Taller 1.

Seguridad y Privacidad
de la Información

Diciembre 2017
 Políticas
Roles y Responsabilidades

Diciembre 2017
 Agenda
1.  Modelo de Seguridad y Privacidad de la
Información

2.  Política General de Seguridad

3.  Política de Privacidad

4.  Políticas Específicas

5.  Roles y Responsabilidades

6.  Taller
Modelo de Seguridad y Privacidad de la información
Composición

Documento
Maestro
Seguridad y
privacidad de la
información

INSTRUMENTOS 21 GUÍAS

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Modelo de Seguridad y Privacidad de la información
Enfoque a través del ciclo D+PHVA

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Modelo de Seguridad y Privacidad de la información
Guías de trabajo
Metodológica de
pruebas de Análisis de Impacto Transición de IPV4 a
Continuidad de TI de Negocios (BIA) IPv6 para Colombia Gestión de incidentes
efectividad

21
Política general MSPI Indicadores de Aseguramiento del
v1 Gestión SI Seguridad en la nube protocolo IPv6

Procedimientos de Lineamientos:
Seguridad y Controles de Terminales de áreas
Privacidad de la Seguridad Evidencia digital financieras entidades
Información. públicas
Documentos
Roles y
responsabilidades de Plan de
comunicación,
seguridad y Gestión del riesgo Mejora continúa
sensibilización y
privacidad de la
capacitación
información

Evaluación
Gestión De Activos Gestión Documental Auditoría desempeño
Política General de Seguridad
de la Información
 Política General de Seguridad de la información
¿Qué hace?

Software

Reputación Físicos

Proteger
activos

Información Servicios

Personas
 Política General de Seguridad de la información
¿Quién?

Servidores
Ciudadanía públicos

Terceros
 Política General de Seguridad de la información
¿Por qué?

Misión

Normas Cumplimiento Visión

Objetivos
Estratégicos
 Política General de Seguridad de la información
Fases de la implementación de la Política

Desarrollo de
Cumplimiento Comunicación Monitoreo Mantenimiento Retiro
las políticas
 Política General de Seguridad de la información
Alcance

Alcance

• La Política aplica al proceso de XXX (ejm: Tecnología)

• A funcionarios, terceros, practicantes, ciudadanía

 Política General de Seguridad de la información
Objetivos

Mantener
confianza

Garantizar Proteger
continuidad activos

Objetivos

Cumplir
Minimizar
principios
riesgo
seguridad
 Política General de Seguridad de la información
Objetivos

Integridad

Principios de
Confidencialidad
seguridad

Disponibilidad
 Política General de Seguridad de la información
Objetivos

Riesgo

Minimizar el
riesgo Control

Riesgo
residual
 Política General de Seguridad de la información
Estructura del documento

1. ENCABEZADO (MISION)
2. OBJETIVOS
3. ALCANCE/APLICABILIDAD
4. NIVEL DE CUMPLIMIENTO
5. DECLARACION DE LOS PRINCIPIOS DE
SEGURIDAD
6. INCUMPLIMIENTO
Política de Privacidad de la
información
 Política – Privacidad de la información
Marco Legal y Normativo

•  Ley 1581 de 2012: Tratamiento de datos personales

•  Ley 1712 de 2014: Información pública
•  Decreto 1074 de 2015: (antiguo Decreto 1377 de 2013)
Capítulo 25 - Reglamenta
•  parcialmente la Ley 1581 de 2012
•  Decreto 1081 de 2015 (antiguo Decreto 103 de 2015):
Título 1. Disposiciones generales en materia de
transparencia y del derecho de acceso a la información
pública nacional.
 Política – Privacidad de la información
Principios

Legalidad

Segurida
Finalidad
d

Proteger
datos
Accesoy
circulaci personal
ón es Libertad
restringi
da

Transpar Veracidad o
encia calidad
 Política – Privacidad de la información
Derechos de los titulares

Conocer

Proteger
Oponerse datos Actualizar
personales

Rectificar
 Política – Privacidad de la información
Autorización

Libre

Informado
Consentimi Previo
ento

Expreso
 Política - Privacidad de la información
¿Dónde?

Canales Canales
virtuales Presenciales
 Política - Privacidad de la información
¿Por qué?

Normatividad

Cumplimiento

Derechos
Tratamient
de los
o de datos
ciudadanos
 Política - Privacidad de la información
Estructura del documento

1. Ambito de aplicación
2. Excepción al ámbito de aplicación.
3. Principios del tratamiento de datos personales:
4. Derechos de los titulares
5. Autorización del titular
6. Deberes de los responsables del Tratamiento
7. Política de controles criptográficos
8. La política de confidencialidad
Políticas Especificas
 Políticas específicas de SPI
Texto del documento maestro
Estructura de las políticas específicas
•  Qué se debe cumplir –regla de conducta / criterio de aceptación-.
•  Cuáles objetivos de seguridad se buscan lograr apoyados en el
cumplimiento de la política.
•  Cuáles principios de seguridad se relacionan directamente con la
política.
•  Quiénes deben cumplir con la política.
•  Quién hace seguimiento al cumplimiento de la política.
•  Cuál es la vigencia de la política.
•  Identificación de las partes interesadas que deben conocer la
política.
•  Cuáles son las consecuencias/sanciones por el incumplimiento de la
política.
•  Debe tener un alcance claro y sin ambigüedades.
 Política- Seguridad de la Información
¿Cuáles aspectos o dominios requieren políticas específicas como mínimo?

Organización de
la Seguridad de la Gestión de activos Control de acceso No repudio
información

Disponibilidad del
Privacidad y Registro y
Integridad servicio e
confidencialidad auditoría
información

Gestión de Capacitación y
incidentes de sensibilización en
Seguridad de la seguridad de la
Información información
Roles y Responsabilidades
 Propósito Establecer tareas
específicas
Definir funciones y asignar responsables en
Actividades/Funciones
la gestión de la seguridad y privacidad de Vs Rol/Cargo

información dentro de las entidades

públicas.

•  Evitar imprecisiones en Equipo de

responsabilidades implementación

Responsables de administración y
•  Garantizar el apoyo desde el
inicio

sostenibilidad del MSPI

•  Establecer una adecuada
segregación de funciones
•  Asignar responsabilidades a
personal con las Alta Dirección comprometida
y participando
competencias requeridas

GuÍa 4: "INTRODUCCIÓN ... De esta forma, es necesario que las responsabilidades asignadas en el desarrollo del
proyecto del MSPI para cada perfil, sean incorporadas a los manuales de funciones de cada entidad de acuerdo al
cargo que desempeñan."
 Decreto 1499/2017 (DAFP)
ARTÍCULO 2.2.22.1.5. Articulación y complementariedad con otros sistemas de gestión. El Sistema
de Gestión se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de
Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información.

ARTÍCULO 2.2.22.3.8. Comités Institucionales de Gestión y Desempeño. En cada una de las entidades
se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y
operación del Modelo Integrado de Planeación y Gestión - MIPG, el cual sustituirá los demás comités que
tengan relación con el Modelo y que no sean obligatorios por mandato legal… En el orden territorial el
representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido
por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o
asesor…. 6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de
seguridad digital y de la información…. Parágrafo 1. La secretaría técnica será ejercida por el Jefe de la
oficina de planeación, o por quien haga sus veces, en la entidad. Parágrafo 3. La Oficina de control Interno
o quien haga sus veces será invitada permanente con voz, pero sin voto.

Dado en Bogotá, D.C., a los 11 días del mes de septiembre del año 2017
 Perfiles y responsabilidades
Equipo de trabajo

Participantes
Estratégico Táctico Operativo
– Población

Todos los
Comité de Equipo del Funcionarios
seguridad Responsable de proyecto
Seguridad y Todos los
C o m i t é privacidad de la
Institucional de Ciudadanos
información
G e s t i ó n y
Desempeño Todos los
proveedores
Taller 1 Seguridad y Privacidad de la Informacion

Taller
Taller 1 Seguridad y Privacidad de la Informacion
Instrucciones
•  Responder las preguntas del cuestionario
https://goo.gl/nvGQYn