Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Articles-5482 Instructivo Instrumento Evaluacion MSPI
Articles-5482 Instructivo Instrumento Evaluacion MSPI
Instructivo No. 1
HISTORIA
HISTORIA ................................................................................................................ 2
1. DERECHOS DE AUTOR .................................................................................. 4
2. AUDIENCIA ...................................................................................................... 5
3. INTRODUCCIÓN .............................................................................................. 6
4. PROPÓSITO ..................................................................................................... 7
5. DESARROLLO DE LA METODOLOGÍA DE AUTODIAGNOSTICO ............... 8
5.1. HOJA 1 -> PORTADA: .................................................................................. 9
5.2. HOJA 2 -> ESCALA DE EVALUACIÓN: .................................................... 13
5.3. HOJA 3 -> LEVANTAMIENTO DE INFORMACIÓN: .................................. 14
5.4. HOJA 4 -> AREAS INVOLUCRADAS: ....................................................... 16
5.5. HOJA 5 -> PRUEBAS ADMINISTRATIVAS: .............................................. 17
5.6. HOJA 6 -> PRUEBAS TÉCNICAS: ............................................................. 20
5.7. HOJA 7 -> AVANCE PHVA: ........................................................................ 22
5.8. HOJA 8-> CIBERSEGURIDAD: .................................................................. 25
5.9. HOJA -> 9 MADUREZ MSPI: ...................................................................... 27
1. DERECHOS DE AUTOR
Este documento está elaborado para las entidades públicas de orden nacional,
entidades públicas del orden territorial, que están en proceso de realizar el
diligenciamiento de la herramienta de diagnóstico del Modelo de Seguridad de la
Información, así como proveedores de servicios de Gobierno en Línea y terceros
que deseen adoptar el Modelo de Seguridad y Privacidad de la Información en el
marco del Programa Gobierno en Línea.
3. INTRODUCCIÓN
Este documento les permite a las entidades públicas de orden nacional, y entidades
públicas del orden territorial, entender de una mejor manera como se debe
diligenciar la herramienta de diagnóstico para poder obtener un resultado preciso,
el cual le permite a cada entidad generar un plan de seguridad de la información
para ser desarrollado al interior de esta, y de esta manera dar cumplimiento con lo
estipulado en el manual de gobierno en línea en su cuarto componente.
4. PROPÓSITO
PUNTAJE - DOMINIO
Brecha
No. Calificación Calificación POLITICAS DE SEGURIDAD DE
DOMINIO
Actual Objetivo LA INFORMACIÓN
100 ORGANIZACIÓN DE LA
CUMPLIMIENTO
SEGURIDAD DE LA…
A.5 POLITICAS DE SEGURIDAD DE LA INFORMACIÓN 20 60 80
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 29 60 ASPECTOS DE SEGURIDAD DE SEGURIDAD DE LOS
LA INFORMACIÓN DE LA… 60 RECURSOS HUMANOS
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 41 60
A.8 GESTIÓN DE ACTIVOS 25 60 40
GESTIÓN DE INCIDENTES DE
A.9 CONTROL DE ACCESO 62 60 20 GESTIÓN DE ACTIVOS
SEGURIDAD DE LA…
A.10 CRIPTOGRAFÍA 50 60
0
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 49 60
A.12 SEGURIDAD DE LAS OPERACIONES 60 60 RELACIONES CON LOS
CONTROL DE ACCESO
PROVEEDORES
A.13 SEGURIDAD DE LAS COMUNICACIONES 54 60
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 35 60
ADQUISICIÓN, DESARROLLO
A.15 RELACIONES CON LOS PROVEEDORES 30 60 Y MANTENIMIENTO DE…
CRIPTOGRAFÍA
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 0 60
SEGURIDAD DE LAS SEGURIDAD FÍSICA Y DEL
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA COMUNICACIONES ENTORNO
A.17 CONTINUIDAD DEL NEGOCIO 30 60 SEGURIDAD DE LAS
OPERACIONES
A.18 CUMPLIMIENTO 30 60
Calificación Actual Calificación Objetivo
PROM EDIO 36,79 60
AVANCE PHVA
1 Planificación 20,15 35 40 0
% Avance objetivo 0
0
2 Implementación 0,00 0 20 35
0 10 20 30 40 50
Avance PHVA: Este componente de la hoja consta de una tabla y una gráfica,
permite evidenciar el avance en el ciclo del modelo de seguridad definido en el
documento MSPI, el cual está alineado con los plazos para la implementación de
las actividades que se establecieron para el Manual de Gobierno en Línea, y a
través del Decreto 1078 de 2015, en el Titulo 9, Capitulo 1, Sección 3.
La tabla muestra el estado de avance (columna % de avance actual) frente a cada
una de las etapas del ciclo (columna componente), es importante tener en cuenta
que de acuerdo al tipo de entidad hay diferentes objetivos (columna % avance
objetivo) de avance, así:
1
Tomado de las páginas 26-29 del documento Modelo de Seguridad y Privacidad de la Información MSPI, de Mintic.
Gráfica 7 - Nivel de madurez
BRECHA
FUNCION CIBERSEGURIDAD
Promedio de CALIFICACIÓN CMMI
META MEJORES PRACTICAS EN CIBERSEGURIDAD-NIST
DETECTAR 51,25 60 Promedio de CALIFICACIÓN CMMI META
0,00
RECUPERAR PROTEJER
2
National Institute of Standards and Technology
5.2. HOJA 2 -> ESCALA DE EVALUACIÓN:
DATOS BASICOS
Tipo Entidad De orden territorial B o C
Mision
Analisis de Contexto <PEGAR DOCUMENTO COMO ARCHIVO EMBEBIDO>
Mapa de Procesos <PEGAR DOCUMENTO COMO ARCHIVO EMBEBIDO>
Organigrama <PEGAR DOCUMENTO COMO ARCHIVO EMBEBIDO>
Gráfica 10 - Datos Básicos
PREGUNTAS
Que le preocupa a la Entidad en temas de seguridad de
la información?
En que nivel de madurez considera que está?
En que componente del ciclo considera que va?
Gráfica 11 - Preguntas de levantamiento de información
Responsable Identificación
SI y valoración de riesgos Metodología de análisis y valoración de riesgos e informe de análisis de riesgos 1) Solicite el
2) losplan
resultados
de tratamiento
de las evaluaciones
de riesgos yde
la riesgos
declaración
y establezca:
de
aplicabilidad verifique que:
a. Se seleccionaron opciones apropiadas para tratar los riesgos, teniendo
en cuenta los resultados de la evaluación de riesgos.
b. Se determinaron todos los controles necesarios para implementar las
opciones escogidas para el tratamiento de riesgos.
P.8 Responsable Tratamiento
SI de riesgos de seguridad de la información Los riesgos deben ser tratados para mitigarlos y llevarlos a niveles tolerables por la Entidad c. Compare los controles determinados en el plan de tratamiento con los
Entreviste a los líderes de los procesos y pregúnteles que saben sobre la
seguridad de la información, cuales son sus responsabilidades y como
Todos los empleados de la Entidad, y en donde sea pertinente, los contratistas, deben recibir la aplican la seguridad de la información en su diario trabajo.
educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las Pregunte como se asegura que los funcionarios, Directores, Gerentes y
P.9 Responsable Toma
SI de conciencia, educación y formación en la seguridad de la información políticas y procedimientos pertinentes para su cargo. contratistas tomen conciencia en seguridad de la información, alineado
Las razones de que se requiera el cambio del protocolo de V4 a V6, se resumen a continuación: Verifique:
1) Debido al aumento de la utilización de las redes de telecomunicaciones las direcciones de 1) El Inventario de TI (Hardware, software) levantado
internet que permiten establecer conexiones para cada elementos conectado a la red, conocidas 2) El análisis de la infraestructura actual de red de comunicaciones,
como direcciones IP (Internet Protocol Versión 4), han entrado en una fase de agotamiento. recomendaciones para adquisición de elementos de comunicaciones,
P.10 Responsable Plan
de TICs
y Estrategia de transisicón de IPv4 a IPv6 2) Mejora de la seguridad de la red en virtud de la arquitectura del nuevo protocolo y sus servicio. cómputo y almacenamiento, compatibles con el protocolo IPv6
PROMEDIO
4
Tomado del sitio: https://www.praetorian.com/blog/nist-cybersecurity-framework-vs-nist-special-publication-800-53
Función NIST: La mejores prácticas de ciberseguridad del NIST, descritas
en el documento marco para mejorar la ciberseguridad de la infraestructura
crítica 5 , están agrupadas en Funciones definidas en el marco de este
documento. En este campo se identifica la función a la que pertenecen cada
una de las subcategorías.
Subcategoría: Son los nombres de los requisitos y están nombrados de
acuerdo a la función y categoría a la que pertenecen.
Control Anexo A ISO 27001: Menciona el control del Anexo A de la norma
ISO 27001, que corresponde con el requisito de la NIST.
Cargo: Para aquellos requisitos que no tienen un control correspondiente en
el Anexo A, se menciona el responsable o área al que se debe entrevistar
para determinar el nivel de cumplimiento del requisito. Las filas donde se
requiere realizar entrevista se encuentran sombreadas, las demás se
califican automáticamente de acuerdo a las evaluaciones de las hojas
administrativas y técnicas.
Requisito: Este campo es una guía para el evaluador y describe lo que se
espera del requisito para efectuar las pruebas.
Hoja: En los casos que se cuenta con un control correspondiente en el Anexo
A de la norma ISO 27001, se menciona la hoja donde el control se encuentra
que puede ser Administrativas o Técnicas.
Calificación: En este campo se coloca la calificación del requisito que en su
mayoría se efectúa de manera automática, de acuerdo a las calificaciones
obtenidas por los controles en las hojas administrativas y técnicas, en las filas
sombreadas se debe realizar una entrevista para poder colocar esta
calificación manualmente.
5
http://www.nist.gov/cyberframework/
5.9. HOJA 9 -> MADUREZ MSPI:
CUMPLIMIENTO
NIVEL 4
CUMPLIMIENTO CUMPLIMIENTO NIVEL 4 CUMPLIMIENTO
CALIFICACIÓN CMMI NIVEL 1 CUMPLIMIENTO NIVEL 2 NIVEL 3 GESTIONADO NIVEL 5
NIVEL GESTIONADO NIVEL DEFINIDO GESTIONADO NIVEL 5
OBTENIDA INICIAL NIVEL INICIAL GESTIONADO DEFINIDO CUANTITATIVAMENT OPTIMIZADO
CUANTITATIVAMENTE OPTIMIZADO
E