Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACIÓN
2022 V1
Tomado de: https://ecuador.unir.net/wp-content/uploads/sites/8/2021/06/shutterstock_1788958916.jpg
Página 1 de 28
VERSIÓN PRELIMINAR
CONTROL DE CAMBIOS
Instancia de
Versión Fecha Descripción
Aprobación
Formulación del Plan de Seguridad y
Privacidad de la Información 2022, en
Comité Institucional conjunto con la Estrategia de Seguridad
01 XX/XX/2022 de Gestión y Digital 2022.
Desempeño
Aprobado en sesión del Comité Institucional
de Gestión y Desempeño del XXX de 2022.
Página 2 de 28
VERSIÓN PRELIMINAR
1. INTRODUCCIÓN
La seguridad y privacidad de la Información como habilitador transversal de la Política de
Gobierno Digital se desarrolla a través del Modelo de Seguridad y Privacidad de la
Información -MSPI, orientando la gestión e implementación del Sistema de Gestión de
Seguridad de la Información – SGSI, con el fin de incorporar la seguridad de la información
en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en
general, en todos los activos de información de la ESAP, con el fin de preservar la
confidencialidad, integridad, disponibilidad y privacidad de los datos.
2. OBJETIVO
Garantizar la confidencialidad, integridad y disponibilidad de la información, mediante la
formulación e implementación de actividades y controles de seguridad alineadas con las
Política de Gobierno Digital y la Política de Seguridad Digital, de acuerdo con el alcance
definido por la ESAP.
3. ALCANCE
El presente Plan comprende la descripción y programación de las actividades a realizar por
la ESAP durante la vigencia 2022, como parte de la Implementación del Sistema de Gestión
de la Seguridad de la Información (SGSI), de acuerdo con el Modelo de Seguridad y Privacidad
de la Información - MSPI emitido por el Ministerio de las Tecnologías de la Información y las
Página 3 de 28
VERSIÓN PRELIMINAR
Comunicaciones – MINTIC, y la Norma ISO/IEC 27001:2013. La cual se aplica a todas las
Sedes, Áreas, Oficinas, Dependencias y Procesos de la ESAP.
4. MARCO NORMATIVO
TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
Por medio de la cual se crea la Ley de Transparencia y del
Ley 1712 2014 Derecho de Acceso a la Información Pública Nacional y se
dictan otras disposiciones.
Decreto 1499 de 2017. Por medio del cual se modifica el
Decreto 1083 de 2015, Decreto Único Reglamentario del
Decreto 1083 2015 Sector Función Pública, en lo relacionado con el Sistema
de Gestión establecido en el artículo 133 de la Ley 1753
de 2015.
Por medio del cual se expide el Decreto Único
Decreto 1078 2015 Reglamentario del Sector de Tecnologías de la
Información y las Comunicaciones
Por medio del cual se establecen los lineamientos
generales de la Política de Gobierno Digital y se subroga el
Decreto 1008 2018 capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto
1078 de 2015, Decreto Único Reglamentario del sector de
Tecnologías de la Información y las Comunicaciones.
Por el cual se dictan normas para simplificar, suprimir y
Decreto 2106 2019 reformar trámites, procesos y procedimientos
innecesarios existentes en la administración pública.
Por el cual se modifica la estructura de la Escuela Superior
Decreto 164 2021
de Administración
Por el cual se modifica la planta de personal de la Escuela
Decreto 165 2021 Superior de Administración Pública - ESAP y se dictan otras
disposiciones
lineamientos generales para fortalecer la gobernanza de
la seguridad digital, la identificación de infraestructuras
Decreto 338 2022
críticas cibernéticas y servicios esenciales, la gestión de
riesgos y la respuesta a incidentes de seguridad digital.
“Por la cual se modifica la Política de Administración de
Riesgos de la Escuela Superior de Administración Pública -
Resolución 1186 2020 ESAP, se adopta la Guía para la Administración de Riesgos
y el Diseño de Controles en Entidades Públicas del DAFP y
se dictan otras disposiciones”
Por la cual se definen los estándares y directrices para
publicar la información señalada en la Ley 1712 del 2014 y
Resolución
1519 2020 se definen los requisitos materia de acceso a la
MINTIC
información pública, accesibilidad web, seguridad digital,
y datos abiertos.
Página 4 de 28
VERSIÓN PRELIMINAR
TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
Por la cual se establecen los lineamientos y estándares
Resolución para la estrategia de seguridad digital y se adopta el
500 2021
MINTIC modelo de seguridad y privacidad como habilitador de la
Política de Gobierno Digital.
Por la cual se fortalece el Modelo de Seguridad y
Resolución Privacidad de la Información y se definen lineamientos
746 2022
MINTIC adicionales a los establecidos en la Resolución No. 500 de
2021.
Por la cual se designa al Oficial de Seguridad y Privacidad
Resolución 247 2022 de la Información de la Escuela - Superior de
Administración Pública – ESAP.
Por la cual se actualizaron los lineamientos del Sistema de
Gestión de Seguridad de la Información - SGSI, y se
Resolución 270 2022 establecen los estándares para la implementación de la
estrategia de la seguridad digital en la Escuela Superior de
Administración Pública – ESAP.
Directiva Reiteración de la política pública en materia de seguridad
2 2022
Presidencial digital.
CONPES Lineamientos de Política para Ciberseguridad y
3701 2011
Ciberdefensa.
CONPES
3854 2016 Política Nacional de Seguridad Digital
Política Nacional para la Transformación Digital e
CONPES 3975 2019
Inteligencia Artificial.
CONPES 3995 2020 Política Nacional de Confianza y Seguridad Digital.
Modelo de Seguridad y Privacidad de la Información –
MSPI
Se encuentra alineado con el Marco de Referencia de
Arquitectura TI y soporta transversalmente los otros
DOCUMENTO TÉCNICO
2016 componentes de la Política de Gobierno Digital, TIC para
EXTERNO
el Estado y TIC para la Sociedad. TIC, que son habilitados
por tres elementos transversales: Seguridad de la
Información, Arquitectura y Servicios Ciudadanos
Digitales. Versión 3.0.2, julio de 2016.
Manual para la Implementación de la Política de Gobierno
DOCUMENTO TÉCNICO Digital
2019
EXTERNO Implementación de la Política de Gobierno Digital
(Decreto 1008 de 2018). Versión 7, abril de 2019
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27001 2013 Sistemas de Gestión de la Seguridad de la Información
(SGSI). Requisitos.
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27002 2013
Código de Práctica para controles de seguridad de la
Página 5 de 28
VERSIÓN PRELIMINAR
TIPO DE
NÚMERO AÑO DESCRIPCIÓN - EPÍGRAFE
NORMA
información.
5. RESPONSABLES
El monitoreo y revisión de la gestión de los riesgos está alineado con el esquema de
asignación de responsabilidades y roles, el cual se distribuye en cuatro (4) líneas de
defensa, las cuales se despliegan en la Política de Administración de Riesgos vigente
de la Entidad. De igual forma, se detallan las responsabilidades del rol del Oficial de
Seguridad y Privacidad de la Información y el Líder de Seguridad Digital en la
Resolución 270 de 2022, en lo concerniente a la formulación, implementación y
seguimiento del Plan de Seguridad y Privacidad de la Información y su Estrategia de
Seguridad Digital.
6. DEFINICIONES
Activo: En cuanto a la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organización. (ISO/IEC
27000).
Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte
material, acumulados en un proceso natural por una persona o Entidad pública o
privada, en el transcurso de su gestión, conservados respetando aquel orden para
servir como testimonio e información a la persona o institución que los produce
y a los ciudadanos, o como fuentes de la historia. También se puede entender
como la institución que está al servicio de la gestión administrativa, la
información, la investigación y la cultura. (Ley 594 de 2000, art 3)
Amenazas: Causa potencial de un incidente no deseado, que puede provocar
daños a un sistema o a la organización. (ISO/IEC 27000).
Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar
el nivel de dicho riesgo. (ISO/IEC 27000).
Auditoría: Proceso sistemático, independiente y documentado para obtener
evidencias de auditoría y obviamente para determinar el grado en el que se
cumplen los criterios de auditoría. (ISO/IEC 27000).
Ciberseguridad: Protección de activos de información, mediante el tratamiento
de las amenazas que ponen en riesgo la información que se procesa, almacena y
transporta mediante los sistemas de información que se encuentran
interconectados.
Ciberespacio: Es el ambiente tanto físico como virtual compuesto por
computadores, sistemas computacionales, programas computacionales
Página 6 de 28
VERSIÓN PRELIMINAR
(software), redes de telecomunicaciones, datos e información que es utilizado
para la interacción entre usuarios. (Resolución CRC 2258 de 2009).
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Contratistas: Entenderemos por contratista aquella persona natural o jurídica que
ha celebrado un contrato de prestación de servicios o productos con una entidad.
Control: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. Control es también utilizado
como sinónimo de salvaguarda o contramedida. En una definición más simple, es
una medida que modifica el riesgo.
Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de esta por parte de los individuos, entidades o procesos autorizados
cuando lo requieran.
Gestión de incidentes de seguridad de la información: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de
la información. (ISO/IEC 27000).
Guía: documento técnico que describe el conjunto de normas a seguir en los
trabajos relacionados con los sistemas de información.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta
realización de una acción o el correcto desarrollo de una actividad.
Parte interesada: (Stakeholder) Persona u organización que puede afectar a, ser
afectada por o percibirse a sí misma como afectada por una decisión o actividad.
Plan de continuidad del negocio: Plan orientado a permitir la continuación de las
principales funciones misionales o del negocio en el caso de un evento imprevisto
que las ponga en peligro. (ISO/IEC 27000).
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar
los riesgos de seguridad de la información inaceptables e implantar los controles
necesarios para proteger la misma. (ISO/IEC 27000).
Política del SGSI: Manifestación expresa de apoyo y compromiso de la alta
dirección con respecto a la seguridad de la información.
Política: Es la orientación o directriz que debe ser divulgada, entendida y acatada
por todos los miembros de la entidad.
Privacidad de datos: La privacidad de datos, también llamada protección de datos
es el aspecto de la tecnología de la información (TI) que se ocupa de la capacidad
que una organización o individuo tiene para determinar qué datos en un sistema
informático pueden ser compartidos con terceros
Procedimiento: Los procedimientos constituyen la descripción detallada de la
manera como se implanta una política.
Página 7 de 28
VERSIÓN PRELIMINAR
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
Rol: Papel, función que alguien o algo desempeña.
Seguridad de la información: Preservación de la confidencialidad, integridad, y
disponibilidad de la información. (ISO/IEC 27000).
Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y
recursos) que utiliza una organización para establecer una política y unos
objetivos de seguridad de la información y alcanzar dichos objetivos, basándose
en un enfoque de gestión y de mejora continua. (ISO/IEC 27000).
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas. (ISO/IEC 27000).
Página 8 de 28
VERSIÓN PRELIMINAR
Esta política puede ser consultada a detalle en el M-TI-01-Manual Políticas Seguridad
Información, y se complementa con las Políticas de Seguridad y Privacidad de la Información,
documentadas en el Manual de Políticas TI DC-A-GT-32.
Con el fin de dar cumplimiento al cierre de la vigencia, en el mes de enero de 2022 se realizó
la medición del instrumento de identificación de la línea base de seguridad del MINTIC, el
cual es una herramienta que fue creada con el fin de identificar el nivel de madurez en la
implementación del Modelo de seguridad y Privacidad de la Información, permitiendo
establecer el estado de la gestión y adopción de controles técnicos y administrativos al
interior de las Entidades Públicas.
Como resultado de su aplicación, con corte a diciembre de 2021, el avance general en el ciclo
PHVA del Sistema de Gestión de Seguridad y Privacidad de la Información de la ESAP alcanzó
el 94.7%, así:
Tabla 1. Avance ciclo de funcionamiento del Modelo de Seguridad y Privacidad de la Información MSPI
Página 9 de 28
VERSIÓN PRELIMINAR
Gráfica 1. Avance ciclo de funcionamiento del Modelo de Operación
A continuación, se presenta el avance general en el ciclo PHVA del Sistema de Gestión de Seguridad
y Privacidad de la Información de la ESAP en los últimos 4 años:
94,90%
89%
70%
52%
VERSIÓN PRELIMINAR
También como resultado de la medición del instrumento de identificación de la línea base
de seguridad del MINTIC, se realiza la revisión de los avances en la implementación de los
controles definidos por la Norma ISO 27001:2013, Anexo A con sus 114 Controles de
Seguridad y en cada uno de los dominios, de lo cual se puede concluir que los dominios que
se encuentran en el nivel gestionados, requieren la implementación de acciones de
automatización de los controles y el monitoreo permanente, análisis que evidenciará los
elementos principales para la formulación de este plan.
Página 11 de 28
VERSIÓN PRELIMINAR
12
2 2 2 2
1 1
Teniendo en cuenta los anteriores resultados, para la vigencia 2022 se debe definir el Plan
de Seguridad y privacidad de la información por parte del Oficial de Seguridad de la
información y llevar a cabo su implementación.
Página 12 de 28
VERSIÓN PRELIMINAR
Seguridad, en la cual se definen y priorizan las acciones a seguir y se realiza el seguimiento al
avance en dicha implementación.
- https://www.esap.edu.co/portal/index.php/transparencia-2/registro-de-activos-
de-informacion/
- https://www.esap.edu.co/portal/index.php/transparencia-2/indice-de-
informacion-clasificada-y-reservada/
- https://www.esap.edu.co/portal/index.php/transparencia-2/esquema-de-
publicacion-de-informacion/
Página 13 de 28
VERSIÓN PRELIMINAR
Los siguientes documentos hacen parte de la gestión del Modelo de Seguridad y
privacidad de la información de la ESAP, fueron actualizados en su mayoría durante
el 2021 y se encuentran publicados en el Sistema integrado de gestión.
Página 14 de 28
VERSIÓN PRELIMINAR
7.3. CRONOGRAMA DE ACTIVIDADES
Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
Página 16 de 28
VERSIÓN PRELIMINAR
Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
3. Realizar el monitoreo a la remediación de las vulnerabilidades.
4. Implementar sistema para la gestión de Backups, respaldo y
resguardo de la información.
5. Monitorear la administración de herramientas de seguridad como
(Antivirus, WSUS, Barracuda, Firewall) y demás elementos que
ayuden a la seguridad de la información.
6. Monitorear las herramientas de código malicioso.
7. Documentar las guías de reinicio y recuperación del sistema para uso
en el caso de falla del sistema de activación del Plan de Recuperación
de Desastres
8. Ejecutar el procedimiento de monitoreo para conservar y revisar
regularmente los registros acerca de actividades del usuario,
excepciones, fallas y eventos de seguridad de la información.
Página 17 de 28
VERSIÓN PRELIMINAR
Fechas de Programación
Dominios ISO 27001 Actividades para lograr los objetivos del SGSI 2022 Responsable Fecha Fecha
Inicio Final
4. Dar continuidad al uso de técnicas de anonimización de los datos, que
permitan la preservación de la privacidad de los datos.
Página 18 de 28
VERSIÓN PRELIMINAR
8. RECURSOS
La estimación y asignación de los recursos para la implementación del Plan de Tratamiento
de Riesgos de Seguridad y Privacidad de la Información, se llevará a cabo con recursos del
proyecto de inversión denominado: “Fortalecimiento de la Infraestructura Física y
Tecnológica de la ESAP a nivel Nacional 2022-2025” 3.5. Mantener el Sistema de Gestión de
la Seguridad de la Información, que tiene por objetivo fortalecer la Seguridad y Privacidad de
la Información, en sus tres pilares fundamentales que son, confidencialidad, integridad y
disponibilidad, de acuerdo con las políticas y lineamientos de la ESAP. Toda vez que la
vigencia de este plan es hasta el 2022, este proyecto de inversión será actualizado en la
siguiente anualidad.
Toda vez que el presente Plan está integrado al Plan de Acción Institucional de la vigencia, el
seguimiento se realizará cuatrimestralmente y se reportará el resultado de cada período, en
el instrumento de seguimiento al Plan de Acción, en el compromiso asociado al Plan de
Seguridad y Privacidad de la Información.
9.1. INDICADORES
N° de Actividades Programada
Página 20 de 28
VERSIÓN PRELIMINAR
ANEXO 1. ESTRATEGIA DE SEGURIDAD DIGITAL
2022 V1
1. PRESENTACIÓN .................................................................................................................. 22
2. DESARROLLO DE LA ESTRATEGIA ..................................................................................... 22
2.1 DIAGNÓSTICO DE LOS DOMINIOS DE SEGURIDAD DIGITAL.......................................... 22
2.2 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADOS A LA
INFORMACIÓN DIGITAL......................................................................................................... 23
2.3 CAPACITACIÓN Y CONCIENTIZACIÓN EN SEGURIDAD DIGITAL .................................... 24
2.4 ETAPA DE IMPLEMENTACIÓN ......................................................................................... 24
3. CRONOGRAMA .................................................................................................................. 25
4. INDICADORES .................................................................................................................... 28
Página 21 de 28
VERSIÓN PRELIMINAR
1. PRESENTACIÓN
El CONPES 3995 de 2020 define el concepto de seguridad digital como la situación de
normalidad y de tranquilidad en el entorno digital (ciberespacio), derivada de la realización
de los fines esenciales del Estado, mediante:
2. DESARROLLO DE LA ESTRATEGIA
En cuanto a los dominios relacionados con seguridad digital se presenta el avance como se
muestra en la siguiente tabla:
Página 22 de 28
VERSIÓN PRELIMINAR
Así mismo se realiza la revisión de los avances en la implementación de los controles
definidos por la Norma ISO 27001:2013, Anexo A, en cada uno de los dominios relacionados
con el proceso de gestión tecnológica, para la protección de la información digital, de lo cual
se puede concluir:
Página 23 de 28
VERSIÓN PRELIMINAR
Ejecución de los planes de tratamiento de riesgo.
Ejecución del plan de gestión de vulnerabilidades.
Seguimiento de los riesgos y controles identificados.
Identificación de nuevos riesgos del proceso de gestión tecnológica.
En consonancia con lo anterior y de acuerdo con los resultados reflejados en la gráfica N°1,
se definieron las actividades descritas en el cronograma, para el cierre de la brecha de los
dominios de seguridad digital, bajo el liderazgo de la OTIC.
VERSIÓN PRELIMINAR
3. CRONOGRAMA
VERSIÓN PRELIMINAR
Página 25 de 28
Dominios ISO ÁREA Fechas de Programación
Actividades para lograr los objetivos del SGSI 2021
27001 RESPONSABLE Fecha Inicio Fecha Final
garantizando así la mejora continua de la seguridad de las plataformas
tecnológicas.
5. Continuar con la separación de los ambientes de desarrollo, prueba y
producción, para reducir los riesgos de acceso o cambios no autorizados al
ambiente de producción.
6. Ejecutar la guía de monitoreo de seguridad.
7. Hacer seguimiento al cumplimiento del procedimiento de control de software.
8. Monitorear la adecuación, mantenimiento y organización de los Centros de
Datos y centro de cableado.
9. Hacer seguimiento a la ejecución de procedimiento trabajo en áreas seguras.
10. Definir, diseñar, implementar y aprobar el Plan de Recuperación de Desastres
que permita recuperar la tecnología que soporta los procesos críticos de la
Entidad y que garanticen la continuidad de estos.
11. Revisión de sistemas de alta disponibilidad para los procesos críticos.
12. Hacer seguimiento a la implementación del Anexos 3 y 4 de la Resolución 1519
de 2020 de MINTIC.
1. Continuar con la implementación y cumplimiento de la guía de conexión y
Oficina de
A.13. Seguridad administración de redes y la implementación de IPV6.
Tecnologías de la Febrero de Diciembre de
de las 2. Ejecutar las actividades de gestión tanto para optimizar el servicio de la
Información y 2022 2022
comunicaciones Entidad, como para asegurar que los controles se apliquen en forma coherente
Comunicaciones
a través de la infraestructura de procesamiento de información.
1. Definir en un documento la protección de los códigos fuentes de los programas
que incluya:
a) Definir un sitio para mantener las librerías de las fuentes de programas.
Oficina de
A.14. Adquisición, b) Establecer que el manejo por perfiles para restringir el acceso a las librerías
Tecnologías de la
desarrollo y fuentes de los programas desplegados en producción. Febrero de Diciembre de
Información y
mantenimiento de c) Definir que la actualización de las librerías de fuentes de programas y 2022 2022
Comunicaciones
sistemas elementos asociados, sólo se deben hacer una vez que se haya recibido
autorización apropiada en el paso a producción.
d) Establecer la ubicación y el aplicativo de control de versiones en donde estén
los programas en un entorno seguro.
Página 26 de 28
VERSIÓN PRELIMINAR
Dominios ISO ÁREA Fechas de Programación
Actividades para lograr los objetivos del SGSI 2021
27001 RESPONSABLE Fecha Inicio Fecha Final
e) Mantener las fuentes de programas a través de mecanismos de
versionamiento y despliegue continuo ofrecidos por las herramientas de
control de versión.
2. Monitorear el cumplimiento de los procedimientos de desarrollo seguro y la
verificación de los criterios de seguridad de los programas y la protección de
códigos fuentes definidas en el punto 1.
3. Definir los requisitos de seguridad para el desarrollo de software y hacer la
validación.
4. Aplicar lo establecido en la guía de desarrollo de software durante los
desarrollos, las pruebas de funcionalidad de la seguridad a través de la
herramienta de gestión de vulnerabilidades y realizar los ajustes de seguridad.
1. Operar el procedimiento de incidencias de seguridad.
2. Capacitar a los usuarios en el procedimiento de gestión de incidencias.
3. Construir las guías de atención para los incidentes comúnmente presentados
que no se encuentren documentados.
4. Realizar la medición del procedimiento a través de los indicadores definidos.
5. Realizar los procesos de retroalimentación adecuados para asegurar que las
personas que reportan eventos de seguridad de la información sean notificadas
A.16. Gestión de de los resultados después de que la cuestión haya sido tratada y cerrada. Oficina de
incidentes de 6. Definir el proceso de contratación del SOC, el cual incluye el servicio de Tecnologías de la Febrero de Diciembre de
seguridad de la correlación de eventos. Información y 2022 2022
información 7. Implementar los controles para mitigación de acuerdo con la caracterización Comunicaciones
los riesgos cibernéticos e identificar los supuestos (configura el adversario y su
entorno), objetivos (establece las motivaciones del adversario), capacidades
(identifica el nivel de daño que pueda causar), impactos (analiza las
afectaciones claves que pueda ocasionar) y aprendizajes (revela puntos ciegos
en el modelo de seguridad informática.
8. Ejecutar pruebas del escenario de simulación y respuesta a ataques
cibernéticos dentro del plan de recuperación ante desastres.
Página 27 de 28
VERSIÓN PRELIMINAR
4. INDICADORES
La medición de las actividades definidas en la Estrategia se realizarán a través de los
siguientes indicadores:
𝑁° 𝑑𝑒 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒𝑠 𝐸𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑎𝑠
𝑁° 𝑑𝑒 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑒𝑠 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑑𝑎𝑠
VERSIÓN PRELIMINAR
Página 28 de 28