PLAN DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN
2022 V1
Tomado de: https://ecuador.unir.net/wp-content/uploads/sites/8/2021/06/shutterstock_1788958916.jpg

ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA

Dirección de Servicios y Entornos Virtuales

VERSIÓN PRELIMINAR Página 0 de 28

CONTENIDO
1. INTRODUCCIÓN ................................................................................................................... 3
2. OBJETIVO ............................................................................................................................. 3
3. ALCANCE .............................................................................................................................. 3
4. MARCO NORMATIVO .......................................................................................................... 4
5. RESPONSABLES .................................................................................................................... 6
6. DEFINICIONES ...................................................................................................................... 6
7. DESARROLLO DEL PLAN ...................................................................................................... 8
7.1. OPERACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - SGSI
EN LA ESAP. .............................................................................................................................. 8
7.1.1. POLÍTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN ...................... 8
7.1.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN .............................................. 9
7.1.3 DIAGNÓSTICO DEL SISTEMA DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN - SGSI .......................................................................................................... 9
7.2. IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN (Estrategia de planificación y control operacional) ................................... 12
7.3. CRONOGRAMA DE ACTIVIDADES .............................................................................. 15
8. RECURSOS .......................................................................................................................... 19
9. SEGUIMIENTO Y MEDICIÓN DEL PLAN ............................................................................. 19
9.1. INDICADORES ............................................................................................................. 19
10. ANEXO 1. ESTRATEGIA DE SEGURIDAD DIGITAL .............................................................. 20

Página 1 de 28

VERSIÓN PRELIMINAR
 CONTROL DE CAMBIOS
Instancia de
Versión Fecha Descripción
Aprobación
Formulación del Plan de Seguridad y
Privacidad de la Información 2022, en
Comité Institucional conjunto con la Estrategia de Seguridad
01 XX/XX/2022 de Gestión y Digital 2022.
Desempeño
Aprobado en sesión del Comité Institucional
de Gestión y Desempeño del XXX de 2022.

ARTICULACIÓN MARCO ESTRATÉGICO

ODS Objetivo 16. Paz, justicia e instituciones sólidas.

PND 2018-2022 Pacto por la transformación digital de Colombia

Línea 5. Transformación digital y consolidación de una
PES 2019-2022
comunicación estratégica del Sector Función Pública.
Modernizar y fortalecer las capacidades institucionales de la ESAP
PEI 2021-2022
para agregar mayor valor público a sus tareas.
POLÍTICA MIPG Seguridad Digital

PROCESO Gestión Tecnológica

Página 2 de 28

VERSIÓN PRELIMINAR
 1. INTRODUCCIÓN
La seguridad y privacidad de la Información como habilitador transversal de la Política de
Gobierno Digital se desarrolla a través del Modelo de Seguridad y Privacidad de la
Información -MSPI, orientando la gestión e implementación del Sistema de Gestión de
Seguridad de la Información – SGSI, con el fin de incorporar la seguridad de la información
en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en
general, en todos los activos de información de la ESAP, con el fin de preservar la
confidencialidad, integridad, disponibilidad y privacidad de los datos.

En atención a lo anterior, la entidad asumió el reto de implementar el Modelo de Seguridad

y Privacidad de la Información, a través de la Resolución SC 2823 del 26 de septiembre de
2016, mediante la cual se creó el Sistema de Gestión de Seguridad de la Información de la
Escuela Superior de Administración pública – ESAP, siguiendo los lineamientos de la Política
de Gobierno Digital, reglamentada a través del Decreto 1078 de 2015 modificado por el
Decreto 1008 de 2018, que en el artículo 2.2.9.1.1.3. Principios. Define la seguridad de la
información como principio de la Política de Gobierno Digital, y de igual manera en el artículo
2.2.9.1.2.1 define la estructura de los Elementos de la Política de Gobierno Digital a través
de componentes y habilitadores transversales los cuales son los elementos fundamentales
de Seguridad de la Información, Arquitectura y Servicios Ciudadanos Digitales, los cuales
permiten el desarrollo de los anteriores componentes y el logro de los propósitos de la
Política de Gobierno Digital.

Teniendo en cuenta lo anterior, se formula el presente Plan, en cumplimiento de la

normativa aplicable vigente, y en particular, como parte de los planes institucionales
establecidos en el Decreto 612 de 2018.

2. OBJETIVO
Garantizar la confidencialidad, integridad y disponibilidad de la información, mediante la
formulación e implementación de actividades y controles de seguridad alineadas con las
Política de Gobierno Digital y la Política de Seguridad Digital, de acuerdo con el alcance
definido por la ESAP.

3. ALCANCE
El presente Plan comprende la descripción y programación de las actividades a realizar por
la ESAP durante la vigencia 2022, como parte de la Implementación del Sistema de Gestión
de la Seguridad de la Información (SGSI), de acuerdo con el Modelo de Seguridad y Privacidad
de la Información - MSPI emitido por el Ministerio de las Tecnologías de la Información y las

Página 3 de 28

VERSIÓN PRELIMINAR
Comunicaciones – MINTIC, y la Norma ISO/IEC 27001:2013. La cual se aplica a todas las
Sedes, Áreas, Oficinas, Dependencias y Procesos de la ESAP.

4. MARCO NORMATIVO
TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
Por medio de la cual se crea la Ley de Transparencia y del
Ley 1712 2014 Derecho de Acceso a la Información Pública Nacional y se
dictan otras disposiciones.
Decreto 1499 de 2017. Por medio del cual se modifica el
Decreto 1083 de 2015, Decreto Único Reglamentario del
Decreto 1083 2015 Sector Función Pública, en lo relacionado con el Sistema
de Gestión establecido en el artículo 133 de la Ley 1753
de 2015.
Por medio del cual se expide el Decreto Único
Decreto 1078 2015 Reglamentario del Sector de Tecnologías de la
Información y las Comunicaciones
Por medio del cual se establecen los lineamientos
generales de la Política de Gobierno Digital y se subroga el
Decreto 1008 2018 capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto
1078 de 2015, Decreto Único Reglamentario del sector de
Tecnologías de la Información y las Comunicaciones.
Por el cual se dictan normas para simplificar, suprimir y
Decreto 2106 2019 reformar trámites, procesos y procedimientos
innecesarios existentes en la administración pública.
Por el cual se modifica la estructura de la Escuela Superior
Decreto 164 2021
de Administración
Por el cual se modifica la planta de personal de la Escuela
Decreto 165 2021 Superior de Administración Pública - ESAP y se dictan otras
disposiciones
lineamientos generales para fortalecer la gobernanza de
la seguridad digital, la identificación de infraestructuras
Decreto 338 2022
críticas cibernéticas y servicios esenciales, la gestión de
riesgos y la respuesta a incidentes de seguridad digital.
“Por la cual se modifica la Política de Administración de
Riesgos de la Escuela Superior de Administración Pública -
Resolución 1186 2020 ESAP, se adopta la Guía para la Administración de Riesgos
y el Diseño de Controles en Entidades Públicas del DAFP y
se dictan otras disposiciones”
Por la cual se definen los estándares y directrices para
publicar la información señalada en la Ley 1712 del 2014 y
Resolución
1519 2020 se definen los requisitos materia de acceso a la
MINTIC
información pública, accesibilidad web, seguridad digital,
y datos abiertos.

Página 4 de 28

VERSIÓN PRELIMINAR
 TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
Por la cual se establecen los lineamientos y estándares
Resolución para la estrategia de seguridad digital y se adopta el
500 2021
MINTIC modelo de seguridad y privacidad como habilitador de la
Política de Gobierno Digital.
Por la cual se fortalece el Modelo de Seguridad y
Resolución Privacidad de la Información y se definen lineamientos
746 2022
MINTIC adicionales a los establecidos en la Resolución No. 500 de
2021.
Por la cual se designa al Oficial de Seguridad y Privacidad
Resolución 247 2022 de la Información de la Escuela - Superior de
Administración Pública – ESAP.
Por la cual se actualizaron los lineamientos del Sistema de
Gestión de Seguridad de la Información - SGSI, y se
Resolución 270 2022 establecen los estándares para la implementación de la
estrategia de la seguridad digital en la Escuela Superior de
Administración Pública – ESAP.
Directiva Reiteración de la política pública en materia de seguridad
2 2022
Presidencial digital.
CONPES Lineamientos de Política para Ciberseguridad y
3701 2011
Ciberdefensa.
CONPES
3854 2016 Política Nacional de Seguridad Digital
Política Nacional para la Transformación Digital e
CONPES 3975 2019
Inteligencia Artificial.
CONPES 3995 2020 Política Nacional de Confianza y Seguridad Digital.
Modelo de Seguridad y Privacidad de la Información –
MSPI
Se encuentra alineado con el Marco de Referencia de
Arquitectura TI y soporta transversalmente los otros
DOCUMENTO TÉCNICO
2016 componentes de la Política de Gobierno Digital, TIC para
EXTERNO
el Estado y TIC para la Sociedad. TIC, que son habilitados
por tres elementos transversales: Seguridad de la
Información, Arquitectura y Servicios Ciudadanos
Digitales. Versión 3.0.2, julio de 2016.
Manual para la Implementación de la Política de Gobierno
DOCUMENTO TÉCNICO Digital
2019
EXTERNO Implementación de la Política de Gobierno Digital
(Decreto 1008 de 2018). Versión 7, abril de 2019
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27001 2013 Sistemas de Gestión de la Seguridad de la Información
(SGSI). Requisitos.
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27002 2013
Código de Práctica para controles de seguridad de la
Página 5 de 28

VERSIÓN PRELIMINAR
TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
información.

5. RESPONSABLES
El monitoreo y revisión de la gestión de los riesgos está alineado con el esquema de
asignación de responsabilidades y roles, el cual se distribuye en cuatro (4) líneas de
defensa, las cuales se despliegan en la Política de Administración de Riesgos vigente
de la Entidad. De igual forma, se detallan las responsabilidades del rol del Oficial de
Seguridad y Privacidad de la Información y el Líder de Seguridad Digital en la
Resolución 270 de 2022, en lo concerniente a la formulación, implementación y
seguimiento del Plan de Seguridad y Privacidad de la Información y su Estrategia de
Seguridad Digital.

6. DEFINICIONES
 Activo: En cuanto a la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organización. (ISO/IEC
27000).
 Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte
material, acumulados en un proceso natural por una persona o Entidad pública o
privada, en el transcurso de su gestión, conservados respetando aquel orden para
servir como testimonio e información a la persona o institución que los produce
y a los ciudadanos, o como fuentes de la historia. También se puede entender
como la institución que está al servicio de la gestión administrativa, la
información, la investigación y la cultura. (Ley 594 de 2000, art 3)
 Amenazas: Causa potencial de un incidente no deseado, que puede provocar
daños a un sistema o a la organización. (ISO/IEC 27000).
 Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar
el nivel de dicho riesgo. (ISO/IEC 27000).
 Auditoría: Proceso sistemático, independiente y documentado para obtener
evidencias de auditoría y obviamente para determinar el grado en el que se
cumplen los criterios de auditoría. (ISO/IEC 27000).
 Ciberseguridad: Protección de activos de información, mediante el tratamiento
de las amenazas que ponen en riesgo la información que se procesa, almacena y
transporta mediante los sistemas de información que se encuentran
interconectados.
 Ciberespacio: Es el ambiente tanto físico como virtual compuesto por
computadores, sistemas computacionales, programas computacionales

Página 6 de 28

VERSIÓN PRELIMINAR
 (software), redes de telecomunicaciones, datos e información que es utilizado
para la interacción entre usuarios. (Resolución CRC 2258 de 2009).
 Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
 Contratistas: Entenderemos por contratista aquella persona natural o jurídica que
ha celebrado un contrato de prestación de servicios o productos con una entidad.
 Control: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. Control es también utilizado
como sinónimo de salvaguarda o contramedida. En una definición más simple, es
una medida que modifica el riesgo.
 Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de esta por parte de los individuos, entidades o procesos autorizados
cuando lo requieran.
 Gestión de incidentes de seguridad de la información: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de
la información. (ISO/IEC 27000).
 Guía: documento técnico que describe el conjunto de normas a seguir en los
trabajos relacionados con los sistemas de información.
 Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta
realización de una acción o el correcto desarrollo de una actividad.
 Parte interesada: (Stakeholder) Persona u organización que puede afectar a, ser
afectada por o percibirse a sí misma como afectada por una decisión o actividad.
 Plan de continuidad del negocio: Plan orientado a permitir la continuación de las
principales funciones misionales o del negocio en el caso de un evento imprevisto
que las ponga en peligro. (ISO/IEC 27000).
 Plan de tratamiento de riesgos: Documento que define las acciones para gestionar
los riesgos de seguridad de la información inaceptables e implantar los controles
necesarios para proteger la misma. (ISO/IEC 27000).
 Política del SGSI: Manifestación expresa de apoyo y compromiso de la alta
dirección con respecto a la seguridad de la información.
 Política: Es la orientación o directriz que debe ser divulgada, entendida y acatada
por todos los miembros de la entidad.
 Privacidad de datos: La privacidad de datos, también llamada protección de datos
es el aspecto de la tecnología de la información (TI) que se ocupa de la capacidad
que una organización o individuo tiene para determinar qué datos en un sistema
informático pueden ser compartidos con terceros
 Procedimiento: Los procedimientos constituyen la descripción detallada de la
manera como se implanta una política.

Página 7 de 28

VERSIÓN PRELIMINAR
  Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
 Rol: Papel, función que alguien o algo desempeña.
 Seguridad de la información: Preservación de la confidencialidad, integridad, y
disponibilidad de la información. (ISO/IEC 27000).
 Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y
recursos) que utiliza una organización para establecer una política y unos
objetivos de seguridad de la información y alcanzar dichos objetivos, basándose
en un enfoque de gestión y de mejora continua. (ISO/IEC 27000).
 Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas. (ISO/IEC 27000).

7. DESARROLLO DEL PLAN

De acuerdo con lo estipulado en el numeral 2.1.3 del Manual de Gobierno Digital del MINTIC,
el Plan de Seguridad y Privacidad de la Información debe establecer los detalles de cómo se
realizará la implementación de la seguridad de la información en cada uno de los procesos
de la entidad, estipulando directrices, tiempo y responsables para lograr un adecuado
proceso de gestión, administración, evaluación y resultados del plan desarrollado.

7.1. OPERACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN - SGSI EN LA ESAP.

Su operativización busca establecer, implementar, monitorear, revisar, mantener y mejorar

el sistema en la ESAP, reportando su estado de avance, de manera que fomente la consulta
y cooperación con organismos especializados para la obtención de asesoría en dicha materia
para garantizar la aplicación de medidas de seguridad adecuadas, en los accesos a la
información de la Entidad.

7.1.1. POLÍTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN

La Escuela Superior de Administración Pública ESAP, en el marco de sus funciones, se

compromete a proteger y asegurar la información tanto física como digital, a través de
acciones, estrategias y recursos necesarios, con el fin de cumplir con los requisitos legales y
de la entidad, en pro del fortalecimiento y mejora del sistema de gestión de seguridad de la
información y sus objetivos, de acuerdo con lo establecido en el Manual Sistema Integrado
de Gestión.

Página 8 de 28

VERSIÓN PRELIMINAR
Esta política puede ser consultada a detalle en el M-TI-01-Manual Políticas Seguridad
Información, y se complementa con las Políticas de Seguridad y Privacidad de la Información,
documentadas en el Manual de Políticas TI DC-A-GT-32.

7.1.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

• Implementar y fortalecer los controles para la protección de los activos de

información.
• Prevenir la materialización de los riesgos de seguridad de la información
identificados.
• Controlar y minimizar los incidentes de Seguridad de Información.
• Cumplir los requisitos normativos, legales y de seguridad de la información, a través
de políticas, lineamientos, guías y directrices del Sistema de Gestión de Seguridad de
la Información SGSI.
• Generar una cultura en seguridad de la información.
• Evaluar y mejorar el Sistema de Gestión de Seguridad de la Información, con el fin de
lograr la eficiencia y su mejora continua.

7.1.3 DIAGNÓSTICO DEL SISTEMA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

- SGSI

Con el fin de dar cumplimiento al cierre de la vigencia, en el mes de enero de 2022 se realizó
la medición del instrumento de identificación de la línea base de seguridad del MINTIC, el
cual es una herramienta que fue creada con el fin de identificar el nivel de madurez en la
implementación del Modelo de seguridad y Privacidad de la Información, permitiendo
establecer el estado de la gestión y adopción de controles técnicos y administrativos al
interior de las Entidades Públicas.

Como resultado de su aplicación, con corte a diciembre de 2021, el avance general en el ciclo
PHVA del Sistema de Gestión de Seguridad y Privacidad de la Información de la ESAP alcanzó
el 94.7%, así:

Tabla 1. Avance ciclo de funcionamiento del Modelo de Seguridad y Privacidad de la Información MSPI

Página 9 de 28

VERSIÓN PRELIMINAR
 Gráfica 1. Avance ciclo de funcionamiento del Modelo de Operación

A continuación, se presenta el avance general en el ciclo PHVA del Sistema de Gestión de Seguridad
y Privacidad de la Información de la ESAP en los últimos 4 años:
94,90%
89%

70%

52%

2018 2019 2020 2021

Gráfico 2. Fuente Propia - Avance implementación - PHVA del SGSI

El 100% en el ciclo PHVA se alcanzará cuando se logre un nivel “Optimizado” en el

componente de implementación, el cual está relacionado directamente con la evaluación de
efectividad de los controles para cada uno de los dominios:

Gráfico 3. Nivel de Madurez Modelo Seguridad y Privacidad de la Información

Página 10 de 28

VERSIÓN PRELIMINAR
También como resultado de la medición del instrumento de identificación de la línea base
de seguridad del MINTIC, se realiza la revisión de los avances en la implementación de los
controles definidos por la Norma ISO 27001:2013, Anexo A con sus 114 Controles de
Seguridad y en cada uno de los dominios, de lo cual se puede concluir que los dominios que
se encuentran en el nivel gestionados, requieren la implementación de acciones de
automatización de los controles y el monitoreo permanente, análisis que evidenciará los
elementos principales para la formulación de este plan.

Tabla 2. Evaluación de efectividad de controles por dominios ISO 27001

Gráfico 4. Brecha - Anexo A ISO 27001:2013

Se presenta a continuación el avance en la implementación del ciclo PHVA del Sistema de

Gestión de Seguridad de la Información, en la cual se despliega la distribución y el impacto
de los riesgos identificados por los líderes de proceso:

Página 11 de 28

VERSIÓN PRELIMINAR
 12

2 2 2 2
1 1

Gestión Gestión Gestión Gestón de Fortalecimiento Formación Capacitación

Tecnológica Financiera Documental Entornos del Alto Gob y
virtuales Alta G. Púb.
Gráfico 4. Riesgos de Seguridad de la Información por proceso

Respecto a las mejores prácticas en CIBERSEGURIDAD (NIST), se muestra a continuación

aquellas que se han implementado en la vigencia 2021:
Gráfico 6. Calificación frente a mejores prácticas de ciberseguridad (NIST)

Teniendo en cuenta los anteriores resultados, para la vigencia 2022 se debe definir el Plan
de Seguridad y privacidad de la información por parte del Oficial de Seguridad de la
información y llevar a cabo su implementación.

7.2. IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD Y PRIVACIDAD DE

LA INFORMACIÓN (Estrategia de planificación y control operacional)

Dentro del proceso de implementación del Modelo de Seguridad y privacidad de la

información de MINTIC, se ha utilizado el instrumento de Identificación de la Línea Base de

Página 12 de 28

VERSIÓN PRELIMINAR
Seguridad, en la cual se definen y priorizan las acciones a seguir y se realiza el seguimiento al
avance en dicha implementación.

Actualmente se han implementado y operado diferentes procedimientos, guías, manuales y

formatos que se pueden encontrar Pagina Web de la ESAP, Gestión Documental, vigencias
anteriores como en el 2021 y con continuidad para el 2022. Con el fin de dar cumplimiento
a los controles establecidos en la Norma ISO 27001:2013 Anexo A con sus 114 Controles de
Seguridad de la Información, y los requisitos establecidos por la política de Gobiernos Digital
y el FURAG dentro de los cuales se encuentran:

• Como resultado de la implementación del plan de sensibilización en seguridad de la

información, se diseñó el curso a través de e-learning de seguridad de la información,
dirigido a la comunidad Esapista.

• El levantamiento de los instrumentos de gestión de la información pública de la ESAP

se realizó en el último trimestre de 2021, para dar cumplimiento a la Ley 1712 de 2014-
Ley de transparencia de acceso a la información pública. Estos instrumentos fueron
aprobados por el Comité́ Institucional de Gestión y desempeño No. 01 del 25 de enero
de 2022 y se encuentran publicados en el Portal Web institucional en los siguientes
enlaces:

- https://www.esap.edu.co/portal/index.php/transparencia-2/registro-de-activos-
de-informacion/
- https://www.esap.edu.co/portal/index.php/transparencia-2/indice-de-
informacion-clasificada-y-reservada/
- https://www.esap.edu.co/portal/index.php/transparencia-2/esquema-de-
publicacion-de-informacion/

 Así mismo y de acuerdo con la metodología establecida por la ESAP en el instrumento

de medición, a los activos de información cuya calificación sea ALTA, debe realizarse
el levantamiento de riesgos de seguridad de la información, actividad que se realizó
el último trimestre de 2021, los riesgos fueron publicados en el portal Web de la
ESAP- Mapa de Riesgos Institucional-2022.

Una vez los propietarios de los activos de Información realicen el reporte de

cumplimiento de sus planes de tratamiento y controles, el Oficial de Seguridad y
Privacidad de la Información, realizarán la revisión y validación de esta información,
con el fin de reportar la medición de la gestión del riesgo, a través de la
implementación de los controles definidos en el Mapa de Riesgos Institucional para
los riesgos de Seguridad y Privacidad de la Información.

Página 13 de 28

VERSIÓN PRELIMINAR
 Los siguientes documentos hacen parte de la gestión del Modelo de Seguridad y
privacidad de la información de la ESAP, fueron actualizados en su mayoría durante
el 2021 y se encuentran publicados en el Sistema integrado de gestión.

- PT-A-GT-11 Procedimiento de Seguridad y Privacidad de la Información

- DC-A-GT-26 Guía para la gestión de activos de información V2
- DC-S-GT-11 Guía para el uso aceptable de los activos de información V3
- DC-S-GT-32 Manual de Políticas TI (Incluye las políticas de seguridad de la
información)
- RE-S-GT-24 Inventario de Identificación y Clasificación de activos V4
- PCI-GT-05 Riesgos de seguridad digital y seguridad de la información mitigados
- PCI-GT-06Plan de sensibilización ejecutado en el periodo
- PCI-GT-07 Cumplimiento en la implementación del SGSI
- Plan de Seguridad y Privacidad de la Información
- Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información

Página 14 de 28

VERSIÓN PRELIMINAR
7.3. CRONOGRAMA DE ACTIVIDADES

Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final

1. Monitorear el Cumplimiento del Plan de Seguridad y Privacidad de

A.5. Políticas de la
la Información y el Plan de Tratamiento de Riesgos de Seguridad y Oficial de Seguridad
seguridad de Diciembre
Privacidad de la Información. de la Información Mayo 2022
la 2022
2. Actualizar el Manual del Sistema Integrado de Gestión, en lo
información
concerniente a la seguridad y privacidad de la información.

1. Realizar una correcta segregación de actividades y perfiles a través

del levantamiento de roles de los usuarios para cada uno de los
procesos, las aplicaciones y la aprobación por parte de los dueños
de la información. Oficial de Seguridad
2. Mantener actualizada la Matriz de contacto con autoridades. de la Información
A.6. (Actividades 2,4, y 5)
3. Mantener contacto con diferentes autoridades, grupos de seguridad
Organización de la nacional e internacionales con el fin de estar actualizado y en Diciembre de
seguridad de Oficina de Febrero 2022
contacto con expertos en Seguridad y Ciberseguridad. 2022
la 4. Hacer seguimiento a la implementación de la política para la Tecnologías de la
información seguridad en todos los proyectos. Información y las
5. Incluir en el plan de sensibilización la divulgación de la guía de uso Comunicaciones
(Actividades 1, 3)
aceptable de los activos y la declaración de responsabilidad para
confirmar el compromiso de la protección de los activos, los archivos
y datos en todos sus aspectos, procesos y situaciones.

VERSIÓN PRELIMINAR Página 15 de 28

 Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
1. Dar continuidad al plan de sensibilización en seguridad de la
A.7. información dentro del proceso de inducción institucional.
Oficial de Seguridad Marzo Diciembre
Seguridad de los 2. Actualizar el plan de sensibilización en aspectos de seguridad de la
de la Información 2022 2022
recursos humanos información, en temas de políticas, procedimientos, cultura de
seguridad para toda la comunidad Esapista.
1. Automatizar el proceso de gestión de accesos y de aprovisionamiento
para eliminar los errores que pueden surgir por los diferentes actores
involucrados.
2. Validar el control y la recepción de responsabilidades sobre las
A.9. Control de Oficial de Seguridad Marzo Diciembre
contraseñas de cada usuario.
acceso de la Información 2022 2022
3. Realizar el levantamiento con los propietarios de los activos de la
matriz de roles y perfiles de cada sistema de información para tener
el control y la segregación de los derechos de acceso a los sistemas de
información y aplicaciones.
Oficial de Seguridad
de la Información
1. Monitorear los controles físicos en aquellas áreas con información (Actividades 1 y 2)
A.11. sensible o crítica, e instalaciones de manejo de información.
2. Monitorear el cumplimiento de normas de seguridad física. Mayo Diciembre
Seguridad Oficina de
3. Efectuar la adecuación y mantenimiento del Centro de Datos y 2022 2022
física y del entorno Tecnologías de la
Centro de Cableado.
Información y las
4. Fortalecer el mantenimiento de planta eléctrica y UPS.
Comunicaciones
(Actividades 3 y 4)
A.12. 1. Monitorear la implementación en la herramienta Service Manager de
Seguridad de los procedimientos de gestión de cambios, la capacidad y Marzo Diciembre
Oficial de Seguridad
disponibilidad de la infraestructura e incidentes.
las de la Información 2022 2022
2. Implementar los procedimientos de monitoreo de disponibilidad y
operaciones seguridad.

Página 16 de 28

VERSIÓN PRELIMINAR
 Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
3. Realizar el monitoreo a la remediación de las vulnerabilidades.
4. Implementar sistema para la gestión de Backups, respaldo y
resguardo de la información.
5. Monitorear la administración de herramientas de seguridad como
(Antivirus, WSUS, Barracuda, Firewall) y demás elementos que
ayuden a la seguridad de la información.
6. Monitorear las herramientas de código malicioso.
7. Documentar las guías de reinicio y recuperación del sistema para uso
en el caso de falla del sistema de activación del Plan de Recuperación
de Desastres
8. Ejecutar el procedimiento de monitoreo para conservar y revisar
regularmente los registros acerca de actividades del usuario,
excepciones, fallas y eventos de seguridad de la información.

A.13. 1. Implementar y monitorear la separación de las redes para los Oficina de

Seguridad de diferentes ambientes, usuarios y sistemas de información más Diciembre
Tecnologías de la
críticos. Marzo 2022
las Información y las 2022
2. Monitorear el cumplimiento de las normas para la transferencia de
comunicaciones Comunicaciones
información.

1. Monitorear la continuidad de la protección de los códigos fuente de

A.14. programación.
Adquisición, 2. Monitorear la inclusión en los contratos para desarrollos externos el
cumplimiento de las políticas y principios de desarrollo seguro de Oficial de Seguridad Junio Diciembre
desarrollo y
software. de la Información 2022 2022
mantenimiento de
3. Monitorear la implementación de la protección de datos de prueba,
sistemas para los ambientes diferentes a producción, a través de técnicas de
ofuscamiento o data scrambling.

Página 17 de 28

VERSIÓN PRELIMINAR
 Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
4. Dar continuidad al uso de técnicas de anonimización de los datos, que
permitan la preservación de la privacidad de los datos.

A.15. 1. Socializar e implementar los aspectos de seguridad de la

información para proveedores y terceras partes. Oficial de Seguridad Marzo Diciembre
Relaciones con los
2. Monitorear el cumplimiento de los controles de seguridad de la de la Información 2022 2022
proveedores
información para proveedores existentes.

A.17. 1. Revisar la seguridad digital para la estrategia de contingencia

Aspectos de definida.
2. Ejecutar pruebas del escenario de simulación y respuesta a ataques Oficina de
seguridad de la
cibernéticos. Tecnologías de la Diciembre
información de la Agosto 2022
3. Implementar la Guía para la identificación de infraestructura critica Información y las 2022
gestión de
cibernética. Decreto 338 del 8 de marzo de 2022. Comunicaciones
continuidad de
negocio
1. Realizar el monitoreo al cumplimiento de los procedimientos de
administración de los softwares.
2. Monitorear la actualización de los lineamientos para la protección
A.18. Oficial de Seguridad Marzo Diciembre
de datos personales.
Cumplimiento de la Información 2022 2022
3. Monitorear el cumplimiento de las guías definidas para criptografía.
4. Ejecutar los análisis de vulnerabilidades máximo 2 y mínimo una vez
al año.
A.19
1. Realizar la recolección de bases de datos personales de acuerdo con
Privacidad y Oficial de Seguridad
los estándares emitidos por la SIC-La Superintendencia de Industria y Junio
protección de de la Información Agosto 2022
Comercio. 2022
Datos
2. Registrar y actualizar de manera permanente las bases de datos.
Personales

Página 18 de 28

VERSIÓN PRELIMINAR
8. RECURSOS
La estimación y asignación de los recursos para la implementación del Plan de Tratamiento
de Riesgos de Seguridad y Privacidad de la Información, se llevará a cabo con recursos del
proyecto de inversión denominado: “Fortalecimiento de la Infraestructura Física y
Tecnológica de la ESAP a nivel Nacional 2022-2025” 3.5. Mantener el Sistema de Gestión de
la Seguridad de la Información, que tiene por objetivo fortalecer la Seguridad y Privacidad de
la Información, en sus tres pilares fundamentales que son, confidencialidad, integridad y
disponibilidad, de acuerdo con las políticas y lineamientos de la ESAP. Toda vez que la
vigencia de este plan es hasta el 2022, este proyecto de inversión será actualizado en la
siguiente anualidad.

Si la implementación implica la adquisición de herramientas o servicios tecnológicos bajo la

responsabilidad de la Oficina de Tecnologías de la Información y las Comunicaciones, los
recursos se tomarán del proyecto de inversión “Fortalecimiento de la Infraestructura Física
y Tecnológica de la ESAP a nivel Nacional 2022-2025”.

9. SEGUIMIENTO Y MEDICIÓN DEL PLAN

Se prevé realizar monitoreo y seguimiento al cumplimiento de las actividades del plan
definidas en el cronograma, en consonancia con las responsabilidades determinadas en la
Resolución 270 de 2022.

Toda vez que el presente Plan está integrado al Plan de Acción Institucional de la vigencia, el
seguimiento se realizará cuatrimestralmente y se reportará el resultado de cada período, en
el instrumento de seguimiento al Plan de Acción, en el compromiso asociado al Plan de
Seguridad y Privacidad de la Información.

En atención a lo dispuesto en el Procedimiento para la Gestión de Planes Institucionales PT-

S-PE-06, al final de la vigencia se reportará el Informe Anual de Implementación de Planes
Institucionales en el formato RE-S-PE-37 establecido para tal fin.

9.1. INDICADORES

La medición se realiza con el indicador “Cumplimiento en la implementación del SGSI”, que

está orientado principalmente a aumentar el nivel de madurez de la implementación y
operación del SGSI, el cual se encuentra caracterizado en el instrumento PCI-GT-07.

Para este fin, se utilizará el Instrumento de identificación de la línea base de seguridad,

proporcionado por el Ministerio de Tecnologías de la Información y las Comunicaciones. El

VERSIÓN PRELIMINAR Página 19 de 28

avance en ciclo PHVA del sistema debe aumentar en 5 puntos frente al diagnóstico actual,
para lograr un avance del 97%.

𝑃𝑜𝑟𝑐𝑒𝑛𝑡𝑎𝑗𝑒 𝑑𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑑𝑒𝑙 𝑆𝐺𝑆𝐼

Meta de cumplimiento programadas del SGSI

Adicionalmente, el Oficial de Seguridad de la Información y la Dirección de Entornos y

Servicios Virtuales, los cuales son los responsables del PSPI, realizarán análisis y medirán el
cumplimiento del presente Plan, a través del resultado del siguiente indicador, para el cual
la meta es 100%:

Número de actividades ejecutadas

N° de Actividades Programada

También, se construyeron los siguientes:

 PCI-GT-05 Riesgos de Seguridad Digital y Seguridad de la Información mitigados

 PCI-GT-06 Plan de Sensibilización ejecutado en el periodo

10. ANEXO 1. ESTRATEGIA DE SEGURIDAD DIGITAL

Página 20 de 28

VERSIÓN PRELIMINAR
ANEXO 1. ESTRATEGIA DE SEGURIDAD DIGITAL
2022 V1

ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA

Oficina de Tecnologías de la Información y las Comunicaciones
VERSIÓN PRELIMINAR
Página 20 de 28
Contenido

1. PRESENTACIÓN .................................................................................................................. 22
2. DESARROLLO DE LA ESTRATEGIA ..................................................................................... 22
2.1 DIAGNÓSTICO DE LOS DOMINIOS DE SEGURIDAD DIGITAL.......................................... 22
2.2 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADOS A LA
INFORMACIÓN DIGITAL......................................................................................................... 23
2.3 CAPACITACIÓN Y CONCIENTIZACIÓN EN SEGURIDAD DIGITAL .................................... 24
2.4 ETAPA DE IMPLEMENTACIÓN ......................................................................................... 24
3. CRONOGRAMA .................................................................................................................. 25
4. INDICADORES .................................................................................................................... 28

Página 21 de 28

VERSIÓN PRELIMINAR
 1. PRESENTACIÓN
El CONPES 3995 de 2020 define el concepto de seguridad digital como la situación de
normalidad y de tranquilidad en el entorno digital (ciberespacio), derivada de la realización
de los fines esenciales del Estado, mediante:

• La gestión del riesgo de seguridad digital.

• La implementación efectiva de medidas de ciberseguridad.
• El uso efectivo de las capacidades de ciberdefensa que “demanda la voluntad social
y política de las múltiples partes interesadas y de los ciudadanos del país".

En atención a lo anterior y dando cumplimiento a la resolución 270 de 2022, se define la

Estrategia de Seguridad Digital, la cual establece las iniciativas y acciones a desarrollar en el
2022, con el fin de cerrar las brechas actuales para mejorar el nivel de seguridad digital de la
Entidad tomando en cuenta sus capacidades de negocio.

Comprende la descripción y programación de las actividades a realizar, de acuerdo con el

resultado la aplicación de la línea base del autodiagnóstico del Modelo de Seguridad y
Privacidad de la Información - MSPI emitido por el Ministerio de las Tecnologías de la
Información y las Comunicaciones – MINTIC.

En este sentido, la Oficina de Tecnologías de la Información y las Comunicaciones – OTIC es la

encargada de realizar esta implementación, que incluye los controles tecnológicos de
seguridad necesarios para el cierre de la brecha y realiza la sensibilización en temas de
seguridad Digital.

2. DESARROLLO DE LA ESTRATEGIA

2.1 DIAGNÓSTICO DE LOS DOMINIOS DE SEGURIDAD DIGITAL

Con el fin de dar cumplimiento al cierre de la vigencia, en el mes de enero se realizó́ la

medición del instrumento de identificación de la línea base de seguridad, proporcionado por
el Ministerio de Tecnologías de la Información y las Comunicaciones, se realizó la calificación
del autodiagnóstico con corte a diciembre de 2021.

En cuanto a los dominios relacionados con seguridad digital se presenta el avance como se
muestra en la siguiente tabla:

Página 22 de 28

VERSIÓN PRELIMINAR
Así mismo se realiza la revisión de los avances en la implementación de los controles
definidos por la Norma ISO 27001:2013, Anexo A, en cada uno de los dominios relacionados
con el proceso de gestión tecnológica, para la protección de la información digital, de lo cual
se puede concluir:

 Los dominios que se encuentran en el nivel Gestionado requieren la implementación

de acciones de automatización de los controles y realizar el monitoreo permanente
del control.

A continuación, se presentan los controles que requieren alcanzar un nivel

Optimizado en su implementación:

 En los dominios que están en nivel Optimizado, se deben implementar acciones de

monitoreo y mantenimiento para llevarlos a un nivel de mejoramiento continuo.

2.2 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADOS A

LA INFORMACIÓN DIGITAL

Los riesgos de seguridad de la información asociados al proceso de Gestión Tecnológica involucran la

combinación de amenazas y vulnerabilidades en el entorno digital que pueden debilitar el logro de
objetivos de la Entidad, estos se encuentran documentados en el Mapa de Riesgos Institucional 2022
y cuentan con su debido Plan de Tratamiento.

Para el desarrollo de esta estrategia se realizarán las siguientes actividades:

 Revisión y valoración de los riesgos de gestión tecnológica en conjunto con el Oficial de

Seguridad de la Información.

Página 23 de 28

VERSIÓN PRELIMINAR
  Ejecución de los planes de tratamiento de riesgo.
 Ejecución del plan de gestión de vulnerabilidades.
 Seguimiento de los riesgos y controles identificados.
 Identificación de nuevos riesgos del proceso de gestión tecnológica.

2.3 CAPACITACIÓN Y CONCIENTIZACIÓN EN SEGURIDAD DIGITAL

Para el desarrollo de esta estrategia se realizarán las siguientes actividades:

 Solicitar la Inclusión en el Plan Institucional de Capacitaciones – PIC 2022 de los temas en

materia de Seguridad Digital que sean pertinentes para toda la Entidad.
 Definición, difusión, capacitación y concientización en materia de seguridad digital y
ciberseguridad, sobre tema como:

 Conceptos de seguridad digital (Ciberespacio, Cibercrimen, ciberterrorismo, etc)

 Tipos de fraude y como prevenirlos (Phishing, robo de identidad, vishing, etc)
 Protección de información personal en medios digitales.
 Riesgos y amenazas en entornos digitales

 Comunicación de alertas y/o amenazas de manera oportuna.

2.4 ETAPA DE IMPLEMENTACIÓN

En consonancia con lo anterior y de acuerdo con los resultados reflejados en la gráfica N°1,
se definieron las actividades descritas en el cronograma, para el cierre de la brecha de los
dominios de seguridad digital, bajo el liderazgo de la OTIC.

Gráfica 1. Brecha Dominios Seguridad Digital

Página 24 de 28

VERSIÓN PRELIMINAR
 3. CRONOGRAMA

Dominios ISO ÁREA Fechas de Programación

Actividades para lograr los objetivos del SGSI 2021
27001 RESPONSABLE Fecha Inicio Fecha Final
1. Hacer seguimiento al cumplimiento de la política de control de acceso.
2. Hacer seguimiento al cumplimiento de la guía de Conexión y administración de
Redes.
3. Gestionar el proceso de contratación y hacer seguimiento al cumplimiento del
proyecto de gestión de identidades.
4. Hacer seguimiento para que se implemente el ingreso seguro en todas las
aplicaciones.
5. Definir, aprobar e implementar un procedimiento de gestión de perfiles y roles Oficina de
A.9. Control de de accesos, y realizar el levantamiento de la matriz de perfiles. Tecnologías de la Febrero de Diciembre de
acceso 6. Hacer seguimiento al cumplimiento de los estándares para mantener la Información y 2022 2022
robustez de la información de autenticación secreta personal. Comunicaciones
7. Monitorear y realizar las capacitaciones pertinentes para controlar los
derechos de acceso privilegiado asociados con cada sistema, (sistema
operativo, sistema de gestión de bases de datos, y cada aplicación).
8. Hacer seguimiento al proceso de instalación del uso de programas utilitarios
con la función de anular los controles de sistemas y las aplicaciones y hacer
seguimiento al control de acceso al código de programas fuente.
9. Mantener en custodia los Usuarios Privilegiados.
Oficina de
1. Monitorear el proceso de aseguramiento de los sitios que requieran
Tecnologías de la
autenticación a través de certificados digitales Febrero de Diciembre de
A.10. Criptografía Información y
2. Gestionar el proceso para la adquisición de los certificados que se requieran 2022 2022
Comunicaciones
para la operación.

1. Monitorear el cumplimiento de la guía de gestión de Capacidad

Oficina de
2. Monitorear el cumplimiento de la guía de gestión de equipos de cómputo.
A.12. Seguridad Tecnologías de la Febrero de Diciembre de
3. Operar el procedimiento de gestión de cambios.
de las operaciones Información y 2022 2022
4. Monitorear el cumplimiento de la guía de gestión de disponibilidad
Comunicaciones
Ejecutar la guía de gestión de vulnerabilidades a través de los indicadores,

VERSIÓN PRELIMINAR
Página 25 de 28
 Dominios ISO ÁREA Fechas de Programación
Actividades para lograr los objetivos del SGSI 2021
27001 RESPONSABLE Fecha Inicio Fecha Final
garantizando así la mejora continua de la seguridad de las plataformas
tecnológicas.
5. Continuar con la separación de los ambientes de desarrollo, prueba y
producción, para reducir los riesgos de acceso o cambios no autorizados al
ambiente de producción.
6. Ejecutar la guía de monitoreo de seguridad.
7. Hacer seguimiento al cumplimiento del procedimiento de control de software.
8. Monitorear la adecuación, mantenimiento y organización de los Centros de
Datos y centro de cableado.
9. Hacer seguimiento a la ejecución de procedimiento trabajo en áreas seguras.
10. Definir, diseñar, implementar y aprobar el Plan de Recuperación de Desastres
que permita recuperar la tecnología que soporta los procesos críticos de la
Entidad y que garanticen la continuidad de estos.
11. Revisión de sistemas de alta disponibilidad para los procesos críticos.
12. Hacer seguimiento a la implementación del Anexos 3 y 4 de la Resolución 1519
de 2020 de MINTIC.
1. Continuar con la implementación y cumplimiento de la guía de conexión y
Oficina de
A.13. Seguridad administración de redes y la implementación de IPV6.
Tecnologías de la Febrero de Diciembre de
de las 2. Ejecutar las actividades de gestión tanto para optimizar el servicio de la
Información y 2022 2022
comunicaciones Entidad, como para asegurar que los controles se apliquen en forma coherente
Comunicaciones
a través de la infraestructura de procesamiento de información.
1. Definir en un documento la protección de los códigos fuentes de los programas
que incluya:
a) Definir un sitio para mantener las librerías de las fuentes de programas.
Oficina de
A.14. Adquisición, b) Establecer que el manejo por perfiles para restringir el acceso a las librerías
Tecnologías de la
desarrollo y fuentes de los programas desplegados en producción. Febrero de Diciembre de
Información y
mantenimiento de c) Definir que la actualización de las librerías de fuentes de programas y 2022 2022
Comunicaciones
sistemas elementos asociados, sólo se deben hacer una vez que se haya recibido
autorización apropiada en el paso a producción.
d) Establecer la ubicación y el aplicativo de control de versiones en donde estén
los programas en un entorno seguro.

Página 26 de 28

VERSIÓN PRELIMINAR
 Dominios ISO ÁREA Fechas de Programación
Actividades para lograr los objetivos del SGSI 2021
27001 RESPONSABLE Fecha Inicio Fecha Final
e) Mantener las fuentes de programas a través de mecanismos de
versionamiento y despliegue continuo ofrecidos por las herramientas de
control de versión.
2. Monitorear el cumplimiento de los procedimientos de desarrollo seguro y la
verificación de los criterios de seguridad de los programas y la protección de
códigos fuentes definidas en el punto 1.
3. Definir los requisitos de seguridad para el desarrollo de software y hacer la
validación.
4. Aplicar lo establecido en la guía de desarrollo de software durante los
desarrollos, las pruebas de funcionalidad de la seguridad a través de la
herramienta de gestión de vulnerabilidades y realizar los ajustes de seguridad.
1. Operar el procedimiento de incidencias de seguridad.
2. Capacitar a los usuarios en el procedimiento de gestión de incidencias.
3. Construir las guías de atención para los incidentes comúnmente presentados
que no se encuentren documentados.
4. Realizar la medición del procedimiento a través de los indicadores definidos.
5. Realizar los procesos de retroalimentación adecuados para asegurar que las
personas que reportan eventos de seguridad de la información sean notificadas
A.16. Gestión de de los resultados después de que la cuestión haya sido tratada y cerrada. Oficina de
incidentes de 6. Definir el proceso de contratación del SOC, el cual incluye el servicio de Tecnologías de la Febrero de Diciembre de
seguridad de la correlación de eventos. Información y 2022 2022
información 7. Implementar los controles para mitigación de acuerdo con la caracterización Comunicaciones
los riesgos cibernéticos e identificar los supuestos (configura el adversario y su
entorno), objetivos (establece las motivaciones del adversario), capacidades
(identifica el nivel de daño que pueda causar), impactos (analiza las
afectaciones claves que pueda ocasionar) y aprendizajes (revela puntos ciegos
en el modelo de seguridad informática.
8. Ejecutar pruebas del escenario de simulación y respuesta a ataques
cibernéticos dentro del plan de recuperación ante desastres.

Página 27 de 28

VERSIÓN PRELIMINAR
 4. INDICADORES
La medición de las actividades definidas en la Estrategia se realizarán a través de los
siguientes indicadores:

1. Accesos gestionados correctamente en los sistemas de información - PCI-GT-01

Mantener depurados los accesos a los diferentes sistemas de información por parte de
los administradores y propietarios de la información. A.11.2. Gestión de acceso a
usuario. La meta es 60%

𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑛𝑜 𝑟𝑒𝑝𝑜𝑟𝑡𝑎𝑑𝑜𝑠 𝑝𝑎𝑟𝑎 𝑒𝑙𝑖𝑚𝑖𝑛𝑎𝑐𝑖ó𝑛

𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑎 𝑒𝑙𝑖𝑚𝑖𝑛𝑎𝑟 𝑒𝑛 𝑢𝑛 𝑠𝑖𝑠𝑡𝑒𝑚𝑎

2. Cambios aprobados con resultado exitoso - PCI-GT-02. Gestionar los cambios

tecnológicos en los sistemas de información y la infraestructura tecnológica. Dominio
A.12 Seguridad de las Operaciones. La meta es del 85%

𝑁º 𝑑𝑒 𝑐𝑎𝑚𝑏𝑖𝑜𝑠 𝑎𝑝𝑟𝑜𝑏𝑎𝑑𝑜𝑠 𝑒𝑥𝑖𝑡𝑜𝑠𝑜𝑠

𝑁º 𝑑𝑒 𝑐𝑎𝑚𝑏𝑖𝑜𝑠 𝑎𝑝𝑟𝑜𝑏𝑎𝑑𝑜𝑠 𝑒𝑛 𝑒𝑙 𝑝𝑒𝑟𝑖𝑜𝑑𝑜

3. Incidentes de seguridad de la información gestionados oportunamente - PCI-GT-03

Gestionar los incidentes y eventos de seguridad de la información reportados en un
periodo determinado de manera oportuna. Dominio A.16 Gestión de Incidentes de
Seguridad de la Información. La meta es del 85%

𝑁º 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑦 𝑒𝑣𝑒𝑛𝑡𝑜𝑠 𝑑𝑒 𝑆𝐼 𝑔𝑒𝑠𝑡𝑖𝑜𝑛𝑎𝑑𝑜𝑠

𝑁º 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑦 𝑒𝑣𝑒𝑛𝑡𝑜𝑠 𝑑𝑒 𝑆𝐼 𝑟𝑒𝑝𝑜𝑟𝑡𝑎𝑑𝑜𝑠

4. Vulnerabilidades identificadas y gestionadas en la plataforma tecnológica - PCI-GT-04

Gestionar las vulnerabilidades en los sistemas e infraestructura, para proteger la
información, las instalaciones de procesamiento, soporte y el ciclo de vida de
desarrollo. Dominio A.13 Seguridad de las Comunicaciones - Dominio A.14 Adquisición,
desarrollo y mantenimiento de sistemas. La meta es del 70%

𝑁º 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑡é𝑐𝑛𝑖𝑐𝑎𝑠 𝑡𝑟𝑎𝑡𝑎𝑑𝑎𝑠 𝑦 𝑐𝑒𝑟𝑟𝑎𝑑𝑎𝑠

𝑁º 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑎𝑙𝑡𝑎𝑠 𝑦 𝑐𝑟𝑖𝑡𝑖𝑐𝑎𝑠 𝑑𝑒𝑡𝑒𝑐𝑡𝑎𝑑𝑎𝑠

5. Adicionalmente, se medirá el cumplimiento del presente Plan, a través del resultado

del siguiente indicador, para el cual la meta es 100%:

𝑁° 𝑑𝑒 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒𝑠 𝐸𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑎𝑠
𝑁° 𝑑𝑒 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒𝑠 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑑𝑎𝑠

VERSIÓN PRELIMINAR
Página 28 de 28