INVENTARIO DE ACTIVOS DE INFORMACIÓN.

La identificación del inventario de activos de información, permite clasificar los

activos a los que se les debe brindar mayor protección, pues identifica claramente
sus características y rol al interior de un proceso.
Las actividades a realizar para obtener un inventario de activos son Definición,
Revisión, Actualización y Publicación, las cuales se reflejan documentalmente en la
Matriz de Inventario y Clasificación de Activos de Información.
*CRITICIDAD: Es un cálculo automático que determina el valor general
del activo, de acuerdo con la clasificación de la información
*LA ETAPA DE REVISIÓN: La actividad de revisión se refiere a la
verficación que se lleva a cabo para determinar si un activo de
información continúa o no siendo parte del inventario.

*CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN: La clasificación

de activos de información tiene como objetivo asegurar que la
información recibe los niveles de protección adecuados, ya que con base en su valor
y de acuerdo a otras características particulares requiere un
tipo de manejo especial.
----------------------------------------------------------------------------
PROPÓSITOS DE LA APLICACIÓN DEL MSPI.
1. Proporcionar servicios sigitales de confianza y calidad
2. Los procesos internos, seguros y eficientes a partir de
las capacidades de gestión de TI.
3. Toma de decisiones basadas en datos.
4. Empoderamiento ciudadano a través de la consolidación de un
estado abierto.
5. Impulso en el desarrollo de territorios y ciudades inteligentes.
6. Otros: planes de transformación digital para las entidades
del orden nacional.

*OBJETIVO DE LA APLICACIÓN DEL MSPI: el objetivo de aplicación de este modelo de

seguridad,
es entender porqué es importante aplicarlo en la entidad, la relevancia que tiene
la seguridad y
privacidad de la información en esa entidad, porqué es impotante proteger los datos
de los trabajadores,
de los ciudadanos, y de los proveedores si los hay. (min 52) video seguridad y
privacidad de la información.
24/03/2022
*FORMATO MANUAL DE POLÍTICAS DE SI
*INSTRUMENTO INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
*MANUAL DE POLÍTICAS DE SEGURIDAD: Es el
conjunto de normas de conducta que respaldan la gestión de la seguridad
de la gestión de la seguridad de la información en los procesos
de la organización y se convierten en la base para
la implementación, mantenimiento y mejora de los controles
30/03/2022
POLÍTICAS MÍNIMAS QUE SE DEBEN IMPLEMENTAR PARA EL MSPI.
*Políticas de dispositivos móviles
*Políticas de teletrabajo
*Políticas de seguridad de los recursos humanos
*Políticas de gestión de activos
*Políticas de control de acceso
*Políticas de seguridad física y del entorno
*Políticas de seguiridad en las operaciones
*Políticas de seguiridad de las comunicaciones.
*Políticas de controles criptográficos
*Políticas de adquisición, desarrollo y mantenimiento de sistemas
*Políticas de relaciones con los proveedores
*Políticas de gestión de incidentes de seguridad de la información.
*Políticas de cumplimiento.
--------------------------------------------------------------
*RIESGOS DE SEGURIDAD DIGITAL.
*RIESGO EN SEGURIDAD DE LA INFORMACIÓN: potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos,
causando
así daño a la organización
*RIESGO RESIDUAL: Riesgo restante después del tratamiento del riesgo
Riesgo--> Control--> Riesgo residual.
*Probabilidad: Frecuencia o factibilidad de ocurrencia del riesgo.
*Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado.
-------------------------------------------------------------------
31/03/2022
CONTINUACIÓN RIESGOS DE SEGURIDAD.
*Si no se cumplen de forma adecuada la recolección y tratamiento
de los diferentes riesgos que se encuentran presentes en la entidad,
la entidad se encontrará en una situación de vulnerabilidad, sin protección
para las amanezas y vulnerabilidades que se pueden presentar.
*RIESGO RESIDUAL: es aquel que queda después que se realizan los controles, a ese
riesgo es al que se le dará el respectivo tratamiento.
*Se recomienda que para el nivel de la clasificación del riesgo, se trabaje con
los niveles de bajo y rara vez.
*DIAGNÓSTICO MSPI.
Se establecen varias normativas y políticas que regulan los diversos procesos de
seguridad
y privacidad de la información. Por ejemplo:
*CONPES 3995: POLÍTICA NACIONAL DE CONFIANZA Y SEGURIDAD DIGITAL.
*Objetivos:
-Fortalecer las capacidades de seguridad digital (Sociedad incluyente y
competitiva)
-Aumentar la confianza digital y mejorar a nivel país.
-Adopción de modelos, estándares y marcos de trabajo en materia de seguridad
digital
*Actividades:
-Marco de gobernanza
-Fortalecer capacidades en seguridad a través de modelos, estándares.
*CÓDIGO PENAL.
-Capítulo 1: Atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos.
-Capitulo 2: De los atentados informáticos y otras infracciones
*DISPOSICIONES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES.(LEY 1581 de 2012)
-Autorización
-Encargado del tratamiento
-Responsable del tratamiento
-Titular
-Tratamiento.
*Ley de transparencia y del derecho de acceso a la información pública
nacional.
-Pública
-Pública reservada
-Pública clasificada.
*ANTES LA SEGURIDAD EN LAS ENTIDADES ERA:
-Herramientas aisladas
-Solo seguridad informática
-Pocos sabían de la seguridad en las entidades
*En el MSPI se implementa un sistema de gestión en la entidad.
*Ese sistema debe estar alineado a la entidad. Apoyando el cumplimiento de:
-Objetivos estratégicos
-La misión
-La visión
*Ayuda a generar valor público.
**HABILITADOR DE SEGURIDAD.
¿Qué busca?--> Habilitar la transformación digital y brindar
servicios al ciudadano
Mediante--> el fortalecimiento de la seguridad y la información.
Aplicando--> el enfoque de la gestión de seguridad y privacidad en la entidad.
04/04/2022
Se profundizó sobre la herramienta de diagnóstico MSPI, en los campos
de la escala de evaluación, en la plantilla del área administrativa, en la parte
técnica, así como
su desglose en los diversos componentes de seguridad digital de la entidad.
05/04/2022: se siguió profundizando en las diversas pestañas de la fase 1 de
diagnóstico, específicamente en la parte
de PHVA (Planear, Hacer, Verificar, Actuar) y en la parte de madurez

*Para poder conocer cada una de las vulnerabilidades que posee nuestra entidad
se deben revisar constantemente los periféricos presentes, las entradas, salidas,
las redes de telecomunicaciones donde constantemente se está enviando y recibiendo
información
importante para la entidad.
*Si no se hace una adecuado gestión de vulnerabilidades técnicas, se
va a empezar a tener una brecha y se va a empezar a perder la confianza digital de
los ciudadanos.
*SEGURIDAD EN LAS TELECOMUNICACIONES.
-Se recomienda que los usuarios que hacen uso de los servicios de la entidad,
tengan disponible una red wifi, para que hagan uso de ella y de esta manera
no tengan que conectarse a las redes propias de cada dependencia.
*Resulta importante proteger los datos de prueba, para preservar
la confidencialidad, integridad y disponibilidad de los mismos.
*En la medida que se digitalicen más los cosas, se van a presentar más incidentes
de seguridad, pero eso no significa que no se van a poder guardar en servidores
como la nube, porque para eso existen métodos de protección de los datos
que garantizan que la información esté respaldada y guardada de forma segura.
*Para establecer de forma adecuada el MSPI se deben seguir y acatar de formar
adecuada las
diversas fases planteadas por MinTic. La recomendación es ampliar el alcance
para toda la entidad, no solo para el área de tecnlogía.
*Se debe planificar un tiempo estipulado para cada actividad a realizar
06/04/2022
Se emepezó el diligenciamiento del inventario de información, a través de un
formato de Excel, de igual manera
se profundizaron las bases en una plataforma llamada Máxima velocidad, donde la
entidad paraticipará en dos retos de seguridad
digital.
---------------------------------------------------------------
07/04/2022
Se realizó la introducción de la política institucional de seguridad de la
información,
los marcos y normatividad propia para la seguridad digital, conitnuidad con el
diligenciamiento del formato
de diagnostico para el MSPI
*POLÍTICA DE SEGURIDAD DIGITAL GENERAL.
Declaración de alto nivel que describe la posición de la entidad
sobre un tema específico.
*OBJETIVOS: fin al que se desea llegar, es lo que impulsa a la entidad
a cumplir sus objetivos.
*ALCANCE/APLICABILIDAD: el alcance de la política puede incluir la totalidad
de la organización, funciones específicas e identificadas de la misma.

FASE DE PLANIFICACIÓN: se identifican los aspectos claves que definan y orienten

las actividades para los propósitos de seguridad y privacidad de la información,
entre ellos, la justificación, el alcance, la política y los objetivos del Modelo
de Seguridad y Privacidad de la Información
-------------------------------------------------------------------
08/04/2022
Se continuó con el diligenciamiento de la herramienta de clasificación de activos
de información,
al igual que se realizó un taller para diligenciar de forma correcta la política
institucional
de seguridad y privacidad de la información que corresponde a la fase número dos de
planificación del
Modelo de Seguridad y Privacidad de la Información.
----------------------------------------------------------------
18/04/2022
Se realizó una revisión a lo planteado en la política general del modelo
de seguridad y privacidad de la información, donde se agregaron nuevos items y
conceptos
que se condideran importantes para plantear la política de la mejor forma posible,
al igual que una inducción de forma genérica para aplicar de forma correcta el
Manuel de políticas de seguridad
y privacidad de la información.

Son 5 pilares en los que el MinTic brinda apoyo, los cuales son:
diagnóstico de Seguridad y privacidad de la información, la política
general de seguridad y privacidad, el manual de políticas, gestión de riesgos,
y la identificación de los activos de información.
*POLÍTICA GENERAL DEL MSPI: se trata de una declaración "muy arriba" del compromiso
de la alta gerencia para la implementación de este modelo.
*MANUAL DE POLÍTICAS DE SEGURIDAD: Es el conjunto de normas
de conducta que respaldan la gestión de la seguridad de la información
en los procesos de la organización y se convierten en la base para
la implementación, mantenimiento y mejora de los controles
Se plasman las directrices para implementar el MSPI.
-----------------------------------------------------------
19/04/2022
Charla sobre gobernanza en la calidad de los datos y su importancia
en la aplicabilidad de la seguridad de una entidad. Al igual que
el desglose de cada una de las políticas del manual de políticas de seguridad
y privacidad de la información.

---------------------------------------------------------------------
1. POLÍTICA DE DISPOSITIVOS MÓVILES.
Se deben tener en cuenta:
*La protección que se le darán a esos dispositivos, como por ejemplo:
manejar contraseña de acceso robustas, protegerlos fuera de las instalaciones,
limitar el acceso a redes inalámbricas no seguras (redes públicas)

2. POLÍTICA DE TELETRABAJO.
Se deben indicar las directrices y controles tendientes a velar por la
integridad, disponibilidad y confidencialidad de la información.
3. POLÍTICA DE SEGURIDAD DE LOS RECURSOS HUMANOS,
Establecer directrices y controles antes, durantes y despúes de la contratación
del personal, por ejemplo: establecer antes un acuerdo de confidencialidad
la verificación de los antecedentes interdisciplinarios, tambien mencionar
que pasa si hay un incumplmiento y violación.
4. POLÍTICAS DE GESTIÓN DE ACTIVOS.
Se debe definir y asignar el responsable de los activos de información
definir los custodios de los activos de información, darle buen uso al activo.
5. POLÍTICA DE CONTROL DE ACCESO.
Se definen los lineamientos para tener un acceso controlado a la información,
aplicaciones tecnológicas y demás recursos importantes dentro de la
entidad, establecer un procedimiento de creación de usuario y control
de acceso. Se debe pedir permiso al responsable de cada dependencia de la entidad
cuando se vaya a realizar una acción determinada.
6. POLÍTICAS DE SEGURIDAD FÍSICA Y DEL ENTORNO.
Todas las oficinas administrativas, puestos de control, etc deben estar
protegidas, el datacenter, áreas de procesamiento de información.
que se va a colocar un acceso biométrico.
7. POLÍTICAS DE CONTROLES CRIPTOGRÁFICOS.
Se deben tener cifrados los dispositivos de almacenamiento como
lo es el disco duro, memorias, etc, se debe garantizar el cifrado, la conexión
punto a punto, de igual forma el tema de gestón de llaves.
8. POLÍTICAS DE SEGURIDAD EN LAS OPERACIONES.
La entidad documenta todos los procesos y procedimientos para
reducir los riegos asociados a la ausencia de personal.
9. POLÍTICAS DE SEGURIDAD EN LAS COMUNICACIONES.
Se debe asegurar el cumplimento de las no divulgaciones de información relevante
definir buenas prácticas de seguridad, proteger los framework para
el desarrollo seguro del software, normalmente se realizan en 5 ambientes.
10. POLÍTICAS DE RELACIONES CON LOS PROVEEDORES.
Se realizan revisiones periódicas de auditorías y todos esos procedimientos
deben quedar establecidos.
11. POLÍTICAS DE GESTIÓN DE INCIDENTES DE SEGURIDAD.
Se establece el procedimiento de incidentes, que deben hacer los usuarios
si se les presenta un trámite de seguridad.
12. TOMA DE CONCIENCIA.
Definir que hago en la entidad, brindar distintos lineamientos
13. COMUNICACIÓN.
Comunicar todo lo que se realice, políticas, manuales, etc.
*Todas estas políticas establecidas se deben cumplir a cabalidad en la
entidad para preservar muchos recursos que hacen parte de la misma.
----------------------------------------------------------------------------
20/04/2022
Se realizó la introducción de la gestión de riesgos para evitar que
estos se lleven a cabo en cada uno de los activos de información mencionados,
comienzo
del diligenciamiento del instrumento de identificación de riesgos, asignación de
retos TIC por parte del supervisor de práctica

*GESTIÓN DE RIESGOS.
Se debe colocar el responsable del activo de información.
-----------------------------------------------------------------------------------
------------
21/04/2022
Soporte con documento de Hojas de cálculo y Word para los funcionarios del JEP,
continuación
con el diligenciamiento del reto TIC gestión de riesgos y matriz de riesgos
-------------------------------------------------------------
22/04/2022
Diligenciamiento del item análisis del riesgo inherente y su diversas variables
como lo son: Vulnerabilidades, probabilidad, impacto, zona de riesgo
tambien el item de identificación de controles (opciones de manejo del riesgo,
descripción
del control, responsable de ejecutar el control).
-----------------------------------------------------------------------------------
--------
25/04/2022
Asistencia de instalación y configuración de Office en las dependencias de
secretaría de hacienda
y para los entendes de la Contraloría municipal en la dependencia de Control
interno, en la matriz
de riesgo, se trabajó el item de la identificación de controles (descripción del
control, responsable de eje
cutar el control, etc)
5

M
compartir o tranferir el riesgo