
Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde
con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices
generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de
servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea.
Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron
objetivos de control asociados a cada política:
Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como
resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren
un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo,
deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio,
necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios
corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de
usuarios y derechos de acceso.
Objetivos de Control:
Página 54 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de
pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados
y autenticados apropiadamente.
PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se
requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer
segregación de funciones para separar usuarios de los servicios y usuarios con roles
administrativos.
PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación
de un token de acceso15 expedido por un tercero en representación de la entidad de gobierno
proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que
requieran mayor nivel de seguridad.
PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación
de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de
autenticación. Se debe implementar la autenticación personal más allá de la posesión del token.
PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la
verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté
registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples
identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en
Línea pero solo puede poseer una única identidad.
PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio
específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de
manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos
por el servicio solicitado.
PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha
responsabilidad al personal apropiado (administradores de accesos).
PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período
asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte
de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de
revocación.
15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad.
Página 55 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Las entidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de
seguridad, deben garantizar la no repudiación de las transacciones implementando mecanismos de
seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios
públicos, empresas), los proveedores de servicios, los organismos de certificación y la entidad estatal, con
relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas.
Objetivos de Control:
PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar
mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que
una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad en el
envío del mensaje. Así mismo, se deben implementar mecanismos para probar si el mensaje ha
sido alterado.
PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el
servicio para crear una prueba de recibo y almacenarla para su recuperación posterior en caso de
una disputa entre las partes (usuario y servicio de gobierno electrónico).
PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pública. Se deben
implementar credenciales del servicio y ser presentadas al cliente para la autenticación del sistema
de acceso al cliente.
PS2.4 Proveer evidencia de la fecha y hora de la transacción electrónica efectuada a través del servicio.
Las entidades que provean servicios de transacciones electrónicas que requieran mayor nivel de
seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados
no son vulnerables a robo o fraude. Además, se deben establecer acuerdos con los clientes para que
manejen con seguridad las credenciales 16y otra información personal relevante para el servicio.
16 Credencial: conjunto de información utilizada por un usuario para establecer una identidad electrónica como parte del proceso de autenticación.
Página 56 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivos de Control:
PS3.1 Asegurar que las tarjetas débito, crédito u otros instrumentos de compromiso de los clientes serán
protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologías de
seguridad más apropiadas en el servicio según el nivel de seguridad requerido para conducir
transacciones electrónicas seguras.
PS3.2 Proveer evidencia de los compromisos ejecutados a través del servicio, de manera que en el
evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo.
Los datos personales de los clientes, ciudadanos y demás información enviada a través de los servicios de
Gobierno en Línea, deben ser protegidos y manejados de manera responsable y segura.
Objetivos de Control:
PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se
procesa y almacena dentro del dominio de implementación de los servicios de Gobierno en Línea.
La información que se recibe o se envía a través de los servicios de Gobierno en Línea, debe conservar
los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Se
debe garantizar la integridad de la información.
Objetivos de Control:
PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o
repetición accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones
para prevenir contra manipulación de datos en transito o contra pérdida y corrupción causada por
fallas de equipos y comunicaciones.
PS5.2 Proteger la información que se almacena en el dominio del cliente contra modificación accidental o
intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen
Página 57 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
la información del servicio almacenada en su estación de trabajo con el fin de obtener algún
beneficio.
PS5.3 Proteger la información almacenada dentro de los servicios de Gobierno en Línea contra
modificación o destrucción intencional por parte de atacantes externos. Se deben implementar
fuertes medidas para frustrar la alteración mal intencionada de los datos de usuarios o de
información de dominio público que puedan disminuir la confianza de los servicios. Los
proveedores de servicios tienen la obligación del debido cuidado (due care) para asegurar que la
información proporcionada a los clientes sea veraz.
PS5.4 Proteger la información trasmitida o almacenada dentro del servicio de Gobierno en Línea contra
pérdida o corrupción accidental. Se deben implementar procedimientos probados de respaldo y
recuperación de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados.
Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de
los servicios bajo su control.
Objetivos de Control:
PS6.1 Proteger los servicios de Gobierno en Línea contra daños o negación del servicio (DoS –Denial of
service) por parte de atacantes externos.
PS6.2 Proteger los servicios de Gobierno en Línea contra daños o provisión intermitente del servicio por
fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta
disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para
realizar reparaciones rápidas.
PS6.3 Proteger los servicios de Gobierno en Línea contra pérdida de datos, pérdida de equipos y otros
eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP –Business
Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la
pérdida de información por ocurrencia de incidentes.
Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los datos de los usuarios
y clientes se mantienen protegidos contra pérdida, alteración o divulgación por actos accidentales o
malintencionados, o por fallas de los equipos y/o redes.
Página 58 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivos de Control:
PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o
modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos
de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos
sensitivos y que puedan ser restaurados en el evento de una falla. También se deben implementar
mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño
de la información.
PS7.2 Recuperar la información protegida en el evento que un cliente u otro usuario no puedan suministrar
las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar
datos de usuario en el evento que un token de acceso o la contraseña se pierdan. Esto permite
soportar investigaciones de posible uso indebido del sistema.
Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los servicios y sus activos
de información relacionados, estén adecuadamente protegidos contra ataques externos o internos.
Objetivo de Control:
PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de Gobierno en
Línea contra ataques a la provisión continua y segura del servicio. Se deben asegurar los equipos
y las redes implementando medidas tales como aseguramiento de servidores, implementación de
topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las
aplicaciones, deben ser diseñados e implementados de manera que se minimicen las
vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable.
Las entidades que provean servicios de Gobierno en Línea, deben mantener y proteger los registros de
las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o
externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios.
Objetivo de Control:
PS9.1 Mantener un registro de transacciones que pueda ser requerido después del análisis de eventos
y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer
responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros
Página 59 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los
registros de transacciones según sea apropiado.
Considerando que las entidades del estado como parte del proceso de modernización de la gestión
pública se encuentran implementado el sistema de gestión integrado de control interno MECI y el sistema
de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de
dichos sistemas de gestión, que permitan o faciliten la implementación de los requerimientos de seguridad
de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar
duplicación de esfuerzos.
Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a
implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la
Información SGSI (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios
de TI (ITIL) entre otros. En ese sentido, a continuación se identifica la alineación y armonización de los
requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prácticas:
Página 60 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DS5.11
A.11.7 Computación Intercambio de SO 5.11
móvil y trabajo datos sensitivos Administración de
remoto Internet y servicios
web
A.12.1 Requisitos
de seguridad de los
sistemas de
información
A.12.3 Controles
criptográficos
DS5.11
Intercambio de
datos sensitivos
DS11.6
Requerimientos de
seguridad para
administración de
datos
Página 61 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS3 - Política de 1.3 Administración 4.1 literal g) 4.2.1 AC6 Autenticidad SO 5.10
servicios del riesgo Identificar y Establecimiento del e integridad de las Administración del
diseñar puntos SGSI, literales c)al transacciones middleware
confiables de control h)
2.2.3 sistemas de sobre los
Información riesgos AI2.4 Seguridad y SD 3.6.1 Diseño
A 10.9 Servicios de disponibilidad de de las soluciones
comercio las aplicaciones. del servicio
5.6.2 h) electrónico
Riesgos
actualizados e DS5.7 Protección SD 5.2
identificados A12.1 Requisitos de de tecnologías de Administración de
para la entidad seguridad de los seguridad información y
sistemas de datos
información
DS5.8
Administración de
A.12.3 Controles llaves
criptográficos criptográficas
DS5.11
Intercambio de
datos sensitivos
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS4 - Política de 1.1 Ambiente de 4.1 subnumeral A.10.2 Gestión de la AC6 Autenticidad SO 4.5
privacidad y control g) Identificar y prestación del e integridad de las Administración del
diseñar puntos servicio por terceras transacciones acceso
confidencialidad de control partes
1.3 Administración sobre los
del riesgo riesgos PO2.3 Esquema SO 5.3
A.10.6 Gestión de la de clasificación de Administración de
seguridad de las datos mainframe
2.1 Actividades de 5.6.2 h) redes
Control Riesgos
actualizados e PO3.4 Estándares SO 5.4
identificados A.10.8 Intercambio tecnológicos Administración y
2.2.3 sistemas de de la información soporte de
para la entidad
Información servidores
PO6.2 Riesgo
A10.9 Servicios de Corporativo y
5 Roles y Comercio Marco de SO 5.5
responsabilidades Electrónico Referencia de Administración de
Control Interno de la red
TI
A.11.1 Requisito del
negocio para el SO 5.6
control de acceso AI1.2 Reporte de Almacenamiento y
análisis de riesgos archivo
Página 62 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SO 5.11
A.11.6 Control de DS5.2 Plan de Administración de
acceso a las seguridad de TI Internet y servicios
aplicaciones y a la web
información.
DS5.3
Administración de SD 3.6.1 Diseño
A.11.7 Computación identidad de las soluciones
móvil y trabajo del servicio
remoto
DS5.4
Administración de SD 5.2
A.12.1 Requisitos cuentas del Administración de
de seguridad de los usuario información y
sistemas de datos
información
DS5.7 Protección
de la tecnología
A.12.3 Controles de seguridad
criptográficos
DS5.8
Administración de
llaves
criptográficas
DS5.10 Seguridad
de la red
DS5.11
Intercambio de
datos sensitivos
DS11.1
Requerimientos
del negocio para
administración de
datos
DS11.2 Acuerdos
de
almacenamiento y
conservación
DS11.3 Sistema
Página 63 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
de administración
de librerías de
medios
DS11.4
Eliminación
DS11.5 Backup y
restauración
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS5 - Política de 1.3 Administración 4.1 literal g) 4.2.1 AC4 Integridad y SD 3.6.1 Diseño
integridad del riesgo Identificar y Establecimiento del validez del de las soluciones
diseñar puntos SGSI, literales c)al procesamiento de del servicio
de control h) datos
2.2.3 sistemas de sobre los
Información riesgos SD 5.2
A 10.9 Servicios de AC6 Autenticidad Administración de
comercio e integridad de las información y
5.6.2 h) electrónico transacciones datos
Riesgos
actualizados e
identificados A12.1 Requisitos de PO6.2 Riesgo
para la entidad seguridad de los Corporativo y
sistemas de Marco de
información Referencia de
Control Interno de
TI
A.12.3 Controles
criptográficos
AI1.2 Reporte de
análisis de riesgos
AI2.3 Control y
auditabilidad de
las aplicaciones
AI2.4 Seguridad y
disponibilidad de
las aplicaciones.
DS11.1
Requerimientos
del negocio para
administración de
datos
DS5.2 Plan de
seguridad de TI
Página 64 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DS5.8
Administración de
llaves
criptográficas
DS11.1
Requerimientos
del negocio para
administración de
datos
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS6 - Política de 1.3 Administración 4.1 literal g) 4.2.1 DS3 Administrar el SO 4.1
disponibilidad del riesgo Identificar y Establecimiento del desempeño y la Administración de
diseñar puntos SGSI, literales c)al capacidad eventos
del servicio de control h)
2.2.3 sistemas de sobre los
Información riesgos DS4 Garantizar la SD 4.3
A.10.3 continuidad del Administración de
Planificación y servicio la capacidad
5.6.2 h) aceptación del
Riesgos sistema
actualizados e SD 4.4
identificados Administración de
para la entidad la disponibilidad
A12.1 Requisitos de
seguridad de los
sistemas de SD 4.4.5.2
información Actividades de
administración de
la disponibilidad
A.14.1 Aspectos
de seguridad de la
información, de la SD 4.5
gestión de la Administración de
continuidad del la continuidad del
negocio. servicio
SO 5.2.3 Copia de
respaldo y
restauración
SD Apéndice K
Contenido de un
plan de
recuperación de
desastres
PS7 - Política de 1.3 Administración 4.1 literal g) 4.2.1 DS4.9 SO 5.2.3 Copia de
disponibilidad Identificar y Establecimiento del Almacenamiento respaldo y
diseñar puntos SGSI, literales c)al de respaldos fuera
Página 65 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DS11.6
Requerimientos de
seguridad para la
administración de
datos
PS8 - Política de 1.3 Administración 4.1 literal g) A.10.6 Gestión de la PO6.2 Riesgo SD 3.6.1
protección del del riesgo Identificar y seguridad de las Corporativo y Diseñando
diseñar puntos redes Marco de soluciones y
servicio de control Referencia de servicios
2.2.3 sistemas de sobre los Control Interno de
Información riesgos A.10.10 Monitoreo TI
SO 4.1
Administración de
5.6.2 h) A.12.1 Requisitos PO8.3 Estándares eventos
Riesgos de seguridad de los de desarrollo y de
actualizados e sistemas de adquisición
identificados información SO 4.2
para la entidad Administración de
AI1.2 Reporte de incidentes
A.12.5 Seguridad en análisis de riesgos
7.1 los procesos de
Planificación de desarrollo y soporte SO 4.5
la realización AI2 Adquirir y Administración del
del producto o mantener software acceso
A.12.6 Gestión de la aplicativo
prestación del
vulnerabilidad
servicio
técnica SD 4.6
AI6 Administrar Administración de
7.2 Procesos cambios la seguridad de la
A.13.2 Gestión de información
relacionados
los incidentes y las
con el cliente
mejoras en la DS2 Administrar
seguridad de la los servicios de SO5.13
7.3 Diseño y información terceros Administración de
desarrollo la seguridad de la
información y de la
DS 5 Garantizar la operación de los
7.5 Producción seguridad de los servicios
y prestación del sistemas
servicio
SO 5.5
DS8 Administrar la Administración de
7.5.1 literal g) mesa de servicio y la red
Los riesgos de los incidentes
mayor
probabilidad
Página 66 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8 - Política de 3.1 Autoevaluación 7.5.2 Validación A.10.10.1 Registro AI2.3 Control y SO 5.1 Monitoreo
registro y de los procesos de auditorias auditabilidad de y control
de producción y las aplicaciones
auditoria 3.2 Evaluación de la prestación
independiente del servicio A.10.10.4 Registros CSI 4.1 Los siete
del administrador y DS5.5 Pruebas, pasos del proceso
del operador vigilancia y de mejoramiento
3.3 Planes de 8 Medición, monitoreo de la del servicio
mejoramiento análisis y seguridad
mejora A.10.10.5 Registro
de fallas CSI 8 Implementar
ME1.2 Definición y mejoramiento
recolección de continuo del
A.10.10.6 datos de servicio
Sincronización de monitoreo
relojes
ME2.2 Revisiones
de Auditoria
ME2.5
Aseguramiento del
control interno
ME4.7
Aseguramiento
independiente.
Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia
de Gobierno en Línea con las normas y mejores prácticas de la industria.
Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del
servicio:
Página 67 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las
entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su
implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de
alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que
pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las
entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos
mas controles adicionales, y las del grupo 3, controles avanzados, asi:
GRUPO 1 Controles
básicos
Cafés Internet, Telecentros y Compartel
GRUPO 2
GRUPO 3
Página 68 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel
de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar
para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de
la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver
mayor información relacionada con los registros RSI en el numeral 6.5.3. del presente documento.
Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo
SGSI, son adaptados del Modelo CMM de CobIT versión 4.017, que los clasifican en los siguientes
niveles:
Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser
tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o
controles particulares aplicados a casos individuales.
Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través
de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por
tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son
sofisticados pero se formalizan las prácticas existentes.
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm
Página 69 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias
según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir,
independiente del grupo al que pertenezcan las entidades, podrán ser graduadas18 con registros de
18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3.
Graduación”.
Página 70 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en
RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema
contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o
superior.
También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en
consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente.
Página 71 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema
SGSI.
Página 72 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con
relación a las normas internacionales en seguridad de la información para establecer si las
Políticas de Seguridad de la organización (incluyendo los contratos con empleados y
terceros), están siendo acatadas correctamente.
Los roles del área de Seguridad de la información están bien definidos y se lleva un
registro de las actividades que realiza cada rol.
Página 73 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Dado que las políticas estratégicas de seguridad planteadas en este documento, necesitan ser aplicadas
por las entidades destinatarias según su agrupación dentro del Modelo de seguridad, se proponen una
serie de controles de seguridad de la información clasificados en diferentes niveles según el grupo al
que pertenezca la entidad, para lo cual, se ha establecido la siguiente tabla de controles, que serán
verificados por cada una de las entidades a través de la herramienta de auto-evaluación:
Página 74 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 75 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Tabla 15: Controles de seguridad recomendados para las entidades del Grupo 1
Control de
Acceso
Página 76 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1 PS1.1, PS1.7 AC-2 Administración de Control: La entidad administra las cuentas de
cuentas acceso a los sistemas de información y
servicios de TI e incluye el establecer, activar,
modificar, revisar, desactivar y remover
cuentas. La entidad revisa las cuentas de los
sistemas de información según una
frecuencia definida, por lo menos cada 6
meses.
Mejoras en el control:
(1)
La entidad utiliza mecanismos automatizados
para apoyar la administración de cuentas del
sistema de información y servicios de TI.
(2)
Se desactivan automáticamente las cuentas
temporales y de emergencia después de un
periodo de tiempo definido para cada tipo de
cuenta.
(3)
Se desactivan automáticamente las cuentas
inactivas después de un período de tiempo
establecido.
(4)
La entidad utiliza mecanismos automatizados
para auditar las acciones de creación,
modificación, desactivación y terminación de
cuentas y notifica a los usuarios en la medida
en que se requiera.
Página 77 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
acceso asignadas.
Página 78 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1 PS1.1, PS1.2 AC-13 Supervisión y Control: La entidad supervisa y revisa las
revisión del actividades de los usuarios con respecto a
control de acceso reforzar y usar los controles de acceso del
sistema de información y servicios de TI.
Mejoras al control:
(1)
Las entidad utiliza mecanismos
automatizados para facilitar la revisión de las
actividades de los usuarios.
PS4 PS4.1, PS4.2 AC-15 Marcación Control: El sistema de información marca las
automatizada salidas de información usando convenciones
de nombres estándar para identificar
instrucciones de divulgación, manejo o
distribución especial.
Página 79 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1 PS1.1, PS1.2,PS8.1 AC-17 Acceso remoto Control: La entidad autoriza, monitorea y
controla todos los métodos de acceso remoto
al sistema de información.
Mejoras al control:
(1)
La entidad utiliza mecanismos automatizados
para facilitar el monitoreo y control de los
métodos de acceso remoto.
(2)
La entidad utiliza criptografía para proteger la
confidencialidad e integridad de las sesiones
de acceso remoto.
(3)
La entidad controla todos los acceso remotos
mediante un número limitado de puntos de
control de acceso administrados.
(4)
La entidad permite acceso remoto para
funciones privilegiadas solo para necesidades
operacionales y se documenta y justifica tal
acceso en el plan de seguridad del sistema de
información.
PS1 PS1.1,PS1.2, PS8.1 AC-19 Control de acceso Control: La entidad: (i) establece
para dispositivos restricciones para el uso y una guía de
móviles y implementación para los dispositivos móviles
portátiles. y portátiles; y (ii) autoriza, monitorea y
controla el acceso de los dispositivos móviles
a los sistemas de información.
Página 80 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Identificac
ión y
autenticac
ión
Página 81 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 82 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Concienci
ay
entrenami
ento
Página 83 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Auditoria
y
rendición
de
cuentas
Página 84 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS9 PS9.1 AU-3 Contenido de los Control: Los registros de auditoria generados
registros de por el sistema de información contienen la
auditoria información suficiente para establecer qué
eventos ocurrieron, las fuentes de los eventos
y los consecuencias de los eventos.
Mejoras al control:
(1)
La entidad provee la capacidad de incluir
información más detallada en los registros de
auditoria para eventos identificados por tipo,
ubicación o sujeto.
(2)
El sistema de información provee la
capacidad para administrar centralizadamente
el contenido de los registros de auditoria
generados por componentes individuales a
través del sistema.
Página 85 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 86 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Certificaci
ón,
acreditaci
ón y
evaluacio
nes de
Página 87 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
seguridad
PS9 PS9.1 CA-3 Interfaces del Control: La entidad autoriza todas las
sistema de conexiones del sistema de información con
información otros sistemas externos mediante el uso de
acuerdos de conexión a sistemas y monitoreo
y control de las conexiones de manera
continúa.
Página 88 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Administr
ación de
la
configura
ción
Página 89 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8 PS8.1 CM-4 Monitorear los Control: La entidad monitorea los cambios al
cambios a la sistema de información y conduce un análisis
configuración de impacto a la seguridad para determinar los
efectos de los cambios.
PS8 PS8.1 CM-5 Restricciones de Control: La entidad: (i) aprueba los privilegios
acceso para de acceso individuales y establece
cambios restricciones de acceso lógico y físico
asociados con cambios al sistema de
información; y (ii) genera, retiene y revisa los
registros que reflejan todos los cambios.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para forzar restricciones de acceso y soportar
la auditoria de las acciones.
Página 90 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Plan de
contingen
Página 91 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
cias
PS6 PS6.1, PS6.2, CP-1 Política y Control: La entidad desarrolla, divulga, revisa
PS6.3 procedimientos y actualiza periódicamente: (i) una política
del plan de formal y documentada de planeación de
contingencias contingencias que incluye el propósito,
alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
del plan de contingencia y los controles
asociados.
Página 92 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 93 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 94 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 95 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 96 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6 PS6.3 CP-9 Backup del Control: La entidad realiza backup periódicos
sistema de a nivel del usuario y a nivel del sistema y
información protege la información de backups en el sitio
de almacenamiento.
Mejoras al control:
(1)
La entidad prueba periódicamente las copias
para verificar la confiabilidad de la media y la
integridad de la información almacenada.
(2)
La entidad utiliza selectivamente los backups
en la restauración de las funciones del
sistema de información como parte de las
pruebas al plan de contingencias.
(3)
La entidad almacena las copias del backup
del sistema operacional y otros sistemas de
información críticos en un ambiente separado
o en un contenedor independiente del
software operacional.
(4)
La entidad protege los backups de
modificación no autorizada.
PS6 PS6.3 CP-10 Recuperación del Control: La entidad utiliza mecanismos con
sistema de procedimientos de soporte que permitan
información recuperar el sistema de información y sea
restablecido a un estado conocido seguro
después de la interrupción o falla.
Mejoras al control:
(1)
La entidad incluye una restauración completa
y restablecimiento del sistema de información
como parte de las pruebas al plan de
contingencias.
Respuesta
a
incidentes
Página 97 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 98 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Mantenimi
Página 99 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
ento
Protecció
n de los
medios
PS4 PS4.2 MP-2 Acceso a los Control: La entidad restringe el acceso a los
medios medios del sistema de información a personal
autorizado.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para restringir el acceso a las áreas de
almacenamiento de los medios y audita los
intentos de acceso y los accesos otorgados.
PS4 PS4.2 MP-3 Etiquetado de los Control: La entidad : (i) coloca etiquetas
medios externas para los medios removibles del
sistema de información y la información de
salida indicando limitaciones en la
distribución, en el manejo de advertencias y
marcas de seguridad si aplica; y (ii)una lista
de tipos de medios o hardware exento de
etiquetas mientras permanecen en un
ambiente protegido.
PS4 PS4.1,PS4.2 MP-5 Transporte de los Control: La entidad protege y controla los
medios medios del sistema de información durante el
transporte fuera de las áreas controladas y
restringe las actividades relacionadas con el
transporte de los medios sólo al personal
autorizado.
Mejoras al control:
(1)
La entidad protege los medios durante el
transporte fueras de las áreas controladas
utilizando mecanismos tales como:
contenedores asegurados, o mecanismos de
criptografía.
(2)
La entidad documenta las actividades
asociadas con el transporte de los medios del
sistema de información.
(3)
La entidad utiliza un custodio identificado para
las actividades de transporte de los medios
del sistema de información.
PS4 PS4.2 MP-6 Saneamiento y Control: La entidad sanea los medios del
eliminación de los sistema de información antes de su
medios eliminación o reutilización.
Mejoras al control:
(1)
La entidad registra, documenta y verifica las
acciones de saneamiento y eliminación de los
medios.
(2)
La entidad prueba periódicamente el
saneamiento de los equipos y los
procedimientos para verificar su correcto
desempeño.
Protecció
n física y
ambiental
PS4,PS5 PS4.2,PS5.2,PS8.1 PE-3 Control de acceso Control: La entidad controla todos los puntos
,PS8 físico de acceso físico a las instalaciones donde
reside el sistema de información y verifica las
autorizaciones individuales antes de otorgar
el acceso a las instalaciones.
Mejoras al control:
(1)
La entidad controla el acceso físico al sistema
de información independiente de los controles
de acceso físico a las instalaciones.
PS4,PS5 PS4.1,PS5.1, PS8.1 PE-4 Control de acceso Control: La entidad controla el acceso físico
,PS8 al medio de a las líneas de transmisión y distribución de
transmisión datos del sistema de información dentro de
las instalaciones de la entidad.
PS4,PS5 PS4.2, PS5.3 PE-5 Control de acceso Control: La entidad controla el acceso físico
al medio de a los dispositivos que despliegan información
despliegue. del Sistema para prevenir que personas no
autorizadas observen el despliegue de las
salidas.
PS6 PS6.2 PE-11 Suministro alterno Control: La entidad dispone de una UPS para
de energía facilitar el apagado ordenado del sistema de
información en el evento de una pérdida de la
fuente primaria de energía.
Mejoras al control:
(1)
La entidad dispone de una fuente alterna de
energía de larga duración para el sistema de
información que permita una capacidad
mínima operacional requerida en el evento de
una pérdida prolongada de la fuente primaria
de energía.
PS6 PS6.3 PE-18 Ubicación de los Control: La entidad ubica de manera segura
componentes del los componentes del sistema de información
sistema de para minimizar el daño potencial de
información amenazas físicas y ambientales y acceso no
autorizado.
Mejoras al control:
(1)
La entidad planea las condiciones de
seguridad del sitio de ubicación del sistema
de información considerando las amenazas
físicas y ambientales y actualiza su estrategia
de mitigación del riesgo.
Planeació
n
PS1-PS9 PS1.1 - PS9.1 PL-2 Plan de seguridad Control: La entidad desarrolla e implementa
del sistema un plan de seguridad para el sistema de
información que incluye una revisión de los
requisitos de seguridad para el sistema y una
descripción de los controles de seguridad
implementados o planeados para reunir los
requerimientos. Nombra al personal
encargado de revisar y aprobar el plan.
PS1-PS9 PS1.1 - PS9.1 PL-3 Actualización del Control: La entidad revisa por lo menos
plan de seguridad anualmente, el plan de seguridad del sistema
de información para identificar necesidades
de cambio organizacional o del sistema
durante la implementación del plan o en las
evaluaciones de seguridad.
PS4 PS4.1,PS4.2 PL-5 Evaluación del Control: La entidad lleva a cabo una
impacto a la evaluación del impacto a la privacidad en el
privacidad sistema de información según la ley de
habeas data (Ley 1266 31 diciembre de 2008)
PS8 PS8.1 PL-6 Planeación de las Control: La entidad planea y coordina las
actividades actividades relacionadas con la seguridad que
relacionadas con afectan el sistema de información antes de
la seguridad ejecutar dichas actividades con el fin de
reducir el impacto en las operaciones, en los
activos de información y en las personas.
Seguridad
del
personal
PS1-PS9 PS1.1 - PS9.1 PS-1 Política y Control: La entidad desarrolla, divulga, revisa
procedimientos y actualiza periódicamente: (i) una política
para seguridad formal y documentada de seguridad del
del personal personal que incluye: propósito, alcance,
roles, responsabilidades, compromiso de la
administración, coordinación entre áreas
organizacionales, y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de seguridad del personal y los controles
relacionados.
PS1-PS9 PS1.1 - PS9.1 PS-2 Categorización Control: La entidad define riesgos de los
del cargo cargos y establece criterios para la selección
y contratación del personal para dichos
cargos. La entidad revisa dichos cargos con
una frecuencia establecida.
PS1-PS9 PS1.1 - PS9.1 PS-3 Verificación del Control: La entidad realiza revisiones de
personal verificación del personal que requiere acceso
a la información empresarial y a los sistemas
de información antes de autorizar el acceso.
PS1-PS9 PS1.1 - PS9.1 PS-4 Terminación del Control: La entidad retira el acceso a los
contrato laboral sistemas de información antes de la
terminación del contrato laboral, realiza
entrevistas de retiro, gestiona la devolución
de activos y autoriza al personal apropiado
para revisar los registros creados en el
sistema de información por parte del personal
que se retira.
PS1-PS9 PS1.1 - PS9.1 PS-5 Transferencia del Control: La entidad revisa las autorizaciones
personal de acceso al sistema de información cada vez
que se presenta una reasignación o
transferencia del personal a otro cargo.
PS1-PS9 PS1.1 - PS9.1 PS-7 Seguridad del Control: La entidad establece requerimientos
personal de de seguridad del personal incluyendo roles y
terceras partes responsabilidades para contratistas y
proveedores y monitorea su cumplimiento.
Evaluació
n del
riesgo
PS1-PS9 PS1.1 - PS9.1 RA-1 Política y Control: La entidad desarrolla, divulga, revisa
procedimientos y actualiza periódicamente: (i) una política
de evaluación del formal y documentada de evaluación del
riesgo riesgo que incluya el propósito, alcance, roles,
responsabilidades, compromiso de la
gerencia, coordinación entre áreas
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de evaluación del riesgo y los controles
relacionados.
PS1-PS9 PS1.1 - PS9.1 RA-3 Evaluación del Control: La entidad realiza evaluaciones del
riesgo riesgo y análisis de impacto del daño
resultante de acceso, uso, revelación,
interrupción, modificación, destrucción no
autorizada de la información y de los sistemas
de información que soportan los servicios de
gobierno en línea.
Adquisici
ón de
sistemas
y
servicios
PS8 PS8.1 SA-3 Ciclo de vida del Control: La entidad administra el sistema de
soporte información adoptando una metodología para
el ciclo de desarrollo de los sistemas de
información que incluye consideraciones de
seguridad de la información.
PS8 PS8.1 SA-9 Servicios de Control: La entidad: (i) requiere que los
desarrollo, proveedores de servicio adopten controles de
mantenimiento y seguridad de conformidad con la
soporte externo reglamentación, políticas y estándares
del sistema de aplicables y según los ANS establecidos; y
información (ii) monitoree el cumplimiento de los controles
de seguridad.
Protecció
n del
sistema y
las
comunica
ciones
PS1,PS8 PS1.2,PS8.1 SC-2 Particionar la Control: Las funciones del usuario y las
aplicación funciones administrativas del sistema se
encuentran separadas en el sistema de
información.
PS3,PS8 PS3.1, PS8.1 SC-12 Gestión de llaves Control: La entidad establece y gestiona las
criptográficas llaves criptográficas mediante mecanismos
automáticos y la implementación de
procedimientos.
PS4,PS5 PS4.2,PS5.3, PS8.1 SC-14 Protección del Control: El sistema de información protege la
,PS8 acceso público integridad y disponibilidad de la información y
aplicaciones públicamente disponibles.
PS8 PS8.1 SC-19 Protocolos de voz Control: La entidad (i) establece restricciones
sobre Internet de uso y guía de implementación para
tecnologías de protocolos de voz sobre
Internet (VoIP) basadas en el potencial para
causar daño al sistema de información si se
usan indebidamente y (ii) autoriza, monitorea
y controla el uso VoIP dentro del sistema de
información.
Integridad
del
sistema y
de la
informaci
ón
PS8
Proteger
las
comunica
ciones
electrónic
as
PS8 PS8.1 CE-2 Aprobación de Control: Exigir aprobación del uso de las
uso comunicaciones electrónicas (correo
electrónico, la mensajería instantánea, el
acceso a Internet, red de VoIP, acceso
inalámbrico) por el nivel de autoridad
apropiado
PS8 PS8.1 CE-5 Guías de uso Control: Definir estándares para el acceso a
seguro de Internet (por ejemplo, web browser de Mozilla,
Internet Firefox, Microsoft Internet Explorer, Opera or
Apple Safari) y generar guías que incluyan lo
siguiente:
a) protección de estaciones de trabajo con
acceso a Internet (por ejemplo, control de
acceso, protección de malware, firewall
personal y copias de respaldo)
b) identificar los tipos de servicios de Internet
permitidos
c) usar guías de uso aceptable (por ejemplo,
prohibir el uso de declaraciones ofensivas y
prohibir para uso personal)
d) dar detalles de las actividades de
monitoreo que se realizan
e) aplicar actualizaciones del software rápida
y eficientemente
f) restringir la descarga de código móvil (por
ejemplo, excluir las categorías de software
ejecutable usando un firewall personal o
equivalente)
g) usar firewall personal
h) instalar software de detección e intrusión
de host (HIDS)
i) Advertir a los usuarios sobre las siguientes
amenazas:
- peligros de descargar código móvil (por
ejemplo, Java applets, MS ActiveX,
JavaScripts, VBScript)
- implicaciones de aceptar o rechazar
‘cookies’
- abrir archivos descargados de Internet
PS8 PS8.1 CE-6 Guías de uso de Control: Definir estándares para los servicios
redes de voz VoIP(por ejemplo, la aplicación e
sobre IP infraestructura de soporte) y generar guías
que incluyan lo siguiente:
a) guías para el uso del negocio y uso
personal (por ejemplo, usarlo para uso
personal fuera del horario laboral)
b) identificar los tipos de servicios de VoIP
permitidos (por ejemplo servicios tales como
Skype y Google Talk o servicios internos de
proveedores tales como Avaya, Cisco y
3Com)
c) usar guías de uso aceptable (por ejemplo,
voice-mail, servicios de conferencias y
mensajería unificada)
d) dar detalles de las actividades de
monitoreo que se realizan
e) Advertir a los usuarios sobre los riesgos
específicos del software de VoIP
PS8 PS8.1 CE-7 Guías de acceso Control: Definir estándares para el acceso
inalámbrico inalámbrico (por ejemplo, el software y la
infraestructura de soporte) y generar guías
que incluyan lo siguiente:
a) guías para el uso sólo en el desempeño de
las funciones y prohibirlo para uso personal
b) identificar los tipos de servicios de acceso
permitidos (por ejemplo, permitir conexión a
puntos de acceso inalámbrico corporativo o
conectarse a la red corporativa usando VPN
cuando se trabaje en sitios remotos)
c) usar guías de uso aceptable (por ejemplo,
prohibir conectarse desde equipos personales
o no autorizados)
d) dar detalles de las actividades de
monitoreo que se realizan
e) advertir a los usuarios sobre:
- las amenazas asociadas con el acceso
inalámbrico (por ejemplo, monitoreo de tráfico
de red, romper claves de encripción
inalámbricas, interceptación e interferencia)
- los pasos para minimizar los riesgos
asociados con el acceso inalámbrico (por
ejemplo, activar la tarjeta de interfase de red
inalámbrica cuando se requiera, usar
encripción tal como WPA o WPA2 y proteger
los detalles de autenticación tales como la
encripción de claves, contraseñas y tokens)
#
Nombre del Control Descripción
Control
GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN
SM1
Direccionamiento
estratégico
SM1.1 Compromiso de la dirección
SM1.1.1 Control: La dirección debe tener un alto nivel de
compromiso para:
a) Alcanzar altos estándares de gobierno corporativo
b) enfocar la seguridad de la información como un
asunto de la empresa
c) crear un entorno positivo de seguridad
d) demostrar a terceros que la empresa se ocupa de la
seguridad de la información de manera profesional.
SM2
Organización de
seguridad
SM2.1 Control de Alto nivel
SM2.1.1 Control: Se debería asignar la responsabilidad general
por la seguridad de la información a un ejecutivo de alto
nivel o su equivalente.
SM3
Requerimientos de
seguridad
SM3.1 Clasificación de información
SM3.1.1 Control: Se debería aplicar un sistema de clasificación
de la información en toda la empresa que:
a) tenga en cuenta el impacto potencial en el negocio
ante la pérdida de confidencialidad de la información
b) se utiliza para determinar distintos niveles de
confidencialidad de la información (por ejemplo, top
secret, en confianza y pública)
SM6.7 Outsourcing
SM6.7.1 Control: Se debe establecer un procedimiento
documentado para regular la selección de proveedores
de outsourcing y la transferencia de las actividades hacia
ellos
SM6.7.2 Control: Al determinar los requisitos para el outsourcing,
la organización debería:
a) evaluar los riesgos de información asociados con los
acuerdos de outsourcing y las funciones de la empresa
que pueden ser contratadas
b) Identificar los ambientes sensitivos o críticos
c) evaluar las prácticas y normas de seguridad de la
información de los posibles proveedores de outsourcing
d) considerar las interdependencias entre la función a ser
contratada y las otras funciones del negocio
e) desarrollar estrategias para finalizar las relaciones
ante la eventualidad de una terminación anticipada de
los acuerdos
SM7
Revisión de la
Gerencia
SM7.1 Revisión y auditoria de
seguridad
SM7.1.1 Control: Se deben realizar periódicamente revisiones y
auditorias de seguridad para ambientes críticos de la
organización, que incluyan:
a) aplicaciones de negocio
b) instalaciones de computación y redes
c) actividades de desarrollo de sistemas
d) actividades de seguridad claves para la empresa (por
ejemplo, la gestión de una arquitectura de seguridad,
ejecutar programas de sensibilización o la supervisión de
los acuerdos de seguridad de la información)
e) entornos de usuario final
SEGURIDAD DE LA
RED
NW1
Administración de
la Red
NW1.1 Roles y responsabilidades
NW1.1.1 Control: Se debe designar un dueño para gestionar la
red. Las responsabilidades por las principales tareas de
gestión de red
deben ser claramente asignados a una o más personas
capaces, que deben aceptar las responsabilidades
(incluidas las
los de la seguridad de la información) relacionadas con
estas funciones.
NW2
Administración del
tráfico
NW2.1 Configurar dispositivos de red
NW2.1.1 Control: Se deben implementar normas y
procedimientos para configurar los dispositivos de red los
cuales deben cubrir:
a) la gestión de cambios de las tablas de enrutamiento y
la configuración de dispositivos de red
b) la restricción del acceso a los dispositivos de red
c) la prevención de actualizaciones no autorizadas o
incorrectas a las tablas de enrutamiento
d) la revisión periódica de la configuración de
dispositivos de red
Tabla 17: Controles de seguridad recomendados para las entidades del Grupo 3.
Asegurar la continuidad de los servicios de Gobierno en Línea es un requerimiento del presente Modelo de
seguridad SGSI, por lo tanto, la consultoría elaboró una Guía para la Gestión de Continuidad del Negocio,
ver documento “Entregable 4 - Anexo 3: recomendaciones generales continuidad negocio para las
entidades del estado”. Adicionalmente, el ICONTEC generó la guía técnica GTC 176, Sistema de Gestión
de Continuidad del Negocio, para establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar, un sistema de gestión de la continuidad del negocio (SGCN). Estas guías se constituyen en apoyo
y consejo para asegurar la continuidad de los servicios y trámites de Gobierno en Línea en las entidades
públicas y privadas.
Para orientar a las entidades en la implementación de la gestión documental para el Modelo de seguridad
de la información SGSI, se elaboró el siguiente cuadro resumen, basado en los requisitos de
documentación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 y de la Norma Técnica de Calidad
para la Gestión Pública NTCGP 1000:2004:
• Los registros del SGSI (tener en cuenta el requisito 4.2.4 de la norma NTCGP 1000:2004)
• La declaración de aplicabilidad (SOA) que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento
de riesgos, justificando inclusiones y exclusiones.
CONTROL DE DOCUMENTOS
Se debe establecer un procedimiento que defina las acciones de gestión necesarias para:
• Asegurar que se identifican los cambios y el estado de revisión actual de los documentos.
• Asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los
puntos de uso.
• Asegurar que los documentos estén disponibles para quienes los necesiten y que se apliquen los
procedimientos pertinentes de acuerdo con su clasificación, para su transferencia, almacenamiento
y disposición final.
• Identificar e implementar las disposiciones legales aplicables sobre el control de documentos (Ley
594 de 2000).
CONTROL DE REGISTROS
• Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con
los requisitos así como de la operación eficaz, eficiente y efectiva del SGSI
• Se deben llevar registros del desempeño de los procesos, y de todos los casos de incidentes de
seguridad significativos relacionados con el SGSI.
Para una efectiva implementación del modelo de seguridad de la información para la Estrategia de
Gobierno en Línea, se recomienda tener en cuenta los siguientes factores críticos de éxito que plantea la
norma ISO27002, los cuales son aplicables para este contexto y se presentan a continuación:
La Alta Dirección de la entidad es quién debe liderar el proceso de implantación y mejora continua del SGSI
en cada entidad. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en
primera instancia, riesgos para el negocio, es la Alta Dirección quien debe tomar decisiones sobre estos y
su tratamiento o aceptación. Además, la implantación del modelo SGSI implicará cambios de mentalidad,
de sensibilización, de procedimientos y planes de acción a corto, mediano y largo plazo. La Alta Dirección
es la única responsable de apoyar y facilitar la implementación, gestión y mejora del Modelo SGSI en la
entidad.
Sin el apoyo decidido de la Alta Dirección, no es posible la implantación exitosa del Modelo de Seguridad
de la Información para la Estrategia de Gobierno en Línea en la entidad.
• Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con
el Modelo SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la alta
dirección garantizar que se asignan los suficientes para:
o Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones
contractuales de seguridad.
o Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de
las mismas.
• Determinar las competencias necesarias para el personal que realiza tareas en la implementación
del Modelo SGSI.
• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,
contratación de personal ya capacitado.
A la alta dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el
Modelo SGSI, para asegurar que continúe siendo adecuado y eficaz y demuestre evolución. Para ello, debe
recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:
• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia
del SGSI.
• Recomendaciones de mejora.
Basándose en toda esta información, la alta dirección debe revisar el cumplimiento actual del Modelo
SGSI y tomar decisiones y acciones relativas a:
• Disponer de políticas, objetivos y actividades de seguridad que reflejen la función misional de las
entidades.
• Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados
y otras partes para lograr la sensibilización adecuada.
• Distribuir guías sobre la política y las normas de seguridad de la información para todos los
directores, empleados y otras partes.
del servicio. Se recomienda tener en cuenta los siguientes pasos, adoptados del documento e-
Government Strategy Framework Policy and Guidelines19:
• Desarrollo del concepto del servicio. Se identifican los elementos claves del servicio y cómo se
va a prestar el servicio. Se identifican los dominios de seguridad que intervienen en la prestación
del servicio (dominio del cliente, dominio de los servicio de Gobierno en Línea, dominio del
prestador de servicios de Internet, etc.). Se identifican los requisitos de seguridad para el servicio
basado en un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde
la perspectiva de seguridad. Se considera qué tan bien trabajará el servicio con otros servicios de
Gobierno en Línea.
20 Identidad del mundo real: conjunto de atributos (nombre, fecha de nacimiento, cedula de ciudadanía) que permite identificación única entre usuarios.
21 Identidad electrónica: conjunto de atributos (nombre de usuario, identificador de certificado digital) que identifica a un único usuario en un sistema de
computador.
servicio. Las pruebas de seguridad incluyen la comprobación de que la configuración del sistema es
compatible con la política de seguridad.
• Aceptación del servicio. Paralelo a la aceptación del servicio se realiza una acreditación de
seguridad.
• Cierre del servicio. Se debe asegurar que los activos de información se transfieren a un nuevo
servicio o se destruyen o se almacenan de forma segura de conformidad con las políticas
específicas del servicio.
7. ANEXOS