Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Privacidad de la Información
Modelo
HISTORIA
AUDIENCIA ............................................................................................................. 6
INTRODUCCIÓN ..................................................................................................... 7
JUSTIFICACIÓN ...................................................................................................... 9
GLOSARIO ............................................................................................................ 10
OBJETIVOS ........................................................................................................... 13
PLAZOS ................................................................................................................. 32
Sujetos Obligados del Orden Nacional .................................................................. 32
A través del decreto 1078 de 2015, por medio del cual se expide el decreto único
reglamentario del sector de tecnologías de información y las comunicaciones, en el
TITULO 9, POLÍTICAS Y LINEAMIENTOS DE TECNOLOGÍAS DE LA
INFORMACIÓN, CAPITULO 1, Estrategia de Gobierno en Línea - GEL, en la
SECCIÓN 2, COMPONENTES, INSTRUMENTOS Y RESPONSABLES, se define
el componente de seguridad y privacidad de la información, como parte integral de
la estrategia GEL, y es de obligatorio cumplimiento para las entidades del estado
como lo establece en la sección 3, MEDICIÓN, MONITOREO Y PLAZOS.
Activo
En relación con la seguridad de la información, se refiere a cualquier información
o elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000).
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización. (ISO/IEC 27000).
Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27000).
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza cibernética.
(CONPES 3701).
Ciberespacio
Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos en
la civilización electrónica, la informática y la cibernética. (CONPES 3701,
Tomado de la Academia de la lengua Española).
Control
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido. Control es también utilizado como sinónimo de
salvaguarda o contramedida. En una definición más simple, es una medida que
modifica el riesgo.
Declaración de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestión de
Seguridad de la Información – SGSI, de la organización tras el resultado de los
procesos de evaluación y tratamiento de riesgos y su justificación, así como la
justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC
27000).
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Suele considerarse
como una combinación de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 27000).
Seguridad de la información
Preservación de la confidencialidad, integridad, y disponibilidad de la
información. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o más
amenazas. (ISO/IEC 27000).
El modelo de operación, contempla un ciclo de cinco (5) fases, las cuales permiten
que las entidades puedan gestionar adecuadamente la seguridad y privacidad de
sus activos de información.
Implementación
Etapas previas a
Planificación Gestión
la implementación
Mejoramiento
Continuo
Etapas previas
a la Identificar el nivel de
madurez
implementación
Levantamiento de
información
FASE - PLANIFICACIÓN
• Entender la Entidad
• Necesidades y
Contexto
Contexto dede expectativas de las
la partes interesadas
la Entidad
Entidad • Determinar alcance del
MSPI
• Liderazgo y
compromiso de la alta
dirección
Liderazgo
Liderazgo • Política de seguridad
• Roles de la Entidad,
responsabilidades y
autoridad
Planificación
• Acciones para abordar
los riesgos y
Planeación
Planeación oportunidades
• Objetivos y planes para
lograrlos
• Recursos
• Competencias
Liderazgo
Soporte • Sensibilización
• Comunicación
• Documentación
El alcance del MSPI permite a la Entidad definir los límites sobre los cuales
se implementará la seguridad y privacidad dentro de la Entidad. Este enfoque
es por procesos y debe extenderse a toda la Entidad.
Para desarrollar el alcance y los límites del Modelo se deben tener en cuenta
las siguientes recomendaciones: Procesos que impactan directamente la
consecución de objetivos misionales, procesos, servicios, sistemas de
información, ubicaciones físicas, terceros relacionados, e interrelaciones del
Modelo con otros procesos.
Estas políticas deben ser aprobadas y divulgadas de tal forma que sean de
obligatorio cumplimiento.
Utilizar una metodología de gestión del riesgo enfocada a procesos, para este
caso se sugiere utilizar la metodología del Departamento Administrativo de la
Función Pública – DAFP, que contiene los siguientes pasos:
Identificación y valoración de riesgos de (Metodología, Reportes).
Toma de conciencia.
Este plan será ejecutado, con el aval de la alta dirección, a todas las áreas
de la Entidad.
FASE- IMPLEMENTACIÓN
Control y planeación
operacional
Evaluación de riesgos de
Implementación seguridad y privacidad de la
información
Tratamiento de riesgos de
seguridad y privacidad de la
información
Plan de implementación
Es preciso tener en cuenta que la aplicación del control sobre los riesgos
detectados deben estar aprobados por los responsables de los procesos.
Monitoreo, medición,
análisis y evaluación
Acciones correctivas y no
conformidades
Mejoramiento
Continuo
Mejora continua
Utilizando los insumos anteriores, la entidad puede efectuar los ajustes a los
entregables, controles y procedimientos dentro del MSPI. Estos insumos tendrán
como resultado un plan de mejoramiento y un plan de comunicaciones revisados y
aprobados por la Alta Dirección de la entidad. La revisión por la Alta Dirección hace
referencia a las decisiones, cambios, prioridades etc. tomadas en sus comités y que
impacten el MSPI.
MODELO DE MADUREZ
A continuación la ilustración 1, muestra los diferentes niveles que hacen parte del
modelo de madurez.
Nivel Descripción
Se han implementado controles en su infraestructura de TI, seguridad
física, seguridad de recursos humanos entre otros, sin embargo no
están alineados a un Modelo de Seguridad.
Inexistente No se reconoce la información como un activo importante para su
misión y objetivos estratégicos.
No se tiene conciencia de la importancia de la seguridad de la
información en las entidades.
Se han identificado las debilidades en la seguridad de la información.
Los incidentes de seguridad de la información se tratan de forma
reactiva.
Inicial
Se tiene la necesidad de implementar el MSPI, para definir políticas,
procesos y procedimientos que den respuesta proactiva a las amenazas
sobre seguridad de la información que se presentan en la Entidad.
Se identifican en forma general los activos de información.
Se clasifican los activos de información.
Los servidores públicos de la entidad tienen conciencia sobre la
Repetible
seguridad de la información.
Los temas de seguridad y privacidad de la información se tratan en los
comités del modelo integrado de gestión.
La Entidad ha realizado un diagnóstico que le permite establecer el
estado actual de la seguridad de la información.
La Entidad ha determinado los objetivos, alcance y límites de la
seguridad de la información.
La Entidad ha establecido formalmente políticas de Seguridad de la
información y estas han sido divulgadas.
La Entidad tiene procedimientos formales de seguridad de la
Definido Información
La Entidad tiene roles y responsabilidades asignados en seguridad y
privacidad de la información.
La Entidad ha realizado un inventario de activos de información
aplicando una metodología.
La Entidad trata riesgos de seguridad de la información a través de una
metodología.
Se implementa el plan de tratamiento de riesgos.
Se revisa y monitorea periódicamente los activos de información de la
Entidad.
Se utilizan indicadores para establecer el cumplimiento de las políticas
Administrado
de seguridad y privacidad de la información.
Se evalúa la efectividad de los controles y medidas necesarias para
disminuir los incidentes y prevenir su ocurrencia en el futuro.
En este nivel se encuentran las entidades en las cuales la seguridad es
un valor agregado para la organización.
Optimizado Se utilizan indicadores de efectividad para establecer si la entidad
encuentra retorno a la inversión bajo la premisa de mejora en el
cumplimiento de los objetivos misionales.
Tabla 6- Descripción de los niveles de madurez
Pruebas de Planeación
funcionalidad
Implementación
FASE - PLANEACIÓN
FASE - IMPLEMENTACIÓN
Entidades A (%)
2015
2016
2017
2018
2019
2020
Componente/Año
2015
2016
2017
2018
2019
2020
Componente/Año
Entidades C (%)
2015
2016
2017
2018
2019
2020
Componente/Año
No.
NOMBRE DESCRIPCIÓN
GUÍA
Este documento presenta un conjunto de preguntas que ayuda al
levantamiento de la información de la infraestructura física, lógica y
1 Encuesta de seguridad
metodológica de seguridad de las entidades, como parte del estudio de la
situación actual de cada una de ellas.
Este documento presenta la estratificación de las entidades para la
2 Estratificación
implementación del Modelo de seguridad.
Autoevaluación del
Este documento presenta un conjunto de herramientas de ayuda para auto
Modelo de Seguridad y
3 diagnosticar de manera objetiva el nivel de implementación actual y da un
Privacidad de la
listado de temas que componen la brecha con la seguridad de la información.
Información
Metodológica de pruebas Este documento presenta una metodología para la planeación de las pruebas
4
de efectividad de efectividad.
Política general de Este documento contiene una plantilla de política de seguridad de la
5 seguridad y privacidad de información que las entidades pueden adaptar según sus objetivos
la información estratégicos.
Procedimientos de
Este documento contiene una plantilla que le ayudara a construir
6 Seguridad y Privacidad de
procedimientos de seguridad de la información.
la Información.
Roles y responsabilidades Este documento presenta los lineamientos a tener en cuenta en la inclusión de
7 de seguridad y privacidad roles y responsabilidades (funciones y personal) en seguridad y privacidad de
de la información la información, que deben ser tratado en los comités directivos de gestión.
Identificación,
Este documento presenta una metodología de clasificación de activos para las
8 clasificación y valoración
entidades del Estado en el marco del Programa Gobierno en línea.
de activos de información
Gestión documental del Este documento ple proporciona una guía, de cómo debe manejar los archivos
9 Archivo General de la digitales de acuerdo con lo establecido en los decretos y guías del Archivo
Nación General de la Nación.
Este documento presenta una metodología para la gestión del riesgo al interior
10 Gestión del riesgo
de las entidades del Estado en el marco del Programa de Gobierno en línea.
Este documento presenta el conjunto de políticas que deben ser cumplidas
Controles de seguridad y
por las entidades y 113 controles recomendados para que la entidad genere el
11 Privacidad de la
documento de aplicabilidad de controles para el Sistema de Gestión de
Información
Seguridad de la Información.
Este documento presenta indicadores de seguridad y privacidad de la
información, cuyo propósito es evaluar el estado de las entidades
12 Indicadores de gestión
gubernamentales en materia de seguridad de la información, alineados con la
Estrategia de Gobierno en línea.
En este documento encontrara los conceptos y principios para la preparación
Preparación de las TIC tecnología de información y comunicaciones (TIC), para la continuidad del
13 para la continuidad del negocio, y provee un marco de métodos y procesos que le permita identificar y
negocio especificar todos los aspectos para mejorar la preparación de las Entidades,
para garantizar la continuidad del negocio.
Análisis de Impacto de Este documento, le guiara en la identificación y cuantificar el impacto de la
14
Negocios (BIA) perdida de funciones en la entidad.
Este documente presenta lineamientos para que las entidades incluyan dentro
de sus estrategias cuales son las características de seguridad en la nube y
15 Seguridad en la nube
como estructurar el desarrollo de la fase planificación del Modelo de
Seguridad y Privacidad de la Información.
El presente documento da los lineamientos para realizar un proceso adecuado
de informática forense, siendo a su vez un complemento al proceso de gestión
16 Evidencia digital de incidentes de seguridad de la información, ya que el enfoque de esta guía
está relacionado con los eventos de seguridad de la información que pueden
generar algún impacto a los activos de información.
Este documento tiene como objetivo establecer lineamientos para la
construcción y mantenimiento del plan de capacitación, sensibilización y
Plan de comunicación,
comunicación de la seguridad de la información, para así asegurar que este,
17 sensibilización y
cubra en su totalidad los funcionarios de la Entidad, asegurando que cada uno
capacitación
cumpla con sus roles y responsabilidades de seguridad y privacidad de la
información dentro de las entidades del Estado.
Para definir el plan de Este documente presenta lineamientos para que las entidades sepan cómo
18 implementación y plan de estructurar el desarrollo de la fase de implementación y el plan de tratamiento
tratamiento de riesgos de riesgos del Modelo de Seguridad y Privacidad de la Información.
Este documente presenta lineamientos para que las entidades sepan cómo
19 Evaluación desempeño estructurar el desarrollo de la fase de evaluación de desempeño del Modelo
de Seguridad y Privacidad de la Información.
Para efectuar auditoria del Este documente presenta lineamientos para la ejecución de las auditorias
20
MSPI referentes al Modelo de Seguridad y Privacidad de la Información.
Este documente presenta lineamientos para que las entidades sepan cómo
21 Mejora continúa estructurar el desarrollo de fase de mejora continua del Modelo de Seguridad
y Privacidad de la Información.
En este documento encontrará los lineamientos que las entidades deben
Lineamientos: Terminales implementar para elevar el aseguramiento de los equipos o terminales móviles
22 de áreas financieras asignados por la entidad, donde se realizan las transacciones a financieras
entidades públicas como l os son: pago de nómina, pagos de seguridad social, pagos de
contratación y transferencia as de fondos, entre otros.
Este documento presenta los lineamientos y consideraciones de seguridad
Aseguramiento del
23 que son necesarios tener en cuenta al momento de aplicar el protocolo IPv6
protocolo IPv6
en cada una de las Entidades que entren a utilizar este nuevo protocolo.
Este documento presenta la guía de acompañamiento para las entidades del
Estado Colombiano, orientado a diagnosticar, desarrollar y aplicar la técnicas
de transición de IPv4 a IPv6, mostrando las directrices en materia de
Transición de IPV4 a IPv6
24 equipamiento de computación y de comunicaciones necesarias para adoptar
para Colombia
el protocolo IPv6, teniendo en cuenta los estándares que apoyan la transición
del nuevo protocolo sobre las infraestructuras informáticas de TI, de las
Entidades del Estado.
En este documento encontrara procesos de la gestión de incidentes, con el fin
25 Gestión de incidentes
de mejorar la gestión de incidentes al interior de la Entidad.