Lineamientos para el plan de toma de Código: STGU-01

Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

Tabla de contenido
1 Objetivo ...................................................................................................................................2
2 Alcance ...................................................................................................................................2
3 Definiciones ............................................................................................................................2
4 Descripción general del plan de toma de conciencia del SGSI. ....................................3
4.1 Fases ciclo de vida de un plan de toma de conciencia en SGSI. .................. 6
4.1.1 Diseño del plan de toma de conciencia en SGSI. ..........................................6
4.1.2 Desarrollo del plan de toma de conciencia del SGSI. ...................................9
4.1.3 Implementación del plan de toma de conciencia del SGSI ........................ 11
4.1.4 Mantenimiento del plan de toma de conciencia del SGSI ..........................12
5 Bibliografía............................................................................................................................13
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

1 Objetivo
Establecer los lineamientos para la construcción y mantenimiento del plan de toma
de conciencia del SGSI, el cual debe incluir actividades de sensibilización,
capacitación, y comunicación de la seguridad de la información, asegurando que
cubra en su totalidad a los Colaboradores del Ministerio de Educación Nacional, con
el fin de promover el cumplimiento de las políticas, roles y responsabilidades de
seguridad de la información.

2 Alcance
El plan de toma de conciencia del Sistema de Gestión de Seguridad de la Información
va dirigido para todos los colaboradores y terceros del MEN y deberá estar alineado
al Procedimiento - Toma de conciencia PM-PR-07.

3 Definiciones
• MSPI: Modelo de Seguridad y Privacidad de la Información definido por el
Ministerio de Tecnologías de la Información y las Telecomunicaciones –
MINTIC.
• Integridad: Propiedad de la información que pretende mantener con
exactitud la información tal cual fue generada, sin ser manipulada ni
alterada por personas o procesos no autorizados.
• Disponibilidad: Propiedad de la información que pretende garantizar el
acceso y uso de la información y los sistemas de tratamiento de esta por
parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
• Confidencialidad: Propiedad de la información que pretende garantizar
que esta sólo es accedida por personas o sistemas autorizados.
• Información: Conjunto organizado de datos procesados que constituyen
un mensaje que cambia el estado de conocimiento del sujeto o sistema que
recibe dicho mensaje.
• Activo de Información: Es todo aquello que en el MEN es considerado
importante o de alta validez para el mismo, porque contiene información
importante, como son los datos creados o utilizados por procesos de la
organización, en medio digital, en papel o en otros medios. Ejemplos: bases
de datos con usuarios, contraseñas, números de cuentas, informes etc.
• Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información.
Suele considerarse como una combinación de la probabilidad de un evento
y sus consecuencias.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

• Vulnerabilidad: Es una debilidad de un activo informático, o sistema de

información que puede ser explotada por una o más amenazas para causar
un daño. Las debilidades pueden aparecer en cualquiera de los elementos
de una computadora, tanto en el hardware, el sistema operativo, cómo en
el software.
• Información confidencial o crítica: Es aquella información que no se
debe circular más allá de las personas que están autorizadas a conocerlas
en el MEN
• Mesa de Ayuda de Tecnología: Centro de Atención al Usuario mediante
el cual la OTSI presta servicios para gestionar y atender de requerimientos
relacionados con los servicios TIC en el MEN.
• Seguridad digital: Es el área de la informática que se enfoca en la
protección de la infraestructura computacional y todo lo relacionado con
esta y, especialmente, la información contenida o circulante, incluye la
seguridad de la información (Políticas, Procedimientos y demás controles)
y la seguridad informática (Herramientas de seguridad).
• Sensibilización: Es un proceso que tiene como objetivo principal impactar
sobre el comportamiento de una población o reforzar buenas prácticas
sobre algún tema en particular.
• Capacitación: Proceso utilizado para enseñar habilidades, que permitan a
una persona ejecutar funciones específicas asignadas su cargo.
• Política: Declaraciones de alto nivel que expresan los objetivos a cumplir
en la Entidad respecto a algún tema en particular.
•
• NIST: (National Institute Of Standards And Technology) Special Publication
800-50 Building an Information Technology Security Awareness and
Training Program.
• Benchmarking: consiste en tomar "comparadores" o benchmarks a
aquellos productos, servicios y procesos de trabajo que pertenezcan a
organizaciones que evidencien las buenas prácticas sobre el área de
interés, con el propósito de transferir el conocimiento de las buenas
prácticas y su aplicación.

4 Descripción general del plan de toma de conciencia del SGSI.

Asegurar que, los colaboradores conocen, entienden y cumplen las normas y las
medidas de protección en materia de seguridad de la información adoptadas,
advirtiéndoles de los riesgos que se pueden materializar al hacer un mal uso de los
activos de información a su alcance.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

A su vez se quiere fomentar la apropiación de Sistema de Gestión de Seguridad de la

Información, aumentando la exposición y divulgación de las políticas, controles, y
diferente documentación dispuesta en la aplicación del Sistema Integrado de Gestión.
Por tal razón se han definido las siguientes cuatro (4) faces para la implementación del
Plan de toma de conciencia del SGSI, basados en la NIST SP 800-50 y en la Guía 14 -
Plan de comunicación, sensibilización y capacitación.

Identifica las Se enfoca en las Direcciona Indica como

Diseño

Desarrollo

Mejoramiento
Implementación
actividades a ser fuentes de efectivamente la mantener el plan
realizadas para información manera como actualizado,
cumplir con las disponible, deberán monitorizando
metas de toma alcance y implementarse su efectividad.
de conciencia del contenidos del las actividades
MEN. material de toma diseñadas.
de conciencia.

Teniendo en cuenta lo anterior, en la elaboración del plan de toma de conciencia

sobre seguridad de la información, se proporcionarán dentro de este documento los
lineamientos para su elaboración. Este documento establece de manera clara la
diferencia entre los tres componentes principales del plan, para desarrollar la cultura en
seguridad de la información: sensibilización, capacitación y educación.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

Sensibilizacion
(Básico)

Capacitación
(Intermedio)

Educación
(Avanzado)

Sensibilización: Su propósito es enfocar la atención en seguridad de la información para

posibilitar que los colaboradores reconozcan los temas de interés, estableciendo al inicio
qué comportamientos se quieren reforzar.

El éxito de la sensibilización es la practicidad y la simplicidad en que esta información es

entregada, para captar la atención del aprendiz.

Por ejemplo, mantener el escritorio limpio, usar de forma adecuada las contraseñas,
elaborar copias de respaldo, usar el correo responsablemente, entre otros.

Capacitación: Se centra en producir habilidades y competencias en seguridad de la

información relevantes y requeridas con el fin de que los colaboradores aprendan y
apliquen en el día a día.

Por ejemplo: Un curso de seguridad de la información, enfocado a administración de

riesgos, ciclo de vida del servicio de seguridad y controles operacionales. Un curso sobre
administración de plataformas de verificación de registros (Log).

Educación: Integra habilidades de seguridad y competencias de las diferentes

especialidades funcionales dentro de un cuerpo común de conocimientos, enfocándose
en producir especialistas en seguridad.

Por ejemplo: Programa de estudios de educación superior, postgrados, etc...

 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

En este ciclo el aprendizaje es continuo, ya que inicia con la sensibilización y prosigue

con la capacitación y desarrollo a través de la educación hacia la creación de cultura de
seguridad de la información.

4.1 Fases ciclo de vida de un plan de toma de conciencia en SGSI.

4.1.1 Diseño del plan de toma de conciencia en SGSI.

El plan se diseña teniendo presente el contexto estratégico y la relevancia del SGSI para
el MEN.

En esta fase deben ser identificadas las necesidades y las prioridades que tenga el MEN
respecto al tema de sensibilización y capacitación de los colaboradores, para procurar
un buen diseño del plan.

En esta fase se debe estructurar el plan, establecer los niveles de complejidad, evaluar
la estrategia de capacitación que será desarrollada y aprobada, es importante que el
plan, apoye las necesidades del MEN y sea relevante a la cultura organizacional.

A. Evaluación de necesidades

La evaluación de las necesidades es un proceso que puede ser empleado para

determinar las necesidades de sensibilización y capacitación dentro del MEN.

Los resultados de la evaluación pueden proporcionar la justificación necesaria para que

la alta gerencia proporcione los recursos necesarios para satisfacer las necesidades
detectadas.

Es clave involucrar en la identificación de dichas necesidades a todo los procesos y

colaboradores identificados en la Matriz de Roles y Responsabilidades del SGSI
(XXXXX).

Algunos de los métodos con los que podemos realizar la evaluación de necesidades
son:

• Entrevistas con grupos o usuarios claves dentro del MEN.

• Encuestas organizacionales.
• Actividades de ingeniería social en diferentes niveles.
• Verificación de comportamientos generales de los colaboradores (sesiones
abiertas, escritorios limpios, entre otros)
• Verificación de los incidentes de seguridad de la información.
• Auditorías internas.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

• Análisis de los eventos registrados en los dispositivos de seguridad (firewall,

IDS/IPS, SIEM) o intrusiones en páginas web, con que cuente la organización.
• Tendencias en el sector donde se desempeña la Entidad.

A continuación, se da un ejemplo donde se emplea uno de los métodos anteriores y se

genera una MÉTRICA.

Ejemplo: Se toma una muestra de 20 usuarios de todo el MEN y se procede a realizar

un procedimiento de ingeniería social con cada uno de ellos (se intentan obtener sus
contraseñas vía telefónica), al finalizar las pruebas, 15 de los usuarios hicieron entrega
de su contraseña. Esto indica que un 75% fue víctima del ataque y permite concluir que
hay desconocimiento sobre el buen uso de las contraseñas. Con la prueba anterior se
encontró una necesidad (un tema para sensibilizar) y una métrica.

Posteriormente, después de implementar el plan de toma de conciencia, se puede aplicar

una nueva prueba del mismo tipo y se puede hacer una comparación de resultados,
esperando que dicho porcentaje baje. Así se podría medir la efectividad del plan. El uso
de los métodos previos deberá permitir responder las siguientes preguntas:

¿Que capacitación o
sensibilización se
requieren?

¿Qué se está
¿Qué necesidades son
haciendo
más críticas?
actualmente?

¿Cuál es la BRECHA ¿Está funcionando lo

entre el estado actual que se está
y el estado deseado? realizando?

B. Colaboración con otras áreas y algunas necesidades adicionales a

identificar:

Las capacitaciones o actividades de educación que se establezcan en el plan de toma

de conciencia del SGSI deberán articularse con el procedimiento de Capacitaciones
del Proceso de Gestión del Talento Humano, dichas capacitaciones deberán quedar
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

plasmadas en el Plan Institucional de Capacitación del MEN – PIC. A través de la

Subdirección de Talento Humano adicionalmente, se podrán identificar otras
necesidades, como personal con discapacidad y espacios adecuados para dictar
capacitaciones de tipo presencial, así como también métodos y recursos a utilizar.

C. Desarrollo del plan de toma de conciencia.

Después de terminar con la evaluación de las necesidades, obtendremos la

información necesaria para iniciar con la estrategia de desarrollo, implementación y
mantenimiento del plan de toma de conciencia. Una vez se hayan identificado todas
las oportunidades de mejora dentro del MEN, se debe proceder con la elaboración
del plan, el cual deberá contar con la viabilidad presupuestal en caso de que la
requiera y debe contener entre otros los siguientes elementos, de acuerdo con el
formato - Identificación de necesidades de toma de conciencia del SIG PM-FT-18:

• Vigencia del plan.

• Medio, actividad o estrategia a realizar.
• Temática relacionada.
• A quien va dirigido, audiencia objetivo para cada medio, actividad o estrategia
planteada
• Fecha de ejecución.
• Observaciones, en las cuales se puede relacionar la evaluación a realizar y la
evidencia después de ejecutado el medio, actividad o estrategia.

Este plan deberá quedar incluido en el plan anual del MSPI, el cual es uno de los planes
anexos de MIPG, por lo que deberá surtir los pasos de aprobación y publicación definidos
por el Comité Institucional de Gestión y Desempeño.

D. Elección del material y herramientas en función del público objetivo.

Este apartado manifiesta que es necesario tomar una decisión en cuanto a la complejidad
del material que será desarrollado en función del personal. La complejidad debe ser
acorde con la función de la persona que vaya a someterse al medio, actividad o estrategia
planteada en el plan de toma de conciencia del SGSI.
La complejidad del material debe ser determinada antes del desarrollo, esta decisión
aplica a los tres tipos de aprendizaje (sensibilización, capacitación y educación).
Esto se debe a que por ejemplo no es lo mismo realizar un material de capacitación a un
grupo específico de colaboradores donde buscamos que este después de ser capacitado
adquiera unas habilidades específicas para sus labores, a un material de sensibilización
donde buscamos disuadir a los colaboradores a comportarse de determinada manera,
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

para evitar consecuencias relacionadas con la seguridad de la información tanto para él,
como para la organización.
4.1.2 Desarrollo del plan de toma de conciencia del SGSI.
Este paso se enfoca en determinar las fuentes de sensibilización, capacitación y
educación disponibles, su alcance, contenido y desarrollo del material y herramientas
correspondientes.

A. Desarrollo de material de sensibilización.

El desarrollo del material de sensibilización debe garantizar que se instaure el

comportamiento que se pretende reforzar y, por otro lado, que se desarrollen las
habilidades o destrezas que se quiere que los colaboradores aprendan y apliquen.

Adicionalmente, el material de sensibilización busca que la audiencia, conozca las

implicaciones legales y responsabilidades en materia de seguridad de información que
les aplica, mientras se encuentran laborando en el MEN.

Cabe aclarar que la sensibilización es algo que aplicará para toda la Entidad por
igual. La idea fundamental del desarrollo de este material es que los colaboradores
entiendan que la seguridad de la información es una responsabilidad compartida y que
todos son importantes en esa labor.

Esta responsabilidad recae sobre la Oficina de Tecnología y Sistemas de Información

con la colaboración de la Oficina de Asesora de Comunicaciones.

Ahora, basta con preguntar ¿Qué quiere el MEN que todos y cada uno de sus miembros
sepa sobre seguridad de la información?

Entre los temas más importantes de sensibilización el Ministerio de las

Telecomunicaciones recomienda los siguientes, aunque de acuerdo con las necesidades
identificadas puede variar la cantidad:

• Administración de contraseñas
• Uso y manejo de inventario
• Malware y sus diferentes tipos
• Software permitido/prohibido en la entidad
• Políticas organizacionales relacionadas con seguridad de la información
• Uso de dispositivos de la entidad fuera de las instalaciones
• Uso de correo electrónico e identificación de correos sospechosos
• Seguridad en el puesto de trabajo
• Uso apropiado de internet
• Temas de control de acceso a los sistemas (privilegios, separación de roles)
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

• Política de escritorio limpio

• Ingeniería social
• Como reportar y que puedo reportar en cuanto a la gestión de incidentes
• Spam
• Shoulder Surfing
• Backups y recuperación
• Cambios en los sistemas
• Amenazas y vulnerabilidades comunes
• Roles y responsabilidades en la entidad
• Sanciones por incumplimiento de las políticas de SI

Se puede disponer de material diverso para sensibilización desde varias fuentes como:

• Intranet, RadioMEN, comunicaciones internas y demás canales de comunicación

interna institucionales.
• Conferencias de seguridad, talleres, seminarios online (Que generan memorias o
presentaciones que pueden ser útiles).
• Newsfeed o boletines sobre seguridad en sitios web.

B. Desarrollo de material de capacitación.

En la segunda premisa se habla de “Que habilidades necesito que los usuarios

adquieran”, al respecto el NIST SP 800-16 “Requerimientos para capacitación en
Seguridad de Tecnologías de la Información: Modelo basado en rendimiento y roles”,
plantea una metodología para la creación de cursos de formación para una serie de
audiencias.

Para desarrollar el material de capacitación pueden emplearse los siguientes métodos

(debe considerarse una relación de costo-beneficio con cada uno):

• Pueden contratarse proveedores relacionados con la necesidad identificada

(dependiendo de la plataforma o de la necesidad específica).
• Puede utilizarse material de internet, suscripción a plataformas de e-learning que
dictan cursos de capacitación, MOOCS etc...
• Búsqueda de convenios interinstitucionales con ICETEX, Min TIC o SENA para
entrenar al personal de TI (lo que puede representar una reducción de costos en
este aspecto).
• Para diseñar cursos de entrenamiento inhouse (desarrollados internamente),
pueden utilizarse metodologías como la NIST 800-16, que define varios roles de
TI y permiten dar un enfoque de enseñanza a cada rol.

Esta responsabilidad recae sobre la Subdirección de Talento Humano y la Oficina de

Tecnologia y Sistemas de Información.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

4.1.3 Implementación del plan de toma de conciencia del SGSI

Este paso consiste en implementar lo consignado en el formato - Identificación de
necesidades de toma de conciencia del SIG PM-FT-18.

Como primera medida se debe socializar con la alta dirección del MEN, esto nos
garantizara el apoyo y los recursos necesarios para su ejecución y así iniciar la
implementación.

A continuación, se describe algunas técnicas que permiten difundir o comunicar la

información, la selección de cada método debe ser acorde a los recursos y tecnología
con que cuenta la organización, algunos ejemplos son:

• Posters con mensajes o checklist sobre que debe y que no debe hacerse.
• Videos institucionales a través de videowalls o pantallas.
• Screensavers con mensajes de sensibilización.
• Cuadernos, relojes o elementos de oficina con mensajes alusivos.
• Boletines vía email. (Comunicaciones internas)
• Eventos relacionados con seguridad, concursos etc....
• Sesiones con instructores (si se planean charlas que contengan varios temas de
sensibilización a la vez).

Por lo general, los mensajes de sensibilización son de mucha brevedad y simplicidad, lo

que facilita en gran medida la recepción del mensaje que se está transmitiendo. El uso
de imágenes o videos pueden reforzar el tema a tratar.

Las técnicas para capacitación deben aprovechar al máximo los avances tecnológicos,
empleando sistemas que brinden facilidad de uso y acceso, escalabilidad y que sean
ofrecidas por varios proveedores en la industria.

Dentro de las técnicas más comunes y efectivas son las siguientes:

• Entrenamiento a través de video interactivo

• Entrenamiento Web
• Entrenamiento en sitio (Presencial)
• Entrenamiento CBT (Computer Based Training)

Dependiendo de los recursos a disposición, pueden emplearse varios de estos tipos a la

vez, ya que cada uno ofrece ventajas significativas.

Es importante mencionar que cuando los colaboradores reciban la sensibilización o

capacitación correspondiente, certifiquen su asistencia (cuando aplique) y asuman sus
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

respectivos compromisos con la preservación de la seguridad de la información en el

MEN.

Para el caso de las capacitaciones o actividades de sensibilización que apliquen esto

puede realizarse a través del formato de asistencia, con la aclaración que han recibido
la capacitación y/o sensibilización sobre los temas determinados sobre seguridad de la
información.

Esta evidencia puede servir para justificar algún tipo de sanción a comportamientos
inadecuados o incumplimiento a las políticas de seguridad.

4.1.4 Mantenimiento del plan de toma de conciencia del SGSI

Este paso de la guía se orienta al cuidado y monitoreo del plan.

Los métodos de retroalimentación eficaces pueden incluir revisiones, grupos de interés,

pruebas de referencia, por citar algunos.

Es necesario asegurar que el plan, como estructura, sigue siendo actual aún con la nueva
tecnología y las cuestiones de seguridad que aparezcan.

Se deberá centrar en las necesidades de formación con nuevas habilidades y

capacidades de ser necesario, para responder a los nuevos cambios tecnológicos.

Un plan de toma de conciencia no podrá mejorarse, sin antes saber qué resultados está
obteniendo al interior del MEN, para ello, es necesario buscar métodos que nos indiquen
la efectividad del plan.

Dentro de los métodos más comunes para evaluar las actividades de sensibilización,
capacitación y educación:

• Evaluaciones o cuestionarios.
• Foros abiertos con los colaboradores que recibieron la capacitación y/o
sensibilización.
• Entrevistas selectivas o entrevistas grupales.
• Uso de observadores independientes o auditores, que evalúen la efectividad del
plan.
• Uso de “benchmarking”, que indica comparar el método que se ha implementado
con el de otras entidades similares, para así mejorar el modelo implementado.
• Verificación de la cantidad de incidentes de seguridad de la información abiertos
y su causa.
• Ataques de ingeniería social, posteriores a las capacitaciones.
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

Los resultados obtenidos en esta fase del plan deben ser comparados con los resultados
obtenidos de la fase de diseño, lo que nos permite obtener un indicador de desempeño,
el cual será nuestro punto de partida para determinar ajustes a realizar en el plan de
toma de conciencia del SGSI vigente y mejoras para próximas vigencias.

Es necesario que siempre exista un mejoramiento por más mínimo que sea, ya que se
corre el riesgo de que el plan se vuelva obsoleto y luego se requiera de mucho más
esfuerzo para ponerlo a punto nuevamente.

5 Bibliografía

• NIST (National Institute Of Standards And Technology) Special Publication 800-50

Building an Information Technology Security Awareness and Training Program
• ISO/IEC 27000, Information Technology. Security Techniques. Information Security
Management Systems. Overview and Vocabulary
• ISO/IEC 27001, Information Technology. Security Techniques. Information Security
Management Systems. Requirements
• Guía 14 - Plan de comunicación, sensibilización, capacitación

Control de Cambios

Fecha de
Versión Naturaleza del cambio
vigencia
01 A partir de su Creación del documento.
publicación
en el SIG

Registro de aprobación

Elaboró Revisó Aprobó

Nombre Luis Carlos Nombre Lidy Milene Nombre Roger Quirama Garcia
Serrano Pedraza Parra
Pinzón
 Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG

Cargo Contratista Cargo Profesional Cargo Jefe de la Oficina de

de la Especializado - Tecnología y Sistemas de
Oficina de Subdirección de Información
Tecnología Desarrollo
y Sistemas Organizacional.
de
Información