Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento para
revisión por parte del
Código: Versión: 1 Estado:
Supervisor del
contrato
Categoría:
Información Adicional:
Ubicación:
Página 2 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
Página 3 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
1. AUDIENCIA ..................................................................................................................................................................... 7
2. INTRODUCCIÓN ............................................................................................................................................................ 8
3. GRUPOS OBJETIVO....................................................................................................................................................... 9
5. MECANISMOS DE SEGUIMIENTO............................................................................................................................ 29
6.1. MODELO Y SOPORTE CSIRT GRATIS PARA LAS ENTIDADES GRADUADAS EN RSI GRADO 1 ....................................................................... 31
6.2. CERTIFICACIONES DE CUMPLIMIENTO PARA ENTIDADES Y ESTABLECIMIENTOS ........................................................................................ 31
6.3. MANEJO ADECUADO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A TRAVÉS DEL CSIRT COLOMBIANO ........................................... 32
7. CRONOGRAMAS ........................................................................................................................................................... 33
Página 4 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 5 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE FIGURAS
Página 6 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
1. AUDIENCIA
La Dirección del Proyecto, que tomará las recomendaciones y estrategias para la implementación del
Modelo de Seguridad de la información para la Estrategia de Gobierno en Línea, de forma que se pueda
viabilizar e implementar este Modelo en las entidades públicas y privadas que intervienen y usan los
servicios de Gobierno en Línea
Página 7 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
2. INTRODUCCIÓN
Se define y establece el Plan de Acción detallando y especificando las actividades a realizar tanto por parte
de Gobierno en Línea, como por las entidades públicas, IPS y Telecentros para implementar los
mecanismos y el modelo de seguridad propuesto y convertirlo en un sistema de gestión SGSI que le de
continuidad (incluyendo su mantenimiento y actualización).
En este plan de acción, se detalla el cronograma recomendado con cada una de las fases y etapas
propuestas. Para cada una de las actividades planeadas, Digiware establecerá un estimado de tiempo,
ientificación y evaluación de costos, responsables y su dedicación, tanto para el personal de Gobierno en
Línea como de las entidades participantes.
Digiware realizará una visita trimestral durante el año siguiente al cierre del proyecto, a Gobierno en Línea
y emitirá el informe respectivo con el avance y recomendaciones del caso.
Página 8 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3. GRUPOS OBJETIVO
Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del
servicio:
El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las
entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su
Página 9 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de
alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que
pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las
entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos
mas controles adicionales, y las del grupo 3, controles avanzados, asi:
GRUPO 1 Controles
básicos
Cafés Internet, Telecentros y Compartel
GRUPO 2
GRUPO 3
Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel
de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar
para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de
la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver
mayor información relacionada con los registros RSI en el numeral 6.5.3. del documento Modelo de
Seguridad SANSI - SGSI.
Página 10 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo
SGSI, son adaptados del Modelo CMM de CobIT versión 4.01, que los clasifican en los siguientes
niveles:
Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser
tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o
controles particulares aplicados a casos individuales.
Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través
de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por
tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son
sofisticados pero se formalizan las prácticas existentes.
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm
Página 11 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias
según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir,
independiente del grupo al que pertenezcan las entidades, podrán ser graduadas2 con registros de
seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se
encuentren implementados sus controles, así:
2 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3.
Graduación”.
Página 12 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en
RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema
contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o
superior.
También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en
consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente.
Página 13 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema
SGSI.
Página 14 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con
relación a las normas internacionales en seguridad de la información para establecer si las
Políticas de Seguridad de la organización (incluyendo los contratos con empleados y
terceros), están siendo acatadas correctamente.
Los roles del área de Seguridad de la información están bien definidos y se lleva un
registro de las actividades que realiza cada rol.
Página 15 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 16 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
4. FASES DE IMPLEMENTACIÓN
Debido a que el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea se apoya
en los mecanismos normativos que garantizan su implementación y mejoramiento en las entidades
públicas de orden nacional y de orden territorial, y en las entidades privadas que proveen servicios de
Gobierno en Línea, las siguientes son las fases recomendadas para la implementación del Modelo:
Objetivo: El Gobierno Nacional, a través de los entes competentes, analizará los mecanismos
normativos entregados al proyecto del Modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea, y en consecuencia, sesionará y aprobará nuevos decretos o leyes que sustenten
dicho Modelo para dar viabilidad en su implementación y mejoramiento continuo.
Página 17 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivo: El Gobierno Nacional, a través de los nuevos mecanismos normativos aprobados, creará el
Sistema Administrativo Nacional de Seguridad de la Información –SANSI, que consistirá de los
siguientes órganos:
Para la creación del SANSI la Fase 2 deberá subdividirse en las siguientes dos etapas:
Página 18 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno Nacional y
de concertación entre éste, las entidades objetivo y la sociedad civil en temas relacionados con la
seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y confianza en
Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La Comisión apoyará al
Presidente de la República en la dirección del SANSI.
Tal como se observa en la ilustración 2, al interior del SANSI se creó La Comisión Nacional de Seguridad de
la Información como un espacio de encuentro de todos los actores involucrados en temas de Seguridad
Nacional para aprobar las políticas en materia de seguridad de información nacional, definir el curso de
acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento:
Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.3.
Página 19 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 20 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.4.
Objetivo: El Gobierno Nacional crea el CSIRT (Computer Security Incident Response Team (Equipo de
Respuesta a Incidentes de Seguridad Informática) que entra a apoyar el Modelo de Seguridad de la
Información definido para la Estrategia de Gobierno en Línea, facilitando la rápida y efectiva acción para el
manejo estratégico de incidentes de seguridad de la información, e interactuando con el Grupo Técnico de
Apoyo que tiene entre sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la
preparación de los documentos, políticas, objetivos de control y controles recomendados que son avalados
por la Comisión. Asesora a las entidades en su implementación, certifica su cumplimiento y proporciona
apoyo técnico y jurídico para la operatividad del modelo.
Página 21 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:
2.3.1. Fase 3, Etapa 1 – Alistamiento: Se definirán todos los procesos, procedimientos, roles y
responsabilidades necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se
llevaría a cabo el alistamiento tecnológico, logístico y estratégico para la definición de los alcances
visibles e indicadores de gestión del CSIRT.
2.3.4. Fase 3, Etapa 4 - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone
una madurez suficiente en procesos, procedimientos, capacitación, entrenamiento e información de
amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes
y apoyar las investigaciones informáticas adelantadas por las autoridades competentes.
Objetivo: Sensibilizar a las entidades tanto públicas y privadas como al ciudadano Colombiano en la
utilización y provecho del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea,
capacitar al funcionario público encargado de gestionar la seguridad de la información al interior de su
entidad y alinearla con los objetivos de seguridad para la Estrategia de Gobierno en Línea.
Página 22 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
En esta etapa, se realizará la divulgación y sensibilización masiva pero solo a las entidades objetivo
públicas y privadas que tienen que acogerse al Modelo de Seguridad, de forma que estas entidades
conozcan sus nuevas responsabilidades, cómo alinearse y armonizar sus avances con los sistemas de
calidad (como NTC-GP1000 o ISO9001), control interno (MECI) y seguridad (como ISO27001).
• Medios impresos: Afiches, folletos y elementos de recordación que contendrán información resumida
pero importante acerca del nuevo Modelo, en qué consiste, cuáles son sus objetivos principales y cuál
es la responsabilidad de las entidades, funcionarios y empleados dentro del modelo de seguridad.
También mostrará información sobre el nuevo CSIRT Colombiano y la herramienta de Auto-evaluación
y como estos pueden ayudar a la entidad tanto en la implementación y mejora del Modelo como a la
respuesta oportuna y adecuada de los incidentes informáticos.
• Medios interactivos: Fondos de escritorio para los computadores de las entidades, salva pantallas,
videos, con información relacionada a las principales políticas en seguridad de la información, sobre el
nuevo Modelo de seguridad, el CSIRT y la herramienta de auto-evaluación.
Campaña similar a la de la Etapa 1 pero en esta se involucra al ciudadano, el objetivo principal es lograr
que el ciudadano tenga mayor confianza y credibilidad en el estado Colombiano al momento de realizar sus
trámites y transacciones por medios electrónicos y cuando haga uso de los servicios de Gobierno en Línea.
Los medios de divulgación principalmente serán: televisión, radio, medios impresos y publicación en el sitio
www.gobiernoenlinea.gov.co. Se espera que el ciudadano haga uso seguro de Telecentros, Compartel y
cafés internet de forma más frecuente.
Página 23 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Nota: Para las anteriores actividades, la consultoría entrega como parte de los productos del
presente proyecto, el material y contenidos de los cursos de capacitación y entrenamiento
recomendados (para mayor información, ver documento “Capacitación y sensibilización para el
Modelo de Seguridad”). De igual forma, se entregan las recomendaciones principales en cuanto a
Higiene en Seguridad para que sean tomadas en cuenta como insumos a la hora de realizar la
sensibilización masiva a los ciudadanos (para mayor información, ver documento Modelo de
Seguridad SANSI – SGSI capítulo 5.7.).
Objetivo: La herramienta de autoevaluación se usa por parte de las entidades tanto públicas como
privadas para facilitar la implementación del Modelo de seguridad al interior de la entidad, medir su
cumplimiento y generar indicadores. La herramienta se basa fundamentalmente en mostrar al usuario
encargado de la entidad, las políticas, objetivos de control y controles recomendados para que sean
implementados. La entidad, con los resultados generados y usando la herramienta, puede ver su nivel
actual de cumplimiento del modelo y compararse con otras entidades del mismo sector.
Página 24 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
entidad para ingresar información relacionada con el Modelo de seguridad, determinar qué políticas
y controles tienen actualmente y cuáles les hace falta para cumplir con el Modelo, permitiendo
establecer fechas y responsables de implementación de los controles recomendados. La
herramienta le permitirá a la entidad identificar su estado actual de cumplimiento con el Modelo y
compararse con otras entidades similares.
Objetivo: Las entidades tanto públicas como privadas deben implementar el Modelo de seguridad
de la información para la Estrategia de Gobierno en Línea al interior de su organización de forma
que esté alineado y armonizado con sus propios sistemas actuales ya sea de calidad (NTC-GP1000),
de control interno (MECI) o de seguridad de la información (ISO27001).
Las entidades deben usar parte del trabajo realizado con otras regulaciones para cumplir con las
recomendaciones dadas por el Modelo de Seguridad de forma que la entidad no tenga reprocesos.
Esta fase de debe implementar en las entidades a través de las siguientes etapas:
Página 25 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivo: Se debe realizar seguimiento y auditoría a la implementación del Modelo de seguridad por parte
de las entidades objetivo, se realizan hallazgos y se generan recomendaciones de mejora para que sean
implementadas por las entidades.
Las entidades realizan auditorias de seguimiento internas para reportar hallazgos y plantear
acciones de mejora. Funciones principales de las auditorías internas:
Las Autoridades de Vigilancia y Control tanto para el sector público como para el sector privado,
(Superintendencias, la Fiscalía, la Contraloría, la Procuraduría, entre otras), ejercerán las labores de
vigilancia (auditoría) y validación de la implantación de las disposiciones, lineamientos, políticas y
controles relacionados con seguridad de la información plasmada en el Modelo.
o Realizar auditorías a las entidades para medir el nivel de cumplimiento del Modelo de
Seguridad de la información en la entidad auditada.
Página 26 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivo: El Sistema SANSI, a través del Grupo Técnico de Apoyo, debe tomar los resultados de
los indicadores de los modelos de seguridad implementados en las diferentes entidades objetivo y
preparar una presentación ante la Comisión Nacional de Seguridad de la Información para que
determine nuevos ajustes al Modelo de forma que sean introducidos en el nuevo ciclo, los ajustes
tienen que ver con lineamientos estratégicos y políticas de alto nivel que serán estudiadas y
aprobadas por la Comisión.
4.8.1. Fase 8, Etapa 1: Recolección de resultados e indicadores del Modelo y del SANSI
El Grupo Técnico de Apoyo, prepara un informe ejecutivo con los principales resultados obtenidos
del Modelo implementado en las entidades y del propio sistema SANSI y lo presenta ante la
Comisión.
La comisión estudia la información entregada por el Grupo Técnico de Apoyo, y aprueba ajustes a
realizar en el Modelo para el siguiente ciclo de vida (o versión) del Modelo de Seguridad.
Página 27 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 28 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5. MECANISMOS DE SEGUIMIENTO
Ilustración 6: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información
y sus Actores
Página 29 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Las entidades Públicas y Privadas que realizarán su auto-evaluación del nivel de cumplimiento del
modelo a través de la herramienta de auto-evaluación provista por el proyecto,
• El Grupo Técnico de Apoyo, que realizará auditorias de cumplimiento y mejoramiento a través del
CSIRT,
• Las autoridades de vigilancia y control como la Fiscalía, la Procuraduría, la Contraloría, así como
también las Superintendencias para auditar y revisar el cumplimiento del modelo de seguridad por
parte de las entidades y,
Finalmente, los mecanismos normativos aprobados por el Gobierno Nacional, se encargarán de designar las
entidades competentes y sus nuevas funciones para verificar la mejora continua del SANSI y del Modelo de
Seguridad, así como también las actividades realizadas y su cumplimiento por parte de los órganos que
constituyen el sistema SANSI.
Página 30 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Aunque el cumplimiento para todas las entidades que inicien en el Modelo de Seguridad de la
Información es obligatorio para el RSI Grado 1, el incentivo consiste en que el Sistema otorga a las
entidades que se acojan a él 2 años gratis de gracia para que la entidad implemente el Modelo, lo
mejore y avance al siguiente grado. La entidad en Grado 1, tendrá algunos de los productos y
servicios del CSIRT Colombiano sin ningún costo.
El SANSI a través del CSIRT podrá facultar a terceros para que actúen como empresas
certificadoras basándose en sus competencias, conocimiento, características técnicas, de
infraestructura y know how en torno a la seguridad de la información, para que certifiquen de
manera directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la
Información para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca
de certificación para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de
seguridad en la información a las empresas premiadas, esto actuará como un incentivo para
fomentar la participación de las entidades en el Modelo de Seguridad y la ventaja competitiva entre
entidades. A continuación, se detallan los tipos de certificación otorgadas por los terceros
facultados:
Página 31 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
gestión en seguridad de la información SGSI. Esta certificación se otorga teniendo en cuenta los
siguientes criterios:
La certificación provee un sello que puede ser usado tanto en la página web de la Entidad
como en las firmas de sus empleados.
Las entidades que se acojan al Modelo de Seguridad de la Información contarán con los servicios y
productos del CSIRT Colombiano las veces que lo necesiten, podrán recibir asistencia telefónica o en sitio
para dar respuesta adecuada a incidentes informáticos manteniendo la evidencia y la cadena de custodia.
Para mayor información, remitirse al documento CSIRT Colombiano, capítulo 4. “portafolio de servicios”.
Página 32 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
7. CRONOGRAMAS
Las estrategias planteadas, contiene cada una de las fases y sus diferentes actividades para llegar a la
puesta en marcha del Modelo de Seguridad en el país, la elección de una de estas estrategias se cree,
depende de la voluntad política y del impulso que se de a los mecanismos normativos proyectados
recomendados en el documento “Instrumentos Normativos Proyectados”.
Las estrategias planteadas para la implementación del Modelo de Seguridad, se resumen en:
Página 33 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 34 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes
fases en paralelo:
• Las Fases 6 y 7 se realizan en paralelo una vez el Modelo de Seguridad inicie su ciclo de vida en las
diferentes entidades objetivo.
• La Fase 4: Plan de Sensibilización, es paralela a toda la ejecución del plan, una vez los mecanismos
normativos sean aprobados.
Una vez estas fases iniciales en paralelo estén implementadas y la “Herramienta de Auto-evaluación” se
encuentre instalada en las diferentes entidades objetivo, se dará pasó a la implementación del Modelo de
Seguridad SGSI en cada una de las entidades (Fase 6).
La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará en paralelo a la Fase
6, donde las autoridades de vigilancia y control competentes, realizarán la verificación del modelo
implementado en las entidades objetivo y retroalimentarán a dichas entidades y al SANSI, los hallazgos
realizados en dichas verificaciones.
El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al
apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y
estadísticas de seguridad para que sean analizados por el SANSI.
Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en
seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos
resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el
siguiente ciclo.
Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios
para la mejora continua del Modelo de Seguridad.
Página 35 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 36 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes
fases.
Página 37 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
En esta estrategia, la primera actividad es la Fase 1: Aprobación de los mecanismos normativos y una vez
esta se de, la fase 2 “Creación del SANSI” iniciará.
Finalizada la creación del SANSI, se iniciará la implementación en paralelo de la Fase 3 “Creación del
CSIRT”, la Fase 4 “Plan de Sensibilización” y la Fase 5 “Herramienta de Auto-evaluación”.
Una vez se haya implementado la herramienta de auto-evaluación (Fase 5) en las diferentes entidades
objetivo, se dará pasó a la implementación del Modelo de Seguridad SGSI en cada una de las entidades
(Fase 6).
La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará una vez la Fase 6,
haya cumplido un ciclo de vida (tiempo aproximado: 12 meses), donde las autoridades de vigilancia y
control competentes, realizarán la verificación del modelo implementado en las entidades objetivo y
retroalimentarán a dichas entidades y al SANSI, los hallazgos realizados en dichas verificaciones.
El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al
apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y
estadísticas de seguridad para que sean analizados por el SANSI.
Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en
seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos
resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el
siguiente ciclo.
Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios
para la mejora continua del Modelo de Seguridad.
Página 38 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 39 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Página 40 de 41
ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Sistema SANSI tiene previsto realizar seguimiento sobre la evolución y mejora del Modelo de Seguridad
de la Información para la Estrategia de Gobierno en Línea en la medida en que sea implantado por las
entidades objetivo.
El Grupo Técnico de Apoyo tiene entre sus funciones, monitorear el Modelo y las entidades, analizar los
indicadores y métricas de las entidades, evaluar los impactos y de acuerdo con la información recopilada,
plantear ajustes al Modelo que estarán acorde con estos resultados e impactos para lograr un mejor y más
adecuado funcionamiento del Modelo en las entidades.
El Grupo Técnico de Apoyo recopilará la información para los análisis a realizar usando mecanismos como
los indicadores y métricas generadas por la herramienta de Auto-evaluación implementada en cada una de
las entidades y la generación de estadísticas de seguridad de la información recopiladas por el CSIRT
Colombiano, lo anterior, para plantear ajustes y mejoras al Modelo acordes con la evolución de la
seguridad de la información en las entidades Colombianas.
Página 41 de 41