GEL IP EstrategiasImplementacionModelo

ENTREGABLE 14: ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE

GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008

ESTRATEGIAS DE IMPLEMENTACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA

Título:
INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Fecha elaboración
17 – Diciembre – 2008
aaaa-mm-dd:
CORRESPONDE AL ENTREGABLE 14: ESTRATEGIAS DE IMPLEMENTACIÓN -
Sumario: MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE
GOBIERNO EN LÍNEA
Fases de implementación, costos, recursos, cronogramas, incentivos,
Palabras Claves:
mecanismos de seguimiento
Formato: Lenguaje: Castellano
Dependencia: Investigación y Planeación
Documento para
revisión por parte del
Código: Versión: 1 Estado:
Supervisor del
contrato
Categoría:
Autor (es): Equipo consultoría Digiware
Revisó: Juan Carlos Alarcon Firmas:
Aprobó: Ing. Hugo Sin Triana
Información Adicional:
Ubicación:
Página 2 de 41
CONTROL DE CAMBIOS
VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

0 17/12/2008 Ing. Jairo Pantoja M. Elaboración del documento
1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware
Página 3 de 41
TABLA DE CONTENIDO
1. AUDIENCIA ..................................................................................................................................................................... 7
2. INTRODUCCIÓN ............................................................................................................................................................ 8
3. GRUPOS OBJETIVO....................................................................................................................................................... 9
4. FASES DE IMPLEMENTACIÓN .................................................................................................................................. 17
4.1. FASE 1: APROBACIÓN DE MECANISMOS NORMATIVOS ..................................................................................................................... 17

4.2. FASE 2: CREACIÓN DEL SANSI –SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ............................................ 18
4.2.1. FASE 2, ETAPA 1: CREACIÓN DE LA COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 19
4.2.2. FASE 2, ETAPA 2: CREACIÓN DEL GRUPO TÉCNICO DE APOYO.......................................................................................................... 20
4.3. FASE 3: CREACIÓN DEL CSIRT ...................................................................................................................................................... 21
4.4. FASE 4: PLAN DE SENSIBILIZACIÓN ................................................................................................................................................ 22
4.4.1. FASE 4, ETAPA 1: CAMPAÑA DE SENSIBILIZACIÓN A LAS ENTIDADES PÚBLICAS Y PRIVADAS ..................................................................... 23
4.4.2. FASE 4, ETAPA 2: PLAN DE CAPACITACIÓN PARA LAS ENTIDADES PÚBLICAS ......................................................................................... 23
4.4.3. FASE 4, ETAPA 3: CAMPAÑA DE SENSIBILIZACIÓN MASIVA............................................................................................................... 23
4.5. FASE 5: IMPLEMENTACIÓN DE HERRAMIENTA DE AUTO-EVALUACIÓN .................................................................................................. 24
4.5.1. INSTALACIÓN EN LA RED DE DATOS INTRANET GUBERNAMENTAL –GOBIERNO EN LÍNEA ........................................................................ 24
4.5.2. INSTALACIÓN EN LAS ENTIDADES OBJETIVO ................................................................................................................................... 24
4.6. FASE 6: IMPLEMENTACIÓN DEL MODELO EN ENTIDADES OBJETIVO ...................................................................................................... 25
4.7. FASE 7: SEGUIMIENTO AL MODELO IMPLEMENTADO EN LAS ENTIDADES .............................................................................................. 26
4.7.1. AUDITORÍAS INTERNAS ............................................................................................................................................................. 26
4.7.2. AUDITORÍAS EXTERNAS ............................................................................................................................................................ 26
4.8. FASE 8: PRESENTACIÓN DE RESULTADOS Y MEJORAS PROPUESTAS PARA EL SANSI ................................................................................ 27
4.8.1. FASE 8, ETAPA 1: RECOLECCIÓN DE RESULTADOS E INDICADORES DEL MODELO Y DEL SANSI................................................................. 27
4.8.2. FASE 8, ETAPA 2: PRESENTACIÓN EJECUTIVA ANTE LA COMISIÓN...................................................................................................... 27
4.8.3. FASE 8, ETAPA 3: ESTUDIO Y APROBACIÓN DE LOS AJUSTES PROPUESTOS AL MODELO .......................................................................... 27
5. MECANISMOS DE SEGUIMIENTO............................................................................................................................ 29
6. INCENTIVOS OTORGADOS POR EL SISTEMA SANSI......................................................................................... 31
6.1. MODELO Y SOPORTE CSIRT GRATIS PARA LAS ENTIDADES GRADUADAS EN RSI GRADO 1 ....................................................................... 31
6.2. CERTIFICACIONES DE CUMPLIMIENTO PARA ENTIDADES Y ESTABLECIMIENTOS ........................................................................................ 31
6.3. MANEJO ADECUADO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A TRAVÉS DEL CSIRT COLOMBIANO ........................................... 32
7. CRONOGRAMAS ........................................................................................................................................................... 33
7.1. ESTRATEGIA 1: PARALELA ............................................................................................................................................................. 34

7.1.1. DESCRIPCIÓN DE LA ESTRATEGIA 1 .............................................................................................................................................. 34
Página 4 de 41
7.1.2. CRONOGRAMA DE LA ESTRATEGIA 1............................................................................................................................................ 34

CRONOGRAMA ESTRATEGIA PARALELA DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN ...................................................... 34
7.2. ESTRATEGIA 2: SECUENCIAL .......................................................................................................................................................... 34
7.2.1. DESCRIPCIÓN DE LA ESTRATEGIA 2 .............................................................................................................................................. 34
7.2.2. CRONOGRAMA DE LA ESTRATEGIA 2............................................................................................................................................ 34
CRONOGRAMA ESTRATEGIA SECUENCIAL DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN ................................................... 34
8. MECANISMOS E INSTRUMENTOS DE ANÁLISIS DE IMPACTO ....................................................................... 34
Página 5 de 41
LISTA DE FIGURAS
ILUSTRACIÓN 1: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................... 12

ILUSTRACIÓN 1: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI ................................................... 18
ILUSTRACIÓN 2: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ......................................................................................... 19
ILUSTRACIÓN 3: ESTRUCTURA GRUPO TÉCNICO DE APOYO ......................................................................................................................... 20
ILUSTRACIÓN 4: CSIRT COMO ÓRGANO FUNDAMENTAL DEL MODELO DE SEGURIDAD ........................................................................................ 21
ILUSTRACIÓN 5: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES ................. 29
ILUSTRACIÓN 6: ESTRATEGIA PARALELA DE IMPLEMENTACIÓN DEL MODELO ...................................................................................................... 34
ILUSTRACIÓN 8: ESTRATEGIA SECUENCIAL DE IMPLEMENTACIÓN DEL MODELO ................................................................................................... 34
Página 6 de 41
1. AUDIENCIA
La Dirección del Proyecto, que tomará las recomendaciones y estrategias para la implementación del
Modelo de Seguridad de la información para la Estrategia de Gobierno en Línea, de forma que se pueda
viabilizar e implementar este Modelo en las entidades públicas y privadas que intervienen y usan los
servicios de Gobierno en Línea
Página 7 de 41
2. INTRODUCCIÓN
Se define y establece el Plan de Acción detallando y especificando las actividades a realizar tanto por parte
de Gobierno en Línea, como por las entidades públicas, IPS y Telecentros para implementar los
mecanismos y el modelo de seguridad propuesto y convertirlo en un sistema de gestión SGSI que le de
continuidad (incluyendo su mantenimiento y actualización).
En este plan de acción, se detalla el cronograma recomendado con cada una de las fases y etapas
propuestas. Para cada una de las actividades planeadas, Digiware establecerá un estimado de tiempo,
ientificación y evaluación de costos, responsables y su dedicación, tanto para el personal de Gobierno en
Línea como de las entidades participantes.
2.1. Acompañamiento – Implementación del Plan
Digiware realizará una visita trimestral durante el año siguiente al cierre del proyecto, a Gobierno en Línea
y emitirá el informe respectivo con el avance y recomendaciones del caso.
Página 8 de 41
3. GRUPOS OBJETIVO
Las estrategias de implementación del Modelo de Seguridad de la Información para la Estrategia de

Gobierno en Línea, dependen fundamentalmente de los grupos objetivo que deben implementar el modelo.
El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en

tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su
información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que
están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una
versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la
entidad.
Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del
servicio:
GRUPO 1 Cafés Internet, Telecentros y Compartel
GRUPO 2 Entidades públicas de orden nacional y

territorial
GRUPO 3 Entidades privadas que pertenezcan a la

cadena de prestación de servicios de
Gobierno en Línea (como los ISP).
Tabla 1: Clasificación de grupos según la naturaleza de la entidad.
El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las
entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su
Página 9 de 41
implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de
alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que
pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las
entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos
mas controles adicionales, y las del grupo 3, controles avanzados, asi:
GRUPO 1 Controles
básicos
Cafés Internet, Telecentros y Compartel
GRUPO 2
Entidades públicas de orden nacional y territorial Controles

medios
GRUPO 3
Entidades privadas que pertenezcan a la cadena de prestación de servicios de Controles

Gobierno en Línea (como los ISP). avanzados
Tabla 2: Clasificación de controles según el grupo al que pertenezca la entidad.
3.1. Niveles de madurez de los controles de seguridad recomendados
Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel
de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar
para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de
la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver
mayor información relacionada con los registros RSI en el numeral 6.5.3. del documento Modelo de
Seguridad SANSI - SGSI.
Página 10 de 41
Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo
SGSI, son adaptados del Modelo CMM de CobIT versión 4.01, que los clasifican en los siguientes
niveles:
Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad

de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende
la necesidad de su tratamiento.
Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser
tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o
controles particulares aplicados a casos individuales.
Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información

de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la
seguridad de la información recae en el sentido común de los empleados. Hay una excesiva
confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la
información son comunes.
Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través
de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por
tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son
sofisticados pero se formalizan las prácticas existentes.
Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los

procedimientos en seguridad de la información. Los procedimientos están bajo constante
mejoramiento y proveen buenas practicas. Normalmente requiere de herramientas
automatizadas para la medición.
Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se

refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los
modelos de madurez de otras empresas. Normalmente se cuenta con herramientas
automatizadas que apoyan a la gestión de la seguridad de la información.
La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados

para el Modelo de Seguridad:
1 Ver mayor información en www.isaca.org
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm
Página 11 de 41
Ilustración 1: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.
3.2. Registro de Seguridad de la Información RSI - Graduación
El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias
según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir,
independiente del grupo al que pertenezcan las entidades, podrán ser graduadas2 con registros de
seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se
encuentren implementados sus controles, así:
• Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1,
• Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2,
• Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3.
2 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3.
Graduación”.
Página 12 de 41
La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en
RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema
contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o
superior.
También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en
consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente.
En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el

grado RSI de la entidad:
ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1:
Se identifican en forma general los activos de la organización.
Se observan eventos que atentan contra la seguridad de la información, los activos

y la continuidad del negocio, pero no se le da la debida importancia.
Los empleados no tienen conciencia de la seguridad de la información (prestan sus

claves, dejan sus equipos sin cerrar sesión, etc.).
Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de

información.
Se genera un inventario del hardware y software que hay en la organización a partir de

la identificación de los activos.
Se identifican riesgos asociados con la información, los equipos de cómputo y las

aplicaciones, así mismo, se identifican vulnerabilidades por medio de trabajos no periódicos
en seguridad informática (pruebas de vulnerabilidad).
Se empiezan a elaborar informes de los incidentes de seguridad ocurridos.
Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej.

creación de contraseñas seguras, administración segura de usuarios, clasificación de la
información, desarrollo seguro de software, etc.) pero aún no se han formalizado en los
sistemas de gestión documental o de calidad de la organización.
Página 13 de 41
Se empieza a observar en los empleados una conciencia de la seguridad de la

información, pero aún no demuestran un compromiso con ella.
Se diseña e implementa el sistema de gestión de seguridad de la información SGSI.
Se definen las Políticas de Seguridad de la Información de la organización

basadas en la Norma ISO27001 debido a que se incrementa el interés por
buscar las causas que originaron la ocurrencia de los eventos que
atentaron contra la información, los activos y la continuidad del negocio.
Se divulgan las Políticas de Seguridad de la Información en toda la organización.
Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema
SGSI.
Se realiza la clasificación de los activos y de la información de la entidad los equipos y

aplicaciones, para así poder dar protección adecuada a cada uno de ellos.
Se cuentan con Planes de continuidad del negocio enfocados únicamente a la

infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante,
se dejan de lado los procesos críticos de la organización.
Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de

cumplimiento.
Se incluyen dentro de los procesos de negocio de la organización, las normas de

seguridad de la información (por ej. mejores prácticas en centros de cómputo).
Se empieza a observar un compromiso de los empleados con la seguridad de la

información.
Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su

ocurrencia en el futuro.
Se cuenta con procedimientos que enseñan a los empleados a manejar la

información y los equipos de cómputo en forma segura.
Se monitorea la red de la organización, como una medida preventiva contra

intrusiones, o infecciones de virus.
Página 14 de 41
Se realizan periódicamente auditorias internas al sistema SGSI.
Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas de

Seguridad de la Información que sean de interés para la organización.
Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con
relación a las normas internacionales en seguridad de la información para establecer si las
Políticas de Seguridad de la organización (incluyendo los contratos con empleados y
terceros), están siendo acatadas correctamente.
Los roles del área de Seguridad de la información están bien definidos y se lleva un
registro de las actividades que realiza cada rol.
Se cuenta con Planes de continuidad del negocio (BCP) que contemplan

solo los procesos críticos del negocio (los que garantizan la continuidad del
mismo), no obstante se dejan otros procesos de la organización por fuera.
Se implementan los controles de seguridad técnicos y no técnicos recomendados en los

planes de acción.
Se monitorean periódicamente los activos de la organización.
Se realizan de manera sistemática pruebas a los controles, para determinar si están

funcionando correctamente.
Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los

planes BCP – DRP y de respuesta a incidentes.
Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los

requisitos de seguridad definidos en las políticas y controles de seguridad de la
organización.
Se hacen pruebas de intrusión periódicas a los equipos críticos de la organización,

para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por
usuarios no autorizados.
El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evidencia la

implementación de planes de mitigación del riesgo con la puesta en producción de controles
recomendados y realiza auditorias periódicas de cumplimiento.
Los empleados apoyan y contribuyen al mejoramiento de la seguridad de la

información en la organización.
La organización aprende continuamente sobre los incidentes de seguridad presentados.
Página 15 de 41
Se analizan las recomendaciones arrojadas por las auditorias y consultorías de seguridad

de la información para que se puedan definir acciones preventivas más efectivas.
Se incluyen todas las áreas y procesos de la organización (críticos y no

críticos), en los planes de continuidad y de respuesta a incidentes.
Página 16 de 41
4. FASES DE IMPLEMENTACIÓN
Debido a que el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea se apoya
en los mecanismos normativos que garantizan su implementación y mejoramiento en las entidades
públicas de orden nacional y de orden territorial, y en las entidades privadas que proveen servicios de
Gobierno en Línea, las siguientes son las fases recomendadas para la implementación del Modelo:
• Fase 1: Aprobación de mecanismos normativos
• Fase 2: Creación del SANSI –Sistema Administrativo Nacional de Seguridad de la Información.
• Fase 3: Creación del CSIRT
• Fase 4: Plan de sensibilización
• Fase 5: Implementación de herramienta de Auto-evaluación
• Fase 6: Implementación del Modelo en entidades objetivo
• Fase 7: Seguimiento al Modelo implementado en las entidades
• Fase 8: Presentación de resultados y mejoras propuestas para el SANSI
4.1. Fase 1: Aprobación de Mecanismos Normativos
Objetivo: El Gobierno Nacional, a través de los entes competentes, analizará los mecanismos
normativos entregados al proyecto del Modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea, y en consecuencia, sesionará y aprobará nuevos decretos o leyes que sustenten
dicho Modelo para dar viabilidad en su implementación y mejoramiento continuo.
• Tiempo estimado de duración de la Fase 1: dependiendo del mecanismo normativo aprobado,

si es una ley, puede tomar hasta 18 meses, si es un decreto, puede ser aprobado en un día. Todo
depende del presupuesto y al impulso de los mecanismos normativos.
• Identificación y evaluación de costos: Voluntad política, aprobación del presupuesto.
Página 17 de 41
4.2. Fase 2: Creación del SANSI –Sistema Administrativo Nacional de

Seguridad de la Información
Objetivo: El Gobierno Nacional, a través de los nuevos mecanismos normativos aprobados, creará el
Sistema Administrativo Nacional de Seguridad de la Información –SANSI, que consistirá de los
siguientes órganos:
Ilustración 2: Sistema Administrativo Nacional de Seguridad de la Información -SANSI
Para la creación del SANSI la Fase 2 deberá subdividirse en las siguientes dos etapas:
Página 18 de 41
4.2.1. Fase 2, Etapa 1: Creación de la Comisión Nacional de Seguridad de la

Información
La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno Nacional y
de concertación entre éste, las entidades objetivo y la sociedad civil en temas relacionados con la
seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y confianza en
Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La Comisión apoyará al
Presidente de la República en la dirección del SANSI.
Tal como se observa en la ilustración 2, al interior del SANSI se creó La Comisión Nacional de Seguridad de
la Información como un espacio de encuentro de todos los actores involucrados en temas de Seguridad
Nacional para aprobar las políticas en materia de seguridad de información nacional, definir el curso de
acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento:
Ilustración 3: Comisión Nacional de Seguridad de la Información
Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.3.
Página 19 de 41
4.2.2. Fase 2, Etapa 2: Creación del Grupo Técnico de Apoyo
La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo,

cuya función principal es definir el Modelo de Seguridad de la información a nivel táctico y técnico
especificando las políticas, objetivos de control y controles propuestos para que sean implementados por
cada una de las entidades objetivo. El Grupo Técnico de Apoyo, somete a consideración de la Comisión, la
aprobación del Modelo de Seguridad de la Información y sus ajustes posteriores. De esta forma, el Modelo
de Seguridad de la Información para la Estrategia de Gobierno en Línea, servirá a las entidades que no han
implementado aún un Sistema de Gestión en Seguridad de la información –SGSI basado en las mejores
prácticas y estándares internacionales; y como referente para aquellas entidades que ya cuentan con un
SGSI implementado y que necesitará ser ajustado para apoyar los servicios de la Estrategia de Gobierno en
Línea.
Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos, estándares y

recomendaciones que son avalados por la Comisión. Asesora a las Entidades en su implementación,
certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del modelo. Además
coordina las actividades de capacitación, concienciación, gestión y control realizadas por el grupo CSIRT
(ver entregable 12 - 13: Diseño de un CSIRT Colombiano):
Ilustración 4: Estructura Grupo Técnico de Apoyo
Página 20 de 41
Para mayor información, ver documento Modelo de Seguridad SANSI -SGSI, en el capítulo 5.4.
• Tiempo estimado de duración de la Fase 2: Depende del presupuesto y al impulso otorgado a

los mecanismos normativos.
• Identificación y evaluación de costos: Voluntad política, aprobación del presupuesto.
4.3. Fase 3: Creación del CSIRT
Objetivo: El Gobierno Nacional crea el CSIRT (Computer Security Incident Response Team (Equipo de
Respuesta a Incidentes de Seguridad Informática) que entra a apoyar el Modelo de Seguridad de la
Información definido para la Estrategia de Gobierno en Línea, facilitando la rápida y efectiva acción para el
manejo estratégico de incidentes de seguridad de la información, e interactuando con el Grupo Técnico de
Apoyo que tiene entre sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la
preparación de los documentos, políticas, objetivos de control y controles recomendados que son avalados
por la Comisión. Asesora a las entidades en su implementación, certifica su cumplimiento y proporciona
apoyo técnico y jurídico para la operatividad del modelo.
Ilustración 5: CSIRT como Órgano fundamental del Modelo de Seguridad
Página 21 de 41
Para mayor información, remitirse al documento Diseño de un CSIRT Colombiano.
La constitución del CSIRT en Colombia supone el cumplimiento de ciertas etapas, considerando que iniciar
una nueva etapa supone la estabilización y permanente sostenibilidad y continuidad de las etapas
anteriores. Para la conformación del proyecto CSIRT en Colombia se consideran las siguientes etapas:
2.3.1. Fase 3, Etapa 1 – Alistamiento: Se definirán todos los procesos, procedimientos, roles y
responsabilidades necesarias para poner en operación el CSIRT- Colombia. De la misma manera, se
llevaría a cabo el alistamiento tecnológico, logístico y estratégico para la definición de los alcances
visibles e indicadores de gestión del CSIRT.
2.3.2. Fase 3, Etapa 2 – Capacitación y Entrenamiento: Involucra la capacitación y entrenamiento

necesarios para iniciar el proceso. Una vez iniciado, esta capacitación podría gestionarse a través de
la cooperación nacional e internacional, tanto a nivel bilateral como multilateral. En todo caso, la
capacitación o entrenamiento deberá ser permanente a lo largo de la existencia del CSIRT.
2.3.3. Fase 3, Etapa 3 – Generación de Alertas e Investigación: Se busca un servicio de alertas

tempranas e investigación y desarrollo en laboratorio, para comenzar a prestar un servicio
informativo a las entidades de tanto públicas como privadas.
2.3.4. Fase 3, Etapa 4 - Respuesta a Incidentes y Apoyo en Investigación del Delito: Supone
una madurez suficiente en procesos, procedimientos, capacitación, entrenamiento e información de
amenazas y riesgos como para poder conformar operativamente el grupo de respuesta a incidentes
y apoyar las investigaciones informáticas adelantadas por las autoridades competentes.
2.3.5. Fase 3, Etapa 5 – Operación, Revisión y Mejoramiento Continuo: Involucra la revisión

constante de los procesos, procedimientos, indicadores de gestión y genera la retroalimentación
interna para el mejoramiento continuo.
• Tiempo estimado de duración de la Fase 2: Aproximadamente 6 meses.
• Identificación y evaluación de costos: De acuerdo al impulso de los mecanismos normativos

aprobados, aproximadamente 370 millones de pesos COP de inversión y aproximadamente 2 mil
800 millones de pesos COP de funcionamiento 1 año. Ver mayor información en documento CSIRT,
capítulo 10.
4.4. Fase 4: Plan de Sensibilización
Objetivo: Sensibilizar a las entidades tanto públicas y privadas como al ciudadano Colombiano en la
utilización y provecho del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea,
capacitar al funcionario público encargado de gestionar la seguridad de la información al interior de su
entidad y alinearla con los objetivos de seguridad para la Estrategia de Gobierno en Línea.
Página 22 de 41
Para la realización de la Fase 4 de sensibilización, se sugiere la ejecución de las siguientes etapas:
4.4.1. Fase 4, Etapa 1: Campaña de Sensibilización a las entidades públicas y privadas:
En esta etapa, se realizará la divulgación y sensibilización masiva pero solo a las entidades objetivo
públicas y privadas que tienen que acogerse al Modelo de Seguridad, de forma que estas entidades
conozcan sus nuevas responsabilidades, cómo alinearse y armonizar sus avances con los sistemas de
calidad (como NTC-GP1000 o ISO9001), control interno (MECI) y seguridad (como ISO27001).
El plan de divulgación y sensibilización hará uso de los siguientes medios:
• Medios impresos: Afiches, folletos y elementos de recordación que contendrán información resumida
pero importante acerca del nuevo Modelo, en qué consiste, cuáles son sus objetivos principales y cuál
es la responsabilidad de las entidades, funcionarios y empleados dentro del modelo de seguridad.
También mostrará información sobre el nuevo CSIRT Colombiano y la herramienta de Auto-evaluación
y como estos pueden ayudar a la entidad tanto en la implementación y mejora del Modelo como a la
respuesta oportuna y adecuada de los incidentes informáticos.
• Medios interactivos: Fondos de escritorio para los computadores de las entidades, salva pantallas,
videos, con información relacionada a las principales políticas en seguridad de la información, sobre el
nuevo Modelo de seguridad, el CSIRT y la herramienta de auto-evaluación.
• A través de Internet: Presentación de información completa y detallada en la Intranet

Gubernamental de Gobierno en Línea, documentos de trabajo, diagramación de procesos y servicios
relacionados con el Modelo de seguridad, el CSIRT y la herramienta de auto-evaluación.
4.4.2. Fase 4, Etapa 2: Plan de capacitación para las entidades públicas:
Cursos de capacitación en seguridad de la información, en el modelo de seguridad y en el uso de la

herramienta de auto-evaluación para los funcionarios públicos responsables por la implementación y
gestión del Modelo de seguridad de la información al interior de sus entidades. Información adicional sobre
cómo usar los servicios del CSIRT Colombiano. Los contenidos de los cursos podrán descargarse de la
Internet Gubernamental y estarán accesibles online. El detalle de los cursos en seguridad de la
información, se encuentra en el documento Capacitación. Se espera que los cursos de capacitación sean
dictados periódicamente a través del año.
4.4.3. Fase 4, Etapa 3: Campaña de Sensibilización masiva:
Campaña similar a la de la Etapa 1 pero en esta se involucra al ciudadano, el objetivo principal es lograr
que el ciudadano tenga mayor confianza y credibilidad en el estado Colombiano al momento de realizar sus
trámites y transacciones por medios electrónicos y cuando haga uso de los servicios de Gobierno en Línea.
Los medios de divulgación principalmente serán: televisión, radio, medios impresos y publicación en el sitio
www.gobiernoenlinea.gov.co. Se espera que el ciudadano haga uso seguro de Telecentros, Compartel y
cafés internet de forma más frecuente.
Página 23 de 41
• Tiempo estimado de duración de la Fase 4:
Etapa 1: Sensibilización entidades: 6 meses.
Etapa 2: Capacitación entidades privadas: periódica, programa a 1 año.
Etapa 3: Sensibilización masiva con ciudadanos: 1 año.
• Identificación y evaluación de costos: Depende de la cantidad de impresión para los medios

impresos para las campañas de sensibilización y del costo de los comerciales en radio y televisión.
Nota: Para las anteriores actividades, la consultoría entrega como parte de los productos del
presente proyecto, el material y contenidos de los cursos de capacitación y entrenamiento
recomendados (para mayor información, ver documento “Capacitación y sensibilización para el
Modelo de Seguridad”). De igual forma, se entregan las recomendaciones principales en cuanto a
Higiene en Seguridad para que sean tomadas en cuenta como insumos a la hora de realizar la
sensibilización masiva a los ciudadanos (para mayor información, ver documento Modelo de
Seguridad SANSI – SGSI capítulo 5.7.).
4.5. Fase 5: Implementación de herramienta de Auto-evaluación
Objetivo: La herramienta de autoevaluación se usa por parte de las entidades tanto públicas como
privadas para facilitar la implementación del Modelo de seguridad al interior de la entidad, medir su
cumplimiento y generar indicadores. La herramienta se basa fundamentalmente en mostrar al usuario
encargado de la entidad, las políticas, objetivos de control y controles recomendados para que sean
implementados. La entidad, con los resultados generados y usando la herramienta, puede ver su nivel
actual de cumplimiento del modelo y compararse con otras entidades del mismo sector.
La implementación de la Fase 5, se divide en dos etapas:
4.5.1. Instalación en la Red de datos Intranet Gubernamental –Gobierno en Línea
Se instala la interface general, la base de datos y el componente administrativo de la herramienta,

el SANSI hará la administración de la herramienta, actualizará el contenido del modelo, recibirá y
emitirá información desde y hacia las entidades, genera resultados e indicadores que serán usados
por el SANSI para realimentar el sistema, publicar reportes de seguridad de la información en
Colombia, entre otras funciones, a través del Grupo Técnico de Apoyo.
4.5.2. Instalación en las entidades objetivo
Se instalará el componente usuario en cada entidad y se verificará el acceso a la aplicación principal

en el centro de datos de la Intranet Gubernamental. Esta parte de la herramienta es usada por la
Página 24 de 41
entidad para ingresar información relacionada con el Modelo de seguridad, determinar qué políticas
y controles tienen actualmente y cuáles les hace falta para cumplir con el Modelo, permitiendo
establecer fechas y responsables de implementación de los controles recomendados. La
herramienta le permitirá a la entidad identificar su estado actual de cumplimiento con el Modelo y
compararse con otras entidades similares.
• Tiempo estimado de duración de la Fase: 5: 6 meses.
• Identificación y evaluación de costos: La herramienta es gratis y de código abierto, por lo que

no tiene ningún costo. El centro de datos debe dedicar recursos para alojar esta aplicación. Las
entidades deben contar con internet o estar conectadas a la RAVEC para envío y recepción de
información.
4.6. Fase 6: Implementación del Modelo en entidades objetivo
Objetivo: Las entidades tanto públicas como privadas deben implementar el Modelo de seguridad
de la información para la Estrategia de Gobierno en Línea al interior de su organización de forma
que esté alineado y armonizado con sus propios sistemas actuales ya sea de calidad (NTC-GP1000),
de control interno (MECI) o de seguridad de la información (ISO27001).
Las entidades deben usar parte del trabajo realizado con otras regulaciones para cumplir con las
recomendaciones dadas por el Modelo de Seguridad de forma que la entidad no tenga reprocesos.
Esta fase de debe implementar en las entidades a través de las siguientes etapas:
4.6.1.1. Fase 6, Etapa 1: Identificar necesidades
4.6.1.2. Fase 6, Etapa 2: Prever la solución (SGSI)
4.6.1.3. Fase 6, Etapa 3: Planear la solución
4.6.1.4. Fase 6, Etapa 4: Implementar la solución
4.6.1.5. Fase 6, Etapa 5: Volver operativa la solución
Para mayor información, remitirse al documento Modelo de Seguridad SANSI -SGSI.
• Tiempo estimado de duración de la Fase 6: de 1 año a 2 años en cada entidad, dependiendo

del Grado RSI al que apliquen. Ver mayor información en el documento Modelo de Seguridad SGSI,
capítulo 6.
Página 25 de 41
• Identificación y evaluación de costos: La implementación depende de las entidades objetivo.
4.7. Fase 7: Seguimiento al Modelo implementado en las entidades
Objetivo: Se debe realizar seguimiento y auditoría a la implementación del Modelo de seguridad por parte
de las entidades objetivo, se realizan hallazgos y se generan recomendaciones de mejora para que sean
implementadas por las entidades.
La implementación de esta fase se divide en las siguientes etapas:
4.7.1. Auditorías Internas
Las entidades realizan auditorias de seguimiento internas para reportar hallazgos y plantear
acciones de mejora. Funciones principales de las auditorías internas:
o Realizar periódicamente auditorías y verificaciones internas de cumplimiento del Modelo de

Seguridad.
o Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de

Seguridad (opcional).
o Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control.
4.7.2. Auditorías Externas
Las Autoridades de Vigilancia y Control tanto para el sector público como para el sector privado,
(Superintendencias, la Fiscalía, la Contraloría, la Procuraduría, entre otras), ejercerán las labores de
vigilancia (auditoría) y validación de la implantación de las disposiciones, lineamientos, políticas y
controles relacionados con seguridad de la información plasmada en el Modelo.
Estas Autoridades tendrán las siguientes funciones:
o Realizar auditorías a las entidades para medir el nivel de cumplimiento del Modelo de
Seguridad de la información en la entidad auditada.
o Informar no conformidades y observaciones relacionadas con el cumplimiento del Modelo de

Seguridad de la Información en la entidad auditada.
o Auditorías Internas: 5 días
Página 26 de 41
o Auditorías Externas: de 3 a 5 días
• Identificación y evaluación de costos:
o Las auditorías internas dependen de la misma entidad objetivo.
o Las auditorías externas son deber de las autoridades de vigilancia y control.
4.8. Fase 8: Presentación de resultados y mejoras propuestas para el

SANSI
Objetivo: El Sistema SANSI, a través del Grupo Técnico de Apoyo, debe tomar los resultados de
los indicadores de los modelos de seguridad implementados en las diferentes entidades objetivo y
preparar una presentación ante la Comisión Nacional de Seguridad de la Información para que
determine nuevos ajustes al Modelo de forma que sean introducidos en el nuevo ciclo, los ajustes
tienen que ver con lineamientos estratégicos y políticas de alto nivel que serán estudiadas y
aprobadas por la Comisión.
Esta fase se divide en las siguientes etapas:
4.8.1. Fase 8, Etapa 1: Recolección de resultados e indicadores del Modelo y del SANSI
El Grupo Técnico de Apoyo monitorea el sistema y recopila la información a nivel de indicadores y

métricas de seguridad del Modelo implementado en las entidades
4.8.2. Fase 8, Etapa 2: Presentación ejecutiva ante la Comisión
El Grupo Técnico de Apoyo, prepara un informe ejecutivo con los principales resultados obtenidos
del Modelo implementado en las entidades y del propio sistema SANSI y lo presenta ante la
Comisión.
4.8.3. Fase 8, Etapa 3: Estudio y Aprobación de los ajustes propuestos al Modelo
La comisión estudia la información entregada por el Grupo Técnico de Apoyo, y aprueba ajustes a
realizar en el Modelo para el siguiente ciclo de vida (o versión) del Modelo de Seguridad.
o Recopilación de información y preparación de informe anual: a lo largo de la operación del

Modelo y del SANSI.
o Estudio y aprobación por parte de la Comisión: 3 días.
Página 27 de 41
• Identificación y evaluación de costos: Recursos propios del SANSI.
Página 28 de 41
5. MECANISMOS DE SEGUIMIENTO
Tal como se ha diseñado, el Sistema Administrativo Nacional de Seguridad de la Información, es un

conjunto sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y
promueven la puesta en marcha, supervisión y control de un modelo de Seguridad de la Información para
la Estrategia de Gobierno en Línea.
El Sistema Administrativo Nacional de Seguridad de la Información, adopta un enfoque basado en

procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de
Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una
organización en particular sino a todos los actores y entidades involucradas:
Ilustración 6: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información
y sus Actores
Página 29 de 41
En el proceso VERIFICAR del ciclo PHVA propuesto, se realiza la revisión y seguimiento de la

implementación y cumplimiento del Modelo de Seguridad, en el que tomarán parte:
• Las entidades Públicas y Privadas que realizarán su auto-evaluación del nivel de cumplimiento del
modelo a través de la herramienta de auto-evaluación provista por el proyecto,
• El Grupo Técnico de Apoyo, que realizará auditorias de cumplimiento y mejoramiento a través del
CSIRT,
• Las autoridades de vigilancia y control como la Fiscalía, la Procuraduría, la Contraloría, así como
también las Superintendencias para auditar y revisar el cumplimiento del modelo de seguridad por
parte de las entidades y,
• Los Organismos de certificación que promoverán el cumplimiento del modelo otorgando

certificaciones para incentivar a las entidades que evidencien una gestión efectiva del modelo de
seguridad, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo.
Finalmente, los mecanismos normativos aprobados por el Gobierno Nacional, se encargarán de designar las
entidades competentes y sus nuevas funciones para verificar la mejora continua del SANSI y del Modelo de
Seguridad, así como también las actividades realizadas y su cumplimiento por parte de los órganos que
constituyen el sistema SANSI.
Página 30 de 41
6. INCENTIVOS OTORGADOS POR EL SISTEMA SANSI
El Modelo de seguridad de la información diseñado para la Estrategia de Gobierno en Línea, implementado

a través del Sistema Nacional de Seguridad de la Información –SANSI, ha contemplado una serie de
incentivos para las entidades que se acojan al cumplimiento de dicho modelo y que lo usen como
referente, en concreto los siguientes son los incentivos:
6.1. Modelo y soporte CSIRT gratis para las entidades graduadas en

RSI Grado 1
Aunque el cumplimiento para todas las entidades que inicien en el Modelo de Seguridad de la
Información es obligatorio para el RSI Grado 1, el incentivo consiste en que el Sistema otorga a las
entidades que se acojan a él 2 años gratis de gracia para que la entidad implemente el Modelo, lo
mejore y avance al siguiente grado. La entidad en Grado 1, tendrá algunos de los productos y
servicios del CSIRT Colombiano sin ningún costo.
6.2. Certificaciones de cumplimiento para entidades y

establecimientos
El SANSI a través del CSIRT podrá facultar a terceros para que actúen como empresas
certificadoras basándose en sus competencias, conocimiento, características técnicas, de
infraestructura y know how en torno a la seguridad de la información, para que certifiquen de
manera directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la
Información para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca
de certificación para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de
seguridad en la información a las empresas premiadas, esto actuará como un incentivo para
fomentar la participación de las entidades en el Modelo de Seguridad y la ventaja competitiva entre
entidades. A continuación, se detallan los tipos de certificación otorgadas por los terceros
facultados:
o Certificación de entidades: Certificación otorgada a las entidades públicas y privadas que

cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la
Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de
Página 31 de 41
gestión en seguridad de la información SGSI. Esta certificación se otorga teniendo en cuenta los
siguientes criterios:
La certificación es renovada anualmente.
La certificación provee un sello que puede ser usado tanto en la página web de la Entidad
como en las firmas de sus empleados.
La certificación no es renovada cuando la Entidad no evidencie el mejoramiento de su

sistema de gestión en seguridad de la información SGSI o cuando una auditoría
encuentre no conformidades mayores con el Modelo.
o Certificación de establecimientos: Otorgada a los establecimientos que pertenezcan a la

cadena de prestación de servicios para la Estrategia de Gobierno en Línea (ISP, Telecentros,
Compartel, centros de acceso comunitario, cafés Internet, entre otros), que cumplan con los
requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea, evidenciando la implementación de sus controles y recomendaciones. Estas
certificaciones se otorgan con los siguientes periodos de renovación para los establecimientos:
Certificación renovada anualmente para los ISP.
Certificación renovada bi-anualmente para los Telecentros, Compartels y centros de acceso

comunitario.
Certificación renovada tri-anualmente para los cafés internet / otros.
6.3. Manejo adecuado de incidentes de seguridad de la información a

través del CSIRT Colombiano
Las entidades que se acojan al Modelo de Seguridad de la Información contarán con los servicios y
productos del CSIRT Colombiano las veces que lo necesiten, podrán recibir asistencia telefónica o en sitio
para dar respuesta adecuada a incidentes informáticos manteniendo la evidencia y la cadena de custodia.
Para mayor información, remitirse al documento CSIRT Colombiano, capítulo 4. “portafolio de servicios”.
Página 32 de 41
7. CRONOGRAMAS
El plan de implementación del Modelo de Seguridad de la Información para la Estrategia de Gobierno

en línea, consiste en dos estrategias basadas en el ordenamiento de las fases planteadas en el capítulo
4 de este documento.
Las estrategias planteadas, contiene cada una de las fases y sus diferentes actividades para llegar a la
puesta en marcha del Modelo de Seguridad en el país, la elección de una de estas estrategias se cree,
depende de la voluntad política y del impulso que se de a los mecanismos normativos proyectados
recomendados en el documento “Instrumentos Normativos Proyectados”.
Las estrategias planteadas para la implementación del Modelo de Seguridad, se resumen en:
• Estrategia número 1: Implementación Paralela
• Estrategia número 2: Implementación Secuencial.
A continuación, se detalla cada una de las estrategias sugeridas:
Página 33 de 41
7.1. Estrategia 1: Paralela:
Ilustración 7: Estrategia paralela de Implementación del Modelo
• Tiempo estimado de implementación: 18 meses
• Hitos de implementación: Aprobación de los mecanismos normativos, plan de sensibilización

paralelo a toda la estrategia, CSIRT como un importante apoyo para la implementación y mejora
del Modelo, voluntad por parte de las entidades objetivo, el SANSI es vital para la mejora continua
del Modelo.
Página 34 de 41
7.1.1. Descripción de la estrategia 1:
Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes
fases en paralelo:
• Las Fases 1, 2, 3, 4 y 5, se realizan en paralelo al inicio de la implementación
• Las Fases 6 y 7 se realizan en paralelo una vez el Modelo de Seguridad inicie su ciclo de vida en las
diferentes entidades objetivo.
• La Fase 4: Plan de Sensibilización, es paralela a toda la ejecución del plan, una vez los mecanismos
normativos sean aprobados.
En esta estrategia, se puede trabajar en paralelo en la creación de los mecanismos normativos, la

sensibilización, la creación del SANSI, la creación del CSIRT y la instalación de la herramienta de auto-
evaluación, desde que se cuente con la voluntad política y los recursos del caso para optimizar el tiempo
de implementación total.
Una vez estas fases iniciales en paralelo estén implementadas y la “Herramienta de Auto-evaluación” se
encuentre instalada en las diferentes entidades objetivo, se dará pasó a la implementación del Modelo de
Seguridad SGSI en cada una de las entidades (Fase 6).
La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará en paralelo a la Fase
6, donde las autoridades de vigilancia y control competentes, realizarán la verificación del modelo
implementado en las entidades objetivo y retroalimentarán a dichas entidades y al SANSI, los hallazgos
realizados en dichas verificaciones.
El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al
apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y
estadísticas de seguridad para que sean analizados por el SANSI.
Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en
seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos
resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el
siguiente ciclo.
Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios
para la mejora continua del Modelo de Seguridad.
Página 35 de 41
7.1.2. Cronograma de la estrategia 1:
Cronograma Estrategia paralela de Implementación del Modelo de Seguridad de la

Información
Página 36 de 41
7.2. Estrategia 2: Secuencial:
Ilustración 8: Estrategia secuencial de Implementación del Modelo
• Tiempo estimado de implementación: 30 meses
• Hitos de implementación: Aprobación de los mecanismos normativos, plan de sensibilización

paralelo a toda la estrategia, la fase 7 “Seguimiento a la implementación del Modelo” se lleva a
cabo una vez se ha completado un ciclo de vida del modelo implementado en las entidades
objetivo, CSIRT como un importante apoyo para la implementación y mejora del Modelo, el SANSI
es vital para la mejora continua del Modelo.
7.2.1. Descripción de la estrategia 2:
Esta estrategia se fundamenta en la aprobación de los mecanismos normativos para ejecutar las siguientes
fases.
Página 37 de 41
En esta estrategia, la primera actividad es la Fase 1: Aprobación de los mecanismos normativos y una vez
esta se de, la fase 2 “Creación del SANSI” iniciará.
Finalizada la creación del SANSI, se iniciará la implementación en paralelo de la Fase 3 “Creación del
CSIRT”, la Fase 4 “Plan de Sensibilización” y la Fase 5 “Herramienta de Auto-evaluación”.
Una vez se haya implementado la herramienta de auto-evaluación (Fase 5) en las diferentes entidades
objetivo, se dará pasó a la implementación del Modelo de Seguridad SGSI en cada una de las entidades
(Fase 6).
La fase 7 “Seguimiento a la Implementación del Modelo en las entidades”, se realizará una vez la Fase 6,
haya cumplido un ciclo de vida (tiempo aproximado: 12 meses), donde las autoridades de vigilancia y
control competentes, realizarán la verificación del modelo implementado en las entidades objetivo y
retroalimentarán a dichas entidades y al SANSI, los hallazgos realizados en dichas verificaciones.
El CSIRT, será vital para las entidades en cuando al apoyo brindado a la implementación del Modelo, al
apoyo técnico en los incidentes de seguridad de la información y a la recolección de indicadores, métricas y
estadísticas de seguridad para que sean analizados por el SANSI.
Finalmente, la fase 8, realizada por el SANSI, recopilará la información a nivel de indicadores y métricas en
seguridad de la información y a nivel de impactos en las entidades objetivo, realizará análisis de estos
resultados y propondrá mejoras y ajustes del Modelo al SANSI para que sean tomados en cuenta en el
siguiente ciclo.
Cabe anotar que el SANSI podrá generar requerimientos de nuevos mecanismos normativos necesarios
para la mejora continua del Modelo de Seguridad.
Página 38 de 41
7.2.2. Cronograma de la estrategia 2:
Cronograma Estrategia secuencial de Implementación del Modelo de Seguridad de la

Información
Página 39 de 41
Página 40 de 41
8. MECANISMOS E INSTRUMENTOS DE ANÁLISIS DE IMPACTO
El Sistema SANSI tiene previsto realizar seguimiento sobre la evolución y mejora del Modelo de Seguridad
de la Información para la Estrategia de Gobierno en Línea en la medida en que sea implantado por las
entidades objetivo.
El Grupo Técnico de Apoyo tiene entre sus funciones, monitorear el Modelo y las entidades, analizar los
indicadores y métricas de las entidades, evaluar los impactos y de acuerdo con la información recopilada,
plantear ajustes al Modelo que estarán acorde con estos resultados e impactos para lograr un mejor y más
adecuado funcionamiento del Modelo en las entidades.
El Grupo Técnico de Apoyo recopilará la información para los análisis a realizar usando mecanismos como
los indicadores y métricas generadas por la herramienta de Auto-evaluación implementada en cada una de
las entidades y la generación de estadísticas de seguridad de la información recopiladas por el CSIRT
Colombiano, lo anterior, para plantear ajustes y mejoras al Modelo acordes con la evolución de la
seguridad de la información en las entidades Colombianas.
Página 41 de 41

GEL IP EstrategiasImplementacionModelo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GEL IP EstrategiasImplementacionModelo

Cargado por

Copyright:

Formatos disponibles

ENTREGABLE 14: ESTRATEGIAS DE IMPLEMENTACIÓN -

MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

Bogotá, D.C., Diciembre de 2008

FORMATO PRELIMINAR AL DOCUMENTO

ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA

Formato: Lenguaje: Castellano

Dependencia: Investigación y Planeación

Autor (es): Equipo consultoría Digiware

Revisó: Juan Carlos Alarcon Firmas:

Aprobó: Ing. Hugo Sin Triana

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

4. FASES DE IMPLEMENTACIÓN .................................................................................................................................. 17

4.1. FASE 1: APROBACIÓN DE MECANISMOS NORMATIVOS ..................................................................................................................... 17

6. INCENTIVOS OTORGADOS POR EL SISTEMA SANSI......................................................................................... 31

7.1. ESTRATEGIA 1: PARALELA ............................................................................................................................................................. 34

7.1.2. CRONOGRAMA DE LA ESTRATEGIA 1............................................................................................................................................ 34

8. MECANISMOS E INSTRUMENTOS DE ANÁLISIS DE IMPACTO ....................................................................... 34

ILUSTRACIÓN 1: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................... 12

2.1. Acompañamiento – Implementación del Plan

Las estrategias de implementación del Modelo de Seguridad de la Información para la Estrategia de

El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en

GRUPO 1 Cafés Internet, Telecentros y Compartel

GRUPO 2 Entidades públicas de orden nacional y

GRUPO 3 Entidades privadas que pertenezcan a la

Tabla 1: Clasificación de grupos según la naturaleza de la entidad.

Entidades públicas de orden nacional y territorial Controles

Entidades privadas que pertenezcan a la cadena de prestación de servicios de Controles

Tabla 2: Clasificación de controles según el grupo al que pertenezca la entidad.

3.1. Niveles de madurez de los controles de seguridad recomendados

Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad

Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información

Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los

Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se

La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados

1 Ver mayor información en www.isaca.org

Ilustración 1: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.

3.2. Registro de Seguridad de la Información RSI - Graduación

• Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1,

• Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2,

• Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3.

En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el

ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1:

Se identifican en forma general los activos de la organización.

Se observan eventos que atentan contra la seguridad de la información, los activos

Los empleados no tienen conciencia de la seguridad de la información (prestan sus

Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de

ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 2:

Se genera un inventario del hardware y software que hay en la organización a partir de

Se identifican riesgos asociados con la información, los equipos de cómputo y las

Se empiezan a elaborar informes de los incidentes de seguridad ocurridos.

Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej.

Se empieza a observar en los empleados una conciencia de la seguridad de la

Se diseña e implementa el sistema de gestión de seguridad de la información SGSI.

Se definen las Políticas de Seguridad de la Información de la organización

Se divulgan las Políticas de Seguridad de la Información en toda la organización.

Se realiza la clasificación de los activos y de la información de la entidad los equipos y

Se cuentan con Planes de continuidad del negocio enfocados únicamente a la

Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de

Se incluyen dentro de los procesos de negocio de la organización, las normas de

Se empieza a observar un compromiso de los empleados con la seguridad de la

Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su

Se cuenta con procedimientos que enseñan a los empleados a manejar la