Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad y Privacidad
de la Información
Diciembre 2017
Políticas
Roles y Responsabilidades
Diciembre 2017
Agenda
1. Modelo de Seguridad y Privacidad de la
Información
6. Taller
Modelo de Seguridad y Privacidad de la información
Composición
Documento
Maestro
Seguridad y
privacidad de la
información
INSTRUMENTOS 21 GUÍAS
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Modelo de Seguridad y Privacidad de la información
Enfoque a través del ciclo D+PHVA
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Modelo de Seguridad y Privacidad de la información
Guías de trabajo
Metodológica de
pruebas de Análisis de Impacto Transición de IPV4 a
Continuidad de TI de Negocios (BIA) IPv6 para Colombia Gestión de incidentes
efectividad
21
Política general MSPI Indicadores de Aseguramiento del
v1 Gestión SI Seguridad en la nube protocolo IPv6
Procedimientos de Lineamientos:
Seguridad y Controles de Terminales de áreas
Privacidad de la Seguridad Evidencia digital financieras entidades
Información. públicas
Documentos
Roles y
responsabilidades de Plan de
comunicación,
seguridad y Gestión del riesgo Mejora continúa
sensibilización y
privacidad de la
capacitación
información
Evaluación
Gestión De Activos Gestión Documental Auditoría desempeño
Política General de Seguridad
de la Información
Política General de Seguridad de la información
¿Qué hace?
Software
Reputación Físicos
Proteger
activos
Información Servicios
Personas
Política General de Seguridad de la información
¿Quién?
Servidores
Ciudadanía públicos
Terceros
Política General de Seguridad de la información
¿Por qué?
Misión
Objetivos
Estratégicos
Política General de Seguridad de la información
Fases de la implementación de la Política
Desarrollo de
Cumplimiento Comunicación Monitoreo Mantenimiento Retiro
las políticas
Política General de Seguridad de la información
Alcance
Alcance
Mantener
confianza
Garantizar Proteger
continuidad activos
Objetivos
Cumplir
Minimizar
principios
riesgo
seguridad
Política General de Seguridad de la información
Objetivos
Integridad
Principios de
Confidencialidad
seguridad
Disponibilidad
Política General de Seguridad de la información
Objetivos
Riesgo
Minimizar el
riesgo Control
Riesgo
residual
Política General de Seguridad de la información
Estructura del documento
1. ENCABEZADO (MISION)
2. OBJETIVOS
3. ALCANCE/APLICABILIDAD
4. NIVEL DE CUMPLIMIENTO
5. DECLARACION DE LOS PRINCIPIOS DE
SEGURIDAD
6. INCUMPLIMIENTO
Política de Privacidad de la
información
Política – Privacidad de la información
Marco Legal y Normativo
Legalidad
Segurida
Finalidad
d
Proteger
datos
Accesoy
circulaci personal
ón es Libertad
restringi
da
Transpar Veracidad o
encia calidad
Política – Privacidad de la información
Derechos de los titulares
Conocer
Proteger
Oponerse datos Actualizar
personales
Rectificar
Política – Privacidad de la información
Autorización
Libre
Informado
Consentimi Previo
ento
Expreso
Política - Privacidad de la información
¿Dónde?
Canales Canales
virtuales Presenciales
Política - Privacidad de la información
¿Por qué?
Normatividad
Cumplimiento
Derechos
Tratamient
de los
o de datos
ciudadanos
Política - Privacidad de la información
Estructura del documento
1. Ambito de aplicación
2. Excepción al ámbito de aplicación.
3. Principios del tratamiento de datos personales:
4. Derechos de los titulares
5. Autorización del titular
6. Deberes de los responsables del Tratamiento
7. Política de controles criptográficos
8. La política de confidencialidad
Políticas Especificas
Políticas específicas de SPI
Texto del documento maestro
Estructura de las políticas específicas
• Qué se debe cumplir –regla de conducta / criterio de aceptación-.
• Cuáles objetivos de seguridad se buscan lograr apoyados en el
cumplimiento de la política.
• Cuáles principios de seguridad se relacionan directamente con la
política.
• Quiénes deben cumplir con la política.
• Quién hace seguimiento al cumplimiento de la política.
• Cuál es la vigencia de la política.
• Identificación de las partes interesadas que deben conocer la
política.
• Cuáles son las consecuencias/sanciones por el incumplimiento de la
política.
• Debe tener un alcance claro y sin ambigüedades.
Política- Seguridad de la Información
¿Cuáles aspectos o dominios requieren políticas específicas como mínimo?
Organización de
la Seguridad de la Gestión de activos Control de acceso No repudio
información
Disponibilidad del
Privacidad y Registro y
Integridad servicio e
confidencialidad auditoría
información
Gestión de Capacitación y
incidentes de sensibilización en
Seguridad de la seguridad de la
Información información
Roles y Responsabilidades
Propósito Establecer tareas
específicas
Definir funciones y asignar responsables en
Actividades/Funciones
la gestión de la seguridad y privacidad de Vs Rol/Cargo
Responsables de administración y
• Garantizar el apoyo desde el
inicio
GuÍa 4: "INTRODUCCIÓN ... De esta forma, es necesario que las responsabilidades asignadas en el desarrollo del
proyecto del MSPI para cada perfil, sean incorporadas a los manuales de funciones de cada entidad de acuerdo al
cargo que desempeñan."
Decreto 1499/2017 (DAFP)
ARTÍCULO 2.2.22.1.5. Articulación y complementariedad con otros sistemas de gestión. El Sistema
de Gestión se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de
Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información.
ARTÍCULO 2.2.22.3.8. Comités Institucionales de Gestión y Desempeño. En cada una de las entidades
se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y
operación del Modelo Integrado de Planeación y Gestión - MIPG, el cual sustituirá los demás comités que
tengan relación con el Modelo y que no sean obligatorios por mandato legal… En el orden territorial el
representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido
por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o
asesor…. 6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de
seguridad digital y de la información…. Parágrafo 1. La secretaría técnica será ejercida por el Jefe de la
oficina de planeación, o por quien haga sus veces, en la entidad. Parágrafo 3. La Oficina de control Interno
o quien haga sus veces será invitada permanente con voz, pero sin voto.
Dado en Bogotá, D.C., a los 11 días del mes de septiembre del año 2017
Perfiles y responsabilidades
Equipo de trabajo
Participantes
Estratégico Táctico Operativo
– Población
Todos los
Comité de Equipo del Funcionarios
seguridad Responsable de proyecto
Seguridad y Todos los
C o m i t é privacidad de la
Institucional de Ciudadanos
información
G e s t i ó n y
Desempeño Todos los
proveedores
Taller 1 Seguridad y Privacidad de la Informacion
Taller
Taller 1 Seguridad y Privacidad de la Informacion
Instrucciones
• Responder las preguntas del cuestionario
https://goo.gl/nvGQYn